️ Les engrenages cosmiques qui font tourner l’univers. Ce sont les architectes du forum, veillant à ce que tout fonctionne sans accroc. Leur devise : "Dans l’ombre du code, nous illuminons le forum"
Fournir sa photographie et ses empreintes quand on demande son passeport ou sa carte d’identité est plus lourd de conséquence que ce qu’on imagine. Ces données, qui sont enregistrées dans le fichier des « titres électroniques sécurisés » (TES) sont récupérées par la police par un contournement de la loi. La Quadrature du Net a pu obtenir des témoignages et preuves formelles de l’utilisation abusive de ce fichier pour identifier des personnes lors d’enquêtes judiciaires. Nous avons alerté la CNIL sur ce scandale qui était malheureusement prévisible, tant ce fichier TES portait, par son existence même, les risques d’un abus de surveillance par l’État.
Plus belle la vie du fichier TES
Pour comprendre comment nous en sommes arrivé·es là, revenons sur les origines de ce fichier. En 2005, un décret autorise pour la première fois l’enregistrement des informations des personnes demandant un passeport (nom, prénom…) dans une puce électronique au sein du passeport, mais également dans un fichier centralisé à destination des agent·es chargé·es de la délivrance des titres d’identité. Ainsi naît le premier fichier TES (qui s’appelait alors « DELPHINE »). En 2008, afin de se conformer à un règlement européen, sont ajoutées au sein de la puce l’image numérisée du visage et des empreintes digitales. Le gouvernement en profite alors pour également les ajouter dans le fichier, au lieu de rester sur une seule conservation décentralisée. Ceci n’était clairement pas un choix neutre puisqu’il s’agit de données biométriques particulièrement sensibles.
La CNIL, elle, se montrait pourtant défavorable à un enregistrement centralisé d’autant de données dans le fichier TES. En effet, pour la première fois, une base de données faisait un lien entre des données biométriques et une identité civile. L’objectif affiché était de faciliter les démarches administratives et lutter contre la « fraude documentaire ». Mais factuellement, ce lien technique entre identité et données biométrique peut aussi permettre l’identification d’une personne par la comparaison de ses empreintes ou de son visage avec les données contenues dans le fichier. Bien qu’une telle possibilité ne soit pas prévue par les textes, la CNIL estimait tout de même que le choix de centraliser ces données était disproportionné dès lors qu’il existait des modalités de lutte contre la fraude qui apparaissaient tout à la fois aussi efficaces et plus respectueuses de la protection de la vie privée des personnes.
En 2012, une loi proposée par deux sénateurs de droite a tenté de faire évoluer ce fichier TES, qui contenait alors les données biométriques d’environ 6,5 millions de personnes. Cette loi prévoyait de permettre expressément à la police de se servir dans la base de données pour pouvoir identifier des personnes lors de certaines enquêtes. Cette volonté de mise a disposition du fichier TES à la police a cependant été invalidée par le Conseil constitutionnel. Celui-ci a estimé que l’ampleur de la base de donnée qui contenait des données particulièrement sensibles, couplée avec la nouvelle possibilité technique et légale de permettre une identification par la police – qui n’avait rien à voir avec l’objectif initial de faciliter la délivrance des passeports – engendraient des atteintes trop graves aux libertés. Le Conseil craignait notamment que si ces techniques d’identification n’étaient pas limitées, elles « ne pouvaient qu’être vouées à se développer ».
C’est surtout en 2016 que ce fichier a fait l’objet de critiques et d’attention médiatique. Le gouvernement Valls avait discrètement fait passer un décret créant un nouveau fichier TES au périmètre drastiquement différent. Désormais, il pouvait aussi contenir les données relatives aux cartes nationales d’identité
Or, quasiment tous·tes les Français·es en possèdent une. De nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population. Elles craignaient aussi bien les fuites de données que les attaques informatiques et les abus étatiques, d’autant que d’autres options moins attentatoires et décentralisées étaient possibles. Face aux critiques, il était notamment répété à l’envi qu’au grand jamais ce fichier ne pourrait servir à faire de l’identification.
Avec d’autres, nous avions attaqué le fichier devant le Conseil d’État, qui l’a néanmoins validé en 2018. Nous avons tout de même poursuivi le combat. En 2022, avec 15 248 personnes, nous avons déposé une plainte collective devant la CNIL pour dénoncer l’illégalité de ce fichier. L’instruction de cette plainte est toujours en cours et c’est dans le cadre de cette procédure que nous avons envoyé de nouveaux documents à la CNIL pour démontrer ce que nous craignions depuis l’origine : la police se sert allègrement dans le fichier TES.
Administrations et policiers main dans la main
Techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES. Le décret de 2016 prévoit uniquement que certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » puissent le consulter. Pourtant, le ministère de l’Intérieur a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire.
Il s’appuie pour cela sur le mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale. Sur autorisation du procureur de la République, les officiers de police judiciaire peuvent exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête. C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros.
Aujourd’hui, nous pouvons démontrer que la police utilise ce pouvoir de réquisition abusivement auprès des administrations qui participent à la création et la délivrance des cartes d’identité ou passeports. Nous avons ainsi constaté des demandes des informations d’identité aux agent·es :
- Des « Centres d’expertise et de ressources titres » (CERT). Les CERT sont les services chargés au sein d’une préfecture ou d’une sous-préfecture d’instruire les dossiers de demandes de titres.
- De l’Agence nationale des titres électroniques (ANTS). C’est l’administration chargée de gérer le système informatique derrière les demandes et délivrances de cartes d’identité et passeports.
La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit.
[…]
Suite du pavé : laquadrature.net
Duboudin: Suppression des balises html égarées par le paste 
