Intervention de Bernard Cazeneuve

A l’heure actuelle, le FNG permet de gérer les cartes nationales d’identité avec des éléments relatifs aux demandeurs, que les agents de mairie récupèrent avant de les transmettre aux agents préfectoraux sous format papier. La totalité de ces procédures non dématérialisées est donc très lourde.

Or, cette application pose deux problèmes. D’une part, nous devons faire face à une difficulté de maintenance, liée à l’obsolescence du langage Cobol. D’autre part, nous ne pouvons pas, avec le fichier national de gestion, procéder à un échange dématérialisé des dossiers des demandeurs de carte nationale d’identité entre les mairies, où les éléments sont recueillis, et les futurs centres d’expertise et de ressources titres, qui instruiront ces mêmes titres dans le cadre du Plan préfectures nouvelle génération. Voilà pourquoi nous avons impérativement besoin, pour mettre en oeuvre le PPNG, d’une nouvelle application de traitement des CNI, en rapprochant leur processus de délivrance de celui des passeports biométriques, beaucoup plus moderne, en vigueur depuis dix ans et qui fonctionne déjà pour près de 29 millions de Français.

Depuis 2008 en effet, dans le cadre d’une réforme européenne, la France s’est dotée d’une application moderne, le fichier Titres électroniques sécurisés, qui permet d’instruire les passeports biométriques, conformément à la réglementation européenne dont elle respecte tous les standards. J’ajoute que dans le processus d’instruction, l’application prévoit justement la modalité de transmission dématérialisée des demandes de titres entre les agents des mairies et ceux des préfectures. Dès lors, nous avons choisi la solution à la fois la plus simple, la plus évidente et la plus économique – j’y reviendrai –, celle qui consiste à inclure les cartes nationales d’identité dans le logiciel déjà existant, de telle sorte que nous puissions utiliser une technologie que nous maîtrisons déjà et qui, jusqu’à présent, s’est révélée particulièrement fiable.

Naturellement, il ne s’agit pas de verser d’un seul coup toutes les cartes nationales d’identité dans ce nouveau logiciel. Ce processus prendra plusieurs années, au gré du renouvellement des CNI.

Contrairement à ce que j’ai pu lire ou entendre ces derniers jours, cette technologie est radicalement différente de celle qui avait été censurée en 2012. Nous avons en effet totalement repris à notre compte et intégré les remarques formulées par le Conseil constitutionnel dans sa décision du 22 mars 2012 pour faire évoluer l’application.

Je souhaite rappeler les faits avec précision. En 2012, le Gouvernement avait souhaité élaborer une carte à puce appelée carte nationale d’identité électronique – CNIE –, en vue d’améliorer la lutte contre la fraude et de pouvoir remonter à l’identité des détenteurs de titres à partir de leurs données biométriques. Ce qui, à l’époque, avait fait l’objet d’une censure, ce n’était pas le fait que la carte eût une puce, ni qu’elle eût vocation à lutter contre la fraude, mais bien qu’elle donnât la possibilité de constituer un fichier d’identification des personnes à partir de leurs empreintes et de leur photographie d’identité.

Or aujourd’hui, que faisons-nous par rapport à ce qui avait été décidé en 2012 et censuré par le Conseil constitutionnel ? Tout d’abord, nous écartons la puce – j’y reviendrai. Ensuite, nous conservons la finalité de lutte contre la fraude : c’est même là un des trois objectifs principaux que nous poursuivons à travers la mise en oeuvre de cette réforme. Enfin, sans la moindre ambiguïté, je le dis très solennellement, nous écartons totalement de notre projet l’identification du demandeur de titre à partir de ses données biométriques. Le texte réglementaire que nous avons pris intègre donc totalement la décision du Conseil constitutionnel : non seulement il ne reprend pas les dispositions censurées, mais il les interdit. C’est, en l’espèce, ce troisième et dernier point qui est absolument décisif.

Le fichier créé par le décret dont nous discutons aujourd’hui comprend trois compartiments. Le premier est relatif à des données alphanumériques, comme le nom et l’adresse du demandeur ou le numéro de la demande, qui figurent sur le formulaire de demande de titre CERFA, lequel demeure strictement inchangé. Le deuxième est relatif à la photographie et aux deux empreintes digitales numérisées. Enfin, le troisième conserve les pièces justificatives.

Or, si l’on peut remonter au second compartiment – le compartiment biométrique – à partir des données propres à la demande du titre, l’inverse est rigoureusement impossible : on ne peut pas, à partir des données biométriques comme la signature, la photographie ou les empreintes digitales numérisées, retrouver l’identité du demandeur. Cette impossibilité est d’abord juridique : le décret interdit une telle manipulation, et pour l’autoriser il faudrait non seulement publier un nouveau décret, mais aussi adopter une loi et même des évolutions constitutionnelles, compte tenu de la décision du Conseil constitutionnel de 2012. De surcroît, cette impossibilité est technique : pour retrouver l’identité du demandeur de titre à partir des données biométriques, il faudrait ni plus ni moins rebâtir toute l’architecture de l’application. Si j’insiste sur ce lien unidirectionnel et sur cette porosité asymétrique entre les compartiments du fichier TES, c’est bien parce que cette technique est au coeur du débat.

Pour déterminer dans quelle mesure un fichier respecte les libertés publiques, il nous faut tenir compte de trois critères essentiels : les données contenues dans le fichier, les finalités que celui-ci poursuit et l’architecture sur laquelle il repose. En l’occurrence, les données du fichier TES ne sont pas nouvelles, puisqu’elles figurent déjà dans le FNG, qui existe depuis 1987. Leur utilisation est strictement encadrée, ce qui n’est pas le cas pour le fichier de 1987, puisque nous allons déterminer plus rigoureusement les conditions d’accès à ce fichier au format papier. Il faut aussi que toutes les garanties technologiques soient apportées.

Pour élaborer le projet de décret, le Gouvernement a respecté non seulement la décision prise par le Conseil constitutionnel en 2012, mais aussi, plus largement, toutes les procédures prévues par les textes. Nous avons consulté la Commission nationale de l’informatique et des libertés – CNIL –, qui reconnaît que les finalités du décret sont « déterminées, explicites et légitimes ». Nous avons également respecté les préconisations du Conseil d’État, que nous avons même consulté à deux reprises. J’ai souhaité obtenir des garanties maximales en vérifiant en amont que la procédure réglementaire était adéquate. Après confirmation du Conseil d’État, les services du ministère de l’intérieur ont lancé les travaux d’écriture, puis ils ont à nouveau saisi le Conseil d’État du projet de décret. Nous avons également sollicité l’avis des élus dans le cadre du Comité national d’évaluation des normes. Nous avons aussi eu de nombreux échanges avec l’Association des maires de France.

Nous avons donc pleinement respecté les prérogatives respectives des pouvoirs législatif et réglementaire. Chacune des instances que je viens de citer reconnaît que le vecteur réglementaire était bien le vecteur approprié au regard de la hiérarchie des normes et des principes de l’État de droit. Il est donc de la responsabilité du Gouvernement de garantir le respect de cette séparation instaurée par la Constitution dans ses articles 34 et 37, ce qui, naturellement, n’empêche nullement le débat. Comme je l’ai déjà dit, le Gouvernement tient à ce que le Parlement puisse débattre de ce fichier dans la sérénité.

Aussi, je veux répondre avec beaucoup de précision aux trois principales interrogations exprimées ces derniers jours.

Tout d’abord, on a dit que le fichier TES constituait un « méga-fichier » inédit ayant pour but de ficher tous les Français. C’est, en réalité, totalement faux.

D’une part, comme j’ai déjà eu l’occasion de le préciser, TES n’est pas un fichier d’identification des détenteurs de titres, mais bien un fichier d’identification des titres demandés, ce qui n’est pas la même chose. D’autre part, je rappelle que l’actuel fichier FNG relatif aux CNI concerne déjà tous les Français, lesquels détiennent presque tous une carte d’identité. Grâce au FNG, 59 millions de titres ont déjà été délivrés. Par conséquent, si « méga-fichier » il y avait, ce ne serait en aucun cas le gouvernement auquel j’appartiens, ni d’ailleurs le gouvernement précédent, qui l’aurait créé, pour la simple raison qu’il existe depuis 1987.

J’ajoute que le fichier TES, qui contient des données biométriques depuis 2008, a d’ores et déjà permis de délivrer 29 millions de passeports – ce qui représente à peu près la moitié de la population – sans que personne n’en parle jamais. C’est grâce à cela que nos concitoyens peuvent voyager dans des pays comme les États-Unis, qui exigent un passeport biométrique en échange d’une exemption de visa.

Des inquiétudes ont également été exprimées au sujet des garanties permettant d’éviter le piratage du fichier. Ces interrogations sont absolument légitimes, et nous devons y répondre de façon précise. La CNIL indique elle-même, dans l’avis qu’elle a rendu, que l’importance du fichier TES, dont les données et les finalités sont incontestables en tant que telles, justifie que l’on fasse preuve de la plus grande vigilance en ce qui concerne sa protection. Le Gouvernement partage cette préoccupation. De fait, l’application TES bénéficie d’ores et déjà de protections informatiques adaptées et éprouvées, expérimentées depuis huit ans. Leur solidité et leur niveau de sécurité sont donc établis.

Face aux risques de piratage, les bases de l’application centrale sont protégées de plusieurs manières. En raison du caractère particulièrement sensible des informations contenues dans le fichier, vous comprendrez que je ne puisse pas présenter ce niveau de protection de manière exhaustive : le ministère de l’intérieur ne va tout de même pas dévoiler tous les moyens par lesquels il se protège, au risque de voir ces protections déjouées ! Néanmoins, je peux vous préciser que des outils cryptographiques de très haut niveau sont mis en oeuvre pour protéger les données biométriques. Les pièces justificatives sont elles aussi cryptées. Nous avons également recours à des barrières physiques, à des pare-feu et à des HSM – hardware security modules ou modules matériels de sécurité. Le système TES bénéficie d’une bulle sécurisée, ainsi que de serveurs totalement dédiés.

Je précise que le réseau sur lequel l’application centrale est hébergée est interne au ministère de l’intérieur : il n’est donc pas possible d’y accéder par internet. Il s’agit par là même d’une application conservée à bonne distance des réseaux publics, comme l’est la base TES depuis 2008.

On me dit que le risque zéro n’existe pas, et ce serait mentir que de prétendre garantir ce risque zéro devant la représentation nationale. Néanmoins, force est de constater que le système TES et, plus généralement, les applications hébergées à distance des réseaux publics au sein du ministère de l’intérieur n’ont fait l’objet d’aucun hacking ces dernières années. Les faits parlent donc d’eux-mêmes.

Du reste, comme toute application informatique, l’application TES sera naturellement amenée à évoluer. C’est en ce sens que, pour renforcer sa protection selon les meilleurs standards, une procédure d’homologation est prévue en lien avec l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI.

Compte tenu des interrogations exprimées par un certain nombre d’acteurs et de parlementaires, j’ai souhaité apporter des garanties supplémentaires. J’ai donc pris trois nouveaux engagements, que j’ai rendus publics jeudi dernier. En premier lieu, nous proposons de ne généraliser le dispositif qu’après avoir obtenu sa ré-homologation. C’est un point central. Ensuite, nous proposons d’associer l’ANSSI et la direction interministérielle du numérique et du système d’information et de communication de l’État, la DINSIC, aux études en vue de l’homologation. Enfin, nous proposons que l’avis de l’ANSSI, qui est traditionnellement un avis simple, ait valeur d’avis conforme pour prononcer l’homologation. Ce dernier point est fondamental : il signifie que mes services s’engagent à suivre scrupuleusement l’avis de l’ANSSI, que nous rendrons public de manière à ce que le Parlement y ait accès et qu’il n’y ait aucune ambiguïté.

Je veux répondre à une autre interrogation, formulée elle aussi à plusieurs reprises : pourquoi ne pas avoir repris le système de puce proposé en 2012 et refait la carte nationale d’identité électronique, ce que la CNIL semblait pourtant suggérer dans son avis ?

Si nous avons décidé d’écarter cette option, c’est d’abord pour une raison évidente : la censure du Conseil constitutionnel en 2012. Cette censure ne portait pas sur la carte, mais sur la possibilité d’identification des personnes à partir de données biométriques. Pour autant, la CNIE était connotée. Dès lors, c’est un projet résolument différent, y compris dans son choix technologique, que nous avons initié, afin de limiter le risque de confusion avec le projet précédent et de nous en différencier sur le maximum de critères.

Vous me permettrez d’ailleurs de souligner le côté pour le moins insolite de la discussion sur ce point précis. Finalement, ce que l’on nous reproche, c’est à la fois de refaire et de ne pas refaire ce qui avait été l’objet de la censure de 2012. On nous reproche de nous éloigner du projet de 2012 relatif à la CNIE contenant une puce, sans tenir compte du fait que nous ne reprenons pas les dispositions ayant été censurées ; en même temps, on souhaite que l’expérience de 2012 soit oubliée au profit d’un dispositif garantissant un meilleur équilibre entre les exigences de sécurité et les exigences relatives aux libertés publiques.