Intervention de Henri Verdier

La DINSIC est également sous la tutelle du Premier ministre, placée au sein du Secrétariat général pour la modernisation de l'action publique. Nous sommes une sorte de direction des systèmes d'information (DSI) de l'État chargée de trois types de missions. En matière de gouvernance, nous devons donner un avis conforme sur tout nouveau grand projet au regard de sa trajectoire technique et financière et de sa faisabilité, pas sur les aspects de sécurité ou de la vie privée. En matière de mutualisation, nous nous efforçons de faire converger les DSI des ministères pour faire naître un service d'information unique pour l'État. En matière d'innovation, nous nous occupons de dossiers tels que ceux qui concernent l'open data, l'open government, etc. Autant dire que cet audit ne correspond pas aux missions traditionnelles de nos deux organismes.

Avant de répondre à vos questions, j'aimerais faire un propos liminaire pour insister sur trois points.

En premier lieu, pour reprendre la conclusion de notre court rapport, je dirai que les questions que vous vous posez aujourd'hui reviendront souvent dans de futurs débats. En quelques années, la biométrie s'est banalisée ; elle est entrée dans certains systèmes informatiques régaliens, mais elle est aussi utilisée par un nombre croissant d'entreprises –nous sommes quelque 600 millions à avoir laissé nos empreintes digitales à une entreprise de Cupertino… Elle est peut-être même entrée dans l'intimité des familles par le biais d'outils vendus notamment par quelques startups françaises.

Comme nous l'avons constaté dans le cadre de cet audit, il faut se poser des questions d'efficacité, de sécurité notamment vis-à-vis d'attaques extérieures, d'architecture système, de mode de circulation de la donnée, de gouvernance, de libertés publiques, etc. Une question était omniprésente : dans quel cadre de gouvernance faut-il s'inscrire ? Le débat, qui durera quelques années, devra produire une sorte de doctrine française de l'identité, de l'identification et de l'authentification. Cette question cruciale se posera pour d'autres fichiers. Il faudra être capable d'y apporter une réponse publique, débattue, argumentée. Elle devra émaner du législateur et du Gouvernement, et non pas d'agences techniques.

En second lieu, il faut signaler que l'audit s'est déroulé de manière remarquable : nos équipes ont été bien accueillies ; elles ont eu communication de toutes les pièces qu'elles avaient réclamées et réponse à toutes les questions qu'elles avaient posées. Ce qui va sans dire va encore mieux en le disant : nous avons eu toute liberté de rédaction pour formuler des conclusions sincères et étayées.

En troisième lieu, avant d'entrer dans le vif du sujet et en réponse à ce qu'on a pu lire dans la presse, je tiens à dire que ce fichier n'était pas sur une « trajectoire de dévoiement ». Des questions techniques précises nous sont certes posées le concernant : le fichier risque-t-il d'être dévoyé ou d'être attaqué avec succès par des hackers ? Nous allons essayer de répondre avec précision. En nous plongeant dans les archives, nous avons trouvé beaucoup de tentatives de remontées vers l'identité à partir de l'empreinte digitale. Pour faire une réforme qui va améliorer l'efficacité et les coûts du système de délivrance des titres, il a été décidé de prendre un outil robuste et éprouvé et de l'appliquer à d'autres usages – nous proposons quelques corrections pour ce faire. Cela ne signifie pas que le fichier était en passe d'être dévoyé par le biais de manoeuvres en cours.

Après ces observations liminaires, sur lesquelles nous sommes d'accord l'un et l'autre, nous allons revenir sur les deux grandes questions qui nous étaient posées : la sécurité et le risque de dévoiement des usages du système.