Intervention de Marie-Anne Chapdelaine

En préambule, je voudrais remercier le président de la commission des Lois d'avoir organisé l'audition de représentants de l'ANSSI et de la DINSIC, comme l'avait demandé mon collègue M. Luc Belot lors du débat sans vote qui a eu lieu à l'Assemblée nationale après la parution du décret du 28 octobre 2016. Je voudrais aussi remercier M. Bernard Cazeneuve et le ministre de l'Intérieur M. Bruno Le Roux d'avoir rendu leur avis public.

Messieurs les directeurs, vos services ont été missionnés pour procéder à un audit de sécurité du système TES. Le rapport de cet audit, rendu public hier, constate que le système est compatible avec la sensibilité des données qu'il contient. Nous prenons acte de cette conclusion mais celle-ci ne nous rassure que partiellement : vos auditeurs ont aussi formulé onze recommandations afin d'apporter des améliorations et corriger des faiblesses.

Pour y répondre, le ministre de l'Intérieur annonce un plan d'action. Pouvez-vous nous affirmer que toutes vos recommandations seront prises en compte par ce plan ? Sinon, à quel degré le seront-elles ?

Comment va s'effectuer le contrôle de ce système au fur à et mesure de son application et de l'évolution des risques ? Le monde de l'informatique et du numérique est en mutation constante et accélérée. Les contrôles techniques sont essentiels, notamment pour le respect de nos libertés publiques. Comment s'assurer que la démarche d'homologation proposée par le ministre sera bien mise en oeuvre ? Qui va la contrôler ?

De plus, vos services confirment nos inquiétudes quant au possible détournement du système à des fins d'identification, malgré toutes les précautions qui peuvent être prises par le ministère de l'Intérieur. Comme nous l'affirmions, vous rappelez également « qu'il est impossible de garantir l'inviolabilité technique absolue d'un système d'information dans le temps » et qu'il existe des risques inévitables. D'autres architectures techniques auraient-elles été mieux adaptées à ces risques ?

Certaines de vos recommandations retiennent mon attention. Dans la recommandation n° 1, vous affirmez que la centralisation des données biométriques pour la carte nationale d'identité a peu d'intérêt pour leur gestion. Pouvez-vous préciser ce constat, en revenant sur le lien faible et le gabarit des empreintes ? Ces dernières solutions sont-elles compatibles avec ce qui est en train de se mettre en place ? Sinon, que faudrait-il faire ?

La recommandation n° 2 concerne les réquisitions judiciaires. Quels seraient les risques de détournement des données traitées par TES et comment y pallier ?

Votre recommandation n° 4 m'inspire aussi quelques questions. Pour éviter les risques que peut induire l'intervention de sous-traitants, le système TES ne peut-il pas être développé et exploité en interne par des agents de la fonction publique dûment habilités ? Quelles autorisations pour quel accès ? Quelle homologation pour les éventuels sous-traitants ?

La recommandation n° 6 évoque la mise en oeuvre du lien unidirectionnel. Sur le plan technique, qu'est ce qui garantit que le système d'accès aux données biométriques par ces liens unidirectionnels ne sera pas renversé ? Les filtrages seront-ils suffisamment opérationnels ?

Aucune structure n'est à l'abri d'intrusions pouvant totalement compromettre ce type de systèmes. Le phénomène du hacking a touché des multinationales spécialisées dans le numérique telles que Yahoo mais aussi des États comme Israël où la sécurité est une priorité absolue. Sommes-nous assez protégés contre une cyber-attaque ? Nos lois sont-elles adaptées aux cyber-attaques et à la cyber-défense ? D'autres systèmes ou architectures ne peuvent-ils pas être envisagés afin de réduire au minimum ces risques inévitables ? Je pense à l'utilisation de fichiers décentralisés dans les pays de l'Europe du Nord.

Pour finir, je suggérerai au président de la commission des Lois qu'une audition annuelle de nos deux invités du jour et du ministre de l'Intérieur puisse être organisée sur ces questions qui me paraissent fondamentales pour la sécurité des citoyens, mais aussi pour leurs libertés.