Le gouvernement a fait publier un décret qui prépare la mise en place de la carte nationale d’identité électronique. Elle contiendra des informations personnelles et biométriques. La CNIL a livré plusieurs recommandations.

C’est en 2021 que doit commencer à être déployée la future carte nationale d’identité électronique (CNIe). Très exactement à compter du 2 août. Ce nouveau document aura deux particularités : il sera d’abord interopérable au niveau européen, afin de servir de preuve d’identité dans un autre pays de l’Union. Mais surtout, il accueillera une puce électronique dans laquelle seront stockées des données personnelles.

En prévision de cette bascule, le gouvernement a fait publier au Journal officiel du 14 mars un décret portant diverses dispositions relatives à la carte nationale d’identité et au traitement de données à caractère personnel dénommé « titres électroniques sécurisés » (TES). C’est sur la base de données biométriques TES que l’administration va s’appuyer pour préparer les futures CNIe.

terminal Aéroport de Paris-Charles-de-Gaulle

Bien que facultative en France, la carte nationale d’identité est en fait indispensable dans bien des circonstances, comme voyager. // Source : Andrei-Daniel Nicolae

Le composant stocke des éléments biométriques, une photo numérisée et deux empreintes digitales. Par ailleurs, la CNIe contient un cachet électronique visible avec les données signées du titulaire. Ce cachet doit assurer l’authenticité du document. Le nom de famille, le premier prénom, le sexe, la nationalité, le lieu et la date de naissance, le type de document, le numéro du titre et sa date de délivrance y figurent.

Dans son livre blanc de la sécurité intérieure, le ministère de l’Intérieur explique que cette CNIe protégera davantage la population « contre l’usurpation d’identité ». Elle vise aussi à tenir compte d’une réalité : l’Union européenne a adopté un règlement le 20 juin 2019 sur le renforcement de la sécurité des cartes d’identité. Or, ce règlement va s’appliquer à partir du 2 août 2021.

À long terme, les cartes d’identité qui ne satisfont pas aux exigences de ce règlement vont progressivement cesser d’être valides, soit au moment de leur expiration, soit au plus tard le 3 août 2031. La France n’a donc pas vraiment le choix : le règlement s’impose à elle. Dans le cas contraire, la carte nationale d’identité française ne serait alors plus reconnue dans le reste de l’Union européenne.

Le ministère de l’Intérieur faisait d’ailleurs remarquer dans son livre blanc que « la France était l’un des cinq derniers États membres de l’Union européenne à ne pas disposer d’une carte d’identité électronique ». Il rappelait au passage que ce composant électronique est déjà opérationnel dans d’autres documents officiels, à savoir le passeport et le titre de séjour.

Comme le note le journaliste Émile Marzolf, cette carte nationale d’identité électronique va dès le mois de mars faire l’objet de projets pilotes, en amont de son arrivée progressive à partir d’août 2021. Le document servira ultérieurement à l’identité numérique sécurisée de l’État, qui a notamment été mentionné en 2017 dans une feuille de route du gouvernement actuel, sujet qui concerne aussi Alicem.

Un passeport français // Source : Pixabay/CC

Un passeport français

Source : Pixabay/CC

Outre le feu vert à l’ajout d’un composant électronique dans la carte nationale d’identité, le décret fait évoluer certaines dispositions : d’abord, la durée de validité de ces documents est ramenée à dix ans, au lieu de quinze (à partir de 2014, pourtant, cette durée avait été augmentée de dix à quinze ans). Ensuite, le recueil des empreintes digitales devient obligatoire, sauf pour les mineurs de douze ans.

Ce qu’il est possible de demander, c’est de manifester son refus que l’image numérisée des empreintes digitales soit conservée informatiquement plus de 90 jours à compter de la date de délivrance de la carte nationale d’identité. Dans ce cas-là, cette conservation se fait sur papier, sur quinze ans. Les informations de consultation par les personnes autorisées sont gardées pendant trois ans.

Le décret explique que « chaque consultation de cette copie fait l’objet d’un recensement comprenant l’identification de son auteur ainsi que la date et le motif de la consultation ». Comme dans le cas de la conservation informatique, la conservation papier se fait « de manière sécurisée », afin d’éviter les abus, les accès frauduleux, les falsifications ou bien les extractions d’information.

La CNIL perplexe sur certains choix

Ce décret a été accompagné d’une délibération, survenue le 11 février, de la Commission nationale de l’informatique et des libertés (CNIL), qui apporte plusieurs recommandations sur le stockage et la sécurisation de ces informations personnelles et biométriques, afin de rehausser leur niveau de protection, mais aussi empêcher certains mésusages et réduire le degré de certains risques.

Par exemple, la CNIL constate certes que les données biométriques sont bien chiffrées au sein de la base de données, mais suggère que les moyens de déchiffrement soient confiés à un tiers. De cette façon, ni le ministère de l’Intérieur ni ce tiers ne pourrait avoir, seul, les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires. Pour l’instant, relève la CNIL, ce n’est pas le cas.

« Cette recommandation permet à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus. Compte tenu de ces éléments, la Commission estime nécessaire qu’une telle mesure, par ailleurs recommandée par l’ANSSI, soit mise en œuvre », est-il argumenté dans la délibération.

La CNIL s’attarde aussi sur une particularité du décret, qui prévoit d’étendre les données actuellement transmises au fichier national de contrôle de la validité des titres (traitement « DOCVERIF »). En clair, l’interconnexion entre TES et DOCVERIF, déjà prévue depuis 2016, va être maintenant systématique, « en supprimant tout critère quant au statut du titre (suppression des mentions perdus, volés ou invalidés ».

empreintes digitales

Des empreintes digitales.

Source : Guillaume Cote

Si la CNIL entend l’argument en faveur de cette interconnexion élargie (cela « permettrait par exemple de détecter d’éventuelles falsifications de l’état civil figurant sur un titre d’identité dont le numéro est toujours valide »), elle se montre préoccupée par le fait que DOCVERIF risque de devenir une base de données miroir de TES, alors que chacun de ces traitements poursuit des finalités différentes.

Sur la durée de conservation des données biométriques, la CNIL tique également : il aurait été possible de la réduire drastiquement, sans que cela ne gêne le bon fonctionnement du mécanisme général de la CNIe. Ainsi, la France opte pour une durée de conservation de 15 ans, là où des pays comme l’Allemagne et la Belgique se limitent à 90 jours seulement, en base de données centrale.

Enfin, la CNIL constate que ces pays « n’utilisent pas de base de données centralisée contenant les empreintes digitales pour lutter contre la fraude et les usurpations d’identité », contrairement à la France, qui conserve l’idée d’une base de données centralisée. Cela n’est pas interdit, mais une approche décentralisée permet par exemple de circonscrire une éventuelle fuite à une seule base, plus petite.

La menace n’est pas théorique : un cas d’école est venu d’Inde en 2018, quand, au prix de sept euros à peine, un journaliste local a pu accéder à l’intégralité des entrées de la base de données nationale contenant les informations privées d’un milliard de citoyens. Certes, le cas indien ne correspond probablement pas exactement à la situation française, mais il illustre le problème des grosses bases.

Cependant, un contre-argument peut aussi être formulé sur l’éclatement des bases de données : en les multipliant, on réduit de manière proportionnelle l’ampleur d’une fuite éventuelle, mais, dans le même temps, on augmente le nombre de cibles potentielles. Il faut donc alors veiller sur un plus grand nombre de traitements. La CNIL en la matière ne plaide pas particulièrement pour l’une ou l’autre solution.

Il est à noter que la détention d’une carte nationale d’identité n’est pas obligatoire en France. Néanmoins, dans les faits, il est très compliqué de mener à bien un certain nombre de démarches sans ce document. C’est ce que rappelle la Direction de l’information légale et administrative, qui cite les examens ou les concours, le vote aux élections, certaines opérations bancaires ou un contrôle d’identité.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.