Fournir sa photographie et ses empreintes quand on demande son passeport ou sa carte d’identité est plus lourd de conséquence que ce qu’on imagine. Ces données, qui sont enregistrées dans le fichier des « titres électroniques sécurisés » (TES) sont récupérées par la police par un contournement de la loi. La Quadrature du Net a pu obtenir des témoignages et preuves formelles de l’utilisation abusive de ce fichier pour identifier des personnes lors d’enquêtes judiciaires. Nous avons alerté la CNIL sur ce scandale qui était malheureusement prévisible, tant ce fichier TES portait, par son existence même, les risques d’un abus de surveillance par l’État.
Plus belle la vie du fichier TES
Pour comprendre comment nous en sommes arrivé·es là, revenons sur les origines de ce fichier. En 2005, un décret autorise pour la première fois l’enregistrement des informations des personnes demandant un passeport (nom, prénom…) dans une puce électronique au sein du passeport, mais également dans un fichier centralisé à destination des agent·es chargé·es de la délivrance des titres d’identité. Ainsi naît le premier fichier TES (qui s’appelait alors « DELPHINE »). En 2008, afin de se conformer à un règlement européen, sont ajoutées au sein de la puce l’image numérisée du visage et des empreintes digitales. Le gouvernement en profite alors pour également les ajouter dans le fichier, au lieu de rester sur une seule conservation décentralisée. Ceci n’était clairement pas un choix neutre puisqu’il s’agit de données biométriques particulièrement sensibles.
La CNIL, elle, se montrait pourtant défavorable à un enregistrement centralisé d’autant de données dans le fichier TES. En effet, pour la première fois, une base de données faisait un lien entre des données biométriques et une identité civile. L’objectif affiché était de faciliter les démarches administratives et lutter contre la « fraude documentaire ». Mais factuellement, ce lien technique entre identité et données biométrique peut aussi permettre l’identification d’une personne par la comparaison de ses empreintes ou de son visage avec les données contenues dans le fichier. Bien qu’une telle possibilité ne soit pas prévue par les textes, la CNIL estimait tout de même que le choix de centraliser ces données était disproportionné dès lors qu’il existait des modalités de lutte contre la fraude qui apparaissaient tout à la fois aussi efficaces et plus respectueuses de la protection de la vie privée des personnes.
En 2012, une loi proposée par deux sénateurs de droite a tenté de faire évoluer ce fichier TES, qui contenait alors les données biométriques d’environ 6,5 millions de personnes. Cette loi prévoyait de permettre expressément à la police de se servir dans la base de données pour pouvoir identifier des personnes lors de certaines enquêtes. Cette volonté de mise a disposition du fichier TES à la police a cependant été invalidée par le Conseil constitutionnel. Celui-ci a estimé que l’ampleur de la base de donnée qui contenait des données particulièrement sensibles, couplée avec la nouvelle possibilité technique et légale de permettre une identification par la police – qui n’avait rien à voir avec l’objectif initial de faciliter la délivrance des passeports – engendraient des atteintes trop graves aux libertés. Le Conseil craignait notamment que si ces techniques d’identification n’étaient pas limitées, elles « ne pouvaient […] qu’être vouées à se développer »1Voir le commentaire autorisé de la décision du Conseil constitutionnel, page 21, accessible sur cette page.
C’est surtout en 2016 que ce fichier a fait l’objet de critiques et d’attention médiatique. Le gouvernement Valls avait discrètement fait passer un décret créant un nouveau fichier TES au périmètre drastiquement différent. Désormais, il pouvait aussi contenir les données relatives aux cartes nationales d’identité2Pour rappel, la carte d’identité nationale a été créée en 1940 sous le régime de Vichy. Le projet de carte nationale d’identité avait d’abord été imaginé par la préfecture de police en 1921, avec pour objectif d’étendre à tous les citoyens les mesures d’encartement imposées aux étrangers et aux nomades. Face à l’ampleur des protestations, le ministre de l’intérieur abandonna ce projet. Ce n’est que lorsque les libertés publiques auront été anéanties par le gouvernement de Vichy que l’identification totale des citoyens, au moyen de la généralisation de la carte d’identité, pourra être imposée.
Pour aller plus loin : « Système d’enregistrement d’identité, numéro d’identification et “carte d’identité de Français” durant le Régime de Vichy (France, 1940-1944) », Pierre Piazza, 2017 disponible ici et « L’identification des personnes », Gerard Noiriel, 2006, accessible ici.
Or, quasiment tous·tes les Français·es en possèdent une. De nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population. Elles craignaient aussi bien les fuites de données que les attaques informatiques et les abus étatiques, d’autant que d’autres options moins attentatoires et décentralisées étaient possibles. Face aux critiques, il était notamment répété à l’envi qu’au grand jamais ce fichier ne pourrait servir à faire de l’identification.
Avec d’autres, nous avions attaqué le fichier devant le Conseil d’État, qui l’a néanmoins validé en 2018. Nous avons tout de même poursuivi le combat. En 2022, avec 15 248 personnes, nous avons déposé une plainte collective devant la CNIL pour dénoncer l’illégalité de ce fichier. L’instruction de cette plainte est toujours en cours et c’est dans le cadre de cette procédure que nous avons envoyé de nouveaux documents à la CNIL pour démontrer ce que nous craignions depuis l’origine : la police se sert allègrement dans le fichier TES.
Administrations et policiers main dans la main
Techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES. Le décret de 2016 prévoit uniquement que certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » puissent le consulter. Pourtant, le ministère de l’Intérieur a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire.
Il s’appuie pour cela sur le mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale. Sur autorisation du procureur de la République, les officiers de police judiciaire peuvent exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête. C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros.
Aujourd’hui, nous pouvons démontrer que la police utilise ce pouvoir de réquisition abusivement auprès des administrations qui participent à la création et la délivrance des cartes d’identité ou passeports. Nous avons ainsi constaté des demandes des informations d’identité aux agent·es :
- Des « Centres d’expertise et de ressources titres » (CERT). Les CERT sont les services chargés au sein d’une préfecture ou d’une sous-préfecture d’instruire les dossiers de demandes de titres.
- De l’Agence nationale des titres électroniques (ANTS). C’est l’administration chargée de gérer le système informatique derrière les demandes et délivrances de cartes d’identité et passeports.
La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit.
Nous avions déjà entendu des témoignages en ce sens et cette pratique avait été pointée dans la brochure militante sur les moyens d’enquête dans l’affaire Lafarge Bouc-Bel-Air publiée en octobre 2023. Désormais, nous avons envoyé des preuves concrètes à la CNIL. Nous dénonçons ce détournement illégal afin que cette dérive cesse et que le ministère de l’Intérieur rende des comptes.
Des preuves accablantes
Ces éléments proviennent d’une affaire judiciaire clôturée où les procès-verbaux illustrent l’entêtement des policiers à vouloir identifier un individu à tout prix. N’arrivant pas à mettre un nom et un prénom sur une personne suspectée de rébellion (une qualification pénale par ailleurs régulièrement utilisée abusivement pour masquer des violences policières), les officiers de police judiciaire vont utiliser tous les moyens de surveillance à leur disposition, peu importe les exigences de proportionnalité.
Ils vont d’abord prendre une photographie de la personne à son insu dans le commissariat puis se servir du fichier TES pour confirmer son identité (que la personne n’a pas donnée, mais que les policiers présument). Les policiers vont donc exiger auprès d’un CERT des dossiers de demande de carte d’identité dans le but d’obtenir la photo de visage de la personne (voir les PV anonymisés), et récupèrent au passage tous les documents annexes, comme les justificatifs de domicile. Ils ne s’arrêtent pas là. Au cours de leur enquête, ils font également une demande auprès de l’ANTS pour récupérer des empreintes digitales (voir le PV). Sans jamais justifier ou motiver leur demande, ils exigent ainsi des administrations d’aller fouiller dans la base de données TES, et celles-ci répondent sans poser de question.
L’accès à ces données est lourd de conséquences car, dans cette affaire comme dans d’autres, c’est bien la photographie issue du TES qui, en étant comparée à l’image de vidéosurveillance du commissariat, permet d’identifier in fine la personne suspectée (voir le PV), ce qui est totalement contraire à ce pourquoi le fichier TES a été créé. Le constat est donc clair et accablant : les informations que nous fournissons pour faire notre carte d’identité ou notre passeport pourront être détournées et utilisées par la police dans des enquêtes, au mépris total de la loi.
Les limites du droit
Dans les observations que nous venons de transmettre (à lire ici) , nous rappelons qu’aussi bien le Conseil d’État que le Conseil constitutionnel ou la CNIL avaient formellement exprimé leurs craintes quant aux dérives potentielles de ce fichier. Ces institutions avaient exigé des limites et des garanties fortes afin de contenir ces risques et demandaient à ce que cette base de données soit exclusivement utilisée pour la délivrance des titres d’identité. Elles avaient toutes expressément déclaré ce fichier légal car il ne permettait pas, entre autres, d’identifier une personne.
Malgré cette unanimité, la pratique policière s’est installée, en contradiction totale avec l’esprit du cadre qui a créé le fichier TES. Cela démontre une fois de plus les limites, voire l’impuissance, du droit face aux obsessions de surveillance de l’État. Nous le constatons depuis toujours : dès que les autorités disposent d’une capacité d’obtenir des informations sur la population, cela leur brûle les doigts de l’utiliser pour identifier, contrôler, réprimer. Le soin de respecter les règles n’est alors que cosmétique, surtout quand il n’existe aucun contrôle effectif sur l’activité de la police, permettant ainsi à l’impunité de se propager.
Plutôt que d’empêcher un tel abus, c’est exactement le choix inverse qu’a fait le ministère de l’Intérieur en laissant prospérer ce détournement du fichier TES. Il l’a également volontairement facilité. En 2023, la loi de programmation dite « LOPMI » a assoupli le régime des réquisitions judiciaires, permettant « la remise de données relatives aux documents d’identité » sur la base d’une simple instruction générale (un mécanisme qui permet à un procureur de la République de délivrer une autorisation générale, et non circonstanciée, c’est-à-dire sans s’arrêter sur le cas d’espèce pour vérifier que la réquisition serait véritablement nécessaire à l’enquête et proportionnée). Si nous ne sommes malheureusement pas surpris, cet énième exemple témoigne du mépris de ceux qui nous gouvernent pour les droits fondamentaux et les principes démocratiques : tout est bon pour renforcer les techniques de surveillance et le fichage de la population.
S’attaquer au monstre
Le ministère de l’Intérieur doit être mis face à ses responsabilités et sanctionné. Le détournement et l’utilisation des données du fichier TES doivent être condamnées et doivent cesser immédiatement. Mais au-delà, il faut également comprendre que cet exemple est révélateur d’un phénomène plus large : celui de l’échange débridé et démesuré des données au nom du droit de « réquisition » (ou de « communication » quand il s’agit d’administrations fiscales ou sociales). En effet, ces pouvoirs généraux permettent à la police ou à d’autres institutions d’exiger des données pour une enquête pénale, fiscale ou administrative. C’est ainsi que, via cette prérogative, les organismes de sécurité sociale – CAF, Assurance Maladie… – peuvent récupérer le détail des comptes bancaires, ou que la police peut demander des factures d’électricité.
Or, cette possibilité très large de se voir transmettre des informations s’est construite sans prise en compte des règles de protection des données spécifiques à chaque traitement. Elle n’est guidée que par une logique d’efficacité supposée, réduisant le respect des droits fondamentaux à l’état de vulgaires obstacles à dépasser ou à contourner. Les limites et garanties propres à ces traitements de données sont, d’une certaine manière, écartées au nom du pouvoir de réquisition, ce qui rend difficile le constat d’abus ou de détournement. À l’heure ou tout est informatisé et où la quantité de données communicables est immense, il est nécessaire de questionner profondément ce mécanisme, source d’abus et d’excès.
Par-dessus tout, il faut continuer de combattre le système tentaculaire des fichiers administratifs et policiers. Celui-ci n’en finit pas de s’étendre, sans qu’aucun contrôle sur le travail de la police ne soit fait au quotidien. En effet, la démultiplication des outils facilite la collecte et l’accès aux données, permettant aux agents de rajouter des informations et de contrôler les personnes dans de plus en plus de situations. Cette capacité de surveillance est aujourd’hui devenue un monstre, avec plus d’une centaine de fichiers de police aux périmètres toujours plus larges. Les conséquences sont bien réelles pour les personnes qui s’y trouvent, celles-ci pouvant aussi bien se faire refuser un emploi que recevoir une obligation de quitter le territoire de par leur seule présence dans un fichier. En parallèle, la répression s’intensifie sur les personnes qui refuseraient de se soumettre au fichage, les mettant face à des poursuites et sanctions disproportionnées. Cette surveillance est un piège, auquel il semble de plus en plus difficile d’échapper.
Nous l’écrivions déjà en 2016 : « L’histoire nous rappelle combien la capacité à résister à des dérives autoritaires passe par la faculté d’échapper au contrôle étatique, notamment sur son identité. Les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s’appuie sur un fichage de sa population ».
Ce combat, qui promet d’être long, est possible grâce à votre soutien. Nous espérons pouvoir le continuer pour les années à venir, alors n’hésitez pas à nous faire un don. Merci !
References