Comme bien souvent, les critiques sont dirigées vers ce qui est le plus visible, mais pas nécessairement le plus dangereux pour les libertés publiques. Observons ainsi que le TES ne fait qu'agréger deux fichiers antérieurs, l'un concernant les passeports, l'autre les titres d'identité. Surtout, le nombre de personnes fichées, aussi important soit-il, n'est pas le seul élément pour apprécier une atteinte aux droits des personnes. C'est ainsi que le fichier de sécurité sociale conserve des données sur l'ensemble de la population française, sans provoquer d'émoi particulier. Le danger d'un fichier réside, non pas dans le nombre des personnes fichées, mais dans les garanties qu'il leur offre au regard de la protection de leurs données personnelles et dans les finalité qu'il poursuit.
La conséquence de la décision du 22 mars 2012
Le décret du 28 octobre 2016 est la conséquence directe de la décision rendue par le Conseil constitutionnel le 22 mars 2012, censurant une large partie de la loi relative à la protection de l'identité, texte qui prévoyait une première mouture du fichier TES. A l'époque, le Conseil n'avait pas considéré comme illicite la finalité du fichier, celui-ci étant présenté comme un instrument de nature à faciliter la lutte contre les usurpations d'identité. En revanche, il avait considéré que les moyens mis en oeuvre étaient disproportionnés par rapport à cette finalité. A ses yeux, il était en effet possible de déceler une usurpation d'identité sans recourir à la conservation dans un fichier unique des données biométriques très complètes de l'ensemble de la population. La CNIL comme le Sénat proposaient d'ailleurs qu'une puce contenant ces informations soit intégrée au titre d'identité, permettant à la victime de l'usurpation d'identité de faire reconnaître l'infraction par comparaison avec une seule empreinte conservée sur les fichiers des titres d'identité, tout en conservant la maîtrise de ses données personnelles.
Aujourd'hui, le TES revient sous forme d'un décret. Il reprend la même finalité, affirmant que ce traitement automatisé sera utilisé « pour procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation des cartes nationales d'identité (…) et des passeports (…) ainsi que prévenir et détecter leur falsification et contrefaçon ». En revanche, le décret précise, cette fois très nettement, que le TES ne pourra être utilisé pour identifier une personne à partir de ses données biométriques, mais seulement pour vérifier que les données contenues sur la pièce d'identité correspondent à celles figurant dans le fichier.
La grosse différence entre la proposition de loi et le décret est que la première permettait aussi l’exploitation de cette base pour identifier une personne à partir de ses données biométriques. Le décret se limite à l’authentification du document, à savoir s’assurer que les informations du document d’identité correspondent aux informations de la base.
Reste que cette précision risque d'avoir une efficacité limitée, tout simplement parce que les dispositions législatives annulées par le Conseil constitutionnel sont remplacées par un simple décret. Contrairement à ce que certains ont affirmé, le choix de la voie réglementaire ne porte pas atteinte au partage des compétences définies par la Constitution. L'article 27 de la loi du 6 janvier 1978 relative aux fichiers, à l'informatique et aux libertés énonce que les traitements de données personnelles mis en oeuvre pour le compte de l'Etat et qui portent sur des données biométriques nécessaires pour contrôler ou authentifier l'identité des personnes font l'objet d'une autorisation par décret en Conseil d'Etat. La loi de 1978 imposait donc, en principe, la voie réglementaire.
Certes, mais il n'était pas pour autant illicite de choisir la voie législative, comme en 2012. Depuis sa décision du 30 juillet 1982, le Conseil constitutionnel estime qu'une loi peut comporter des dispositions à caractère réglementaire, sans que cela entraine nécessairement leur inconstitutionnalité. En effet, le gouvernement pouvait opposer leur irrecevabilité durant le débat parlementaire, au motif que le texte législatif empiétait sur les compétences de l'Exécutif. S'il ne l'a pas fait, il est donc supposé avoir accepté cette ingérence. En clair, si le parlement et le gouvernement sont d'accord pour adopter une règles par la voie législative, le Conseil constitutionnel n'y voit pas d'inconvénient.
Dans le cas du fichier TES, on peut néanmoins regretter l'absence d'un nouveau débat parlementaire, d'autant qu'il se serait nécessairement accompagné d'une étude d'impact et que la voie réglementaire n'offre pas des garanties identiques.
Prenons par exemple cet engagement formulé dans le décret, selon lequel le TES ne sera utilisé qu'à des fins de lutte contre l'usurpation d'identité. Il risque de se heurter à certaines dispositions législatives, en particulier celles de la loi renseignement du 24 juillet 2015. Elle définit de manière très large les données accessibles aux services, englobant finalement toutes celles échangées par les utilisateurs connectés et toutes celles susceptibles de les identifier ou de les repérer. Les dispositions d'un décret empêcheront-elles d'utiliser le TES à des fins d'identification ou de repérage ? Imagine-t-on un instant que l'on puisse renoncer à interroger un tel fichier lorsqu'il s'agit de repérer une personne soupçonnée de préparer un attentat terroriste ? Il serait sans doute plus sain d'envisager clairement une telle utilisation, afin de définir des garanties associées à un tel usage.
Au lieu de cela, on feint de croire que le TES est un fichier administratif ordinaire, destiné à lutter contre les usurpations d'identité. On refuse d'admettre qu'il offrira aux services administratifs et judiciaires une formidable base de données de l'ensemble de la population française et qu'ils seront évidemment tentés de l'utiliser à d'autres fins. Pour le moment, le débat agite les experts, et seulement eux. Le choix entre le recours à une puce électronique ou à un fichier centralisé a été imposé sans aucun contrôle démocratique. Il serait pourtant intéressant de savoir ce qu'en pensent les Français et leurs représentants. Sont-ils si hostiles à la création d'un tel fichier et à son utilisation à des fins d'identification ? Nul n'en sait rien parce qu'on les traite comme des enfants incapables de comprendre les enjeux d'un tel fichage.
Aujourd'hui, le TES revient sous forme d'un décret. Il reprend la même finalité, affirmant que ce traitement automatisé sera utilisé « pour procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation des cartes nationales d'identité (…) et des passeports (…) ainsi que prévenir et détecter leur falsification et contrefaçon ». En revanche, le décret précise, cette fois très nettement, que le TES ne pourra être utilisé pour identifier une personne à partir de ses données biométriques, mais seulement pour vérifier que les données contenues sur la pièce d'identité correspondent à celles figurant dans le fichier.
La grosse différence entre la proposition de loi et le décret est que la première permettait aussi l’exploitation de cette base pour identifier une personne à partir de ses données biométriques. Le décret se limite à l’authentification du document, à savoir s’assurer que les informations du document d’identité correspondent aux informations de la base.
 |
| La foule. Jean-Michel Folon. 1979 |
Le choix de la voie réglementaire
Reste que cette précision risque d'avoir une efficacité limitée, tout simplement parce que les dispositions législatives annulées par le Conseil constitutionnel sont remplacées par un simple décret. Contrairement à ce que certains ont affirmé, le choix de la voie réglementaire ne porte pas atteinte au partage des compétences définies par la Constitution. L'article 27 de la loi du 6 janvier 1978 relative aux fichiers, à l'informatique et aux libertés énonce que les traitements de données personnelles mis en oeuvre pour le compte de l'Etat et qui portent sur des données biométriques nécessaires pour contrôler ou authentifier l'identité des personnes font l'objet d'une autorisation par décret en Conseil d'Etat. La loi de 1978 imposait donc, en principe, la voie réglementaire.
Certes, mais il n'était pas pour autant illicite de choisir la voie législative, comme en 2012. Depuis sa décision du 30 juillet 1982, le Conseil constitutionnel estime qu'une loi peut comporter des dispositions à caractère réglementaire, sans que cela entraine nécessairement leur inconstitutionnalité. En effet, le gouvernement pouvait opposer leur irrecevabilité durant le débat parlementaire, au motif que le texte législatif empiétait sur les compétences de l'Exécutif. S'il ne l'a pas fait, il est donc supposé avoir accepté cette ingérence. En clair, si le parlement et le gouvernement sont d'accord pour adopter une règles par la voie législative, le Conseil constitutionnel n'y voit pas d'inconvénient.
Dans le cas du fichier TES, on peut néanmoins regretter l'absence d'un nouveau débat parlementaire, d'autant qu'il se serait nécessairement accompagné d'une étude d'impact et que la voie réglementaire n'offre pas des garanties identiques.
Prenons par exemple cet engagement formulé dans le décret, selon lequel le TES ne sera utilisé qu'à des fins de lutte contre l'usurpation d'identité. Il risque de se heurter à certaines dispositions législatives, en particulier celles de la loi renseignement du 24 juillet 2015. Elle définit de manière très large les données accessibles aux services, englobant finalement toutes celles échangées par les utilisateurs connectés et toutes celles susceptibles de les identifier ou de les repérer. Les dispositions d'un décret empêcheront-elles d'utiliser le TES à des fins d'identification ou de repérage ? Imagine-t-on un instant que l'on puisse renoncer à interroger un tel fichier lorsqu'il s'agit de repérer une personne soupçonnée de préparer un attentat terroriste ? Il serait sans doute plus sain d'envisager clairement une telle utilisation, afin de définir des garanties associées à un tel usage.
Au lieu de cela, on feint de croire que le TES est un fichier administratif ordinaire, destiné à lutter contre les usurpations d'identité. On refuse d'admettre qu'il offrira aux services administratifs et judiciaires une formidable base de données de l'ensemble de la population française et qu'ils seront évidemment tentés de l'utiliser à d'autres fins. Pour le moment, le débat agite les experts, et seulement eux. Le choix entre le recours à une puce électronique ou à un fichier centralisé a été imposé sans aucun contrôle démocratique. Il serait pourtant intéressant de savoir ce qu'en pensent les Français et leurs représentants. Sont-ils si hostiles à la création d'un tel fichier et à son utilisation à des fins d'identification ? Nul n'en sait rien parce qu'on les traite comme des enfants incapables de comprendre les enjeux d'un tel fichage.
