La carte d’identité numérique ou le retour de la centralisation numérique à la française edit

12 avril 2021

Issue d’un règlement européen du 20 juin 2019 enjoignant les États-membres à renforcer la sécurité de leurs titres d’identité, la carte d’identité électronique, ou « CNIe », arrive en France à partir du 2 août 2021. Connectée au fichier des titres électroniques sécurisés (TES) institué sous la mandature précédente, son arrivée relance un débat maintenant ancien sur l’opportunité et les risques des architectures informatiques dites « centralisées ».

Comme nous avons eu l’occasion de l’exposer dans ces colonnes, en matière informatique, deux grands modes d’organisation sont envisageables : une architecture centralisée, dans laquelle les données transitent par un serveur central, qui réalise lui-même les traitements ; ou bien une architecture décentralisée, c’est-à-dire sans serveur central, dans laquelle les données sont directement stockées sur les terminaux des utilisateurs (ici, la carte d’identité elle-même).

Architecture centralisée vs décentralisée

Si une architecture centralisée permet de réaliser des traitements plus riches grâce à la puissance du serveur central et à la réunion des données en un seul point, les architectures décentralisées sont considérées comme plus sûres parce qu’il est par hypothèse impossible pour un acteur malveillant “d’aspirer” toutes les données en une seule fois : celles-ci sont disséminées sur les terminaux individuels, chacun ne contenant que celles qui le concernent. Au lancement de chaque projet numérique, en entreprise ou dans l’administration, la question se pose ainsi sur le point de savoir si le cahier des charges justifie ou non, en fonction des finalités à atteindre, le recours à une architecture centralisée — ou si les risques sont si élevés que seule une architecture décentralisée est envisageable.

Il est bien évident que les architectures centralisées ne sont pas à écarter par principe : certaines applications, comme par exemple les services numériques offerts par l’Estonie à ses citoyens, seraient difficiles à proposer sans un minimum de centralisation. Mais l’objectif affiché du fichier TES et de la CNIe — à savoir, la lutte contre la falsification des titres d’identité — pouvant parfaitement être atteint sans serveur central, la question des risques se pose naturellement.

Un fichier retoqué par le Conseil constitutionnel… puis validé par le Conseil d’État

Voilà pourquoi l’annonce du décret instituant le fichier TES avait été accueillie, en octobre 2016, avec une inquiétude et des objections qui préfiguraient, avec cinq ans d’avance, le débat autour de la CNIe : pourquoi constituer un fichier massif et centralisé alors que nos voisins se contentent de stocker les informations directement sur les cartes d’identité individuelles ? Quelles sont les garanties quant à la protection des données compte tenu du risque créé par le choix de la centralisation ?

Un premier projet de fichier central de la population française ayant été retoqué par le Conseil constitutionnel en 2012 (lorsque le gouvernement de François Fillon avait tenté de l’inscrire dans la loi), il y avait des chances, en 2016, de voir le “décret TES” connaître un sort similaire. Entre-temps, le Règlement européen sur la protection des données (RGPD) était entré en vigueur, imposant de lourdes obligations de transparence et de cybersécurité et généralisant les analyses d’impact préalables à la création de fichiers sensibles.

Mais le Conseil d’État ne l’a pas entendu de cette oreille : dans un arrêt du 18 octobre 2018, il a rejeté les objections formulées par GenerationLibre, la Ligue des Droits de l’Homme et la Quadrature du Net et écarté l’application au fichier TES du RGPD au motif que la date d’entrée en vigueur de ce dernier (le 25 mai 2018) était postérieure au décret — une position éminemment discutable au plan juridique.

La CNIe pousse encore plus loin la logique centralisatrice du fichier TES

Trois ans plus tard, le lancement de la CNIe est l’ultime étape de la constitution du fichier TES, et il est toujours aussi difficile de comprendre le recours à un dispositif centralisé (et donc porteur de risques de cybersécurité) pour une finalité si basique : authentifier numériquement la carte d’identité. La logique centralisatrice va même encore plus loin, puisque le décret qui fait entrer en application la CNIe précise que les données seront conservées non plus dix ans (c’est-à-dire la durée de validité de la carte elle-même) mais quinze. (À titre de comparaison, nos voisins allemands, qui se passent très bien d’un fichier central, ne conservent les données en base que quatre-vingt-dix jours.)

De même, la possibilité de s’opposer à la conservation des empreintes digitales, prévue par le fichier TES comme une concession au RGPD, très strict sur les données biométriques, est réduite : en cas d’opposition, après quatre-vingt-dix jours, une copie papier en sera néanmoins stockée — dont on a du mal à croire, au XXIème siècle, qu’elle ne finira pas par être scannée.

Aujourd’hui comme hier, ce n’est donc pas le principe même d’une carte d’identité numérique qui pose problème, mais le choix de la centralisation des informations, l’opacité des mesures de protection et la politique de l’autruche quant aux risques associés.

Les «mégafichiers» sont faits pour être utilisés

On se souvient que l’année dernière, le choix français d’une architecture centralisée, unique en Europe, avait plombé StopCovid : non seulement cette option avait complexifié le développement de l’application et empêché toute interopérabilité avec celles de nos voisins européens, mais elle avait faire naître des questions quant au sort des données à l’issue de la pandémie face à la constitution d’un énième fichier central en France.

Ces doutes sont tout sauf illégitimes : lors des débats sur le vote de la loi renseignement, en 2015, le ministre de l’Intérieur jurait que jamais le champ d’application de la loi, alors limité aux besoins élémentaires de la sécurité nationale, ne serait modifié. Cela n’a pas empêché son successeur, en décembre 2020, de l’élargir considérablement. C’est en quelque sorte la loi de Murphy des « mégafichiers » : tôt ou tard, ils sont toujours utilisés au-delà des finalités initiales.

Le même ministre assure aujourd’hui que, même si les informations stockées dans le fichier TES sont accessibles aux services de police pour l’instruction des vols de titres d’identité, la CNIe « n’est pas un moyen pour l’État de tracer les citoyens ». Faut-il lui faire confiance ?