Remettre l’ouvrage sur le métier : c’est, en substance, ce que demande la Commission nationale de l’informatique et des libertés (Cnil) à Bruno Le Roux, à propos du «mégafichier» voulu par son prédécesseur au ministère de l’Intérieur, Bernard Cazeneuve. Pour le gendarme des données personnelles, les conclusions du rapport d’audit rendu la semaine dernière «confirment largement [sa] position et [ses] interrogations», explique-t-elle ce lundi dans un communiqué.

Le 28 octobre, un décret a étendu le fichier TES, qui concerne aujourd’hui les quelque 15 millions de titulaires d’un passeport, aux cartes nationales d’identité. Doivent être regroupées à terme dans un système centralisé les données personnelles de 60 millions de Français : état civil, noms et prénoms des parents, adresse, couleur des yeux, taille, ainsi que des données biométriques – photo du visage et empreintes digitales. Depuis sa parution, ce texte a fait l’objet de très vives critiques. Notamment de la part de la présidente de la Cnil, Isabelle Falque-Pierrotin, et du Conseil national du numérique (CNNum), qui a organisé une consultation sur le sujet et demandé la suspension du décret.

A lire aussi «Mégafichier», bordel monstre

Face à la bronca, Cazeneuve avait, en novembre, chargé l’Agence nationale de la sécurité des systèmes d’information (Anssi) et la Direction interministérielle du numérique et de la sécurité du système d’information de l’Etat (Dinsic) de plancher sur le «fichier monstre». Mardi 17 janvier, leur rapport d’audit a été rendu public par la place Beauvau. Or les conclusions de ce document ne sont pas flatteuses : les deux services estiment notamment que «le système TES peut techniquement être détourné à des fins d’identification», et que sa «sécurité globale […] est perfectible».

A lire aussi «Mégafichier»: un audit et des failles

Pour la commission, la création du «mégafichier» «n’a pas été précédée des évaluations et des expertises suffisantes au vu de l’ampleur et de la sensibilité» des données concernées. Et les recommandations du rapport d’audit, que le ministre s’est engagé à prendre en compte, «imposent de modifier substantiellement les conditions de mise en œuvre du système TES». La Cnil a déjà été saisie d’une première modification du décret – Cazeneuve avait annoncé, le 10 novembre, que le versement des empreintes digitales à la base centralisée deviendrait facultatif. Mais elle rappelle que les «nouvelles évolutions» du fichier TES «devront également être portées à sa connaissance».

A lire aussi Données des Français : Cazeneuve allège un peu son «mégafichier»

Le gendarme des données personnelles entend bien suivre de près le devenir du «fichier monstre», mais au-delà, il redemande une «expertise complémentaire» de la solution alternative qu’il préconisait déjà dans son avis sur le décret : la conservation des données biométriques non pas dans un fichier centralisé, mais sur une puce à l’intérieur de la carte d’identité elle-même. Une option plus protectrice des libertés, que l’Intérieur avait écartée en faisant valoir l’argument budgétaire.

Amaelle Guiton