Le 13 juillet dernier, la Cnil a publié au Journal officiel une délibération dispensant de déclaration les fichiers locaux des établissements scolaires du secondaire du public et du privé. Il s’agit de la 17^ème dispense délivrée par l’autorité administrative chargé de veiller à l’application de la loi Informatique et Libertés de 1978. Ces fichiers, aux jolis noms de SACOCHE, PRONOTE, OTM ou CERISE, contiennent un certain nombre de données personnelles sensibles :

nom, prénoms, sexe, date et lieu de naissance, adresse, adresse électronique de l’élève fournie par l’établissement, nombre de frères et sœurs scolarisés, et, à titre facultatif et uniquement si l’intéressé y consent : la nationalité (uniquement en vue de l’établissement par le ministère de traitements statistiques anonymes), l’adresse électronique personnelle de l’élève, le numéro de téléphone portable de l’élève. [...]

Scolarité de l’élève : établissement d’origine, classe, groupe, division fréquentés et options suivies pendant l’année scolaire en cours et l’année scolaire antérieure, année d’entrée dans l’établissement, diplômes obtenus, position (non-redoublant, redoublant, triplant), décision d’orientation et décision d’affectation, notes, acquis au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences, noms des enseignants, absences, sanctions disciplinaires, vœux d’orientation ;

“Une consultation rapide des autres dispenses fait apparaître le contraste entre le champ couvert par la 17^ème dispense par rapport aux autres, note un membre du Collectif national de résistance à Base élèves (CNRB), qui s’oppose au fichage des élèves : le fichier électoral des communes, les listes de fournisseurs d’une entreprise, liste des abonnés à une revue, liste des chambre d’hôtes, etc. Tout ceci me semble anodin quant aux contenus donc aux atteintes possibles à la vie privée et aux libertés. Certes, tout ceci ne doit servir qu’en interne aux établissements mais quand même.”

Toutes ces données iront ensuite alimenter des fichiers nationaux dont le très polémique BE1D (base élèves premier degré). Interrogée par Owni, la Cnil a répondu qu’elle n’y voyait pas de problème :

Jusqu’à l’adoption de cette dispense, les établissements scolaires devaient adresser une déclaration à la CNIL qui donnait lieu à l’envoi d’un récépissé après vérification du caractère complet du dossier. Cela générait un flux important pour la CNIL sur des traitements connus par elle et soulevant peu de problématiques juridiques.
Dès lors, la CNIL a souhaité adopter une dispense actualisée et pédagogique, qui responsabilise davantage le responsable de traitement en cas de contrôle, pousse les chefs d’établissements à vérifier avec plus d’acuité s’ils entrent ou non dans le cadre de ladite dispense, que ce soit en termes de données traitées, de destinataires ou de sécurité.

5 contrôles sur 11 300 établissements

Pourtant, la sécurité des fichiers scolaires a récemment été remise sur en cause. On avait pu voir trainer sur Internet des données nominatives sensibles tirées des dossiers AFFELNET d’affectation dans les collèges et les lycées, extraits de SCONET et BE1D :

Une fuite qui devrait inciter la Cnil à une vigilance renforcée. Interrogée à ce sujet, elle réaffirme la responsabilité des chefs d’établissement :

Être dispensé de déclaration n’exonère les établissements d’aucune de leurs obligations au titre de la loi informatique et libertés. En particulier, ils sont tenus de garantir la sécurité des données. Une série de contrôles a été effectuée en début d’année 2012 auprès de 5 collèges et lycées en ce sens.

Une responsabilisation qui amuse bien le membre du CNRBE :

C’est peu de dire que la loi “Informatique et Libertés” est peu connue des directions d’établissement (et même des rectorats). Jusqu’à cette dispense, je serais curieux de savoir combien de déclarations ont été faites par des établissements ou des rectorats, elles doivent être très rares. Dans ce contexte, la lecture rapide de la 17 va les confirmer dans l’idée qu’ils peuvent faire ce qu’ils veulent. Par exemple, communiquer des listes d’élèves selon leur adresse et leur établissement et leur classe au Conseil général pour organiser le transport scolaire. Ce n’est qu’implicitement que la 17 dit qu’elle ne s’applique pas à une telle fourniture : qui va le voir ?

Nous avons demandé à la Cnil le résultat du contrôle des 5 établissements, sur les quelque 11 300 que compte la France dans le secondaire, et sa réponse semble corroborer ces craintes :

Les contrôles menés en début d’année auprès de plusieurs collèges et lycées ont conduit la Commission à constater certaines insuffisances concernant :

- les formalités préalables que ces établissements doivent accomplir auprès de la CNIL ;
- l’information des élèves et de leur représentant légaux sur le traitement de leurs données et les droits dont ils disposent ;
- les mesures mises en œuvre par ces établissements pour assurer la sécurité des données traitées.

Il est vrai que les fichiers scolaires ne semblent pas la priorité de la Cnil. Ainsi, Base élève premier degré avait fonctionné plus d’un an sans attendre la délivrance du récépissé de la déclaration auprès de la Cnil, de 2004 à 2006, comme l’avait détaillé le Conseil d’État dans sa décision du 19 juillet 2010, suite à sa saisine par le CNRBE. Et le conseil des sages avait jugé excessive la durée de conservation de 35 ans des données dans Base Nationale des Identifiants Elèves (BNIE), un base nationale qui rassemble les immatriculations uniques de chaque élève depuis son entrée dans le système scolaire. Initialement, le ministère de l’Éducation nationale (MEN) souhaitait qu’elle soit de 40 ans, la Cnil avait tiqué, le MEN avait donc proposé 35 ans. Cette fois-ci, la Cnil n’avait plus tiqué.

Le cadeau empoisonné des fichiers policiers

Truffé d'erreurs, le plus gros des fichiers policiers va être fusionné avec le plus gros des fichiers de la gendarmerie au ...

Le 6 mai 2012, Claude Guéant, le ministre de l’Intérieur de l’ancien gouvernement, faisait publier au Journal Officiel un décret portant création du fichier de Traitement des antécédents judiciaires (TAJ), consistant en une fusion des deux plus gros fichiers de police et de gendarmerie, le Système de traitement des infractions constatées (STIC), et le Système judiciaire de documentation et d’exploitation de la gendarmerie nationale (JUDEX).

Une mesure qui faisait tiquer la Commission nationale informatique et libertés (Cnil) et quantité d’observateurs en raison des nombreuses erreurs qui pervertissent déjà ces fichiers, comme nous l’avions raconté (voir ci-contre).

Mais la création du TAJ comporte un autre cadeau empoisonné. Il pourra en effet intégrer des photographies de suspects, contenues dans un fichier jusque-là clandestin, appelé Gaspard. Avec pour objectif de faciliter l’identification des personnes par des systèmes de reconnaissance biométrique faciale, comme l’annonce le décret :

- photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face) ;
- autres photographies ;

Dans sa délibération sur la fusion des fichiers STIC et JUDEX, la Cnil s’étonne ainsi de découvrir l’existence de ce nouveau fichier policier, jamais déclaré auprès de ses services. Gaspard, pour “gestion automatisée des signalements et des photographies anthropométriques répertoriés et distribuables“, est censé permettre notamment d’identifier des individus filmés par des caméras de vidéosurveillance au moyen de systèmes de reconnaissance biométrique faciale. Or, déplore la Cnil, il “n’a pas fait l’objet des formalités prévues par la loi du 6 janvier 1978 modifiée“, et est donc utilisé en toute illégalité.

La Cnil relève également que Gaspard comportera non seulement les photographies des personnes placées en garde à vue, mais également des “documents photographiques préexistants saisis durant l’enquête“, et qu’il permettra notamment “la comparaison biométrique de l’image du visage des personnes” avec les “images du visage de personnes impliquées dans la commission d’infractions captées via des dispositifs de vidéoprotection“ :

Cette fonctionnalité d’identification, voire de localisation, des personnes à partir de l’analyse biométrique de la morphologie de leur visage, présente des risques importants pour les libertés individuelles, notamment dans le contexte actuel de multiplication du nombre des systèmes de vidéoprotection.

La Cnil écrivait la semaine passée qu’elle “sera tout particulièrement attentive” à ces nouvelles fonctionnalités d’identification des personnes par reconnaissance biométrique faciale, au sujet desquelles elle confirme ses “réserves“.

Non-droit

La création de Gaspard avait été envisagée l’an passé, par Frédéric Péchenard, alors directeur général de la police nationale, qui avait déclaré à la commission des Finances de l’Assemblée nationale, le 22 juin 2011, qu’”on se dirige vers la création d’un troisième fichier de reconnaissance faciale, qui pourrait servir à l’exploitation des données de vidéo surveillance“.

L’agenda de l’Intérieur

A 6 mois de la présidentielle, plus de 80 hauts gradés de la police et de la gendarmerie, emmenés par deux des principales ...

Alain Bauer et Michel Gaudin, deux des têtes pensantes du ministère de l’Intérieur du temps de Nicolas Sarkozy, avaient de leur côté précisé, dans leur Livre blanc sur la sécurité publique, remis en octobre 2011 à Claude Guéant, que ce “troisième grand fichier de police” regrouperait plus de 2 millions de clichés et portraits-robots issus du fichier STIC-Canonge de la police nationale et du Fichier automatisés des empreintes digitales (FAED).

L’objectif était double : mettre en place un logiciel de reconnaissance biométrique faciale pour identifier les suspects filmés par des caméras de vidéosurveillance, mais également sortir le ministère de l’Intérieur de l’état de non-droit qui caractérise le STIC-Canonge, et afin de remplacer ce dernier, dans la mesure où l’inspecteur Canonge qui l’avait créé dans les années 50 l’avait conçu pour effectuer des recherches en fonction de profils ethniques (noir, blanc, jaune et arabe), une situation qui perdure aujourd’hui, en pire :

Informatisé en 1992, Canonge s’est perfectionné en retenant douze catégories « ethno-raciales », toujours en vigueur : « blanc (Caucasien), Méditerranéen, Gitan, Moyen-Oriental, Nord Africain, Asiatique Eurasien, Amérindien, Indien (Inde), Métis-Mulâtre, Noir, Polynésien, Mélanésien-Canaque ».

Gaspard existe semble-t-il depuis des années, comme l’atteste ce lexique judiciaire daté de novembre 2008, ainsi que ce reportage de David Dufresne sur les “experts” de la police technique et scientifique réalisé pour Mediapart, en février 2009, et repéré par un lecteur du blog de Maître Eolas.

La police technique et scientifique pour tous par Mediapart

On y voit quelques-unes des fonctionnalités et des catégories du fichier : état civil, surnom et alias, signalement (blanc, méditerranéen, gitan, maghrébin, etc.), forme du visage, accent (régional, étranger, pied noir, “ne s’exprime pas en français” -sic), pilosité, couleurs d’yeux et de cheveux, etc :

Les députés Delphine Batho (PS) et Jacques-Alain Bénisti (UMP), dans leur second rapport parlementaire sur les fichiers policiers, soulignaient par ailleurs que “la reconnaissance automatisée par l’image, si elle est relativement développée au plan technique, connaît un taux d’erreur bien plus élevé que les fichiers d’identification actuels, qui ne laissent que très rarement place au doute“. Ce pour quoi les deux députés, constatant que “les garanties offertes semblent largement insuffisantes au regard des exigences de la Cnil“, réclamaient la mise en place de garde-fous :

En premier lieu, la base de données ne pourra être composée que de l’image de personnes judiciairement mises en cause.

En second lieu, il convient de laisser ouverte la possibilité, pour les personnes à l’encontre desquelles il existe une ou plusieurs raisons plausibles de soupçonner qu’elles ont commis des infractions définies, de comparer leurs photographies sans les conserver.

De même, l’effacement des données doit être possible pour les personnes contre lesquelles il existe des indices graves ou concordants indiquant qu’elles ont commis les infractions définies.

Si Gaspard n’a toujours pas été légalisé, il est d’ores et déjà présenté comme un des outils indispensables au bon fonctionnement de la police technique et scientifique. En janvier 2011, les élus de CM2 du Conseil communal des jeunes de Puteaux, assistaient ainsi (.pdf) à “une démonstration du fonctionnement et de la méthode d’utilisation des menottes (et) des armes de service utilisées au quotidien par les policiers, notamment le tonfa, le bâton télescopique, le flash-ball, le pistolet semi-automatique Sig-Sauer et le pistolet mitrailleur” :

Enfin, les élus se sont pris pour des experts scientifiques lors de la démonstration de la prise d’empreintes et de la comparai- son de celles-ci dans le fichier Gaspard (Gestion Automatisée des Signalements et des Photos Anthropométriques Répertoriées et Distribuables).

En août 2011, le Figaro révélait que “trois sociétés notamment ont proposé des solutions au ministère de l’Intérieur” :

Morpho, spécialiste des traitements d’images de masse ; Cognitec, passée maître dans les outils visant à détecter les fraudes documentaires ; et la petite entreprise Facing it, dont les logiciels se font fort de reconnaître un intrus «blacklisté» qui se présenterait à un accès ou dans un couloir. La Place Beauvau n’a pas encore arrêté ses choix. Et elle devra se plier aux recommandations de la Cnil, qu’elle vient de saisir du dossier.

En septembre, une “circulaire relative au cadre juridique applicable à l’installation de caméras de vidéoprotection” retirait le peu de pouvoir qu’elle possédait en matière de vidéosurveillance. Elle précise en effet que ces autorisations ne doivent être soumis à la Cnil “préalablement à leur installation, que si les traitements automatisés ou les fichiers dans lesquels les images sont utilisées sont organisés de manière à permettre, par eux-mêmes, l’identification des personnes physiques, du fait des fonctionnalités qu’ils comportent (reconnaissance faciale notamment)” :

Le seul fait que les images issues de la vidéoprotection puissent être rapprochées, de manière non automatisée, des données à caractère personnel contenues dans un fichier ou dans un traitement automatisé tiers (par exemple, la comparaison d’images enregistrées et de la photographie d’une personne figurant dans un fichier nominatif tiers) ne justifie pas que la Cnil soit saisie préalablement à l’installation du dispositif de vidéoprotection lui-même.

Anomalies

Lors des débats sur la création du fichier des “honnêtes“, Claude Guéant avait expliqué que si la reconnaissance biométrique faciale n’est pas encore vraiment au point, il espérait que d’ici quelques années on pourrait s’en servir pour repérer a posteriori, voire en temps réel, à la volée, des criminels et délinquants.

Dans leur Livre blanc sur la sécurité publique, Michel Gaudin et Alain Bauer avaient de leur côté proposé d’utiliser les “fonctionnalités de la vidéoprotection en temps réel” pour détecter les situations de tension ou anormales, d’exploiter les “outils d’analyse automatique des anomalies” (sic) proposés par les logiciels de “vidéosurveillance intelligente““, ou encore de pouvoir identifier une personne “à partir de sa signature vocale“, entre autres technologies dignes des films d’espionnage

Les possibilités offertes par la voie aérienne sont également sous-exploitées : accès ponctuel aux données de la surveillance spatiale de haute résolution, recours à l’avion pour des missions de surveillance ou de filature (…) ou à des mini-drônes pour des distances et des périodes courtes.

La Loppsi kiffe grave les nouvelles technologies

Décriée pour son approche anxiogène de l'internet, la LOPPSI 2 fait pourtant grand cas des nouvelles technologies... de ...

Dans leur rapport sur les fichiers policiers, Delphine Batho et Jacques-Alain Bénisti soulignaient ainsi que Bauer et Gaudin proposaient également de développer des”bornes multimodales permettant la prise d’empreintes et la consultation simultanée des fichiers d’identification digitale, génétique et faciale“, mais également d’”approfondir la recherche en matière de reconnaissance de tatouages, de personnes en mouvement, de signatures vocales ou encore de traces olfactives”

Qualifié de “saut technologique” le recours accru aux technologies de surveillance, de contrôle et de sécurité avait ainsi été considéré comme l’”une des principales priorités” du ministère de l’Intérieur dans la LOPPSI II, et doté, à ce titre, d’un budget de plus de 630 millions d’euros. Une véritable manne financière pour les marchands d’armes et de technologies de lutte contre le sentiment d’insécurité, dont l’intense lobbying avait failli entraîner la création d’un fichier des “gens honnêtes“. Comme si le fait de ficher, en toute illégalité, les gens suspectés d’être “malhonnêtes” ne suffisait pas déjà assez.

Ex vice-présidente du groupe socialiste à l’Assemblée nationale chargée de la sécurité, co-signataire de deux rapports parlementaires, et d’une proposition de loi, consacrés aux problèmes posés par les fichiers policiers, Delphine Batho a été nommée ministre déléguée à la Justice.

On ne sait toujours pas précisément quelles seront ses attributions. Mais vu sa maîtrise du dossier, il serait logique qu’elle soit saisie de ces deux cadeaux empoisonnés publiés au Journal officiel par Claude Guéant le dimanche matin du second tour de la présidentielle. Une des toutes dernières actions de son quinquennat.

“A l’exception de l’analyse de l’ADN, aucune des méthodes utilisées en matière de police scientifique et technique n’a démontré de façon rigoureuse qu’elle avait la capacité de démontrer un lien entre une trace et un individu ou une source spécifique.”

En 2009, aux États-Unis, un rapport accablant de l’Académie nationale des sciences jetait un pavé dans la mare de ceux qui accordent une confiance aveugle aux “experts” de la police technique et scientifique. Les “experts” savent très bien que leurs méthodes ne permettent aucunement de recueillir une “preuve scientifique“, mais uniquement une “présomption”.

Erreurs humaines, de calcul, de prélèvement, de conservation ou de comparaison des échantillons, biais méthodologiques ou scientifiques, les “experts” ont de très nombreuses raisons de se tromper… sans parler de ceux qui condamnent ainsi des innocents à plusieurs années de prison.

50% des victimes d’erreurs judiciaires sorties de prison par l’Innocence Project, une ONG américaine qui utilise l’empreinte génétique pour innocenter des condamnés inculpés à tort, avaient ainsi été condamnées sur la foi de témoignages et de “preuves” apportés par des experts de la police scientifique et technique.

Brandon Mayfield, un avocat américain de 37 ans, fut ainsi accusé d’être l’un des auteurs des attentats à la bombe qui frappèrent Madrid en 2006. Pour le FBI, son empreinte digitale correspondait “à 100%” à celle trouvé par la police espagnole sur un sac d’explosifs. La police espagnole répondit au FBI que, d’après ses propres analyses, l’empreinte de Mayfiled ne correspondait pas à celle du suspect, il n’en fut pas moins incarcéré, au secret, pendant deux semaines. Son empreinte faisait partie d’un groupe de 20 empreintes “similaires“… et Mayfield, qui s’était converti à l’islam après s’être marié à une Égyptienne, avait déjà fait l’objet de mesures de surveillance de la part du FBI. Il était donc un suspect tout désigné.

Shirley McKie, une détective de la police écossaise, fut quant à elle accusée de meurtre. Quatre experts de la police technique et scientifique avaient identifié son empreinte digitale sur la porte de la salle de bain d’une femme qui avait été poignardée à mort. Deux “experts” américains expliquèrent à son procès que son empreinte ne correspondait pas à celle laissée sur la scène de crime, lui évitant 8 ans de prison. Mais ses confrères britanniques maintinrent leurs versions, déclarant que c’était une “question d’opinion“. L’autre meurtrier présumé, identifié lui aussi par ses empreintes digitales, fut libéré de prison, d’autres experts ayant eux aussi conclu à une identification erronée.

On sait d’autre part qu’il est aussi possible de tromper les systèmes de reconnaissance biométrique en leur soumettant des fausses empreintes digitales réalisées à base de pâte à modeler, de gélatine, de silicone, de latex ou encore de colle à bois.

Le Centre de recherche des technologies d’identification (CITER), chargé par la National Science Foundation (NSF) d’aider les industriels à évaluer et améliorer la “crédibilité” de leurs technologies, a ainsi initié un concours, LivDet, de reconnaissance des fausses empreintes digitales.

Les résultats (.pdf) de l’édition 2011 sont assez édifiants : en fonction des algorithmes, systèmes et logiciels utilisés, de 6 à 40% des fausses empreintes digitales étaient identifiées, à tort, comme véritables, et de 12 à 66% des vraies empreintes digitales étaient, tout aussi à tort, identifiées comme fausses…

Par ailleurs, plus une base de donnée biométrique est importante, plus grande est la probabilité statistique d’identifier quelqu’un par erreur ou, a contrario, de mettre de côté un individu de peur de l’identifier par erreur. Les spécialistes de la biométrie sont ainsi amenés à élaborer de très complexes algorithmes statistiques jonglant entre “faux positifs” et “faux négatifs“, et basés sur un taux d’erreur acceptable.

Tel le projet du gouvernement indien de ficher ses 1,2 milliards de citoyens. Jamais on avait en effet cherché à procéder à une reconnaissance biométrique d’une telle ampleur.

Pour Joachim Murat, responsable pour l’Inde de Morpho, n°1 mondial de l’empreinte digitale et filiale de Safran, interrogé par Les Echos, “la confirmation de la décision de relever les données biométriques de tous les Indiens « garantit un très gros marché pour les terminaux qui captent les iris et les empreintes digitales »“, dont son employeur est l’un des principaux fournisseurs mondiaux.

Le marché est d’autant plus juteux que Morpho qu’il faut non seulement recueillir les empreintes digitales et les numériser, mais également leur appliquer nombre de traitements pour en “dédupliquer” les identifiants, afin de vérifier que le nouvel inscrit n’avait pas été préalablement fiché.

Sur les 200 millions d’Indiens d’ores et déjà fichés par l’Autorité d’identification unique indienne (UIDAI), la “déduplication” a ainsi permis de réduire la base de données à 130 millions. Pour inciter les Indiens à venir se recenser, les autorités leur offre en effet de l’argent, voire une collation, entraînant certains à revenir s’identifier plusieurs fois…

On aurait pu espérer que ces 70 millions de doublons eussent pu être évités d’emblée, lors de la prise des identifiants, mais non : la reconnaissance par empreintes biométriques ne permet pas tant, en effet, d’identifier “scientifiquement“, et donc à coup sûr, le porteur de telle ou telle empreinte digitale, mais d’estimer la probabilité statistique qu’il s’agisse bien de lui, ou non. Ce qui requiert tout un tas de vérifications :

L’UIDAI vient ainsi de publier une étude très détaillée (.pdf) expliquant comment elle est parvenue à identifier, de façon unique, 99,86% de la population, tout en précisant que 99,965% des doublons étaient identifiés comme tels.

Une précédente étude (.pdf), basée sur des recherches effectuées sur 46 millions d’identifiants contenus dans la base de données du FBI, avait démontré que la prise d’empreintes de deux doigts seulement débouchait sur un taux de “fausses acceptations” (False Acceptance Rate, ou FAR : personnes identifiées, à tort) de 10,3%, et de 29,2% de “faux rejets” (False Rejection Rate, ou FRR : personnes rejetées, à tort).

Avec 10 empreintes, le taux de faux négatifs tombait à 0, mais les faux positifs se maintenaient à 10,9%. D’où la nécessité de rajouter à ces 10 empreintes digitales celles des deux iris, seule combinaison à même de pouvoir identifier avec certitude, et sans risque de doublon ou de fausse identification, l’intégralité de la population.

Dans un ouvrage d’anthologie consacré à l’identification biométrique, Bernadette Dorizzi, spécialiste de la question, et notamment des taux d’erreurs, écrit que “pour les systèmes d’identification (titres identitaires, vote), le FAR (les “faux positifs”, NDLR) peut être défini entre 1/1 000 000 et 1/100 000 000. Le FRR (les “faux négatifs”), quant à lui, est de 1/1000 (0,1%)“, ce qui n’est pas sans incidence sur l’utilisation même du système :

Un système identitaire avec une base de données d’un million d’individus recevra, pour des demandes de renouvellement et de création, environ 1 milliard de requêtes par jour (sur une vingtaine d’heures ouvrées), soit environ 14 000 mises en correspondance par seconde pour un gabarit. Si l’on considère un taux d’erreurs de 1/1 000 000, cela veut dire qu’il faudra traiter manuellement 1000 cas par jour dans le pire des cas.

La question reste donc de savoir comment les industriels français parviendront, d’une part à identifier, de manière unique, de 45 à 60 millions de gens à partir de deux empreintes digitales seulement, mais également de parvenir à un taux d’erreur acceptable limitant autant que faire se peut “faux positifs” et “faux négatifs“, et donc la probabilité statique d’entraîner des erreurs judiciaires…

MaJ, 06/03/2012, 16h56 : par 285 voix pour, 173 contre, sur 458 suffrages exprimés, le fichage des “gens honnêtes” a été adopté à l’Assemblée. Jean-Jacques Urvoas (PS) a déclaré qu’il allait dès demain déposer un recours au Conseil Constitutionnel.

Au XIXe siècle, lors de la conquête de l’Ouest, des ouvriers Chinois, venus construire les lignes de chemin de fer, utilisaient de l’”huile de serpent” (“Snake oil“, en VO) comme remède “naturel” aux douleurs articulaires. Plusieurs escrocs s’emparèrent alors du phénomène, et commercialisèrent de multiples “huiles de serpent“, toutes plus placebo les unes que les autres, en faisant croire qu’elles accompliraient des miracles, et guériraient tous les maux.

Le fichier des “honnêtes gens“, créé pour mettre un terme aux usurpations d’identité, et qui sera adopté ce mardi 6 mars 2012 à l’Assemblée, en sixième lecture (et après 8 rapports parlementaires), s’apparente à une “huile de serpent“, à une “poudre de perlimpinpin“. Aux effets secondaires dévastateur. Pour la première fois depuis le gouvernement de Vichy, il s’agit de ficher l’ensemble de la population française, 60 millions d’”honnêtes gens“, au prétexte de mieux les protéger. Démonstration, en 10 questions qui, étrangement, n’ont jamais été, ou quasiment, débattues au Parlement.

Qui est à l’origine de l’expression de “fichier des gens honnêtes” ?

Le Parlement veut ficher les honnêtes gens

Le projet de ficher 60 millions de "gens honnêtes" oppose sénateurs et députés. Depuis le 12 janvier dernier, ces ...

Les défenseurs de la proposition de loi, ainsi qu’un certain nombre de médias, ont avancé, à tort, que l’appellation “Fichier des gens honnêtes” émanait d’opposants à ce projet. Il n’en est rien : c’est François Pillet, rapporteur (apparenté UMP) de la proposition de loi au Sénat qui, le premier, l’a utilisée, le 31 mai 2011, avant de la qualifier de “bombe à retardement pour les libertés publiques“. Le PS a ainsi rappelé que l’on n’avait jamais vu un tel projet de fichier depuis Vichy, et son “fichier général de la population, en 1940“, qui fut d’ailleurs détruit à la Libération.

Le fichier mettra-t-il un terme aux usurpations ?

L’”usurpation d’identité” est un terme générique qualifiant tout autant les faux et usages de faux (papiers, diplômes, CV, profils Facebook ou plaques d’immatriculation, etc.), les fraudes aux allocations sociales ou à la carte bancaire, les titres de transport utilisés à plusieurs ou encore le fait de donner une fausse adresse aux contrôleurs…

Prétendre que le fichier des “honnêtes gens” mettra un terme à l’usurpation d’identité est tout aussi mensonger que d’expliquer que l’”huile de serpent” permet de guérir de la peste ou du choléra.

Le fichier des “gens honnêtes” ne permettra pas vraiment d’empêcher les faux et usages de faux, la fraude aux transports publics non plus que les faux mails ou profils Facebook. En revanche, il permettra aux services de police judiciaire d’accéder aux empreintes digitales de ceux qui y sont recensés dans le cadre d’enquêtes sur des infractions dont le lien avec l’usurpation d’identité est pour le moins “ténu, voire inexistant“.

Selon François Pillet (UMP), rapporteur de la proposition de loi au Sénat, et le député (PS) Serge Blisko, de nombreuses autres poursuites judiciaires autoriseront la police à plonger allègrement dans les données de ce fichier :

- délit de révélation de l’identité d’un agent des services spécialisés de renseignement,

- faux en écritures publiques, même lorsque celles-ci ne portent pas sur l’identité d’une personne,

- escroquerie, même lorsque l’escroc ne se dissimule pas sous une fausse identité,

- franchissement illicite d’un portillon dans le métro ou déplacement sans titre de transport

Or, ce que craint François Pillet, tout comme les députés et sénateurs de l’opposition, ainsi que la présidente de la CNIL, qui s’est dit “inquiète“, c’est que “le dispositif proposé (…) ouvre la voie à d’autres empiètements, à l’avenir, afin d’étendre peu à peu le périmètre de l’utilisation du fichier central biométrique de la population française“, comme ce fut le cas pour le FNAEG, créé pour ficher les empreintes génétiques des criminels sexuels et élargi, depuis, aux simples suspects de la quasi-totalité des crimes et délits. Le FNAEG répertorie ainsi aujourd’hui les empreintes génétiques de près de 2 millions d’individus, dont 67% n’ont jamais été condamnés.

Le fichier mettra-t-il un terme aux fausses pièces d’identité ?

L’objectif affiché du fichier des “honnêtes gens” est d’empêcher quelqu’un de se procurer une carte d’identité au nom de quelqu’un d’autre. Mais le postulat de départ de ce fichier est que les “gens malhonnêtes” attendront patiemment que les 60 millions de “gens honnêtes” aient préalablement confié leurs états civils, empreintes digitales et faciales, avant que de tenter d’usurper leur identité… ce dont on peut légitimement douter.

Dans les faits, le fichier des “gens honnêtes” n’empêchera donc pas une personne malintentionnée de, par exemple, utiliser un faux passeport, un faux document pour usurper votre identité auprès d’administrations publiques ou d’entreprises privées, comme Nicolas Caproni, consultant en cybercriminalité et sécurité des systèmes d’information, à qui cette mésaventure vient d’arriver, s’en est expliqué.

Seuls les officiers de police judiciaire, enquêtant sur des soupçons d’usurpation d’identité, seront habilités à vérifier l’état civil et les empreintes digitales des personnes inscrites au fichier des “gens honnêtes“. Les gendarmes et policiers, employés d’administration ou d’entreprises privées, qui contrôleront nos papiers sans avoir accès au fichier ne pourront donc pas savoir si le titulaire de la carte d’identité qui leur sera présentée est son détenteur légitime, ou non.

Cette problématique n’a rien d’illusoire, ou d’hypothétique : Le Parisien révélait récemment que plus de 10% des passeports biométriques seraient des faux :

Sur les 7 millions de passeports biométriques en circulation, 500 000 (selon certains criminologues) à 1 million (de source officieuse policière) seraient indûment obtenus.

Ces passeports biométriques avaient pourtant, précisément, été sécurisés en s’adossant à un fichier des empreintes digitales et photographies numérisées de leurs détenteurs. Ironie de l’histoire, ce fichier des titres électroniques sécurisés TES est précisément celui qui sera utilisé pour ficher les “gens honnêtes“…

L’usurpation d’identité est-elle en hausse ?

Les défenseurs de la proposition de loi sur la protection de l’identité parlent de 210 000 usurpations d’identité, par an. Ils oublient de préciser qu’il s’agit d’une estimation issue d’un sondage financé par une entreprise commercialisant des broyeurs de documents, et qui avait donc intérêt à exagérer le nombre d’usurpations d’identité.

Comme l’a résumé François Pillet, rapporteur (UMP) de la proposition de loi, ces données “n’ont pas été scientifiquement établies, le chiffre de 210 000 cas (ayant) été obtenu en suivant une méthode unanimement critiquée (et) d’une fiabilité douteuse“.

L’observatoire national de la délinquance et des réponses pénales (ONDRP) estime de son côté que le nombre de “faux documents d’identité” est passé de 8361 en 2005 à 6342 en 2010, soit une baisse de 24% en 5 ans, chiffres que se sont bien gardés de mentionner Claude Guéant et les partisans du fichier des “honnêtes gens” au Parlement :

Dans le même document, on apprend que la Police de l’Air et des frontières, a comptabilisé, en 2010, “2 670 documents frauduleux français (dont) 1 142 titres de séjour, 216 visas, 651 cartes d’identité, 510 passeports et 151 permis de conduire“.

Fichez les tous !

Ce mercredi, dans une relative discrétion, l'Assemblée nationale a adopté un texte permettant de ficher la quasi totalité ...

Or, Michel Bergue, directeur de projet sur la lutte contre la fraude documentaire et à l’identité au ministère de l’intérieur, auditionné à l’Assemblée, avait de son côté expliqué qu’”environ 80 % des fraudes détectées sont le fait de ressortissants étrangers souhaitant se maintenir irrégulièrement sur notre territoire“. Le Parlement s’apprête donc à voter le fichage de 60 millions de “gens honnêtes” alors que le ministère de l’Intérieur ne sait même pas combien l’on détecte de fausses cartes d’identité, par an, mais que l’on peut néanmoins estimer qu’il ne dépasse probablement pas le millier.

A quoi servira donc ce fichier des “honnêtes gens” ?

Ce même document contient un autre chiffre très intéressant : on y apprend en effet que si le nombre de faux documents administratifs est passé de 8361 à 6342, en 5 ans, “100 757 personnes ont été signalées pour l’utilisation d’au moins deux états civils différents” en 2010, un chiffre en augmentation de 109,9% en 5 ans :

L’ONDRP tient cela dit à préciser que ce chiffre, “calculé à partir du fichier automatique des empreintes digitales” (FAED) et qui correspond au nombre de personnes qui, “placés en garde à vue pour une affaire de crimes ou délits“, auraient déclaré “au moins deux identités“, est probablement surestimé, dans la mesure où il additionne “les usurpations avérées de celles résultant de fautes d’orthographe ou d’erreurs dans l’enregistrement phonétique des identités“.

En attendant, si on peine à comprendre l’intérêt de vouloir enregistrer les empreintes digitales de 60 millions de “gens honnêtes” afin de lutter contre moins d’un millier de fausses cartes d’identité, on comprend par contre l’intérêt de pouvoir exploiter untel fichier centralisé des empreintes digitales afin d’identifier ceux qui déclarent une fausse identité aux policiers, mais qui ne figureraient pas encore dans le FAED.

En février 2011, ce fichier contenait les empreintes digitales de 3,6 millions d’individus “mis en cause“. Le fichier TES, lui, a d’ores et déjà fiché les empreintes digitales, et photos numérisées, de 7 millions de Français. Aucun parlementaire n’a jamais abordé la question de savoir si les empreintes digitales de ceux qui, parce qu’ils ont demandé un passeport biométrique, y sont déjà fichés, pourront être exploitées de façon policière.

A qui profitera ce fichier des “honnêtes gens” ?

Au-delà des services de police judiciaire, les grands gagnants sont les industriels français des cartes à puce, papiers d’identité sécurisés, de la biométrie et des empreintes digitales, comme l’ont d’ailleurs eux-même reconnu, au Parlement, l’auteur de la proposition de loi, tout comme ses deux rapporteurs :

Les principales entreprises mondiales du secteur sont françaises, dont 3 des 5 leaders mondiaux des technologies de la carte à puce, emploient plusieurs dizaines de milliers de salariés très qualifiés et réalisent 90 % de leur chiffre d’affaires à l’exportation.

Dans ce contexte, le choix de la France d’une carte nationale d’identité électronique serait un signal fort en faveur de notre industrie.

Oberthur, Morpho et Gemalto fournissent 70% des programmes nationaux dans le monde avec un capital de plus de 150 références.

Les entreprises françaises sont en pointe mais elles ne vendent rien en France, ce qui les pénalise à l’exportation par rapport aux concurrents américains.

Le sujet engage aussi des enjeux économiques, industriels : la sécurisation des échanges électroniques est un marché (…) Les entreprises françaises, en pointe sur ce domaine, veulent investir le marché français.

Lobbying pour ficher les bons Français

Dans une relative discrétion, l'idée de créer un fichier de 45 à 60 millions de Français honnêtes a reçu un accueil ...

De fait, pas moins de 14 représentants du Gixel, le syndicat des industriels de l’électronique, ont été auditionnés par le rapporteur de la proposition de loi au Sénat, contre seulement 2 représentants du ministère de la justice et 6 de l’Intérieur, 2 de la CNIL et 2 autres du Comité consultatif national d’éthique, et 1 représentant de la Ligue des droits de l’homme.

Le Gixel s’était précédemment illustré en proposant, en 2004, de déployer caméras de vidéosurveillance et bornes biométriques dès l’école maternelle, afin d’y habituer les enfants dès leur plus jeune âge. Partant du constat que ces technologies ont un petit côté “Big Brother“, ils espéraient ainsi gagner les coeurs, et vaincre les peurs, des citoyens, et donc doper leur chiffre d’affaires.

De fait, en 2011, pas moins de 544 établissements scolaires français utilisent des dispositifs de reconnaissance biométrique pour contrôler l’accès de leurs élèves à la cantine. Le Gixel plaide depuis des années pour le déploiement de cette carte d’identité électronique, mais a d’autres pistes de développements industriels en perspective :

- contrôle d’accès en mouvement, coopératif ou non, avec reconnaissance faciale ou de l’iris ;
- reconnaissance à la volée, faciale ou de l’iris, avec capacité à identifier et localiser ;

et, en terme d’amélioration de l’efficacité de la vidéo-protection :
- la caractérisation sémantique d’individus pour la recherche sur signalement ;
- la détection d’événements anormaux ;
- le développement de l’exploitation de caméras mobiles, embarquées ;
- la vision nocturne, la prise en compte des conditions environnementales difficiles.

La reconnaissance biométrique est-elle fiable ?

En avril 2011, le ministre de l’Intérieur des Pays-Bas décidait d’effacer les empreintes digitales stockées de ses ressortissants après qu’une étude ait révélé des taux d’erreurs de 20 à 25% :

Il est devenu clair que l’inclusion des empreintes digitales dans les documents de voyage est qualitativement inadéquat.

A contrario, les autorités indiennes, qui ont notamment confié à la société française Morpho, n°1 mondial des empreintes digitales, le soin de délivrer des papiers d’identité biométriques à plus de 1,2 milliards de citoyens, viennent fièrement d’annoncer qu’elles sont en mesure d’identifier, de façon unique, 99,86% de leurs concitoyens (voir notre enquête : Vérités à biométrie variable).

Pour parvenir à un taux d’erreur acceptable, limiter le nombre de “faux positifs” (personnes identifiées, à tort) et de “faux négatifs” (personnes non identifiées à tort), et attribuer un identifiant unique à ces 1,2 milliards d’Indiens, elles n’ont eu d’autre choix que de recueillir les empreintes digitales des 10 doigts de leur main, mais également photographier leurs deux iris. Aucun parlementaire n’a posé la question de savoir comment, avec deux empreintes digitales seulement, il sera possible de parvenir à un taux d’erreurs acceptable et donc d’identifier, de manière unique, 45 à 60 millions de Français.

La question est d’autant plus brûlante qu’on a d’ores et déjà répertorié plusieurs innocents accusés, à tort, par des “experts” de la police scientifique et technique, d’avoir laissé leurs empreintes digitales sur des scène de crime où ils n’avaient jamais mis les pieds ni, a fortiori, les doigts. La reconnaissance biométrique n’est pas quelque chose de “scientifique“, mais de “statistique“, et ça change tout. Non seulement parce qu’elle ne permet pas de “prouver“, mais seulement de “présumer“, mais également parce que les erreurs (humaines, de calcul, de prélèvement ou de comparaison) et biais (méthodologiques ou statistiques) sont d’autant plus difficiles à déceler et combattre que, pour la majeure partie des gens, les “experts” ont forcément raison, puisque leurs preuves sont “scientifiques“…

On tourne donc en rond. Rajoutez-y le fait qu’il est également possible de falsifier des analyses, de fabriquer des “preuves” ou encore de se doter de “vraies-fausses” empreintes digitales à partir de pâte à modeler, de gélatine, de silicone, de latex ou encore de colle à bois, et la boucle est bouclée. En clair : un quidam mal intentionné pourra ainsi venir s’enregistrer dans le fichier des “gens honnêtes” sous le nom de Nicolas Sarkozy, mais avec les empreintes digitales d’Angela Merkel, François Hollande ou toute autre personne dont il aurait prélevé les empreintes digitales, afin de pouvoir les usurper.

Combien ça va nous coûter ?

Aussi étonnant que cela puisse paraître, en temps de crise et de réduction des dépenses et des déficits publics, et alors que cette proposition de loi a fait l’objet de pas moins de 8 rapports parlementaires, et qu’elle a déjà été débattue 5 fois à l’Assemblée, et 6 fois au Sénat, aucune estimation budgétaire n’a jamais été avancée. Aucun parlementaire n’a jamais posé la question de savoir combien cela va coûter à la collectivité, ni combien cela reviendra aux citoyens qui voudront se doter de cette nouvelle carte d’identité. Étonnant, non ?

Aurait-on pu faire autrement ?

Les Etats-Unis n’ont pas de carte d’identité, et y sont fermement opposés. Au Royaume-Uni, le ministre de l’immigration a détruit, en 2010, les disques durs contenant les empreintes digitales de ceux qui avaient accepté de servir de cobaye au projet, désormais avorté, de carte d’identité. Dans ces deux pays, ce sont les partis politiques de droite qui sont le plus farouchement opposés à l’idée même de carte d’identité, perçue comme une main-mise étatique, et donc une atteinte aux libertés des citoyens.

Les règlements européens obligent certes les pays signataires des accords de Schengen à inscrire les empreintes digitales de leurs concitoyens dans leurs passeports… sauf les Britanniques, les Danois et les Irlandais, qui ont réussi à obtenir des dérogations.

En tout état de cause, aucun règlement n’oblige les Etats membres à créer une base de données centralisée des empreintes digitales et photographies numérisées de leurs concitoyens, cette possibilité ayant été laissée à la libre interprétation des pays signataires. De fait, plusieurs pays ont ainsi préféré opter pour des bases de données décentralisées, ou se sont contenté de stocker les empreintes dans la puce contenue sur les papiers d’identité : sur les 13 pays européens ayant décidé de doter leurs concitoyens de cartes d’identité, seuls 3 (Espagne, Lithuanie et Portugal) auraient opté pour une base de données centralisée.

Est-il possible de bloquer la mise en application de ce fichier des “gens honnêtes” ?

La loi informatique et libertés est claire : un fichier ne peut être détourné de sa finalité première, et il est donc fort possible que la loi soit, à terme, retoquée par le Conseil constitutionnel (si tant est qu’un nombre suffisant de sénateurs et/ou députés intentent un recours au Conseil constitutionnel), le Conseil d’Etat, ou encore par la Cour européenne des droits de l’homme, afin d’interdire l’exploitation policière de ce fichier administratif. Les partisans de cette loi répètent à l’envi qu’il s’agit en effet d’un fichier “administratif“, mais son intitulé, sur le site de l’Assemblée, sous l’en-tête “Police et sécurité“, est pourtant on ne peut plus clair :

Last but not least, et ce n’est pas le moindre paradoxe de ce fichier des “gens honnêtes” : s’il est difficile de mener une vie sociale sans carte d’identité ni passeport, la carte d’identité (tout comme le passeport) n’est nullement obligatoire… et ceux qui en ont déjà une pourront continuer à s’en servir, “même lorsqu’elle est périmée, sous réserve dans ce cas que la photo soit ressemblante“.

En attendant, Claude Guéant n’en aura pas moins ouvert la boîte de Pandore du fichage biométrique généralisé de la population.

Lors des précédents votes, la proposition de loi avait été adoptée par moins d’une quinzaine de députés ou sénateurs. Le parti socialiste a obtenu que la proposition de loi fasse l’objet d’un “vote solennel“. Cela ne changera probablement pas grand chose, mais c’est tout un symbole : ce mardi 6 mars, c’est le dernier jour de la session parlementaire. Il était probablement urgent de voter le fichage des “honnêtes gens“.

Le 13 décembre dernier, une vingtaine de députés ont adopté, en seconde lecture et dans un hémicycle clairsemé, la proposition de loi sur la protection de l’identité visant à créer un “fichier des gens honnêtes” (sic) de 45 à 60 millions de Français. Il servira de socle à la future carte d’identité électronique. Les parlementaires ont également validé la proposition de Claude Guéant de pouvoir se servir de ce fichier à des fins de police judiciaire, alors que le Sénat s’y était pourtant vertement opposé par 340 voix contre (dont 127 sénateurs… UMP) et 4 voix pour.

Véritable serpent de mer, la question de la modernisation de la carte d’identité a été plusieurs fois débattue ces dix dernières années. La Grande-Bretagne et les Pays-Bas ont eux décidé, cette année, d’abandonner ou de geler leurs projets respectifs. D’autres pays, comme les Etats-Unis, n’ont pas de carte d’identité. À contre-courant, le projet français illustre aussi des intérêts stratégiques industriels de la France, comme le reconnaît sans ambages Jean-René Lecerf, le sénateur à l’origine de la proposition de loi :

Les entreprises françaises sont en pointe mais elles ne vendent rien en France, ce qui les pénalise à l’exportation par rapport aux concurrents américains.

Le 31 mai, lors de la discussion au Sénat, Jean-René Lecerf soulignait ainsi que “sur la carte d’identité, nous avons été rattrapés, puis distancés par de nombreux États, dont nombre de nos voisins et amis, au risque de remettre en cause le leadership de notre industrie, qui découvrait alors la pertinence du proverbe selon lequel nul n’est prophète en son pays” (voir Fichons bien, fichons français !).

La liste des personnes entendues par François Pillet, le rapporteur de la proposition de loi au Sénat, montre bien l’ampleur du lobbying dont il a fait l’objet : on y dénombre en effet deux représentants du ministère de la justice et six du ministère de l’Intérieur, deux représentants de la CNIL et deux autres du Comité consultatif national d’éthique, un représentant de la Ligue des droits de l’homme, du Conseil national des barreaux et de l’Observatoire national de la délinquance et des réponses pénales.

Mais pas moins de quatorze représentants du Groupement professionnel des industries de composants et de systèmes électroniques (GIXEL) : trois de Morpho, deux de Gemalto, deux de l’Imprimerie nationale, deux d’Oberthur, deux de ST Microelectronics, un d’Inside Secure, un de SPS Technologies et de Thalès, soit la totalité des 8 membres du groupe cartes à puce du GIXEL. Auquel on ne peut adhérer qu’en déboursant une cotisation forfaitaire de 21 500 euros.

Dans son rapport, François Fillet souligne que les industriels du GIXEL lui ont ainsi fait valoir que “l’absence de projets en France, pays qui a inventé la carte à puce et possède les champions du domaine, ne permet pas la promotion internationale d’un modèle français de gestion de l’identité. Leurs succès à l’international, face à une concurrence allemande ou américaine seront plus nombreux, s’ils peuvent s’appuyer sur un projet concret national“.

Philippe Goujon, le député rapporteur de la proposition de loi à l’Assemblée, évoque lui aussi dans son rapport le lobbying dont il a fait l’objet :

Comme les industriels du secteur, regroupés au sein du groupement professionnel des industries de composants et de systèmes électroniques (GIXEL), l’ont souligné au cours de leur audition, l’industrie française est particulièrement performante en la matière (…) Les principales entreprises mondiales du secteur sont françaises, dont 3 des 5 leaders mondiaux des technologies de la carte à puce, emploient plusieurs dizaines de milliers de salariés très qualifiés et réalisent 90 % de leur chiffre d’affaires à l’exportation. Dans ce contexte, le choix de la France d’une carte nationale d’identité électronique serait un signal fort en faveur de notre industrie.

Menaces pour la France

Dans sa plaquette de présentation (.pdf), le GIXEL, qui se présente comme un “accélérateur d’électronique“, se targue ainsi, au titre des ses “actions spécifiques“, de “préparer la carte nationale d’identité avec l’Administration“.

Un autre document (.pdf) intitulé “France Numérique – L’identité numérique au coeur de l’économie française“, co-signé du GIXEL et de l’Agence nationale des titres sécurisés (ANTS, dépendant du ministère de l’intérieur) et daté de juin 2011, présente la Carte Nationale d’Identité Electronique (CNIe) comme un “projet national (qui) permettra de mieux protéger l’identité des Français et d’accélérer le développement de l’économie numérique tant pour le secteur public que privé” :

Les industriels français sont prêts. L’engagement gouvernemental national officialisé et concrétisé par un projet national constituera la référence indispensable pour concurrencer d’autres initiatives portées par d’autres pays.
L’absence actuelle de projet en France laisse le champ libre à d’autres nations, pour imposer de nouvelles normes, des produits ou des services au détriment des intérêts nationaux français et de son industrie.

Evoquant des “menaces pour la France et son industrie“, les auteurs du document estiment que “l’absence de projet national français donne une force incomparable à d’autres pays, qui forts de leur projet national, mettent leurs industriels en position d’exporter leurs solutions basées sur leur carte d’identité électronique” :

Les Etats-Unis ont entamé une réflexion stratégique sur la gestion des identités. Elle impactera les normes et donnera naissance à des solutions technologiques qui pourraient s’imposer aux delà (sic) de leurs frontières. Les pays qui n’auront pas développé la technologie perdront des marchés de produits et services, des emplois et leur gouvernement, de la TVA.

En l’espèce, les Etats-Unis n’ont pas de carte d’identité, et aucun projet de ce type n’est prévu à l’horizon. L’argument du GIXEL, pour qui l’absence de carte d’identité électronique française porterait atteinte à la France et à son industrie est d’autant plus étonnant que trois des quatre premiers acteurs mondiaux des documents électroniques d’identité et de voyage (passeport électronique, carte d’identité, permis de conduire, carte de santé), sont… français, et qu’ils sont donc particulièrement bien placés pour “imposer aux delà de leurs frontières” leurs normes et solutions technologiques, comme le reconnaît in fine le GIXEL quelques lignes plus bas, cherchant ainsi à vanter “l’expertise unique de l’industrie française” :

Oberthur, Morpho et Gemalto fournissent 70% des programmes nationaux dans le monde avec un capital de plus de 150 références.

544 cantines scolaires

Le GIXEL s’était déjà fait connaître pour avoir proposé de déployer des installations de vidéosurveillance et de biométrie dès l’école maternelle, afin d’habituer les enfants à ne pas en avoir peur, ce qui lui avait d’ailleurs valu de remporter un prix NovLang aux Big Brother Awards. Dans un “Livre Bleu” réunissant les propositions des industries électroniques et numériques, paru en juillet 2004 et présentant les “grands programmes structurants” de la filière, on pouvait en effet lire ce passage proprement orwellien :

La sécurité est très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles. Il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéosurveillance et les contrôles.

Plusieurs méthodes devront être développées par les pouvoirs publics et les industriels pour faire accepter la biométrie. Elles devront être accompagnées d’un effort de convivialité par une reconnaissance de la personne et par l’apport de fonctionnalités attrayantes :

• Éducation dès l’école maternelle, les enfants utilisent cette technologie pour rentrer dans l’école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s’identifieront pour aller chercher les enfants.
• Introduction dans des biens de consommation, de confort ou des jeux : téléphone portable, ordinateur, voiture, domotique, jeux vidéo
• Développer les services « cardless » à la banque, au supermarché, dans les transports, pour l’accès Internet, …

La même approche ne peut pas être prise pour faire accepter les technologies de surveillance et de contrôle, il faudra probablement recourir à la persuasion et à la réglementation en démontrant l’apport de ces technologies à la sérénité des populations et en minimisant la gène occasionnée.

Ce même Livre Bleu tenait à préciser que “l’effort pour lutter contre le terrorisme doit être comparé à un effort de guerre comme celui que nous avons consenti pendant la période de guerre froide” et que, en terme d’enveloppe budgétaire, “l’importance de l’enjeu est tel qu’un effort de R&D publique et industrielle comparable en proportion du PIB à celui consenti pour construire la force de dissuasion française de 1958 à 1980 et le soutien à l’industrie correspondant serait une réponse proportionnée au problème“.

Interrogé sur cette diatribe militaire, Pierre Gattaz, fils d’un ancien patron du CNPF, et président du GIXEL, expliqua que qu’”on est de toute façon parti pour augmenter tout ce qui est contrôle de sécurité, de transport, d’identification…, on le voit bien avec les passeports numériques, avec les cartes d’identité ou de santé, où il y a toujours des cartes à puce avec des informations biométriques” :

Nous ne sommes pas là pour savoir si c’est trop ou pas assez, nous sommes avant tout des industriels et nous mettons en place les systèmes et équipements pour servir la police, la justice, et l’armée.

A défaut de savoir si la police, la justice, et l’armée ont bien été servis par le GIXEL, force est de constater que les écoles, elles, sont envahies : six ans seulement après la parution du Livre bleu, 544 établissements scolaires, en France, utilisent des systèmes de reconnaissance d’empreintes biométriques palmaires dans leurs cantines scolaires. Ils étaient 333 en novembre 2009.

Au vu de l’explosion du nombre de demandes, et afin d’éviter d’avoir à les traiter au cas par cas, la CNIL a en effet créé, en 2006, un dispositif d’autorisation unique permettant aux chefs d’établissement de déclarer l’installation de tels systèmes biométriques. Il leur est interdit d’utiliser des systèmes de reconnaissance des empreintes digitales, au profit de la reconnaissance du contour de la main, moins intrusif, et ils doivent fournir un système alternatif à ceux qui refusent la biométrie.

Utilisation massive

Dans un autre rapport intitulé “2012 – 2017 : Le temps de l’ambition“, récemment publié par la Fédération des industries électriques, électroniques et de communication (FIEEC), dont le GIXEL fait partie, on découvre que la filière a de son côté inscrit, dans la liste de leurs “objectifs à 5 ans” le fait de “revoir le corpus législatif pour permettre l’utilisation massive des outils d’identification électronique” et de “déployer la carte d’identité électronique de façon massive” :

• Avoir revu le corpus législatif pour permettre l’utilisation massive des outils d’identification électronique tout en garantissant les libertés publiques, en lien avec la Commission Nationale Informatique et Liberté (CNIL).
• Généraliser les outils numériques de gestion et de suivi des flux physiques (marchandises, ports, aéroports, etc.).

La mesure clé à mettre en oeuvre :
Lancer des programmes massifs d’équipements d’outils de sécurité numérique, notamment pour la sphère publique.

Des exemples / pistes de réflexion

• Sécurité des personnes : déployer la carte d’identité électronique de façon massive.
• Bâtiments : généraliser les outils de sécurité électronique pour les bâtiments publics, Etat, administrations, collectivités locales.

L’Alliance pour la confiance numérique (ACN), créée par la FIEEC pour “représenter l’industrie de la confiance numérique, en particulier, auprès des pouvoirs publics” et qui réunit notamment Bull, Safran Morpho, Thalès, Orange, Gemalto, Cassidian, CS ou encore la Caisse des dépôts, “se propose d’être l’interlocuteur privilégié sur les questions de sécurité numérique” :

Une très grande partie des outils et des technologies de la sécurité existe déjà et la France a des atouts industriels et de service pour prendre un leadership mondial sur ce marché. En revanche, (…) si peu de marchés de sécurité s’ouvrent en France c’est parce que le sujet a du mal à émerger au niveau des décideurs de manière structurée. Il est nécessaire de développer un marché structuré et solvable.

Dans son dossier de presse (.pdf), l’ACN déplore ainsi que la France adopte souvent “des solutions étrangères alors que la France est très bien placée pour les fournir et les exporter grâce à des technologies reconnues : biométrie, carte à puce, systèmes d’identification ou encore détection d’activité pour la sécurité“.

Elle plaide ainsi, elle aussi, pour le “déploiement effectif, à court terme, de la Carte Nationale d’Identité Electronique“, qualifié de “proposition majeure“, et cite, entre autres “exemples d’apport du numérique“, un certain nombre de “solutions (qui) devront maintenir l’équilibre entre les contraintes perçues comme acceptables par la société et les opérateurs, et le besoin d’augmenter le niveau de sécurité” :

 contrôle d’accès en mouvement, coopératif ou non, avec reconnaissance faciale ou de l’iris ;
 reconnaissance à la volée, faciale ou de l’iris, avec capacité à identifier et localiser ;
et, en terme d’amélioration de l’efficacité de la vidéo-protection :
 la caractérisation sémantique d’individus pour la recherche sur signalement ;
 la détection d’événements anormaux ;
 le développement de l’exploitation de caméras mobiles, embarquées ;
 la vision nocturne, la prise en compte des conditions environnementales difficiles.

Isabelle Boistard, qui fut déléguée au développement du Gixel pendant 11 ans, est aujourd’hui chef de service chargée des affaires économiques à la FIEEC. Elle figure également dans la “liste des représentants d’intérêts” (en clair, des lobbyistes) sur le site de l’Assemblée nationale, tout comme sur celui du Sénat, au titre de déléguée générale de l’ACN, où elle représente également ATT, Bull, Cassidian, CS, France Télécom Orange, IBM, Id3, Gemalto, Keynectis, Morpho, PrimX, Radiall, SAP, Siemens, STS, Thales, Xiring. Yves Legoff, délégué général du Gixel, y représente quant à lui Gemalto, Imprimerie nationale, Inside Secure, Oberthur Technologies, Sagem Morpho, SPS, STMicroelectronics, et Thales Security Systems.

Retrouvez les articles de la Une “Fichage des gens honnêtes” :

Takkiedine et Safran fichent la France et la Libye
Vers un fichage généralisé des gens honnêtes
Morpho, numéro 1 mondial de l’empreinte digitale

Un employé du ministère des affaires sociales l’avait copié sur son ordinateur personnel en 2006, puis confié à un ami, qui le vendit à un professionnel du commerce des fichiers clients, qui demanda à un informaticien d’en développer un logiciel. Ce dernier, Agron 2006, qui permettait de cartographier les liens familiaux des Israéliens, fut mis à la vente, par téléchargement, surun site web par un autre informaticien, puis rendu disponible sur les réseaux P2P.

L’information a été révélée, la semaine dernière, par l’Israël Law, Information and Technology Authority (ILITA), l’autorité de protection des données personnelles israéliennes, dont l’enquête a conduit à l’arrestation de six suspects, dont le voleur présumé, Shalom Bilik, ainsi que Meir Leiver, le responsable du site qui expliquait comment se procurer la base de données, et utiliser le logiciel.

L’ILITA, qui a récupéré 6 terabytes (6 000 Gigabytes) de données, et qui a découvert à cette occasion que d’autres fichiers avaient eux aussi été volés, dont une base de données d’enfants adoptés, des données issus des fichiers électoraux, et des données relatives à la sécurité nationale a également mis en ligne deux étonnantes vidéos afin d’expliquer ce qui s’est passé :

Le ministre de la Justice s’est inquiété des risques de fraudes et d’usurpation d’identité qui pourraient en découler. Michael Eitan, ministre de l’amélioration des services publics, a quant à lui appelé dans la foulée le gouvernement à abandonner son projet de création d’une base de données biométriques des Israéliens :

De fausses promesses ont été faites quant à la sécurité hermétique de la base de données. Qui pourra nous assurer que des employés mécontents ne distribueront pas nos empreintes digitales et photographies ?

Tout comme le registre de la population, ou n’importe quelle autre base de données, elle sera elle aussi piratée. Ce n’est qu’une question de temps.

Le projet de modernisation des passeports et cartes d’identité, entraînant la création d’une base de données des empreintes digitales et photographies numérisées des Israéliens avait été adopté, mais son lancement, reporté durant deux ans, est prévu pour la fin du mois de novembre.

Mais pour Eitan, qui accuse le gouvernement de fabriquer une “bombe à retardement” les bases de données biométriques “sont aussi dangereuses qu’une centrale nucléaire : une fuite de données biométriques pourraient causer des dommages irréversibles qui pourraient prendre des décennies à être réparés“.

Eitan plaide à ce titre pour une utilisation raisonnée des données biométriques (empreintes digitales et photographies numérisées) qui ne devraient être présentes que dans le titre d’identité, afin de s’assurer de celle de son détenteur, et pas centralisées dans une base de données.

Un fichier de 45 millions de “gens honnêtes”

En France, le projet de carte d’identité électronique, adopté en seconde lecture ce 3 novembre au Sénat, propose lui aussi de centraliser les données biométriques numérisées (état civil, adresse, taille et couleur des yeux, empreintes digitales, photographie) au sein d’un fichier de 45 millions de “gens honnêtes“ (selon l’expression employée par le rapporteur).

Mais les sénateurs ont rejeté à une écrasante majorité (340 des 344 suffrages exprimés) l’amendement du gouvernement visant à permettre aux policiers d’utiliser le fichier des “gens honnêtes” au motif, résumé par François Pillet, le rapporteur (UMP) de la proposition de loi, qu’ils ne voulaient pas “laisser derrière nous un fichier qui pourra être transformé en outil dangereux et liberticide“, et se voir reprocher, à l’avenir, d’avoir identifier le risque, mais de ne pas avoir protéger les générations futures :

Je ne veux pas qu’ils puissent donner mon nom, ou le vôtre, à ce fichier.

Seuls 4 sénateurs UMP, Michel Houel, Jean-René Lecerf, Catherine Procaccia et Catherine Troendle ont suivi la consigne de Claude Guéant, les 127 autres sénateurs UMP votant contre la proposition du gouvernement. Etrangement, Jean-Louis Masson, connu pour vouloir mettre un terme à l’anonymat sur le Net, et Alex Türk, l’ancien président de la CNIL se sont, eux, abstenus.

Dans la foulée, les sénateurs ont également adopté un article précisant que le fichier ne comportera pas de “dispositif de reconnaissance faciale à partir des images numérisées du visage qui y sont enregistrées“. La proposition de loi devra désormais être adoptée en deuxième lecture par les députés.

A l’Assemblée, le gouvernement avait proposé de permettre aux policiers de s’en servir “hors de toute réquisition judiciaire“… et alors même que le Conseil d’État, la CNIL et la Cour européenne des droits de l’homme se sont d’ores et déjà prononcés contre ce type de fichage biométrique généralisé de personnes innocentes de tout crime ou délit.

Voir aussi les deux autres volets de mon enquête sur le lobby qui pousse à l’adoption de ce projet de loi, les leaders mondiaux des empreintes digitales et des titres d’identité sécurisés étant français :
Vers un fichage généralisé des “gens honnêtes“
Morpho, n°1 mondial de l’empreinte digitale
Fichons bien, fichons français

Ce jeudi 20 octobre, le Tribunal administratif se penchera sur le cas du commandant Philippe Pichon, exclu de la police nationale le 20 mars 2009 par arrêté de la ministre de l’époque Michèle Alliot-Marie, pour avoir évoqué plusieurs pratiques illicites en vigueur dans la police. Et en particulier pour avoir osé dénoncer les dysfonctionnements du Système de traitement des infractions constatées (STIC).

Pichon, qui entend bien retrouver tous ses droits, conteste le bienfondé de l’arrêté ministériel. Et la juridiction administrative lui a, dans un premier temps, accordé le bénéfice du doute en ordonnant sa réintégration provisoire ; dans l’attente de cette audience de jeudi, consacrée au fond du dossier.

Outre un essai décapant publié en 2007 chez Flammarion, “Journal d’un flic”, son administration lui reproche surtout d’avoir mené campagne contre ce STIC. Véritable “casier judiciaire bis” truffé d’erreurs et de données obsolètes, et dans lequel un certain nombre de policiers viennent piocher des infos en dehors de tout cadre légal. Le STIC fiche pas moins de 5 millions de suspects et 28 millions de victimes, soit plus de la moitié de la population française.

Après avoir plusieurs fois alerté sa hiérarchie, en vain, sur ces dysfonctionnements, ayant même “évoqué la possibilité de s’en ouvrir à la presse ou dans un cadre universitaire“, Philippe Pichon aurait confié les fiches STIC de Jamel Debbouze et Johnny Halliday à un journaliste qui les lui avait demandées afin d’en démontrer le peu de sérieux – c’était dans la foulée du scandale autour du fichier EDVIGE. Et le site Bakchich.info les publia dans un article intitulé “Tous fichés, même les potes de Nicolas Sarkozy“.

Traçabilité de l’approximation

Si le STIC se révèle une encyclopédie de l’approximation et de l’erreur policière, cependant, il était déjà interconnecté à un dispositif permettant de tracer l’accès à ses registres. Permettant alors d’identifier pas moins de 610 fonctionnaires ayant interrogé le STIC au sujet de Djamel et 543 au sujet de Johnny. 24 fonctionnaires ayant imprimé la fiche de l’humoriste et 16 celle du chanteur. L’épisode avait entraîné l’ouverture d’une autre procédure, pour violation du secret professionnel, confiée elle à un juge d’instruction.

Qui reçut des explications claires de Philippe Pichon, vite suspecté. Celui-ci expliqua son “geste citoyen” en raison des nombreux dysfonctionnements du STIC, au sujet desquels il avait plusieurs fois alerté sa hiérarchie, en vain. Dans son ordonnance de renvoi, qu’OWNI a pu consulter, le juge écrit d’ailleurs que le fichier :

a été unanimement critiqué et l’est encore notamment par la CNIL qui avait relevé de singulières défaillances et avait émis 11 recommandations (…) Il appartiendra au Tribunal de se prononcer en tant que Juge du fond sur la légalité de l’acte administratif réglementaire ayant présidé à la création du STIC.

Le renvoi de Philippe Pichon devant le Tribunal correctionnel, pour violation du secret professionnel, accès frauduleux à un système automatisé de données et détournement d’informations à caractère personnel, a quant à lui été fixé au 22 mai 1012. C’est là que, par souci de cohérence, les magistrats pourraient se pencher sur la légalité du STIC.

D’ici là, il semble peu probable que le Tribunal administratif prenne le risque, ce jeudi, de confirmer l’expulsion du commandant Pichon. Lequel pourrait bien être traité en héros, au mois de mai, lorsque le débat portera sur le sérieux et la légalité de ce STIC.

Créé en 1994, légalisé en 2001, le STIC a fonctionné en violation de la loi informatique et libertés pendant six ans. Lorsque la CNIL fut enfin autorisée à le contrôler, ses découvertes la conduisirent “à faire procéder dans 25 % des cas à des mises à jour, ou même à la suppression de signalements erronés ou manifestement non justifiés” :

Par exemple, une personne signalée par erreur comme auteur d’un meurtre, ou encore un enfant de 7 ans signalé dans le STIC pour avoir jeté des cailloux sur un véhicule…

En 2008, la CNIL constata un taux record de 83% d’erreurs dans les fiches STIC qu’elle fut amenée à contrôler. Et, au terme d’une enquête approfondie de plus d’un an, la CNIL estima que plus d’un million de personnes, blanchies par la justice, étaient toujours fichées comme suspectes dans le STIC…

Après une succession de réformes visant à étendre la liste des fichiers, la gamme des informations collectées et la durée de conservation des données, la lecture des articles de la LOPPSI 2 (art. 11 et suivants) consacrés au sujet déclenche de prime abord un sentiment de soulagement. Hormis l’extension du champ d’application des fichiers d’analyse sérielle aux infractions contre les biens punies de cinq ans d’emprisonnement (au lieu de sept ans précédemment), le texte se contente d’intégrer dans le code de procédure pénale, sans modification particulièrement liberticide, les dispositions de la loi du 18 mars 2003 encadrant jusqu’alors la matière.

Au crédit du législateur, il faut même reconnaître que la loi renforce les dispositifs de contrôle et d’apurement. Compte tenu de la surcharge de travail des parquets, nombre de suites judiciaires favorables aux personnes mises en cause (classement, relaxe, etc.) ne sont jamais transmises aux forces de police pour que les fiches soient modifiées ou supprimées. Seuls 21,5 % des classements pour insuffisance de charges ou infraction mal caractérisée, 0,47 % des décisions de non-lieu, 6,88 % des acquittements et 31,17 % des relaxes ont été transmis aux services de police pour rectification en 2007 (CNIL, Conclusions du contrôle du STIC, 2009, p. 17 et s.).

Lorsque la LOPPSI 2 entrera en vigueur, les procureurs de la République auront pour obligation de procéder aux demandes d’effacement ou de rectification, et ce dans un délai d’un mois. Au niveau national, un magistrat sera parallèlement nommé pour contrôler et assurer la mise à jour des fichiers. Il pourra agir d’office ou à la demande de particuliers, disposera d’un accès direct aux traitements, d’un pouvoir de rectification et d’effacement des données.

Autre modification, la requalification judiciaire des faits (par exemple un vol aggravé en vol simple), qui est de droit, ne supposera plus une demande préalable de la personne concernée.

Le parquet pourra toujours s’opposer discrétionnairement à l’effacement des données en cas de relaxe, d’acquittement, de non-lieu ou de classement, ce qui pose évidemment problème dans un État de droit qui n’a pas (encore ?) renoncé au principe essentiel de la présomption d’innocence. Néanmoins, la personne devra en être avisée. Le nouvel article 230-8 du C.P.P. précise également que les données conservées malgré l’absence de condamnation pénale ne peuvent être consultées à l’occasion des enquêtes de moralité préalables au recrutement de certains professionnels (policiers, magistrats, agents privés de sécurité, etc.).
Le gouvernement et les parlementaires auraient-ils enfin pris la mesure des exigences citoyennes de protection des libertés fondamentales, telles qu’elles se sont manifestées en 2009 lors de la fameuse polémique « EDVIGE » ? On peut en douter et même s’interroger sur la stratégie poursuivie par les pouvoirs publics.

Renforcer l’acceptabilité des fichiers

Malgré les avancées positives de la loi d’orientation, il est peu probable que les magistrats aient les moyens d’effectuer convenablement leur mission d’apurement. Les contrôles et rectifications sont pour l’instant plus théoriques qu’effectifs, même s’ils devraient s’accentuer suite à l’installation progressive du logiciel Cassiopée dans les juridictions. Les parquets ne disposent pas de terminaux d’accès aux fichiers policiers, accès pourtant expressément prévu par la loi du 18 mars 2003. Il faudra également plusieurs décennies, sinon plusieurs siècles, pour que l’unique magistrat chargé d’assurer la mise à jour des fichiers épuise le stock des enregistrements inexacts ou incomplets (plus d’un million de fiches).
Un suivi attentif des réformes en cours démontre par ailleurs que les pouvoirs publics n’ont pas l’intention de bouleverser l’économie générale de la législation applicable, bien au contraire. Alors que la LOPPSI 2 offrait l’occasion de refondre entièrement la matière, les parlementaires s’apprêtent à modifier la loi informatique et libertés dans un texte parallèle, mais dont la médiatisation est moindre. De là à penser que les garanties judiciaires offertes par la très médiatique LOPPSI 2 visent à renforcer l’acceptabilité des fichiers, pour faciliter dans un second temps la réception de nouvelles dispositions liberticides, il n’y a qu’un pas.

Suite à un amendement de J.-A. Bénisti (UMP), la proposition de loi de simplification et d’amélioration de la qualité du droit, adoptée en deuxième lecture par l’Assemblée nationale le 9 février 2011 et renvoyée devant le Sénat, valide la création de la plupart des fichiers de police par arrêté ou par décret en Conseil d’État lorsqu’ils contiennent des données « sensibles » (origine ethnique, orientation sexuelle, opinions politiques, etc.). En 2009, dans un rapport consacré à la question, le même Bénisti avait pourtant précisé que « l’équilibre fragile, qu’il convient de trouver entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles de tout citoyen, nécessite l’intervention et le contrôle du Parlement ».

Passer outre l’intervention du législateur

Pour justifier son revirement, ce député rétorquera sans doute que les parlementaires ont eu pour seul objectif d’encadrer davantage les prérogatives de l’exécutif. Ils entendent effectivement insérer à l’article 26 de la loi informatique et libertés une liste de finalités qui seules pourraient justifier la création par voie réglementaire de traitements qui intéressent la sécurité publique, la prévention, la recherche, la constatation ou la poursuite des infractions pénales (art. 29 bis de la proposition de loi). Pour passer outre l’intervention du législateur, il suffira toutefois au gouvernement de puiser dans la longue liste de finalités, composée de douze motivations quelque peu imprécises (prévention des infractions, centralisation des informations destinées à informer le gouvernement afin de prévenir les atteintes à la sécurité publique, etc.).
Cette proposition de loi autorise également les procureurs de la République à faire état d’informations visées dans les fichiers d’antécédents à l’occasion d’une comparution immédiate (article 29 nonies). Cette réforme aurait le mérite d’encadrer les pratiques officieuses constatées dans quelques juridictions, et de porter à la connaissance de la défense l’utilisation des fiches STIC dans le processus pénal.

Elle aurait toutefois pour effet de cautionner des pratiques attentatoires à la présomption d’innocence. Permettre au parquet d’utiliser ce casier judiciaire parallèle pour décider de l’opportunité des poursuites, choisir telle voie procédurale ou fixer la peine requise à l’audience conduirait à faire peser sur le mis en cause une présomption de culpabilité, fondée sur des faits antérieurs à ceux poursuivis et n’ayant pas donné lieu à condamnation. De tels procédés montrent qu’une simple suspicion suffit désormais à transformer les « clientèles policières » en délinquants avérés, au mépris de l’exigence d’un jugement sur la culpabilité. Une nouvelle fois, le prétendu « droit à la sécurité » tend à supplanter le « droit à la sûreté », dont il n’est pourtant qu’une déclinaison. Au nom d’un principe de précaution perverti, d’un contrôle et d’une neutralisation préventive des populations présumées dangereuses, l’État de droit se plie chaque jour davantage au règne de l’arbitraire.

—

Billet initialement publié sur le site Délinquance, justice et autres questions de société

Images Flickr a_leste

Déjà critiqué par l’ONU, le fichier Base Élèves vient d’être une nouvelle fois remis en cause lors d’une audience publique qui s’est déroulé mercredi dernier au Conseil d’État. Cette audience constituait la première étape d’un recours en annulation engagé par deux Isérois, Vincent Fristot, un parent d’élève, et Mireille Charpy, une ancienne directrice d’école, soutenus par des syndicats (PAS 38 UDAS et SNUipp 38) et la Ligue des Droits de l’Homme (LDH). Comme tous les membres du collectif national de résistance à Base Élèves (CNRBE) parents d’élèves, professeurs, syndicats…, ils s’inquiètent des dérives du fichage scolaire, en l’occurrence les fichiers ministériels « Base élèves premier degré » (BE1D) et la « Base nationale des identifiants élèves » (BNIE), mis en œuvre en 2004, auxquels les directeurs d’école ne peuvent déroger sous peine de sanctions. Ils ont donc décidé de tenter de les faire invalider. Le résultat de cette audience les conforte dans le bien-fondé de leur démarche, en mettant à mal les louables intentions affichées officiellement :

“L’application informatique ”Base élèves premier degré” permet la gestion administrative et pédagogique des élèves de la maternelle au C.M.2 dans les écoles publiques ou privées. Elle facilite la répartition des élèves dans les classes et le suivi des parcours scolaires et améliore le pilotage académique et national.” [Elle] “ne comporte pas d’informations sur la nationalité et l’origine des élèves et de leurs responsables légaux, la situation familiale, la profession et la catégorie sociale des parents, l’absentéisme, les besoins éducatifs particuliers, la santé des élèves, les notes et les acquis de l’élève”

A contrario, le rapporteur public a en effet énoncé plusieurs points allant dans le sens du collectif :

Demande d’annulation de la décision initiale de créer BE, mise en œuvre prématurée avant récépissé de la CNIL, collecte illégale de données sur la santé, annulation de l’interdiction du droit théorique d’opposition des parents, caractère « excessif » de la durée de conservation des données de la Base Nationale des Identifiants Elèves (35 ans)

Toutefois, les opposants reste prudent : “Le « rapporteur public », en droit administratif, est un magistrat qui « expose publiquement, et en toute indépendance, son opinion sur les questions que présentent à juger les requêtes et sur les solutions qu’elles appellent». À ce stade, ses conclusions ne présagent donc en rien des décisions finales du Conseil d’État — qui devraient être connues d’ici environ trois semaines. D’autant que certaines de ses conclusions proposent de donner un délai de quatre mois au ministère de l’Éducation pour essayer de régulariser la situation.”

En clair, le Conseil d’État n’est pas obligé de suivre ce jugement sévère et peut opter pour la clémence. Ou l’invalidation n’est pas forcément suivie d’un nouveau texte totalement satisfaisant, comme le rappelle, dubitatif, un proche du collectif : “Ils nous ont déjà fait le coup avec le fichier ELOI, invalidé puis réécrit, le fichier existe donc toujours.” Cet activisme avait tout de même conduit à une base plus soft. En sera-t-il de même dans ce cas ?

Mireille Charpy voit dans cet avis “une confirmation de l’illégalité des bases, depuis six ans. Ce dossier montre la façon dont sont élaborés les fichiers, dans l’opacité. Si nous n’étions pas allés au bout, les inspecteurs, les académies, auraient continué de dire qu’il n’y avait pas de base nationale. J’espère un sursaut pour que l’on revienne à des données internes aux établissements et à des remontées anonymes pour les statistiques.”

Fichiers d’une ampleur inédite

C’est surtout l’ampleur inédite et les dérives de l’utilisation de ces fichiers qui justifient l’action du collectif : “Il ne s’agit pas de fichiers scolaires mais de fichiers de tous les enfants et de leur famille – et même, des coordonnées de leurs proches- et d’une nouvelle immatriculation qui permet, par le jeu d’un identifiant unique pour 35 ans et de collectes dans différents fichiers, de rassembler un nombre impressionnant de renseignements dès 3 ans, détaille Mireille Charpy. Les dangers de ce fichage sont bien réels puisque les données sont déjà largement exploitées : géolocalisation de toutes les adresses des bases élèves en cours, interconnexions de fichiers avec d’autres administrations, orientation des élèves par des systèmes automatiques, enregistrement électronique des compétences qui comportent, sous la forme 1-0, les connaissances, les manières d’être et donc les difficultés, les incidents de parcours. Ces fichiers conduiront aux CV électroniques préparés par quelques grosses entreprises depuis une dizaine d’années. Nous avons donc pris un tournant considérable dans un fichage dont la Base élèves et cette nouvelle immatriculation des personnes dès trois ans sont les premières pierres.”

En 2008, suite à la mobilisation du CNRBE, des données sensibles -profession et la catégorie sociale des parents, la situation familiale de l’élève, l’absentéisme signalé et données relatives aux besoins éducatifs particuliers- avaient déjà été retirées par le ministre de l’Éducation d’alors, Xavier Darcos. Des corrections insuffisantes avaient expliqué le collectif.

En parallèle de cette action, 2100 parents d’élèves ont porté plainte contre X, la seule procédure possible en l’absence de class action en France.

Au même moment, en Grande-Bretagne, Nick Clegg, le nouveau vice-premier ministre, a annoncé lors de son premier discours de politique générale la suppression de ContactPoint, une base centralisée fichant les 11 millions d’élèves anglais mineurs, annonçant son intention de mettre un terme à la société de surveillance.

—

À lire : le communiqué intégral du communiqué de CNRBE sur leur site ; Le fichier des enfants préoccupent l’ONU chez Bug Brother ; Quand le fichage des enfants jongle avec la loi chez # numéro lambda #

Image CC Flickr andy in nyc

Ce vendredi 12 mars met en avant lors de la journée mondiale de lutte contre la cyber-censure, la bataille pour la liberté d’information. Depuis que le Net s’ouvre au monde, les pays les moins démocratiques ou ceux se prétendant démocratiques tendent à renforcer le contrôle sur l’information. Face à ces états censeurs, dictatoriaux ou fut un temps réellement démocratiques, il appert que la capacité de mobilisation des net-citoyens, des anarnautes, des tenants de la Netopie, s’accroît en faisant tomber les frontières des états.

Chaque citoyen soumis à la censure ou que les états veulent faire taire devient un relais d’informations permettant au monde entier d’être mis face aux dérives des régimes autoritaires, il n’est qu’à penser à la Révolution Twitter en Iran… Malheureusement, quelques rares pays, la Corée du Nord, la Birmanie, le Turkménistan voire Cuba coupent totalement l’accès au Web prétextant un manque de moyens techniques et un moindre développement des infrastructures. De fait, nous assistons à une explosion du marché noir des télécommunications, notamment à Cuba, en Chine ou en Corée du Nord…

Le marché de la construction des prisons devrait aussi s’accroître puisque près de 120 blogueurs, internautes, cyberdissidents sont enchristés pour avoir eu la désobligeance de s’exprimer librement.

- Au Maroc, pays ami de la France, le délicieux Mohammed 6, pire encore que son père, mais n’ayant pas encore systématisé la surveillance du Web, maintient en détention un blogueur et un propriétaire de cybercafé pour avoir permis la publication ou publié des propos anti-Mohammed 6, notamment sur la répression d’une manif ayant mal tourné.

- Adnan Hadjizade et Emin Milli, blogueurs Azerbaïdjanais sont sous les verrous pour avoir tourné en dérision les autorités locales et les avoir ridiculisé dans une vidéo sur You Tube.

- Au Yémen, quatre journalistes sont actuellement derrière les barreaux pour des raisons similaires…

Et la liste pourrait être longue encore des exactions commises sous couvert politique. RSF publie donc ce rapport à l’occasion de cette journée de lutte et rallonge également la liste des pays ayant mis le Web sous surveillance : la Turquie et la Russie en font dorénavant partie.

Si seuls les régimes autoritaires étaient initiateurs de cette surveillance du Web, les pays libres les rejoignent et les moyens de surveillance évoluent. Censure et intimidations, pressions étatiques et légales se démultiplient… 60 pays censurent « officiellement » le web en 2009, soit deux fois plus en qu’en 2008…

Filtrage, fichage, fermeture de blogs, de sites de dissidents, d’opposants aux régimes de ces 60 pays… les moyens techniques se mettent au service de la volonté de faire en sorte que le Web la ferme purement et simplement. Arrestation torture, intimidation des journalistes, des dissidents, des blogueurs, des entourages (notamment au Maroc), des familles…

RSF précise que « Les plus grandes prison du monde pour les net-citoyens sont la Chine, largement en tête avec 72 détenus, suivie du Viêt-nam et de l’Iran, qui ont lancé ces derniers mois des vagues brutales d’arrestation. »

Quand la démocratie censure…

Si l’on évoquait jusqu’alors les dictatures, monarchies absolues et autres régimes staliniens, ceux-ci ne sont pas les seuls à vouloir surveiller le Net. La Corée du Sud tente de mettre un terme à l’anonymat sur la toile, l’Australie est en train de se doter d’un système de filtrage total du Web.

Au niveau supranational, les discussions actuelles menées sous secret défense par 39 états ne vont guère aller dans le sens des anarnautes, des opposants. ACTA destinés à lutter contre la contrefaçon se négocie sans la moindre concertation avec les ONG, sans aucun rapprochement avec les acteurs du Web. La Communauté européenne à beau s’opposer à cette confidentialité par un vote très largement majoritaire, les passions ne s’apaisent pas face à un accord qui pourrait instaurer la surveillance du Web dans 39 pays dont on prétend qu’ils sont démocratiques. Ces mesures liberticides potentielles passeraient par un filtrage du Net sans qu’aucune décision de justice n’ait à être prise.

Les législations répressives sont de plus en plus systématiques : Jordanie, Irak, Kazakhstan, Australie, Grande-Bretagne, France… cette liste est longue et peut inquiéter… Voir accoler dans une même liste des états totalitaires et des démocraties ne laisse guère planer de doutes quant aux volontés de contrôle que tout état veut sur cet espace de liberté qu’est le Web.

Face à ces volontés sécuritaires, le rapport de RSF précise cependant que « En Finlande, le décret n°732/2009 fait de l’accès à Internet un droit fondamental pour tous les citoyens. En vertu de ce texte, chaque foyer devra bénéficier d’une connexion d’au moins 1 mégabit par seconde au 31 juillet 2010. D’ici 2015, elle devra être d’au moins 100 mégabit par seconde. De son côté, le Parlement islandais examine à l’heure actuelle une proposition de loi ambitieuse, “Icelandic Modern Media Initiative” (IMMI), destinée à protéger les libertés sur Internet, en garantissant la transparence et l’indépendance de l’information. Si elle est adoptée, l’Islande deviendrait un paradis cybernétique pour les blogueurs et les citoyens journalistes »

Les blogueurs s’associent…

Partout sur la planète Web, les associations de blogueurs se développent en cyber-mouvements de lutte, d’échanges de fichiers, de techniques permettant aux iraniens d’utiliser des proxies destinés aux dissidents chinois, etc. Idem dans les 60 pays de la liste RSF… la résistance sur le Web s’organise. Et la résistance, ça marche ! En Russie, le média le plus libre est le Net, en Italie, on n’en est pas loin malgré les tentatives de Berlusconi de faire taire les blogueurs opposants, en France non plus, nous n’en sommes pas très loin ! RSF précise aussi que « L’Arabic Network for Human Rights Information estime à 10 000 le nombre de blogs actifs, en arabe et en anglais, dans le pays. ». Les trônes dictatoriaux se fragiliseront… gageons le.

Cette journée de lutte contre la cyber-censure ne doit en aucun cas être une mobilisation d’une journée, elle doit être un combat de chaque jour où les démocrates, à défaut des démocraties, doivent soutenir les dissidents, les opposants enchristés pour avoir voulu défendre leurs libertés fondamentales, leur liberté d’expression.

Photo par Cayusa (CC-by-nc)