J’ai récemment renouvelé ma carte nationale d’identité (CNI), dont la nouvelle version au format carte bancaire contient des données biométriques (photo, empreintes digitales). Je viens d’apprendre que j’avais la possibilité de m’opposer au stockage des empreintes dans le Fichier des titres électroniques sécurisés (TES), par exemple pour me protéger d’un possible futur piratage de ce fichier (et donc de ses empreintes). Je n’ai pas vu/été prévenu de cette possibilité.

Comment on peut s’opposer

Selon la CNIL, on ne peut pas s’opposer à ce que les empreintes soient numérisées pour être stockées dans la carte. Par contre on peut s’opposer à ce qu’elles soient stockés dans le TES. Une fois dans le fichier, nulle possibilité de demande de suppression: elles y seront stockées pendant 20 ans.

Pourquoi refuser

Les cyberattaques se multiplient (sites de commerces, télécoms, assurances…). Les données des personnes se font de plus en plus piller. Je pense qu‘un piratage du TES n’est pas à exclure. Ni son utilisation par des policiers hors de tout cadre légal (comme les fichiers policiers actuels sont déjà consultés dans un but personnel). Or, si on peut changer de numéro de téléphone ou de compte bancaire, il est impossible de changer ses empreintes digitales.

N’avoir les empreintes digitales que sur la carte aurait empêché un tel type d’attaque de masse. Cela aurait permis à la police de vérifier que le détenteur de la CNI est bien la personne correspondante (il est possible de signer numériquement les données de la carte pour qu’on vérifie qu’elles n’ont pas été altérées). Nombre d’organisations se sont opposées au stockage dans un tel fichier:

Le 14 novembre 2016, l’Observatoire des libertés et du numérique qui regroupe le Syndicat de la magistrature, le Syndicat des avocats de France, la Ligue des droits de l’Homme, La Quadrature du Net, le Centre d’études sur la citoyenneté, l’informatisation et les libertés (CECIL) et le Centre de coordination pour la recherche et l’enseignement en informatique et société (CREIS-Terminal) a publié un communiqué commun pour dénoncer ce projet.

Comment ça c’est passé

• J’ai fait sur le site de l’Agence nationale des titres sécurisés (ANTS) une pré-demande de renouvellement de ma carte. Je fournis des données comme mon nom, l’identité de mes parents…
• Je rassemble les pièces nécessaires (photo, justificatif de domicile…)
• Je prends en suite rendez-vous en mairie.
• Là, je fournis les informations au préposé. Dans mes souvenirs, celui-ci m’a fourni un formulaire dont je devais vérifier les informations. Je suppose que c’est à ce moment là que mon droit d’opposition pouvait être exercé: le formulaire contenait peut-être une case à cocher me permettant de refuser. Je crois que n’ai vérifié que les informations que j’avais fourni (nom, taille…), pas d’éventuels autres champs. On ne m’a pas dit que j’avais un droit de refus.

Conclusions:

• Quand on demande de remplir/accepter/vérifier un document, tout vérifier.
• Le préposé ne m’a correctement informé sur la démarche. C’est soit une erreur, soit une faute. Ça ressemble à un dark pattern (dans les interfaces utilisateur, un procédé conçu pour tromper). Si les auteurs de cette démarche voulaient demander le consentement éclairé, il aurait fallu dans le formulaire un choix à deux cases (j’accepte, je refuse) avec l’obligation d’en cocher une des deux.