Le jeudi 7 juillet dernier, l'Assemblée Nationale a adopté une proposition de loi visant à mettre en place une carte d'identité biométrique. Le Sénat l'avait votée le 31 mai dernier. Cette nouvelle carte d'identité viendrait remplacer celle qui a été mise en service en 1995, autrefois dite sécurisée. Elle se présenterait comme l'actuelle, mais avec en sus la mention de la couleur des yeux et surtout une puce contenant au surplus les images des empreintes digitales. Pour faire bonne mesure, toutes ces données seraient conservées sur un serveur centralisé, ne faisant qu'un avec le système des passeports biométriques. La proposition prévoit aussi qu'une 2e puce, facultative, puisse être adjointe pour authentifier l'utilisateur auprès de divers organismes tant privés que publics.

Les auteurs et le gouvernement — qui s'est montré très favorable à cette initiative spontanée — arguent que ce nouveau titre d'identité combattra efficacement ce fléau qu'est l'usurpation d'identité. Comme on va le voir, on peut mettre en doute leur sincérité. Comme Jean-Marc Manach l'écrit très bien sur Owni.fr et sur son blog, le plus probable est qu'il s'agisse de remplacer l'actuel fichier policier des empreintes digitales ne comptant que les personnes qui sont passées entre les mains de la maréchaussée par un fichier contenant la quasi-totalité de la population française.

Un coût élevé

La première question qu'on peut se poser est de savoir quel est le coût financier de ce nouveau titre. Le citoyen curieux en est pour ses frais, les propositions de loi n'étant pas tenues de préciser les coûts encourus par la collectivité, mais seulement de prévoir un gage, c'est-à-dire de lever un impôt supplémentaire en tant que de besoin. Ce gage fut levé, comme il en a l'opportunité, par le gouvernement lors de la discussion au Sénat. Claude Guéant, ministre de l'intérieur, se garda alors de donner quelque information à ce sujet.

Cependant, le citoyen a toutefois de la chance. Il se trouve qu'en 2009, la Cour des Comptes fut saisie par Michèle André pour informer le Parlement du coût du passeport biométrique. Ce rapport provoqua une certaine émotion lorsqu'il apparut que l'état faisait un profit substantiel, facturant 89€ un document lui en coûtant 55. Une lecture rapide de ce document nous apprend que pendant les 5 premières années, une telle carte d'identité coûterait 40€ pièce au minimum (tableau n°1).

Selon le rapport sénatorial, il y a 45M de cartes d'identité en circulation, 5M sont délivrées chaque année. Un tel programme coûterait donc 200M€/an. Or ce même rapport estime que le chiffre le plus crédible pour estimer la falsification des cartes d'identité est de 11000 cas par an. Ce qui met donc le coût de cette carte à 20k€ par infraction, seulement pour le coût de la carte en elle-même. On ignore en effet le coût en termes de travail de la police et de tracasseries supplémentaires causées au citoyen.

Il faut rappeler qu'on a ici pris l'estimation minimale de la Cour des Comptes pour ce type d'instrument. On peut donc se dire que le coût n'est certainement pas modique et se demander si ces 200M€ ne seraient pas mieux utilisés ailleurs, même à supposer que cette nouvelle carte résolve tous les problèmes d'usurpation d'identité, ce qui est loin d'être certain.

Un objectif loin d'être atteint

On peut aussi se poser la question de l'efficacité de la biométrie pour atteindre le but recherché, à savoir lutter contre l'usurpation d'identité. D'abord un premier point à remarquer est qu'il deviendra encore plus difficile à une personne abusée de faire valoir ses droits puisque, justement, le titre est censé être encore plus sécurisé. On pourra tout aussi bien la soupçonner de produire des faux que la personne passée avant elle pour se faire faire une carte d'identité à son nom et qui aura laissé ses empreintes digitales. Il faut remarquer que la loi ne prévoit absolument rien pour sécuriser les actes primaires d'état civil comme l'acte de naissance. Ce qui conduit aussi à penser que les empreintes seront détenues jusqu'après la mort du détenteur: il serait cocasse d'avoir à seulement produire un acte de décès contrefait pour sortir ses empreintes de la base de données. De plus, on apprend dans le rapport de la mission que ceux qui ont travaillé le ciment ne sont pas identifiables par leurs empreintes ce qui créera à n'en pas douter des vocations dans les métiers du bâtiment!

Ensuite, dans les relations avec des entreprises commerciales, les pièces d'identités ne sont que superficiellement vérifiées. Dans de nombreux cas, on doit simplement envoyer une photocopie de la pièce d'identité. La biométrie n'apporte strictement rien dans ces cas-là. Comme la puce commerciale ne serait pas obligatoire, les fraudeurs pourraient clamer ne pas en disposer. Ce qui fait que pour la plupart des démarches, une telle carte n'apportera aucune protection supplémentaire par rapport à l'actuelle carte. C'est ainsi que pour ce qu'expose l'inénarrable Christian Vanneste, rien ne changera. Il en ira de même avec les administrations qui dans la plupart des cas ne prendront pas la peine de vérifier les empreintes, mis à part une qui a une certaine expérience en la matière: la police.

On voit mal aussi quel est l'intérêt de la puce commerciale pour le citoyen alors qu'il dispose déjà de cartes de crédit, d'un certificat sécurisé délivré par les impôts directement disponible sur son ordinateur, etc.

Par contre, pour limiter les coûts, le citoyen devra se déplacer jusqu'à un centre équipé pour la prise de ses empreinte pour se faire établir une carte, alors qu'aujourd'hui se rendre dans une mairie, même de quartier, suffit. On imagine aussi que faire reconnaître que ses empreintes sont altérées du fait d'un accident ne sera pas une partie de plaisir, de façon sans doute à faire barrage à la fraude. Pour résumer, la balance entre les avantages et les inconvénients est très certainement défavorable pour le citoyen qui paiera donc plus pour avoir moins.

Le manque de sincérité de l'état

C'est alors qu'on doit bien dire que le seul bénéficiaire de cette carte est l'état policier. En premier lieu, telle que votée par l'assemblée, cette loi permet d'associer une empreinte digitale à une personne car on peut supposer que ce fichier couplé au fichier des empreintes digitales de la police contiendrait l'ensemble ou presque de la population française. Officiellement, cela ne servirait qu'à lutter contre l'usurpation d'identité. On est en droit d'en douter, vus la procédure utilisée et ce qui est arrivé à certains dispositifs qui ne devaient jamais être étendus à autre chose.

L'utilisation de la procédure de la proposition de loi permet d'éviter non seulement d'avoir à fournir une étude d'impact, mais aussi d'éviter divers gêneurs comme le Conseil d'État ou la CNIL. C'est ainsi que la CNIL n'a pas eu à se prononcer sur cette proposition de loi qui pourtant entre directement dans son champ de compétence. Le rapport de la commission sénatoriale mentionne d'ailleurs benoîtement que la CNIL avait déjà demandé à ce que de tels sujets fassent l'objet de projets de loi. C'est un fait que le ministère de l'intérieur est intéressé au passage de la loi telle qu'adoptée par l'assemblée, le ministre a milité contre une base de données ne pouvant servir à identifier directement les personnes.

L'expansion de l'usage de fichiers trouve un bon exemple avec le fichier national automatisé des empreintes génétiques (FNAEG) qui, créé par la loi Guigou en 1998, il ne devait à l'origine que conserver les empreintes des condamnés pour une infraction sexuelle. Il contient aujourd'hui les empreintes génétiques de tous les condamnés ainsi que les personnes entendues par la police sauf en matière de délits financiers. Il est vrai que l'ADN n'est pas utile lors d'enquêtes sur les délits financiers. Les empreintes des mis en cause constituent les trois-quarts des empreintes présentes dans le fichier. Ces dernières ne sont effacées qu'au bout de 25 ans, même si le mis en cause est innocenté. Ce fichier comptait fin 2009 presque 1.3M d'empreintes soit 2% de la population française.

D'une certaine façon l'extension à d'autres infractions est déjà actée. En effet, les services spécialisés dans le terrorisme peuvent déjà accéder aux fichiers des cartes d'identité. Les enquêteurs peuvent aussi accéder à tout fichier tant que les besoins de l'enquête le demandent (articles 60-1, 77-1-1, 99-3 du code de procédure pénale). Si le fichier des passeports n'est pas vraiment concerné (par exemple, les services anti-terroristes n'ont pas accès aux empreintes digitales), c'est à cause de son objectif; pour ce qui est du fichier créé par cette loi, il est explicitement prévu qu'il soit utilisé à des fins pénales, et encore pour une infraction mineure. Il ne s'écoulera sans doute pas longtemps avant qu'un fait divers soit exploité pour agrandir la liste des délits permettant l'utilisation de ce fichier, tellement la tentation sera grande.

La duplicité du gouvernement amène aussi à se poser d'autres dispositions et du potentiel qu'elles recèlent. Il s'agit là d'extrapolations, mais il s'agit aussi de voir jusqu'où on peut pousser la logique du texte. L'article 1 du texte paraît ainsi anodin en ne faisant que préciser que la carte d'identité prouve votre identité, jusqu'à preuve du contraire, mais que la preuve est libre. Cette précision est étrange car la mission d'information qui a précédé cette proposition de loi s'est interrogée sur le trop grand nombre de titres d'identité. On peut ainsi voir dans cette précision le germe d'une restriction de la preuve aux seuls passeport et carte d'identité auprès de l'administration. Cela pourrait s'avérer très intéressant pour l'administration des impôts en commençant à lier l'identité de la personne avec ses transactions via la puce commerciale. En effet, l'état s'astreindra à enregistrer les transactions transitant par ce biais, ce qui pourra donner lieu à des recherches en cas de soupçon fiscal avec l'énorme avantage de pouvoir les lier avec certitude à une personne identifiée, ou même de partir du nom de la personne pour regarder quelles transactions sont effectuées. À ce titre, il faut noter que le comportement de l'état n'est certainement pas exemplaire. Sous cette législature, le fisc s'est servi d'une liste volée à HSBC, Tracfin s'est intéressé au cas de Julien Dray et d'associations anti-racistes pour des raisons qui resteront mystérieuses.

On a vu que la puce commerciale ne résoudra rien de ce qu'elle est censée résoudre, notamment du fait son côté facultatif. On pourra donc revenir sur ce sujet à l'avenir, en arguant que l'inefficacité sera corrigé par l'obligation d'en disposer et de s'en servir pour certaines transactions comme l'octroi d'un prêt. Cela serait bien pratique pour alimenter les logs de transactions facilement consultables par le fisc.

Pour conclure, ce fichier ne présentant aucune garantie technique, une utilité extraordinairement faible par rapport à son coût, on est fondé à se demander comment l'état pourrait rentabiliser un tel investissement. Il faut dire que son comportement ces dernières années n'inspire qu'une confiance modérée dans ses intentions et sa sincérité. Au vu du potentiel d'une telle carte, on ne peut que se demander si la réouverture de la chasse aux français ne pointe pas à l'horizon.