Papiers biométriques en Tunisie : passeport pour le contrôle de la population ?

Dans un contexte socio-économique tendu, les alertes sur la protection des données biométriques, qui doivent être utilisées pour établir les cartes d’identité nationales et les passeports en Tunisie, semblent ne pas être entendues. Mais la crainte des citoyens de ne pas pouvoir renouveler ces précieux sésames et, partant, de voyager, occulte le problème de fond, à savoir la sauvegarde des données personnelles, leur protection et l’usage qui peut en être fait.

Face à l’indifférence d’un Parlement prêt à adopter, sans vraiment les amender, les textes de loi proposés par le gouvernement, c’est aujourd’hui la société civile qui se saisit du débat. Chawki Gaddes, ancien président de l’Instance nationale de protection des données personnelles (INPDP), expose pour Jeune Afrique la problématique et les risques qu’entraînent des lois incomplètes.

Jeune Afrique : On a l’impression que le processus dure depuis longtemps déjà. Quelles ont été les différentes étapes du passage aux documents biométriques ?

Chawki Gaddes : Nous en sommes à la quatrième version. Le projet du ministère de l’Intérieur remonte à 2014. En arrivant à l’instance, en 2015, j’ai appris que les autorités avaient l’intention de passer au biométrique et comptaient simplement promulguer un décret, en se référant au premier texte qui établit que les caractéristiques techniques de la carte d’identité nationale sont fixées par cette voie. J’ai pu sensibiliser le ministre à la question du respect des droits et des libertés que cela soulevait, si bien qu’une commission a été créée pour rédiger un nouveau projet qui a été présenté en 2016 à l’Assemblée.

Mais là encore, le texte n’était pas du tout abouti et a été retiré in extremis par le gouvernement. Le projet a été relancé en 2020, le texte a été revu de manière plus satisfaisante et de nouveau soumis aux députés. Mais le gel du Parlement, puis sa dissolution ont différé les décisions.

En 2022, le gouvernement a consulté l’INPDP avec une nouvelle proposition, sans prendre en compte réellement notre avis. À mon départ à la retraite, il y a un an, le projet a été approuvé en Conseil des ministres sans aucune réserve de l’INPDP, et il est en voie d’adoption sans que la société civile ait été consultée.

Quels sont les points faibles du projet actuel ?

Il faut être vigilant et ne pas se perdre dans les éléments secondaires, comme le fait que la carte d’identité ne fera plus mention de la profession. Cela n’est que la volonté du gouvernement qui ne veut pas porter atteinte à la sécurité de certains de ses agents. Il a fallu batailler sur le droit d’accès aux données pour obtenir que chacun ait un mot de passe pour le faire. Mais les principales batailles en suspens, et qui sont très graves, concernent en priorité la base de données de la carte d’identité, puis la nature de la puce qui va être insérée dans ces cartes et dans les passeports biométriques.

C’est-à-dire, quel problème cela pose-t-il ?

Il y a le problème de la puce, mais il peut être résolu : il suffira – si la puce permet une lecture à distance – que chacun s’équipe d’un étui empêchant les intrusions. Mais il faut quand même dire que la carte à lecture à contact qu’on introduit dans une machine est une technique mieux rodée et qui coûte moins cher.

Cependant, la question principale est celle de la base de données. Il est inadmissible que, dans aucun des textes en cours d’examen, il ne soit fait mention des bases de données. C’est pourtant le traitement de ces données qui est important. En Allemagne, par exemple, plusieurs articles couvrent les différents aspects des bases de données. Mais en Tunisie on considère que ce n’est qu’un aspect technique qui fera l’objet d’un décret. En termes techniques, la gestion de la fabrication des documents va être également très épineuse, faute d’équipements à disposition.

Qu’est-ce qui est requis concernant le traitement des données ?

L’empreinte digitale et une numérisation du visage sont prévues. L’article premier du projet de loi stipule que la carte d’identité va être gérée selon cette loi et celle sur les données personnelles. C’est donc la loi organique n°63 de 2004 qui est applicable, laquelle précise que seules les données nécessaires peuvent être recueillies. L’empreinte digitale et le relevé facial suffisent à apporter la preuve et à confirmer l’identité d’une personne, et il n’est pas nécessaire de consulter d’autres données centralisées. Leur stockage devient alors hors de propos.

Mais il est question de base de données pour les passeports, c’est donc là qu’est le problème ?

Effectivement, c’est ce qui apparaît au bout du compte. En 2020, nous avions inséré un article stipulant qu’après la délivrance des documents, les données seraient détruites. En Europe, cela est fait sous 90 jours, c’est la norme en usage. Par ailleurs, certains ont proposé que l’accès à la base de données se fasse uniquement sur injonction de justice, ce qui est ingérable.

D’autres assurent vouloir utiliser des techniques récentes, mais ils citent le PKI, une technologie qui a été mise en place dans les années 1970. De quoi parle-t-on alors ? Quelles sont les garanties de protection ? Il faut bien se dire que cette action est irréversible.

Si les autres pays ont l’habitude de détruire les données personnelles après un certain délai, pourquoi la Tunisie voudrait-elle les conserver ?

C’est un outil qui permet des utilisations ultérieures, notamment de contrôle de la population… Dernièrement, le ministère français de l’Intérieur a dû faire face à un scandale lorsqu’on a découvert que ses services utilisaient des systèmes de reconnaissance faciale automatique sans base légale.

Autant dire que les abus et les manipulations possibles sont nombreux. Il faut que, dans le texte que la Tunisie va adopter, il soit fait mention de la suppression des données biométriques de la base de données de la carte d’identité ou du passeport dès que ce document est remis à son titulaire. La question n’est pas de vouloir faire comme les pays occidentaux mais de s’assurer d’une protection maximale des données. On a vu comment, par exemple, la base biométrique de l’Inde n’a pas résisté à une offensive de hackers.

Justement, a-t-on vraiment les moyens de protéger les bases de données ?

Aucun État n’a les moyens de protéger une telle base de données biométrique. Or fournir l’identité juridique des personnes relève de la responsabilité de l’État, il faillirait à sa mission s’il laissait une fuite se produire. Ces données pourraient être utilisées par des gouvernements mal intentionnés, et il faut d’ailleurs souligner la position de quasi-monopole de Thalès, fournisseur clé en main de près de 70 % du marché mondial des cartes d’identité et des passeports. On ne parle jamais des fuites de données, mais elles existent bel et bien. Les États choisissent simplement de se taire.

Quelle serait la bonne pratique ?

Elle prévoirait clairement de ne pas constituer de bases de données générales de la population sur le plan biométrique.