Le système des titres électroniques sécurisés, plus communément appelé TES, contient l'identité, le sexe, la couleur des yeux, la taille, l'adresse du domicile, les données relatives à la filiation, l'image numérique du visage et de la signature, l'adresse électronique et les empreintes digitales de tous les détenteurs d'une carte nationale d'identité ou d'un passeport français. D'autres données sont également enregistrées, comme les informations relatives au titre lui-même, ainsi que les données relatives à son fabricant et aux agents chargés de sa délivrance. Les données personnelles, ainsi que les autres informations enregistrées, sont conservées pendant quinze ans s'il s'agit d'un passeport, pendant vingt ans s'il s'agit d'une carte nationale d'identité, et respectivement pendant dix et quinze ans dans le cas d'un mineur.
Le choix de la centralisation d'un tel fichier expose un ensemble massif et précieux de données personnelles à la portée de puissances hostiles ou de criminels expérimentés. Le rapport d'audit de la DINSIC – direction interministérielle du numérique et du système d'information et de communication de l'État – et de l'ANSSI – Agence nationale de la sécurité des systèmes d'information – , rendu le 13 janvier 2017, a souligné le caractère perfectible du système, qui peut être techniquement détourné à des fins d'identification, par reconstitution d'une base de données complète à partir du lien unidirectionnel existant.
Face à ce danger, les entreprises privées dites stratégiques sont contraintes de disposer de serveurs de sauvegarde. Monsieur le secrétaire d'État, quelles mesures sont-elles prises afin de sécuriser les grands fichiers nationaux stratégiques hors défense, à l'exemple de TES, en cas de défaillance ou d'intrusion du système ?
Existe-t-il, pour chaque système, des serveurs de sauvegarde placés dans des lieux distincts de ceux de leur exploitation ?
Pouvez-vous nous garantir qu'il n'y a aucun projet en cours ou aucun risque que le cloud soit utilisé comme système de sauvegarde, ce qui constituerait un danger majeur pour la protection des données personnelles de nos concitoyens ?