À compter du 1er janvier 2015, la France disposera d’un nouveau fichier de police. Il s’agit, au nom de la lutte contre le terrorisme et la criminalité organisée, d’enregistrer, à « titre expérimental », l’intégralité des données de tous les passagers atterrissant ou décollant en France, à l’exception des vols internes à la métropole. Ces données seront conservées pendant cinq ans (et anonymisées au bout de deux ans). L’ampleur de ce fichage donne le tournis : en 2013, les aéroports français ont accueilli près de 172 millions de passagers, dont 80 % sur des vols internationaux.
Le gouvernement socialiste français, arguant de l’urgence, a préféré créer son propre outil en passant par-dessus l’opposition de la commission des libertés civiles du Parlement européen, qui a rejeté, en avril 2013, un projet de fichier européen similaire. Prévue par la loi de programmation militaire adoptée en décembre 2013, l’Unité information passagers (UIP) a été officialisée par un décret, paru le 28 septembre 2014. Ses fonctionnaires seront chargés de gérer les données de réservation (dites PNR, pour passenger name record), d’enregistrement (API, sigle, erroné, de advanced passengers system) et d’embarquement transmises par les compagnies et de jouer l’intermédiaire avec les services de renseignement et d’enquête français.
Les données des passagers, expurgées des informations les plus sensibles (préférences alimentaires par exemple), devront être transmises par les transporteurs aériens « une première fois quarante-huit heures avant le départ du vol et une seconde fois à la clôture du vol, par envoi électronique sécurisé ». Elles seront automatiquement croisées avec le fichier des personnes recherchées (FPR) et le système d'information Schengen de deuxième génération (SIS II). En cas de réponse positive, l’unité de gestion alertera le service qui a signalé la personne au FPR et les policiers de l’aéroport concerné. En cas « de menace grave et d'urgence avérée et pour les seuls besoins de la prévention des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation », les agents des directions générales de la sécurité intérieure et extérieure (DGSI et DGSE) pourront avoir accès directement pendant sept jours à l’ensemble des données, sans passer par l'unité de gestion.
Le fichier pourra être utilisé pour suivre les déplacements de personnes déjà connues des services ou pour repérer des inconnus qui présentent un risque, « compte tenu de ses caractéristiques de déplacement ». C’est ce qu’on appelle du profilage. « L'exploitation des données API et PNR permettra en effet le ciblage des individus au travers de différents critères préétablis ainsi que leur classement sur une échelle de risques, grâce à l'utilisation d'un outil de scoring », explique la Cnil. L’autorité indépendante estime que vu son « ampleur », la future basse de données est « susceptible de porter une atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles ».
Ce nouveau fichier aurait, selon ses défenseurs, évité à la DGSI de se ridiculiser, le 23 septembre 2014, en attendant à l’aéroport Paris-Orly trois djihadistes de retour de Syrie, via la Turquie, alors que ceux-ci passaient tranquillement la frontière à l’aéroport de Marignane. « Une fois que le client est en l’air, nous aurons confirmation de l’avion sur lequel il a embarqué, quand il arrive et dans quel aéroport, explique le député (PS) Jean-Jacques Urvoas, président de la commission des lois de l’Assemblée nationale. Nous aurions donc su qu’ils allaient à Marseille et non à Paris. » Avant de préciser : « Évidemment, dans l’hypothèse où tout fonctionne et où la police nationale peut traiter le fichier PNR via Cheops… »
Car le portail informatique Cheops, qui permet depuis 2001 d’accéder à l’ensemble des fichiers de police et retracer l'ensemble des connexions de fonctionnaires, connaît de sérieux loupés. Le 23 septembre 2013, ce système national est ainsi resté hors service pendant plusieurs heures. « Nous avions eu une fiche Télex le matin avertissant d’une opération de maintenance de 14 heures à 17 heures », indique une source policière. C’est-à-dire que tout l'après-midi plus aucun fichier de police n’était accessible dans aucun commissariat, sauf à passer par d’autres services d’État comme la gendarmerie, les douanes, les préfectures ou les impôts. Mais ces derniers n'ont, par exemple, pas accès au fichier des personnes recherchées. « Il ne reste plus qu’à demander aux djihadistes de porter des badges à leur retour », ironise Christophe Crépin de l’Unsa Police. À en croire plusieurs officiers de police contactés, ces interruptions sont fréquentes, mais ont d’habitude lieu la nuit afin de ne pas trop gêner les services. Le ministre de l'intérieur a confié une enquête aux inspections générales de l'administration (IGA) et de la police nationale (IGPN).
Auditionnés le 25 septembre par la délégation parlementaire au renseignement, David Skuli, directeur central de la police de l'air et des frontières (PAF), et Patrick Calvar, directeur général de la sécurité intérieure, ont, selon Jean-Jacques Urvoas, pointé « des problèmes de puissance technique » de Cheops. « Visiblement, ils sont habitués à faire avec, ou plutôt sans, explique le président de la délégation parlementaire au renseignement. C’est lamentable. On ne cesse de mettre des applications supplémentaires dans Cheops, mais si on n’augmente pas ses capacités techniques, cela ne sert à rien. »
Selon notre décompte, un officier de police judiciaire lambda a aujourd’hui accès, via Cheops, à une trentaine de fichiers et logiciels, pour beaucoup créés ou légalisés depuis la fin des années 1990 (voir la liste en dernière page). En décembre 2011, deux députés avaient recensé 80 fichiers de police existants, contre seulement 34 répertoriés cinq ans plus tôt par le groupe de travail sur les fichiers de police et de gendarmerie, présidé par Alain Bauer. « Et les fichiers ne cessent de grossir au fur et à mesure qu'on rentre des personnes : nous avons un flux d’informations énorme avec des tuyaux trop petits », explique Christophe Rouget du Syndicat des cadres de la sécurité intérieure (SCSI). De plus, ces systèmes ont été surtout conçus, selon un officier de police judiciaire, pour faire remonter des statistiques et non pour l'opérationnel.
En 2011, Jacques-Alain Bénisti, député (UMP) du Val-de-Marne, et Delphine Batho, députée PS des Deux-Sèvres, alertaient déjà sur « l’instabilité chronique du logiciel Cheops », qualifiée de « très problématique ». Surtout pour l'accès au FPR, « consulté en permanence par les forces de l'ordre », qui repose lui-même « sur une technologie dépassée que la direction des systèmes d’information et de la communication (DSIC) du ministère de l’intérieur ne parvient plus à gérer ». « Les logiciels utilisés par les forces de l’ordre, pour certains très anciens et consommateurs de bande passante, sont également en cause », expliquaient les parlementaires. Leur rapport soulignait l’urgence d’investir « dans le domaine des infrastructures de réseau » et « de mettre en place des serveurs relais régionaux permettant de pallier les défaillances du serveur national ».
Près de trois ans plus tard, il n'existe toujours pas de système de secours. Le ministre de l’intérieur Bernard Cazeneuve reconnaissait, le 1er octobre 2014 dans L’Express, que le système Cheops « repose sur une technologie aujourd'hui obsolète ». « Dès mon arrivée place Beauvau, j'ai demandé qu'on investisse les moyens nécessaires pour le moderniser », précise-t-il.
Suite à ce cafouillage, le ministre s’est rendu à Ankara « pour jeter les bases d'une meilleure coopération ». « Tout contrôle d'un Français en Turquie donnera désormais lieu à un signalement, a assuré le ministre dans l’hebdomadaire. Nous disposerons d'une liste actualisée de ceux qui se trouvent en rétention administrative. En cas d'éloignement, nous serons avisés à l'avance. » C’est-à-dire avant l’atterrissage, contrairement à ce qui s'est passé à Marseille…
Plus de 130 vols, d'une quinzaine de compagnies, venant de Turquie, atterrissent toutes les semaines dans une dizaine d’aéroports français. Un système de lecture optique, le réseau Covadis, permet aux policiers d’interroger automatiquement et en quelques secondes le fichier des personnes recherchées à partir de la bande MRZ du passeport. Mais pour les ressortissants européens, ce contrôle doit être effectué de « manière non systématique », comme le prévoit l’article 7 du Code frontières Schengen. « Le principe de Schengen est que le ressortissant de Schengen n’est pas considéré comme un danger pour les États membres », rappelle Jean-Jacques Urvoas. « Nous avons aussi beaucoup de pression commerciale, explique un policier de la PAF de Roissy. Surtout sur les terminaux des plates-formes de correspondance qui sont très concurrentielles. On nous demande de la fluidité. Une minute de retard en passerelle, c’est 1 500 euros de pénalités pour l’aéroport. Alors, quand six vols arrivent d’un coup, on fait de l’abattage. Si on commence à contrôler tout le monde, on se fait défoncer. »
À défaut de contrôler parfaitement les retours, le projet de loi antiterroriste, qui sera examiné mi-octobre par le Sénat, prévoit la manière forte. L’administration pourra interdire le départ de personnes soupçonnées d’aller participer à des opérations terroristes, des crimes de guerre ou contre l’humanité à l’étranger ; ainsi que ceux cherchant à rejoindre un « théâtre d’opérations de groupements terroristes (…) dans des conditions susceptibles de le conduire à porter atteinte à la sécurité publique lors de son retour sur le territoire français ».
Le système Cheops donne accès à une trentaine de fichiers et de logiciels, classés dans quatre catégories :
- Aide à l’enquête :
Agrippa, l'application des propriétaires et possesseurs d’arme / Arrêté du 15 novembre 2007
Pharos, la plate-forme qui permet de signaler les comportements illicites sur internet / lancée le 6 janvier 2009
Anadoc, l'application nationale d’archive de la documentation d’enquête de la police nationale / 2008
Fnis, le fichier national des interdits de stade / Arrêté du 28 août 2007
SNPC, le service du fichier national des permis de conduire / Arrêté du 20 décembre 1972
Aerope, une application qui permet aux officiers de police judiciaire d'obtenir le nom de l'opérateur auquel adresser leurs réquisitions sur la base d'un numéro de téléphone
LRPPN, le nouveau logiciel de rédaction des procédures de la police nationale, en cours de généralisation depuis 2014.
Accès aux vidéos des geôles, ainsi qu’à la vidéosurveillance
- Identification :
Eucaris, une plate-forme d’échange d’informations entre les 27 États européens pour lutter contre les vols de véhicules et les fraudes à l’assurance / Traité de Prüm du 27 mai 2005
Fnaeg, le fichier des empreintes génétiques / Loi du 17 juin 1998
Dicem, identification des quads, motos, etc. / Arrêté du 15 mai 2009
FVV, le fichier national des véhicules volés / Arrêté du 15 mai 199
Foves, le fichier des objets et véhicules signalés qui doit, à terme, remplacer le FVV / Arrêté du 17 mars 2014
SIV, le système d'immatriculation des véhicules / avril 2009
FIJAISV, le fichier judiciaire national automatisé des auteurs d’infractions sexuelles et violentes / Arrêté du 9 mars 2004
FPR, le fichier des personnes recherchées / depuis 1969 et légalisé le 15 mai 1996
Stic, le système de traitement des infractions constatées / légalisé en 2001
TAJ, le traitement des antécédents judiciaires, qui remplace le Stic et le Judex, son équivalent gendarmesque, depuis début 2014
- Immigration :
FNE, le fichier national des étrangers / Décret du 29 mars 1993
VIS, le système d’échange de données sur les visas entre les États de l'espace Schengen
iFado, une application en ligne sécurisée du Conseil de l’Union européenne qui aide les policiers européens à démasquer les faux documents d’identité ou de voyage
- Pilotage
Geha, une application qui gère les habilitations de Cheops et permet aux policiers de s’authentifier
Tsua, le traitement relatif au suivi de l’usage des armes / Arrêté du 16 novembre 2011
Accès à la base Natinf, abrégé de NATure d’INFraction, qui attribue un code à chaque infraction
PVe, application de verbalisation électronique / Décret du 26 mai 2009
A lire aussi sur le blog de Tuxicoman : Cinemagraphes