Un projet de loi de « lutte contre les fraudes sociales et fiscales » est débattu en ce moment à l’Assemblée nationale, après une première lecture au Sénat. Ce texte prévoit d’augmenter les pouvoirs d’enquête pour le contrôle des prestations sociales, en élargissant notamment l’accès aux fichiers des administrations et organismes privés. Il illustre les dérives des politiques de « lutte contre la fraude sociale » qui, en 20 ans, ont démultiplié les capacités de contrôle et de surveillance des administrations sociales. Revenons sur le contexte général de l’accès aux données des administrations avant d’expliquer en quoi ce projet de loi est un danger.

Au cours des années 2000, le récit d’un système social dont la pérennité serait « menacée » par la « fraude sociale » s’est imposé¹Voir le livre de Vincent Dubois « Contrôler les assistés. Genèses et usage d’un mot d’ordre ». Sur l’histoire politique de la « lutte contre l’assistanat » et le rôle majeur que joua en France Nicolas Sarkozy, voir le chapitre 2.. Si ce discours s’est construit en dépit de toute réalité statistique – l’ensemble des estimations disponibles démontrent que la « fraude sociale » est marginale et bien plus faible que la fraude fiscale²La fraude fiscale est estimée entre 60 et 80 milliards d’euros (voir notamment le rapport de Solidaires Finance Publiques). Pour la fraude sociale, voir le rapport 2024 « Lutte contre la fraude sociale » du Haut Conseil du Financement de la Protection Sociale, disponible ici. Le montant total est estimé à 13 milliards d’euros dont seuls 30%, soit environ 4 milliards, sont le fait d’assuré·es sociaux. Le reste vient des entreprises (travail non déclaré, cotisations…) et des professionnels. –, ses conséquences sont bien réelles. Loi après loi, la figure de « l’assisté·e » profitant indûment de la solidarité nationale a permis de justifier le renforcement drastique des politiques de contrôle, dont une large partie repose sur l’extension continue des accès aux données personnelles de la population³Sur l’importance donnée aux outils numériques, voir notamment les rapports de la Direction Nationale de Lutte contre la Fraude disponibles sur notre Gitlab, le rapport publié en 2020 de la commission d’enquête relative à la lutte contre les fraudes aux prestations sociales de l’assemblée nationale ici ou encore le rapport de mission « Lutter contre les fraudes aux prestations sociales » publié en 2019 et disponible ici..

Vingt ans plus tard, le bilan est accablant. L’ampleur des informations auxquelles peuvent avoir accès les contrôleurs·ses des principales administrations sociales – CNAF, CNAM, CNAV, France Travail – afin de vérifier l’exactitude des déclarations (revenus, situations professionnelle et familiale, résidence sur le territoire) est immense et leur nature profondément intrusive.

Le contrôle est facilité par la finalisation, dans les années 2010, d’immenses projets de centralisation des données personnelles de la population française et le pouvoir d’accéder, sur demande, aux informations détenues par des tiers aussi variés que les administrations, les entreprises ou les services de police.

Centralisation des données et contrôle social

Parmi les principaux projets de centralisation, notons notamment le developpement du « Répertoire de Gestion des Carrières Unique » (RGCU) utilisé par l’assurance vieillesse pour le calcul des retraites⁴Voir notamment le rapport de la cour des comptes sur le RGCU publié en 2024 et disponible ici. Il vise notamment à remplacer le Système National de Gestion des Carrières (SNGC).. Il offre un historique des périodes de travail salarié et couvre les dates de début et de fin de contrat ainsi que les salaires perçus.

Côté prestations sociales, une vue d’ensemble est offerte par le « Répertoire National Commun de la Protection Sociale » (RNCPS). Retraites, assurance maladie, chômage, prestations familiales, minima sociaux: ce fichier, qui agrège les données détenues par plus de « 60 institutions nationales, 90 organismes ou fonds nationaux et 1 000 organismes gestionnaires »⁵Annexe au rapport « Évaluation du répertoire national commun de la protection sociale » de l’inspection générale des affaires sociales publié en 2021 et disponible ici., permet de consulter les droits sociaux (nature, montants, dates) dont bénéficie chaque individu⁶Pour plus de détail, voir le rapport « Évaluation du répertoire national commun de la protection sociale » de l’inspection générale des affaires sociales publié en 2021 et disponible ici. La durée de conservation des données varie selon leur type. Les données de montants des prestations sociales ont été introduites dans un second temps..

Le tout est complété par le transfert des données fiscales – notamment les déclarations de revenus – qui fournissent, à un rythme annuel, les revenus financiers ainsi que des accès aux bases recensant les données patrimoniales (biens immobiliers, assurances-vie, etc.)⁷Pour l’accès aux données fiscales, voir notamment ce document des impôts. À savoir que les organismes de protection sociale n’accèdent pas directement aux déclarations fiscales, mais reçoivent les informations sur demande via le Centre serveur national de transfert des données fiscales. Des accès directs sont donnés aux bases FICOVIE – le fichier des contrats d’assurance-vie –, la Base nationale des données patrimoniales (BNDP) – informations patrimoniales contenues dans les documents déposés par les redevables auprès des services d’enregistrement ou en charge de la publicité foncière –, Patrim – transactions immobilières – et FICOBA le fichier des comptes bancaires. Pour un historique des accès à FICOBA, voir le rapport 2024 « Lutte contre la fraude sociale » du Haut Conseil du Financement de la Protection Sociale, disponible ici.. L’administration fiscale offre par ailleurs un large accès au fichier des comptes bancaires ouverts en France (FICOBA) qui, associé au droit de communication discuté ci-après, permet un accès aux relevés bancaires.

Ces fichiers reposent notamment sur deux gigantesques projets de centralisation des données de revenus de la population finalisés dans les années 2010 : la « Déclaration Sociale Nominative » (DSN) pour les salaires et le « Prélèvement à la Source – Revenus Autres » (PASRAU) pour les revenus versées par les organismes de protection sociale (assurance vieillesse, maladie, chômage, CAF…). Mises à jour mensuellement, ces bases offrent une vision quasi exhaustive et actualisée en temps réel des revenus de la population⁸Pour des détails sur la « Déclaration Sociale Nominative » (DSN) voir notamment la délibération 2016-293 du 29 septembre 2016 de la CNIL, ici. Pour PASRAU voir la délibération n°2019-072 de la CNIL qui présente notamment les différences entre PASRAU (flux) et PASRAU individus, une base de données. Elles forment la pase du « Dispositif de Ressources Mensuelles »..

La vérification de l’état civil – nom, prénom, date et lieu de naissance ou de décès – est assurée par le Système National de Gestion des Identifiants (SNGI) qui centralise les flux provenant de l’ensemble des mairies de France⁹Les données du SNGI proviennent du répertoire national d’identification des personnes physiques et de Sandia.. Ce fichier joue par ailleurs un rôle majeur dans l’infrastucture numérique de contrôle en associant aux données d’état civil un identifiant unique, le NIR ou numéro de sécurité sociale, pilier de l’interconnexion généralisée des fichiers administratifs. Pour les personnes étrangères, cette vérification s’accompagne d’un contrôle de la validité des titres de séjour via la consultation du fichier des titres de séjour du ministère de l’Intérieur (AGDREF).

L’accès à ces données est facilité par le déploiement de portail comme EOPSS (Espace des Organismes Partenaires de la Protection Sociale) qui permet la consultation à de multitudes bases de données comme le SNGI, le RNCPS ou les données de carrière¹⁰En 2010, la CNIL a rendu un avis sur un projet d’acte réglementaire de la CNAV sur ce portail. Si ces deux textes n’ont plus de valeur légale depuis l’entrée en application du RGPD en 2018, ils donnent malgré tout un bon aperçu du fonctionnement d’EOPPS..

Déployés entre autres pour permettre l’accès aux droits, ces fichiers sont également utilisés pour des finalités de lutte contre la fraude¹¹Par exemple, une des finalités du RGCU est de « simplifier la détermination et le contrôle des droits aux prestations d’assurance vieillesse » (article R. 161-69-8 CSS). Le RNCPS vise, entre autres, le « contrôle des droits et prestations des bénéficiaires de la protection sociale » (article R. 114-25 du code de la sécurité sociale) au bénéfice d’une multitude d’administrations de sécurité sociale et à France Travail (article L. 114-12-1 du code de la sécurité sociale). La DSN vise aussi à « permettre de détecter les erreurs déclaratives afin d’éviter les indus, de prévenir les fraudes aux prestations et aux cotisations sociales et de mettre à jour et, le cas échéant, rectifier les droits des salariés » (article 3 du décret n° 2013-266 du 28 mars 2013 relatif à la déclaration sociale nominative).. Et, lorsqu’une administration n’a pas accès, directement ou indirectement, à ces fichiers, le droit de communication vient à la rescousse.

Un droit de communication exorbitant

Le droit de communication permet aux contrôleurs·ses d’obtenir les documents et renseignements de leur choix directement auprès d’un très grand nombre d’acteurs publics et privés, sur demande et pour une personne donnée¹²Voir l’article L. 114-19 du code de sécurité sociale.. De par son étendue, ce droit représente, pour reprendre les termes du commentaire autorisé d’une décision du Conseil Constitutionnel sur le sujet, « un véritable pouvoir de réquisition » proche de celui dont disposent les forces de police¹³Commentaire décision n°2019-789 du 14 juin 2019, disponible ici..

Il permet aux contrôleurs·ses de demander, sans que le secret professionnel ne puisse s’y opposer, des informations aux différentes administrations de l’État , aux collectivités territoriales (mairies, départements) et à l’ensemble des organismes sociaux (CAF, France Travail, caisses de retraites, assurance maladie…)¹⁴Les échanges d’information au sein de la sphère sociale et avec les administrations de l’état sont encadrés par l’article L. 114-12 du code de la Sécurité sociale.. En pratique, ceci revient à disposer d’un accès, sur simple envoi de mail, aux quantités phénoménales d’informations dont l’administration dispose sur chacun·e d’entre nous.

Concernant le secteur privé, c’est sur la base de ce droit que sont rendus possibles les accès aux relevés bancaires lors d’un contrôle. Mais les contrôleurs·ses peuvent aussi envoyer des demandes à des organismes aussi variés que les fournisseurs d’énergie, les plateformes de vente en ligne (Le Bon Coin, Airbnb), les employeur·ses, les bailleurs sociaux, les organismes de transport, les notaires ou encore les huissiers.

Enfin, les contrôleurs·ses peuvent obtenir des informations directement auprès des forces de police dans le cadre des « comité départementaux anti-fraude » (CODAF) dont nous dénoncions l’instrumentalisation par la police à des fins de répression sociale dans un article en septembre dernier¹⁵L’article L. 114-16-1 du Code de la sécurité sociale permet un partage des informations entre les agents de l’Etat et des organismes de protection sociale listées à l’article L. 114-16-3..

Le projet de loi en discussion

Voilà pour un bilan rapide et non-exhaustif des pouvoirs conférés aux contrôleurs·ses des principaux organismes sociaux tels que la CNAF, CNAM, CNAV ou France Travail. Si cet état des lieux ne s’attache pas à présenter le détail des différences entre chacun de ces organismes, il permet néammoins de saisir l’étendue des données d’ores et déjà disponibles en cas de contrôle et de mettre ainsi en perspective la fuite en avant que représentent les mesures du projet de loi actuellement en discussion :

– L’article 2 prévoit une extension de l’accès direct aux bases de données patrimoniales de l’administration fiscale¹⁶A savoir les bases FICOVIE – le fichier des contrats d’assurance-vie -, la Base nationale des données patrimoniales (BNDP) – informations patrimoniales contenues dans les documents déposés par les redevables auprès des services d’enregistrement ou en charge de la publicité foncière – et Patrim – transactions immobilières.. Autorisé pour les agents de la CAF, de France Travail ou des Mutualités Sociales Agricoles, cet article vise à l’étendre à l’Assurance Maladie, à la CNAV et aux agents des départements et des maisons départementales des personnes handicapées (MDPH).
– L’article 2 bis prévoit l’autorisation de consultation du RNCPS pour les services préfectoraux à des fins de contrôle des titres de séjour.
– L’article 6 autorise les MDPH et les services chargés de l’allocation personnalisée d’autonomie – une aide pour les personnes âgées en difficulté – à échanger toutes informations à des fins de lutte contre la fraude avec un large nombre d’acteurs (administrations sociales, police, douane, fisc…) dans le cadre notamment des « Comités opérationnels départementaux anti-fraude » (CODAF).
– L’article 10 vise à étendre le droit de communication, jusqu’ici réservé aux agents de contrôle agréé·es et assermenté·es, aux directeurs des Caisses Primaires d’Assurance Maladie (CPAM) et des CAF et au personnel placé sous leur responsabilité agissant en matière de lutte contre la fraude.
– L’article 28 vise à donner, selon l’exposé des motifs de l’amendement du Sénat l’ayant introduit, la possibilité aux agents de contrôle de France Travail d’accéder au fichier des passagers aériens – nom, prénom, date d’embarquement, destination – ainsi qu’aux relevés téléphoniques et aux données de connexion des inscrit·es.

« Des fichiers, il y en a quand même un paquet. Lequel vous ferait plaisir ? »

Commençons par analyser les mesures plus « techniques » avant de revenir à l’article 28. Si leur portée peut être difficile à saisir, elles incarnent néammoins des processus politiques centraux dans l’expansion des pouvoirs conférés aux organismes sociaux au titre de la « lutte contre la fraude sociale ».

À commencer par le fait qu’une large part de ces mesures sont prises par pur opportunisme politique, en dehors de tout examen de proportionnalité ou de nécessité. Leur annonce vise avant tout à mettre en scène le « volontarisme » de nos parlementaires face à un problème – la fraude sociale – qu’ils et elles ont largement contribué à construire et à amplifier comme nous le rappellions au début de cet article. Au nom d’une recherche « d’efficacité » devenue un objectif en soi, tout ce qui est réalisable techniquement devient envisageable politiquement, sans considération pour la proportionnalité entre la gravité supposée de la fraude ciblée et les atteintes portées aux droits fondamentaux.

Ce sont peut-être les propos de la sénatrice Nathalie Goulet qui résument le mieux la situation lorsqu’elle demande à des responsables de la CNAF, à l’occasion d’une mission d’enquête sur la fraude sociale : « Des fichiers, il y en a quand même un paquet. Lequel vous ferait plaisir ? »¹⁷Audition de la Caisse Nationale des Allocations familiales le 9 juillet 2019. Voir le compte-rendu disponible ici..

Ajoutons enfin que les mesures les plus problématiques ciblent avant tout des populations jouant le rôle habituel de boucs émissaires (personnes précaires, étrangères, racisées, condamnées…). Et ces mesures seront très certainement, comme c’est systématiquement le cas en matière de répression, progressivement étendues au reste de la population une fois cette banalisation amorcée.

Une illustration frappante des logiques à l’oeuvre

À titre d’exemple, tournons-nous vers l’article 10. Ce dernier prévoit d’élargir le droit de communication à des agent·es des CAF et des CPAM qui ne sont ni agréé·es ni assermenté·es. Alors que la limitation à des agent·es spécialement habilité·es visait à offrir des garanties fortes, que la CNIL avait rappelées en 2017¹⁸Délibération n° 2017-053 du 9 mars 2017, disponible ici., voici comment cet article a été justifié¹⁹Voir l’étude d’impact du projet de loi, le rapport de la commission des affaires sociales du sénat et l’amendement COM-122..

Acte 1 : dans le projet de loi, le gouvernement propose cette mesure pour les seul·es agent·es des CPAM, en invoquant la nécessité d’intensifier les contrôles sur les bénéficiaires de la complémentaire santé solidaire, soit les 7 millions de personnes les plus pauvres de France²⁰Pour une présentation du public concerné par la C2S, voir notamment le rapport annuel 2023 portant sur la Complémentaire Santé Solidaire de la Direction de la Sécurité Sociale disponible ici.. Celles-ci sont pourtant déjà ciblées par un algorithme discriminatoire, alors même que la fraude estimée ne représente qu’environ 1% des montants versés²¹En 2022, le directeur de l’Assurance Maladie a présenté les premières estimations devant le Sénat. Son audition est disponible ici. Voir aussi le rapport annuel de lutte contre la fraude de l’Assurance Maladie 2021 disponible ici. Les chiffres des montants de la C2S (gratuite et avec participation financière) gérés par la CNAM sont disponibles dans le rapport annuel 2023 de la direction de la sécurité sociale.. Acte 2 : le gouvernement banalise les atteintes à la vie privée que cette mesure représente en s’appuyant sur le précédent récent des agents de l’URSSAF, à qui un droit comparable a été accordé début 2025²²Article 26 de la loi n° 2025-199 du 28 février 2025 de financement de la sécurité sociale pour 2025.. Acte 3 : le Sénat propose l’extension de cette mesure aux agent·es de la CAF sans aucune justification ni motivation, par simple surenchère politique.

Une même inconséquence est à l’oeuvre concernant l’article 6 qui étend les échanges d’informations, dans les deux sens, entre les MDPH – en charge de l’attribution de l’Allocation d’Adulte Handicapé (AAH) –, les services en charge de l’APA – destinée aux personnes âgées en perte d’autonomie – et un nombre important d’institutions parmi lesquelles les forces de l’ordre, le fisc, les douanes, les organismes locaux de protection sociale, France Travail, l’Unédic, l’inspection du travail, les agences régionales de santé ou encore les services préfectoraux.

Cette mesure a été introduite par le gouvernement au seul motif qu’elle « pourrait entraîner des économies potentielles »²³Voir l’étude d’impact du projet de loi.. Sans plus d’information ni de justification, alors même que de tels échanges concernent des publics particulièrement vulnérables et des données médicales, qu’il est estimé que le taux de fraude aux aides à l’autonomie s’élève à seulement 1,46% de leur montant total, que les dossiers de la MDPH sont déjà examinés « en amont » et réévalués régulièrement via certificat médical et commission. Pour couronner le tout, le Sénat bascule dans le cynisme le plus total en justifiant la violation de la vie privée des personnes handicapées et de nos aîné·es en difficulté au titre que les « agissements frauduleux ne sont peut-être jamais aussi condamnables que lorsqu’ils sont faits à l’encontre des services publics destinés aux publics dont la situation est la plus vulnérable²⁴Rapport de la commission des affaires sociales du sénat. ».

Enfin, les articles 2 et 10 sont présentés comme une simple « harmonisation » d’une loi de 2018 sur la fraude, qui avait déjà autorisé l’accès aux bases patrimoniales pour certains organismes sociaux et donné aux forces de police un accès au RNCPS.

Article 28 : une fuite en avant

Venons-en, enfin, à l’article 28 du projet de loi, qui contient les mesures les plus controversées. Introduit par le Sénat, il vise à donner trois nouvelles prérogatives au service fraude de France Travail : l’accès au fichier des passagers aériens ou PNR (pour Passenger name record), l’obtention auprès des opérateurs des relevés téléphoniques des assuré·es et le traitement des données de connexion dont dispose France Travail.

Quels que soient leurs devenirs à l’Assemblée nationale ou au Conseil constitutionnel, ces propositions sont très inquiétantes. Elles traduisent la fuite en avant des parlementaires dès lors qu’il s’agit de communiquer sur le renforcement des moyens de surveillance à des fins de lutte contre la fraude sociale.

L’utilisation de fichiers comme le PNR, utilisé à des fins de lutte contre le terrorisme et la criminalité grave, par les administrations sociales symbolise l’absence de limites de nos parlementaires, à la seule fin de mise en scène de leur action politique²⁵Voir la directive 2016/681.. Surtout, il s’agit d’un détournement assez flagrant de ce fichier. Présenté comme limité aux seules fins de lutte contre le terrorisme pour justifier l’intrusion grave dans la vie privée des personnes qu’il opère, il se retrouverait détourné si cet article était voté.

Cette extension des usages du fichier PNR n’est pas une première : à chaque fois qu’un fichier est disponible, nous savons que l’État voudra se servir des données collectées, peu importe le respect des droits fondamentaux. Récemment, nous avons par exemple mis au jour le détournement du fichier TES à des fins d’identification des personnes dans le cadre d’enquêtes de police alors que ce fichier n’était pas censé permettre cela. Encore avant, c’était le projet de loi « Simplification » qui servait là encore au détournement de finalités, cette fois-ci pour détourner à des fins de contrôle les données collectées pour calculer les aides sociales. Ces exemples pourraient être multipliés.

Protection sociale contre contrôle social

Nous suivrons avec attention les discussions autour de ce texte à l’Assemblée nationale, tout particulièrement vis-à-vis de l’article 28. Si ces dispositions sont maintenues, nous appelons chacun·e à se mobiliser pour empêcher leur vote.

Surtout, nous continuerons de lutter, au sein de notre campagne « France Contrôle », contre l’extension des mesures de surveillance via notre système de protection sociale. La multiplication des mesures intrusives et l’accroissement du contrôle social au nom de la « lutte contre la fraude » doivent cesser.

Vecteurs de violences, d’humiliation et de précarité, ils constituent le bras policier des attaques sur notre système social. Le discours politique venant les justifier, empreint de mépris et de domination sociale, doit être dénoncé. Ce combat, qui promet d’être long, est possible grâce à votre soutien. Nous espérons pouvoir le continuer pour les années à venir, alors, si vous le pouvez, n’hésitez pas à nous faire un don.

Bonjour à toutes et à tous !
Cette semaine on vous parle du Dossier Médical Partagé qui est un peu trop partagé alors qu’il contient des données médicales très personnelles, et aussi du fichier TES qui est un peu plus poreux que prévu, et on vous présente les émissions en live qu’on a prévues pour animer notre campagne de soutien 2026.
Bonne lecture à vous !

Alex, Bastien, Eva, Félix, Marne, Mathieu, Myriam, Noémie, Nono et Vi

2026, une année pour résister à la fascisation

On a lancé notre campagne de dons le 17 novembre. On dit aussi « campagne de soutien » quand on veut rester pudique. Concrètement, ça signifie qu’on a besoin de vous et de vos dons pour continuer à lutter en 2026 et au-delà. Le bon vieux nerf de la guerre, qui paye les salaires de l’équipe et les billets de train, le loyer du local et l’électricité des PC, l’imprimante à brochures et la machine à café. Voilà, on porte des idées, un idéal, la défense des libertés dans un monde qui les juge de plus en plus suspectes, et on se retrouve à compter les sous et à se demander si on pourra continuer dans un an, dans deux ans…

Car la perspective n’est pas joyeuse. On le sait, les idées de l’extrême droite raciste et autoritaire se sont diffusées dans la population, à force de matraquage médiatique et de complaisance du personnel politique qui, de la droite extrême à un centre gauche qui navigue à vue, reprend lâchement les discours virilistes et revanchards des racistes et des xénophobes de tous âges.

Quand on s’intéresse, ce qui est notre mission, aux enjeux politiques liés à la technologie numérique, c’est encore pire : le milieu de la tech californienne dans la Silicon Valley, qui domine outrageusement nos pratiques numériques en Occident, s’est tout entier plongé dans l’idéologie libertarienne. Sans nuance et sans exagération, la tech états-unienne veut et recherche activement la fin des États-nations, se voit comme une oligarchie éclairée légitime à gouverner le monde, et met ses moyens colossaux au service de ses fantasmes racistes, eugénistes, voire transhumanistes, mais d’abord et avant tout autoritaires et ultracapitalistes.

En France et en Europe, nous avons pu le documenter ces dernières années, et malgré l’indifférence du Vieux Continent aux fantasmes libertariens, la tech s’est mise sans hésiter au service de la surveillance d’État, de la traque aux pauvres et aux personnes immigrées, de la marchandisation des données personnelles jusque dans leurs secrets les plus intimes, et de la surenchère industrielle au mépris des coûts humains et environnementaux.

Nous devons affronter tout cela et ce n’est pas gai, mais nous allons l’affronter ensemble. La Quadrature du Net n’entend pas baisser les bras. Et si vous pouvez nous aider à exister jusqu’en 2027 et au-delà, n’hésitez pas à passer sur notre site de dons.

Pour animer cette campagne de soutien et commencer à creuser les sujets qui nous occupent au quotidien, nous avons décidé de nous lancer dans une série d’émissions en live, à voir en direct ou en différé. Les deux premières ont déjà eu lieu, et vous trouverez ci-dessous les liens pour les voir ou les revoir. La prochaine aura lieu mercredi 3 décembre et s’intéressera à la question de l’impossible « neutralité de la tech ». Rendez-vous à 19h30 sur Twitch, YouTube ou mieux encore, sur PeerTube.

Pour nous soutenir en 2026 : Faites un don à La Quadrature du Net
Présentation de la campagne : À l’heure de la fascisation, soutenez La Quadrature du Net
Voir la première émission : Sommes-nous à l’heure du Technofascisme ? – avec Nastasia Hadjadji
Voir la deuxième émission : Faire face à la fascisation des médias – avec Soizic Pénicaud et Clément Pouré

Plainte contre l’utilisation abusive du fichier TES

Si vous avez une carte d’identité nationale ou un passeport français récent, documents dits « biométriques », alors vos empreintes digitales et la photo de votre visage sont numérisées et stockées dans le fichier des Titres Électroniques Sécurisés (TES). Au départ, ces données auraient dû être stockées seulement dans la puce des documents eux-mêmes, pour être comparées aux données biométriques de la personne contrôlée : son visage ou ses empreintes. Pour atteindre la finalité du contrôle d’identité – « la personne qui présente ce passeport est bien la personne à qui il a été délivré » – cela aurait suffi. Mais contre l’avis de la CNIL, le gouvernement avait décidé en 2008 de conserver aussi ces données dans un gigantesque fichier centralisé, gorgé de données très sensibles.

Que croyez-vous qu’il arriva ? On imagina aussitôt plein d’autres usages à ce fichu fichier. Pour la police, c’est une mine d’or : identifier sans peine quelques dizaines de millions de personnes, c’est un rêve. Pour la police, chaque fichier est un potentiel fichier de police. Et dans la nation des honnêtes gens qui n’ont « rien à se reprocher », gavés de discours sécuritaires et anxiogènes mais privés de cours sur leurs droits de citoyen·es libres, la police doit tout pouvoir. On lui donna donc un accès à ce fichier, assorti de tout un tas de conditions, pour respecter à peu près l’esprit et la finalité initiale du fichier TES.

Que croyez-vous qu’il arriva ? (Tout cela est tellement prévisible…) La police, quand elle n’a pas un accès légitime aux données biométriques des citoyens, contourne l’obstacle et demande à d’autres services de lui fournir les informations qu’elle veut. Les glapissements sécuritaires sont une chose, la loi en est une autre : les policiers qui détournent le fichier TES de sa finalité ou abusent sciemment d’un droit encadré font un usage illégitime et sûrement illégal des pouvoirs qui leur sont donnés.

En 2022, avec 15 248 personnes, nous avons déposé une plainte collective devant la CNIL pour dénoncer l’illégalité de ce fichier. L’instruction de cette plainte est toujours en cours et c’est dans le cadre de cette procédure que nous avons envoyé de nouveaux documents à la CNIL pour démontrer, avec des preuves, ce que nous redoutions à juste titre : la police se sert allègrement dans le fichier TES.

L’article du 25 novembre : La police détourne le fichier des passeports et des cartes d’identité
Le complément de notre plainte auprès de la CNIL : Observations complémentaires

Non au Dossier Médical Partagé obligatoire

L’article 31 du projet de loi de financement de la sécurité sociale (PLFSS) pour 2026 voulait renforcer l’obligation pour les professionnel·les de santé d’utiliser le Dossier Médical Partagé (DMP) des patient·es. L’objectif affiché est comme toujours de « simplifier » l’échange des informations de santé. L’objectif moins avoué et moins avouable serait de les centraliser et de pouvoir plus facilement les exploiter à des fins statistiques ou commerciales (article du 17 mars 2021).

Mais même en laissant de côté ce dernier aspect de la question, le DMP en lui-même pose déjà un bon nombre de problèmes sérieux (article du 25 mars 2022). Le principal point d’inquiétude concerne l’absence totale de contrôle que les patient·es ont sur leurs propres données de santé. L’accès aux documents (résultats d’examens, prescription, etc.) est paramétré par le personnel médical, sans possibilité pour les patient·es de cloisonner ou de supprimer ces accès. La suppression des documents est également impossible ou presque. Cela complique le rapport avec les médecins, et empêche parfois la relation de confiance nécessaire au soin, pour toutes les personnes qui souhaitent par exemple garder le contrôle sur la divulgation de leur identité trans, de leur recours à l’IVG, ou de leur pathologie psychiatrique. La « transparence » voulue par le législateur, qui veut lutter contre le « nomadisme médical » – ce que nous appelons plutôt la liberté de choisir ses soins – pour des raisons d’économie, est typique du célèbre mieux qui est l’ennemi du bien.

L’obligation renforcée de renseigner le DMP, qui conditionnerait même l’accès à certains soins, est ressentie par nombre de patient·es comme un mauvais traitement et une infantilisation par l’État. On retrouve dans ce renforcement des contrôles des individus, au nom de quelques abus, le même esprit répressif qui légitime la surveillance de toutes et tous au nom d’une sécurité hors d’atteinte. Les citoyen·es de la République, fondée sur les principes humanistes et révolutionnaires de 1789, méritent mieux qu’une médecine suspicieuse et moucharde. La Quadrature, avec d’autres, demande donc la suppression de l’article 31 du PLFSS 2026. Si le Sénat a supprimé pour l’instant cet article, nous restons vigilant·es puisque les débats continuent actuellement à l’Assemblée qui pourrait vouloir rétablir cette disposition.

L’article du 21 novembre : Le gouvernement veut nous obliger à utiliser le Dossier Médical Partagé

Notre site de don s’améliore grâce à vous !

Le site de don de la Quadrature a récemment reçu des améliorations de Couy et Kilroa, deux camarades qui ont aidé à débuguer l’image Docker qui sert à son développement ainsi qu’à améliorer l’interface d’administration et la validation des adresses postales.

Cela veut dire que bientôt, cela sera plus facile pour nous de gérer les contreparties et pour vous ça sera plus simple de renseigner votre adresse (et être sûr que ça arrive à bon port !).

Un grand merci à eux ! Si vous aussi, vous êtes des enchanteurs et des enchanteuresses du silicium, passez donc sur #nerds:laquadrature.net (sur [matrix]) et sur notre forge logiciel pour nous aider à forger ensemble les binaires de notre liberté collective !

Agenda

• 3 décembre 2025 : Réunion du groupe Technopolice Paris-Banlieue à 19h au Bar Commun, 135 rue des Poissonniers, 75018 Paris.
• 3 décembre 2025 : La Quadrature part en live ! Émission « Impossible neutralité de la tech : la fascisation est-elle inscrite dans le code ? » à partir de 19h30, avec Mathilde Saliou et Pablo Rauzy.
• 10 décembre 2025 : La Quadrature part en live ! Émission « La surveillance des frontières ».
• 11 décembre 2025 : Causerie mensuelle du groupe Technopolice Marseille à 19h au Manifesten, 59 Rue Adolphe Thiers, 13001 Marseille.
• 17 décembre 2025 : La Quadrature part en live ! Émission « Services de renseignements, répression et discriminations ».
• Retrouvez tout l’agenda en ligne.

La Quadrature dans les médias

Divers

• Révélations : quand la CAF travaille avec la police pour punir les militants [Le Média TV]
• Le « mégafichier » des papiers d’identité attaqué devant la CNIL [Le Monde]
• Les Nums, l’émission #2 : peut-on protéger les internautes sans contrôler Internet ? [Les Numériques]
• Des lois qui repoussent systématiquement les limites des libertés sur internet? Depuis les attentats du 13-Novembre, les lois sécuritaires et restrictives se sont multipliées (même si certaines sont censurées) [BFM.com]
• La police judiciaire contourne la loi pour fouiller le méga « fichier des gens honnêtes » [Next]
• Sébastien Lecornu a-t-il signé un décret pour « surveiller toutes vos communications en ligne pendant un an » ? [TF1]
• La science-fiction, dépassée dans bien des domaines… [Libération]
• Entretien avec Juan Sebastian Carbonell : ce que l’IA fait au travail [Non fiction]
• Après la mort en direct d’un streamer, la régulation de la plateforme Kick en question [Brut]
• « Dis Siri, est-ce que tu m’enregistres ? » [France Culture]
• Intelligence artificielle, une guerre à coups de milliards de dollars qui va mal finir [Blast]
• « Pays de plus en plus autoritaire », GrapheneOS coupe les ponts avec la France après une polémique explosive [ZDNet]
• Empêcher l’accès des mineurs aux contenus « sensibles » sur internet : quand surfer sans papiers devient compliqué [Le Soir]
• Chatcontrol : l’opposition de l’Allemagne offre un répit aux opposants [ZDNet]

Vidéosurveillance

• « Le débat sur l’utilité réelle de la vidéosurveillance n’a jamais cessé d’exister » [La Gazette des communes]
• « Il y a une énorme opacité » : comment la vidéosurveillance algorithmique se développe en toute discrétion en France [France Info]

Lire la newsletter sur notre site.
S’abonner à la newsletter.

Datalove

Fournir sa photographie et ses empreintes quand on demande son passeport ou sa carte d’identité est plus lourd de conséquence que ce qu’on imagine. Ces données, qui sont enregistrées dans le fichier des « titres électroniques sécurisés » (TES) sont récupérées par la police par un contournement de la loi. La Quadrature du Net a pu obtenir des témoignages et preuves formelles de l’utilisation abusive de ce fichier pour identifier des personnes lors d’enquêtes judiciaires. Nous avons alerté la CNIL sur ce scandale qui était malheureusement prévisible, tant ce fichier TES portait, par son existence même, les risques d’un abus de surveillance par l’État.

Plus belle la vie du fichier TES

Pour comprendre comment nous en sommes arrivé·es là, revenons sur les origines de ce fichier. En 2005, un décret autorise pour la première fois l’enregistrement des informations des personnes demandant un passeport (nom, prénom…) dans une puce électronique au sein du passeport, mais également dans un fichier centralisé à destination des agent·es chargé·es de la délivrance des titres d’identité. Ainsi naît le premier fichier TES (qui s’appelait alors « DELPHINE »). En 2008, afin de se conformer à un règlement européen, sont ajoutées au sein de la puce l’image numérisée du visage et des empreintes digitales. Le gouvernement en profite alors pour également les ajouter dans le fichier, au lieu de rester sur une seule conservation décentralisée. Ceci n’était clairement pas un choix neutre puisqu’il s’agit de données biométriques particulièrement sensibles.

La CNIL, elle, se montrait pourtant défavorable à un enregistrement centralisé d’autant de données dans le fichier TES. En effet, pour la première fois, une base de données faisait un lien entre des données biométriques et une identité civile. L’objectif affiché était de faciliter les démarches administratives et lutter contre la « fraude documentaire ». Mais factuellement, ce lien technique entre identité et données biométrique peut aussi permettre l’identification d’une personne par la comparaison de ses empreintes ou de son visage avec les données contenues dans le fichier. Bien qu’une telle possibilité ne soit pas prévue par les textes, la CNIL estimait tout de même que le choix de centraliser ces données était disproportionné dès lors qu’il existait des modalités de lutte contre la fraude qui apparaissaient tout à la fois aussi efficaces et plus respectueuses de la protection de la vie privée des personnes.

En 2012, une loi proposée par deux sénateurs de droite a tenté de faire évoluer ce fichier TES, qui contenait alors les données biométriques d’environ 6,5 millions de personnes. Cette loi prévoyait de permettre expressément à la police de se servir dans la base de données pour pouvoir identifier des personnes lors de certaines enquêtes. Cette volonté de mise a disposition du fichier TES à la police a cependant été invalidée par le Conseil constitutionnel. Celui-ci a estimé que l’ampleur de la base de donnée qui contenait des données particulièrement sensibles, couplée avec la nouvelle possibilité technique et légale de permettre une identification par la police – qui n’avait rien à voir avec l’objectif initial de faciliter la délivrance des passeports – engendraient des atteintes trop graves aux libertés. Le Conseil craignait notamment que si ces techniques d’identification n’étaient pas limitées, elles « ne pouvaient […] qu’être vouées à se développer »¹Voir le commentaire autorisé de la décision du Conseil constitutionnel, page 21, accessible sur cette page.

C’est surtout en 2016 que ce fichier a fait l’objet de critiques et d’attention médiatique. Le gouvernement Valls avait discrètement fait passer un décret créant un nouveau fichier TES au périmètre drastiquement différent. Désormais, il pouvait aussi contenir les données relatives aux cartes nationales d’identité²Pour rappel, la carte d’identité nationale a été créée en 1940 sous le régime de Vichy. Le projet de carte nationale d’identité avait d’abord été imaginé par la préfecture de police en 1921, avec pour objectif d’étendre à tous les citoyens les mesures d’encartement imposées aux étrangers et aux nomades. Face à l’ampleur des protestations, le ministre de l’intérieur abandonna ce projet. Ce n’est que lorsque les libertés publiques auront été anéanties par le gouvernement de Vichy que l’identification totale des citoyens, au moyen de la généralisation de la carte d’identité, pourra être imposée.
Pour aller plus loin : « Système d’enregistrement d’identité, numéro d’identification et “carte d’identité de Français” durant le Régime de Vichy (France, 1940-1944) », Pierre Piazza, 2017 disponible ici et « L’identification des personnes », Gerard Noiriel, 2006, accessible ici.

Or, quasiment tous·tes les Français·es en possèdent une. De nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population. Elles craignaient aussi bien les fuites de données que les attaques informatiques et les abus étatiques, d’autant que d’autres options moins attentatoires et décentralisées étaient possibles. Face aux critiques, il était notamment répété à l’envi qu’au grand jamais ce fichier ne pourrait servir à faire de l’identification.

Avec d’autres, nous avions attaqué le fichier devant le Conseil d’État, qui l’a néanmoins validé en 2018. Nous avons tout de même poursuivi le combat. En 2022, avec 15 248 personnes, nous avons déposé une plainte collective devant la CNIL pour dénoncer l’illégalité de ce fichier. L’instruction de cette plainte est toujours en cours et c’est dans le cadre de cette procédure que nous avons envoyé de nouveaux documents à la CNIL pour démontrer ce que nous craignions depuis l’origine : la police se sert allègrement dans le fichier TES.

Administrations et policiers main dans la main

Techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES. Le décret de 2016 prévoit uniquement que certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » puissent le consulter. Pourtant, le ministère de l’Intérieur a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire.

Il s’appuie pour cela sur le mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale. Sur autorisation du procureur de la République, les officiers de police judiciaire peuvent exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête. C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros.

Aujourd’hui, nous pouvons démontrer que la police utilise ce pouvoir de réquisition abusivement auprès des administrations qui participent à la création et la délivrance des cartes d’identité ou passeports. Nous avons ainsi constaté des demandes des informations d’identité aux agent·es :

• Des « Centres d’expertise et de ressources titres » (CERT). Les CERT sont les services chargés au sein d’une préfecture ou d’une sous-préfecture d’instruire les dossiers de demandes de titres.
• De l’Agence nationale des titres électroniques (ANTS). C’est l’administration chargée de gérer le système informatique derrière les demandes et délivrances de cartes d’identité et passeports.

La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit.

Nous avions déjà entendu des témoignages en ce sens et cette pratique avait été pointée dans la brochure militante sur les moyens d’enquête dans l’affaire Lafarge Bouc-Bel-Air publiée en octobre 2023. Désormais, nous avons envoyé des preuves concrètes à la CNIL. Nous dénonçons ce détournement illégal afin que cette dérive cesse et que le ministère de l’Intérieur rende des comptes.

Des preuves accablantes

Ces éléments proviennent d’une affaire judiciaire clôturée où les procès-verbaux illustrent l’entêtement des policiers à vouloir identifier un individu à tout prix. N’arrivant pas à mettre un nom et un prénom sur une personne suspectée de rébellion (une qualification pénale par ailleurs régulièrement utilisée abusivement pour masquer des violences policières), les officiers de police judiciaire vont utiliser tous les moyens de surveillance à leur disposition, peu importe les exigences de proportionnalité.

Ils vont d’abord prendre une photographie de la personne à son insu dans le commissariat puis se servir du fichier TES pour confirmer son identité (que la personne n’a pas donnée, mais que les policiers présument). Les policiers vont donc exiger auprès d’un CERT des dossiers de demande de carte d’identité dans le but d’obtenir la photo de visage de la personne (voir les PV anonymisés), et récupèrent au passage tous les documents annexes, comme les justificatifs de domicile. Ils ne s’arrêtent pas là. Au cours de leur enquête, ils font également une demande auprès de l’ANTS pour récupérer des empreintes digitales (voir le PV). Sans jamais justifier ou motiver leur demande, ils exigent ainsi des administrations d’aller fouiller dans la base de données TES, et celles-ci répondent sans poser de question.

L’accès à ces données est lourd de conséquences car, dans cette affaire comme dans d’autres, c’est bien la photographie issue du TES qui, en étant comparée à l’image de vidéosurveillance du commissariat, permet d’identifier in fine la personne suspectée (voir le PV), ce qui est totalement contraire à ce pourquoi le fichier TES a été créé. Le constat est donc clair et accablant : les informations que nous fournissons pour faire notre carte d’identité ou notre passeport pourront être détournées et utilisées par la police dans des enquêtes, au mépris total de la loi.

Les limites du droit

Dans les observations que nous venons de transmettre (à lire ici) , nous rappelons qu’aussi bien le Conseil d’État que le Conseil constitutionnel ou la CNIL avaient formellement exprimé leurs craintes quant aux dérives potentielles de ce fichier. Ces institutions avaient exigé des limites et des garanties fortes afin de contenir ces risques et demandaient à ce que cette base de données soit exclusivement utilisée pour la délivrance des titres d’identité. Elles avaient toutes expressément déclaré ce fichier légal car il ne permettait pas, entre autres, d’identifier une personne.

Malgré cette unanimité, la pratique policière s’est installée, en contradiction totale avec l’esprit du cadre qui a créé le fichier TES. Cela démontre une fois de plus les limites, voire l’impuissance, du droit face aux obsessions de surveillance de l’État. Nous le constatons depuis toujours : dès que les autorités disposent d’une capacité d’obtenir des informations sur la population, cela leur brûle les doigts de l’utiliser pour identifier, contrôler, réprimer. Le soin de respecter les règles n’est alors que cosmétique, surtout quand il n’existe aucun contrôle effectif sur l’activité de la police, permettant ainsi à l’impunité de se propager.

Plutôt que d’empêcher un tel abus, c’est exactement le choix inverse qu’a fait le ministère de l’Intérieur en laissant prospérer ce détournement du fichier TES. Il l’a également volontairement facilité. En 2023, la loi de programmation dite « LOPMI » a assoupli le régime des réquisitions judiciaires, permettant « la remise de données relatives aux documents d’identité » sur la base d’une simple instruction générale (un mécanisme qui permet à un procureur de la République de délivrer une autorisation générale, et non circonstanciée, c’est-à-dire sans s’arrêter sur le cas d’espèce pour vérifier que la réquisition serait véritablement nécessaire à l’enquête et proportionnée). Si nous ne sommes malheureusement pas surpris, cet énième exemple témoigne du mépris de ceux qui nous gouvernent pour les droits fondamentaux et les principes démocratiques : tout est bon pour renforcer les techniques de surveillance et le fichage de la population.

S’attaquer au monstre

Le ministère de l’Intérieur doit être mis face à ses responsabilités et sanctionné. Le détournement et l’utilisation des données du fichier TES doivent être condamnées et doivent cesser immédiatement. Mais au-delà, il faut également comprendre que cet exemple est révélateur d’un phénomène plus large : celui de l’échange débridé et démesuré des données au nom du droit de « réquisition » (ou de « communication » quand il s’agit d’administrations fiscales ou sociales). En effet, ces pouvoirs généraux permettent à la police ou à d’autres institutions d’exiger des données pour une enquête pénale, fiscale ou administrative. C’est ainsi que, via cette prérogative, les organismes de sécurité sociale – CAF, Assurance Maladie… – peuvent récupérer le détail des comptes bancaires, ou que la police peut demander des factures d’électricité.

Or, cette possibilité très large de se voir transmettre des informations s’est construite sans prise en compte des règles de protection des données spécifiques à chaque traitement. Elle n’est guidée que par une logique d’efficacité supposée, réduisant le respect des droits fondamentaux à l’état de vulgaires obstacles à dépasser ou à contourner. Les limites et garanties propres à ces traitements de données sont, d’une certaine manière, écartées au nom du pouvoir de réquisition, ce qui rend difficile le constat d’abus ou de détournement. À l’heure ou tout est informatisé et où la quantité de données communicables est immense, il est nécessaire de questionner profondément ce mécanisme, source d’abus et d’excès.

Par-dessus tout, il faut continuer de combattre le système tentaculaire des fichiers administratifs et policiers. Celui-ci n’en finit pas de s’étendre, sans qu’aucun contrôle sur le travail de la police ne soit fait au quotidien. En effet, la démultiplication des outils facilite la collecte et l’accès aux données, permettant aux agents de rajouter des informations et de contrôler les personnes dans de plus en plus de situations. Cette capacité de surveillance est aujourd’hui devenue un monstre, avec plus d’une centaine de fichiers de police aux périmètres toujours plus larges. Les conséquences sont bien réelles pour les personnes qui s’y trouvent, celles-ci pouvant aussi bien se faire refuser un emploi que recevoir une obligation de quitter le territoire de par leur seule présence dans un fichier. En parallèle, la répression s’intensifie sur les personnes qui refuseraient de se soumettre au fichage, les mettant face à des poursuites et sanctions disproportionnées. Cette surveillance est un piège, auquel il semble de plus en plus difficile d’échapper.

Nous l’écrivions déjà en 2016 : « L’histoire nous rappelle combien la capacité à résister à des dérives autoritaires passe par la faculté d’échapper au contrôle étatique, notamment sur son identité. Les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s’appuie sur un fichage de sa population ».

Ce combat, qui promet d’être long, est possible grâce à votre soutien. Nous espérons pouvoir le continuer pour les années à venir, alors n’hésitez pas à nous faire un don. Merci !