Depuis l’été dernier, les fuites de données personnelles se succèdent en France avec une régularité qui change la nature même du sujet. Bouygues Telecom a reconnu, le 6 août, un accès non autorisé aux données personnelles de 6,4 millions de clients. Le 1er décembre, France Travail et le réseau des missions locales ont révélé que les informations relatives à 1,6 million de jeunes - nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresse postale et électronique, numéro de téléphone - étaient susceptibles d’être divulguées. Ce même mois, plusieurs dizaines de fiches confidentielles ont été extraites du Traitement d’antécédents judiciaires (TAJ) et du Fichier des personnes recherchées (FPR) lors d’une attaque informatique qui a touché le ministère de l’intérieur. Début janvier, l’Office français de l’immigration et de l’intégration (OFII) a confirmé un vol de données chez un sous-traitant.

La CNIL indique avoir reçu 5 629 notifications de violations de données personnelles en 2024, soit une hausse de 20 % par rapport à l’année précédente, et observe une recrudescence des opérations de très grande ampleur, celles qui touchent plus d’un million de personnes.

Un "super fichier" officieux de la population

C’est ici qu’une lecture contre-intuitive, et réaliste, devient possible. Nous basculons, de fait, dans une ère d’ultra-transparence. Les citoyens n’ont pas cessé de tenir à leur vie privée, mais l’exposition répétée de leurs données personnelles devient un bruit de fond, une routine. Le point dur n’est pas la fuite prise isolément. C’est la tentative, par des acteurs criminels, de relier les fuites entre elles pour fabriquer un profilage complet, un "super fichier" officieux de la population qui permet phishing ciblé, usurpation d’identité, réinitialisation de mots de passe et détournements de comptes.

L’épisode Pass’Sport - une subvention de 70 euros à destination de certains jeunes qui s’inscrivent dans un club - illustre ce mécanisme de jonction. Par construction, les dispositifs d’aide croisent des sources pour vérifier l’éligibilité des bénéficiaires et déclencher le versement d’une prestation. Après dédoublonnage, le fichier dérobé il y a quelques semaines concernerait environ 3,5 millions de foyers.

Si du point de vue individuel, l’usurpation d’identité peut entraîner des préjudices concrets, d’un point de vue global, l’exception devenant la norme, la société s’habitue au fait que la confidentialité absolue n’est plus un état naturel. Le débat utile est de passer de l’indignation rituelle à l’ingénierie de la résilience.

Le défi de demain : l’authentification

Dès lors que quiconque pourra, demain, consulter des données administratives, le problème central n’est plus l’accès à l’information, mais la preuve de l’identité. Quand le nom, le prénom, la date et le lieu de naissance, l’adresse, parfois même des identifiants spécifiques, cessent d’être rares, ils deviennent de simples métadonnées. Ceci est d’autant plus vrai à l’ère de l’IA générative, capable de produire de faux documents troublants de réalisme. La rareté se déplace donc vers l’authentification, autrement dit la capacité de chacun à démontrer, de façon robuste, qu’il est bien la personne décrite par le document.

Dans ce monde, la logique la plus probable est le couplage entre données administratives et biométrie. Cette trajectoire prolonge une histoire longue. La preuve de l’identité s’est construite par couches. En France, la Révolution laïcise l’état civil avec le décret du 20 septembre 1792 qui organise l’enregistrement public des naissances, mariages et décès dans des registres.

Au XIXe siècle, l’État et la police renforcent leurs fichiers pour qualifier et contrôler les individus, notamment via les passeports dont la genèse montre la tension permanente entre surveillance des déplacements et identification des personnes. Aujourd’hui, la norme internationale ICAO Doc 9303 impose une biométrie interopérable dans les passeports électroniques avec une image faciale obligatoire, et des biométries additionnelles possibles comme l’empreinte ou l’iris, mais celle-ci n’est contrôlée que lors du franchissement des frontières.

Dans une société d’ultra-transparence, la sécurisation de l’identité n’est pas une option morale mais un impératif opérationnel, qui nécessitera que les outils de contrôle se diffusent dans les services de l’Etat et du secteur privé, en physique comme sur Internet. C’est là que les opposants à la biométrie, au nom des libertés publiques, font une erreur d’analyse majeure. Elle seule permettra de préserver la tranquillité des citoyens face aux fuites.