Le portail de l'ANTS a été piraté le 15 avril dernier. Cinq jours plus tard, le ministère de l'Intérieur confirmait les faits et précisait : "Les données biométriques n'ont pas été touchées." Bien. Mais si elles n'étaient pas là… où sont-elles ? Sur quels serveurs sont stockées vos empreintes digitales ? Par qui sont-elles gérées, avec quels accès et quels équipements ? Derrière la puce de votre passeport, il y a toute une infrastructure construite en plusieurs couches, par plusieurs acteurs, et sur plusieurs continents.
Le passeport biométrique est délivré en France depuis juin 2009. En seize ans, son architecture de données n'a jamais vraiment été expliquée clairement. Voici ce qu'elle contient.
Qu'y a-t-il dans la puce de votre passeport ?
Un passeport biométrique contient une puce RFID conforme à la norme ICAO 9303 de l'Organisation de l'aviation civile internationale. Cette dernière embarque votre état civil, une photographie numérique et deux empreintes digitales (principalement les index). Elle intègre aussi un certificat cryptographique permettant de vérifier l'authenticité du document.
La puce ne livre pas ses données à n'importe quel lecteur. Elle s'appuie sur deux protocoles de protection. Le BAC (Basic Access Control) protège les données d'état civil. L'EAC (Extended Access Control) rajoute une autorisation supplémentaire pour pouvoir accéder à vos empreintes. Le terminal de lecture doit prouver qu'il est habilité avant que la puce transmette quoi que ce soit.
En revanche, la puce ne chiffre pas les données au sens strict. Elle contrôle l'accès. Une fois l'autorisation accordée, les informations transitent en clair entre la puce et le terminal. Précisons aussi que les données sur la puce ne sont que des copies.
TES : des dizaines de millions de profils biométriques gérés par le ministère de l'Intérieur
Quand vous faites une demande de passeport en mairie, vos empreintes atterrissent à deux endroits. Elles se trouvent non seulement dans la puce du document physique, mais également dans la base TES, pour Titres Électroniques Sécurisés. Créée initialement en 2008 pour les seuls passeports, elle a été étendue aux cartes nationales d'identité par le décret n° 2016-1460 du 28 octobre 2016, sous le gouvernement Valls. La CNIL avait émis de fortes réserves et recommandé un passage par le Parlement. Le décret est passé quand même, sans vote du Parlement.
TES centralise les données biométriques (photo et empreintes, principalement les index) de l'ensemble des demandeurs de passeport et de carte nationale d'identité biométrique.
Pour le passeport, les empreintes sont versées dans TES sans possibilité de suppression ultérieure. Pour la CNI, une demande de suppression numérique des empreintes est possible depuis 2021. Elles sont alors conservées sur papier uniquement. Le volume total dépasse 60 millions de profils.
TES n'est pas l'ANTS. Le portail de l'ANTS ne gère que les demandes en ligne, les dossiers, la coordination avec les mairies. De son côté, TES est géré dans un périmètre technique et légal distinct, directement sous la tutelle du ministère de l'Intérieur. C'est pourquoi le piratage du mois dernier n'a pas atteint les empreintes.
Qui peut accéder à vos empreintes, et dans quelles conditions
La police judiciaire peut accéder à TES sur réquisition judiciaire, tout comme la DGSI, et certains services préfectoraux pour vérification documentaire.
Mais les lois adoptées depuis 2017 dans le cadre de la lutte antiterroriste (loi SILT du 30 octobre 2017, loi n° 2021-998 du 30 juillet 2021) ont bien changé la donne. Elles ont élargi les conditions d'accès à certains fichiers et fluidifié les échanges entre services de renseignement. Par ailleurs, TES coexiste avec d'autres bases : le FAED (fichier automatisé des empreintes digitales, utilisé en matière criminelle) et le TAJ (traitement d'antécédents judiciaires). Ces fichiers sont juridiquement distincts mais techniquement interconnectables selon les régimes d'accès. En fait, il n'y a pas vraiment de cartographie précise et publique de ces interconnexions.
Vous ne pouvez pas accéder directement à votre fiche TES comme vous le feriez avec n'importe quel organisme soumis au RGPD. TES relève d'un régime dérogatoire. Pour exercer vos droits, vous devez saisir la CNIL par courrier. Celle-ci effectue les vérifications à votre place et vous communique ce qu'elle est autorisée à transmettre. Le Conseil d'État a par ailleurs précisé que dans ce cadre, l'administration peut vous donner accès à vos données par consultation, sans être tenue de vous en remettre une copie. La CNIL dispose bien d'un pouvoir de contrôle sur TES, garanti par la loi. Mais les résultats de ces contrôles ne sont pas rendus publics dans leur intégralité.
L'Europe a construit son propre système. Vos empreintes y sont si vous avez traversé Schengen.
Au-delà de TES, un deuxième niveau d'infrastructure opère depuis le 12 octobre 2025. L'Union européenne a déployé l'EES (Entry/Exit System), avec une généralisation complète au 10 avril 2026. L'idée est de pouvoir enregistrer les données biométriques de chaque ressortissant non-UE franchissant les frontières de l'espace Schengen. Quatre empreintes digitales et une photo par passage. Ces données sont gérées par eu-LISA, l'agence européenne chargée des grands systèmes d'information. Son centre opérationnel est à Strasbourg, son site de secours à Sankt Johann im Pongau en Autriche. La durée de conservation est de trois ans, mais extensible si la personne a dépassé la durée légale de séjour.
L'EES est interconnecté avec le VIS (Visa Information System) qui archive les biométries des demandeurs de visa et le SIS (Schengen Information System), dédié aux signalements. Un citoyen américain, canadien ou australien qui transite par Roissy voit ses empreintes archivées pour plusieurs années dans cette infrastructure européenne, sans en être nécessairement informé de façon claire.
Il y a donc une vraie différence avec TES. TES stocke les données des ressortissants français pour les besoins de l'identification nationale. eu-LISA constitue un registre de passages transfrontaliers à l'échelle continentale. Le périmètre est différent, mais la logique est identique et vise à centraliser pour contrôler.
Aux USA, vos empreintes sont conservées 75 ans
Le programme OBIM (Office of Biometric Identity Management), anciennement US-VISIT, collecte les empreintes digitales de chaque visiteur étranger à son entrée sur le territoire américain. Le programme a démarré en 2004 avec deux doigts, puis est passé à dix empreintes en 2009. Les données sont conservées 75 ans selon les règles du Department of Homeland Security, pour tous les ressortissants étrangers, sauf exceptions diplomatiques.
Un Français passé par New York ou Los Angeles depuis 2004 est dans la base OBIM. Il n'y a aucun recours possible au RGPD, lequel ne s'applique pas aux administrations américaines. Les données peuvent être croisées avec les fichiers du FBI et du Department of Defense dans le cadre des accords d'interopérabilité biométrique signés par le DHS.
Concrètement, un citoyen français qui voyage régulièrement aux États-Unis depuis vingt ans a constitué, sans le savoir, un dossier biométrique permanent dans une base étrangère. Pour une durée de vie présumée. Sans aucun mécanisme de suppression.
Une chaîne industrielle qui concentre tout
Les passeports français sont fabriqués par IN Groupe (ex-Imprimerie Nationale), qui a absorbé la division identité et biométrie de Thales en 2017, puis IDEMIA Smart Identity en 2024. IN Groupe intègre les composants électroniques (dont la puce) dans les livrets de passeports pour la France et une centaine d'autres pays. IDEMIA Public Security (siège à Courbevoie), entité distincte issue de la même famille industrielle, reste l'un des principaux fournisseurs mondiaux de systèmes de lecture et de traitement biométrique. C'est elle qui a remporté, avec Sopra Steria, le contrat européen pour le déploiement de l'EES auprès d'eu-LISA. C'est aussi elle qui fournit le CBP américain (Customs and Border Protection) et des dizaines d'autres États, dont certains dont les pratiques en matière de droits numériques sont régulièrement critiquées.
Nous avons donc des entreprises d'origine française qui construisent une infrastructure mondiale, mais qui n'exercent aucun contrôle sur l'usage des données une fois les équipements déployés. Les bornes e-gate dans les aéroports européens enregistrent chaque authentification biométrique. En France, les portiques PARAFE sont opérés par la Police aux frontières sous tutelle du ministère de l'Intérieur. Les données remontent ensuite vers eu-LISA via des interfaces nationales. La traçabilité des données entre la borne et le système central, elle, n'est décrite dans aucun document public accessible.
Ce que la loi vous impose, et ce que vous pouvez faire
Depuis juin 2009, donner vos empreintes pour obtenir un passeport n'est plus une option. Pour la carte nationale d'identité, depuis 2021, une demande de suppression numérique des empreintes est possible 90 jours après la délivrance. Elles passent alors sur support papier uniquement. Mais sans aucune empreinte, pas de document. En France, la CNI n'est pas obligatoire. En revanche, vous ne serez pas en mesure de passer le permis de conduire, de prendre l'avion ou encore de vous présenter à un concours national.
Une fois enregistrées dans TES, vos données ne peuvent faire l'objet d'aucune demande d'effacement, ni pendant la validité de votre titre, ni après. Elles y restent 15 ans à compter de la délivrance du document. Vous ne pouvez pas non plus y accéder directement. Il faut passer par la CNIL, chargée de filtrer les données. Vous ne pouvez pas demander la suppression de vos empreintes des fichiers américains du DHS si vous avez transité par les États-Unis.
Pour les données stockées dans l'EES par eu-LISA, la situation est différente. Le règlement européen prévoit un droit d'accès, de rectification et, dans les cas définis par la législation, de demande d'effacement. Les données sont par ailleurs automatiquement supprimées à l'issue du délai de conservation, sans démarche à effectuer.
Vos empreintes digitales sont donc stockées dans au moins trois systèmes distincts selon votre parcours : TES en France, eu-LISA si vous avez franchi une frontière Schengen en tant que non-Européen, OBIM si vous avez mis le pied aux États-Unis depuis 2004. Trois acteurs différents, trois durées de conservation différentes, trois régimes juridiques différents. Et dans les trois cas, la question de votre consentement n'a pas été posée.
