PRÉSIDENCE DE M. Jean-Patrick Courtois
vice-président
M. le président. La parole est à Mme la secrétaire d'État.
Mme Axelle Lemaire, secrétaire d'État auprès du ministre de l'économie, du redressement productif et du numérique, chargée du numérique. Monsieur le président, mesdames, messieurs les sénateurs, ce débat se situe à l’interface entre le passé et l’avenir. Cicéron disait que « si le visage est le miroir de l’âme, les yeux en sont les interprètes ». C’est dire que le corps a un sens et que son utilisation n’est pas anodine. Peut-être est-ce la raison pour laquelle le peuple Masaï, en Tanzanie, refuse d’être photographié, par crainte de voir son âme volée…
Le sujet que nous examinons aujourd’hui suscite une inquiétude bien réelle, répondant à un sentiment d’insécurité de nos compatriotes qu’il faut savoir entendre.
Ainsi, une étude récente du CREDOC montre que les Français sont réservés quant à l’usage de la biométrie dans la vie quotidienne. Ils acceptent que les données biométriques soient utilisées dans le cadre des fichiers de police ou pour l’établissement de pièces d’identité, car cela relève du domaine régalien, de l’institutionnel, de la sécurité nationale. En revanche, leurs réticences sont plus fortes lorsque ces données sont destinées à être utilisées dans un cadre marchand : par exemple, moins de 30 % des Français souhaitent qu’il en soit fait usage pour les transactions bancaires.
Ce constat est paradoxal, sachant que les Français sont très friands d’innovations. La présente proposition de loi a pour objet de résoudre ce paradoxe, en conciliant le choix de l’innovation et la préservation des libertés et du respect de la vie privée.
C’est la raison pour laquelle le Gouvernement considère qu’il est très opportun qu’un tel débat se tienne au Parlement. La législation française est complète et très protectrice des données personnelles, surtout si on la compare à d’autres cadres législatifs en vigueur en Europe ou ailleurs dans le monde. Néanmoins, la loi de 1978 Informatique et libertés ne précise pas quelles doivent être les finalités de la collecte et de l’usage des données biométriques.
Je remercie donc la commission des lois du Sénat, en particulier MM. Gorce et Pillet, d’avoir engagé cette réflexion. Le sujet est fondamental, car il touche à l’intégrité et à la dignité du corps humain. À cet égard, le chapitre II du titre Ier du code civil sous-tend l’ensemble du corpus réglementaire relatif aux données biométriques. On le voit bien, l’esprit du code civil doit nous inspirer dans ce débat. Cela est d’autant plus vrai que les données biométriques ont des caractéristiques particulières : elles sont irrévocables et revêtent un caractère d’unicité et de permanence.
Ce débat s’inscrit dans le contexte d’une réticence des Français quant à l’usage des données biométriques et d’un recours croissant aux applications biométriques. Le nombre des autorisations délivrées par la CNIL ne cesse d’augmenter. Les usages se développent, notamment en matière de paiement de transactions et d’utilisation de la reconnaissance faciale ou vocale pour l’ouverture de sessions sur des terminaux mobiles.
Faut-il d’emblée s’insurger ? Certaines applications concrètes nous montrent que certains usages des données biométriques peuvent être utiles. Nous comptons en France des entreprises leaders, au niveau mondial, en matière de développement de terminaux biométriques reposant par exemple sur l’usage de deux types de données, pour limiter les risques d’usurpation d’identité. La biométrie est donc utile pour répondre au sentiment d’insécurité né du progrès technologique.
On peut également citer d’autres applications, ayant vu le jour, en particulier, au sein du pôle de compétitivité de Lille. Il est notamment possible de développer des prototypes de systèmes de paiement avec authentification biométrique et stockage sécurisé sur un support détenu par les individus. En l’occurrence, il s’agit de régler une transaction commerciale au moyen d’un support autonome et individuel contenant les données biométriques d’une personne, sans stockage par une entreprise ou une tierce partie.
La France est aussi à l’avant-garde de ce que l’on appelle la « crypto-biométrie », qui permet de rendre les données biométriques révocables. En cas de vol de données, il est alors possible de rechercher et de récupérer des données biométriques.
Je me permets de vous alerter, mesdames, messieurs les sénateurs, sur le risque de bloquer la recherche et le développement dans ce secteur.
On a évoqué l’exemple du déverrouillage d’un téléphone portable par reconnaissance de l’empreinte d’un seul doigt. En réalité, le niveau de sécurité de cette technique « gadget » est assez faible. Il s’agit surtout là d’un usage qui relève de l’exception domestique au sens où l’entend la CNIL, les données étant stockées dans le téléphone et ne faisant pas l’objet d’une collecte par une tierce partie.
Les cas de figure sont donc très divers, c'est pourquoi il est important de légiférer de manière éclairée, en prenant en compte toutes les applications pratiques.
On peut également citer l’exemple des récentes élections au Mali. En l’absence d’état civil, c’est à la collecte et à la vérification d’empreintes digitales qu’il a été recouru pour organiser un scrutin démocratique, dans un pays où la guerre n’a pas permis d’effectuer un recensement fiable de la population.
Toutefois, les risques liés à l’usage de techniques biométriques sont aussi importants. Je pense notamment à l’usurpation d’identité, qui peut avoir des conséquences graves, ainsi qu’à la perte ou à la corruption des bases de données biométriques. Par exemple, les empreintes digitales qui sont recueillies au moment de l’entrée sur le sol des États-Unis, que ce soit par voie aérienne, maritime ou terrestre, sont conservées pendant soixante-quinze ans. Je dois me rendre à New York à la fin du mois de juin : cela signifie que les Américains détiendront mes empreintes digitales jusqu’en 2089. Est-ce là ce que nous souhaitons pour notre pays et nos concitoyens ? En tout cas, cela aboutit à des pratiques extrêmes, en particulier de mutilation : certaines personnes se brûlent l’extrémité des doigts pour brouiller les pistes.
En outre, il est vrai que la reconnaissance faciale, qui est notamment permise sur certains réseaux sociaux, peut induire un sentiment de dépossession. La recherche de l’identité par l’image, qui est autorisée aux États-Unis, ne l’est pas en Europe, grâce à une législation protectrice, mais pour combien de temps encore ?
Enfin, concernant tout particulièrement les mineurs, il existe sans doute un risque réel de banalisation de l’usage des données biométriques, avec le développement d’une accoutumance et d’une acceptation, lié au confort que peut procurer cette pratique.
Toutes ces questions doivent être posées, c'est pourquoi ce débat est important.
Concernant la proposition de loi, je regrette qu’elle ne soit pas accompagnée d’une étude d’impact économique. Notre pays compte des sociétés innovantes qui ont développé des technologies en lien avec la confiance numérique. Ce secteur, en plein essor, est une source d’attractivité économique pour la France, qui dispose d’une législation protectrice en matière d’utilisation des données : nos sociétés ont dû s’adapter au cadre législatif et réglementaire et développer des technologies qui sont aujourd'hui recherchées à l’étranger. Il eût fallu pouvoir analyser l’impact d’une nouvelle législation sur ce domaine économique et industriel qui emploie des dizaines de milliers de salariés en France.
Nous touchons là à l’économie des données, des data, dont on dit communément, désormais, qu’elles sont le pétrole du XXIe siècle. De fait, les services sont aujourd'hui tournés vers leur collecte, et ils le seront plus encore à l’avenir. À cet égard, il faut s’inscrire dans la tradition des valeurs fondamentales françaises sans pour autant bloquer l’innovation en ce domaine.
Je suis pleinement d’accord avec certaines des propositions formulées par le rapporteur. Par exemple, je souscris à l’idée d’utiliser la biométrie à des fins de sécurité, pour permettre l’accès à des locaux ou à des ordinateurs. D’ailleurs, cette proposition va dans le sens de la jurisprudence de la CNIL, qui autorise l’usage des données biométriques pour l’accès aux locaux ou à la cantine d’une entreprise. En revanche, le recours aux données biométriques n’est désormais plus autorisé pour le contrôle des horaires.
Le rapporteur veut aussi permettre l’utilisation de données biométriques pour l’authentification en vue d’un paiement. Il s’agit là d’une technologie d’avenir, qu’il ne faut pas exclure a priori.
En revanche, il est proposé d’interdire l’usage des données biométriques concernant les mineurs, en particulier pour l’accès aux cantines scolaires. Cela me paraît relever du bon sens. Il est également proposé d’interdire a priori le recours à la biométrie pour accéder à des équipements tels que les piscines. Sur ce point, le débat reste ouvert, mais on peut en effet s’interroger sur l’opportunité d’utiliser ces technologies pour des usages dits de confort.
La proposition de loi aurait également gagné à être accompagnée d’une analyse des risques. En matière de systèmes d’information, un tel document vise à objectiver les mesures de sécurité à prendre pour répondre à des risques identifiés en fonction de certains critères, comme le nombre de personnes concernées, le type de données collectées, l’infrastructure informatique utilisée. Or, en l’espèce, aucune analyse des risques tenant compte des cas particuliers qui peuvent se présenter n’a été conduite.
La proposition de loi n’est pas non plus assortie d’une évaluation d’impact sur la vie privée. Bien que relativement récentes dans le droit des données personnelles, de telles évaluations se répandent aujourd'hui et sont utiles tant au législateur qu’aux citoyens et aux entreprises.
Enfin, mener un travail en collaboration avec des institutions telles que la CNIL ou l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, qui a mis au point certaines méthodes de travail pour développer des processus de certification et des normes de confiance dans d’autres secteurs que celui de la confiance numérique, pourrait être utile.
Le Gouvernement salue le travail des parlementaires. L’objectif doit effectivement être de fixer, par la voie législative, des principes clairs, de nature à guider les autorités administratives indépendantes dans leur travail, sans pour autant freiner l’innovation biométrique. Par exemple, il faut permettre que la recherche et le développement se poursuivent en la matière.
Afin d’améliorer le texte, tout en maintenant l’équilibre qui a été trouvé par la commission des lois, le Gouvernement a déposé un amendement, répondant à deux objectifs précis.
Premièrement, il s’agit de clarifier la finalité pour laquelle les traitements de données pourraient être autorisés. Dans le texte de la commission, deux finalités sont citées : le contrôle d’accès et la protection des personnes, des biens et des données. Cette seconde finalité me semble être la plus pertinente.
Deuxièmement, l’amendement du Gouvernement tend à clarifier la notion d’« intérêt excédant l’intérêt propre de l’organisme ». Cette notion nous semble insuffisamment précise : si elle renvoie à la doctrine technique de la CNIL, elle ne relève pas véritablement du domaine de la loi. Je crois que nous devrions affiner la terminologie juridique en ce domaine, notamment pour continuer à permettre l’utilisation des données biométriques pour les paiements en ligne. Lors d’un paiement, la sécurité ne sert pas seulement l’intérêt du marchand : elle sert aussi celui de l’usager, du consommateur et du marché économique de manière générale, puisque la sécurité de la transaction participe de la confiance des acteurs économiques dans leur ensemble.
Pour toutes ces raisons, je propose de poursuivre la démarche engagée par le Sénat, notamment par la création, si cela vous agrée, d’un groupe de travail qui serait chargé d’affiner la réflexion sur le sujet d’ici à l’examen de la proposition de loi à l’Assemblée nationale. En fonction du calendrier législatif et du calendrier du travail gouvernemental, peut-être sera-t-il possible d’intégrer dans le projet de loi à venir certaines des dispositions qui auront été élaborées par les parlementaires.
Il existe une tradition française de protection des données. Vous l’aurez compris, notre objectif n’est pas d’aller à l’encontre de cette tradition. Au contraire, nous entendons l’affirmer et en faire une source d’attractivité sur le plan international. Pour autant, dans ce débat entre liberté et sécurité, il s’agit aussi de trouver le juste équilibre, pour ne pas freiner l’innovation en France et encourager les acteurs économiques et la puissance publique à agir en conscience. (Applaudissements sur les travées du groupe socialiste, du groupe écologiste et du RDSE.)
M. le président. La parole est à Mme Virginie Klès.
Mme Virginie Klès. Monsieur le président, madame la secrétaire d’État, mes chers collègues, beaucoup de choses ont déjà été dites sur l’utilisation des données biométriques.
Ce qui est peut-être le plus surprenant sur ce sujet, c’est la perception et la connaissance qu’en ont les Français. Comme l’a montré l’étude du CREDOC déjà citée, les Français sont assez nombreux à craindre un détournement des données biométriques par les entreprises privées ou les employeurs. En revanche, ils font confiance aux institutions en matière d’usage des données biométriques, notamment en matière de sécurité. Parallèlement, il me semble qu’ils méconnaissent toutes ces traces biométriques qu’on laisse partout où l’on passe, de façon automatique.
En vous écoutant, madame la secrétaire d’État, je pensais aussi aux phéromones, dont personne n’a encore parlé. Ces substances chimiques un peu particulières, qui signent chaque individu, font partie de ces données biométriques qui feront sans doute un jour l’objet d’investigations de la part des entreprises qui s’intéressent à ces sujets. Pour le coup, il me semble qu’elles sont parfaitement inconnues des Français !
Face aux données biométriques, la population oscille donc entre acceptation, rejet, crainte et inconscience.
De fait, on assiste à une certaine banalisation, qui me semble dangereuse, de ce que l’on appelle la « biométrie de services ». Nous en avons parlé, et M. Pillet l’a particulièrement signalé dans son rapport : il s’agit de tous ces dispositifs qui utilisent la reconnaissance biométrique pour l’accès aux services de restauration ou aux équipements de loisirs. Il existe même, dans un département, des cartes de fidélité gérées au moyen de données biométriques ! Il me semble que tous ces usages banalisés des données biométriques doivent faire l’objet d’une attention particulière de la part du législateur, ainsi que d’un effort de pédagogie et d’explication auprès des Français.
Monsieur le rapporteur, comme vous l’avez très bien dit tout à l’heure, la donnée biométrique, c’est une partie de moi qui m’a échappé à un moment ou à un autre, sans que je l’aie voulu, sans que je l’aie accepté, sans que j’en aie été consciente. C’est pourquoi il me semble important de bien expliquer que la puissance de cet outil est aujourd’hui liée au développement des logiciels et de l’informatique ; profitons du présent débat pour le faire. Tout notre corps, tout ce qui en émane peut être numérisé en suites logiques, conservé de façon très simple, peut laisser des traces dans les logiciels informatiques et, par croisement de fichiers, être retrouvé.
On parle souvent de génétique et de chromosomes. Nous avons tous en tête l’image du petit chromosome XX ou XY, mais la signature chromosomique, ce n’est pas cela : c’est une succession de bases azotées – on a l’habitude, en biologie, de les désigner par leurs initiales, A, T, G et C – qui laisse une trace unique pour chacun dans les logiciels informatiques et permet de nous identifier.
Je ne suis pas certaine que, lorsque l’on parle de données biométriques, les Français pensent à leur comportement face à l’ordinateur, à leur façon de taper sur le clavier. Or il s’agit là de données biométriques importantes, qui, une fois de plus, laissent de nombreuses traces.
Au reste, la frontière qu’établissait autrefois la CNIL entre données « à trace » et données « sans trace » disparaît aujourd’hui, ainsi que vous l’avez souligné, monsieur le rapporteur. Par exemple, toutes les techniques relevant de la reconnaissance faciale sont aujourd’hui traçantes, dans la mesure où, avec le développement de la vidéoprotection, de nombreuses images sont enregistrées, qui permettent de nous retrouver et de nous identifier.
Bien évidemment, je partage toutes les réserves énoncées par notre collègue Gaëtan Gorce sur les données biométriques et leur utilisation. Comme lui, je souscris à la nécessité de les protéger et de les considérer comme une partie de nous, comme une partie du corps humain, à ce titre inviolables, du moins en principe, même si le texte qui est soumis à notre examen aujourd'hui ne va pas jusqu’à donner un statut aux données biométriques.
Néanmoins, comme l’ont dit tant Gaëtan Gorce que M. le rapporteur et Mme la secrétaire d’État, les données biométriques et leur utilisation présentent tout de même des avantages. Heureusement ! Ainsi, elles permettent de limiter les usurpations d’identité.
Sur ce point, nous allons revenir à la discussion que nous avions eue, dans cette assemblée, sur la carte nationale d’identité biométrique. Ce qui faisait alors surtout débat, ce n’était pas tellement la donnée biométrique en elle-même : c’était son stockage. À cet égard, je pense qu’il importe de bien expliquer la différence entre un stockage centralisé, qui ne pourra jamais être sécurisé à 100 % et sera malheureusement toujours potentiellement accessible à des hackers ou à des personnes particulièrement malintentionnées, et un stockage limité à l’endroit, à l’accès que l’on veut protéger, à une carte ou à un badge porté par l’individu, qui conserve ainsi la maîtrise de ses données biométriques.
Il faut aussi bien expliquer la différence entre l’authentification et l’identification d’une personne. L’authentification ne peut se faire qu’en présence du corps et du prolongement du corps qu’est la donnée biométrique.
Il me semble extrêmement important de prendre tous ces éléments en considération et de les expliquer quand on parle aux Français de données biométriques.
La biométrie, ce n’est pas seulement les empreintes digitales ou l’ADN, c'est le comportement, c'est tout ce que notre corps émet, tout ce qui nous signe et que l’on peut aujourd'hui mettre en équations ou en suites numériques pour retrouver notre trace dans de multiples endroits, grâce au formidable développement des logiciels et de l’informatique.
Nous suivrons Gaëtan Gorce et voterons bien entendu cette proposition de loi, tout en restant conscients qu’elle ne règle pas tous les problèmes, qu’elle doit s'inscrire dans un débat sur le numérique et qu’il ne faut pas empêcher le développement technologique et la recherche. Dans un cadre imposé par le législateur, un équilibre doit être trouvé entre ce développement, dont dépend la place de la France en la matière sur la scène mondiale, et le nécessaire respect des libertés publiques et privées.
La présente proposition de loi, me semble-t-il, va dans ce sens. Il reste du travail à faire, des textes à examiner, notamment le projet de loi sur les libertés numériques qui viendra d’ici peu en discussion au Parlement, mais c'est déjà un premier pas important et intéressant que de limiter strictement l’usage des données biométriques à des finalités de sécurité, termes qui ont été explicités en commission par l’adoption de deux amendements du rapporteur et l’examen, ce matin même, d’un amendement du Gouvernement.
C'est donc sans hésitation que nous voterons le texte proposé par Gaëtan Gorce, que nous remercions de son travail, de même que M. le rapporteur. (Applaudissements sur les travées du groupe socialiste, ainsi que sur certaines travées du RDSE et de l'UDI-UC.)
M. le président. La parole est à M. François Fortassin.
M. François Fortassin. Monsieur le président, madame la secrétaire d’État, mes chers collègues, l’ère de la biotechnologie et de l’informatique permet désormais l’entrée des phénomènes propres à la vie de l’espèce humaine dans l’ordre du savoir et du pouvoir, et par conséquent dans le domaine du droit.
Cette nouvelle ère conduit à une mise en réseau croissante de données individuelles, parmi lesquelles certaines, notamment les données biométriques, sont identifiantes. À l’heure de l’essor de la biométrie dans de nombreux domaines de la vie courante, le recours à ces techniques soulève des questions critiques en matière de sécurité et de liberté, auxquelles le législateur se doit de répondre.
La biométrie est un dispositif qui permet d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données sont produites par le corps lui-même et le désignent de façon définitive, permettant de ce fait le « traçage » des individus et leur identification certaine.
La liste des procédés biométriques actuellement opérationnels va de l’identification de l’ADN, de l’empreinte digitale ou de l’empreinte palmaire à la reconnaissance de la rétine, de l’iris, du visage, du contour de la main, de la voix, de l’écriture manuscrite au travers de l’analyse dynamique des gestes usuels accomplis par chacun pour signer ou encore de la façon de taper sur un clavier.
Or le risque est bien aujourd’hui celui de la banalisation du recours à la biométrie, avec la tentation de substituer celle-ci à d’autres outils de sécurisation tout aussi performants, en toutes circonstances. Citons un exemple de cette diversification des usages de la biométrie : le 18 juin 2009, la CNIL a autorisé pour la première fois le recours à un système biométrique reposant sur la reconnaissance du réseau veineux pour lutter contre la fraude à un examen. Cependant, il ne faudrait pas croire que toutes les fraudes peuvent être décelées : dans ce domaine, l’imagination est très fertile…
L’identification biométrique est devenue une pratique courante dans les entreprises, notamment pour le contrôle de l’accès aux locaux, mais aussi pour le contrôle de l’accès physique aux cantines scolaires, aux équipements de loisirs, aux salles de sport, aux cercles de jeux, ainsi que pour le contrôle de l’accès logique à des services ou à des applications, pour la signature de documents électroniques, la gestion d’une carte de fidélité, l’accès à un dossier médical partagé… À ce propos, je pense que la biométrie pourrait également être utile en matière de dons d’organes : ce champ d’application n’a pas encore été totalement exploré.
Cette diversification des usages de la biométrie, qui se double de leur banalisation, est en grande partie due à la souplesse du contrôle opéré par la CNIL. La loi Informatique et libertés de 2004, qui a modifié la loi de janvier 1978, a subordonné la mise en œuvre de tous les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes à l’autorisation préalable de la CNIL, hormis ceux qui sont mis en place pour le compte de l’État : seul l’avis de cette instance est alors requis.
Toutefois, afin de faciliter la tâche de la CNIL, les dispositifs biométriques qui visent une même finalité et des catégories de données et de destinataires identiques sont autorisés par des décisions-cadres de la CNIL appelées « autorisations uniques ».
Les risques d’une généralisation de ce « biopouvoir » sont grands. Je prendrai l’exemple, déjà évoqué par Mme la secrétaire d’État, de l’usage récent de cette technique par un fabricant de téléphones qui a intégré un capteur biométrique permettant le déverrouillage du smartphone par passage du doigt de son utilisateur : ce dispositif a été récemment piraté.
L’initiative de notre collègue Gaëtan Gorce est extrêmement heureuse en ce qu’elle nous met face à nos responsabilités. Quel est l’avenir du traitement des données, notamment de ces données « individualisantes » permettant la traçabilité ?
La NSA – l’agence nationale de la sécurité américaine – a illégalement capté les secrets ou surveillé la simple vie privée des Français dans une mesure jusqu’à présent inégalée. Ainsi, sur une période de trente jours, de décembre 2012 à janvier 2013, la NSA a procédé à plus de 60 millions d’enregistrements de données téléphoniques concernant des citoyens français… L’ampleur de ces débordements est édifiante ! Il reste que le traitement de telles masses de données requiert beaucoup de temps.
La proposition de loi de notre collègue Gaëtan Gorce a le mérite de susciter un questionnement. Elle prévoit de conditionner l’autorisation de la mise en œuvre d’un traitement de données biométriques à une « stricte nécessité de sécurité », définie comme « la sécurité des personnes et des biens, ou la protection des informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible ». Eu égard à la difficulté de modifier l’état antérieur de la législation, le texte prévoit en outre un dispositif transitoire.
J’en viens maintenant aux quelques réserves que le groupe RDSE tient malgré tout à exprimer. Le texte proposé laisse de côté la construction d’une définition des données biométriques. Par ailleurs, les moyens mis à la disposition de la CNIL sont insuffisants, comme l’a fait remarquer M. le rapporteur.
En outre, il semble que le calendrier de cette proposition de loi ait joué. Étant donné l’état actuel des discussions sur le règlement européen relatif au traitement des données personnelles, le texte ne pouvait être que d’une ambition modeste, et l’on peut dire qu’il nous arrive de manière trop précoce, lançant un débat à venir… Dans un délai de deux années, en fonction de l’avancée des négociations à l’échelle européenne, il sera nécessaire de procéder à un certain nombre d’ajustements de la législation française –notamment de la loi du 6 janvier 1978 – à des fins d’harmonisation. Le règlement européen pourrait ainsi substituer à la contrainte a priori un renforcement a posteriori de la responsabilité des opérateurs. Par ailleurs, le Gouvernement doit prochainement présenter un projet de loi sur les libertés numériques, ce qui permettra un débat global sur ces questions recouvrant des enjeux nationaux et internationaux et évitera l’adoption d’une approche par trop stratifiée.
Sous ces réserves, notamment calendaires, mon groupe approuvera la proposition de loi de notre collègue Gaëtan Gorce. (Applaudissements sur les travées du RDSE et du groupe socialiste. – M. Yves Détraigne applaudit également.)