III. SUIVRE AVEC VIGILANCE LA MISE EN PLACE DES TITRES SÉCURISÉS
L'année 2009 a été marquée par le déploiement de deux titres sécurisés, le passeport biométrique et le certificat d'immatriculation des véhicules.
En premier lieu, le passeport biométrique est entré en vigueur le 28 juin 2009 conformément au règlement européen n° 22552/2004 du 13 décembre 2004.
En second lieu, le nouveau certificat d'immatriculation des véhicules (mieux connu sous le nom de « carte grise »), qui s'inscrit dans le système d'immatriculation à vie des véhicules (SIV) 12 ( * ) , est opérationnel depuis le 15 avril 2009 pour les véhicules neufs et depuis le 15 octobre 2009 pour les véhicules d'occasion.
L'Agence nationale des titres sécurisés (ANTS) est au coeur du dispositif. Créée par le décret n° 2007-240 du 22 février 2007 , modifié par le décret n° 2008-1285 du 9 décembre 2008 , elle s'est vue confier la responsabilité d'assurer le passage à cette nouvelle génération de titres d'identité et s'est immédiatement imposée comme le pôle de référence dans ce domaine, en coordonnant l'action des différents acteurs du processus.
L'agence a, jusqu'à présent, su remplir dans un calendrier serré et avec des moyens limités (128 personnes en 2009 13 ( * ) et un budget de 263 millions d'euros) les objectifs qui lui étaient fixés, comme l'atteste en particulier le respect de la date du 28 juin 2009 pour le passage au passeport biométrique.
A. ÊTRE ATTENTIF À L'APPARITION DE NOUVELLES « MÉMOIRES NUMÉRIQUES »
1. La lutte contre la fraude documentaire
La mise en place des titres sécurisés, aujourd'hui le passeport biométrique et le certificat d'immatriculation des véhicules, demain, sans doute, la carte d'identité biométrique ( cf infra ) répondent avant tout à un objectif de sécurité publique puisqu'ils permettent de lutter plus efficacement contre la fraude documentaire , comme l'a souligné, en 2005, le rapport intitulé « identité intelligente et respect des libertés » de notre collègue M. Jean-René Lecerf 14 ( * ) . Ils s'inscrivent dans la recherche d'une sécurité collective toujours plus infaillible, en particulier depuis les attentats du 11 septembre 2001.
En effet, les technologies sont de plus en plus perçues comme de nouvelles possibilités de lutte contre l'insécurité et de nombreuses personnes ne voient pas d'inconvénient majeur à être tracées ou surveillées dès lors qu' « elles n'ont rien à se reprocher, ni à cacher ». Ce déplacement du point d'équilibre entre sécurité et liberté explique d'ailleurs certains glissements sémantiques : ainsi, par exemple, le terme de « vidéosurveillance » tend à être remplacé par celui de « vidéoprotection ».
Si votre rapporteur comprend les raisons du relèvement du seuil de tolérance de la population vis-à-vis des systèmes de surveillance et de contrôle, votre rapporteur insiste sur le fait qu'ils font naître mécaniquement de nouvelles « mémoires numériques » susceptibles de suivre un individu dans l'espace et le temps, comme viennent de le souligner nos collègues Mme Anne-Marie Escoffier et M. Yves Détraigne dans un récent rapport 15 ( * ) . Il convient donc de faire preuve de la plus grande vigilance dans leur mise en place.
2. La création de la première base centrale de données biométriques en France
En l'espèce, force est de reconnaître, s'agissant du passeport biométrique, que le Gouvernement est allé au-delà des exigences du règlement européen précité de 2004 .
En effet, alors que son article 6 n'impose à la France que l'introduction dans le passeport de la photo faciale et de deux empreintes digitales, le décret n° 2008-426 du 30 avril 2008 a prévu, d'une part, le recueil de huit empreintes digitales , d'autre part, la conservation en base centrale de l'image numérisée de ces dernières ainsi que de celle du visage du titulaire.
Sur le premier point, votre rapporteur juge a priori étonnant l'écart entre le nombre d'empreintes recueillies (huit) et le nombre d'empreintes que comprend la puce du passeport biométrique (deux).
En réponse au questionnaire adressé à votre rapporteur, le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales a mis en avant le besoin de pallier la mauvaise qualité de certaines empreintes digitales (doigts entaillés, empreintes dégradées par les conditions de travail...) et donc la nécessité de pouvoir se réserver la possibilité de choisir deux empreintes parmi plusieurs.
Pour autant, comme notre collègue Mme Michèle André, rapporteure spéciale des crédits de la mission AGTE, dans son récent rapport sur les titres sécurisés 16 ( * ) , votre rapporteur s'interroge sur les utilisations ultérieures pouvant être faites des huit empreintes ainsi collectées et note d'ailleurs que la plupart de nos partenaires au sein de l'Union européenne ont fait le choix de s'en tenir à deux empreintes digitales.
Le second point est peut-être plus inquiétant encore . Dans sa délibération n° 2007-368 du 11 décembre 2007 portant avis sur le projet de décret en Conseil d'Etat qui est devenu le décret précité du 30 avril 2008, la Commission nationale de l'informatique et des libertés (CNIL) a souligné « qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif ». En conséquence, elle a regretté la mise en place d'un fichier central comportant photographies et empreintes, notant qu'il s'agirait de la première base centralisée de données biométriques à finalité administrative concernant les citoyens français.
La CNIL, tout en prenant acte des garanties prises pour assurer la sécurité de cette base, qui sera séparée des autres fichiers de gestion et accessible uniquement dans des conditions strictement encadrées, a estimé que sa création était disproportionnée au regard des finalités poursuivies. Elle a d'ailleurs observé que certains Etats membres de l'Union européenne (Allemagne par exemple) avaient mis en oeuvre les passeports biométriques sans pour autant créer des bases centrales.
En réponse au questionnaire adressé par votre rapporteur, le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, a défendu ses choix au moyen de trois arguments principaux.
En premier lieu, il soutient que la création d'une base centrale présente des avantages importants dans la lutte contre la fraude commise par une personne ne présentant pas le titre dont elle demande le renouvellement et qui cherche à se faire délivrer différents titres sous des identités différentes par des services administratifs dispersés sur le territoire français. Le ministère souligne qu'en ce domaine, l'usurpation d'une identité réelle est la principale source de fraude et qu'elle porte un préjudice considérable, matériel et moral, à la personne qui en est victime.
En second lieu, le recours à ce système central serait également justifié par le fait que la France, contrairement à certains de ses partenaires comme l'Allemagne, l'Espagne ou le Portugal, ne dispose pas de fichier d'ensemble de sa population , la carte d'identité n'y revêtant pas un caractère obligatoire.
Enfin, le ministère a souligné que le projet était assorti de très fortes garanties qui permettent d'écarter, selon lui, le risque d'utilisation dévoyée des données figurant dans la base centrale :
- un accès à la base limité à des agents individuellement habilités ;
- une traçabilité des accès et des actions effectuées ;
- une conservation des données enregistrées dans la base dans des fichiers distincts lorsqu'elles relèvent de catégories différentes (état civil - photographie - empreintes digitales). Le mécanisme dit de « double-hachage » rendrait impossible l'accès à un état civil à partir des empreintes digitales ou de la photographie du titulaire du passeport. Enfin, la base ne comporte aucun dispositif de recherche en identification et de reconnaissance faciale ;
- une durée de conservation des données limitée à quinze ans lorsque le titre est délivré à un majeur et à dix ans lorsqu'il est délivré à un mineur ;
- un cadre législatif posé par la loi « informatique et libertés » qui rend passible de poursuites pénales la méconnaissance des règles de fonctionnement des traitements automatisés.
3. Les recommandations de votre commission
Votre commission souligne la nécessité de respecter avec la plus grande rigueur les garanties ainsi exposées. Elle ajoute que le ministère devra veiller à la fiabilité permanente du système de sécurité mis en place afin de résister à toute tentative d'intrusion extérieure . L'évolution des technologies rend en effet rapidement obsolète un système de sécurité qui était hier encore inviolable. L'actualisation des anti-virus illustre cette course constante entre le bouclier et le glaive.
Si, en France, assez peu de scandales ont révélé des failles de sécurité graves, à l'étranger les exemples sont nombreux. A chaque fois, ce sont des centaines de milliers de personnes, voire plusieurs millions, dont les données sont perdues ou, ce qui est plus dangereux, volées.
* 12 Voir pour une description complète du SIV l'avis n° 104 (2008-2009) sur le projet de loi de finances pour 2009 de M. Alain ANZIANI, fait au nom de la commission des lois, déposé le 20 novembre 2008. Ce rapport est disponible sur Internet http://www.senat.fr/rap/a08-104-1/a08-104-1.html .
* 13 Ces effectifs se répartissent comme suit : 38 fonctionnaires de catégorie A, 26 de catégorie B et 64 de catégorie C.
* 14 Rapport d'information de M. Jean-René LECERF, fait au nom de la commission des lois et de la mission d'information de la commission des lois, rapport n° 439 (2004-2005) du 29 juin 2005, disponible sur Internet : http://www.senat.fr/noticerap/2004/r04-439-notice.html .
* 15 Rapport d'information de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER, fait au nom de la commission des lois, rapport n° 441 (2008-2009), rapport du 27 mai 2009, rapport disponible sur Internet : http://www.senat.fr/noticerap/2008/r08-441-notice.html .
* 16 Rapport disponible sur Internet http://www.senat.fr/noticerap/2008/r08-486-notice.html