II. LES TERMES DU DÉBAT
A. LA SÉCURISATION DE L'IDENTITÉ PAR LE RECOURS À LA BIOMÉTRIE ET À LA CONSTITUTION D'UN FICHIER CENTRAL DE L'IDENTITÉ
1. La biométrie, technologie d'identification
La biométrie désigne l'ensemble des technologies de reconnaissance physique ou biologique des individus. Celles-ci prennent en compte les différences morphologiques et biologiques qui distinguent un individu d'un autre et permettent de l'identifier parmi plusieurs millions.
La vérification de l'identité d'un individu s'opère par la comparaison entre l'empreinte biométrique enregistrée, sous un format quelconque, papier, photographie ou fichier numérique, et la même empreinte présentée à l'instant du contrôle par l'individu.
Les principales données biométriques actuellement exploitées sont le visage, les empreintes digitales ou palmaires, le contour de la main, l'iris et les empreintes génétiques. D'autres éléments biométriques sont parfois utilisés, mais de manière plus confidentielle, comme la rétine ou le réseau vasculaire de la main.
Cette capacité d'identification de la biométrie autorise en effet trois usages :
- l'identification à des fins de recherche criminelle, dans le cadre notamment de procédures judiciaires. Tel a été historiquement le cas des empreintes digitales, regroupées dans le fichier automatisé des empreintes digitales (FAED) ou celui des empreintes génétiques dans le fichier national automatisé des empreintes génétiques (FNAEG) ;
- la sécurisation des accès à certains sites (site sensible, cantine scolaire...) ou à certaines opérations. L'accès n'est autorisé qu'aux individus dont les empreintes biométriques se retrouvent dans la base ;
- la vérification de l'identité de l'intéressé. C'est le rôle que joue, sur les titres d'identité la photographie du visage de l'intéressé.
Chacun de ces usages sollicite un degré plus ou moins poussé d'identification. On distingue à cet égard l'authentification de l'identification, stricto sensu .
L' authentification consiste à vérifier que l'identité alléguée par une personne est exacte. On compare alors les données biométriques de l'intéressé avec celles que l'on associe à l'identité alléguée. Il s'agit du contrôle effectué notamment à partir du titre d'identité présenté par la personne et qui permet de s'assurer qu'elle en est bien le titulaire légitime. Ainsi, dans le cas du passeport biométrique, les empreintes digitales du détenteur sont comparées avec celles contenues dans la puce électronique du passeport.
L' identification consiste à déterminer l'identité d'une personne uniquement à partir de son empreinte. Elle requiert la constitution d'un fichier central regroupant toutes les empreintes connues et les associant à une identité donnée. Les fichiers de police précités (FAED et FNAEG) sont utilisés à cette fin dans le cadre de recherches criminelles.
2. Une réflexion gouvernementale élaborée à travers plusieurs projets dont aucun n'a été déposé devant le Parlement
Depuis 2001, chacun des gouvernements successifs a réfléchi à la possibilité de mettre en place une carte d'identité biométrique. Si le projet de « titre fondateur d'identité » annoncé en juillet 2001 n'a pas dépassé le stade des travaux préparatoires, le projet INES (pour identité nationale électronique sécurisée) esquissé dès 2003 s'est concrétisé dans un avant projet de loi soumis à la CNIL en mai 2005.
Conçu afin de tirer parti des possibilités de plus haute sécurisation de l'identité que permettaient la biométrie et la constitution d'un fichier central d'identité, le projet INES fusionnait les procédures de délivrance du passeport et de la carte nationale d'identité. L'un et l'autre de ces titres devait être doté d'une puce électronique sur laquelle auraient été enregistrées les données relatives à l'état civil de son titulaire ainsi que sa photographie et ses empreintes digitales numérisées.
Le système proposé articulait quatre fichiers centraux : un fichier d'état civil, un fichier d'empreintes digitales, un fichier d'images faciales numérisées, un fichier des titres avec l'identité et un fichier archivant les justificatifs scannés présentés lors du dépôt de la demande du titre. Il prévoyait que la lecture de la puce électronique puisse s'effectuer « sans contact » physique direct (technologie RFID). Le projet de loi qui devait traduire ces fonctionnalités n'a jamais été déposé.
Le projet INES a donné lieu à une consultation publique, organisée par le Forum des Droits sur l'Internet, qui a remis son rapport au ministre de l'intérieur en juin 2005. L'avant-projet de loi a finalement été retiré.
Deux autres projets lui ont succédé, l'un comme l'autre soumis à la CNIL, respectivement en octobre 2006 pour le projet dit « Protection de l'identité » et en juillet 2008 pour le nouvel avant-projet de loi relatif à la protection de l'identité. Ces travaux n'ont pas abouti au dépôt d'un projet de loi devant le Parlement.
Si la mise en place d'une carte nationale d'identité électronique est maintenue au rang de priorité, le gouvernement a porté son effort en la matière sur la création du passeport biométrique, conformément aux engagements européens de la France. Il a privilégié à cette fin la voie réglementaire.
3. Une première étape : le passeport biométrique
La création en France d'un titre de voyage biométrique répond à des exigences européennes et internationales.
L'organisation de l'aviation civile internationale et les États-Unis exigent, avant 2015 pour les premiers et depuis le 26 octobre 2006 pour les seconds, l'intégration d'au moins une donnée biométrique dans les documents de voyage, qui peut être la photo numérisée du visage de son titulaire.
Le règlement communautaire du 13 décembre 2004 20 ( * ) , du 13 décembre 2004, modifié par le règlement du 28 mai 2009 21 ( * ) , impose aux États membres la création d'un passeport avec puce électronique, pour les citoyens européens âgés de plus de 12 ans et l'inscription, sur cette puce, de diverses informations (identité, taille, yeux etc. ) et des deux données biométriques suivantes : une photographie numérisée du visage et deux empreintes digitales.
Le décret n° 2008-426 du 30 avril 2008 instaurant le passeport biométrique 22 ( * ) est allé au-delà des prescriptions communautaires. Il a notamment prévu :
- la création d'un fichier central, le fichier « TES », regroupant l'ensemble des données recueillies pour la confection du titre, notamment les empreintes digitales, qui constitue le premier fichier de ce type et de cette ampleur en France. L'article 19 du décret précité interdit toutefois l'utilisation des empreintes digitales enregistrées dans ce fichier à des fins de police judiciaire. Le fichier ne comporte par ailleurs pas de dispositif de reconnaissance faciale ;
- le recueil de huit empreintes digitales, enregistrées dans la base. Toutefois seules deux empreintes sont inscrites dans la puce électronique du passeport ;
- l'application de l'obligation de disposer d'un passeport biométrique aux enfants âgés de 6 à 12 ans. La France a ainsi utilisé la possibilité de régime transitoire prévue par le règlement européen. Cet âge devra être relevé à 12 ans, en application du règlement, à compter du 29 juin 2013, le régime transitoire n'étant appelé à durer que quatre ans.
Le projet de décret a fait l'objet d'un avis critique de la commission nationale de l'informatique et des libertés, cette dernière considérant notamment que « si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en oeuvre seraient de nature à porter une atteinte excessive à la liberté individuelle ». Elle a par ailleurs estimé que « l'ampleur de la réforme qui se dessine et l'importance des questions qu'elle peut soulever justifieraient que, comme l'a rappelé à plusieurs reprises, le Parlement soit saisi sous la forme d'un projet de loi, qui lui serait préalablement soumis pour avis » 23 ( * ) .
Quatre requêtes ont été introduites devant le Conseil d'État contre le décret du 30 avril 2008. Elles ont été formées par les associations « Imaginons un réseau solidaire » (IRIS), la Ligue des droits de l'Homme et cinq associations représentant le secteur des photographes professionnels.
Déposées le 30 juin et le 4 juillet 2008, ces requêtes ont donné lieu à une séance publique le 30 juin 2010 qui a conduit à la réouverture de l'instruction et à la tenue d'une audience d'instruction le 8 septembre 2010. De nombreux échanges de mémoires sont intervenus jusqu'à ces dernières semaines. La décision sera rendue prochainement.
4. Des solutions différentes en Europe
La lutte contre la fraude à l'identité constitue, pour l'ensemble des pays européens, une priorité, dernièrement réaffirmée lors du conseil Justice Affaires intérieures des 2 et 3 décembre 2010. À cette occasion, les ministres de l'Intérieur ont examiné et adopté les conclusions sur la prévention de la fraude à l'identité et la lutte contre ce phénomène 24 ( * ) , appelant les États membres à se coordonner, échanger les informations nécessaires et veiller à ce que les documents « sources » d'état civil remplissent certaines conditions minimales de sécurité et de contenu pour être délivrés.
Pour autant les solutions de sécurisation de l'identité diffèrent sensiblement d'un État à l'autre.
Si plus de douze pays ont adopté une carte nationale d'identité électronique, en revanche, peu prévoient l'inclusion de données biométriques et presqu'aucun la mise en place d'un fichier central.
Le tableau ci-dessous présente la situation chez les voisins immédiats de la France :
|
Carte d'identité |
Allemagne |
Royaume-Uni |
Espagne |
Belgique |
Italie |
|
Obligatoire ou facultatif |
Facultatif |
Pas de carte |
Obligatoire |
Obligatoire |
Facultatif |
|
Collecte d'empreintes digitales |
Facultatif |
Non |
Obligatoire |
Non |
Obligatoire |
|
Base centrale d'empreintes |
Non |
Non |
Oui |
Non |
Non |
|
Utilisation d'un numéro unique |
Non |
Pas de carte |
Oui |
Oui |
Non |
|
Maîtrise par l'intéressé des données divulguées lors d'une utilisation « internet » |
Oui |
Pas de carte |
Non |
Non |
Non |
|
Date de lancement |
2010 |
Pas de carte |
2006 |
2005 |
Non renseigné |
|
Remarques |
Puce sans contact Authentification mutuelle de la puce et du lecteur (norme allemande PACE dérivée de la norme EAC du passeport) |
Abandon de la carte et du fichier central après les élections de 2010 |
Les empreintes digitales sont collectées pour la carte d'identité espagnole depuis les années 50. |
Une carte pour les résidents étrangers et une carte pour les enfants existent également. |
Historiquement, deux types de cartes existaient en Italie. Le succès est limité à ce jour (quelques millions de carte) |
Source : CNIL
S'agissant du passeport biométrique, selon les informations fournies à votre rapporteur par le groupement professionnel des industries de composants et de systèmes électroniques (Gixel) ainsi que par M. Sébastien Huyghe, commissaire de la CNIL au cours de leur audition, l'Allemagne, l'Espagne et le Portugal, à la différence des Pays-Bas et de la Finlande, ont écarté la solution consistant à créer une base centrale : les informations biométriques sont uniquement enregistrées sur le titre.
5. Des enjeux économiques, financiers et industriels à prendre en considération
Le débat sur la création d'un nouveau titre d'identité biométrique ne se limite pas aux questions de sécurisation et de préservation des libertés publiques. D'autres enjeux entrent en ligne de compte.
• La sécurisation des échanges électroniques
Les projets initiaux du gouvernement tendaient à doter la carte nationale d'identité électronique d'une fonctionnalité d'identification et de « signature électronique » en vue de faciliter les démarches et les transactions, administratives ou privées.
Une telle fonctionnalité renforce l'attrait que peut présenter ce titre, puisqu'elle complète l'usage régalien qui en est fait par un usage quotidien. Le succès rencontré par la carte d'identité numérique belge, déployée à plus de 9 millions d'exemplaires depuis 2004, montre l'intérêt d'un tel dispositif pour les citoyens. Il convient toutefois d'observer que cette fonctionnalité est indépendante des choix effectués sur la mise en place ou non d'un contrôle biométrique de l'identité à partir des empreintes digitales ou de la constitution d'un fichier central biométrique : le dispositif belge ne prévoit ainsi ni l'un, ni l'autre.
La mission d'information de votre commission, sur la nouvelle génération de documents d'identité et la fraude documentaire avait proposé de développer les fonctions d'authentification à distance et de signature électronique qu'autorisent les titres d'identité électronique. Toutefois, elle avait formulé plusieurs recommandations concernant l'accès égal des citoyens à ces services et le champ qu'ils devaient couvrir : « ces nouvelles fonctions devraient être limitées dans un premier temps à la sphère publique et ne devraient servir de prétexte ni à des vérifications abusives de l'identité des personnes ni à une remise en cause de la possibilité d'échanges électroniques anonymes. L'utilisation de ces fonctions devrait être ouverte à tous sur l'ensemble du territoire. L'utilisation d'un titre électronique pour des transactions privées requiert à ce stade une grande prudence en raison du respect de la concurrence, de la protection de la vie privée et des risques de mise en jeu de la responsabilité de l'État au regard de la prestation de services de certification » 25 ( * ) .
Ces recommandations imposent de faire certains choix : sur la maîtrise par l'intéressé des informations transmises, sur le caractère optionnel ou non du dispositif, sur le périmètre des services couverts et sur la garantie que ceux qui n'auraient pas souscrit à cette fonctionnalité ne se verront pas refuser l'accès, pour ce seul motif, à un service commercial ou administratif.
• Le coût pour les administrés et les collectivités locales
Dans les travaux qu'elle a consacré à la question du passeport biométrique, notre excellente collègue, Mme Michèle André a souligné l'inflation fiscale subie par les administrés en raison de l'augmentation du droit de timbre, ainsi que la question de la juste indemnisation des communes auxquelles incombe une nouvelle charge de travail 26 ( * ) . Notre excellent collègue Alain Anziani a dressé le même constat 27 ( * ) . La création d'une carte d'identité électronique, pourrait autoriser des économies d'échelle en raison de la grande similarité des deux documents, tels qu'ils sont aujourd'hui conçus.
• Un enjeu industriel ?
Les représentants des industries oeuvrant dans le domaine de la sécurité numérique et biométrique, regroupées au sein du Gixel (groupement professionnel des industries de composants et de systèmes électroniques) ont insisté sur le fait que la carte nationale d'identité électronique pourrait contribuer au développement économique de la France, notamment par les effets positifs de la sécurisation de l'identité dans les échanges commerciaux. Ils ont aussi fait valoir que « l'absence de projets en France, pays qui a inventé la carte à puce et possède les champions du domaine, ne permet pas la promotion internationale d'un modèle français de gestion de l'identité. Leurs succès à l'international, face à une concurrence allemande ou américaine seront plus nombreux, s'ils peuvent s'appuyer sur un projet concret national ».
* 20 Règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.
* 21 Règlement (CE) n° 444/2009 du Parlement européen et du Conseil du 28 mai 2009 modifiant le règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.
* 22 Décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électronique.
* 23 CNIL, délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'État modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.
* 24 Conclusions du 3051 e Conseil Justice et Affaires intérieures, des 2 et 3 décembre 2010 sur la prévention de la criminalité liée à l'identité et la lutte contre ce phénomène et sur la gestion de l'identité, y compris la mise en place et le développement d'une coopération structurée permanente entre les États membres de l'Union européenne.
* 25 Rapport d'information de la mission d'information sur la nouvelle génération de documents d'identité et la fraude documentaire, op. cit. , p. 9 et 75-88.
* 26 « La nouvelle génération de titres d'identité : bilan et perspectives », rapport d'information n° 486 (2008-2009) de Mme Michèle André, fait au nom de la commission des finances, déposé le 24 juin 2009 et « le véritable prix du passeport biométrique », rapport d'information n° 596 (2009-2010) de Mme Michèle André, fait au nom de la commission des finances, déposé le 30 juin 2010.
* 27 « Projet de loi de finances pour 2011 : Administration générale et territoriale de l'État », avis n° 116 (2010-2011) de M. Alain Anziani, fait au nom de la commission des lois, déposé le 18 novembre 2010.