C. LES OPTIONS DISPONIBLES
La proposition de loi de nos collègues MM. Jean-René Lecerf et Michel Houel, constitue pour le législateur la première occasion véritable, depuis le début de la réflexion engagée par les gouvernements successifs sur la question du titre d'identité électronique, de se prononcer sur les choix à effectuer afin de garantir la sécurité de l'identité de nos concitoyens et de lutter contre les fraudes documentaires, dans le respect de la liberté individuelle.
Trois questions se posent.
1. Faut-il utiliser la biométrie pour sécuriser l'identité ?
La première question qui se pose, s'agissant de la généralisation des titres d'identité biométrique est celle de l'utilisation des données biométriques à des fins de vérification de l'identité des individus.
Votre rapporteur constate que cette utilisation n'a pas été contestée par les personnes qu'il a entendues, mais à la condition toutefois que l'intéressé conserve la maîtrise des données servant à son identification. Tel est le cas notamment lorsque les empreintes ne sont enregistrées que sur le document d'identité qu'il détient.
Dans une telle configuration, les sécurisations techniques du titre d'identité, qui le rendent infalsifiable, permettent à l'empreinte biométrique d'être utilisée pour sécuriser l'identité de l'intéressé, puisqu'il est techniquement très difficile de modifier cette empreinte.
2. Faut-il mettre en place un fichier central d'identité biométrique ?
• Une base centrale de données biométriques pour lutter contre l'usurpation d'identité
Le recours à un fichier central des titres d'identité biométrique doit permettre de garantir qu'une même personne ne pourra disposer de deux identités différentes, puisque ces empreintes biométriques ne pourront correspondre qu'à une seule identité.
Ce dispositif ne prémunit pas contre l'usurpation initiale d'identité - c'est là le rôle des vérifications opérées en amont dans la chaîne de l'identité, notamment sur les extraits d'actes d'état civil fournis à l'appui de la demande - mais il interdit la multiplication de fausses identités ou d'identités usurpées.
Il ne constitue certes pas le seul instrument de lutte contre les usurpations d'identité 32 ( * ) . Toutefois, il est l'un des plus efficaces.
• La crainte de la constitution d'un fichier national de la population française
M. Jean-Claude Vitran, représentant de la Ligue des droits de l'homme a considéré que la base biométrique, équivalait à la création d'un unique grand fichier général de la population française, croisant à la fois une identité civile et légale et une identité physique, ce que ne permet pas, en l'état actuel du droit, le répertoire national d'identification des personnes physiques (RNIPP) tenu par l'INSEE.
Évoquant les heures sombres de notre histoire, il a jugé la recherche d'une sécurité absolue de l'identité dangereuse, et s'est inquiété de l'usage qu'un régime différent de celui de la République pourrait faire de tels moyens.
3. Quelle(s) finalité(s) assigner au fichier central d'identité biométrique et de quelles garanties l'entourer ?
a) Le choix de la finalité de la base
La base centrale des données biométriques autorise deux usages :
- la vérification qu'une même personne n'est pas enregistrée sous deux identités différentes dans le système. La finalité est ici gestionnaire, il s'agit de garantir qu'un titre est attribué à la bonne personne ;
- l'identification en matière de police, par comparaison des traces relevées sur une scène de crime par exemple avec les données enregistrées dans la base. La finalité poursuivie est ici de recherche judiciaire. Il peut aussi s'agir de retrouver l'identité d'une personne désorientée ou d'identifier un corps.
Votre rapporteur observe que la proposition de loi se donne pour finalité exclusive la gestion et la sécurisation des titres d'identité et qu'elle ne mentionne pas l'éventualité d'une utilisation à des fins policières.
On peut s'interroger sur la légitimité du glissement de cette première finalité vers la finalité accessoire que constituerait l'utilisation du fichier à des fins de recherches criminelles.
Actuellement, l'usage des fichiers portant sur des données personnelles dans le cadre d'investigations policières ou judiciaires emprunte deux formes :
- les fichiers de police proprement dits, comme le fichier automatisé des empreintes digitales (FAED) ou le fichier national automatisé des empreintes génétiques (FNAEG), dont l'objet principal est de faciliter la recherche et l'identification des auteurs d'infractions ainsi que la poursuite, l'instruction et le jugement des affaires dont l'autorité judiciaire est saisie. La constitution de la base de données obéit à des conditions qui ont un lien direct avec la finalité assignée au fichier : seules peuvent être relevées les empreintes dans le cadre d'une enquête de flagrance, d'une enquête préliminaire, d'une commission rogatoire, de l'exécution d'un ordre de recherche délivré par une autorité judiciaire, concernant des personnes à l'encontre desquelles il existe des indices graves et concordants rendant vraisemblable qu'elles aient pu participer à la commission d'un crime ou d'un délit, ou des personnes mises en cause dans une procédure pénale dont l'identification certaine s'avère nécessaire.
- la consultation ponctuelle de fichiers constitués dans un autre objectif. Cette consultation peut résulter d'une autorisation générale prévue dans le texte créant le fichier. Tel est par exemple le cas du fichier TES de gestion des passeports biométriques, que les services de lutte contre le terrorisme peuvent consulter, à l'exclusion des données relatives aux empreintes digitales des titulaires de passeports 33 ( * ) . La consultation peut aussi être autorisée ponctuellement, par décision de l'autorité judiciaire.
La base centrale proposée par le présent projet de loi ne relève manifestement pas de la première solution : il ne s'agit pas d'un fichier de police, lequel, portant sur la totalité de la population française, ne serait sans doute conforme ni à la Constitution 34 ( * ) ni à la convention européenne des droits de l'homme 35 ( * ) .
En revanche, en l'absence de précisions supplémentaires, la base centrale biométrique serait susceptible de faire l'objet de consultations ponctuelles à des fins de recherche ou d'identification criminelles.
Il n'y a à cet égard entre la première solution et la seconde pas de différence de nature, puisque la finalité d'utilisation serait la même, mais seulement une différence de degré, dans la mesure où le second type d'utilisation est entouré de garanties supplémentaires du fait de l'intervention nécessaire de l'autorité judiciaire.
Or, si l'utilisation ponctuelle à des fins de recherche criminelle de fichiers limités dans leur étendue ne fait pas débat, la question peut se poser s'agissant d'un fichier d'une ampleur aussi vaste que celle d'une base centrale de l'identité biométrique de la population française : il appartient au législateur de prendre en considération les conséquences d'un tel changement d'échelle dans l'utilisation des fichiers d'identité, sur la conciliation entre les impératifs de l'ordre public et la protection de la liberté individuelle et le respect de la vie privée.
Aucun fichier de ce type et de cette dimension n'existe actuellement. Il ne s'agit donc pas de limiter l'usage d'un dispositif existant, mais de décider, au moment de la conception de ce dispositif s'il pourra servir à d'autres fins que celles pour lesquelles il a initialement été constitué.
Or, si la lutte contre la fraude à l'identité peut justifier la mise en place d'une telle base de données, en dépit des réserves que suscitent un tel projet, il n'est pas acquis qu'elle rende légitime des utilisations d'opportunité qui ne présentent pas de lien direct avec elle.
b) Le choix de construction de cette base pour éviter tout détournement de la finalité de la base biométrique
Une fois fixées les finalités de la base biométrique, et compte tenu des craintes que suscitent un tel dispositif et des risques qu'il présente, toutes les garanties doivent être apportées qu'elle ne pourra être utilisée pour d'autres objets. Ces garanties peuvent être de deux ordres : juridiques ou matérielles.
(1) Les garanties juridiques sont-elles suffisantes ?
La loi « informatique et libertés » soumet les traitements automatisés de données personnelles à un certain nombre d'obligations, protectrices de la liberté individuelle : droit d'accès ou de rectification, contrôle de la CNIL etc.
Le texte qui crée le système de traitement peut prévoir d'autres garanties, qui interdisent certaines utilisations. Ainsi le décret précité organisant le fichier TES sur les passeports biométriques interdit l'accès des forces de police oeuvrant dans le domaine de l'antiterrorisme aux données relatives aux empreintes digitales pour identifier une personne.
De telles garanties sont solides. Cependant elles ne sont ni définitives, ni absolues : ainsi l'accès aux fichiers est toujours possible dans le cadre d'une procédure judiciaire, sous le contrôle d'un magistrat. De plus, la prohibition peut être levée, ce qui autorise pour l'avenir l'utilisation du fichier pour une autre finalité que sa finalité originelle : c'est ce qui a été proposé par la commission européenne s'agissant de la base EURODAC 36 ( * ) qui enregistre les données biométriques des demandeurs d'asile et des personnes appréhendées à l'occasion du franchissement irrégulier d'une frontière extérieure à l'Union européenne.
(2) Des garanties matérielles sont-elles possibles ?
Si l'objectif poursuivi est d'interdire tout glissement dans les finalités d'utilisation d'un fichier donné, afin d'éviter toute contestation relative aux risques que ces utilisations accessoires pourraient présenter, il peut être utile de doubler les garanties juridiques, qui ne sont pas absolues, de garanties matérielles, qui rendront techniquement impossible un usage du fichier différent de celui originellement prévu.
Notre excellent collègue Jean-René Lecerf soulignait dans le rapport de la mission d'information de votre commission, sur la nouvelle génération de documents d'identité et la fraude documentaire que « la technologie permet de constituer un fichier central des données biométriques garantissant l'unicité de l'identité lors de la délivrance d'un titre sans rendre possible l'utilisation de ce fichier à d'autres fins telles que l'identification » 37 ( * ) .
Deux dispositifs sont envisageables.
Le premier correspond à l'établissement d'un lien unidirectionnel entre l'identité et la biométrie. Le fichier serait ainsi construit qu'il ne serait possible d'interroger la base qu'à partir de l'identité, afin de vérifier ensuite si les données biométriques associées correspondent bien à celles de l'individu qui s'est présenté sous cette identité. En revanche, il ne devrait pas être possible d'interroger la base à partir des empreintes pour retrouver l'identité. L'unicité de l'identité est assurée à l'occasion de la délivrance du titre, sans qu'aucune identification ne soit possible à partir des seules empreintes : le dispositif est utilisable dans la lutte contre la fraude, mais il ne peut faire l'objet d'une utilisation à des fins de recherche criminelle.
Toutefois, selon les indications fournies par la CNIL à votre rapporteur, ce dispositif présente un défaut : le lien unidirectionnel peut être techniquement rendu bidirectionnel et la base peut être reconstruite, à partir de l'ensemble des données qu'elle contient, pour permettre une interrogation dans les deux sens. La seule limite à cela est le temps de calcul nécessaire et la capacité informatique mise à disposition.
Le second dispositif envisageable ne présente pas le même défaut. Il s'agit, de la technologie des bases dites à « liens faibles », breveté notamment par la SAGEM.
Dans le système précédent, une identité est reliée à une biométrie. Dans le système à « lien faible », un nombre très élevé d'identités sont reliés aux biométries correspondantes, sans qu'aucun lien univoque ne soit établi entre une de ces identités et une de ces biométries.
L'opération consiste à imputer à un nombre très élevé d'identités, par exemple 100 000, un numéro compris entre 1 et 1 000, ce qui revient à les ranger informatiquement dans un « tiroir » numéroté. Les biométries correspondant aux 100 000 identités précitées sont rangées, de leur côté, dans un tiroir portant le même numéro.
Ce système rend impossible l'identification d'une personne à partir d'une donnée biométrique. En effet, la consultation de la base ne produit comme résultat que le numéro du tiroir dans lequel cette empreinte est rangée, qui correspond alors à 100 000 identités possibles.
En revanche, le système permet la détection de la fraude à l'identité, par la mise en relation de l'identité alléguée et celle des empreintes du demandeur de titre. L'identité alléguée correspond à un numéro donné. Les empreintes du demandeur correspondent à un autre numéro. Il y a très peu de chance pour que ces deux numéros soient les mêmes, c'est-à-dire que l'identité sous laquelle l'usurpateur est inscrit dans la base soit placée dans le même tiroir que l'identité qui fait l'objet de la tentative d'usurpation : pour un ensemble de 1 000 tiroirs, la probabilité de détection de la fraude est de 99,9 %.
Comme le notait notre collègue M. Jean-René Lecerf dans le rapport de la mission d'information de votre commission, sur la nouvelle génération de documents d'identité et la fraude documentaire, « la probabilité est suffisamment grande pour offrir une assurance quasi-complète sur l'unicité de l'identité et pour dissuader les fraudeurs » 38 ( * ) .
À la différence du premier système, celui des « liens faibles » ne peut faire l'objet d'une reconfiguration qui permette de rétablir des liens univoques entre l'identité et la biométrie : la sécurité proposée repose sur la façon dont les données sont enregistrées dans la base initialement et ne peut être remise en cause.
*
Les réponses apportées aux trois questions posées dessinent trois options possibles :
- garantir l'authentification du porteur du titre sécurisé sans prévoir la constitution d'un fichier central. Ce dispositif tirerait parti des sécurités propres aux titres d'identités biométriques, pour s'assurer que le possesseur du titre en est bien le détenteur légitime, sans toutefois apporter de réponse définitive au problème de l'usurpation d'identité ;
- la mise en place de titres d'identité biométriques, avec la constitution d'une base centrale susceptible de faire l'objet d'utilisations pour d'autres finalités que celles proposées ;
- la mise en place de titres d'identité biométriques, avec création d'une base centrale à « liens faibles », qui interdise tout possibilité d'identification à partir des celles empreintes contenues dans la base, mais qui satisfasse, en revanche, l'objectif de lutte contre l'usurpation d'identité en rendant la fraude quasi impossible.
* 32 Ainsi actuellement, les services compétents interrogent le fichier des personnes recherchées pour savoir, au moment de la prise d'empreintes en vue de l'établissement d'un passeport biométrique, si l'individu fait l'objet d'une alerte pour demande frauduleuse d'un titre d'identité.
* 33 Art. 21-1 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports.
* 34 Dans une décision récente rendue en matière de logiciel de rapprochement de fichiers de police, le Conseil constitutionnel a imposé au législateur de concilier d'une part, « la sauvegarde de l'ordre public et la recherche des auteurs d'infractions, toutes deux nécessaires à la protection de principes et de droits de valeur constitutionnelle et, d'autre part, le respect de la vie privée et des autres droits et libertés constitutionnellement protégés », en prenant en compte « la généralité de l'application de ces logiciels » (CC, Décision n° 2011-625 DC du 10 mars 2011), cons. 69 et 70)..
* 35 Dans un arrêt Marper c. Royaume-Uni, la CEDH ainsi en effet jugé, à propos du le maintien dans un fichier de police des empreintes digitales de personnes mises hors de cause, que « le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d'avoir commis des infractions mais non condamnées, tel qu'il a été appliqué aux requérants en l'espèce, ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu, et que l'Etat défendeur a outrepassé toute marge d'appréciation acceptable en la matière » (CEDH, n° 30562/04 et 30566/04, S. et Marper c. Royaume-Uni, 4 décembre 2008).
* 36 Opérationnelle depuis 2003, la base de données EURODAC qui enregistre et compare les empreintes digitales, a pour finalité d'établir l'identité des demandeurs d'asile et des personnes appréhendées à l'occasion du franchissement irrégulier d'une frontière extérieure à l'Union européenne. La Commission a adopté en septembre 2009 un train de mesures visant à autoriser les services répressifs, dont Europol à consulter la base de données aux fins de la lutte contre le terrorisme et autres infractions pénales graves. Actuellement, un troisième projet de règlement a été proposé par la Commission en octobre 2010. Dans la nouvelle proposition, la Commission européenne souhaite une approche globale de la problématique relative à l'accès aux données Eurodac par les services répressifs. Ce dispositif fait l'objet de nombreuses discussions entre les Etats membres pour savoir s'il convient de l'introduire ou non dans la proposition de la Commission. La France a soutenu la réintroduction de la disposition dans le texte.
* 37 Rapport d'information de la mission d'information sur la nouvelle génération de documents d'identité et la fraude documentaire, op. cit ., p. 9 et 64-65.
* 38 Rapport d'information de la mission d'information sur la nouvelle génération de documents d'identité et la fraude documentaire, op. cit. , p. 65-66.