B. LES QUESTIONS SOULEVÉES PAR LE DISPOSITIF DE LA PROPOSITION DE LOI
1. Son articulation avec le règlement européen à venir sur la protection des données à caractère personnel
Votre rapporteur observe tout d'abord que toute réflexion sur le traitement de données à caractère personnel ne saurait utilement être conduite sans tenir compte de l'élaboration en cours du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011), qui remplacera la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 précitée. Un règlement européen, contrairement à une directive, étant d'application directe et immédiate, ce règlement se substituera à la loi n° 78-17 du 6 janvier 1978 précitée lors de son entrée en vigueur.
L'une des modifications majeures de la proposition de règlement par rapport à la directive consisterait en un changement de logique : toute contrainte a priori pesant sur le responsable de traitement serait supprimée en contrepartie d'un renforcement a posteriori de sa responsabilité. Cela vaudrait également pour la mise en oeuvre de traitements de données biométriques, rendant obsolète le dispositif de l'article 25 de la loi n° 78-17 du 6 janvier 1978 précitée que vient compléter la proposition de loi.
Votre rapporteur note cependant avec satisfaction que l'attention particulière portée par la France aux traitements de données biométriques pourrait être reprise à terme dans le règlement européen. En effet, à l'issue de son examen par le Parlement européen en première lecture, les données biométriques ont été intégrées parmi les catégories particulières de données. L'article 9 de la résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement pose, en son paragraphe 1, le principe de l'interdiction du traitement de données biométriques 25 ( * ) .
Ce principe est tempéré par une série d'exceptions énumérées en son paragraphe 2. On relève parmi ces dernières que le traitement peut toutefois être autorisé si la personne concernée y a consenti, à moins qu'une disposition nationale y fasse obstacle 26 ( * ) . Ainsi la législation nationale pourrait prévoir des cas pour lesquels le consentement de la personne concernée ne suffirait pas à autoriser un traitement de données biométriques. Dès lors, le législateur français pourrait effectivement s'il le souhaitait limiter les cas d'usage de traitement de données biométriques même après l'entrée en vigueur du futur règlement européen.
2. La définition de la notion de « stricte nécessité de sécurité »
Il est ressorti des auditions conduites par votre rapporteur que la notion de « stricte nécessité de sécurité » était insuffisamment précise, en dépit de l'explicitation apportée par la dernière phrase de l'exposé des motifs qui précise qu'elle devrait être entendue « comme la sécurité des personnes et des biens, ou la protection des informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible ».
Votre rapporteur a donc souhaité préciser cette notion afin qu'elle ne soit entendue de façon ni trop large, ni trop étroite . En effet, une acception trop large de la notion de sécurité annihilerait la volonté du législateur de n'autoriser qu'un usage raisonné des données biométriques. Une acception trop étroite en revanche pourrait conduire à un phénomène d'éviction contre-productif, les usagers ayant recours à des produits et services développés et acquis à l'étranger et échappant de ce fait à tout contrôle par les autorités nationales.
C'est pourquoi votre rapporteur s'est inspiré de la communication de la CNIL en date de 2007 et a proposé de reprendre la notion d'intérêt excédant l'intérêt propre de l'organisme . Cela permettrait en particulier d'inclure l'authentification pour les transactions financières dans la mesure où, au-delà de l'intérêt des banques et commerçants, il en irait de la protection des intérêts du citoyen-consommateur.
Sur proposition de son rapporteur, votre commission a donc adopté un amendement venant préciser la finalité légitime d'un traitement de données biométriques.
3. La nécessité de prévoir un dispositif transitoire
Conscient des conséquences économiques et organisationnelles lourdes que l'introduction de la limitation des usages des techniques biométriques aurait sur les traitements de données biométriques autorisés avant l'entrée en vigueur de la loi, votre rapporteur a proposé de prévoir une période transitoire afin de permettre aux détenteurs d'autorisations délivrées par la CNIL sous l'empire de la loi de 2004 de se mettre en conformité avec la nouvelle législation.
Lors de l'adoption de la délibération modifiant l'autorisation unique n° AU-007 visant à ne plus autoriser à l'avenir les traitements de données biométriques pour le contrôle des horaires des salariés, la CNIL a prévu une période transitoire de cinq ans correspondant, selon ses indications, à la « durée de vie » d'un lecteur du contour de la main afin de ne pas pénaliser les organisations qui auraient opté récemment pour un tel dispositif.
La loi n° 2004-801 du 6 août 2004 avait quant à elle prévu en son article 20 un délai de trois ans pour permettre aux organismes de se mettre en conformité avec les nouvelles dispositions législatives.
Étant donné le délai de la procédure parlementaire, votre commission, à l'initiative de son rapporteur, a choisi d'accorder un délai de trois ans aux responsables de traitement pour se mettre en conformité avec la nouvelle législation.
À l'initiative de son rapporteur, votre commission a donc adopté un amendement portant article additionnel prévoyant des mesures transitoires.
4. Les conditions de l'efficacité du dispositif : un renforcement des moyens de contrôle
Il n'en reste pas moins qu'une telle limitation de l'usage des techniques biométriques ne serait efficace qu'à condition de renforcer considérablement les moyens de contrôle .
Selon toute vraisemblance, le régime d'autorisation préalable mis en place à partir de 2004 est contourné dans des proportions qu'il est difficile d'évaluer. Ainsi que l'indiquaient à votre rapporteur ses représentants lors de leur audition, la CNIL est amenée, lors de ses contrôles, à connaître de la mise en oeuvre de traitements de données biométriques non autorisés. Elle constate par ailleurs que les préconisations contenues dans ses délibérations autorisant la mise en oeuvre de certains traitements biométriques ne sont pas toujours suivies. L'obligation, imposée dans certains cas, d'enregistrement des empreintes digitales sur un support individuel détenu par la personne concernée plutôt qu'en base centrale n'est pas, par exemple, systématiquement respectée. Un durcissement des conditions d'utilisation des traitements de données biométriques par une limitation des usages autorisés risquerait d'accroître le nombre de dispositifs « clandestins ».
Or, à l'heure actuelle, dix-huit agents de la CNIL sont affectés à sa mission de contrôle. Si, depuis 2009, un effort accru a été porté à cette mission, l'effectif actuel ne permettrait pas de conduire plus de 450 contrôles par an environ, tous types de contrôle confondus. Ainsi, au cours de l'année 2012, 458 contrôles ont été conduits, dont 285 portant sur des dispositifs relevant de la loi n° 78-17 du 6 janvier 1978 précitée et 173 sur des dispositifs de vidéoprotection 27 ( * ) ; sur ces 458 contrôles, seulement 4 ont concerné des dispositifs de traitement de données biométriques, dont 2 à la suite de plaintes. En 2013 en revanche, 40 contrôles, soit environ 10 % des contrôles réalisés, ont porté sur des dispositifs de traitement de données biométriques. Au total, depuis 2006, 198 contrôles ont concerné des dispositifs biométriques, dont 13 % environ sur plaintes, d'après les informations fournies par la CNIL ; ce chiffre rapporté au nombre total d'autorisations délivrées par la CNIL sur la même période, les contrôles auraient donc porté sur 4,5 % des dispositifs.
Évolution du nombre de contrôles de dispositifs biométriques effectués depuis 2006
Source : commission des lois à partir des données fournies par la CNIL
Il convient cependant de remarquer que dans la perspective du règlement européen, la suppression des autorisations préalables permettrait de basculer les efforts vers le contrôle a posteriori .
Par ailleurs, la piste de la certification de procédés industriels, de produits ou de leur implémentation est probablement une réponse adaptée en présence de technologies évolutives. Votre rapporteur ne peut donc qu'encourager à la poursuite du travail d'ores et déjà entrepris par les pouvoirs publics en concertation avec les acteurs de la filière de la confiance numérique d'élaboration de normes et de standards de haut niveau. À cet égard, votre rapporteur regrette que l'Agence nationale de sécurité des systèmes d'information (ANSSI) n'ait pas été en mesure de donner son avis sur la proposition de loi.
*
* *
La commission des lois a adopté la proposition de loi ainsi modifiée.
* 25 « 1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions, à des condamnations, ou encore à des mesures de sûreté connexes sont interdits . »
* 26 « 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie :
« a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques , dans les conditions fixées à l' article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée , ».
* 27 Cf. rapport d'activité 2012, Commission nationale de l'information et des libertés, p. 54.