C. LES GARANTIES NÉCESSAIRES À LA PRÉSERVATION DES LIBERTÉS INDIVIDUELLES ET AU RESPECT DE LA VIE PRIVÉE
La mise en place d'un titre d'identité électronique avec ou sans biométrie pour lutter contre la fraude à l'identité génère des craintes quant au respect des libertés individuelles, en particulier de la vie privée. L'équilibre entre sécurité et liberté n'est pas aisé à trouver.
Il faut tout d'abord rappeler que la sécurisation de l'identité n'est pas antinomique de la sauvegarde des libertés . Protéger l'identité d'un individu, c'est protéger les droits attachés à sa personne, qu'il s'agisse du droit de propriété ou de la liberté d'aller et venir par exemple. Ainsi, comme l'a noté M. Gérard Tcholakian, membre de la commission « Libertés et droits de l'homme » du Conseil national des Barreaux, la libre circulation et le droit au séjour des étrangers en situation régulière pourraient être mieux garantis avec un titre de séjour biométrique prouvant sans doute possible l'identité et les droits du porteur du titre .
Protéger l'identité, c'est aussi sécuriser les relations contractuelles . Les sociétés modernes consacrent les droits et la responsabilité individuels. La confiance est donc indispensable aux relations individuelles et aux relations entre les citoyens et l'État. Si le système d'identité est altéré et dégradé, les conditions de la confiance ne sont plus réunies. Un parallèle peut être établi avec la fausse monnaie qui porte atteinte à la confiance dans le système monétaire.
Cet enjeu, ainsi que les questions de sécurité internationales, poussent les Etats à vouloir mettre en place de nouveaux systèmes d'identité extrêmement sûrs. Cet objectif est légitime. Toutefois, il ne doit pas aboutir à sacrifier la liberté au nom de la sécurité . Pour éviter cet écueil, il faut garder à l'esprit que la fraude ne sera jamais éliminée et qu'un système parfait n'existe pas. L'objectif raisonnable que les autorités publiques doivent se fixer est de contenir la fraude dans des proportions acceptables. Cette ligne de conduite est fondamentale pour prévenir des solutions excessives , solutions qui pourraient conduire notamment à transformer un système d'identité en un système de contrôle et de police.
1. Les règles régissant les traitements automatisés de données à caractère personnel
Avec ou sans biométrie, un titre d'identité électronique est soumis aux règles relatives à la protection des données à caractère personnel dès lors qu'il est adossé à un traitement automatisé ou qu'il permet d'échanger des données à distance.
a) Les exigences constitutionnelles
La jurisprudence du Conseil constitutionnel en matière de traitement des données à caractère personnel laisse au législateur une grande liberté d'appréciation tout en protégeant les libertés individuelles.
Aux termes de l'article 2 de la Déclaration des droits de l'homme et du citoyen : « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression ».
En vertu de l'article 34 de la Constitution, il appartient au législateur de fixer les règles générales applicables aux fichiers nominatifs et aux traitements de données personnelles . Celles-ci doivent s'attacher à respecter la vie privée qui constitue un droit constitutionnel 80 ( * ) . Ce droit requiert que soit observée une particulière vigilance dans la collecte et le traitement de données à caractère personnel de nature médicale 81 ( * ) .
Mais il incombe également au législateur de concilier ce principe avec d'autres exigences, comme la sauvegarde de l'ordre public, la recherche des auteurs d'infractions et la préservation du bien-être économique et social 82 ( * ) .
Le Conseil constitutionnel admet, sous certaines réserves, les utilisations multiples d'un fichier . Ainsi, dans sa décision n° 2003-467 DC du 13 mars 2003 sur la loi pour la sécurité intérieure, il a considéré qu'aucune norme constitutionnelle ne s'opposait par principe à l'utilisation à des fins administratives de données nominatives automatisées recueillies dans le cadre d'activités de police judiciaire. Toutefois, elle « méconnaîtrait les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées ». C'est aux conditions dans lesquelles il est procédé à la double utilisation d'un fichier que le Conseil constitutionnel et, par voie de conséquence, le législateur ou le pouvoir réglementaire doivent être attentifs.
Par ailleurs, le Conseil n'admet l'interconnexion de fichiers ayant à l'origine des finalités distinctes que dans un but de bonne administration et de contrôle.
b) La convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales
Aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH) :
- « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance » ;
- « il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ».
Toutefois, le Conseil de l'Europe a estimé que l'article 8 de la convention contenait un certain nombre de limites et d'inconvénients au regard du développement nouveau de l'informatique et des technologies de l'information. La portée du terme « vie privée » est insuffisamment définie et la prise en considération de la protection contre l'ingérence de personnes qui ne sont pas une autorité publique est inexistante.
Cette réflexion a conduit à l'adoption en 1981 d'une convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, appelée convention 108, qui a été ratifiée par 31 États membres du Conseil de l'Europe, dont tous les États membres de l'Union européenne. La convention a pour objectif d'assurer la « protection du respect des droits et des libertés fondamentaux de toute personne physique, et notamment de son droit à la vie privée, à l'égard du traitement des données à caractère personnel la concernant ».
Initialement, la convention 108 était conçue pour ne pas s'appliquer directement, les parties contractantes s'engageant à adopter des dispositions de droit interne conformes à ses principes fondamentaux.
Entre temps, la Cour européenne des droits de l'homme a estimé dans un avis de 1997 (affaire Z c. Finlande) que la protection des données à caractère personnel jouait un rôle fondamental pour l'exercice du droit au respect de la vie privée et familiale garanti par l'article 8 de la CEDH et précisé par la convention 108 à laquelle elle s'est référée.
c) La directive de 1995 et la loi « Informatique et libertés »
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, récemment modifiée par la loi n° 2004-801 du 6 août 2004 afin de transposer la directive européenne 95/46 CE du 24 octobre 1995, définit les principes régissant les traitements de données à caractère personnel et les règles destinées à en assurer le respect par une autorité administrative indépendante, la Commission nationale de l'informatique et des libertés (CNIL).
• Les principes régissant le traitement des données à caractère personnel
Les données faisant l'objet d'un traitement doivent être :
- collectées et traitées de manière loyale et licite ;
- collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, sauf pour des fins statistiques ou de recherche scientifique ou historique ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- exactes, complètes et, si nécessaire, mises à jour ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
• Des formalités simplifiées.
La loi de 1978, dans sa rédaction antérieure à la loi du 6 août 2004, soumettait à formalités auprès de la CNIL, sans distinction, tout projet de traitement automatisé de données nominatives, et se fondait essentiellement, pour déterminer le contrôle préalable de la Commission, sur un critère organique : la nature publique ou privée du responsable du traitement. Ainsi, les traitements relevant du secteur public, pour être mis en oeuvre, devaient-ils obtenir au préalable un avis favorable de la CNIL alors que les traitements du secteur privé n'étaient astreints qu'à simple déclaration.
Désormais, ne sont soumis à autorisation ou avis de la CNIL, conformément à l'article 20 de la directive, que les seuls traitements présentant des risques particuliers au regard des droits et libertés des personnes . La déclaration est devenue le régime de droit commun pour la plupart des traitements, que ceux-ci relèvent de personnes publiques ou de personnes privées, de larges possibilités d'exemption et d'allègement des formalités étant prévues.
• Un contrôle renforcé
En contrepartie, les pouvoirs de contrôle de la Commission ont été renforcés .
Ses membres et les agents qu'elle habilite peuvent effectuer des contrôles sur place, accéder aux programmes informatiques et aux données, en demander la transcription par tout traitement approprié, recueillir, sur place ou sur convocation, tout renseignement et toute justification utile, demander communication et prendre copie de tous documents utiles à l'accomplissement de leurs missions.
Alors qu'auparavant, la CNIL, constatant un manquement à la loi, ne pouvait que délivrer des avertissements aux organismes en cause ou les dénoncer au parquet, elle dispose désormais de pouvoirs de sanctions administratives et pécuniaires importants : hormis l'avertissement, la Commission peut, après une mise en demeure infructueuse et à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire (à l'exception des traitements mis en oeuvre par l'Etat), une injonction de cesser le traitement (pour les traitements relevant du régime déclaratif), ou encore retirer son autorisation (pour les traitements soumis à une telle procédure).
En outre, en cas d'urgence et de violation des droits et libertés résultant de la mise en oeuvre d'un traitement, la Commission peut décider l'interruption temporaire de celui-ci ou le verrouillage de données (pendant trois mois) à l'exception de certains traitements de l'Etat.
Enfin, en cas d'atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander en référé au juge d'ordonner toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
Le montant des sanctions pécuniaires susceptibles d'être infligées par la CNIL peut atteindre 150.000 € lors du premier manquement constaté, et 300.000 € ou 5 % du chiffre d'affaire hors taxes du dernier exercice s'il s'agit d'une entreprise dans la limite de 300.000 €. Le montant de ces sanctions doit être « proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement ».
* 80 Voir par exemple la décision n° 99-416 DC du 23 juillet 1999 sur la loi portant création d'une couverture maladie universelle.
* 81 Décision n° 99-422 DC du 21 décembre 1999.
* 82 Voir par exemple la décision n° 2003-467 DC du 13 mars 2003 relative à la loi pour la sécurité intérieure.