2. Les données biométriques : des données personnelles particulières
a) Les craintes et dangers liés à la biométrie
L'utilisation de la biométrie suscite de nombreuses interrogations en matière de respect des droits de l'homme et de la législation sur le traitement automatisé des données à caractère personnel. Comme pour toute technologie nouvelle, des doutes sont émis sur la maturité et la fiabilité des techniques ainsi que sur la capacité à garder le contrôle de systèmes biométriques déployés à grande échelle. Certains appellent à appliquer le principe de précaution face à un développement irréversible et imprévisible de la biométrie dans le monde. D'autres craignent que la biométrie ne devienne un instrument de contrôle et de surveillance trop puissant entre les mains de la puissance publique.
Des interrogations philosophiques ont été soulevées devant les membres de la mission, notamment par M. Didier Bigo, chercheur au CERI (Centre d'Études et de Recherches Internationales) et maître de conférence à l'Institut d'Études politiques de Paris. S'attachant à marquer la différence de nature entre une carte d'identité classique et un titre d'identité biométrique , il a mis en évidence le passage d'une carte d'identité à une carte d'identification. La vérité de l'identité serait uniquement dans le corps et non plus dans l'identité sociale. La biométrisation de l'identité contribuerait à modifier en profondeur l'identité elle-même, en rendant l'identité indissociable d'un processus d'identification, qui est aussi un processus de contrôle.
La biométrie peut être aussi ressentie comme une atteinte à la dignité humaine . Certaines personnes réprouvent l'idée que le corps humain soit utilisé comme une source d'information. Les données biométriques peuvent révéler des maladies ou une origine raciale. Les progrès techniques pourraient donner la possibilité d'extraire beaucoup plus d'informations des données biométriques qu'aujourd'hui.
Le caractère unique et permanent de la biométrie pose également des difficultés. La Ligue des droits de l'homme et le Conseil national des barreaux ont rappelé que de nombreuses personnes avaient eu la vie sauve sous l'Occupation en utilisant de fausses identités. Or, l'utilisation généralisée de la biométrie pour s'identifier, notamment avec la mise en place d'un titre d'identité biométrique, rendrait impossible la dissimulation de son identité.
En outre, en cas d'erreur du système, par exemple si une autre personne a les mêmes caractéristiques biométriques (la probabilité est faible mais pas nulle) ou si celles-ci sont altérées en raison d'un accident ou du vieillissement, comment prouver sa bonne foi ?
b) La législation sur la protection des données personnelles applicable aux données biométriques
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne faisait pas explicitement référence aux données biométriques et ce essentiellement en raison du fait qu'à cette date, l'identification ou l'authentification d'une personne reposait sur son état civil et le numéro d'inscription au registre national d'identification des personnes physiques (NIR, également appelé numéro de sécurité sociale).
Toutefois, par nature, un élément d'identification biométrique ou sa traduction électronique constitue une donnée à caractère personnel entrant dans le champ d'application de la loi de 1978 conformément à l'article 4 de ce texte, aux termes duquel : « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou morale ».
Les données biométriques présentent, en effet, la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir.
Aussi la nouvelle loi « Informatique et libertés » du 6 août 2004 les a-t-elle soumises au cadre légal des données à caractère personnel et à la surveillance de la Commission nationale de l'informatique et des libertés, tout en prenant en compte leur spécificité :
- les traitements des données biométriques nécessaires au contrôle de l'identité des personnes sont désormais soumis à un régime d'autorisation par la Commission (article 25) ;
- les traitements de données biométriques mis en oeuvre pour le compte de l'Etat et nécessaires à l'authentification ou au contrôle de l'identité des personnes doivent être autorisés par décret en Conseil d'Etat après avis de la Commission 83 ( * ) (article 27).
Bien qu'il n'existe pas de dispositions légales ou réglementaires spécifiques définissant ce qui est permis ou non en matière de traitement des données biométriques, la CNIL s'est déjà efforcée d'encadrer leur utilisation .
Elle n'a pas adopté une position de principe de refus de collecte de toute donnée biométrique.
Ainsi, elle tient pour légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que la donnée biométrique est conservée sur un support dont la personne a l'usage exclusif 84 ( * ) .
En revanche, la CNIL considère que « la mémorisation et le traitement de données issues des empreintes digitales, compte tenu des caractéristiques de l'élément d'identification physique retenu et des usages possibles des bases de données qui pourraient ainsi être constituées, doivent être justifiés par des exigences impérieuses en matière de sécurité ou d'ordre public ». Appréciant strictement la réunion de ces critères, elle censure tout projet ne démontrant pas que la collecte de données biométriques est pertinente et proportionnée au regard de la finalité du traitement 85 ( * ) .
La CNIL souligne l'importance de ne pas banaliser le recours à la biométrie . Elle ne doit pas être utilisée seulement parce qu'elle est pratique, mais parce qu'elle constitue le seul moyen d'atteindre le résultat recherché .
L'attitude de la Commission diffère selon la nature de la donnée biométrique recueillie. Elle considère par exemple que les empreintes digitales présentent un niveau de risque plus élevé que les autres biométries dites « sans traces », du moins en l'état actuel de la technologie. Ces traces peuvent être exploitées pour l'identification des personnes et, dès lors, toute base de données d'empreintes digitales est susceptible d'être utilisée à des fins étrangères à sa finalité première.
En outre, la CNIL applique à ce type de traitement automatisé de données biométriques l'ensemble des principes applicables aux traitements automatisés de données à caractère personnel. Ainsi, l'article 6 de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes ; elles doivent être adéquates, pertinentes et non excessives au regard de ces finalités et conservées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Ce principe de proportionnalité a commandé la plupart des avis et autorisations de la CNIL dans le domaine des applications biométriques.
c) Des limites relatives mais pas absolues au développement des traitements automatisés de données biométriques
Le principe le plus important est que l'instrument doit servir la finalité pour laquelle les données ont été collectées.
Cela implique comme préalable la définition précise des objectifs assignés à un système de traitement automatisé de données biométriques. Ainsi, le choix entre une fonction d'authentification ou d'identification dépend de la finalité envisagée et des circonstances dans lesquelles le système sera employé. Ce dernier ne doit pas être inutilement surdimensionné, c'est-à-dire disproportionné par rapport à la finalité première qu'il doit remplir.
Ainsi, dans un rapport récent 86 ( * ) , le comité consultatif de la convention 108 convient que le contrôle des passeports peut avoir d'autres finalités légitimes que la simple authentification . Si la finalité n'est pas uniquement de vérifier que l'utilisateur du passeport est le détenteur légitime mais également, par exemple, de contrôler que la personne concernée n'est pas sur une liste de personnes recherchées, l'identification est nécessaire. Cette finalité supplémentaire doit être explicitée pour qu'il soit possible de juger si le système d'identification choisi est nécessaire.
En somme , il n'y a rien qui soit a priori interdit si les finalités le justifient .
Une fois ce principe énoncé, l'appréciation de ce qui est proportionné et de ce qui ne l'est pas est plus difficile . Au travers de ses avis et autorisations, la CNIL a tenté de définir une graduation des moyens auxquels il est possible de recourir en fonction des buts recherchés. Elle admet le recours à la fonction d'identification si des exigences impérieuses en matière de sécurité ou d'ordre public existent.
Des difficultés peuvent se poser lorsqu'un traitement automatisé créé pour une finalité première est également utilisé pour une autre fin accessoire.
Comme on l'a vu, le Conseil constitutionnel autorise les utilisations multiples d'un fichier, à condition qu'elles ne revêtent pas un caractère excessif. De la même manière, la CNIL a nuancé son interprétation du principe de finalité. Elle a ainsi admis dans un avis rendu le 7 décembre 1998 que le fichier des personnes hospitalisées d'office tenu par les directions départementales de l'action sanitaire et sociale pouvait être consulté par les services de police dans le cadre de la procédure administrative d'autorisation d'un port d'arme.
Par un raisonnement assez proche, le comité consultatif de la convention 108 estime qu'il serait excessif et contraire au principe de proportionnalité d'exiger qu'un système employant des données biométriques soit plus perfectionné que ne le requiert la finalité première du traitement pour l'unique raison que, dans des cas exceptionnels, ces données pourraient être requises pour une finalité secondaire.
* 83 Sous l'empire de la loi de 1978 non modifiée, les actes réglementaires portant création de tels traitements étaient pris après avis motivé de la CNIL ou, en cas d'avis défavorable, après avis conforme du Conseil d'Etat.
* 84 Voir par exemple la délibération de la CNIL n° 03-015 du 24 avril 2003 portant avis sur les articles 4 et 5 d'un projet de loi relatif à l'immigration.
* 85 Pour un exemple d'avis favorable et défavorable, voir la délibération de la CNIL n° 2004-075 du 5 octobre 2004 portant avis sur le projet de décret en Conseil d'Etat pris pour l'application de l'article 8-4 de l'ordonnance du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa.
* 86 Rapport d'étape sur l'application des principes de la Convention 108 à la collecte et au traitement des données biométriques (février 2005. réf : T-PD (2005) BIOM F). La Convention 108 est le nom donné à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe.