3. La création d'un fichier central : dangers et garanties
Il a été vu précédemment que le droit positif ne fixait pas de limites très claires entre ce qui est permis ou pas. Si le principe de proportionnalité interdit certaines choses, il exige surtout des garanties.
Les différents systèmes de titre d'identité électronique présentés dans ce rapport ne posent pas les mêmes difficultés au regard du principe de proportionnalité. L'appréciation de ce qui est excessif ou non par rapport à l'objectif de lutte contre la fraude est délicate. La jurisprudence du Conseil constitutionnel et celle de la Cour européenne des droits de l'homme manquent de précédents pour affirmer si certains systèmes de titre d'identité électronique sont contraires ou non aux normes constitutionnelles ou conventionnelles.
a) Vers un fichier central des Français ?
Les débats autour de la création d'un titre d'identité électronique, éventuellement obligatoire, ont fait ressurgir les craintes à propos de la constitution d'un fichier des Français.
Depuis la période de Vichy, la France n'a pas connu de projet de fichier national des Français à proprement parler. Depuis la réintroduction d'une carte nationale d'identité en 1955, et en dépit de nombreuses réformes et modernisations de ce document, aucun fichier des Français n'a été reconstitué. Seul un fichier de gestion de la carte nationale d'identité a été créé en 1986 pour la mise en oeuvre de la nouvelle carte d'identité sécurisée.
Lors de leur audition, MM. Alain Weber, responsable de la commission Libertés et informatique à la Ligue des droits de l'homme, et Thierry Wickers, président de la Conférence des bâtonniers, se sont déclarés farouchement opposés à la constitution d'un fichier assimilable à un fichier des Français. Ils ont mis en exergue le risque de détournement de ce fichier.
Cette singularité française s'explique en grande partie par le poids de l'histoire. De nombreux pays européens disposent d'un fichier de la population . Lors de son déplacement en Belgique, une délégation de la mission d'information a constaté l'ampleur du registre de la population et la quantité des informations qui y sont rassemblées sur chaque individu.
Ce débat important et lourd de symbole doit toutefois être relativisé.
Comme le reconnaît la CNIL, il existe en France un fichier nominatif pas comme les autres : le Répertoire national d'identification des personnes physiques (RNIPP). Plus qu'un fichier des Français, le RNIPP est un fichier de population.
La CNIL est extrêmement réticente à son utilisation et s'est efforcée de la cantonner au domaine de la protection sociale. La loi subordonne d'ailleurs l'utilisation du NIR pour le compte de l'Etat à une autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL 87 ( * ) .
Dans une délibération du 29 novembre 1983 88 ( * ) , la Commission a recommandé que l'emploi du NIR comme identifiant des personnes dans les fichiers ne soit ni systématique, ni généralisé et qu'en conséquence, chaque traitement automatisé soit doté d'identifiants diversifiés et adaptés à leurs besoins propres. La crainte est que le NIR devienne un identifiant unique rendant aisé l'interconnexion des fichiers.
Mais les reproches faits au RNIPP ne portent pas directement sur le fait que ce fichier est de facto un fichier de la population française. Ils portent sur les conditions dans lesquelles ce fichier est utilisé et sur le risque que le NIR serve d'identifiant universel.
Il est compréhensible que la création éventuelle d'un « fichier des Français » soulève des craintes. Mais, dans ce cas, la logique voudrait que le RNIPP soit modifié ou supprimé. Si les drames de l'histoire devaient se reproduire, nul doute qu'un pouvoir malintentionné se servirait du répertoire.
En conséquence et à supposer que le titre d'identité électronique soit rendu obligatoire, il semble que le débat devrait moins se focaliser sur la création ou non d'un fichier national de gestion de ce titre, qui existe déjà, que sur les conditions et les limites de son utilisation .
b) Encadrer les fonctions d'identification d'une base de données à caractère personnel
La création d'une base de données biométriques reliée à une base de données d'identité pour assurer l'unicité de la délivrance et du renouvellement des titres d'identité exige des précautions importantes. Les fonctions d'identification d'un tel fichier permettent l'utilisation des données pour d'autres fins que celle pour laquelle elles ont été collectées.
Si le choix se porte vers un système de bases de données qui ne permet pas de retrouver l'identité d'un individu à partir d'empreintes digitales, l'encadrement de l'utilisation d'un tel fichier pose peu de difficultés. L'architecture du fichier limite des utilisations abusives ou illégales. C'est particulièrement le cas du modèle dit à « lien faible » dont la conception rend impossible le rétablissement de liens en clair entre les données d'identité et les données biométriques. Ce choix est irrévocable. En revanche, le modèle avec un lien cryptographique à sens unique de l'identité vers la biométrie laisse ouverte la possibilité de rétablir des liens en clair et, par voie de conséquence, d'utiliser le fichier à d'autres fins. Un arbitrage entre ces deux modèles doit prendre en compte cet effet cliquet.
Si le choix se porte vers un fichier d'identification forte, des précautions techniques et juridiques sont à prendre.
Techniquement , les données biométriques choisies ne doivent pas excéder ce qui est strictement nécessaire à la bonne exécution de la finalité première, c'est-à-dire garantir l'unicité de l'identité. Le respect du principe de proportionnalité le requiert. Cela signifie par exemple que les empreintes digitales relevées n'ont pas besoin d'être roulées mais seulement posées. Les empreintes roulées sont uniquement utilisées en police judiciaire. Ce point technique nuancerait certaines critiques considérant qu'un tel fichier d'identité équivaudrait à un fichier automatisé des empreintes digitales (FAED) généralisé à l'ensemble des Français.
Juridiquement , il faut arrêter précisément les circonstances et raisons qui justifient l'utilisation du fichier à des fins d'identification.
Une première utilisation possible est l'identification de victimes de catastrophe naturelle majeure, de personnes disparues ou amnésiques. L'exemple du tsunami en Asie a été évoqué par plusieurs des personnes entendues. Cette utilisation n'appelle pas de réserves particulières. La seule exigence est de s'assurer que la consultation du fichier est effectivement motivée par une de ces raisons. L'autorisation d'un magistrat apparaît néanmoins indispensable.
Une deuxième utilisation est l'identification de personnes à partir de leurs données biométriques, voire à partir de traces anonymes, à des fins de police judiciaire. En effet, en droit positif, un magistrat peut consulter n'importe quel fichier pour les besoins de l'enquête ou de l'instruction 89 ( * ) . En cas de flagrance, un officier de police judiciaire y est aussi autorisé 90 ( * ) .
Plusieurs personnes, tout particulièrement MM. Alain Weber, responsable de la commission Libertés et informatique à la Ligue des droits de l'homme, et Thierry Wickers, président de la Conférence des bâtonniers, ont clairement exprimé leur opposition à la constitution d'un fichier biométrique, pouvant servir a fortiori à des fins d'identification judiciaire. M. François Giquel, vice-président de la CNIL, a jugé pour sa part que le principe de proportionnalité ne serait pas respecté.
Pour la Ligue des droits de l'homme, il y aurait confusion entre ce fichier et le FAED. Plus encore, la Ligue s'oppose à la création pure et simple d'un fichier d'identification. Elle estime qu'une fois le fichier créé il sera impossible de revenir en arrière. Les garanties et limites arrêtées ne résisteraient pas longtemps aux tentations d'utiliser le fichier à des fins de police judiciaire. A l'occasion d'affaires criminelles médiatiques, il serait certainement reproché au législateur d'avoir retiré au magistrat un moyen d'enquête ou d'instruction peut-être déterminant. En somme, créer un fichier reviendrait à mettre le doigt dans un engrenage. Pour appuyer son propos, elle a évoqué l'exemple du fichier automatisé des empreintes génétiques dont le champ d'utilisation n'a cessé de s'accroître depuis sa création en 1998.
Doit-on dès lors interdire l'utilisation du fichier à des fins de police judiciaire ? Il s'agit d'une question de principe qu'il appartiendra au législateur de trancher. Si toutefois le choix effectué permettait de telles utilisations, plusieurs garde-fous seraient indispensables.
Tout d'abord, l'autorité judiciaire, gardienne de la liberté individuelle en vertu de l'article 66 de la Constitution, doit seule permettre l'utilisation du fichier à des fins de police judiciaire. Aucune consultation du fichier à des fins d'identification ne devrait être possible sans autorisation d'un magistrat.
Enfin, une règle de conduite modératrice devrait être suivie. La consultation du fichier ne serait autorisée qu'en motivant la demande et en indiquant qu'aucun autre moyen ne permettrait d'obtenir l'information utile. La consultation du fichier ne doit pas être une solution de facilité.
Une troisième utilisation, si le législateur l'autorisait, pourrait être la consultation de ce fichier par les services en charge de la défense des intérêts fondamentaux de l'Etat et de la lutte contre le terrorisme à des fins de renseignement.
Cette utilisation en dehors du contrôle du juge est problématique. Les auditions de MM. Pierre de Bousquet de Florian, directeur de la surveillance du territoire, et Marcel Faure, commissaire divisionnaire et chef de la division nationale de répression des atteintes aux personnes et aux biens, ont révélé la forte demande des services de renseignements et de police pour ce type d'utilisation. Au Royaume-Uni, le projet de carte d'identité prévoit que le directeur général des services de sécurité, le chef des services secrets ou le directeur général de l'Agence du crime organisé (équivalent de l'Office central pour la répression du banditisme) peuvent se voir communiquer les informations figurant dans le Registre national d'identité.
Cette utilisation du fichier nécessiterait des précautions toutes particulières si elle était admise.
D'une part, seules les personnes habilitées et individuellement désignées devraient pouvoir accéder au fichier.
D'autre part, un organisme indépendant sur le modèle de la Commission nationale de contrôle des interceptions de sécurité 91 ( * ) pourrait être chargé de s'assurer du bien fondé des consultations du fichier . La CNIL pourrait remplir cet office et émettre des avis à l'occasion de chaque consultation du fichier.
c) Renverser les schémas classiques : observer Big Brother
Un titre d'identité électronique adossé à un fichier central demande une vigilance particulière pour déterminer les modalités et la durée de conservation des données, les conditions de leur mise à jour, les catégories de personnes habilitées à modifier et à consulter ces données et les conditions dans lesquelles les personnes intéressées peuvent exercer leurs droits d'accès et de rectification. Ces précautions en matière de protection des données personnelles sont habituelles.
Toutefois, le passage à un titre électronique devrait être l'occasion d'innover réellement en matière de respect de la vie privée et de protection des données personnelles .
En effet, plusieurs principes restent souvent lettre morte en dépit des efforts de la CNIL. Il en va ainsi de la mise à jour des données ou du droit d'accès aux données et du droit à leur rectification . Très peu de personnes exercent leurs droits en raison de la lourdeur apparente ou réelle des procédures. Ils restent théoriques.
La mise en place d'un titre électronique incluant une fonction d'authentification offre l'opportunité d'exercer réellement ces droits en ayant accès à ses propres données personnelles à distance. En s'authentifiant grâce à la carte, chaque personne pourrait en temps réel contrôler les informations recueillies, leur exactitude ainsi que les consultations passées du fichier .
Appliqué dans un premier temps au seul fichier des titres d'identité, ce dispositif pourrait être étendu à la quasi-totalité des traitements automatisés publics.
Lors de son déplacement en Belgique où le nouveau titre d'identité électronique prévoit cette application, la délégation de la mission d'information a pris conscience du bouleversement qu'un tel dispositif entraînerait. Comme l'a dit M. Luc Vanneste, directeur général de la direction des institutions et de la population, « Big brother serait désormais surveillé par des millions de personnes ». Ce renversement des rapports de force ferait de chaque individu le gendarme de ses propres données.
d) Renforcer les moyens de la CNIL
La CNIL souffre depuis longtemps d'un manque de moyens . Ils sont au moins inférieurs de moitié à ceux de ses homologues européennes et moins importants que ceux alloués à d'autres autorités administratives indépendantes françaises.
Dans son rapport sur la loi portant création de la Haute autorité de lutte contre les discriminations et pour l'égalité au nom de votre commission des Lois, votre rapporteur notait ainsi que le budget alloué à cette autorité administrative indépendante en 2005 était de 10.700.000 euros, celui du Médiateur de la République de 7.752.583 euros, celui du Conseil supérieur de l'audiovisuel de 32.476.075 euros, et celui de la CNIL de 7.675.748 euros seulement.
La création d'un titre d'identité électronique rendrait plus impérieux encore l'effort budgétaire réclamé à juste titre par son président , notre collègue M. Alex Türk, dans la mesure où les tâches de contrôle dévolues à la Commission augmenteraient considérablement, quel que soit le système retenu.
* 87 Article 27 de la loi du 6 janvier 1978 modifié. Lorsque l'utilisation du NIR ne se fait pas pour le compte de l'Etat, l'autorisation de la CNIL est nécessaire.
* 88 Délibération n° 83-058 du 29 novembre 1983 portant adoption d'une recommandation concernant la consultation du Répertoire national d'identification des personnes physiques et l'utilisation du numéro d'inscription au répertoire.
* 89 Articles 77-1-1 et 99-3 du code de procédure pénale.
* 90 Article 60-1 du code de procédure pénale.
* 91 Autorité administrative indépendante, cette Commission émet un avis sur les autorisations d'interception de sécurité. Au cas où la Commission estime qu'une interception de sécurité a été autorisée en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce que cette interception soit interrompue. Voir la loi n° 91-646 du 10 juillet 1991.