4. Garder la maîtrise des données et de leur diffusion
La loi du 6 janvier 1978 a inspiré l'ensemble des législations étrangères relatives à la protection des données personnelles. Deux préoccupations majeures l'ont guidée : contrôler la centralisation de données personnelles par l'Etat et limiter le développement de bases de données privées incontrôlables.
Près de trente ans plus tard, les enjeux ont évolué. L'Etat, dès lors qu'il est démocratique, n'apparaît plus comme le principal danger. Le nouveau défi consiste à maîtriser l'expansion de bases de données privées et la diffusion désordonnée de ces informations vers des pays n'offrant pas les mêmes garanties en matière de protection des données personnelles ou vers des acteurs non étatiques porteurs de menaces contre les libertés individuelles (organisations criminelles, entreprises privées, voire des individus).
L'Etat démocratique ne doit pas être nécessairement considéré comme un Leviathan ou un Big Brother. Face aux évolutions actuelles, l'Etat doit user de sa puissance pour protéger ses citoyens contre l'évasion de leurs données personnelles .
A cet égard, le développement de la biométrie dans le monde entier impose à l'Etat de maîtriser ces technologies. La biométrie est en effet au croisement d'enjeux de défense, de sécurité, de liberté et de respect de la vie privée. Elle doit être considérée comme un secteur stratégique au même titre que les industries de défense et faire l'objet de la même attention.
Si la centralisation des données biométriques dans une base nationale soulève des interrogations légitimes, le problème est aussi et surtout leur circulation. De quel contrôle des données peut-on se prévaloir si celles-ci sont largement diffusées ?
Paradoxalement, ces réflexions peuvent plaider en faveur d'une centralisation des données biométriques par l'Etat. S'il ne le fait pas, le risque est grand que d'autres Etats le fassent à notre place en arguant que le niveau de sécurité de nos titres d'identité ou documents de voyage est insuffisant.
La politique américaine en ce domaine illustre parfaitement une telle attitude. Outre leur demande d'inclure rapidement des éléments biométriques dans les passeports, les Etats-Unis relèvent depuis bientôt un an les empreintes digitales et la photographie de l'ensemble des étrangers entrant sur leur territoire. A terme, ce fichier comportera plusieurs centaines de millions d'individus, les données biométriques étant conservées 75 ans. En poussant à l'extrême la logique de ce dispositif, les passeports nationaux n'auront bientôt plus qu'une valeur relative par rapport à cette base de données.
Le système européen de visas biométriques en cours d'élaboration obéit à une logique assez similaire.
Face à ce risque de perte de contrôle des données, deux points méritent un développement particulier.
a) Sécuriser les données
Aucun système informatique n'est infaillible. Les systèmes utilisés devraient donc faire l'objet d'audit et d'évaluation réguliers , le cas échéant sous la direction de la CNIL, afin de maintenir un niveau très élevé de sécurité.
b) La puce sans contact
La technologie d'identification par radiofréquence, appelée RFID, permet à un lecteur de récupérer à une distance de quelques centimètres à quelques mètres des informations stockées dans une micropuce, grâce à une antenne imprimée en filigrane.
L'industrie du « sans contact » est en plein essor . Le marché mondial de la RFID pourrait tripler dans les trois prochaines années pour atteindre 5,5 milliards d'euros en 2008. Surtout utilisée dans les activités de logistique (gestion des stocks, de l'acheminement...), cette technologie pourrait s'étendre à de nouveaux domaines.
D'ores et déjà, cette technologie inquiète les défenseurs du respect de la vie privée , qui redoutent de voir les consommateurs espionnés par un mouchard. La CNIL est attentive à son développement.
Dans le cadre de la mise en place de titres d'identité ou de voyage électroniques, l'utilisation du « sans contact » a été étudiée. Elle permettrait de lire un passeport par exemple sans qu'il soit nécessaire de le sortir pour le présenter devant un lecteur. La gestion des flux à la frontière, notamment dans les aéroports, serait fluidifiée. Cette solution a également été envisagée par le projet INES.
Plusieurs problèmes importants requièrent de la prudence avant d'intégrer cette technologie aux pièces d'identité.
D'une part, plusieurs personnes entendues ont souligné les risques de captation des données à l'insu du porteur . Une grande incertitude règne en la matière. La sensibilité des données contenues dans la puce, avec ou sans biométrie, interdit de choisir une telle solution pour des raisons de simple confort. Comme il a été vu, une présence humaine doit être maintenue lors du contrôle des titres pour des raisons de sécurité et de fiabilité.
Les partisans de cette technologie répliquent qu'il serait possible de protéger les passeports par un écran métallique dans la couverture et un code qui n'est lisible qu'en ouvrant le passeport. Mais dans ce cas, l'intérêt du « sans contact » s'évanouit puisqu'il faut manipuler le passeport.
D'autre part, la lecture des titres à distance pourrait être le fait des autorités publiques. Les personnes seraient contrôlées à leur insu sans qu'il soit procédé à un contrôle d'identité individualisé . L'ensemble des règles relatives aux contrôles, aux vérifications et aux relevés d'identité 92 ( * ) pourrait s'en trouver bouleversé.
Il apparaît donc prématuré de recourir à cette technologie qui n'offre pas les garanties nécessaires en matière de protection des données.
*
* *
* 92 Articles 78-1 à 78-6 du code de procédure pénale.