C. LES GARANTIES NÉCESSAIRES À LA PRÉSERVATION DES LIBERTÉS INDIVIDUELLES ET AU RESPECT DE LA VIE PRIVÉE
La mise en place d'un titre d'identité électronique avec ou sans biométrie pour lutter contre la fraude à l'identité génère des craintes quant au respect des libertés individuelles, en particulier de la vie privée. L'équilibre entre sécurité et liberté n'est pas aisé à trouver.
Il faut tout d'abord rappeler que la sécurisation de l'identité n'est pas antinomique de la sauvegarde des libertés . Protéger l'identité d'un individu, c'est protéger les droits attachés à sa personne, qu'il s'agisse du droit de propriété ou de la liberté d'aller et venir par exemple. Ainsi, comme l'a noté M. Gérard Tcholakian, membre de la commission « Libertés et droits de l'homme » du Conseil national des Barreaux, la libre circulation et le droit au séjour des étrangers en situation régulière pourraient être mieux garantis avec un titre de séjour biométrique prouvant sans doute possible l'identité et les droits du porteur du titre .
Protéger l'identité, c'est aussi sécuriser les relations contractuelles . Les sociétés modernes consacrent les droits et la responsabilité individuels. La confiance est donc indispensable aux relations individuelles et aux relations entre les citoyens et l'État. Si le système d'identité est altéré et dégradé, les conditions de la confiance ne sont plus réunies. Un parallèle peut être établi avec la fausse monnaie qui porte atteinte à la confiance dans le système monétaire.
Cet enjeu, ainsi que les questions de sécurité internationales, poussent les Etats à vouloir mettre en place de nouveaux systèmes d'identité extrêmement sûrs. Cet objectif est légitime. Toutefois, il ne doit pas aboutir à sacrifier la liberté au nom de la sécurité . Pour éviter cet écueil, il faut garder à l'esprit que la fraude ne sera jamais éliminée et qu'un système parfait n'existe pas. L'objectif raisonnable que les autorités publiques doivent se fixer est de contenir la fraude dans des proportions acceptables. Cette ligne de conduite est fondamentale pour prévenir des solutions excessives , solutions qui pourraient conduire notamment à transformer un système d'identité en un système de contrôle et de police.
1. Les règles régissant les traitements automatisés de données à caractère personnel
Avec ou sans biométrie, un titre d'identité électronique est soumis aux règles relatives à la protection des données à caractère personnel dès lors qu'il est adossé à un traitement automatisé ou qu'il permet d'échanger des données à distance.
a) Les exigences constitutionnelles
La jurisprudence du Conseil constitutionnel en matière de traitement des données à caractère personnel laisse au législateur une grande liberté d'appréciation tout en protégeant les libertés individuelles.
Aux termes de l'article 2 de la Déclaration des droits de l'homme et du citoyen : « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression ».
En vertu de l'article 34 de la Constitution, il appartient au législateur de fixer les règles générales applicables aux fichiers nominatifs et aux traitements de données personnelles . Celles-ci doivent s'attacher à respecter la vie privée qui constitue un droit constitutionnel 80 ( * ) . Ce droit requiert que soit observée une particulière vigilance dans la collecte et le traitement de données à caractère personnel de nature médicale 81 ( * ) .
Mais il incombe également au législateur de concilier ce principe avec d'autres exigences, comme la sauvegarde de l'ordre public, la recherche des auteurs d'infractions et la préservation du bien-être économique et social 82 ( * ) .
Le Conseil constitutionnel admet, sous certaines réserves, les utilisations multiples d'un fichier . Ainsi, dans sa décision n° 2003-467 DC du 13 mars 2003 sur la loi pour la sécurité intérieure, il a considéré qu'aucune norme constitutionnelle ne s'opposait par principe à l'utilisation à des fins administratives de données nominatives automatisées recueillies dans le cadre d'activités de police judiciaire. Toutefois, elle « méconnaîtrait les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées ». C'est aux conditions dans lesquelles il est procédé à la double utilisation d'un fichier que le Conseil constitutionnel et, par voie de conséquence, le législateur ou le pouvoir réglementaire doivent être attentifs.
Par ailleurs, le Conseil n'admet l'interconnexion de fichiers ayant à l'origine des finalités distinctes que dans un but de bonne administration et de contrôle.
b) La convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales
Aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH) :
- « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance » ;
- « il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ».
Toutefois, le Conseil de l'Europe a estimé que l'article 8 de la convention contenait un certain nombre de limites et d'inconvénients au regard du développement nouveau de l'informatique et des technologies de l'information. La portée du terme « vie privée » est insuffisamment définie et la prise en considération de la protection contre l'ingérence de personnes qui ne sont pas une autorité publique est inexistante.
Cette réflexion a conduit à l'adoption en 1981 d'une convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, appelée convention 108, qui a été ratifiée par 31 États membres du Conseil de l'Europe, dont tous les États membres de l'Union européenne. La convention a pour objectif d'assurer la « protection du respect des droits et des libertés fondamentaux de toute personne physique, et notamment de son droit à la vie privée, à l'égard du traitement des données à caractère personnel la concernant ».
Initialement, la convention 108 était conçue pour ne pas s'appliquer directement, les parties contractantes s'engageant à adopter des dispositions de droit interne conformes à ses principes fondamentaux.
Entre temps, la Cour européenne des droits de l'homme a estimé dans un avis de 1997 (affaire Z c. Finlande) que la protection des données à caractère personnel jouait un rôle fondamental pour l'exercice du droit au respect de la vie privée et familiale garanti par l'article 8 de la CEDH et précisé par la convention 108 à laquelle elle s'est référée.
c) La directive de 1995 et la loi « Informatique et libertés »
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, récemment modifiée par la loi n° 2004-801 du 6 août 2004 afin de transposer la directive européenne 95/46 CE du 24 octobre 1995, définit les principes régissant les traitements de données à caractère personnel et les règles destinées à en assurer le respect par une autorité administrative indépendante, la Commission nationale de l'informatique et des libertés (CNIL).
• Les principes régissant le traitement des données à caractère personnel
Les données faisant l'objet d'un traitement doivent être :
- collectées et traitées de manière loyale et licite ;
- collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, sauf pour des fins statistiques ou de recherche scientifique ou historique ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- exactes, complètes et, si nécessaire, mises à jour ;
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
• Des formalités simplifiées.
La loi de 1978, dans sa rédaction antérieure à la loi du 6 août 2004, soumettait à formalités auprès de la CNIL, sans distinction, tout projet de traitement automatisé de données nominatives, et se fondait essentiellement, pour déterminer le contrôle préalable de la Commission, sur un critère organique : la nature publique ou privée du responsable du traitement. Ainsi, les traitements relevant du secteur public, pour être mis en oeuvre, devaient-ils obtenir au préalable un avis favorable de la CNIL alors que les traitements du secteur privé n'étaient astreints qu'à simple déclaration.
Désormais, ne sont soumis à autorisation ou avis de la CNIL, conformément à l'article 20 de la directive, que les seuls traitements présentant des risques particuliers au regard des droits et libertés des personnes . La déclaration est devenue le régime de droit commun pour la plupart des traitements, que ceux-ci relèvent de personnes publiques ou de personnes privées, de larges possibilités d'exemption et d'allègement des formalités étant prévues.
• Un contrôle renforcé
En contrepartie, les pouvoirs de contrôle de la Commission ont été renforcés .
Ses membres et les agents qu'elle habilite peuvent effectuer des contrôles sur place, accéder aux programmes informatiques et aux données, en demander la transcription par tout traitement approprié, recueillir, sur place ou sur convocation, tout renseignement et toute justification utile, demander communication et prendre copie de tous documents utiles à l'accomplissement de leurs missions.
Alors qu'auparavant, la CNIL, constatant un manquement à la loi, ne pouvait que délivrer des avertissements aux organismes en cause ou les dénoncer au parquet, elle dispose désormais de pouvoirs de sanctions administratives et pécuniaires importants : hormis l'avertissement, la Commission peut, après une mise en demeure infructueuse et à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire (à l'exception des traitements mis en oeuvre par l'Etat), une injonction de cesser le traitement (pour les traitements relevant du régime déclaratif), ou encore retirer son autorisation (pour les traitements soumis à une telle procédure).
En outre, en cas d'urgence et de violation des droits et libertés résultant de la mise en oeuvre d'un traitement, la Commission peut décider l'interruption temporaire de celui-ci ou le verrouillage de données (pendant trois mois) à l'exception de certains traitements de l'Etat.
Enfin, en cas d'atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander en référé au juge d'ordonner toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.
Le montant des sanctions pécuniaires susceptibles d'être infligées par la CNIL peut atteindre 150.000 € lors du premier manquement constaté, et 300.000 € ou 5 % du chiffre d'affaire hors taxes du dernier exercice s'il s'agit d'une entreprise dans la limite de 300.000 €. Le montant de ces sanctions doit être « proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement ».
2. Les données biométriques : des données personnelles particulières
a) Les craintes et dangers liés à la biométrie
L'utilisation de la biométrie suscite de nombreuses interrogations en matière de respect des droits de l'homme et de la législation sur le traitement automatisé des données à caractère personnel. Comme pour toute technologie nouvelle, des doutes sont émis sur la maturité et la fiabilité des techniques ainsi que sur la capacité à garder le contrôle de systèmes biométriques déployés à grande échelle. Certains appellent à appliquer le principe de précaution face à un développement irréversible et imprévisible de la biométrie dans le monde. D'autres craignent que la biométrie ne devienne un instrument de contrôle et de surveillance trop puissant entre les mains de la puissance publique.
Des interrogations philosophiques ont été soulevées devant les membres de la mission, notamment par M. Didier Bigo, chercheur au CERI (Centre d'Études et de Recherches Internationales) et maître de conférence à l'Institut d'Études politiques de Paris. S'attachant à marquer la différence de nature entre une carte d'identité classique et un titre d'identité biométrique , il a mis en évidence le passage d'une carte d'identité à une carte d'identification. La vérité de l'identité serait uniquement dans le corps et non plus dans l'identité sociale. La biométrisation de l'identité contribuerait à modifier en profondeur l'identité elle-même, en rendant l'identité indissociable d'un processus d'identification, qui est aussi un processus de contrôle.
La biométrie peut être aussi ressentie comme une atteinte à la dignité humaine . Certaines personnes réprouvent l'idée que le corps humain soit utilisé comme une source d'information. Les données biométriques peuvent révéler des maladies ou une origine raciale. Les progrès techniques pourraient donner la possibilité d'extraire beaucoup plus d'informations des données biométriques qu'aujourd'hui.
Le caractère unique et permanent de la biométrie pose également des difficultés. La Ligue des droits de l'homme et le Conseil national des barreaux ont rappelé que de nombreuses personnes avaient eu la vie sauve sous l'Occupation en utilisant de fausses identités. Or, l'utilisation généralisée de la biométrie pour s'identifier, notamment avec la mise en place d'un titre d'identité biométrique, rendrait impossible la dissimulation de son identité.
En outre, en cas d'erreur du système, par exemple si une autre personne a les mêmes caractéristiques biométriques (la probabilité est faible mais pas nulle) ou si celles-ci sont altérées en raison d'un accident ou du vieillissement, comment prouver sa bonne foi ?
b) La législation sur la protection des données personnelles applicable aux données biométriques
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ne faisait pas explicitement référence aux données biométriques et ce essentiellement en raison du fait qu'à cette date, l'identification ou l'authentification d'une personne reposait sur son état civil et le numéro d'inscription au registre national d'identification des personnes physiques (NIR, également appelé numéro de sécurité sociale).
Toutefois, par nature, un élément d'identification biométrique ou sa traduction électronique constitue une donnée à caractère personnel entrant dans le champ d'application de la loi de 1978 conformément à l'article 4 de ce texte, aux termes duquel : « sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou morale ».
Les données biométriques présentent, en effet, la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir.
Aussi la nouvelle loi « Informatique et libertés » du 6 août 2004 les a-t-elle soumises au cadre légal des données à caractère personnel et à la surveillance de la Commission nationale de l'informatique et des libertés, tout en prenant en compte leur spécificité :
- les traitements des données biométriques nécessaires au contrôle de l'identité des personnes sont désormais soumis à un régime d'autorisation par la Commission (article 25) ;
- les traitements de données biométriques mis en oeuvre pour le compte de l'Etat et nécessaires à l'authentification ou au contrôle de l'identité des personnes doivent être autorisés par décret en Conseil d'Etat après avis de la Commission 83 ( * ) (article 27).
Bien qu'il n'existe pas de dispositions légales ou réglementaires spécifiques définissant ce qui est permis ou non en matière de traitement des données biométriques, la CNIL s'est déjà efforcée d'encadrer leur utilisation .
Elle n'a pas adopté une position de principe de refus de collecte de toute donnée biométrique.
Ainsi, elle tient pour légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que la donnée biométrique est conservée sur un support dont la personne a l'usage exclusif 84 ( * ) .
En revanche, la CNIL considère que « la mémorisation et le traitement de données issues des empreintes digitales, compte tenu des caractéristiques de l'élément d'identification physique retenu et des usages possibles des bases de données qui pourraient ainsi être constituées, doivent être justifiés par des exigences impérieuses en matière de sécurité ou d'ordre public ». Appréciant strictement la réunion de ces critères, elle censure tout projet ne démontrant pas que la collecte de données biométriques est pertinente et proportionnée au regard de la finalité du traitement 85 ( * ) .
La CNIL souligne l'importance de ne pas banaliser le recours à la biométrie . Elle ne doit pas être utilisée seulement parce qu'elle est pratique, mais parce qu'elle constitue le seul moyen d'atteindre le résultat recherché .
L'attitude de la Commission diffère selon la nature de la donnée biométrique recueillie. Elle considère par exemple que les empreintes digitales présentent un niveau de risque plus élevé que les autres biométries dites « sans traces », du moins en l'état actuel de la technologie. Ces traces peuvent être exploitées pour l'identification des personnes et, dès lors, toute base de données d'empreintes digitales est susceptible d'être utilisée à des fins étrangères à sa finalité première.
En outre, la CNIL applique à ce type de traitement automatisé de données biométriques l'ensemble des principes applicables aux traitements automatisés de données à caractère personnel. Ainsi, l'article 6 de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées, explicites et légitimes ; elles doivent être adéquates, pertinentes et non excessives au regard de ces finalités et conservées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Ce principe de proportionnalité a commandé la plupart des avis et autorisations de la CNIL dans le domaine des applications biométriques.
c) Des limites relatives mais pas absolues au développement des traitements automatisés de données biométriques
Le principe le plus important est que l'instrument doit servir la finalité pour laquelle les données ont été collectées.
Cela implique comme préalable la définition précise des objectifs assignés à un système de traitement automatisé de données biométriques. Ainsi, le choix entre une fonction d'authentification ou d'identification dépend de la finalité envisagée et des circonstances dans lesquelles le système sera employé. Ce dernier ne doit pas être inutilement surdimensionné, c'est-à-dire disproportionné par rapport à la finalité première qu'il doit remplir.
Ainsi, dans un rapport récent 86 ( * ) , le comité consultatif de la convention 108 convient que le contrôle des passeports peut avoir d'autres finalités légitimes que la simple authentification . Si la finalité n'est pas uniquement de vérifier que l'utilisateur du passeport est le détenteur légitime mais également, par exemple, de contrôler que la personne concernée n'est pas sur une liste de personnes recherchées, l'identification est nécessaire. Cette finalité supplémentaire doit être explicitée pour qu'il soit possible de juger si le système d'identification choisi est nécessaire.
En somme , il n'y a rien qui soit a priori interdit si les finalités le justifient .
Une fois ce principe énoncé, l'appréciation de ce qui est proportionné et de ce qui ne l'est pas est plus difficile . Au travers de ses avis et autorisations, la CNIL a tenté de définir une graduation des moyens auxquels il est possible de recourir en fonction des buts recherchés. Elle admet le recours à la fonction d'identification si des exigences impérieuses en matière de sécurité ou d'ordre public existent.
Des difficultés peuvent se poser lorsqu'un traitement automatisé créé pour une finalité première est également utilisé pour une autre fin accessoire.
Comme on l'a vu, le Conseil constitutionnel autorise les utilisations multiples d'un fichier, à condition qu'elles ne revêtent pas un caractère excessif. De la même manière, la CNIL a nuancé son interprétation du principe de finalité. Elle a ainsi admis dans un avis rendu le 7 décembre 1998 que le fichier des personnes hospitalisées d'office tenu par les directions départementales de l'action sanitaire et sociale pouvait être consulté par les services de police dans le cadre de la procédure administrative d'autorisation d'un port d'arme.
Par un raisonnement assez proche, le comité consultatif de la convention 108 estime qu'il serait excessif et contraire au principe de proportionnalité d'exiger qu'un système employant des données biométriques soit plus perfectionné que ne le requiert la finalité première du traitement pour l'unique raison que, dans des cas exceptionnels, ces données pourraient être requises pour une finalité secondaire.
3. La création d'un fichier central : dangers et garanties
Il a été vu précédemment que le droit positif ne fixait pas de limites très claires entre ce qui est permis ou pas. Si le principe de proportionnalité interdit certaines choses, il exige surtout des garanties.
Les différents systèmes de titre d'identité électronique présentés dans ce rapport ne posent pas les mêmes difficultés au regard du principe de proportionnalité. L'appréciation de ce qui est excessif ou non par rapport à l'objectif de lutte contre la fraude est délicate. La jurisprudence du Conseil constitutionnel et celle de la Cour européenne des droits de l'homme manquent de précédents pour affirmer si certains systèmes de titre d'identité électronique sont contraires ou non aux normes constitutionnelles ou conventionnelles.
a) Vers un fichier central des Français ?
Les débats autour de la création d'un titre d'identité électronique, éventuellement obligatoire, ont fait ressurgir les craintes à propos de la constitution d'un fichier des Français.
Depuis la période de Vichy, la France n'a pas connu de projet de fichier national des Français à proprement parler. Depuis la réintroduction d'une carte nationale d'identité en 1955, et en dépit de nombreuses réformes et modernisations de ce document, aucun fichier des Français n'a été reconstitué. Seul un fichier de gestion de la carte nationale d'identité a été créé en 1986 pour la mise en oeuvre de la nouvelle carte d'identité sécurisée.
Lors de leur audition, MM. Alain Weber, responsable de la commission Libertés et informatique à la Ligue des droits de l'homme, et Thierry Wickers, président de la Conférence des bâtonniers, se sont déclarés farouchement opposés à la constitution d'un fichier assimilable à un fichier des Français. Ils ont mis en exergue le risque de détournement de ce fichier.
Cette singularité française s'explique en grande partie par le poids de l'histoire. De nombreux pays européens disposent d'un fichier de la population . Lors de son déplacement en Belgique, une délégation de la mission d'information a constaté l'ampleur du registre de la population et la quantité des informations qui y sont rassemblées sur chaque individu.
Ce débat important et lourd de symbole doit toutefois être relativisé.
Comme le reconnaît la CNIL, il existe en France un fichier nominatif pas comme les autres : le Répertoire national d'identification des personnes physiques (RNIPP). Plus qu'un fichier des Français, le RNIPP est un fichier de population.
La CNIL est extrêmement réticente à son utilisation et s'est efforcée de la cantonner au domaine de la protection sociale. La loi subordonne d'ailleurs l'utilisation du NIR pour le compte de l'Etat à une autorisation par décret en Conseil d'Etat après avis motivé et publié de la CNIL 87 ( * ) .
Dans une délibération du 29 novembre 1983 88 ( * ) , la Commission a recommandé que l'emploi du NIR comme identifiant des personnes dans les fichiers ne soit ni systématique, ni généralisé et qu'en conséquence, chaque traitement automatisé soit doté d'identifiants diversifiés et adaptés à leurs besoins propres. La crainte est que le NIR devienne un identifiant unique rendant aisé l'interconnexion des fichiers.
Mais les reproches faits au RNIPP ne portent pas directement sur le fait que ce fichier est de facto un fichier de la population française. Ils portent sur les conditions dans lesquelles ce fichier est utilisé et sur le risque que le NIR serve d'identifiant universel.
Il est compréhensible que la création éventuelle d'un « fichier des Français » soulève des craintes. Mais, dans ce cas, la logique voudrait que le RNIPP soit modifié ou supprimé. Si les drames de l'histoire devaient se reproduire, nul doute qu'un pouvoir malintentionné se servirait du répertoire.
En conséquence et à supposer que le titre d'identité électronique soit rendu obligatoire, il semble que le débat devrait moins se focaliser sur la création ou non d'un fichier national de gestion de ce titre, qui existe déjà, que sur les conditions et les limites de son utilisation .
b) Encadrer les fonctions d'identification d'une base de données à caractère personnel
La création d'une base de données biométriques reliée à une base de données d'identité pour assurer l'unicité de la délivrance et du renouvellement des titres d'identité exige des précautions importantes. Les fonctions d'identification d'un tel fichier permettent l'utilisation des données pour d'autres fins que celle pour laquelle elles ont été collectées.
Si le choix se porte vers un système de bases de données qui ne permet pas de retrouver l'identité d'un individu à partir d'empreintes digitales, l'encadrement de l'utilisation d'un tel fichier pose peu de difficultés. L'architecture du fichier limite des utilisations abusives ou illégales. C'est particulièrement le cas du modèle dit à « lien faible » dont la conception rend impossible le rétablissement de liens en clair entre les données d'identité et les données biométriques. Ce choix est irrévocable. En revanche, le modèle avec un lien cryptographique à sens unique de l'identité vers la biométrie laisse ouverte la possibilité de rétablir des liens en clair et, par voie de conséquence, d'utiliser le fichier à d'autres fins. Un arbitrage entre ces deux modèles doit prendre en compte cet effet cliquet.
Si le choix se porte vers un fichier d'identification forte, des précautions techniques et juridiques sont à prendre.
Techniquement , les données biométriques choisies ne doivent pas excéder ce qui est strictement nécessaire à la bonne exécution de la finalité première, c'est-à-dire garantir l'unicité de l'identité. Le respect du principe de proportionnalité le requiert. Cela signifie par exemple que les empreintes digitales relevées n'ont pas besoin d'être roulées mais seulement posées. Les empreintes roulées sont uniquement utilisées en police judiciaire. Ce point technique nuancerait certaines critiques considérant qu'un tel fichier d'identité équivaudrait à un fichier automatisé des empreintes digitales (FAED) généralisé à l'ensemble des Français.
Juridiquement , il faut arrêter précisément les circonstances et raisons qui justifient l'utilisation du fichier à des fins d'identification.
Une première utilisation possible est l'identification de victimes de catastrophe naturelle majeure, de personnes disparues ou amnésiques. L'exemple du tsunami en Asie a été évoqué par plusieurs des personnes entendues. Cette utilisation n'appelle pas de réserves particulières. La seule exigence est de s'assurer que la consultation du fichier est effectivement motivée par une de ces raisons. L'autorisation d'un magistrat apparaît néanmoins indispensable.
Une deuxième utilisation est l'identification de personnes à partir de leurs données biométriques, voire à partir de traces anonymes, à des fins de police judiciaire. En effet, en droit positif, un magistrat peut consulter n'importe quel fichier pour les besoins de l'enquête ou de l'instruction 89 ( * ) . En cas de flagrance, un officier de police judiciaire y est aussi autorisé 90 ( * ) .
Plusieurs personnes, tout particulièrement MM. Alain Weber, responsable de la commission Libertés et informatique à la Ligue des droits de l'homme, et Thierry Wickers, président de la Conférence des bâtonniers, ont clairement exprimé leur opposition à la constitution d'un fichier biométrique, pouvant servir a fortiori à des fins d'identification judiciaire. M. François Giquel, vice-président de la CNIL, a jugé pour sa part que le principe de proportionnalité ne serait pas respecté.
Pour la Ligue des droits de l'homme, il y aurait confusion entre ce fichier et le FAED. Plus encore, la Ligue s'oppose à la création pure et simple d'un fichier d'identification. Elle estime qu'une fois le fichier créé il sera impossible de revenir en arrière. Les garanties et limites arrêtées ne résisteraient pas longtemps aux tentations d'utiliser le fichier à des fins de police judiciaire. A l'occasion d'affaires criminelles médiatiques, il serait certainement reproché au législateur d'avoir retiré au magistrat un moyen d'enquête ou d'instruction peut-être déterminant. En somme, créer un fichier reviendrait à mettre le doigt dans un engrenage. Pour appuyer son propos, elle a évoqué l'exemple du fichier automatisé des empreintes génétiques dont le champ d'utilisation n'a cessé de s'accroître depuis sa création en 1998.
Doit-on dès lors interdire l'utilisation du fichier à des fins de police judiciaire ? Il s'agit d'une question de principe qu'il appartiendra au législateur de trancher. Si toutefois le choix effectué permettait de telles utilisations, plusieurs garde-fous seraient indispensables.
Tout d'abord, l'autorité judiciaire, gardienne de la liberté individuelle en vertu de l'article 66 de la Constitution, doit seule permettre l'utilisation du fichier à des fins de police judiciaire. Aucune consultation du fichier à des fins d'identification ne devrait être possible sans autorisation d'un magistrat.
Enfin, une règle de conduite modératrice devrait être suivie. La consultation du fichier ne serait autorisée qu'en motivant la demande et en indiquant qu'aucun autre moyen ne permettrait d'obtenir l'information utile. La consultation du fichier ne doit pas être une solution de facilité.
Une troisième utilisation, si le législateur l'autorisait, pourrait être la consultation de ce fichier par les services en charge de la défense des intérêts fondamentaux de l'Etat et de la lutte contre le terrorisme à des fins de renseignement.
Cette utilisation en dehors du contrôle du juge est problématique. Les auditions de MM. Pierre de Bousquet de Florian, directeur de la surveillance du territoire, et Marcel Faure, commissaire divisionnaire et chef de la division nationale de répression des atteintes aux personnes et aux biens, ont révélé la forte demande des services de renseignements et de police pour ce type d'utilisation. Au Royaume-Uni, le projet de carte d'identité prévoit que le directeur général des services de sécurité, le chef des services secrets ou le directeur général de l'Agence du crime organisé (équivalent de l'Office central pour la répression du banditisme) peuvent se voir communiquer les informations figurant dans le Registre national d'identité.
Cette utilisation du fichier nécessiterait des précautions toutes particulières si elle était admise.
D'une part, seules les personnes habilitées et individuellement désignées devraient pouvoir accéder au fichier.
D'autre part, un organisme indépendant sur le modèle de la Commission nationale de contrôle des interceptions de sécurité 91 ( * ) pourrait être chargé de s'assurer du bien fondé des consultations du fichier . La CNIL pourrait remplir cet office et émettre des avis à l'occasion de chaque consultation du fichier.
c) Renverser les schémas classiques : observer Big Brother
Un titre d'identité électronique adossé à un fichier central demande une vigilance particulière pour déterminer les modalités et la durée de conservation des données, les conditions de leur mise à jour, les catégories de personnes habilitées à modifier et à consulter ces données et les conditions dans lesquelles les personnes intéressées peuvent exercer leurs droits d'accès et de rectification. Ces précautions en matière de protection des données personnelles sont habituelles.
Toutefois, le passage à un titre électronique devrait être l'occasion d'innover réellement en matière de respect de la vie privée et de protection des données personnelles .
En effet, plusieurs principes restent souvent lettre morte en dépit des efforts de la CNIL. Il en va ainsi de la mise à jour des données ou du droit d'accès aux données et du droit à leur rectification . Très peu de personnes exercent leurs droits en raison de la lourdeur apparente ou réelle des procédures. Ils restent théoriques.
La mise en place d'un titre électronique incluant une fonction d'authentification offre l'opportunité d'exercer réellement ces droits en ayant accès à ses propres données personnelles à distance. En s'authentifiant grâce à la carte, chaque personne pourrait en temps réel contrôler les informations recueillies, leur exactitude ainsi que les consultations passées du fichier .
Appliqué dans un premier temps au seul fichier des titres d'identité, ce dispositif pourrait être étendu à la quasi-totalité des traitements automatisés publics.
Lors de son déplacement en Belgique où le nouveau titre d'identité électronique prévoit cette application, la délégation de la mission d'information a pris conscience du bouleversement qu'un tel dispositif entraînerait. Comme l'a dit M. Luc Vanneste, directeur général de la direction des institutions et de la population, « Big brother serait désormais surveillé par des millions de personnes ». Ce renversement des rapports de force ferait de chaque individu le gendarme de ses propres données.
d) Renforcer les moyens de la CNIL
La CNIL souffre depuis longtemps d'un manque de moyens . Ils sont au moins inférieurs de moitié à ceux de ses homologues européennes et moins importants que ceux alloués à d'autres autorités administratives indépendantes françaises.
Dans son rapport sur la loi portant création de la Haute autorité de lutte contre les discriminations et pour l'égalité au nom de votre commission des Lois, votre rapporteur notait ainsi que le budget alloué à cette autorité administrative indépendante en 2005 était de 10.700.000 euros, celui du Médiateur de la République de 7.752.583 euros, celui du Conseil supérieur de l'audiovisuel de 32.476.075 euros, et celui de la CNIL de 7.675.748 euros seulement.
La création d'un titre d'identité électronique rendrait plus impérieux encore l'effort budgétaire réclamé à juste titre par son président , notre collègue M. Alex Türk, dans la mesure où les tâches de contrôle dévolues à la Commission augmenteraient considérablement, quel que soit le système retenu.
4. Garder la maîtrise des données et de leur diffusion
La loi du 6 janvier 1978 a inspiré l'ensemble des législations étrangères relatives à la protection des données personnelles. Deux préoccupations majeures l'ont guidée : contrôler la centralisation de données personnelles par l'Etat et limiter le développement de bases de données privées incontrôlables.
Près de trente ans plus tard, les enjeux ont évolué. L'Etat, dès lors qu'il est démocratique, n'apparaît plus comme le principal danger. Le nouveau défi consiste à maîtriser l'expansion de bases de données privées et la diffusion désordonnée de ces informations vers des pays n'offrant pas les mêmes garanties en matière de protection des données personnelles ou vers des acteurs non étatiques porteurs de menaces contre les libertés individuelles (organisations criminelles, entreprises privées, voire des individus).
L'Etat démocratique ne doit pas être nécessairement considéré comme un Leviathan ou un Big Brother. Face aux évolutions actuelles, l'Etat doit user de sa puissance pour protéger ses citoyens contre l'évasion de leurs données personnelles .
A cet égard, le développement de la biométrie dans le monde entier impose à l'Etat de maîtriser ces technologies. La biométrie est en effet au croisement d'enjeux de défense, de sécurité, de liberté et de respect de la vie privée. Elle doit être considérée comme un secteur stratégique au même titre que les industries de défense et faire l'objet de la même attention.
Si la centralisation des données biométriques dans une base nationale soulève des interrogations légitimes, le problème est aussi et surtout leur circulation. De quel contrôle des données peut-on se prévaloir si celles-ci sont largement diffusées ?
Paradoxalement, ces réflexions peuvent plaider en faveur d'une centralisation des données biométriques par l'Etat. S'il ne le fait pas, le risque est grand que d'autres Etats le fassent à notre place en arguant que le niveau de sécurité de nos titres d'identité ou documents de voyage est insuffisant.
La politique américaine en ce domaine illustre parfaitement une telle attitude. Outre leur demande d'inclure rapidement des éléments biométriques dans les passeports, les Etats-Unis relèvent depuis bientôt un an les empreintes digitales et la photographie de l'ensemble des étrangers entrant sur leur territoire. A terme, ce fichier comportera plusieurs centaines de millions d'individus, les données biométriques étant conservées 75 ans. En poussant à l'extrême la logique de ce dispositif, les passeports nationaux n'auront bientôt plus qu'une valeur relative par rapport à cette base de données.
Le système européen de visas biométriques en cours d'élaboration obéit à une logique assez similaire.
Face à ce risque de perte de contrôle des données, deux points méritent un développement particulier.
a) Sécuriser les données
Aucun système informatique n'est infaillible. Les systèmes utilisés devraient donc faire l'objet d'audit et d'évaluation réguliers , le cas échéant sous la direction de la CNIL, afin de maintenir un niveau très élevé de sécurité.
b) La puce sans contact
La technologie d'identification par radiofréquence, appelée RFID, permet à un lecteur de récupérer à une distance de quelques centimètres à quelques mètres des informations stockées dans une micropuce, grâce à une antenne imprimée en filigrane.
L'industrie du « sans contact » est en plein essor . Le marché mondial de la RFID pourrait tripler dans les trois prochaines années pour atteindre 5,5 milliards d'euros en 2008. Surtout utilisée dans les activités de logistique (gestion des stocks, de l'acheminement...), cette technologie pourrait s'étendre à de nouveaux domaines.
D'ores et déjà, cette technologie inquiète les défenseurs du respect de la vie privée , qui redoutent de voir les consommateurs espionnés par un mouchard. La CNIL est attentive à son développement.
Dans le cadre de la mise en place de titres d'identité ou de voyage électroniques, l'utilisation du « sans contact » a été étudiée. Elle permettrait de lire un passeport par exemple sans qu'il soit nécessaire de le sortir pour le présenter devant un lecteur. La gestion des flux à la frontière, notamment dans les aéroports, serait fluidifiée. Cette solution a également été envisagée par le projet INES.
Plusieurs problèmes importants requièrent de la prudence avant d'intégrer cette technologie aux pièces d'identité.
D'une part, plusieurs personnes entendues ont souligné les risques de captation des données à l'insu du porteur . Une grande incertitude règne en la matière. La sensibilité des données contenues dans la puce, avec ou sans biométrie, interdit de choisir une telle solution pour des raisons de simple confort. Comme il a été vu, une présence humaine doit être maintenue lors du contrôle des titres pour des raisons de sécurité et de fiabilité.
Les partisans de cette technologie répliquent qu'il serait possible de protéger les passeports par un écran métallique dans la couverture et un code qui n'est lisible qu'en ouvrant le passeport. Mais dans ce cas, l'intérêt du « sans contact » s'évanouit puisqu'il faut manipuler le passeport.
D'autre part, la lecture des titres à distance pourrait être le fait des autorités publiques. Les personnes seraient contrôlées à leur insu sans qu'il soit procédé à un contrôle d'identité individualisé . L'ensemble des règles relatives aux contrôles, aux vérifications et aux relevés d'identité 92 ( * ) pourrait s'en trouver bouleversé.
Il apparaît donc prématuré de recourir à cette technologie qui n'offre pas les garanties nécessaires en matière de protection des données.
*
* *
* 80 Voir par exemple la décision n° 99-416 DC du 23 juillet 1999 sur la loi portant création d'une couverture maladie universelle.
* 81 Décision n° 99-422 DC du 21 décembre 1999.
* 82 Voir par exemple la décision n° 2003-467 DC du 13 mars 2003 relative à la loi pour la sécurité intérieure.
* 83 Sous l'empire de la loi de 1978 non modifiée, les actes réglementaires portant création de tels traitements étaient pris après avis motivé de la CNIL ou, en cas d'avis défavorable, après avis conforme du Conseil d'Etat.
* 84 Voir par exemple la délibération de la CNIL n° 03-015 du 24 avril 2003 portant avis sur les articles 4 et 5 d'un projet de loi relatif à l'immigration.
* 85 Pour un exemple d'avis favorable et défavorable, voir la délibération de la CNIL n° 2004-075 du 5 octobre 2004 portant avis sur le projet de décret en Conseil d'Etat pris pour l'application de l'article 8-4 de l'ordonnance du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France et portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa.
* 86 Rapport d'étape sur l'application des principes de la Convention 108 à la collecte et au traitement des données biométriques (février 2005. réf : T-PD (2005) BIOM F). La Convention 108 est le nom donné à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe.
* 87 Article 27 de la loi du 6 janvier 1978 modifié. Lorsque l'utilisation du NIR ne se fait pas pour le compte de l'Etat, l'autorisation de la CNIL est nécessaire.
* 88 Délibération n° 83-058 du 29 novembre 1983 portant adoption d'une recommandation concernant la consultation du Répertoire national d'identification des personnes physiques et l'utilisation du numéro d'inscription au répertoire.
* 89 Articles 77-1-1 et 99-3 du code de procédure pénale.
* 90 Article 60-1 du code de procédure pénale.
* 91 Autorité administrative indépendante, cette Commission émet un avis sur les autorisations d'interception de sécurité. Au cas où la Commission estime qu'une interception de sécurité a été autorisée en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce que cette interception soit interrompue. Voir la loi n° 91-646 du 10 juillet 1991.
* 92 Articles 78-1 à 78-6 du code de procédure pénale.