Allez au contenu, Allez à la navigation

Biométrie : mettre la technologie au service des citoyens

13 juillet 2016 : Biométrie : mettre la technologie au service des citoyens ( rapport d'information )

AVANT-PROPOS

Mesdames, Messieurs,

Votre commission a souhaité confier à MM. François Bonhomme et Jean-Yves Leconte une mission d'information visant à dresser un panorama des usages de la biométrie et à évaluer les perspectives d'évolution envisageables.

Comme le soulignait notre ancien collègue député, M. Christian Cabal, « quasiment tout dans l'anatomie ou le comportement d'un individu peut être transformé en un code informatique permettant de l'identifier »1(*).

La biométrie désigne l'ensemble des technologies de reconnaissance physique ou biologique des individus. D'abord centrées sur les empreintes digitales et génétiques, les techniques biométriques se sont diversifiées : la reconnaissance faciale, l'examen de l'iris, l'analyse de la pression sanguine, de la forme de l'oreille, etc. constituent aujourd'hui des moyens d'authentification et d'identification déjà opérationnels ou en cours de développement.

Les usages privés de la biométrie ont été analysés par votre commission à l'occasion de l'examen de la proposition de loi n° 361 (2013-2014) de M. Gaëtan Gorce. Le rapporteur, M. François Pillet, avait alors constaté la banalisation de ces techniques2(*). Au terme d'un débat nourri, le Sénat avait conclu à la nécessité de réserver ces utilisations dans le domaine privé à des usages sensibles dont la finalité comprend, par exemple, la protection de l'intégrité physique des personnes ou la protection d'informations dont la divulgation, le détournement ou la destruction représenterait un préjudice grave et irréversible.

Le présent rapport aborde la biométrie sous un angle différent : celui des usages publics. Il s'agit d'analyser la façon dont l'administration utilise ces techniques à des fins judiciaires mais également administratives et de prévention (police administrative, simplification des relations entre le citoyens et l'administration).

Vos rapporteurs se sont ainsi interrogés sur les évolutions technologiques en cours et sur la manière dont elles pourraient améliorer l'efficacité de l'action administrative tout en respectant le droit à la vie privée des personnes.

I. LES USAGES PUBLICS DE LA BIOMÉTRIE SE SONT PROGRESSIVEMENT DÉVELOPPÉS DANS UN CADRE JURIDIQUE SPÉCIFIQUE

D'abord réservé au domaine judiciaire, l'usage de la biométrie a été progressivement étendu à la sphère administrative, notamment sous l'influence du droit communautaire et des préoccupations de prévention d'actes terroristes. Ainsi, après les attentats du 11 septembre 2001, les États-Unis ont imposé un passeport biométrique pour entrer sur le sol américain sans visa, ce qui a conduit à l'établissement des règles européennes en vigueur.

Pour l'autorité publique, l'objectif de ces techniques est double : sécuriser l'authentification et l'identification des personnes, d'une part, et rendre l'action administrative plus efficace, d'autre part.

Les données biométriques sont strictement encadrées par des principes de proportionnalité et de finalité définis par le droit européen et national.

A. LE DÉVELOPPEMENT ET LA DIVERSIFICATION DES TECHNIQUES BIOMÉTRIQUES

Le marché mondial de la biométrie connaît une expansion certaine alors que ce type de technologies fait aujourd'hui partie intégrante des procédures administratives.

D'après l'agence Acuity market intelligence3(*), ce marché représenterait près de 9 milliards d'euros partagés à parité entre les usages publics et les usages privés.

L'industrie française compte dans ses rangs des leaders mondiaux comme Safran identity and security (ex Morpho), Gemalto ou Thalès.

L'activité des entreprises françaises de biométrie : quelques exemples emblématiques

Safran identity and security fournit par exemple les sas PARAFE ou les cartes nationales d'identité égyptiennes et participe au programme d'identification biométrique de la population indienne. Entendus par vos rapporteurs, ses représentants ont évalué le chiffre d'affaires de leurs solutions biométriques à 1,3 milliards d'euros, l'entreprise employant 8 000 collaborateurs dont 1 500 en France.

Gemalto a participé au programme «identification biométrique officielle au Gabon » (IBOGA) ou à la constitution d'un registre électoral biométrique au Burkina Faso. La société fournit, en outre, la technologie utilisée par les passeports de nombreux États comme la Belgique, Malte ou l'Algérie.

Thalès revendique l'émission de plus de 300 millions de titres d'identité. L'entreprise a participé à la création de l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF 2) ainsi qu'au programme d'externalisation du recueil des données biométriques des visas (BIONET). Elle a également fournit les cartes nationales d'identité du Kenya ou du Cameroun.

Historiquement, les dispositifs biométriques utilisaient essentiellement les empreintes digitales et génétiques, techniques qui demeurent les plus fiables à ce jour.

Prélèvement d'une empreinte digitale (capteur PARAFE)

Source : Direction centrale de la police
aux frontières (DCPAF)

Deux dynamiques sont aujourd'hui constatées sur le marché de la biométrie :

- de nouvelles techniques de reconnaissance anatomique apparaissent avec des degrés de fiabilité divers (géométrie de la main, voix, odeur, forme de l'oreille, pression sanguine, etc.), les outils de reconnaissance faciale et de contrôle de l'iris4(*) connaissant l'expansion la plus rapide ;

des dispositifs de reconnaissance dynamique sont en phase de développement. Il s'agit, à titre d'exemple, d'utiliser des logiciels d'analyse comportementale reliés aux caméras de vidéoprotection et de détecter les risques potentiels en mesurant les différentiels de température du corps des individus, le niveau de leur voix, etc. Un tel dispositif est expérimenté dans le domaine ferroviaire comme la mission d'information sur la sécurité dans les gares a pu le constater début 20165(*).

1. Un recours croissant aux outils biométriques
a) Un premier usage dans le domaine judiciaire

Historiquement, la biométrie a d'abord été utilisée dans le cadre de procédures criminelles pour faciliter l'identification des auteurs d'infractions et l'instruction des affaires.

En 1879, le criminologue Alphonse Bertillon, alors employé de la Préfecture de police de Paris, crée une méthode d'identification, le « bertillonnage », consistant à prendre les photographies et huit mensurations de prisonniers afin de les identifier plus facilement en cas de récidive. Entre 1883 et 1884, 19 771 individus sont ainsi mesurés et 290 d'entre-eux sont identifiés lors d'enquêtes ultérieures6(*).

Ces modes d'identification par mesures biométriques furent aussi à l'origine de dérives, comme le carnet anthropométrique imposé aux gens du voyage par la loi du 16 juillet 19127(*) ou au cours de la seconde guerre mondiale. C'est pourquoi ces méthodes, couplées à la puissance de calcul des dispositifs informatiques d'aujourd'hui, représentent un risque majeur pour les libertés et méritent une attention particulière ainsi qu'un encadrement spécifique.

Une fiche anthropométrique d'Alphonse Bertillon (1912)

Source : « Alphonse Bertillon
et l'anthropométrie judiciaire.
L'identification au coeur de l'ordre républicain »,
Martine Kaluszynski, Revue criminocorpus, mai 2014

Les enquêtes criminelles s'appuient principalement sur deux fichiers : le premier porte sur les empreintes digitales (fichier automatisé des empreintes digitales, FAED), le second sur les empreintes ADN (fichier national automatisé des empreintes génétiques, FNAEG).

Ces bases de données sont administrées par la direction centrale de la police judiciaire du ministère de l'intérieur, sous le contrôle des magistrats de l'ordre judiciaire.

Le FAED et le FNAEG sont utilisés dans un cadre précisément défini par les lois et règlements par des fonctionnaires de police et de gendarmerie spécialement habilités. En 2014, le FAED a par exemple permis d'identifier des individus dans le cadre de 14 698 affaires8(*).

Les conditions d'utilisation du FAED

Les conditions d'utilisation du fichier automatisé des empreintes digitales (FAED) sont définies dans le décret n°87-249 du 8 avril 19879(*), ce dernier précisant notamment les éléments enregistrés ainsi que les conditions de consultation et de gestion du fichier.

- Les éléments enregistrés

Les empreintes du FAED sont enregistrées dans un cadre judiciaire lors d'une enquête pour crime ou délit flagrant, d'une enquête préliminaire, d'une commission rogatoire, d'une information pour recherche des causes de la mort ou d'une disparition, d'une enquête consécutive à la découverte d'une personne grièvement blessée ou lors de l'exécution d'un ordre de recherche délivré par une autorité judiciaire.

Les empreintes sont insérées dans une fiche signalétique comprenant, en outre, des informations relatives à l'identité de la personne concernée (nom, prénoms, etc.), le service ayant procédé à la signalisation, la référence de la procédure et, le cas échéant, des clichés anthropométriques.

- Les conditions de consultation

Environ 300 fonctionnaires de police et de gendarmerie disposent d'un accès individuel au FAED. Ils peuvent uniquement le consulter dans le cadre d'opérations d'identification prévues par le décret précité (demande de l'autorité judiciaire ou des forces de l'ordre lors d'une enquête judiciaire, identification de personnes décédées, etc.). Le recours au FAED « hors du cadre judiciaire »pour que le maire puisse s'assurer de l'identité d'une personne avant la fermeture du cercueil par exemple - demeure l'exception.

- La gestion du fichier

Les données du FAED sont conservées pendant 25 ans sauf si elles deviennent obsolètes (décision de relaxe ou d'acquittement devenue définitive par exemple) ou si la personne concernée obtient leur effacement dans le cadre des procédures de droit d'accès et de rectification prévues par la loi n° 78-17 du 6 janvier 197810(*).

Le champ couvert par le fichier automatisé des empreintes digitales et le fichier national automatisé des empreintes génétiques s'est progressivement étendu depuis leur création en 1987 pour le premier11(*) et en 1998 pour le second12(*).

Le FAED comprend les empreintes digitales de 5 millions de personnes tandis que le FNAEG contient les profils génétiques de 2,6 millions d'individus.

Chacun de ces deux fichiers comporte, en outre, plus de 230 000 traces digitales ou génétiques non identifiées13(*).

Ces données sont conservées pendant une durée maximale de 25 ans pour le FAED (Cf. supra) et de 40 ans pour le FNAEG.

L'extension du champ du FNAEG

Le fichier national automatisé des empreintes génétiques a été créé par la loi n° 98-468 du 17 juin 1998 pour identifier les auteurs de crimes et de délits à caractère sexuel.

Entre 2001 et 2007, six lois ont étendu son champ en incluant d'autres crimes et délits comme les atteintes volontaires à la vie de la personne, les actes de terrorisme14(*), le trafic de stupéfiants, le proxénétisme15(*), etc.

Les motifs permettant l'inclusion d'une empreinte génétique dans le FNAEG sont aujourd'hui précisés à l'article 706-55 du code de procédure pénale. Ils concernent les personnes reconnues coupables des infractions précitées mais également celles dont « il existe des indices graves ou concordants rendant (leur culpabilité) vraisemblable ».

Le FNAEG comprend, enfin, le génotype des cadavres non identifiés et des proches d'une personne disparue afin de faciliter les recherches.

b) L'essor des usages administratifs de la biométrie

Depuis le milieu des années 2000, un usage administratif des techniques biométriques s'est ajouté à cet usage judiciaire.

Ce mouvement a largement été influencé par le droit international et communautaire. Le passeport biométrique - créé en France en 200816(*) - correspond, à titre d'exemple, à l'application d'un règlement communautaire17(*) lui-même inspiré de la préconisation de l'Organisation de l'aviation civile internationale (OACI) d'intégrer au moins une donnée biométrique dans les documents de voyage. Rappelons également, d'un point de vue pratique, que les États-Unis conditionnent depuis le 26 octobre 2006 leurs exemptions de visas à la présentation d'un passeport biométrique.

Les techniques biométriques sont ainsi utilisées pour :

authentifier des personnes, c'est-à-dire vérifier l'exactitude de l'identité qu'elles allèguent. Leurs données biométriques sont alors prélevées et comparées à celles figurant sur leur titre d'identité ;

identifier ces personnes, c'est-à-dire déterminer leur identité uniquement à partir de leurs données biométriques. Ces données sont alors comparées avec celles contenues dans une base informatique associant, à titre d'exemple, des empreintes digitales déjà prélevées et les identités correspondantes.

La distinction entre authentification et identification

Source : commission des lois du Sénat

· L'authentification et l'identification des ressortissants français

Les techniques biométriques servent, tout d'abord, à l'authentification et à l'identification à partir d'un passeport biométrique des ressortissants français voyageant à l'étranger18(*).

Valable dix ans, ce document comporte une puce dans laquelle sont insérées les empreintes de la personne concernée ainsi que ses données d'état civil et son adresse.

L'ensemble de ces données est conservé pendant quinze ans dans le fichier central de « titres électroniques sécurisées »19(*) (TES) dont la gestion relève du ministère de l'intérieur. La finalité de ce fichier est, d'une part, de « mettre en oeuvre la procédure de délivrance (...) et de retrait des passeports » et, d'autre part, de « détecter leur falsification et leur contrefaçon »20(*).

Si les passeports biométriques sont formellement établis par les préfectures et sous-préfectures, les données nécessaires à leur délivrance sont recueillies en mairie et dans les consulats auprès d'agents individuellement désignés et spécialement habilités. 3 527 stations sont déployées dans 2 088 communes et une dotation spécifique de 5 030 euros par an et par appareil est prévue pour indemniser les municipalités volontaires21(*). En outre, il est rappelé que la délivrance des passeports n'est pas liée au lieu de résidence du demandeur : il est tout à fait possible de solliciter sa délivrance dans une autre mairie ou un autre consulat.

Les passeports biométriques font aujourd'hui partis du quotidien des Français : 22,6 millions de passeports ont été produits entre juin 2009 et avril 2016 et près de 315 000 sont délivrés chaque mois22(*).

· L'authentification et l'identification des ressortissants étrangers

La biométrie est également utilisée pour authentifier et identifier les ressortissants étrangers à partir de trois principaux dispositifs : les visas, le système EURODAC et l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF 2).

Les finalités de ces dispositifs regroupent des objectifs comparables à ceux de la base « passeports » (facilitation de la procédure administrative et lutte contre la fraude) auxquels s'ajoute l'objectif de « lutter contre l'entrée et le séjour irréguliers des étrangers en France »23(*).

Les autorités diplomatiques et consulaires françaises délivrent des visas biométriques aux ressortissants étrangers souhaitant voyager en France24(*). Ces documents correspondaient, depuis 2007, à des expérimentations dans certains pays. Depuis 2015, ils sont généralisés à l'ensemble des ressortissants des pays pour lesquels un visa est nécessaire pour entrer sur la zone Schengen.

La prise des empreintes exige une comparution personnelle des demandeurs. Initialement, la biométrie a été expérimentée par des consulats délivrant un nombre relativement faible de visas. Puis, pour des pays plus importants où l'exigence de comparution personnelle engendrait une organisation différente de l'accueil des demandeurs, il a été fait appel à des dispositifs d'externalisation pour recevoir les demandeurs et prendre leurs empreintes.

Les empreintes digitales des dix doigts recueillies lors de la demande de visa sont conservées pendant cinq ans dans la base de données VISABIO. Cette dernière est reliée au système d'information sur les visas (VIS) qui comporte des données comparables mais recueillies par les autres États de l'Union européenne. Depuis début 2015, il est théoriquement possible, pour un demandeur dont les empreintes sont déjà enregistrées dans la base VIS25(*), d'éviter une comparution personnelle lors d'une nouvelle demande de visa.

1 849 632 visas biométriques ont été délivrés par les autorités diplomatiques et consulaires en 2014 et la base VISABIO contient 9 millions de dossiers biométriques.

Le deuxième dispositif applicable aux ressortissants étrangers est le système EURODAC.

Il s'inscrit dans la logique du règlement européen Dublin III26(*) fixant le principe selon lequel l'État membre responsable de l'examen d'une demande d'asile est le premier pays par lequel le demandeur a transité.

Les empreintes du ressortissant étranger concerné sont enregistrées dans la base EURODAC. Les États membres peuvent ensuite les comparer avec les autres données de ce fichier pour vérifier que l'étranger n'a pas formulé une demande d'asile dans un autre pays ou n'est pas entré sur le territoire de l'Union de manière irrégulière. Une procédure de transfert vers « l'État responsable » est engagée le cas échéant.

EURODAC distingue, concrètement, trois catégories d'étrangers :

 

Catégorie 1

Catégorie 2

Catégorie 3

Étrangers concernés

Demandeurs d'asile

Étrangers interpellés lors du franchissement irrégulier d'une frontière extérieure de l'UE

Étrangers séjournant illégalement sur le territoire d'un État membre

Procédure suivie

Enregistrement et comparaison des empreintes digitales

Comparaison avec les données de la catégorie 1

Administration responsable

Préfectures

Direction centrale de la police aux frontières (DCPAF), uniquement à Roissy-Charles de Gaulle et Orly

Direction centrale de la police aux frontières (DCPAF) et préfectures

Durée
de conservation
des données

10 ans

18 mois

Pas de conservation

Source : commission des lois du Sénat à partir des éléments transmis
par la Direction centrale de la police aux frontières (DCPAF)

En pratique, ces vérifications de la base EURODAC soulèvent des difficultés dans la mesure où :

certains États membres ne la renseignent pas systématiquement. D'après la commission européenne, seuls 23 % des franchissements irréguliers d'une frontière extérieure de l'Union feraient l'objet d'un prélèvement d'empreintes digitales27(*). Cette négligence est due soit à un afflux exceptionnel d'entrées irrégulières, comme en Grèce en 2015, soit à la volonté de ne pas enregistrer une personne pour éviter ensuite qu'elle ne soit « réadmise » postérieurement dans le pays si elle est interpellée ou fait une demande d'asile dans un autre pays de l'Union européenne. Ce constat est toutefois à l'origine de nombreux efforts de l'Union européenne et de l'agence Frontex, pour parvenir à un enregistrement systématique des arrivées dans EURODAC ;

- le nombre de bornes EURODAC - dispositif permettant le recueil des données et leur comparaison - demeure limité en raison de leur coût (30 000 euros par appareil). La Direction centrale de la police aux frontières (DCPAF) ne dispose par exemple que de quatorze machines de ce type sur l'ensemble du territoire. Elle envisage d'acquérir des capteurs biométriques plus légers et moins onéreux mais ayant des fonctionnalités moindres28(*) ;

l'interface entre les bornes EURODAC et le fichier qui y est rattaché fonctionne mal comme des sénateurs de la commission des lois ont pu le constater lors de leur déplacement en Grèce à l'hiver 201629(*).

Comparaison de données dans EURODAC

Source : commission européenne

Troisième outil à la disposition de l'administration, l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF 2) permet l'instruction des demandes et la gestion des titres de séjour des ressortissants étrangers. Gérée par le ministère de l'intérieur, l'application conserve pendant cinq années les empreintes digitales des dix doigts :

- des demandeurs ou titulaires d'un titre de séjour ;

- des étrangers en situation irrégulière  ou faisant l'objet d'une mesure d'éloignement30(*).

c) Des usages hybrides mêlant objectifs administratifs et judicaires

Cette distinction entre les objectifs administratifs et judiciaires de la biométrie a toutefois perdu en netteté avec le développement d'usages « hybrides ». Des techniques à visée d'abord administrative sont ainsi utilisées à des fins répressives et réciproquement.

Tel est le cas du fichier automatisé des empreintes digitales (FAED, finalité judiciaire) qui peut désormais être consulté pour identifier un étranger ne présentant pas ses documents de séjour ou ne communiquant pas les renseignements permettant l'exécution d'une mesure d'éloignement ou d'assignation à résidence (finalité administrative).

De manière comparable, le système EURODAC (finalité administrative) permet, depuis le règlement européen 603/2013 du 26 juin 2013, de comparer les données recueillies avec celles des autorités en charge de la répression des crimes (finalité judiciaire).

Ces croisements de fichiers biométriques demeurent toutefois très encadrés comme le prévoient :

- la jurisprudence du Conseil constitutionnel selon laquelle l'utilisation à des fins administratives de fichiers judiciaires ne doit pas, « par son caractère excessif, porter atteinte aux droits ou aux intérêts légitimes des personnes concernées »31(*).

- le droit communautaire, comme le montre l'exemple du système EURODAC.

En effet, vu les possibilités ouvertes pour le traitement des données par les puissances de calculs disponibles et les capacités de stockage, ce type de traitement peut constituer de très lourds risques pour les libertés s'il n'est pas strictement encadré. Chaque autorisation d'utilisation d'un fichier doit s'accompagner de la mise en place de garanties spécifiques pour les personnes.

L'utilisation du système EURODAC à des fins répressives 

Le règlement européen 603/2013 précité encadre les conditions d'utilisation du système EURODAC à des fins répressives en définissant précisément les motifs de consultation et les autorités habilitées à cet effet.

La consultation à des fins répressives est uniquement envisageable pour « détecter ou prévenir » des infractions terroristes32(*) ou des « infractions pénales graves »33(*) (vols organisés ou avec arme, trafic de stupéfiants, etc.) passibles d'une peine de privation de liberté d'au moins trois ans.

En outre, trois conditions cumulatives doivent être remplies :

les bases de données nationales ont déjà été consultées mais n'ont pas permis de déterminer l'identité de la personne recherchée ;

- une affaire précise est concernée, les « comparaisons systématiques » n'étant pas autorisées ;

- il existe des « motifs raisonnables de penser » que la consultation contribuera « de manière significative » à la résolution d'une affaire criminelle.

Pour obtenir les informations du système EURODAC, la police et la gendarmerie doivent s'adresser à un « service de vérification », seul compétent pour consulter le système à des fins répressives et ayant la responsabilité de vérifier que les trois conditions précitées sont respectées. Ce service correspond, en France, à la section centrale de coopération opérationnelle de police (SCCOPOL) de la direction centrale de la police judiciaire (DCPJ).

2. L'apport des techniques biométriques

L'apport des techniques biométriques est double : sécuriser l'identité des individus, d'une part, et rendre l'action administrative plus efficace, d'autre part.

a) Sécuriser l'identité des individus

Comme le rappelait notre ancien collègue Jean-René Lecerf, la biométrie présente, « la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s'affranchir »34(*).

Pour être exploitable par l'administration, une donnée biométrique doit toutefois répondre à quatre exigences : l'universalité, l'unicité, la permanence et l'accessibilité.

Les quatre caractéristiques d'une donnée biométrique exploitable

Les données biométriques utilisées par l'administration pour sécuriser l'identité des personnes doivent être :

universelles : ces données existent chez tous les êtres humains ;

uniques : elles sont suffisamment discriminantes pour identifier une personne parmi des millions d'autres. À titre d'exemple, la probabilité de trouver deux empreintes digitales similaires est évaluée à 10-24 par l'Institut des systèmes intelligents et de la robotique35(*) ;

- permanentes : les données restent globalement stables dans le temps et ne sont pas détériorées, par exemple par le vieillissement de la personne ;

accessibles : elles peuvent être aisément prélevées sur le corps humain.

Source : « L'identité à l'ère du numérique », Guillaume Desgens-Pasanau,
Eric Freyssinet, août 2009, Éditions Presaje, p. 17.

La sécurisation de l'identité et la lutte contre les fraudes à l'identité constituent un objectif de politique publique, ce qui explique l'utilisation croissante de la biométrie. Réprimées par le droit pénal36(*), ces fraudes sont d'autant plus préoccupantes qu'elles peuvent servir de support à d'autres infractions comme l'usurpation d'identité, le crime organisé, l'escroquerie bancaire, etc.

La loi n° 2012-410 du 27 mars 201237(*) a prévu, dans cette logique, la création d'une carte nationale d'identité biométrique comportant les empreintes génétiques de son détenteur. À ce stade, ce dispositif n'a toutefois pas été mis en oeuvre par le Gouvernement38(*).

L'Observatoire national de la délinquance et des réponses pénales (ONDRP) distingue :

- les fraudes enregistrées par les services de police et les unités de gendarmerie : 5 910 faux documents d'identité saisis en 2014 ;

- les fraudes détectées par la direction générale de la police aux frontières (DCPAF) : 15 018 faux documents interceptés cette même année. Dans la plupart des cas, ces documents sont contrefaits mais la DCPAF doit également faire face à des modifications indues de documents authentiques (falsifications) ou à l'utilisation de documents d'identité par des tiers (usages frauduleux)39(*).

Faux documents interceptés par la DCPAF en 2014

Source : Observatoire national
de la délinquance et des réponses pénales

Dans le cas de la frontière ferroviaire franco-britannique, examiné par vos rapporteurs lors de leur déplacement à la gare du Nord le 24 mars 2016, 355 faux documents ont été détectés en 2015, ce qui représente 0,004 % des 8,88 millions de passagers dénombrés40(*). S'ils représentent un problème majeur, les cas de fraudes à l'identité ne doivent donc pas être surestimés.

Hors Union européenne, des pays sont allés encore plus loin dans l'utilisation de la biométrie à des fins de sécurisation de l'identité des individus. De tels usages soulèveraient toutefois des difficultés en France au regard du droit au respect de la vie privée des citoyens.

Deux exemples internationaux : l'Inde et le Burkina Faso

Lancé en 2010, le programme indien Aadhaar vise à attribuer un numéro d'identification à chaque citoyen majeur. Dans une logique de sécurisation, ce numéro est relié aux données biométriques de la personne concernée (dix empreintes digitales et iris des yeux).

Le numéro Aadhaar est utilisé comme identifiant lors des relations administratives : il permet par exemple d'ouvrir une ligne téléphonique ou de recevoir des subventions. À ce stade, près d'un milliard d'Indiens se seraient vus affecter ce numéro.

Au Burkina Faso, la biométrie a été utilisée pour fiabiliser les listes électorales (via les empreintes digitales) et éviter toute « double inscription ». Opérationnel depuis les élections de décembre 2012, ce système a nécessité le déploiement de 3 500 stations d'inscription permettant d'enregistrer les données de 4,4 millions d'électeurs.

b) Rendre l'action administrative plus efficace

Les techniques biométriques s'inscrivent également dans la « transformation numérique » des services publics, appelée de ses voeux par la Cour des comptes dans une logique de simplification des relations entre les citoyens et l'administration41(*).

La biométrie rend ainsi possible l'automatisation des contrôles aux frontières et permet de concilier des vérifications approfondies, d'une part, et la forte croissance de la mobilité transfrontalière, d'autre part.

Pour reprendre l'exemple de la Gare du Nord, 10 000 passagers partent chaque jour à destination du Royaume-Uni. Ce trafic a d'ailleurs vocation à s'accroître à moyen terme du fait de la mise en service de nouveaux trains permettant une hausse capacitaire de 20 %. Aux heures de pointe, 900 voyageurs devront ainsi être contrôlés en l'espace d'une demi-heure pour ne pas perturber le trafic42(*).

La biométrie constitue donc, pour les gardes-frontières et les exploitants d'infrastructures de transport, une opportunité à saisir comme le démontre la mise en oeuvre du dispositif « Passage automatisé rapide aux frontières extérieures » (PARAFE).

Prévu en 200743(*) et réellement opérationnel depuis novembre 2009, ce dispositif permet de réduire le temps d'attente à la frontière des Français et des citoyens de l'Union européenne munis d'un passeport biométrique. Il s'agit, pour les usagers, d'une procédure à la fois gratuite et facultative.

Concrètement, les voyageurs transitent par un sas automatique au lieu de passer devant un garde-frontière posté dans une aubette. Le temps moyen de passage dans un sas PARAFE est évalué à 20 secondes et les données enregistrées (empreintes et photographies du passage dans le sas notamment) sont conservées pendant cinq ans44(*).

Le garde-frontière remplit, pour sa part, une mission de supervision : surveillant plusieurs sas, il intervient si le passage est refusé par la machine ou en cas de doutes sur le comportement d'un usager.

Pour les personnes dont le passeport biométrique n'est pas un passeport français, une étape supplémentaire est nécessaire : en amont de cette procédure, la personne doit « s'enregistrer » dans une salle de l'aéroport ou de la gare prévue à cet effet. Cette différence s'explique par l'incapacité pour les sas français de « lire » l'ensemble des informations des passeports étrangers (Cf. infra).

Un sas PARAFE

Source : Safran identity and security

L'identité de l'usager est contrôlée en comparant les informations contenues dans son passeport biométrique et ses empreintes digitales.

Procédure PARAFE

Source : Direction centrale de la police aux frontières (DCPAF)

41 sas PARAFE sont aujourd'hui disponibles dans trois aéroports
- Roissy-Charles de Gaulle (31 sas), Orly (6) et Marseille-Provence (4) - pour un coût unitaire estimé à 120 000 euros. Au 28 juin 2015, le système PARAFE avait déjà enregistré plus de 5,3 millions de passage.


* 1 « Les méthodes scientifiques d'identification des personnes à partir des données biométriques et les techniques mises en oeuvre », rapport n° 355 (2002-2003) fait au nom de l'office parlementaire d'évaluation des choix scientifiques et technologiques, p. 14 ( http://www.senat.fr/notice-rapport/2002/i0938-notice.html).

* 2 Rapport n° 465 (2013-2014), fait au nom de la commission des lois du Sénat ( http://www.senat.fr/rap/l13-465/l13-4651.pdf).

* 3 Étude disponible à l'adresse suivante : http://www.acuity-mi.com/FOB_Report.php.

* 4 Cf. la seconde partie du présent rapport pour l'utilisation des outils de reconnaissance faciale et de contrôle de l'iris dans le cadre du programme « frontières intelligentes ».

* 5 « Renforcer la sécurité des transports terrestres face à la menace terroriste », rapport n° 291 (2015-2016) de MM. Alain Fouché et François Bonhomme, p. 44-45
(
http://www.senat.fr/rap/r15-291/r15-2911.pdf).

* 6 Source : « Alphonse Bertillon et l'anthropométrie judiciaire. L'identification au coeur de l'ordre républicain », Martine Kaluszynski, Revue criminocorpus, mai 2014 (http://criminocorpus.revues.org/2716 ; DOI : 10.4000/criminocorpus.2716).

* 7 Loi relative à l'exercice des professions ambulantes.

* 8 Rapport d'information n° 2778 sur la prescription en matière pénale de MM. Alain Tourret et Georges Fenech fait au nom de la commission des lois de l'Assemblée nationale, mai 2015, p. 390 ( http://www.assemblee-nationale.fr/14/rap-info/i2778.asp).

* 9 Décret relatif au fichier automatisé des empreintes digitales géré par le ministère de l'intérieur.

* 10 Loi relative à l'informatique, aux fichiers et aux libertés.

* 11 Décret n°87-249 du 8 avril 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l'intérieur.

* 12 Loi n° 98-468 du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu'à la protection des mineurs.

* 13 Source : rapport n° 386 (2014-2015) de Mme Joëlle Garriaud-Maylam, fait au nom de la commission des affaires étrangères du Sénat sur le projet de loi autorisant l'approbation de l'accord entre le Gouvernement de la République française et le Gouvernement des États-Unis d'Amérique relatif au renforcement de la coopération en matière d'enquêtes judiciaires, p. 12 ( http://www.senat.fr/rap/l14-386/l14-3861.pdf).

* 14 Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne.

* 15 Loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.

* 16 Décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

* 17 Règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres, modifié par le règlement (CE) n° 444/2009 du 28 mai 2009.

* 18 Dans les pays étrangers qu'ils visitent, les ressortissants français sont également astreints aux règles applicables aux visas de leur pays hôte (Cf. infra).

* 19 Ce fichier comprend l'ensemble des huit empreintes recueillies alors que la puce du passeport biométrique n'en contient que deux.

* 20 Article 18 du décret n°2005-1726 du 30 décembre 2005 relatif aux passeports.

* 21 Dotation forfaitaire des titres sécurisés créée par l'article 136 de la loi de finances pour 2009 et représentant un coût annuel de 18,28 millions d'euros pour l'État.

* 22 Source : Agence nationale des titres sécurisés (ANTS).

* 23 Cf. par exemple l'article R. 611-8 du code de l'entrée et du séjour des étrangers et du droit d'asile concernant le système VISABIO.

* 24 Décret n° 2007-1560 du 2 novembre 2007 portant création d'un traitement automatisé.

* 25 Enregistrement effectué par les services consulaires français, par d'autres pays européens ou par des prestataires de service.

* 26 Règlement n° 604/2013 du Parlement européen et du Conseil du 26 juin 2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride.

* 27 Communication COM (2015) 675 relative au rapport semestriel sur le fonctionnement de l'espace Schengen, 15 décembre 2015, p. 4
(https://ec.europa.eu/transparency/regdoc/rep/1/2015/FR/1-2015-675-FR-F1-1.PDF).

* 28 Ces capteurs permettraient uniquement de consulter la base EURODAC pour les données de catégorie 3 (étrangers séjournant illégalement sur le territoire).

* 29 « L'Europe à l'épreuve de la crise des migrants : la mise en oeuvre de la relocalisation des demandeurs d'asile et des hotspots », rapport n° 422 (2015-2016) fait par François-Noël Buffet au nom de la commission des lois du Sénat, p. 23 ( http://www.senat.fr/rap/r15-422/r15-4221.pdf).

* 30 Article R. 611-2 du code de l'entrée et du séjour des étrangers et du droit d'asile.

* 31 Conseil constitutionnel, décision n° 2003-467 DC du 13 mars 2003. En l'espèce, le fichier judiciaire automatisé des auteurs d'infractions sexuelles ou violentes (FIJAIS) peut être utilisé à des fins administratives pour vérifier le comportement des candidats à des emplois publics participant à la souveraineté de l'État.

* 32 Telles que définies par les articles 1er à 4 de la décision-cadre 2002/475/JAI du Conseil du 13 juin 2002.

* 33 Telles que définies à l'article 2, paragraphe 2, de la décision-cadre 2002/584/JAI du Conseil du 13 juin 2002.

* 34 « Identité intelligente et respect des libertés », rapport d'information n° 439 (2004-2005) fait au nom de la mission d'information de la commission des lois du Sénat, p. 98 ( https://www.senat.fr/rap/r04-439/r04-4391.pdf).

* 35 Source : étude intitulée « Reconnaissance automatique des empreintes digitales » (p. 3) et disponible via le lien suivant :
http://www.isir.upmc.fr/UserFiles/File/LPrevost/Biometrie%20Empreintes.pdf.

* 36 L'article 226-4-1 code pénal puni par exemple d'un an d'emprisonnement et de 15 000 € d'amende le fait d'usurper l'identité d'un tiers.

* 37 Loi relative à la protection de l'identité.

* 38 Cf. la seconde partie du présent rapport.

* 39 « Éléments de connaissance sur la fraude aux documents et à l'identité en 2014 », Observatoire national de la délinquance et des réponses pénales, août 2015, p. 5-6 ( http://www.inhesj.fr/sites/default/files/files/ondrp_ra-2015/fraude_documents_cr.pdf).

* 40 Source : Direction générale de la police aux frontières (DCPAF).

* 41 « Relations aux usagers et modernisation de l'État : une généralisation des services publics numériques », janvier 2016
(
https://www.ccomptes.fr/Publications/Publications/Relations-aux-usagers-et-modernisation-de-l-Etat).

* 42 Source : société Eurostar.

* 43 Décret n° 2007-1182 du 3 août 2007 portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des États parties à la convention signée à Schengen le 19 juin 1990.

* 44 Article R. 232-8 du code de la sécurité intérieure.