CONCLUSION
Le développement de la biométrie constitue une opportunité pour les pouvoirs publics en termes de sécurisation de l'identité des individus et de rationalisation de l'action administrative.
Les outils biométriques - dont la puissance dépend de la progression de la puissance de calcul des dispositifs informatiques, des capacités de stockage et d'échanges d'informations - soulèvent cependant des questions techniques (fiabilité des dispositifs) et juridiques (équilibre à atteindre avec le droit au respect de la vie privée).
Ils présentent également un enjeu important de souveraineté numérique et de politique industrielle .
Les entreprises françaises ont en effet développé un savoir-faire reconnu au niveau mondial et fournissent les États en solutions de sécurité biométrique.
Il convient donc de demeurer attentif au cadre juridique qui leur est applicable afin qu'elles puissent maintenir leurs capacités de recherche et développement en France. En effet, ce cadre juridique doit assurer aux entreprises leur capacité d'innovation, tout en ne tolérant aucune dérive sur le plan des principes, notamment en matière de traitement de données.
Nos entreprises doivent être reconnues comme innovantes mais également garantir des dispositifs protecteurs de l'intégrité des personnes.
|
Proposition n° 9 : Tout en ne perdant pas de vue que la biométrie n'est pas infaillible et qu'il convient d'en comprendre les limites, disposer de conditions économiques et juridiques permettant de préserver et renforcer les capacités françaises de recherche et développement afin de conserver la maîtrise de l'élément de souveraineté que représentent les outils biométriques. |
EXAMEN EN COMMISSION
________
M. Philippe Bas , président . - MM. Leconte et Bonhomme vont nous présenter un rapport d'information sur la biométrie.
M. Jean-Yves Leconte , rapporteur . - Nous travaillons sur ce rapport depuis un peu plus d'un an. Le sujet n'est d'ailleurs pas nouveau ; ainsi M. Gaëtan Gorce avait déposé une proposition de loi sur la biométrie en 2014.
La biométrie recouvre l'ensemble des technologies qui permettent d'identifier une personne, sur la base de son comportement ou de ses caractéristiques physiques.
En 2014, à l'occasion de l'examen de la proposition de loi de M. Gaëtan Gorce, nous avions conclu à la nécessité de réserver l'usage de la biométrie dans le domaine privé à des situations très sensibles comme la protection de l'intégrité physique ou de certaines informations. Dans ce rapport, nous avons examiné les usages publics (administratifs et judiciaires) de la biométrie en France et en Europe. Nous nous sommes demandé comment lutter contre le terrorisme tout en protégeant les libertés.
La biométrie donne le sentiment d'exister depuis la fin du XIX e siècle avec les empreintes digitales. En réalité, le potentiel de ces techniques a beaucoup évolué. Il faut ajouter aujourd'hui la reconnaissance faciale, de l'iris de l'oeil, de la voix et des contours de la main.
Les recherches actuelles s'orientent surtout vers les capacités de stockage, de calcul et d'échanges de données. En France, dans les années 1880, le travail de M. Alphonse Bertillon a permis d'accélérer les enquêtes, mais cet usage judiciaire a évolué vers un usage administratif, notamment à partir de 1912 pour identifier les nomades. Au cours du XX e siècle, l'usage administratif de la biométrie a entraîné de nombreuses dérives. Avec les nouvelles techniques, il convient de prévoir un strict cadrage juridique, tant en ce qui concerne la finalité des fichiers biométriques que de la proportionnalité de leur utilisation et de la durée de conservation des données.
À partir des années 1980, de nouveaux fichiers biométriques ont vu le jour : il y a eu le fichier automatisé des empreintes digitales (Faed) en 1987. Aujourd'hui, cinq millions d'empreintes y sont enregistrées pour une durée de conservation de 25 ans maximum. Le fichier national des empreintes génétiques (Fnaeg) a été créé en 1998 et comprend 2,6 millions d'empreintes pour une durée maximum de 40 ans. Aujourd'hui, environ 300 fonctionnaires ont accès à ces fichiers et, en 2014, près de 15 000 affaires ont été résolues grâce au Faed.
Depuis le milieu des années 2000, en particulier sous l'impulsion des États-Unis après les attentats du 11 septembre, les passeports biométriques se sont développés. Ils permettent à leurs possesseurs d'entrer sur le sol américain sans visas. La norme de l'Organisation de l'aviation civile internationale (OACI) s'est imposée. Les usages administratifs de la biométrie ont alors commencé à se développer. L'Union européenne a élaboré le règlement de 2004 et la France a mis en place le fichier des titres électroniques sécurisés pour les passeports. Aujourd'hui, la France compte près de 23 millions de passeports biométriques, et le flux mensuel est d'environ 300 000 passeports délivrés.
Ces passeports sont constitués de trois niveaux d'informations contenues dans leur puce. Le premier niveau se trouve sur la bande électronique du passeport et concerne l'identité du détenteur. Le niveau « BAC » contient l'identité et la photo. Le niveau « EAC » comprend, en outre, les empreintes digitales. Alors que tous les passeports européens sont biométriques et répondent aux mêmes normes, la police de l'air et des frontières française n'a pas accès au niveau « EAC » d'un passeport allemand et réciproquement : les États ne se font pas suffisamment confiance pour donner les clés du niveau le plus élevé, en dépit des dires officiels de Bruxelles.
J'en viens aux autres fichiers biométriques : le fichier des visas a ainsi été mis en place en 2007 et généralisé à partir de 2015. La France a commencé par délivrer des visas biométriques pour la Géorgie et la Biélorussie, pays de petite taille. Dès lors qu'un visa biométrique est nécessaire, il faut que le demandeur vienne au bureau de délivrance du document pour une prise d'empreintes, ce qui était difficile à mettre en oeuvre dans de grands pays comme la Russie. Depuis l'an passé, ces visas biométriques ont été généralisés dans tous les pays de l'espace Schengen. Aujourd'hui, les visas sont exclusivement biométriques. Pour la Russie par exemple, nous avons dû externaliser les bureaux où les empreintes sont prises. Ainsi, nul besoin d'avoir un consulat général dans toutes les grandes villes du pays : un prestataire de service assume ce travail pour notre pays mais aussi pour d'autres. En revanche, comme les pays ne se font pas suffisamment confiance, les clés pour entrer dans le système des visas européens sont différentes selon les États. Les prestataires doivent ainsi disposer de machines différentes selon que le visa est demandé pour aller en France ou en Espagne.
Le système Eurodac est utilisé pour enregistrer les personnes en situation irrégulière et les demandeurs d'asile afin d'éviter de multiples demandes des différents pays.
Le fichier Agdref concerne les demandeurs des cartes de séjour et les personnes sous le coup d'une obligation de quitter le territoire français (OQTF).
La biométrie permet donc de nouvelles formes d'identification, tout en luttant contre la fraude et en sécurisant les documents. L'émission « Cash investigation » de France Télévisions a néanmoins démontré que la fraude était toujours possible. 5 910 fausses cartes d'identité ont été découvertes en 2014 par les services de police et de gendarmerie...
En 2011, une proposition loi de notre ancien collègue Jean-René Lecerf avait envisagé de créer une carte nationale d'identité biométrique mais le Conseil constitutionnel l'avait en partie censurée car l'Assemblée nationale avait voulu un fichier à « lien fort » entre identité et empreintes, contrairement au Sénat qui, pour protéger les libertés individuelles, privilégiait le « lien faible » qui interdit l'identification d'une personne par ses seules empreintes. Il serait temps de rouvrir ce dossier en tenant compte des observations du Conseil constitutionnel.
La biométrie ne pourra pas empêcher toute usurpation d'identité, notamment en raison de fraudes lors de la première collecte des données corporelles ou comportementales.
En outre, les évolutions technologiques permettent désormais diverses interconnections, mais les différents systèmes utilisés dans divers pays entravent cette évolution. L'encadrement européen est indispensable pour éviter des atteintes aux libertés individuelles.
Ces nouvelles technologies offrent d'immenses possibilités mais comportent également de grands risques. La France compte des entreprises de premier plan en ce domaine : la maîtrise de ces technologies constitue un acte de souveraineté. Notre encadrement juridique devra respecter les libertés individuelles mais aussi permettre aux entreprises françaises de conserver leur prééminence. En cas contraire, nous assisterions à une perte de souveraineté et nous devrions nous en remettre à des technologies développées par d'autres pays.
M. François Bonhomme , rapporteur . - Les techniques biométriques permettent de sécuriser l'identité des personnes et d'accroître l'efficacité de l'action administrative comme M. Leconte vient de le démontrer. La spécificité des données biométriques a toutefois justifié l'émergence d'un cadre juridique particulier. En effet, les « données biométriques ne sont pas des données à caractère personnel comme les autres » pour reprendre les mots de la Commission nationale de l'informatique et des libertés (CNIL). Produites par le corps humain, elles font partie de l'intime de chacun.
Le droit aborde les données biométriques à partir d'une logique de proportionnalité : leurs apports pour l'intérêt général sont comparés aux effets de ces techniques sur la vie privée des individus. À l'échelle nationale, les outils biométriques sont encadrés par l'article 27 de la loi de 1978 relative à l'informatique, aux fichiers et aux libertés : ils doivent être autorisés par décret en Conseil d'État pris après avis motivé et public de la CNIL. Cette dernière procède également à des vérifications a posteriori comme lorsqu'elle a contrôlé le fichier des passeports biométriques en 2012.
Au niveau constitutionnel, les sages de la rue de Montpensier ont développé une grille d'analyse permettant de vérifier la proportionnalité des techniques biométriques. Ainsi, le fichier national des empreintes génétiques (Fnaeg) a été jugé conforme à la Constitution dans la mesure où sa finalité est suffisamment précise et répond à l'objectif d'intérêt général de faciliter la recherche des auteurs de certaines infractions.
Tel n'a pas été le cas de certaines dispositions de la loi du 27 mars 2012 relative à la protection de l'identité comme l'a signalé M. Leconte. Cette loi prévoyait de créer une carte d'identité biométrique et un fichier central regroupant les informations correspondantes. Si le Conseil constitutionnel n'a pas contesté la carte d'identité biométrique en elle-même, il a censuré la création du fichier en estimant que les garanties apportées n'étaient pas suffisantes. À l'époque, notre collègue François Pillet avait proposé que cette base de données soit constituée à partir de « liens faibles » : un nombre élevé d'identités aurait été relié aux données biométriques correspondantes, ce qui aurait rendu les procédures d'identification plus compliquées voire impossibles. L'Assemblée n'a pas souhaité suivre cette position de prudence, ce qui a conduit le Conseil constitutionnel à censurer ce fichier.
Il convient, enfin, de ne pas sous-estimer les risques d'erreurs et de fraudes lors de l'utilisation d'outils biométriques. Le risque d'erreur est mesuré à partir de deux variables : le taux de fausses acceptations (le système n'arrive à pas à reconnaître un imposteur et à le rejeter) et le taux de faux rejets (le système rejette à tort une personne éligible). Ces deux taux sont interdépendants : si vous augmentez le niveau de sécurité de l'outil biométrique, vous reconnaîtrez plus d'imposteurs mais vous rejetterez plus de personnes éligibles. Les systèmes biométriques totalement infaillibles n'existent donc pas. En outre, le corps de chacun d'entre nous évolue : un système de reconnaissance faciale ne peut reconnaître un visage si la photographie date de plus de trente ans.
Outre les risques d'erreurs, les tentatives de fraudes ne sont pas à exclure. Les journalistes de l'émission « Cash investigation » de France Télévisions l'ont démontré en utilisant un « faux doigt » pour tromper les capteurs digitaux des sas PARAFE de Roissy.
Il est toutefois possible de mieux utiliser les dispositifs biométriques tout en ayant conscience de leurs limites et en préservant le droit à la vie privée de chacun. Il s'agirait, tout d'abord, d'utiliser la biométrie pour simplifier les relations entre les citoyens et leur administration. À cet égard, nous regrettons que les Français ne disposent pas encore d'une identité numérique fiable. En effet, le Gouvernement n'a pas souhaité mettre en oeuvre la loi de 2012 relative à la protection de l'identité et n'envisage pas de créer des cartes d'identité biométriques. L'Agence nationale des titres sécurisés (ANTS) développe un programme alternatif : le projet ALICEM qui permet aux citoyens d'utiliser leur passeport biométrique pour certifier leur identité à partir de leur téléphone portable et ainsi accéder à des services administratifs ou commerciaux en ligne. Il s'agit, pour l'instant, d'un prototype que nous appelons à généraliser dans notre première proposition.
Toutefois, ces différentes initiatives du Gouvernement ne peuvent se substituer à la création d'une carte d'identité biométrique que nous appelons de nos voeux dans notre deuxième proposition. Dans son rapport de 2016, la Cour des comptes souhaite également sa mise en oeuvre. La position du législateur de 2012 n'a pas perdu en acuité, la biométrie constituant un moyen fiable pour lutter contre les fraudes documentaires. En outre, le passeport biométrique ne soulève aucune difficulté en termes d'acceptation sociale. Pourquoi en serait-il autrement pour les cartes d'identité ? D'ailleurs, beaucoup de pays de l'Union européenne possèdent déjà des cartes d'identité biométriques comme les Pays-Bas, l'Espagne ou la Lituanie.
De plus, la carte d'identité que nous possédons
aujourd'hui et ses conditions de délivrance sont totalement
obsolètes. Les empreintes digitales prélevées en mairie ne
sont pas traitées informatiquement et ne sont donc pas
exploitées. De même, la base de données relative aux cartes
d'identité est peu fonctionnelle et doit être
rénovée : profitons-en pour revoir tout le système et
créer des cartes d'identité biométriques. Le coût
d'un tel projet
- environ 85 millions - ne paraît d'ailleurs
pas excessif au regard des enjeux.
Nous nous sommes attachés à proposer un projet réaliste et conforme aux exigences du Conseil constitutionnel : une base de données serait créée à partir des cartes d'identité biométriques mais les liens seraient faibles pour rendre l'identification des personnes à partir de leurs empreintes plus difficile.
M. Jean-Yves Leconte , rapporteur . - Dans notre proposition n° 4, nous considérons qu'il est nécessaire de poursuivre la modernisation des procédures de délivrance des passeports et des visas biométriques : comme les empreintes ne se modifient pas en fonction de l'âge, il n'est pas nécessaire d'en demander un nouveau recueil lors d'un renouvellement de passeport biométrique. Nous éviterions ainsi la présentation physique de demandeurs aux guichets.
Il faut également approfondir la politique de mutualisation de la collecte des données biométriques des visas et l'étendre aux passeports. Il convient de prévoir l'envoi sécurisé des passeports pour les Français qui vivent hors de France mais aussi pour ceux qui vivent dans notre pays.
J'en reviens à la proposition n° 3. Des certificats de nationalité française (CNF) sont délivrés à des personnes qui viennent d'être naturalisées, ce qui peut poser problème lorsque les documents étrangers servant à l'établissement du CNF ne sont pas fiables. Nous proposons que ces CNF puissent être reliés au fichier des passeports pour lutter contre la fraude documentaire.
La proposition n° 5 prévoit de relancer la procédure d'échange de certificats de sécurité entre les États membres de l'espace Schengen pour permettre à chacun d'eux d'accéder aux empreintes digitales enregistrées dans les passeports et les titres de voyage biométriques émis par des pays de l'espace Schengen. Il n'est pas normal que nous ne soyons pas en mesure de « lire » les passeports des autres États !
La proposition n° 6 consiste à offrir au niveau européen des garanties au moins équivalentes à celles données par la CNIL en France dès lors qu'il apparait indispensable d'harmoniser nos dispositifs de recueil de données dans les fichiers européens et de croiser certains de nos fichiers nationaux. Il convient également de veiller à ce que chaque développement et croisement de fichiers envisagé s'effectue dans un environnement respectant strictement la finalité des fichiers utilisés et le principe de proportionnalité.
Enfin, notre proposition n° 7 propose d'étendre le système d'entrée/sortie (EES) aux frontières de l'espace Schengen aux ressortissants communautaires, sans constitution, sauf situation spécifique, motivée et encadrée, d'historique des mouvements constatés. À l'entrée et à la sortie de l'espace Schengen, les voyageurs devraient être contrôlés systématiquement de façon biométrique, ce qui permettrait de valider les pièces d'identité, contrairement à la situation actuelle.
M. François Bonhomme , rapporteur . - J'en viens maintenant aux dernières propositions de notre rapport : nous proposons d'expérimenter les dispositifs de reconnaissance faciale reliant les systèmes de vidéo-protection à des fichiers. Concrètement, si une personne recherchée est filmée par des caméras de vidéo-protection reliées à une base de données, le système informatique enverrait une alerte aux forces de l'ordre pour les informer de la présence sur zone de cet individu. S'ils sont bien encadrés, de tels dispositifs permettraient de rendre plus efficace la prévention et la répression des actes de terrorisme en localisant plus facilement les personnes concernées. Lors de nos auditions, nous avons constaté que ce type de dispositifs se développait. Méfions-nous de tout « totem technologique », mais ces pistes doivent être explorées. À ce stade, ces dispositifs présentent encore des incertitudes techniques : les reconnaissances faciales statiques (prise de photographies devant une borne prévue à cet effet) ont un taux de réussite compris entre 70 et 90 %. Les systèmes de reconnaissance dynamique (reconnaissance du visage d'une personne se déplaçant dans une foule) ont un taux d'erreurs encore supérieur.
Il ne s'agit pas, non plus, de nier les questionnements juridiques soulevés par l'éventuelle connexion entre la vidéo-protection et des fichiers. En 2008, nos anciens collègues Jean-Patrick Courtois et Charles Gautier s'étaient montrés très réservés sur cette hypothèse. Force est pourtant de constater que le débat est renouvelé par le niveau de menace auquel sont exposés nos concitoyens. En outre, notre proposition n° 8 n'est pas d'installer ce type de dispositifs dès maintenant mais de l'expérimenter et de réfléchir à un cadre juridique spécifique afin de pouvoir l'utiliser lorsque les techniques correspondantes seront plus fiables. Ainsi, connecter la vidéo-protection à des fichiers pour permettre des reconnaissances faciales supposerait le respect du droit applicable à l'installation de caméras et des règles de protection de données personnelles. Conformément à la jurisprudence du Conseil constitutionnel, seules des autorités publiques assermentées pourraient exploiter ce type de dispositifs.
Ces derniers devraient être utilisés pour une finalité suffisamment précise : nous proposons ainsi de limiter ces expérimentations à la prévention et à la répression des actes de terrorisme.
Lors de nos travaux, nous n'avons pas trouvé de fichiers qui pourraient être directement branchés à un système de vidéo-protection. Les fichiers existants sont soit trop larges, soit inadaptés d'un point de vue technique. Il conviendrait donc de créer un fichier spécifique puis de le mettre en relation avec des caméras. D'ailleurs, un système comparable existe déjà pour contrôler les plaques d'immatriculation des véhicules : il s'agit du système de lecture automatisée des plaques (LAPI). Il serait possible de s'en inspirer pour les modalités de conservation des données relatives à la reconnaissance faciale.
En conclusion, la biométrie constitue une opportunité pour les pouvoirs publics. Elle soulève toutefois des questions techniques et juridiques. La biométrie présente également un enjeu économique important de souveraineté numérique et de politique industrielle. Les entreprises françaises ont en effet développé un savoir-faire reconnu au niveau mondial et fournissent les États en solutions de sécurité biométrique. Une entreprise est ainsi intervenu en Inde sur un programme d'identification portant sur plus d'un milliard d'identités numériques, ce qui considérable.
Il convient donc de demeurer attentif au cadre juridique qui est applicable aux techniques biométriques afin qu'elles puissent maintenir leurs capacités de recherche et développement en France, ce qui est l'objet de notre neuvième et dernière proposition.
M. Philippe Bas , président . - Je vous remercie pour la qualité de vos travaux sur ces questions complexes qui traitent de la libre circulation et de la sécurité en Europe.
M. François Pillet . - Merci à nos rapporteurs pour l'excellence de leur travail. Le droit n'interdira pas l'usage de la biométrie ni l'évolution des connaissances. L'analyse des traces biométriques que nous laissons va continuer à progresser. Puisqu'on ne peut contenir l'usage de la biométrie, celle-ci doit être encadrée. Le contrôle du stockage des données est donc essentiel : le Sénat devra s'ériger en sentinelle pour éviter la violation des libertés. Imaginez que le fichier des cartes d'identité biométriques prévu en 2012 soit utilisé par un pouvoir peu démocratique....
Lorsque nous avons étudié la proposition de loi de M. Lecerf, la majorité du Sénat était identique à celle de l'Assemblée nationale. Pour autant, nous n'avons pas accepté le fichier à « lien fort » prévu, estimant qu'il s'agissait d'une atteinte grave aux libertés et donc aux principes constitutionnels. D'ailleurs, le Conseil constitutionnel a repris quasiment les termes de nos débats. Pour autant, nous avons bien un problème de protection de l'identité nationale mais, alors que le Conseil constitutionnel n'avait annulé que le fichier, le Gouvernement n'a pas donné suite à la création d'une carte d'identité biométrique, ce qui tend à prouver que son objectif était de créer un fichier policier plutôt que d'améliorer les dispositifs de sécurisation de l'identité. Techniquement, nous pouvons remplir ce dernier objectif avec un fichier à « lien faible ». C'est pourquoi je remercie les rapporteurs pour leur proposition n° 2.
M. Alain Vasselle . - Aujourd'hui, seules certaines communes établissent les passeports, ce qui entraîne des coûts financiers supplémentaires. A-t-on une idée de la charge ainsi transférée aux communes ? Certains maires estiment qu'il s'agit d'une dépense de centralité et ils demandent aux communes rurales d'y participer.
Les procédures que vous proposez ne vont-elles pas allonger les délais de délivrance des cartes d'identité ?
M. François Bonhomme , rapporteur . - Quelques collectivités ont demandé aux tribunaux administratifs de statuer sur la problématique de délivrance des passeports. Condamné, l'État a dû participer à ce coût. Néanmoins, il n'en supporte qu'une faible partie.
M. Jean-Yves Leconte , rapporteur . - Pour les passeports, il n'y a pas de lien entre le domicile de la personne et la commune dans laquelle la demande est déposée. Les Français de l'étranger déposent ainsi leur demande dans le consulat de leur choix.
Comme l'a dit M. Pillet, le stockage des données est le coeur du problème. Ainsi, les passeports allemands ne sont pas reliés à une base de données.
Nous ne nous rendons pas compte que nous produisons des données biométriques, que ce soit par le téléphone, mais aussi par les équipements électroniques de nos voitures.
M. François Bonhomme , rapporteur . - 3 527 stations de recueil d'empreintes pour les passeports sont déployées sur 2 088 communes et la dotation forfaitaire des titres sécurisés se monte à 5 030 euros par an et par appareil. Mais, pour fonctionner, chaque poste nécessite la mise à disposition d'agents d'accueil. Nous sommes donc loin du compte.
M. Jean-Yves Leconte , rapporteur . - Le projet de carte nationale d'identité biométrique a été enterré en 2012. Nous avons pris du retard. Pendant ce temps, les technologies avancent et il nous faut revenir sur ce dossier central, sinon nous risquons de ne plus être capables de créer des identités numériques.
M. Alain Vasselle . - Quid des délais de délivrance ?
M. Jean-Yves Leconte , rapporteur . - Avec les empreintes enregistrées dans la base, nous pouvons éviter de faire revenir les personnes lorsqu'elles déposent une nouvelle demande de délivrance d'un document d'identité. On règlerait ainsi les problèmes de délais.
M. François Bonhomme , rapporteur . - Les déclarations d'impôt pourraient également comporter l'identité numérique afin de sécuriser le dispositif. Les actes de la vie courante peuvent donc aussi être concernés par notre rapport.
M. Patrick Masclet . - L'État a fixé les 5 030 euros en fonction du temps de connexion des ordinateurs, mais il a oublié de prendre en compte le temps d'accueil et de montage des dossiers. Dans le Nord, si la carte d'identité nationale devenait biométrique, la quasi-totalité des maires rendraient les stations à l'État pour protester contre la faible indemnisation.
M. Philippe Bas , président . - Cette remarque est fort judicieuse.
La commission autorise la publication du rapport d'information.