A Messieurs les Président et Conseillers

du CONSEIL D’ETAT

RECOURS POUR EXCES DE POUVOIR
contre le Décret n° 2016-1460 du 28 octobre 2016 autorisant la création
d’un traitement de données à caractère personnel relatif
aux passeports et aux cartes nationales d’identité

POUR :
1. Monsieur Louis-Georges TIN
2. Monsieur Didier BONIN
Et autres
Ayant pour Avocats :
Maître Jean-Marc FEDIDA
Avocat à la Cour
Ancien Membre du Conseil de l¹Ordre
Ancien Secrétaire de la Conférence
226, Bd Saint Germain 75007 Paris
Tel : 01 45 49 67 60
Mél : JMF@fedida.eu

Maître Christophe LEGUEVAQUES
SELARL Christophe LEGUEVAQUES Avocat
Avocat au Barreau de Paris
9, rue d’Artois 75008 Paris
Tél. : 05 62 309 152
Mél : cl@mysmartcab.fr
Palais B 494

CONTRE :

Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement
de données à caractère personnel relatif aux passeports et aux cartes nationales
d’identité (JORF n°0254 du 30 octobre 2016)

Pièce n° 1
Les Requérants défèrent le Décret n° 2016-1460 du 28 octobre 2016 à la censure du Conseil
d’Etat pour les motifs ci-après exposés dans la présente Requête.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

2

PLAN DU MÉMOIRE

PROLÉGOMÈNES EN FORME DE PARADOXE : PROTÉGER L’IDENTITÉ EN CONCENTRANT LES RISQUES
POUVANT AFFECTER L’AUTHENTIFICATION. ..................................................................................................... 4
I – ELEMENTS FACTUELS ................................................................................................................................... 9
A.
B.

DÉFINITION - GLOSSAIRE .................................................................................................................................. 9
PRÉSENTATION DES TECHNOLOGIES EN PRÉSENCE : L’IMPOSSIBILITÉ FIABILITÉ ABSOLUE ............................................... 10
1°)
Les Titres Electroniques Sécurisés (TES) utilisent des technologies dépassées et dangereuses. ...... 10
2°)
Des exemples toujours plus nombreux et accablants de l’insécurité numérique ............................ 12





En Suisse : « le futur passeport biométrique est moins sûr qu’on l’imagine » (24heures, 4 juillet 2009) ... 12
En Grande-Bretagne .................................................................................................................................... 12
Le mythe de l’infaillibilité ............................................................................................................................ 13
Même le gouvernement met en cause la fiabilité des puces RFID
et le risque de traçage et de profilage des porteurs de puces RFID ! .......................................................... 15
Le prélèvement des empreintes digitales pour les TES est-il efficace ? ...................................................... 16
L’exploitation commerciale du fichier de la population israelienne............................................................ 17

3°)
Des solutions alternatives et plus sécures existent.......................................................................... 19
IMPACT DES BIOMÉTRIES SUR LES LIBERTÉS PUBLIQUES .......................................................................................... 22
1°)
Données chiffrées ............................................................................................................................ 22
2°)
Le choix controversé d’une technologie de biométrie à trace ......................................................... 23
3°)
Le risque de « réductionnisme » et l’atteinte à la dignité humaine ................................................ 24
D. RAPPEL DES PRINCIPES ................................................................................................................................... 25
1°)
Rappel du droit conventionnel ........................................................................................................ 25
C.

a)

Rappel des textes de base ................................................................................................................................ 25
Article 8 de la Convention europeenne des droits de l’homme .................................................................. 25
Liberté d'aller et de venir ............................................................................................................................ 26
Convention pour la protection des personnes à l’égard du traitement automatisé
des données à caractère personnel (Convention n° 108, Strasbourg 28 janvier 1981) ............................... 26
b)
Application jurisprudentielle ............................................................................................................................ 27

Consécration d’un droit à l’oubli par la CEDH ............................................................................................. 27

A la recherche du juste equilibre qui se trouve en concurrence ................................................................. 28

Données biométriques, libertés et conservation des données ................................................................... 28


2°)

Rappel du droit européen ................................................................................................................ 31

a)



b)

3°)

Rappel du droit français .................................................................................................................. 43

a)


b)

E.

Rappel des principaux textes applicables ......................................................................................................... 31
L’Article 8 de la Charte des droits fondamentaux ....................................................................................... 31
Recommandations et avis du G29 ............................................................................................................... 32
Le Règlement 2252/2004 établissant des normes pour les éléments de sécurité et les éléments
biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres .. 35
Application jurisprudentielle ............................................................................................................................ 36
Rappel des principaux textes ........................................................................................................................... 43
Déclaration des droits de l’homme et du citoyen ....................................................................................... 43
Le caractère supra-législatif des dispositions de la loi « Informatique et Libertés », .................................. 43
Application jurisprudentielle et constitutionnelle ............................................................................................ 44

PRÉSENTATION DU DÉCRET CRITIQUÉ ................................................................................................................ 49
1°)
Une gestation douloureuse révélatrice d’une procédure incomplète .............................................. 49
2°)
Contenu ........................................................................................................................................... 49
a)
Empreintes digitales : imprécision concernant leur statut entre collecte et conservation, combien
d’empreintes sont-elles centralisées dans le fichier centralisé ? ............................................................................... 49
b)
Finalité affichée et finalité sous-jacente .......................................................................................................... 52
c)
Caractère disproportionné de l’atteinte à la vie privée. .................................................................................. 53

II.

SUR LA RECEVABILITÉ DU PRÉSENT RECOURS ........................................................................................ 54
A.
B.
C.

COMPÉTENCE EXCLUSIVE DU CONSEIL D’ETAT ..................................................................................................... 54
INTÉRÊT À AGIR DES REQUÉRANTS. .................................................................................................................... 54
SUR LA DISPENSE DE REPRÉSENTATION DES REQUÉRANTS PAR UN AVOCAT AU CONSEIL D’ETAT..................................... 55

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

3

III. ILLÉGALITÉ EXTERNE .................................................................................................................................. 57
A.

VICE DE PROCÉDURE ...................................................................................................................................... 57
1°)
Absence de formalités et de consultation ....................................................................................... 57
2°)
Absence de la signature des Ministres de la Justice, de l’économie et des Finances, du Budget .... 58
B. INCOMPÉTENCE ............................................................................................................................................ 61
1°)
Violation de l’article 27 de la Loi Informatique & Libertés .............................................................. 61
a)
b)

La procédure dérogatoire prévue par l’article 27 de la Loi Informatique & Libertés n’était pas applicable. ... 63
L’impossibilité de régularisation par un débat parlementaire a posteriori sur un acte réglementaire ............ 65

2°)
Le Décret n° 1460 viole le principe de séparation des pouvoirs et modifie des dispositions du
ressort de la loi. ............................................................................................................................................ 66
IV. ILLÉGALITÉ INTERNE .................................................................................................................................. 68
A.
B.
C.
D.

VIOLATION DE LA LOI ..................................................................................................................................... 68
DÉTOURNEMENT DE POUVOIR / ILLÉGALITÉ DE L’OBJET ......................................................................................... 69
ERREUR DE DROIT.......................................................................................................................................... 69
ERREUR DE FAIT ............................................................................................................................................ 70

PAR CES MOTIFS ............................................................................................................................................. 70

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

4

PROLÉGOMÈNES EN FORME DE PARADOXE :
PROTÉGER L’IDENTITÉ EN CONCENTRANT LES RISQUES
POUVANT AFFECTER L’AUTHENTIFICATION.
L’identité d’une personne constitue un élément patrimonial fondamental en ce qu’il établit
« ce que je suis ». De même, le corps humain, dans toutes ses parties ou représentation, constitue
un élément fondamental de la dignité humaine et, à ce titre, est protégé par la loi.
La biométrie constitue la rencontre entre l’identité d’une personne et l’utilisation, avec ou
sans son accord, d’éléments corporels figés préalablement numérisés.
De même, une donnée biométrique constitue la rencontre entre une information et le
corps humain d’une personne (et indirectement celui de ses descendants et de ses ascendants).
Une donnée biométrique liée à l’identité d’une personne est une donnée unique dans
l’histoire de l’identité humaine, des droits de l’homme, de la vie privée et des libertés individuelles
et publiques. Cette particularité, couplée à son caractère irrévocable, dont notre époque est
aujourd’hui témoin pour la première fois, justifie les réserves fondamentales présentées
auprès de la Haute-Assemblée.
Pour mémoire, la donnée biométrique est à la fois une donnée à caractère personnel dont
le traitement est protégé par la loi et une donnée très sensible en tant que donnée de santé,
bénéficiant d’un régime de protection renforcé par la loi.
La biométrie autorise des traitements informatiques sophistiqués et participe au fichage,
puis au profilage de la population, sans discussion, sans distinction. Ce traitement de masse
d’informations sensibles, qui s’inscrit irrévocablement dans le temps, sur la base de
technologies connues à ce jour mais qui sont vouées à évoluer dans un sens ou dans un autre, est
un élément déterminant des réserves à l’égard de la biométrie.
Ainsi, la biométrie permettrait-elle une identification rapide, en apparence sûre – mais en
apparence seulement, nous y reviendrons – et irrévocable ?
Le caractère irrévocable de l’identification est d’autant plus important qu’il est basé sur
des traces laissées par un individu (empreintes digitales, par exemple). Or ces traces peuvent être
appréhendées, détournées et contaminées.
Le recours systématique et aveugle à la biométrie peut entraîner, paradoxalement, un
accroissement de l’insécurité contre laquelle elle prétend lutter. En effet, il sera démontré que
l’avancée technologique n’est que relative et qu’il est, somme toute, aisé de manipuler les
informations contenues dans les Titres Électroniques Sécurisés (TES) ou qu’il existe un risque de
dérive dans l’usage et la finalité du fichier centralisé des TES.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

5

C’est déjà le cas aujourd’hui et ce sera encore plus vrai avec la prolifération des moyens
de piratage informatique dont le coût social ne cesse de croître lorsque le coût de production lui
connait une décroissance exponentielle (à titre d’illustration on peut comparer le coût du
séquençage de l’ADN humain entre le début des années 2000 et aujourd’hui).
Dans son article consacré à la biométrie1, Monsieur Christian BYK2 synthétise la forme
moderne du conflit ancien entre la protection des libertés individuelles et la recherche de la sécurité pour
tous les citoyens.
« L’informatique doit être au service de chaque citoyen (…) Elle
doit porter atteinte ni à l’identité humaine ni aux droits de
l’homme ni à la vie privée, ni aux libertés individuelles
publiques3.
« Procédé d’identification utilisant les données individuelles
physiologiques ou comportementales, la biométrie bénéficie
d’un essor rapide (…)
Au regard du droit des libertés publiques, la biométrie oppose, à
l’évidence, le droit individuel de la protection des données et au
respect de la vie privée à l’exigence collective de sûreté. Elle
invite donc à trouver un équilibre entre ces droits et intérêts
légitimes.
En l’absence de régime spécifique, l’essor de cette technique,
notamment avec la mise en place du passeport biométrique,
semble montrer que son « encadrement juridique » aboutit à un
déséquilibre préjudiciable aux libertés ».

En étudiant le droit européen, issu notamment de l’application de la
CHARTE DES DROITS FONDAMENTAUX DE L’UNION EUROPÉENNE, nous
verrons comment la Cour de Justice de l’Union Européenne (CJUE) n’hésite pas
à faire prévaloir les libertés publiques, y compris en présence de textes visant à
lutter contre le terrorisme.
La meilleure défense contre l’idéologie totalitaire portée par les terroristes
n’est-elle pas de résister à la tentation d’une dérive sécuritaire niant le patient et
long travail d’émergence d’une démocratie avancée et apaisée ?

1
2
3

Christian BYK, Biométrie et constitution : est-il déjà trop tard pour les libertés publiques, JCP (G) 2008, n° 25, p. 19
Christian BYK est magistrat, secrétaire général de l’Association internationale, droit, éthique et science (www.iales.org).
Article 1er de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite « Informatique & Libertés ».
L’article 1er de la loi est le seul article à ne pas avoir été modifié en 2004 et constitue la pierre angulaire de cette réglementation. Ce
principe législatif définit l’esprit dans lequel la réglementation s’inscrit. L’article premier de la loi de 1978 contient une déclaration
d’objectifs. Le Professeur Jean Frayssinet (in Jean Frayssinet, Informatique, fichiers et libertés, p.6. Editions Litec, 1992) s’exprime
d’ailleurs ainsi : « Son objet n’est pas d’empêcher l’usage de l’informatique, les fichiers et les traitements automatisés étant
indispensables pour l’individu et le groupe social, mais de prévenir les atteintes aux droits et libertés, et de donner aux individus un droit
de regard sur l’usage et la qualité des données les concernant. »

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

6

Tout d’abord, les Requérants tiennent à préciser qu’ils n’entendent pas contester la
légitimité de l’objectif de contrôle et de lutte contre la fraude aux documents administratifs, cause
principale de la finalité avancée pour la création des Titres Électroniques Sécurisés (TES).
En revanche, les Requérants n’acceptent pas que le décret du 28 octobre 2016 instaurant
une base centralisée des Titres Électroniques Sécurisés (TES) :
-

les principes fondamentaux découlant des différentes déclarations et
charte des droits et des exigences législatives européennes et

-

constitue, ainsi, une atteinte disproportionnée aux libertés publiques.

En effet, la création d’une base centralisée de données comprenant des
informations biométriques sur la très grande majorité des citoyens Français (plus de 60
millions de citoyens majeurs comme mineurs) constitue une source d’inquiétude pour les
libertés publiques, compte tenu de son ampleur.
Les justifications gouvernementales (françaises mais aussi d’origine étrangère par le biais
des échanges d’informations, en application des accords de Schengen ou de certaines autorités,
américaines par exemple) tout comme la technologie, permettront, le moment venu, de faire
évoluer la finalité initiale de la création de cette base de données pour contrôler, dans un premier
temps, les allers et venues des citoyens ; puis, par le mécanisme d’interconnexion des fichiers, de
contrôler le comportement de tout un chacun, sans le moindre intérêt légitime.
La diffusion volontaire ou non, le piratage d’une base unique et centralisée ou l’utilisation
extensive des données biométriques ainsi collectées et conservées dérivant des finalités premières
constitue un risque majeur pour la démocratie et l’Etat de droit.
Faut-il rappeler qu’à l’origine, la loi « Informatique & Libertés » a été instaurée pour éviter
les dérives relatives aux possibilités fournies par l’outil informatique sur l’usage de données, à
savoir l’interconnexion des fichiers4 (de police, des administrations sociales et fiscales) qui avait
été envisagée à la fin des années 70 ?

4

Dès 1970, le député Michel Poniatowski propose à l'assemblée nationale la création d'un comité de surveillance et d'un tribunal de
l'informatique, cette suggestion, reprise plus tard par d'autres, est rejetée. Pourtant en 1971, l'Insee, profitant du passage de
l'informatique des cartes perforées vers les bandes magnétiques, décida de centraliser à Nantes les répertoires d'identification jusque
là régionaux, par le projet SAFARI (Système automatisé pour les Fichiers Administratifs et le Répertoire des Individus), qui vise à une
interconnexion des fichiers notamment par l'usage du NIR (numéro INSEE de Sécurité sociale). Et dans une sorte de vertige
technocratique, l'administration envisagea de cumuler cette centralisation avec celle à Tours du fichier de la Caisse nationale d'assurance
vieillesse (CNAV) et de l'interconnecter avec les fichiers de la carte d'identité, gérée par le ministère de l'Intérieur.
Ce projet perçu comme une entrave grave à la liberté fit scandale lorsque Le Monde titra le 21 mars 1974 : « SAFARI ou la chasse aux
Français ». Cette tribune provoqua un tollé politique, auquel dut faire face le tout récent ministre de l'Intérieur Jacques Chirac, qui venait
« d'échanger » son poste à l'agriculture avec celui de Raymond Marcellin depuis moins d'un mois. Avec l’élection de Valéry Giscard
d’Estaing à la présidence de la République, Michel Poniatowski devient ministre de l’Intérieur et reprend son idée de comité de
surveillance qui devait aboutir, après un important travail parlementaire à la loi « Informatique & libertés ».

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

7

Par ailleurs, l’histoire française permet d’affirmer que, dans un passé pas si lointain, des
fichiers de données personnelles ont pu être une source d’arbitraire et de mesures aussi coercitives
qu’indignes des Lois de la République5.
A ce titre, il n’est pas inutile de rappeler certains arguments développés par les
parlementaires à l’origine de la saisine du Conseil constitutionnel contre la loi du 27 mars 2012
relative à la protection de l’identité et dont certains sont devenus membres du gouvernement
ayant promulgué le Décret n° 2016/1460 pris en application de cette même loi :
Les requérants considèrent qu'en effet, la création du fichier telle
qu'inscrite à l'article (5) de la loi porte non seulement une
atteinte excessive au droit au respect de la vie privée, mais porte
également en germe la destruction pour l'avenir des
possibilités d'exercice effectif du droit fondamental de
résistance à l'oppression, corollaire indispensable de la liberté
individuelle elle-même. (…)
Les auteurs de la saisine souhaitent attirer votre particulière
attention sur les risques que feraient courir pour l'exercice
effectif du droit de résistance à l'oppression l'institution d'un
tel fichier généralisé de la population avec la technique du « lien
fort ». (…)
Ils reconnaissent (…) que ce n'est pas, par elle-même - selon une
formule qui vous est familière - ni dans l'immédiat, que la
disposition ici disputée menace l'exercice de ce droit.
Aucun de ces deux éléments ne devrait pourtant conduire à
balayer sans un examen approfondi le moyen tiré de la remise
en cause de l'exercice effectif du droit de résistance à
l'oppression. D'abord parce que les incertitudes sur sa
justiciabilité ne font pas moins de la résistance à l'oppression un
droit, inscrit à l'article 2 de la Déclaration des droits de 1789
parmi les quatre « droits naturels et imprescriptibles de

5

Jean-Marc FEDIDA, L’horreur sécuritaire, les trente honteuses, Editions privé, 2006, p. 103 et s. « Ainsi, l’autorité publique a-t-elle franchi
le pas et admis qu’à l’horreur du 11 septembre il convenait de répondre par une autre horreur sécuritaire, celle-là, à savoir la biométrie.
On peut dire sans déformer la réalité que les nazis l’ont rêvé et que nous l’avons fait ; en tout cas, nous l’avons toléré sans que cela ne
pose le moindre débat de société, on osera même dire dans la sérénité et l’indifférence quasi-générale. (…)
Il reste alors que les moyens de la loi reposaient sur une identification par le nom de l’individu et par le recours à l’état civil. Certains, trop
rares, eurent la possibilité d’échapper aux rafles et aux déportations grâce à l’imperfection des moyens de contrôle. A l’heure de la
biométrie, de tels sauvetages n’auraient pu avoir lieu ainsi que le soulignent les rares sociologues qui ont bien voulu se pencher sur la
question (…)
En mettant au rencart notre vieil état civil, certes poussiéreux mais qui avait pour le moins fait ses preuves en termes d’identification et
de préservation des libertés, au profit de moyens technologiques avancées pour parvenir à l’identification de l’individu, on a ouvert une
nouvelle ère, sans tirer les leçons des expériences passées, persuadés que des événements politiques du type de ceux qui se sont produits
il y a soixante ans ne pouvaient se reproduire (…) Dans un proche avenir, à n’en pas douter, ces moyens d’identification et de contrôle
seront en vigueur et dévoileront les éléments intimes de notre être.
Cette dérive révélatrice de ce que notre société à la fois envisage désormais comme état de guerre intérieure et s’estime être dans
l’urgence de se créer des armes contre cette menace intérieure pourtant si floue si indistincte, témoigne par le choix de ses supports
technologiques le droit désormais reconnu de la puissance publique de suivre le citoyen dans tous ses faits et gestes. Elle consacre le
principe de la suprématie de la puissance publique sur le citoyen. »

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

8

l'Homme », et même un droit positif auquel votre haute
juridiction a expressément reconnu pleine valeur
constitutionnelle.
Ensuite parce que le droit à la résistance à l'oppression est à la
fois le fondement et la conséquence des autres droits de
l'homme. Comme le relève la Professeure Geneviève KOUBI : «Le
paradoxe du droit de résistance à l'oppression est ainsi
entièrement contenu dans cette confrontation entre l'exercice
d'un droit et le système de droit. Dans cette perspective, la
résistance à l'oppression est un droit de l'homme qui s'exerce
contre le système de droit, - système qui, au lieu de permettre
l'élaboration de lois garantissant les droits et protégeant les
libertés, contribue à l'édiction de normes leur portant une
atteinte caractérisée. Expression d'un droit au respect du droit
énoncé par les individus à l'endroit des pouvoirs publics, le droit
de résistance à l'oppression s'avère effectivement être la
conséquence des autres droits de l'homme. Il en est le
fondement en ce qu'il engage les gouvernements dans la voie
des révisions radicales. C'est ainsi que le droit de résistance à
l'oppression est un droit de l'homme. Il est un droit "hors-la loi"
certes, il est un "droit hors le droit". La résistance à l'oppression
a donc sa place en droit justement pour que soit assurée la
cohérence du droit ».
D'ailleurs, ce droit a reçu des consécrations dans d'autres
instruments juridiques que notre Constitution, soit dans des
instruments internationaux, soit dans d'autres constitutions.
Ainsi la Déclaration universelle des droits de l'homme rappellet-elle « qu'il est essentiel que les droits de l'homme soient
protégés par un régime de droit pour que l'homme ne soit pas
contraint, en suprême recours, à la révolte contre la tyrannie et
l'oppression ». (…)
Enfin, parce qu'il est d'une évidence absolue que le respect de ce
droit ne peut par définition être garanti dans le cadre d'un
régime oppressif, il appartient nécessairement à un régime
démocratique d'en assurer les conditions d'exercice pour
l'avenir.

C’est pourquoi, eu égard aux principes fondamentaux rappelés par le Conseil
constitutionnel, face aux risques prochains d’évolution a-démocratiques de nos institutions, les
Requérants souhaitent limiter l’usage des informations biométriques dans le cadre qui a été tracé
pour l’Union Européenne afin d’éviter une dérive nationale attentatoire aux libertés
fondamentales et sources de discriminations à l’intérieur de l’Union européenne.
En conséquence, il est demandé au Conseil d’Etat, garant de l’Etat de droit, d’annuler le
Décret n° 2016-1460 pour excès de pouvoir.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

I – ELEMENTS FACTUELS
A.

6
7
8

DÉFINITION - GLOSSAIRE

Carte d’identité

« Il est institué une carte nationale certifiant l’identité de son titulaire »
(article 1er du décret 55-1397 du 22 octobre 1955

Passeport

D’après le doyen Gérard Cornu6, le passeport est :« un titre délivré
par l’autorité administrative qui certifiant l’identité, la nationalité et le
domicile de son titulaire, permet à celui-ci de voyager librement,
notamment de franchir les frontières ».

Identification

S’identifier, c’est communiquer son identité

Authentification

L’authentification a pour but de vérifier l’identité dont une
personne se prévaut. S’authentifier, c’est apporter la preuve de
son identité

Biométrie

La Commission nationale informatique et libertés (CNIL) définit
la biométrie7 en ces termes : « La biométrie regroupe l’ensemble des
techniques informatiques permettant de reconnaître automatiquement un
individu à partir de ses caractéristiques physiques, biologiques, voire
comportementales8. Les données biométriques sont des données à caractère
personnel car elles permettent d’identifier une personne. Elles ont, pour la
plupart, la particularité d’être uniques et permanentes (ADN,
empreintes digitales…). Elles se rapprochent ainsi de ce qui pourrait être
défini comme un «identificateur unique universel », permettant de
ce fait le traçage des individus ».

Gérard CORNU, Vocabulaire juridique, Puf Quadrige, 7ème éd°, p. 653.
CNIL, 27ème rapport d’activité 2006, p. 13
Empreintes digitales, iris de l’œil, contour de la main, ADN, sang, odeurs, signature, démarches, … CNIL, 22eme rapport d’activité
2001, p.157.

9

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

10

B.

PRÉSENTATION DES TECHNOLOGIES
L’IMPOSSIBILITÉ FIABILITÉ ABSOLUE

EN

PRÉSENCE :

1°)

Les Titres Electroniques Sécurisés (TES) utilisent des technologies dépassées
et dangereuses.

Dans son rapport, l’office parlementaire d’évaluation des choix scientifiques et
technologiques9 relève que :
Les systèmes biométriques reposent par ailleurs sur une assise
statistique. Il faut donc gérer les « taux d'erreurs », les
techniques biométriques n'étant pas exactes à 100 %.
Actuellement, parce que les critères et les méthodes
d'évaluation n'ont pas été véritablement normalisés, on assiste
à une véritable « guerre des taux » qui reflète la concurrence qui
s'exerce entre les producteurs.
L'unicité de telle ou telle donnée biométrique et donc son
caractère plus ou moins discriminant sont encore débattus. En
tout état de cause, le seuil de tolérance jugé acceptable dépend
de la finalité du système que l'on souhaite implanter : par
exemple, pour le contrôle d'accès à une zone hautement
sécurisée, le taux de fausses acceptations devra être le plus bas
possible, au risque d'augmenter le taux de rejets erronés.

A l’heure actuelle, le taux d’erreur est compris entre 1 et 2 % (cf. l’exemple du STIC).
Avec 60 millions de porteurs de TES, ce ne sont pas moins de 600 à 1 200 000 TES qui
seront dans la marge d’erreur ! (Soit un nombre très largement supérieur aux documents
frauduleux en circulation).
Par ailleurs, il convient de relever qu’il existe des réserves sur la pertinence et l’efficacité
de la biométrie :
– Comme le souligne, Monsieur Alex Türk10, ancien président de la CNIL, il n'existe
pas encore d'évaluation suffisante des risques d'erreurs des systèmes biométriques,
dont on sait pourtant qu'ils sont intrinsèquement faillibles (les reconnaissances
qu'ils opèrent ne sont toujours que des « probabilités » plus ou moins fortes) ; une
telle évaluation scientifique et objective doit être engagée.

9
10

http://www.assemblee-nationale.fr/12/cr-oecst/02-03/c2003007.asp
Conférence d'ouverture de M. le sénateur Alex TÜRK, au « Forum Public sur les enjeux éthiques de la biométrie, Commission d'éthique
de la science et de la technologie », Montréal, 13 oct. 2005.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

11

– Dans le même sens, le G2911 insiste12 sur le fait que
« l’intérêt croissant porté au recours à des techniques
d’identification biométriques impose que soit menée une
analyse extrêmement prudente quant à la légalité du traitement
de telles données pour des besoins d’identification. En effet, les
données biométriques comportent, en tant que telles, de réels
risques pour les personnes concernées si ces données sont
perdues ou utilisées de manière détournée quant à leur
finalité ».

– Dans une lettre adressée au Président du Conseil de l’Union européenne en date
du 30 novembre 2004, le G29 relève que
« Des résultats d'essais ont toutefois montré que les procédés
reposant sur des éléments biométriques ne garantissaient ni la
sécurité requise ni la commodité escomptée pour les voyageurs,
vu que le pourcentage d'acceptation erronée ou de rejet erroné
du détenteur du passeport par le système de sécurité de
reconnaissance semble élevé. Le groupe de travail "Article 29"
émet dès lors des réserves quant à l'utilisation de procédés
biométriques qui n'ont pas fait la preuve de leur efficacité et, en
particulier, l'utilisation obligatoire d'éléments biométriques qui,
telles les empreintes digitales, permettent une identification de
type "un à plusieurs" et un traçage des individus ».

– Dans son «Document de travail sur la biométrie13», le G29 a souligné que
« les progrès rapides des technologies biométriques et la
généralisation de leur application ces dernières années
nécessitent un examen minutieux sous l'angle de la protection
des données. Leur utilisation incontrôlée suscite des
inquiétudes en ce qui concerne la protection des libertés et des
droits fondamentaux des individus. Les données de ce type sont
d’une nature particulière parce qu'elles ont trait aux
caractéristiques comportementales et physiologiques d'une
personne et qu'elles peuvent permettre de l'identifier sans
ambiguïté ».

11

12

13

Les autorités administratives équivalentes à la CNIL dans les différents Etats-Membres de l’Union européenne sont regroupées dans un
groupe dit de l’article 29 (G29).
Avis 7/2004 sur l'insertion d'éléments biométriques dans les visas et titres de séjour en tenant compte de la création du système
Européen d'information sur les visas (VIS) 11.8.2004 Markt/11487/04/EN
JO L 281 du 23.11.1995, p. 31, http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_fr.htm

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

2°)

12

Des exemples toujours plus nombreux et accablants de l’insécurité
numérique

Par ailleurs, la littérature scientifique et technique est abondante sur les moyens de
« court-circuiter » les Titres Electroniques Sécurisés (TES), citons, sans vouloir être exhaustif :

EN SUISSE : « LE FUTUR PASSEPORT BIOMÉTRIQUE EST MOINS SÛR QU’ON L’IMAGINE » (24HEURES,
4 JUILLET 2009)
« Une experte en police scientifique, un ingénieur et une juriste
jettent un froid sur l’engouement pour le passeport biométrique
considéré comme un gage de sécurité quasi absolue.
Les conclusions du premier volet de leur recherche, relatées dans
Uniscope, publication de l’Université de Lausanne, font l’effet
d’un pavé dans la mare à l’heure où le parlement fédéral vient
d’approuver l’ajout de deux empreintes digitales à ce document
comportant déjà une photo numérisée depuis 2006.
Marcela Espinoza, doctorante à l’Institut de police scientifique
de l’Université de Lausanne, démontre en effet qu’il est possible
de tromper un système de reconnaissance d’empreintes
digitales utilisant les technologies d’aujourd’hui ».

EN GRANDE BRETAGNE

D’après le blog de Jean-Marc Manant « Bug Brother » dans les pages du journal « Le
Monde »14, il est possible de pirater la carte d’identité du Royaume-Uni en 12
minutes ! Par « pirater », il faut comprendre accéder aux informations sensibles
contenues dans la carte d’identité et les modifier…
« Adam Laurie est une figure du monde de la sécurité
informatique, et donc des hackers, mais aussi la bête noire de
ceux qui veulent faire rimer papiers d’identité sécurisés et puces
électroniques RFiD (sans contact). En 2006, il avait mis 48 heures
à lire (et donc “pirater“) les données contenues dans la puce RFiD
“sécurisée” du passeport électronique britannique. En 2007, il
avait mis 4 heures…

14

http://bugbrother.blog.lemonde.fr/2009/08/06/la-carte-didentite-uk-piratee-en-12/

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

13

Un article du Daily Mail révèle qu’il vient de mettre 12 minutes
seulement à pirater la future carte d’identité britannique, elle
aussi “sécurisée” par la RFiD.
Annoncée la semaine passée, cette carte d’identité sera similaire
aux 51 000 d’ores et déjà délivrées à ressortissants étrangers qui
travaillent ou étudient au Royaume-Uni.
Elle comporte les noms, prénoms, date de naissance,
caractéristiques physiques, empreintes digitales de son
titulaire, mais aussi s’il a le droit à des aides de l’Etat, le tout
étant sécurisé au moyen d’une puce électronique RFiD (sans
contact) censée rendre la carte d’identité “impiratable“.
Voire : muni de son téléphone mobile et d’un ordinateur
portable, Adam Laurie a d’abord cracké l’algorithme de sécurité
de la puce RFiD “sécurisée“, copié toutes les données qu’elle
contenait, avant de cloner la carte d’identité en… 12 minutes.
Petit détail : il a aussi réussi à modifier toutes les données de la
carte clonée : nom, caractéristiques physiques, empreintes
digitales, droits aux prestations sociales… »

LE MYTHE DE L’INFAILLIBILITÉ – PIERRE PIAZZA, « Du papier à la biométrie. Identifier les
individus », Paris, presses de science po, 2006.

Ce mythe de l’infaillibilité technologique est battu en brèche par Pierre PIAZZA dans
son article dans lequel il relève les informations pertinentes suivantes :
« Régulièrement présentée par les responsables policiers, en vue
de justifier son impérieuse nécessité, comme une « solution
miracle » pour révéler l’identité des individus, la biométrie est
pourtant loin de constituer une technologie totalement fiable.
En 2003, Philippe Wolf15 (responsable du centre de formation de
la Direction centrale de la sécurité des systèmes d’information
rattaché au Secrétariat général de la Défense nationale) avait
par exemple publiquement démythifié la toute puissance de
certains dispositifs biométriques en pointant certaines de leurs
failles et l’absence de toute évaluation rigoureuse et
indépendante de leurs performances.

15

WOLF (P.), 2003, « De l’authentification biométrique », Infosécu, n° 46, octobre 2003.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

14

Un an plus tard, le Groupe des autorités européennes sur la
protection des données avait aussi émis de vives réserves à
propos de l’introduction d’éléments biométriques dans les
passeports, estimant qu’ils n’avaient pas fait leurs preuves et
étaient à l’origine d’un nombre élevé d’erreurs16.
Plus récemment en France c’est encore le Comité Consultatif
National d’Éthique17 qui, concernant ces mêmes passeports,
dénonçait la fragilité des transmissions des données
biométriques réalisées à partir des puces intégrées dans ces
documents et les conséquences majeures induites par ce
phénomène en matière de « confidentialité ».
En juin 2007, des chercheurs de l’université de Louvain,
spécialistes en cryptographie, sont d’ailleurs parvenus, à l’aide
d’un simple petit lecteur de puce RFID acheté dans le
commerce, à lire en quelques secondes les données
confidentielles contenues dans certains passeports
électroniques belges18.
Concernant plus particulièrement les bases de données
biométriques, les taux d’erreurs à l’enregistrement et de fausses
acceptations lors de la réalisation des contrôles ne sont jamais
nuls et varient en fonction du type d’identifiant biométrique
mobilisé.
Si, selon Bernard Didier19 (Directeur scientifique et du
développement des affaires chez SAGEM), ces taux d’erreurs
ont, par exemple, été ramenés entre 1% à 2% dans le cas de l’iris
(qui constitue l’identifiant le plus sûr avec l’empreinte digitale),
leurs conséquences ne peuvent pourtant pas être considérées
comme marginales lorsque des vérifications d’identité sont
effectuées à partir de la consultation de fichiers de grande
dimension contenant les données biométriques de plusieurs
millions d’individus. Par exemple, pour un fichier contenant 60
millions de données, une telle marge d’erreurs concernera entre
60 000 et 120 000 personnes ».

16

17

18

19

GROUPE DE L’ARTICLE 29, 30 novembre 2004, avis sur la proposition de règlement du Conseil établissant des normes pour les dispositifs
de
sécurité
et
les
éléments
biométriques
intégrés
dans
les
passeports
des
citoyens
de
l’UE :
http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/2004-11-30G29-eupassports_fr.pdf
COMITÉ CONSULTATIF NATIONAL D’ÉTHIQUE, 20 juin 2007, avis n° 98, « Biométrie, données identifiantes et droits de l’homme :
http://www.ccne-ethique.fr/docs/fr/avis098.pdf
ROUSSEAU (T.), 6 juin 2007, « La sécurité des passeports électroniques belges mise en défaut », News.fr :
http://www.news.fr/actualite/societe/0,3800002050,39370005,00.htm
DIDIER (B.), 4 mai 2006, audition sur la biométrie par l’Office parlementaire des choix scientifiques et technologiques. Rapport n° 3302,
Assemblée nationale, douzième législature, 8 septembre 2006 : http://www.assemblee-nationale.fr/12/pdf/rap-off/i3302.pdf

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

15

Par ailleurs, Pierre PIAZZA insiste sur le fait qu’il existe des techniques alternatives à la
biométrie qui offrent une meilleure sécurité et un plus grand respect des libertés
publiques :
« Plus généralement, les pouvoirs publics ont tendance à
présenter la biométrie comme le seul véritable remède pour faire
face aux fraudes à l’identité mais passent sous silence d’autres
mesures qui pourraient s’avérer tout aussi efficaces et moins
liberticides. Par exemple, le ministère de l’Intérieur français a
préconisé la biométrisation de la carte nationale d’identité alors
que la centralisation des actes d’état civil ET la transmission
directe des actes de naissance entre mairie et préfectures
permettraient de sécuriser « en amont » les procédures de
délivrance de plusieurs titres d’identité ».

MÊME LE GOUVERNEMENT MET EN CAUSE LA FIABILITÉ DES PUCES RFID ET LE RISQUE DE TRAÇAGE ET
DE PROFILAGE DES PORTEURS DE PUCES RFID !

Sur le site coédité20 par l’ADIT et le Ministère des affaires étrangères, on peut lire la
mise en garde suivante : « problèmes de sécurité sur les puces RFID des
nouvelles pièces d’identité » (13 février 2009).
« Les "passport cards" et les permis améliorés contiennent en
effet des puces RFID (radio frequency identification) qui
permettent une lecture à distance. L'idée étant d'offrir aux
agents gouvernementaux un accès instantané aux données
biométriques, à la photo et aux informations criminelles ou
terroristes des citoyens afin d'améliorer l'efficacité des contrôles
aux frontières. Les technologies RFID ont cependant soulevé
quelques inquiétudes depuis leur apparition au début des années
2000. Les nouveaux permis et "passport cards" utilisent des
technologies similaires, revues et approuvées par le Department
of Homeland Security.
Les puces utilisées, dénommées EPC (electronic product code),
sont semblables à des codes barre, peu coûteuses et peuvent
être lues jusqu'à 45 mètres. (…) Des lecteurs RFID courants, tels
que ceux utilisés pour la gestion des inventaires, pourraient en
effet être capables de lire les informations contenues sur ces
cartes et celles-ci pourraient être utilisées pour traquer les
habitudes de consommation et surveiller la durée de présence
du porteur d'une telle carte dans des magasins.

20

http://www.bulletins-electroniques.com/actualites/57733.htm

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

16

Les passeports classiques étatsuniens contiennent également
des puces RFID mais la technologie utilisée est moins susceptible
aux problèmes de respect de la vie privée puisque les passeports
doivent être lus à courte distance et un système de sécurité
oblige les agents à recourir à un scanner optique pour lire des
caractères sur le document afin d'avoir accès aux données
personnelles stockées sur la puce. Les autorités de l'Etat de
Washington ont interdit la lecture des puces contenues sur les
pièces d'identité sans l'autorisation des propriétaires et assurent
que des pochettes de protection sont fournies avec les cartes
pour les protéger des signaux radio afin de compliquer la tâche
des lecteurs inopportuns. Mais des études montrent que les
pochettes ne fonctionnent pas toujours et que les propriétaires
de carte les perdent parfois.
Le respect de la vie privée n'est cependant pas le seul enjeu. La
lecture non autorisée pourrait également menacer la sécurité
aux frontières. S'il est aisé de récupérer des identifiants, il est
alors relativement simple de contrefaire des cartes en chargeant
un identifiant volé sur une carte vierge. Si chaque puce disposait
également d'un unique numéro de série correspondant à
l'identifiant stocké, la falsification serait plus compliquée mais ni
les permis améliorés de l'Etat de Washington ni les "passeports
cards" ne sont équipés de ces outils de sécurité supplémentaire.
Tant que ces problématiques ne seront pas prises en comptes
par les autorités étatiques et fédérales, il est peu probable que
l'usage de technologies puisse offrir une meilleure protection des
frontières sans mettre en danger la vie privée de millions de
personnes. Ce déploiement de technologies, encore soumises à
des problèmes de sécurité, à grande échelle avec un objectif si
important peut également être rapproché de l'expérience du
vote électronique qui a connu et connait encore des problèmes
similaires à cause d'initiatives un peu hâtives ».

LE PRÉLÈVEMENT DES EMPREINTES DIGITALES POUR LES TES EST-IL EFFICACE ?

Dans leur réplique au Gouvernement lors de l’instruction de la saisine du Conseil
constitutionnel contre la loi relative à la protection de l’identité, les sénateurs
constatent que :
Enfin, et c'est probablement là l'essentiel, de l'aveu même du
gouvernement, le système de prélèvement des empreintes
digitales sera inefficace et donc parfaitement inutile ! Comme
l'indique effectivement le gouvernement dans ses observations
qui méritent là d'être citées in extenso : « Il importe d'ailleurs de
souligner que, eu égard au nombre limité d'empreintes qu'il

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

17

comportera et au fait que ces empreintes seront recueillies à
plat et non roulées, comme il est d'usage en matière
d'identification judiciaire, le traitement litigieux sera en tout
état de cause inapte, dans la majorité des cas, à servir à
l'identification des traces digitales».

L’EXPLOITATION COMMERCIALE DU FICHIER DE LA POPULATION ISRAELIENNE

Toujours bien informé, le journaliste Jean-Marc Manach21 détaille les aventures d’un
fichier d’Etat qui a fait l’objet d’une exploitation commerciale pendant plus de deux
ans :
Le fichier de la population israélienne, comprenant les données
personnelles de plus de 9 millions d’Israéliens morts ou vivants,
a été disponible sur le Net de 2009 à octobre 2011. Au menu :
nom, prénoms, date et lieu de naissance (et, au besoin, de
décès ou d’immigration en Israël), âge, sexe, adresse, n° de
téléphone, statut marital, noms et prénoms des parents et
enfants.
Un employé du ministère des affaires sociales l’avait copié sur
son ordinateur personnel en 2006, puis confié à un ami, qui le
vendit à un professionnel du commerce des fichiers clients, qui
demanda à un informaticien d’en développer un logiciel. Ce
dernier, Agron 2006, qui permettait de cartographier les liens
familiaux des Israéliens, fut mis à la vente, par téléchargement,
sur un site web par un autre informaticien, puis rendu disponible
sur les réseaux P2P.
L’information a été révélée, la semaine dernière, par l’Israël Law,
Information and Technology Authority (ILITA), l’autorité de
protection des données personnelles israéliennes, dont l’enquête
a conduit à l’arrestation de six suspects, dont le voleur présumé,
Shalom Bilik, ainsi que Meir Leiver, le responsable du site qui
expliquait comment se procurer la base de données, et utiliser le
logiciel.
L’ILITA, qui a récupéré 6 terabytes (6 000 Gigabytes) de données,
et qui a découvert à cette occasion que d’autres fichiers avaient
eux aussi été volés, dont une base de données d’enfants
adoptés, des données issues des fichiers électoraux, et des
données relatives à la sécurité nationale a également mis en
ligne deux étonnantes vidéos afin d’expliquer ce qu’il s’est passé.

21

http://owni.fr/2011/11/03/9-millions-disraeliens-a-poil/
voir également Jean-Marc Manach, "Un expert auprès du gouvernement dénonce les fausses promesses de la biométrie",
http://www.transfert.net/, Octobre 2003. Jean-Marc Manach, « Un expert auprès du gouvernement dénonce les fausses promesses de
la biométrie », http://www.transfert.net/, Octobre 2003.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

18

Le ministre de la Justice s’est inquiété des risques de fraudes et
d’usurpation d’identité qui pourraient en découler. Michael
Eitan, ministre de l’amélioration des services publics, a quant à
lui appelé dans la foulée le gouvernement à abandonner son
projet de création d’une base de données biométriques des
Israéliens :
De fausses promesses ont été faites quant à la sécurité
hermétique de la base de données. Qui pourra nous assurer que
des employés mécontents ne distribueront pas nos empreintes
digitales et photographies ?
(…)
Le projet de modernisation des passeports et cartes d’identité,
entraînant la création d’une base de données des empreintes
digitales et photographies numérisées des Israéliens avait été
adopté, mais son lancement, reporté durant deux ans, est prévu
pour la fin du mois de novembre.
Mais pour Eitan, qui accuse le gouvernement de fabriquer une
“bombe à retardement” les bases de données biométriques
“sont aussi dangereuses qu’une centrale nucléaire : une fuite de
données biométriques pourraient causer des dommages
irréversibles qui pourraient prendre des décennies à être
réparés“.
Eitan plaide à ce titre pour une utilisation raisonnée des
données biométriques (empreintes digitales et photographies
numérisées) qui ne devraient être présentes que dans le titre
d’identité, afin de s’assurer de celle de son détenteur, et pas
centralisées dans une base de données.

A ces exemples, on pourrait ajouter :

22

-

le piratage du serveur de l’ancienne U.S. Secretary of State et de la boite
email des principaux dirigeants du parti démocrate durant la campagne
des présidentielles américaines ;

-

la dissipation de documents présentés comme hautement sécurisés par
Edward SNOWDEN et au moins deux autres employés de la puissante
National Security Agency (NSA)22

-

l’accès à des documents réputés confidentiels et inaccessibles comme
Wikileaks, Panama papers, Luxleaks, Footleaks etc.

http://www.lemonde.fr/pixels/article/2016/11/19/un-troisieme-employe-de-la-nsa-aurait-subtilise-des-documents-secrets-apressnowden-et-martin_5034490_4408996.html#GLZElSlch32k2OpF.99

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

-

19

pour la seule année 2016, une faille de sécurité avait entraîné une fuite
massive de données relatives à 55 millions d’électeurs philippins (avril).
Le même mois, c’est une base de données tirée du recensement de la
population turque qui été mise en ligne, avec noms et adresses.

Comme le note, le CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM) dans son
communiqué de presse du 7 novembre 2016
En matière de sécurité informatique, aucun système n’est
imprenable. Les défenses érigées comme des lignes Maginot
finissent immanquablement par être brisées. Comme le
soulignait par ailleurs Jean-Jacques Urvoas en 2012 (au sujet de
la proposition de loi qui a semble-t-il inspiré ce décret), ce n’est
qu’une question de temps

3°)

Des solutions alternatives et plus sécures existent
Dans son avis publié le 12 décembre 201623, le CNNUM relève :
Le Conseil s’interroge sur la nécessité de stocker de manière
centralisée des informations aussi sensibles. Sur la base des
éléments mis à sa disposition ou rendus disponibles
publiquement, il n'est pas en mesure de confirmer la nécessité
de stocker de manière centralisée des données biométriques
pour atteindre les finalités avancées.
L’authentification biométrique ne constitue qu’un indicateur
parmi d’autres s’agissant de l’instruction des demandes de titre
d’identité ; par ailleurs les gains attendus en termes d’efficacité,
de simplification et de lutte contre la fraude documentaire ne
découlent pas, pour l’essentiel, de la fusion de ces deux bases.
Au contraire, des risques considérables d’abus, de vol ou de
détournement de finalité peuvent directement découler de la
création de ce fichier.

L’annexe 2 de cet avis détaille l’existence de plusieurs solutions alternatives offrant
une meilleure sécurité et un moindre risque de dispersion d’informations sensibles

23

https://cnnumerique.fr/wp-content/uploads/2016/12/Avis-TES_CNNum_Web.pdf

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

20

Plusieurs contributions à la consultation publique menée par le
Conseil pointent l'existence d’alternatives techniques plus
protectrices que la constitution d’une base de données
biométriques centralisée. Ce document présente les pistes
évoquées lors des auditions menées par le CNNum.
Cette synthèse ne se veut pas exhaustive et le Conseil n’entend
pas prendre parti en faveur de l’une ou de l’autre. Son seul but
est de montrer que la recherche — publique et privée — est
aujourd'hui très active sur ces sujets d’identité, de biométrie et
de sécurisation.

2. Architectures sans base de données centralisées
2.1 Solutions décentralisées
Procéder à l’authentification biométrique d’un passeport
(contrôle aux frontières par exemple) ne nécessite pas de
constituer une base de données biométrique de la
population. Une comparaison des empreintes en dehors du
passeport est effectuée entre des données biométriques
stockées dans le document et un gabarit extrait d’une
nouvelle capture saisie au moment du contrôle. La
comparaison des données stockées avec les nouvelles
données saisies est alors effectuée sur un système sous le
contrôle de l’autorité régalienne du pays. Un contrôle à
distance de la validité du passeport peut par ailleurs être fait,
comme c'est le cas pour les cartes de paiement. Il n'implique
pas de communiquer le secret (code) sur le réseau, ni de le
conserver de manière centralisée.
En lieu et place de TES, la CNIL préconise, quant à elle, de faire
évoluer la carte d’identité pour y inclure un support
cryptographique contenant les données biométriques du
détenteur avec une solution améliorée par rapport à celle
utilisée pour les passeports : une solution “match on card”,
grâce à laquelle les données ne sont jamais extraites de la
puce ou du document, propriété de l’utilisateur et sous son
contrôle exclusif (voir le paragraphe 2.2 - Renforcer la
sécurité grâce au “match on document”).
2.2 Renforcer la sécurité grâce au “match on document”
La puce des passeports ne permettant pas de faire des calculs
du type Match on Card (calcul de comparaison fait par la puce
du document qui stocke les données) que ce soit pour des
empreintes ou pour de la reconnaissance faciale, la
comparaison décrite dans le paragraphe précédent entre les
données stockées dans le document et les données extraites
d’une nouvelle capture est effectuée sous le contrôle de
l’autorité régalienne du pays visité sur la borne de contrôle,
en local ou sur un serveur distant.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

21

Il est toutefois possible d’augmenter la sécurité en utilisant :
- soit du “Match on Card” comme décrit par la CNIL dans sa
communication sur TES ;
- soit un concept plus général de “match on document” (calcul
de comparaison par une application exécutée sur un dispositif
sous le contrôle de l’utilisateur avec des données stockées sur
un support physique propriété et sous le contrôle exclusif de
l’utilisateur.
(…)
2.4 Blockchain
Suite à une première étape d’authentification locale comme
décrite dans les paragraphes précédents, l’usage d’un ISAEN
en lieu et place d’un ou de plusieurs certificats de validité de
la donnée (avec une durée de vie limitée, et accessibles ou
stockés sur un support cryptographique) pourrait être
approprié tout en garantissant le parfait respect des principes
de la GDPR que ce soit pour des services publics et privés.

On comprend bien que le choix tout à la fois budgétaire et sociétal ne peut pas faire
l’économie d’un débat parlementaire approfondi ne serait-ce que pour anticiper les évolutions
prévisibles découlant de l’entrée en vigueur, à l’horizon 2018, du nouveau RÈGLEMENT
EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES (General Data
Protection Regulation ou GDPR) paru au journal officiel de l’Union européenne le 4 mai 2016.
Le GDPR poursuit trois objectifs :
1. Renforcer les droits des personnes, notamment par la création
d’un droit à la portabilité des données personnelles et de dispositions
propres aux personnes mineures ;
2. Responsabiliser les acteurs traitant des données (responsables
de traitement et sous-traitants) ;
3. Crédibiliser la régulation grâce à une coopération renforcée
entre les autorités de protection des données, qui pourront
notamment adopter des décisions communes lorsque les traitements de
données seront transnationaux et des sanctions renforcées.
Le moins que l’on puisse dire, c’est que la France est en retard d’une loi (ou plutôt d’un
décret) en ce qui concerne l’application du GDPR et le renforcement des droits des personnes
sur leurs données personnelles, notamment sensibles.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

C.

IMPACT DES BIOMÉTRIES SUR LES LIBERTÉS PUBLIQUES

1°)

Données chiffrées

22

A défaut d’étude d’impact sérieuse menée préalablement à rédaction du Décret n°
2016/1460, il convient de se référer aux données chiffrées communiquées par le Gouvernement
dans le cadre de l’examen par le Conseil constitutionnel de la loi relative à la protection de
l’identité (Décision n° 2012-652 DC) du 22 mars 201224.
Les statistiques de la direction centrale de la police judiciaire
pour les faits constatés en France métropolitaine font apparaître
14 000 cas de faux documents administratifs, en moyenne,
chaque année depuis 2006.

Donc pour lutter contre 14 000 faux documents administratifs, ce qui représente
0,023 % de la population française (sur la base de 60 millions), on va ficher 89 % de
la population (60 millions sur 67).
 La disproportion est manifeste le risque de fraude
représentant 1 cas sur 3 869 !
 Mais l’efficacité de la mesure parait douteuse car il
existe 11 millions de possibilités de frauder sans que cela ne
soit détectable.
Enfin, les condamnations pour fraude documentaire sont,
quant à elles, de l’ordre de 13 500 par an. Parmi elles, plus d’un
tiers concernent les infractions d’obtention frauduleuse de
documents administratifs constatant un droit, une identité ou
une qualité, ou accordant une autorisation et de prise de nom
d’un tiers pouvant déterminer des poursuites pénales contre lui.

Autrement dit, sans recours au TES, il est possible de faire condamner judiciairement la
quasi-totalité des fraudeurs, ce qui suppose que les autorités de poursuites disposent des moyens
de preuve suffisants pour confondre les fraudeurs et convaincre les juges.

24

http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank/download/ccficheSGG.pdf

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

2°)

23

Le choix controversé d’une technologie de biométrie à trace

L’une des difficultés de cette technologie résulte du fait que l’on laisse aussi des
traces d’empreintes digitales dans beaucoup d’actes de la vie courante.
D’autres données biométriques ne présentent pas, du moins dans l’état actuel de la
technique, cette particularité : c’est le cas, par exemple, du réseau veineux du doigt ou du
contour de la main, car ces données biométriques laissent peu de trace au quotidien, voire
aucune.
Comme le note la CNIL, « la biométrie avec trace impose donc une vigilance toute particulière
de la part des personnes concernées » 25.
Outre le danger de la traçabilité, il existe une autre réserve émise par la CNIL : la
permanence des informations ainsi collectées. Ainsi, le caractère permanent (car
constitutif de la personne humaine) des informations ainsi collectées doit être pris en compte
dans l’appréciation de la proportionnalité de la mesure26.
Dans ces conditions, on comprend mieux l’inquiétude exprimée par la CNIL relative à la
constitution d’une « société de surveillance » qui serait attentatoire aux libertés fondamentales.
Cette « société de surveillance » s’intègre dans la mise en place insidieuse d’un biopouvoir et
dans un nivellement du principe de proportionnalité.
Dans la continuation de l’œuvre de Michel Foucault, des auteurs ont analysé l’émergence
d’un biopouvoir dont la biométrie serait tout à la fois un attribut et un moyen de contrôle
social. Ainsi, le biopouvoir constitue un « ensemble de mécanismes de micro-pouvoirs hétérogènes,
régionaux, multiples, qui s’exercent en des points innombrables et n’émane pas d’une instance souveraine qui
serait extérieure »27.
Il s’agit d’une privatisation de l’espace public. Dès lors, « la biométrie révèle le passage d’un
pouvoir qui s’exerce sur le corps par le corps. Muni de puces, notre corps devient transparent pour les acteurs
du biopouvoir. Il est le témoin, voire le mouchard qui authentifie ce que nous sommes et ce que nous faisons »28.
On comprend mieux dans ces conditions, les risques signalés par les associations de défense
des droits de l’homme, même si ce risque ne se limite pas aux seuls TES et peut également
concerner le confident intime de notre vie qu’est devenu le « smartphone » et ses multiples
applications qui surveillent et épient nos comportements pour adapter les offres du marché au
profilage de nos comportements et de notre consommation.

25
26

27
28

http://www.cnil.fr/la-cnil/actu-cnil/article/article//biometrie-la-cnil-encadre-et-limite-lusage-de-lempreinte-digitale/
Claudine GUERRIER, Protection des données personnelles et applications biométriques en Europe, Communication – Commerce
électronique, Juillet-Août 2003, p. 17 et s.
Pierre JOLICOEUR, Introduction à la biométrie, éd° Decarie-Masson, 1991.
Christian BYK, op. cit., p. 20

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

3°)

24

Le risque de « réductionnisme » et l’atteinte à la dignité humaine

Dans son avis relatif à l’inclusion d’éléments biométriques dans la carte nationale
d’identité29, la Commission nationale consultative des droits de l’homme (CNCDH) relève que :
« la collecte de ces éléments représentatifs de l’être touche la
dignité humaine en ce qu’elle réduit chacun à l’extraction de son
patrimoine biologique ».

Ce risque de réductionnisme est repris également dans l’avis du Comité national
d’éthique30 qui qualifie « de question éthique centrale » le fait de savoir si ces nouvelles méthodes
d’identification respectent l’identité personnelle, élément essentiel de la dignité et
espace de liberté.
Dans le rapport du Sénat sur les « mémoires numériques » remis à la commission des Lois
le 27 mai 2009, les sénateurs Yves DETRAIGNE et Anne-Marie ESCOFFIER insistent sur le fait
que le droit de l’individu à la protection de sa vie privée doit être érigé en principe
fondateur.
Les sénateurs présentent dans un préambule plein d’allant leur point de vue :
« le législateur a œuvré pour que la notion de vie privée, intégrée
depuis la philosophie des Lumières à notre patrimoine
historique, culturel et identitaire reste, dans notre société
démocratique, indissociable de l’existence de l’individu et de
l’exercice des libertés : la société reconnaît à l’individu le droit de
proposer un espace privé, distinct de la vie collective et de la
communauté (...).
Il nous revient d’être ces veilleurs vigilants face aux grands
enjeux informatiques et libertés pour que le respect de la
personne humaine, de sa vie privée et de sa dignité reste
toujours un principe absolu. ».

Pour autant, ce rapport parlementaire démontre, si besoin était, que l’identité
numérique est du ressort de la loi. Dès lors, en permettant au gouvernement seul de régir
cette matière, le décret attaqué constitue une violation de l’article 34 de la Constitution.

29
30

Avis de la CNCDH du 1er juin 2006.
CCNE, avis n° 98 ; 20 juin 2007, Biométrie, données identifiantes et droits de l’homme.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

25

Dans le même esprit, Monsieur le sénateur LECERF, dans un autre rapport à la
Commission des Lois cite les réserves de la LIGUE DES DROITS DE L’HOMME et du CONSEIL
NATIONAL DES BARREAUX qui ont insisté sur un fait historique avéré : sous l’Occupation, de
nombreuses personnes avaient eu la vie sauve en utilisant de fausses identités. La biométrie ne
permettrait plus une telle possibilité31.
Au-delà de la question de la vie privée et de la protection des données personnelles, « c’est
le socle même du contrat social qui devient entamé par la biométrie »32. Si certains auteurs (Christian
BYK) en appelle à la Constitution, il paraît d’ores et déjà évident que la matière est au moins du
ressort de la loi et non d’un simple règlement.
Cette analyse se confirme lorsqu’on étudie les Principes fondamentaux en la matière.

D.

RAPPEL DES PRINCIPES

1°)

Rappel du droit conventionnel
a) Rappel des textes de base

ARTICLE 8 DE LA CONVENTION EUROPEENNE DES DROITS DE L’HOMME

Aux termes de l'article 8 de la convention européenne de sauvegarde des droits de
l'homme et des libertés fondamentales (CEDH) :
- « toute personne a droit au respect de sa vie privée et
familiale, de son domicile et de sa correspondance » ;
- « il ne peut y avoir ingérence d'une autorité publique dans
l'exercice de ce droit que pour autant que cette ingérence est
prévue par la loi et qu'elle constitue une mesure qui, dans une
société démocratique, est nécessaire à la sécurité nationale, à la
sûreté publique, au bien-être économique du pays, à la défense
de l'ordre et à la prévention des infractions pénales, à la
protection de la santé ou de la morale, ou à la protection des
droits et libertés d'autrui ».

31

32

J.-R. LECERF, Identité intelligente et respect des libertés, Rapport Sénat n° 439 (2004-2005), mission d’information de la commission des
lois, 29 juin 2005 – Auditions.
M. MARZOUKI, La loi « Informatique et Libertés » de 1978 à 2004 : du scandale pour les libertés à une culture de la sécurité, Intervention
lors du colloque de la CNIL « Informatique : servitudes ou libertés ? », Paris, 7-8 novembre 2005.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

26

LIBERTÉ D'ALLER ET DE VENIR

L'article 2 du Protocole n° 4 additionnel à la CONVENTION DE SAUVEGARDE DES
DROITS DE L'HOMME ET DES LIBERTÉS FONDAMENTALES vise à assurer la liberté pour
toute personne de circuler à l'intérieur du territoire dans lequel elle se trouve ainsi que
de le quitter.
Aux termes de l'article 2-3, son exercice « ne peut faire l'objet d'autres restrictions que celles
qui, prévues par la loi », constituent des mesures nécessaires, dans une société
démocratique, à la sécurité nationale, à la sûreté publique, au maintien de l'ordre
public, à la prévention des infractions pénales, à la protection de la santé, de la morale,
des droits et libertés d'autrui.
Ainsi, le décret des 1er février-28 mars 1792 relatif aux passeports a le
caractère d'une loi au sens de cette disposition protectrice d’une liberté
fondamentale33.

CONVENTION POUR LA PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT AUTOMATISÉ DES
DONNÉES À CARACTÈRE PERSONNEL (CONVENTION N° 108, STRASBOURG 28 JANVIER 1981)

Comme le remarque, M. LECERF dans son rapport34 le Conseil de l'Europe a estimé
que l'article 8 de la convention contenait un certain nombre de limites et
d'inconvénients au regard du développement nouveau de l'informatique et des
technologies de l'information.
Cette réflexion a conduit à l'adoption en 1981 d'une convention pour la protection des
personnes à l'égard du traitement automatisé des données à caractère personnel,
appelée convention 108.
La convention a pour objectif d'assurer la « protection du respect des droits et des libertés
fondamentaux de toute personne physique, et notamment de son droit à la vie privée, à l'égard
du traitement des données à caractère personnel la concernant ».
Initialement, la convention 108 était conçue pour ne pas s'appliquer directement, les
parties contractantes s'engageant à adopter des dispositions de droit interne conformes
à ses principes fondamentaux.

33

CE, 8 déc. 2000, Rahal; Dr. adm. 2001, comm. 47

34

Rapport d'information n° 439 (2004-2005) de M. JEAN-RENÉ LECERF, fait au nom de la mission d'information de la
commission des lois, déposé le 29 juin 2005

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

27

Entre temps, la Cour européenne des droits de l'homme a estimé dans un avis de 1997
(affaire Z c. Finlande35) que la protection des données à caractère personnel jouait un
rôle fondamental pour l'exercice du droit au respect de la vie privée et familiale garanti
par l'article 8 de la CEDH et précisé par la convention 108 à laquelle elle s'est référée.
Article 6 – Catégories particulières de données
Les données à caractère personnel révélant l'origine raciale, les
opinions politiques, les convictions religieuses ou autres
convictions, ainsi que les données à caractère personnel relatives
à la santé ou à la vie sexuelle, ne peuvent être traitées
automatiquement à moins que le droit interne ne prévoie des
garanties appropriées. Il en est de même des données à
caractère personnel concernant des condamnations pénales.
Article 7 – Sécurité des données
Des mesures de sécurité appropriées sont prises pour la
protection des données à caractère personnel enregistrées dans
des fichiers automatisés contre la destruction accidentelle ou
non autorisée, ou la perte accidentelle, ainsi que contre l'accès,
la modification ou la diffusion non autorisés.

b) Application jurisprudentielle

CONSÉCRATION D’UN DROIT À L’OUBLI PAR LA CEDH

Dans l’arrêt Rotaru c. Roumanie du 4 mai 2000, la CEDH a constaté une violation de
l’article 8 « en raison du manque de prévisibilité de la base légale invoquée par les
autorités nationales » pour conservation d’informations sensibles dans un registre secret.
Dans son intervention, le Président SPIELMANN36 souligne que :
Il convient de noter que, dans cette affaire, la Cour a également
été sensible au fait que la législation ne fixait pas de limite
quant à l’ancienneté des informations conservées et à la durée
de leur conservation. (…)
En se montrant plus exigeante pour ce qui concerne les données
relatives au « passé lointain » d’un requérant, la Cour réaffirme
que chacun a, en quelque sorte, un droit à l’oubli.

35

36

CEDH, 25 février 1997, Z c. FINLANDE (Requête n°22009/93) « § 96 - La législation interne doit donc ménager des garanties
appropriées pour empêcher toute communication ou divulgation de données à caractère personnel relatives à la santé qui
ne serait pas conforme aux garanties prévues à l’article 8 de la Convention (art. 8) (voir, mutatis mutandis, les articles 3
par. 2 c), 5, 6 et 9 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à
caractère personnel, Série des Traités européens no 108, Strasbourg, 1981). »
Dean SPELMANN, La protection des données dans la jurisprudence de la Cour européenne des droits de l’homme,
Commission nationale de la protection des données, Luxembourg, 28 janvier 2013.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

28

Ceci était d’autant plus le cas en l’espèce que certaines des
informations recueillies étaient fausses et de nature à porter
atteinte à la réputation du requérant.

A LA RECHERCHE DU JUSTE EQUILIBRE QUI SE TROUVE EN CONCURRENCE

Dans son intervention, le Président SPIELMANN précise le travail d’analyse
approfondi auquel se livre la CEDH
Dans une des premières affaires dont elle ait eu à connaître en
la matière, l’affaire Klass c. Allemagne, elle a rappelé que les
sociétés démocratiques se trouvaient menacées de nos jours par
des formes très complexes d’espionnage et par le terrorisme, de
sorte que l’État devait être capable, pour combattre
efficacement ces menaces, de surveiller en secret les éléments
subversifs opérant sur son territoire.
Mais, consciente du risque « de saper, voire de détruire, la
démocratie au motif de la défendre » que fait courir toute
mesure de surveillance secrète par les mesures de sécurité, la
Cour affirmait « que les États ne sauraient prendre, au nom de
la lutte contre l’espionnage et le terrorisme, n’importe quelle
mesure jugée par eux appropriée ».

DONNÉES BIOMÉTRIQUES, LIBERTÉS ET CONSERVATION DES DONNÉES

Par un arrêt de la Grande Chambre (CEDH, GC, 4 décembre 2008, S. et Marper c.
Royaume Uni), la Cour condamne cet Etat sur le fondement des articles 14 (principe
de non-discrimination) et 8 (protection de la vie privée).
Dans cet arrêt, la CEDH statuait sur la question de l’enregistrement de données
biométriques relatives à des condamnations dans des bases de données au RoyaumeUni : empreintes digitales et données génétiques. Le Royaume-Uni détient ainsi la
plus grande banque de données génétiques européennes. La cour prend soin de
relever qu’il « est aussi le seul Etat membre à autoriser expressément la
conservation systématique et illimitée à la fois des profils et des échantillons relatifs
aux personnes condamnées.» (§ 48).
La Cour souligne que :
la notion de « vie privée » est « une notion large, non susceptible
d’une définition exhaustive, qui recouvre l’intégrité physique et
morale de la personne (…) Elle peut donc englober de multiples

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

29

aspects de l’identité physique et sociale d’un individu.(…) Le
simple fait de mémoriser des données relatives à la vie privée
d’un individu constitue une ingérence au sens de l’article 8 » (§
67).

La Cour confirme sa jurisprudence Z. c. Finlande en faisant référence aux textes
spécifiques de protection des données personnelles et notamment la Convention 108.
La cour considère que les empreintes digitales (mais également des profils ADN et des
échantillons cellulaires) « constituent toutes des données à caractère personnel au sens de la
Convention sur la protection des données car elles se rapportent à des individus identifiés ou
identifiables ».
Elle en déduit que les empreintes digitales numérisées « constituent des données à caractère
personnel (…) et qu’elles contiennent certains traits externes d’identification, tout comme, par
exemple, des photographies ou des échantillons de voix. » Leur enregistrement constitue là
aussi une atteinte au droit à la vie privée.
La Cour considère que :
« la protection offerte par l’article 8 de la Convention serait
affaiblie de manière inacceptable si l’usage des techniques
scientifiques modernes dans le système de la justice pénale était
autorisé à n’importe quel prix et sans une mise en balance
attentive des avantages pouvant résulter d’un large recours à
ces techniques, d’une part, et des intérêts essentiels s’attachant
à la protection de la vie privée, d’autre part (…) Cour considère
que tout Etat qui revendique un rôle de pionnier dans l’évolution
de nouvelles technologies porte la responsabilité particulière de
trouver le juste équilibre en la matière» (§ 112).

En conclusion, la Cour estime que :
« le caractère général et indifférencié du pouvoir de
conservation des empreintes digitales, échantillons biologiques
et profils ADN des personnes soupçonnées d’avoir commis des
infractions mais non condamnées (…) ne traduit pas un juste
équilibre entre les intérêts publics et privés concurrents en jeu,
et que l’Etat défendeur a outrepassé toute marge d’appréciation
acceptable en la matière. Dès lors, la conservation litigieuse
s’analyse en une atteinte disproportionnée au droit des
requérants au respect de leur vie privée et ne peut passer pour
nécessaire dans une société démocratique» (§ 125).

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

30

Dans son commentaire, l’auteur du blog « Combat pour les droits de l’homme »37,
conclut en ces termes :
Cette décision est particulièrement intéressante au moment où
les Etats surenchérissent en créant des banques de données
biométriques de plus en plus importantes, et en mettant en place
dans le cadre du traité de Prüm un échange de ces données
désormais facilité.
Rappelons qu’en France, les profils ADN peuvent être conservés
pendant vingt-cinq ans après un acquittement ou l’abandon des
poursuites. Si le procureur de la République peut ordonner leur
suppression avant l’expiration de ce délai, «soit d’office soit sur
demande si la conservation n’est plus nécessaire à des fins
d’identification dans le cadre de poursuites pénales », force est
de constater que cette suppression est extrêmement rare : outre
le fait que la procédure ouverte aux personnes est peu connue,
la notion de nécessité de conservation à des fins d’identification
est conçue de manière très extensive.

Par ailleurs, cet arrêt est important car il sanctionne le risque de stigmatisation,
la dérive qui consiste à considérer tout citoyen comme un « suspect ».
Certains auteurs38 y voient une forme nouvelle de reconnaissance de la présomption
d’innocence et du droit de ne pas s’incriminer soi-même (non tenetur) affirmés par
l’article 6-2° de la Convention européenne des droits de l’homme (selon lequel « toute
personne accusée d’une infraction est présumée innocente jusqu’à ce que sa culpabilité ait été
légalement établie »). Leur analyse s’appuie sur le § 122 de l’arrêt
« Particulièrement préoccupant en l’occurrence est le risque de
stigmatisation, qui découle du fait que les personnes dans la
situation des requérants, qui n’ont été reconnus coupables
d’aucune infraction et sont en droit de bénéficier de la
présomption d’innocence, sont traitées de la même manière que
des condamnés. Il convient de ne pas perdre de vue à cet égard
que le droit de toute personne à être présumée innocente que
garantit la Convention comporte une règle générale en vertu de
laquelle on ne peut plus exprimer des soupçons sur l’innocence
d’un accusé une fois que celui-ci a été acquitté »

37

38

http://combatsdroitshomme.blog.lemonde.fr/2008/12/08/donnees-biometriques-et-libertes-cedh-gc-4-dec-2008-s-etmarper-c-royaume-uni-par-s-preuss-laussinotte/
Rocco Bellanova et Paul De Hert, « Le cas S. et Marper et les données personnelles : l’horloge de la stigmatisation stoppée
par un arrêt européen », Cultures & Conflits [En ligne], 76 | hiver 2009, mis en ligne le 03 mai 2011, consulté le 01 octobre
2016. URL : http://conflits.revues.org/17805 ; DOI : 10.4000/conflits.17805

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

31

Les auteurs concluent :
L’attention accordée à la dimension temporelle de la
conservation nous fait penser aux caractéristiques de l’horloge
du proverbe sicilien cité en exergue. L’horloge du Saint Office39
ne sonne jamais l’heure de la libération d’un individu : dès qu’on
entre dans le système, c’est à jamais. Par contre, l’horloge de
l’état de droit sonne toujours, et elle annonce soit la culpabilité
soit la libération. Dans le cas S. et Marper, la CEDH insiste sur les
incidences de la conservation des données, ce qui pourrait être
assimilable au mouvement de l’horloge, mais elle vise aussi à
établir des limites temporelles pour éviter les discriminations
(des alarmes qui font sonner l’horloge et permettent de libérer
les individus). Elle souligne donc que la conservation des données
personnelles pour une durée indéfinie (au moins pour les
innocents) équivaut à rendre l’horloge légale silencieuse et à la
placer hors des cadres d’une société démocratique. L’arrêt
étudié met en évidence l’impact des mesures et des technologies
de sécurité sur la vie privée, même quand elles paraissent opérer
en « stand-by » comme dans le cas d’une « simple » conservation
des données. À travers le raisonnement développé sur la
conservation et la stigmatisation, la CEDH non seulement se
démontre plus attentive à la protection des données, mais elle
paraît aussi identifier dans sa démarche une possibilité de
limiter les effets de la surveillance, aussi « soft » ou « smart »
soit-elle.

2°)

Rappel du droit européen
a) Rappel des principaux textes applicables

L’ARTICLE 8 DE LA CHARTE DES DROITS FONDAMENTAUX RELATIF À LA PROTECTION DES DONNÉES À
CARACTÈRE PERSONNEL

La CHARTE DES DROITS FONDAMENTAUX DE L'UNION EUROPÉENNE (ci-après la
« Charte » proclamée à Strasbourg le 12 décembre 2007 par le Parlement européen,
le Conseil et la Commission (JO C 303 du 14.12.2007, p. 1) reprend, en l'adaptant,
la Charte proclamée le 7 décembre 2000, et la remplace depuis le 1 er décembre 2009,
date d'entrée en vigueur du traité de Lisbonne.
En vertu de l'article 6, paragraphe 1, premier alinéa, du traité sur l'Union européenne,
la Charte proclamée en 2007 a la même valeur juridique que les traités.

39

Lu roggiu di lu Sant’Ufficiu nun cunzigna mai / L’horloge du Saint Office ne libère jamais

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

32

L’article 8 de la Charte dispose que :
« 1. Toute personne a droit à la protection des données à
caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins
déterminées et sur la base du consentement de la personne
concernée ou en vertu d'un autre fondement légitime prévu par
la loi. Toute personne a le droit d'accéder aux données collectées
la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité
indépendante ».

RECOMMANDATIONS ET AVIS DU G29

– Dans un avis de 2004, le G2940 insiste41 sur le fait que « l’intérêt croissant porté au
recours à des techniques d’identification biométriques impose que soit menée une analyse
extrêmement prudente quant à la légalité du traitement de telles données pour des besoins
d’identification. En effet, les données biométriques comportent, en tant que telles, de réels
risques pour les personnes concernées si ces données sont perdues ou utilisées
de manière détournée quant à leur finalité ».
– Dans une lettre adressée au Président du Conseil de l’Union européenne en date
du 30 novembre 2004, le G29 relève que
« Des résultats d'essais ont toutefois montré que les procédés
reposant sur des éléments biométriques ne garantissaient ni la
sécurité requise ni la commodité escomptée pour les
voyageurs, vu que le pourcentage d'acceptation erronée ou de
rejet erroné du détenteur du passeport par le système de
sécurité de reconnaissance semble élevé. Le groupe de travail
"Article 29" émet dès lors des réserves quant à l'utilisation de
procédés biométriques qui n'ont pas fait la preuve de leur
efficacité et, en particulier, l'utilisation obligatoire d'éléments
biométriques qui, telles les empreintes digitales, permettent une
identification de type "un à plusieurs" et un traçage des
individus ».

40

41

Les autorités administratives équivalentes à la CNIL dans les différents Etats-Membres de l’Union européenne sont regroupées dans un
groupe dit de l’article 29 (G29).
Avis 7/2004 sur l'insertion d'éléments biométriques dans les visas et titres de séjour en tenant compte de la création du système
Européen d'information sur les visas (VIS) 11.8.2004 Markt/11487/04/EN

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

33

– Dans son «Document de travail sur la biométrie42», le G29 a souligné que
« les progrès rapides des technologies biométriques et la
généralisation de leur application ces dernières années
nécessitent un examen minutieux sous l'angle de la protection
des données. Leur utilisation incontrôlée suscite des
inquiétudes en ce qui concerne la protection des libertés et des
droits fondamentaux des individus. Les données de ce type sont
d’une nature particulière parce qu'elles ont trait aux
caractéristiques comportementales et physiologiques d'une
personne et qu'elles peuvent permettre de l'identifier sans
ambiguïté ».

Dans son avis43 relatif aux visas mais pouvant servir de source d’inspiration pour les TES,
le G29 commence par rappeler cette évidence :
« Toutes les initiatives dans ce domaine sont susceptibles d’avoir
de fortes répercussions sur les droits fondamentaux des
personnes concernées (…). À ce titre, les décisions futures
portant sur la création et la mise en œuvre de ces nouveaux
systèmes d’informations européens devront être prises en
tenant dûment compte des principes de protection des données
consacrés par l’article 8 de la charte européenne des droits
fondamentaux, énoncés par la directive 95/46/CE et les lois
nationales en la matière ».

A la suite de ce rappel, le G29 précise que
« l’introduction d’éléments d’identification biométriques (…) et
les traitements de données à caractère personnel
correspondants doivent respecter un certain nombre de
principes ayant vocation à protéger les droits et libertés
fondamentaux des personnes, et particulièrement leurs droits au
regard du traitement de leurs données à caractère personnel.
Le respect de ces principes est d’autant plus essentiel quant au
traitement de données biométriques qui fournissent, par leur
nature même, des informations sur une personne précise, et ce
d’autant plus que certaines d’entre elles peuvent laisser des
traces dans la vie quotidienne des personnes, à l’insu desquelles
elles peuvent dès lors être collectées (empreintes digitales,
notamment) ».

42
43

JO L 281 du 23.11.1995, p. 31, http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_fr.htm
Avis 7/2004 sur l'insertion d'éléments biométriques dans les visas et titres de séjour en tenant compte de la création du système
Européen d'information sur les visas (VIS) 11.8.2004 Markt/11487/04/EN

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

34

Par ailleurs, le G29 rappelle le principe de spécialité qui s’impose au législateur européen,
et, par voie de conséquence, au législateur national. En effet, selon l’article 6 de la directive
95/46/CE,
« les données à caractère personnel doivent n’être collectées
que pour des finalités déterminées, explicites et légitimes, et ne
pas être traitées ultérieurement de manière incompatible avec
ces finalités. (…) »

Pour le G29, « le respect de ces principes rend tout d’abord indispensable une définition claire de la
finalité pour laquelle les données biométriques sont collectées et traitées. La définition de cette finalité
claire et explicite permettrait alors d’apprécier la légitimité de l’introduction de données
biométriques, en rendant possible l’appréciation de la proportionnalité de la collecte et du traitement ultérieur
de ces données par rapport à cette finalité d’origine ».
Au final, le président du G29 synthétise la position du groupe sous la forme de propositions
concrètes insérées dans une lettre en date du 18 août 2004 adressée à différentes autorités de
l’Union européenne.
«1. Le groupe de travail s’oppose fermement au stockage des
données biométriques et autres, de tous les titulaires d’un
passeport au sein de l’UE dans une base de données centralisée
des passeports et documents de voyages européens.
2. L’objectif de l'insertion d’éléments biométriques dans les
passeports et documents de voyage, conformément au
règlement, doit être explicite, approprié, proportionné et clair.
3. Les États membres doivent garantir d'une manière
techniquement appropriée que les passeports contiennent un
support de stockage doté d'une capacité suffisante et qui est à
même de préserver l'intégrité, l'authenticité et la confidentialité
des données stockées.
4. Le règlement doit définir qui peut avoir accès au support de
stockage et dans quel but (lire, stocker, modifier ou effacer des
données) (…) »

C’est en tenant compte de ces recommandations que le Règlement 2252/2004 a été
adopté.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

35

LE RÈGLEMENT 2252/2004 ÉTABLISSANT DES NORMES POUR LES ÉLÉMENTS DE SÉCURITÉ ET LES
ÉLÉMENTS BIOMÉTRIQUES INTÉGRÉS DANS LES PASSEPORTS ET LES DOCUMENTS DE VOYAGE DÉLIVRÉS
PAR LES ÉTATS MEMBRES

L’exposé des motifs du Règlement 2252/2004 reprend la plupart des
recommandations du G29 :
-

Le principe de la liberté d’aller et de venir reste la règle (§1),

-

Le but du Règlement 2252/2004 est « la protection du passeport contre une
utilisation frauduleuse » (§3), c’est au regard de ce but que devra
s’apprécier le principe de proportionnalité ;

-

Dès lors le Règlement 2252/2004 « se limite à l’harmonisation des éléments de
sécurité » (§ 4). Autrement dit, il n’impose la création d’aucune base de
données centralisant les informations biométriques,

-

Le Règlement 2252/2004 exige des précautions pour éviter la divulgation
de données biométriques (§ 7), question difficile en présence d’une « puce
électronique » dite RFID permettant une lecture à distance du contenu du
passeport44,

-

Le Règlement 2252/2004 insiste –encore une fois- au § 9 sur le respect du
principe de proportionnalité.

L’article 1er § 2 du Règlement 2252/2004 précise que les « passeports (…) comportent un
support de stockage qui contient une photo faciale ». C’est la seule donnée biométrique
commune à tous les Etats-membres. Par ailleurs, le Règlement prévoit que chaque Etat
membre ajoute des empreintes digitales enregistrées « dans les formats interopérables ».
Le Règlement 2252/2004, en tant que tel, ne prévoit ni nombre minimal ni nombre
maximal d’empreintes digitales.
Toutefois, la Commission européenne a proposé de limiter « à deux images
d’empreintes digitales du titulaire prises à plat » (Avis du G29 n° 7/2004).

44

CNIL, Rapport 2007, p. 27. « L’INVASION DES PUCES - Les puces RF ID (Radio Frequency Identification) permettent d’identifier et de localiser des
objets ou des personnes. Elles sont composées d’une micropuce (également dénommée étiquette ou tag) et d’une antenne qui dialoguent par ondes radio
avec un lecteur, sur des distances pouvant aller de quelques centimètres à plusieurs dizaines de mètres. (…)Cette technologie soulève de nouvelles
problématiques en matière de protection des données personnelles au premier rang desquelles figure leur (quasi) invisibilité. Comment garantir le respect
de la loi en présence de technologies invisibles ? En outre, n’importe qui, dès lors qu’il est muni du lecteur adéquat, peut lire le contenu d’une puce RFID.
Et une puce peut comporter des données personnelles (ou qui peuvent devenir personnelles par interconnexion à une base) permettant ainsi d’identifier à
distance son porteur. Si tous ces objets journaliers (carte de transport, vêtement, téléphone, voiture, bracelet...) sont ainsi « tagués », il sera possible de
pister les individus dans tous les actes de la vie quotidienne ».

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

36

L’élément le plus important du texte réside dans l’usage du verbe « comporter ». En effet,
cela signifie sans équivoque que les données biométriques ne peuvent qu’être
incorporées au passeport lui-même afin d’éviter toute altération de ce dernier.
En l’état de la technique et compte tenu de la faible fiabilité des éléments biométriques,
le Règlement 2252/2004 ne prévoit, à dessein, aucune base de données visant
à centraliser ces informations.
Cette analyse est encore corroborée par l’article 4 § 3 qui dispose que :
« aux fins du présent règlement, les éléments biométriques des
passeports et des documents de voyage ne sont utilisés que pour
vérifier :
a) l’authenticité du document ;
b) l’identité du titulaire grâce à des éléments comparables
directement disponibles lorsque la loi exige la production du
passeport ou d’autres documents de voyage ».

Enfin, il y a lieu de prendre connaissance du rapport de la Commission des libertés civiles,
de la justice et des affaires intérieures du Parlement européen en date du 25 octobre 2004
qui concluait que :
« la création d’une base de données centralisée violerait les
principes de finalité et de proportionnalité. Elle accroîtrait le
risque d’abus et de dérapages. Enfin, elle augmenterait
également le risque d’utilisation des éléments d’identification
biométrique comme «clés d’accès» à diverses bases de données,
mettant ainsi en connexion différents fichiers».

b) Application jurisprudentielle

A travers l’annulation par la CJUE de la Directive 2006/24/CE du 15 mars 2006 sur la
conservation de données générées ou traitées dans le cadre de la fourniture de services de
communications électroniques accessibles au public ou de réseaux publics de
communications, et modifiant la directive 2002/58/CE, nous allons vérifier que la CJUE
fait prévaloir les libertés individuelles découlant de la Charte sur les mesures restrictives
prises notamment pour assurer la sécurité et combattre le terrorisme.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

37

La CJUE45 avait été saisie d’une question préjudicielle par la High Court (Irlande) et par le
Verfassungsgerichtshof (Autriche), qui devait trancher un litige entre un utilisateur de
téléphone et un opérateur de téléphonie, notamment en ce qui concerne la conservation
des données générées ou traitées dans le cadre de la fourniture de services de
communications électroniques accessibles au public ou de réseaux publics de
communications.
Conformément aux conclusions de l'avocat général Cruz Villalon, la formation de
jugement invalide en effet la directive comme incompatible avec les droits
fondamentaux tels que garantis par les articles 7, 8 et 52, paragraphe 1 de la
Charte des droits fondamentaux.
La Cour constate en particulier que les modalités de conservation des données imposées
par la directive et les mesures nationales de transposition, adoptées à la suite des attentats
de 2004 à Madrid et de 2005 à Londres, constituent une ingérence de grande
ampleur et « particulièrement grave » dans le droit fondamental à la
protection de la vie privée, qui, même si elle n'affecte pas la substance du droit et
poursuit un objectif d'intérêt général, est incompatible avec le principe de
proportionnalité dans la mesure où une telle ingérence soit précisément encadrée par des
dispositions permettant de garantir qu'elle est effectivement limitée au strict nécessaire.
Compte tenu de l’importance de cette décision, il n’est pas inutile d’en retenir les
principaux développements :
37 Force est de constater que l’ingérence que comporte la
directive 2006/24 dans les droits fondamentaux consacrés aux
articles 7 et 8 de la Charte s’avère, ainsi que l’a également relevé
M. l’avocat général notamment aux points 77 et 80 de ses
conclusions, d’une vaste ampleur et qu’elle doit être considérée
comme particulièrement grave.
Sur la justification de l’ingérence dans les droits garantis par les
articles 7 et 8 de la Charte
38 Conformément à l’article 52, paragraphe 1, de la Charte,
toute limitation de l’exercice des droits et des libertés consacrés
par celle-ci doit être prévue par la loi, respecter leur contenu
essentiel et, dans le -respect du principe de proportionnalité,
des limitations ne peuvent être apportées à ces droits et libertés
que si elles sont nécessaires et répondent effectivement à des
objectifs d’intérêt général reconnus par l’Union ou au besoin de
protection des droits et libertés d’autrui.
(…)

45

CJUE, gde ch., 8 avr. 2014, aff. jtes C-293/12 et C-594/12, Digital Rights Ireland Ltd et Kärntner Landesregierung et a.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

38

42 Il ressort de la jurisprudence de la Cour que constitue un
objectif d’intérêt général de l’Union la lutte contre le terrorisme
international en vue du maintien de la paix et de la sécurité
internationales (voir, en ce sens, arrêts Kadi et Al Barakaat
International Foundation/Conseil et Commission, C-402/05 P et
C-415/05 P, EU:C:2008:461, point 363, ainsi que AlAqsa/Conseil, C-539/10 P et C-550/10 P, EU:C:2012:711,
point 130).
Il en va de même de la lutte contre la criminalité grave afin de
garantir la sécurité publique (voir, en ce sens, arrêt Tsakouridis,
C-145/09, EU:C:2010:708, points 46 et 47).
Par ailleurs, il convient de relever, à cet égard, que l’article 6 de
la Charte énonce le droit de toute personne non seulement à la
liberté, mais également à la sûreté.
(…)
44 Force est donc de constater que la conservation des
données aux fins de permettre aux autorités nationales
compétentes de disposer d’un accès éventuel à celles-ci, telle
qu’imposée par la directive 2006/24, répond effectivement à un
objectif d’intérêt général.
45 Dans ces conditions, il y a lieu de vérifier la
proportionnalité de l’ingérence constatée.
46 À cet égard, il convient de rappeler que le principe de
proportionnalité exige, selon une jurisprudence constante de la
Cour, que les actes des institutions de l’Union soient aptes à
réaliser les objectifs légitimes poursuivis par la réglementation
en cause et ne dépassent pas les limites de ce qui est approprié
et nécessaire à la réalisation de ces objectifs (voir, en ce sens,
arrêts Afton Chemical, C-343/09, EU:C:2010:419, point 45;
Volker und Markus Schecke et Eifert, EU:C:2010:662, point 74;
Nelson e.a., C-581/10 et C-629/10, EU:C:2012:657, point 71; Sky
Österreich, C-283/11, EU:C:2013:28, point 50, ainsi que Schaible,
C-101/12, EU:C:2013:661, point 29).
(…)
48 En l’espèce, compte tenu, d’une part, du rôle important
que joue la protection des données à caractère personnel au
regard du droit fondamental au respect de la vie privée et,
d’autre part, de l’ampleur et de la gravité de l’ingérence dans
ce droit que comporte la directive 2006/24, le pouvoir
d’appréciation du législateur de l’Union s’avère réduit de sorte
qu’il convient de procéder à un contrôle strict.
51 En ce qui concerne le caractère nécessaire de la
conservation des données imposée par la directive 2006/24, il
convient de constater que, certes, la lutte contre la criminalité
grave, notamment contre la criminalité organisée et le

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

39

terrorisme, est d’une importance primordiale pour garantir la
sécurité publique et son efficacité peut dépendre dans une large
mesure de l’utilisation des techniques modernes d’enquête.
Toutefois, un tel objectif d’intérêt général, pour fondamental
qu’il soit, ne saurait à lui seul justifier qu’une mesure de
conservation telle que celle instaurée par la directive 2006/24
soit considérée comme nécessaire aux fins de ladite lutte.
52 S’agissant du droit au respect de la vie privée, la
protection de ce droit fondamental exige, selon la jurisprudence
constante de la Cour, en tout état de cause, que les dérogations
à la protection des données à caractère personnel et les
limitations de celle-ci doivent s’opérer dans les limites du strict
nécessaire (arrêt IPI, C-473/12, EU:C:2013:715, point 39 et
jurisprudence citée).
53 À cet égard, il convient de rappeler que la protection des
données à caractère personnel, résultant de l’obligation
explicite prévue à l’article 8, paragraphe 1, de la Charte, revêt
une importance particulière pour le droit au respect de la vie
privée consacré à l’article 7 de celle-ci.
54 Ainsi, la réglementation de l’Union en cause doit prévoir
des règles claires et précises régissant la portée et l’application
de la mesure en cause et imposant un minimum d’exigences de
sorte que les personnes dont les données ont été conservées
disposent de garanties suffisantes permettant de protéger
efficacement leurs données à caractère personnel contre les
risques d’abus ainsi que contre tout accès et toute utilisation
illicites de ces données (voir, par analogie, en ce qui concerne
l’article 8 de la CEDH, arrêts Cour EDH, Liberty et autres c.
Royaume-Uni, no 58243/00, § 62 et 63, du 1er juillet 2008; Rotaru
c. Roumanie, précité, § 57 à 59, ainsi que S et Marper c.
Royaume-Uni, précité, § 99).
55 La nécessité de disposer de telles garanties est d’autant
plus importante lorsque, comme le prévoit la directive 2006/24,
les données à caractère personnel sont soumises à un traitement
automatique et qu’il existe un risque important d’accès illicite
à ces données (voir, par analogie, en ce qui concerne l’article 8
de la CEDH, arrêts Cour EDH, S et Marper c. Royaume-Uni,
précité, § 103, ainsi que M. K. c. France, no 19522/09, § 35, du
18 avril 2013).
56 Quant à la question de savoir si l’ingérence que comporte
la directive 2006/24 est limitée au strict nécessaire, il convient
de relever que cette directive impose, conformément à son
article 3 lu en combinaison avec son article 5, paragraphe 1, la
conservation de toutes les données relatives au trafic
concernant la téléphonie fixe, la téléphonie mobile, l’accès à
l’internet, le courrier électronique par Internet ainsi que la
téléphonie par l’internet. Ainsi, elle vise tous les moyens de

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

40

communication électronique dont l’utilisation est très répandue
et d’une importance croissante dans la vie quotidienne de
chacun. En outre, conformément à son article 3, ladite directive
couvre tous les abonnés et utilisateurs inscrits. Elle comporte
donc une ingérence dans les droits fondamentaux de la quasitotalité de la population européenne.
58 En effet, d’une part, la directive 2006/24 concerne de
manière globale l’ensemble des personnes faisant usage de
services de communications électroniques, sans toutefois que les
personnes dont les données sont conservées se trouvent, même
indirectement, dans une situation susceptible de donner lieu à
des poursuites pénales. Elle s’applique donc même à des
personnes pour lesquelles il n’existe aucun indice de nature à
laisser croire que leur comportement puisse avoir un lien,
même indirect ou lointain, avec des infractions graves. En
outre, elle ne prévoit aucune exception, de sorte qu’elle
s’applique même à des personnes dont les communications sont
soumises, selon les règles du droit national, au secret
professionnel.
59 D’autre part, tout en visant à contribuer à la lutte contre
la criminalité grave, ladite directive ne requiert aucune relation
entre les données dont la conservation est prévue et une
menace pour la sécurité publique et, notamment, elle n’est pas
limitée à une conservation portant soit sur des données
afférentes à une période temporelle et/ou une zone
géographique déterminée et/ou sur un cercle de personnes
données susceptibles d’être mêlées d’une manière ou d’une
autre à une infraction grave, soit sur des personnes qui
pourraient, pour d’autres motifs, contribuer, par la conservation
de leurs données, à la prévention, à la détection ou à la poursuite
d’infractions graves.
60 En deuxième lieu, à cette absence générale de limites
s’ajoute le fait que la directive 2006/24 ne prévoit aucun critère
objectif permettant de délimiter l’accès des autorités
nationales compétentes aux données et leur utilisation
ultérieure à des fins de prévention, de détection ou de poursuites
pénales concernant des infractions pouvant, au regard de
l’ampleur et de la gravité de l’ingérence dans les droits
fondamentaux consacrés aux articles 7 et 8 de la Charte, être
considérées comme suffisamment graves pour justifier une telle
ingérence. Au contraire, la directive 2006/24 se borne à
renvoyer, à son article 1er, paragraphe 1, de manière générale
aux infractions graves telles qu’elles sont définies par chaque
État membre dans son droit interne.
(…
63 En troisième lieu, s’agissant de la durée de conservation
des données, la directive 2006/24 impose, à son article 6, la
conservation de celles-ci pendant une période d’au moins six
mois sans que soit opérée une quelconque distinction entre les

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

41

catégories de données prévues à l’article 5 de cette directive en
fonction de leur utilité éventuelle aux fins de l’objectif poursuivi
ou selon les personnes concernées.
64 Cette durée se situe, en outre, entre six mois au minimum
et vingt-quatre mois au maximum, sans qu’il soit précisé que la
détermination de la durée de conservation doit être fondée sur
des critères objectifs afin de garantir que celle-ci est limitée au
strict nécessaire.
65 Il résulte de ce qui précède que la directive 2006/24 ne
prévoit pas de règles claires et précises régissant la portée de
l’ingérence dans les droits fondamentaux consacrés aux
articles 7 et 8 de la Charte. Force est donc de constater que cette
directive comporte une ingérence dans ces droits
fondamentaux d’une vaste ampleur et d’une gravité
particulière dans l’ordre juridique de l’Union sans qu’une telle
ingérence soit précisément encadrée par des dispositions
permettant de garantir qu’elle est effectivement limitée au
strict nécessaire.
(…)
69 Eu égard à l’ensemble des considérations qui précèdent, il
convient de considérer que, en adoptant la directive 2006/24, le
législateur de l’Union a excédé les limites qu’impose le respect
du principe de proportionnalité au regard des articles 7, 8 et 52,
paragraphe 1, de la Charte.
(…)
71 En conséquence, il y a lieu de répondre à la deuxième
question, sous b) à d), dans l’affaire C-293/12 et à la première
question dans l’affaire C-594/12 que la directive 2006/24 est
invalide.

Il ne faut pas croire que cette décision soit isolée. Elle s’inscrit dans un courant ancien et
profond comme le signale deux auteurs :
« Depuis l'arrêt Stauderde 1969, la Cour de justice de l'Union
Européenne n'a cessé d'affirmer l'importance de la protection
des droits fondamentaux au sein de l'ordre juridique de l'Union.
Le Traité de Lisbonne a renforcé la force juridique de ces droits
en incorporant la Charte des droits fondamentaux au sein du
Traité sur l'Union Européenne, consacrant ainsi leur nature
contraignante et intégrée au droit primaire.
Dans l'arrêt Digital Rights Ireland et Seitlinger e.a. rendu au
printemps 2014, la Cour de justice a invalidé la directive
2006/24 prévoyant la rétention des données personnelles par
les opérateurs de communications électroniques dans le cadre
de la lutte contre le terrorisme au regard de la Charte.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

42

En jugeant la directive non conforme aux droits au respect de la
vie privée et à la protection des données personnelles garantis
aux articles 7 et 8 de la Charte, la Cour a réaffirmé le contrôle
qu'elle exerce sur les actes de l'Union, ainsi que la vigueur de la
Charte des droits fondamentaux »46.

Et si cela n’était pas assez clair,
« - La leçon continue... Après PNR47, Digital Rights48, Google
Spain49 et Ryneš50, voici Schrems51. Au fil des arrêts, la Cour de
justice de l'Union européenne resserre l'étau de la protection des
données personnelles et réaffirme son rôle majeur dans la
recherche d'équilibre entre respect de la vie privée et liberté de
circulation des données »52.

Point remarquable, la CJUE n’hésite pas à censurer la décision d’adéquation de la
Commission européenne à l’égard du SAFE HARBOUR53 malgré les enjeux économiques
importants.
Ainsi, logique avec elle-même, la CJUE érige les principes fondamentaux de la Charte en
élément particulièrement protecteur des droits des citoyens européens y compris face à la
tentation des Etats d’une surveillance toute azimut et de certaines entreprises
multinationales de s’extraire de toute contrainte protectrice des droits individuels.

46

47
48

49

50

51

52
53

Allan Rosas et Elise Goebel, Le contrôle par la CJUE des actes de l'Union relatifs au traitement des données au regard de la Charte des
Droits, Revues des Juristes de Sciences Po n° 10, Mars 2015, 115
CJUE, 30 mai 2006, aff. C-317/04 et C-318/04, Parlement européen c/ Conseil de l'Union européenne : JurisData n° 2006-400092
CJUE, gde ch., 8 avr. 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland : JurisData n° 2014-008774 ; LPA 2014, n° 197, p. 16, J.-B.
Duclercq ; Gaz. Pal. 2014, n° 107, p. 3, C. Kleitz ; RLDI mai 2014, n° 3426, E. Derieux et n° 3464, p. 44, L. Costes ; AJDA 2014, p. 1147,
M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014, p. 1355, C. Castets-Renard
CJUE, 13 mai 2014, aff. C-131/12, Google Spain, Google Inc. c/ AEPD et Mario Costeja González : JurisData n° 2014-009597 ; Comm. com.
électr. 2014, étude 13, A. Debet ; JCP E 2014, act. 374 ; JCP G 2014, 629, F. Picod ; AJDA 2014, p. 1147, chron. M. Aubert, E. Broussy et
H. Cassagnabère ; JCP E 2014, n° 4, 1326, M. Griguer ; JCP E 2014, n° 24, 1327, note G. Busseuil ; Gaz. Pal. 2014, n° 170, p. 3, C. Kleitz ;
RLDI juin 2014, n° 3500, p. 51, L. Costes ; D. 2014, p. 1476, V.-L. Bénabou et J. Rochfeld ; D. 2014, p. 1481, N. Martial-Braz et J. Rochfeld ;
JCP G 2014, 768, L. Marino ; RLDI juill. 2014, n° 3535, p. 68, C. Castets-Renard ; RLDI juill. 2014, n° 3536, p. 76, D. Forest ; RLDI juill. 2014,
n° 3537, p. 87, A. Casanova ; LPA 2014, n° 183, p. 9, G. Demalafosse ; RLDI nov. 2014, n° 3609, R. Perray et P. Salen.
CJUE, 5e ch., 11 déc. 2014, aff. C-212/13, František Ryneš c/ Úřad pro ochranu osobních údajú, concl. N. Jääskinen : JurisData n° 2014032321 ; Comm. com. électr. 2015, comm. 15, A. Debet ; Europe 2015, comm. 46, F. Gazin ; RLDI janv. 2015, n° 3655, L. Costes ; RLDI
2015, R. Perray et J. Uzan-Naulin à paraître.
CJUE, gde ch., 6 oct. 2015, aff. C-362/14, Schrems c/ Data Protection Commissioner : Comm. com. électr. 2015, comm. 94, A. Debet ; JCP
G 2015, 1107, D. Berlin ; JCP E 2015, act. 778 ; JCP G 2015, 1258, A. Debet ; Gaz. Pal. 2015, n° 302, p. 7, J.-L. Sauron ; RLDI déc. 2014,
n° 110, p. 14, Y. Padova
Romain PERRAY et Julie UZAN-NAULIN, Arrêt Schrems : Cour(s) magistral(e) de droit à la protection des données personnelles,
Communication Commerce électronique n° 12, Décembre 2015, étude 21
https://www.cnil.fr/sites/default/files/typo/document/CNIL-transferts-SAFE_HARBOR.pdf - « Qu’est-ce que le Safe Harbor ? Il s'agit
d'un ensemble de principes de protection des données personnelles publié par le Département du Commerce américain, auquel des
entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance
de l'Union européenne. Ces principes, négociés entre les autorités américaines et la Commission européenne en 2001, sont
essentiellement basés sur ceux de la Directive 95/46 du 24 octobre 1995 (information des personnes, possibilité accordée à la personne
concernée de s'opposer à un transfert ou à une utilisation des données pour des finalités différentes, consentement explicite pour les
données sensibles, droit d'accès et de rectification, sécurité des données) »

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

3°)

43

Rappel du droit français
a) Rappel des principaux textes

DÉCLARATION DES DROITS DE L’HOMME ET DU CITOYEN

Dans sa décision n° DC 2012-652 du 22 mars 2012 concernant la loi relative à la
protection de l’identité, le Conseil constitutionnel appuie son raisonnement sur les
articles 2 et 9 de la Déclaration des droits de l’homme et du citoyen de 1789 qui
rappellent comme « principes particulièrement nécessaires à notre temps » :
Article 2
Le but de toute association politique est la conservation des
droits naturels et imprescriptibles de l'homme. Ces droits sont la
liberté, la propriété, la sûreté, et la résistance à l'oppression.
Article 9
Tout homme étant présumé innocent jusqu'à ce qu'il ait été
déclaré coupable, s'il est jugé indispensable de l'arrêter, toute
rigueur qui ne serait pas nécessaire pour s'assurer de sa
personne doit être sévèrement réprimée par la loi.

Dans sa décision n° DC 99-416 du 23 juillet 1999, le Conseil constitutionnel a
considéré que la liberté proclamée à l’article 2 « implique le respect de la vie privée ».
Tout atteinte au principe à valeur constitutionnelle du respect de la vie privée ne peut
faire l’objet que d’une loi et ne peut pas entrer dans le domaine réglementaire à peine
de valider l’arbitraire.
En effet, il est plus facile de faire évoluer un texte réglementaire qu’un
texte législatif.
De même, le contrôle d’un texte législatif existe a priori avant même sa promulgation
par l’existence d’un débat contradictoire au Parlement et le magistère constitutionnel
exercé par le Conseil constitutionnel.

LE CARACTÈRE SUPRA-LÉGISLATIF DES DISPOSITIONS DE LA LOI « INFORMATIQUE ET LIBERTÉS »,

Dans la décision n° 97-389 DC du 22 avril 1997, le Conseil constitutionnel intègre
des règles dépourvues de valeurs constitutionnelles comme normes de référence, en
tant qu'elles représentent une garantie légale du respect d'un principe constitutionnel.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

44

Dépourvus de valeur constitutionnelle, les principes posés par la législation, relatifs à
l'informatique et aux libertés, occupent une place à part dans la hiérarchie des normes,
ils se situent, de fait, à un rang supra-législatif, car toute disposition législative
créant un fichier informatique doit les respecter sauf à violer le principe
constitutionnel de la liberté individuelle.
Cette affirmation est d’autant plus vraie en présence d’un texte réglementaire qui
tente de déroger ni plus ni moins à l’article 1er de la loi « Informatique et Libertés »
lequel dispose que :
« L’informatique doit être au service de chaque citoyen. Son
développement doit s’opérer dans le cadre de la coopération
internationale. »
« Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits
de l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques. »

Ce faisant, la CNIL fait écho à l’avis n° 3/2005 du G29 lequel concluait en ces termes :
« Avant d’intégrer des éléments biométriques dans les passeports, autres documents de voyage ou
cartes d’identité, un débat approfondi au sein de la société est nécessaire ».
Quel lieu, autre que le Parlement, est-il mieux approprié pour
approfondir le débat ?

b) Application jurisprudentielle et constitutionnelle

Dans sa décision n°DC 97-389 du 22 avril 1997, le Conseil constitutionnel a considéré
que « le fichier d’empreintes digitales des demandeurs du statut de réfugié » était contraire
à la Constitution (§ 27) notamment en raison « de la possibilité donnée à des agents des services
du ministère de l’intérieur et de la gendarmerie nationale d'accéder aux données du fichier
informatisé des empreintes digitales des demandeurs du statut de réfugié créé à l'office français
de protection des réfugiés et apatrides prive d'une garantie légale l'exigence de valeur constitutionnelle
posée par le Préambule de la Constitution de 1946 ».
Dans sa décision n° DC 99-416 du 23 juillet 1999 (§ 45), le Conseil constitutionnel a
reconnu une valeur constitutionnelle au respect de la vie privée par référence à
l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789.
Le Conseil d’Etat retiendra l’analyse subtile résultant de la décision n° DC 2012-652 du
22 mars 2012 concernant la loi relative à la protection de l’identité dans la détermination
du caractère proportionné ou non de l’atteinte au respect de la vie privée.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

45

Dans son appréciation, le Conseil constitutionnel procède en tenant compte de quatre
arguments54 :
– En premier lieu, la taille du fichier envisagé était sans
précédent. Il devait réunir des données concernant 45 à 60
millions de personnes (pour 6,5 millions de personnes dans le
fichier TES utilisé pour les passeports). La création d’une base
centralisée de données biométriques d’une telle ampleur
comportait des risques importants et impliquait des sécurités
techniques complexes et supplémentaires. En effet, un fichier est
d’autant plus vulnérable, convoité et susceptible d’utilisations
multiples qu’il est de grande dimension, qu’il est relié à des
milliers de points d’accès et de consultation, et qu’il contient
des informations très sensibles comme des données
biométriques.

 L’ensemble des éléments constitutifs de cet argument
peut être repris mot à mot dans le cadre du Décret n°
2016-1460.
En deuxième lieu, les données biométriques enregistrées dans le
fichier présentent un caractère particulièrement sensible. C’est
ce que soulignait la note d’observations du 25 octobre 2011 de
la CNIL : « La Commission rappelle que les données
biométriques ne sont pas des données à caractère personnel
"comme les autres". Elles présentent en effet la particularité de
permettre à tout moment l’identification de la personne
concernée sur la base d’une réalité biologique qui lui est
propre, permanente dans le temps et dont elle ne peut
s’affranchir. À la différence de toute autre donnée à caractère
personnel, la donnée biométrique n’est donc pas attribuée par
un tiers ou choisie par la personne : elle est produite par le corps
lui-même et le désigne ou le représente, lui et nul autre, de
façon immuable. Elle appartient donc à la personne qui l’a
générée et tout détournement ou mauvais usage de cette
donnée fait alors peser un risque majeur sur l’identité de celleci. »
Le Conseil a quant à lui reconnu la particulière sensibilité de ces
données « susceptibles d’être rapprochées de traces physiques
laissées involontairement par la personne ou collectées à son
insu » (cons. 10).

54

Sources : Commentaire de la décision disponible sur le site du Conseil constitutionnel

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

46

 Là encore, cet argument se retrouve à l’identique dans le
cadre du Décret n°2016-1460.
– En troisième lieu, les caractéristiques techniques du fichier
rendaient possible l’identification d’une personne à partir des
empreintes digitales. C’est la conséquence du choix du « lien fort
». La constitution d’un tel fichier pour atteindre l’objectif fixé par
la loi de lutte contre l’usurpation d’identité ne s’imposait pas :
Des techniques sans fichier permettent d’atteindre cet objectif,
avec des cartes à puce biométrique. S’il est fait le choix de
constituer un fichier, des techniques, notamment celle du « lien
faible », permettent d’écarter les risques d’autres utilisations.
C’est ce qui avait conduit la CNIL à indiquer que « la comparaison
entre la donnée biométrique enregistrée dans le composant et
l’empreinte lue en direct sur un lecteur pourrait se faire dans la
carte elle-même. La mise en oeuvre de cette technique, dite
"match on card", serait susceptible d’apporter une garantie
supplémentaire à la protection des données à caractère
personnel, en évitant toute possibilité de copie externe (…).
« En ce qui concerne la proportionnalité

En ce qui concerne cet argument, le Gouvernement met en exergue une double différence :
-

d’une part, l’article 2 II du Décret n° 2016 -1460 précise expressément que « Le traitement
ne comporte pas de dispositif de recherche permettant l’identification à partir de l’image numérisée
du visage ou de l’image numérisée des empreintes digitales enregistrées dans ce traitement. » et

-

d’autre part, il existe une « impossibilité technique» de procéder à une identification d’une
personne à partir d’une photographie ou d’une empreinte digitale. Le CNNUM relève
que « l’architecture de l’application devrait être ni plus ni moins que rebâtie pour le permettre ».

Mais cette argumentation ne résiste pas à un examen attentif :
-

En effet, l’interdiction de procéder à une identification à partir des données biométriques
résulte d’un simple décret. Dès lors, il sera possible de la lever par un autre décret – futil pris en Conseil d’Etat, sans que la représentation nationale n’ait son mot à dire.

-

Par ailleurs, l’impossibilité technique n’est que relative. En effet, à partir du moment où
les données biométriques existent dans un compartiment d’un fichier centralisé, il est tout
à fait possible de reconstruire l’architecture globale pour mettre en place cette procédure
d’identification. Ce sera peut-être long, compliqué et couteux mais c’est réalisable,
surtout si l’Etat de droit est remplacé par un état de fait.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

47

Dans son rapport, Monsieur le sénateur LECERF relevait déjà que
La création d'une base de données biométriques reliée à une
base de données d'identité pour assurer l'unicité de la délivrance
et du renouvellement des titres d'identité exige des précautions
importantes. Les fonctions d'identification d'un tel fichier
permettent l'utilisation des données pour d'autres fins que
celle pour laquelle elles ont été collectées.
Si le choix se porte vers un système de bases de données qui ne
permet pas de retrouver l'identité d'un individu à partir
d'empreintes digitales, l'encadrement de l'utilisation d'un tel
fichier pose peu de difficultés. L'architecture du fichier limite des
utilisations abusives ou illégales. C'est particulièrement le cas du
modèle dit à « lien faible » dont la conception rend impossible le
rétablissement de liens en clair entre les données d'identité et les
données biométriques. Ce choix est irrévocable.
En revanche, le modèle avec un lien cryptographique à sens
unique de l'identité vers la biométrie laisse ouverte la
possibilité de rétablir des liens en clair et, par voie de
conséquence, d'utiliser le fichier à d'autres fins. Un arbitrage
entre ces deux modèles doit prendre en compte cet effet
cliquet.

Faut-il rappeler que le fichier des étrangers avait été établi par le IIIème République
finissante55 pour le plus grand intérêt du Commissariat à la Question Juive mis en place
par le « gouvernement de Vichy » et qui le fit facilement muter en fichier des Juifs (dit
fichier TULARD, du nom de ce haut fonctionnaire diligent qui ne fut jamais inquiété
après-guerre).

55

« L’encadrement bureaucratisé du séjour des étrangers, 1931-1940 : Avec les conséquences de la crise économique,
l’amplification des flux migratoires et l’arrivée de nouvelles vagues de réfugiés dès le début des années 1930, le service central des
cartes d’identité des étrangers doit faire face à un volume de dossiers qui dépasse les moyens techniques et les effectifs en charge
de ces services. La modernisation progressive de cette structure aboutit, en 1934, à la création d’un Fichier central installé sur
plusieurs étages de la direction de la Sûreté. Dans les années 1930, près de 3 millions de dossiers sont administrés simultanément
par le service central des cartes d’identité et le volume des demandes, dans les préfectures et au ministère de l’Intérieur, conduit
à une gestion de plus en plus massive, et donc parfois arbitraire, des demandes de cartes et de renouvellement.
(…) L’entreprise policière d’enregistrement des étrangers en France aboutit à la fin des années 1930 à l’élaboration d’une
armature apparemment puissante de services centraux et de bureaux périphériques qui assurent un maillage du territoire. Mais
ce système fait face au volume croissant des demandes et, en 1939, la direction des étrangers du ministère de l’Intérieur doit
assumer la gestion de 4.000.000 de dossiers et 7.000.000 de fiches.
La négociation en face-à-face, et la dimension aléatoire ou inégalitaire qu’elle implique, suivant la condition du demandeur, son
apparence, sa maîtrise du français, le bon-vouloir des agents, transforme les demandes de cartes en une entreprise marquée par
l’incertitude et, parfois, par une attente indéfinie. » Ilsen About, membre associé du Centre Georg Simmel, EHESS/CNRS
http://www.histoire-immigration.fr/des-dossiers-thematiques-sur-l-histoire-de-l-immigration/enregistrer-et-identifier-lesetrangers-en-france-1880-1940

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

48

Dès lors, l’argument retenu en 2012 par le Conseil constitutionnel loin d’avoir perdu de
sa force doit être pris en compte avec une plus grande rigueur compte tenu du contexte
politique actuel.
– En quatrième lieu, le fichier tendait à une pluralité de
« finalités » : ce fichier aurait pu être utilisé à des fins
d’identification et non uniquement d’authentification.
Initialement, le rapporteur à l’Assemblée nationale, M. Philippe
Goujon, soulignait « tout particulièrement que le fichier central
dont traite cette proposition de loi ne constitue pas un fichier de
police mais un fichier administratif ». Dès lors des garanties
moindres étaient suffisantes. Or, avec les amendements
successifs, le fichier est aussi devenu aussi un fichier de police.
L’article 5 permettait l’utilisation du fichier pour des infractions
autres que celles relatives aux délits d’usurpation d’identité
(…)
L’utilisation du fichier dans le cadre de l’article 10 était
également problématique. Actuellement les services en charge
de la lutte contre le terrorisme ne peuvent pas utiliser les
empreintes digitales ou les images numérisées des détenteurs de
titre contenues dans les fichiers pour identifier un individu à
partir de ces seuls éléments. L’article 19 du décret du 30
décembre 2005 l’exclut pour les passeports biométriques avec le
fichier TES. Pour le fichier de gestion des cartes nationales
d’identité, les empreintes digitales n’y figurent pas21.
Ces fins d’identification ne pouvaient d’ailleurs qu’être vouées à
se développer. Comme l’indiquait M. François Pillet, rapporteur
au Sénat, « une fois créé, le fichier central est susceptible de
constituer, s’il n’est pas entouré des garanties requises, une
bombe à retardement pour les libertés publiques ».

 Cette confusion entre « fichier de police » et « fichier administratif » destinée à faciliter la
gestion des TES pour réaliser des économies dans le cadre du Plan « PRÉFECTURE
NOUVELLE GÉNÉRATION » (PPNG) perdure avec le Décret n° 2016-1460. De même, les
possibilités d’accès aux services de renseignements, de lutte contre le terrorisme ou des
douanes démontre bien que la finalité du fichier n’est pas simplement administrative mais
s’intègre dans la mise en place d’une profusion de techniques de profilages, dont les
citoyens n’ont pas conscience faut d’un débat sérieux – et sanctionné par un vote – au
Parlement.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

E.

PRÉSENTATION DU DÉCRET CRITIQUÉ

1°)

Une gestation douloureuse révélatrice d’une procédure incomplète

49

Tant que le CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM) que la Secrétaire d’Etat à
l’économie numérique se sont émus de ne pas avoir été consultés dans le cadre de la
préparation de ce texte.
Par ailleurs, en l’absence de la signature du ministre concerné en bas du décret du
Ministère de la Justice et de celui de l’Economie, il n’est pas démontré que ces ministères
aient été consultés, alors même que ces ministères seront chargés à un titre ou à un titre
de l’exécution de ce décret..
2°)

Contenu
a) Empreintes digitales : imprécision concernant leur statut entre collecte et
conservation, combien d’empreintes sont-elles centralisées dans le fichier
centralisé ?

Lors de la création du passeport biométrique56, le Conseil d’Etat a eu l’occasion de préciser
dans quelles conditions la collecte d’empreintes digitales n’était pas disproportionnée. Ainsi, dans
son arrêt Association pour la promotion de l’image57, il a censuré partiellement le Décret du 30 avril
2008.
La lecture de cet arrêt est d’autant plus riche d’enseignements que l’Etat continue à
collecter et à conserver huit empreintes en violation directe avec la décision de la
Haute Juridiction.
S’il fallait une preuve, le Conseil d’Etat pourrait prendre connaissance de la réponse de la
Préfecture du Var en 2012 concernant un demandeur de passeport ayant refusé de communiquer
huit empreintes digitales et qui s’était vu refuser la délivrance de son passeport biométrique.

56

Décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques
(JORF n° 0105 du 4 mai 2008, p. 7446 et s.)

57

CE, 26 octobre 2011, Association pour la promotion de l'image, n° 317827

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

50

Un tel comportement est de mauvais augure pour l’avenir d’un fichier centralisant les
données biométriques de 60 millions de « suspects ». Comme a pu le dire un Ministre de
l’Intérieur du siècle dernier : « les promesses ne tiennent que ceux qui croient ». Peuton croire sincèrement qu’un prochain gouvernement hésitera longtemps à ajouter une fonction
de recherche et d’identification lorsqu’il détient un gisement d’informations aussi pertinentes et
intrusives que des données biométriques ?

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

51

Pourtant l’arrêt Association pour la promotion de l’image ne permettait pas une telle
interprétation :
« en vertu de l'article 5 de ce décret, les données à caractère
personnel recueillies à l'occasion de l'établissement du
passeport et enregistrées dans le traitement automatisé sont,
outre celles relatives à l'état civil du titulaire du passeport,
l'image numérisée de son visage et celle des empreintes de huit
de ses doigts ; (…) dans ces conditions, la consultation des
empreintes digitales contenues dans le traitement informatisé
ne peut servir qu'à confirmer que la personne présentant une
demande de renouvellement d'un passeport est bien celle à
laquelle le passeport a été initialement délivré ou à s'assurer de
l'absence de falsification des données contenues dans le
composant électronique du passeport
(…) une telle finalité peut être atteinte de manière
suffisamment efficace en comparant les empreintes figurant
dans le composant électronique du passeport avec celles
conservées dans le traitement, sans qu'il soit nécessaire que ce
dernier en contienne davantage ; (…) si le ministre soutient que
la conservation dans le traitement automatisé des empreintes
digitales de huit doigts, alors que le composant électronique
du passeport n'en contient que deux, permettrait de réduire
significativement les risques d'erreurs d'identification, cette
assertion générale n'a été ni justifiée par une description
précise des modalités d'utilisation du traitement dans les
productions du ministre, ni explicitée lors de l'audience
d'instruction à laquelle il a été procédé ; que, par suite, l'utilité
du recueil des empreintes de huit doigts et non des deux seuls
figurant sur le passeport n'étant pas établie, la collecte et la
conservation d'un plus grand nombre d'empreintes digitales
que celles figurant dans le composant électronique ne sont ni
adéquates, ni pertinentes et apparaissent excessives au regard
des finalités du traitement informatisé ; qu'ainsi, les
requérants sont fondés à soutenir que les mesures prescrites
par le décret attaqué ne sont pas adaptées, nécessaires et
proportionnées et à demander par suite l'annulation de
l'article 5 de ce décret en tant qu'il prévoit la collecte et la
conservation des empreintes digitales ne figurant pas dans le
composant électronique du passeport ;

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

52

Dans le Décret n° 2016-1640, parmi les données à caractère personnel et informations
enregistrées dans le fichier centralisé, l’article 2 i) prévoit que « L’image numérisée du visage et celle
des empreintes digitales qui peuvent être légalement recueillies ».
Le nombre d’empreintes digitales collectées ou conservées n’est pas précisé. Laissant cela
à l’arbitraire de l’administration.
Par ailleurs, dans son avis, le CNNUM relève que
le fichier que permet de créer le décret en débat possède trois
compartiments :
- l’un relatif à des données alphanumériques (l’adresse, le
numéro de la demande, le nom du demandeur…) qui figurent sur
le formulaire de demande de titre ou CERFA, qui est strictement
inchangé ;
- l’autre relatif à la photo et aux deux empreintes digitales
numérisées ;
- le dernier relatif aux pièces justificatives.

Ainsi, le 3e compartiment comprend-il les « pièces justificatives ». Il existe une incertitude
et l’on peut craindre que dans ce 3e compartiment le Ministère de l’Intérieur conserve les HUIT
empreintes prélevées lors du dépôt de dossier ainsi qu’une photographie numérisée du visage du
titulaire du TES.
Faute de précision concernant les usages et les modalités d’accès à ce compartiment, il est
à craindre une dérive des usages, une modification des finalités du fichier centralisé et une atteinte
disproportionnée à la protection de la vie privée.

b) Finalité affichée et finalité sous-jacente

L’article 1er du Décret 2016-1460 précise
Pour procéder à l’établissement, à la délivrance, au
renouvellement et à l’invalidation des cartes nationales
d’identité mentionnées à l’article 7 du décret du 22 octobre 1955
susvisé et des passeports mentionnés aux articles 1er et 17-1 du
décret du 30 décembre 2005 susvisé, ainsi que prévenir et
détecter leur falsification et contrefaçon, le ministre de
l’intérieur met en œuvre un traitement de données à caractère
personnel dénommé « titres électroniques sécurisés » (TES).

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

53

La finalité affichée est donc double :
-

D’une part, c’est un fichier administratif destiné à faciliter la gestion
des TES et à couvrir des suppressions de postes dans les services de la
préfecture (argument économique) ;

-

D’autre part, il s’agit d’un fichier de police voire de justice puisqu’il
s’agit de « prévenir leur falsification et contrefaçon ».

Mais, l’article 4-I permet aux services de renseignements de les consulter et l’article 5
ouvre également ce droit aux services des douanes.
Dès lors, la finalité (cachée) semble être non plus l’authentification du TES mais
l’identification du titulaire.
Dès lors, en prévoyant des finalités multiples, dont certaines seront réveillés par des textes
ultérieurs, ce décret constitue une violation de la loi, un pied de nez à la décision du Conseil
constitutionnel 2012 et un risque grave pour les libertés publiques en raison d’une utilisation
extensive par un Etat oppressant (ou détournée par exemple à des fins commerciales comme en
Israël).

c) Caractère disproportionné de l’atteinte à la vie privée.

Cette atteinte est le résultat de la conjonction :
-

Du recours à un texte réglementaire pour venir limiter une
protection constitutionnelle ;

-

Du nombre ahurissant de personnes concernées (quasiment
toute la population française, qui passe du statut de citoyen
à celui de « suspects ») ;

-

De la concentration en une base unique et centralisée
d’informations particulièrement sensibles ;

-

Avec une technique inappropriée et risquant de disséminer
des informations sensibles.

Pour toutes ces raisons et celles qui seront développées ci-après, les Requérants sollicitent la
nullité du Décret 2016-1460.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

54

II. SUR LA RECEVABILITÉ DU PRÉSENT RECOURS
A.

COMPÉTENCE EXCLUSIVE DU CONSEIL D’ETAT

Le Conseil d'État est resté, en vertu du décret du 30 septembre 1953 portant réforme du
contentieux administratif, juge de premier ressort dans les domaines où, selon les termes de
l'article R. 311-1 du Code de justice administrative, « l'objet du litige ou l'intérêt d'une bonne
administration de la justice » justifie que cette compétence lui soit attribuée, ce qui est souvent
présenté comme visant, d'une part, l'importance du litige et, d'autre part, la nécessité de trouver
un juge et un seul pour chaque litige.
Les matières ainsi visées sont énumérées à l'article R. 311-1 du Code de justice
administrative, à savoir, notamment :
« 1° Des recours dirigés contre les ordonnances du Président de
la République et les décrets » ;
Dès lors, compte tenu de la nature de la présente requête
visant à l’annulation d’un décret, seul le Conseil d’Etat est
compétent.

B.

INTÉRÊT À AGIR DES REQUÉRANTS.

Les requérants sont des citoyens français, titulaires d’un passeport ou d’une carte
d’identité.
Ils ne souhaitent pas que des données biométriques les concernant soient centralisées dans
une base unique à la disposition du Ministère de l’Intérieur.
Ils ont un intérêt direct et légitime à protéger leurs libertés fondamentales d’aller et de
venir et de ne pas accumuler des informations personnelles les concernant. D’autant plus que
cette accumulation d’informations biométriques peut faire l’objet d’un usage différent de celui
annoncé pour le moment.
A cet intérêt direct et personnel, il convient d’ajouter que certains requérants sont parents
d’enfants mineurs et qu’ils agissent dans l’intérêt des enfants dont les droits et libertés sont
consacrés par les conventions internationales signées par la France.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

C.

55

SUR LA DISPENSE DE REPRÉSENTATION DES REQUÉRANTS PAR
UN AVOCAT AU CONSEIL D’ETAT
L’Article R. 432-1 du Code de Justice administrative dispose que :
« La requête et les mémoires des parties doivent, à peine
d'irrecevabilité, être présentés par un avocat au Conseil d'Etat.
Leur signature par l'avocat vaut constitution et élection de
domicile chez lui. »

L’article R. 432-2 du Code de justice administrative dispose quant à lui :
« Toutefois, les dispositions de l'article R. 432-1 ne sont pas
applicables :

1° Aux recours pour excès de pouvoir contre les actes des
diverses autorités administratives ;
2° Aux recours en appréciation de légalité ;
3° Aux litiges en matière électorale ;
4° Aux litiges concernant la concession ou le refus de
pension.
Dans ces cas, la requête doit être signée par la partie
intéressée ou son mandataire ».

Or, en l’espèce, la présente requête tend à :
CONSTATER QUE le Décret n° 2016-1460 du 28 octobre 2016
autorisant la création d’un traitement de données à caractère
personnel relatif aux passeports et aux cartes nationales
d’identité (JORF n°0254 du 30 octobre 2016)

En conséquence, ANNULER en toutes ses dispositions,
le Décret n° 2016-1460 du 28 octobre 2016.

Dès lors, l’article R 432-2 du Code de justice administrative a vocation à s’appliquer.
En conséquence, le choix du mandataire était totalement ouvert.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

56

Il pouvait s'agir d'un parent, d'un ami58, d'un mandataire professionnel autre qu'un avocat
au Conseil d'État59.
En l’espèce, la dernière occurrence a été choisie.
Bien évidemment, il était indispensable, que les personnes présentant la requête,
Maître Jean-Marc FEDIDA,
Maître Christophe LEGUEVAQUES,
Avocats au Barreau de Paris,
justifient expressément, par un mandat, de sa qualité pour agir60.
Cette production a bien été effectuée. Les mandats des différents requérants figurent en
pièces communiquées.
Dès lors, le Conseil d’Etat ne pourra que déclarer ladite requête parfaitement
recevable.

*

*
*

58
59
60

CE, ass., 14 mars 1952, Chillou de Saint-Albert : Rec. CE 1952, p. 162
CE, 24 oct. 1951, Thimeur : Rec. CE 1951, p. 496
CE, 15 mars 1995, n° 160632, Lefghayar

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

57

III. ILLÉGALITÉ EXTERNE
A.

VICE DE PROCÉDURE

1°)

Absence de formalités et de consultation

Si le Gouvernement a bien consulté la CNIL, le CNEN (conseil national d’évaluation des
normes), l’association des maires de France, les assemblées territoriales des différentes
collectivités d’outre-mer et entendu la Section de l’Intérieur du Conseil d’Etat, il semble avoir
omis – volontairement – de consulter le CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM).
Cet oubli d’une recherche d’informations indépendantes auprès des experts du numérique
a été regretté publiquement par Mme Axelle LEMAIRE, secrétaire d’Etat chargée du numérique
et de l'innovation qui a déclaré
"Ce décret a été pris en douce par le ministère de l'Intérieur, un
dimanche de la Toussaint, en pensant que ça passerait ni vu ni
connu. C'est un dysfonctionnement majeur"
Or la secrétaire d’Etat chargée du numérique et de l'innovation aurait dû être associée
au travail préparatoire car son décret de nomination61 précise sa mission en ces termes
[elle] traite, par délégation du ministre de l'économie et des
finances, les questions relatives au développement de
l'économie numérique, en ce qui concerne notamment les
infrastructures, les équipements, les services et usages
numériques et les communications électroniques.
Elle suit, pour le compte du ministre de l'économie et des
finances, l'élaboration de la réglementation relative au
numérique, en particulier aux communications électroniques,
aux technologies d'avenir et aux plates-formes.
En lien avec les autres ministres concernés, elle traite les
questions relatives à la promotion et à la diffusion du
numérique, aux contenus numériques, dont le jeu vidéo, à la
politique de données numériques, à l'inclusion, l'accessibilité et
la médiation numérique ainsi que celles relatives aux droits et
libertés fondamentaux dans le monde numérique, à l'éthique

61

Décret n° 2016-1252 du 27 septembre 2016 relatif aux attributions déléguées à la secrétaire d'Etat chargée du numérique et de
l'innovation, JORF n°0226 du 28 septembre 2016

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

58

des technologies numériques, à la sécurité des échanges, des
réseaux et des systèmes d'information et à la gouvernance de
l'internet.

Par ailleurs, le mépris dont elle a fait l’objet se retrouve incorporé dans le décret lui-même
puisqu’elle n’apparait même pas dans les signataires du décret critiqué qui ressort pourtant d’une
matière entrant dans ses compétences.
De son côté, le CNNUM62 déplore ne pas avoir été associé à l’élaboration de ce texte.
Pourtant, en ce qui concerne le projet de décret pris pour l’application de l’article 18 de
la loi pour la confiance dans l’économie numérique, le CNNUM avait été consulté préalablement
à la promulgation d’un décret relatif à la lutte contre la cybercriminalité 63.
Compte tenu de l’enjeu démocratique et l’impact sur les libertés publiques, le CNNUM
aurait dû être consulté sur le projet de décret autorisant la création de Titres électroniques
sécurisés (TES) pris en application de la loi n° 2012-410 du 27 mars 2012 relative à la protection
de l’identité.
Cette absence de consultation comme l’absence d’étude d’impact constitue un vice de
procédure caractéristique d’un excès de pouvoir et, à ce titre, le Décret 2016/1460 devra être
annulé.
2°)

Absence de la signature des Ministres de la Justice, de l’Économie et des
Finances, du Budget
Le Décret n° 2016-1460 est signé par




62

Le Premier Ministre
Le Ministre de l’Intérieur
Le Ministre des Affaires étrangères
Le Ministre de la Défense
Le Ministre de l’Outre-Mer.

Créé par le décret n° 2011-476 du 29 avril 2011 ; le CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM) est composé de personnes qualifiées
compétentes dans le domaine de l'économie numérique. Il a pour mission d'éclairer le gouvernement et de participer au débat public
dans ce domaine. Le CNNUM doit avant tout être un interlocuteur pour l'État et les acteurs du numérique, et orienter les politiques
publiques. Sa mission se décline selon deux modes d'action. D'une part, il peut être consulté par le Gouvernement sur tout projet de
disposition législative ou réglementaire susceptible d'avoir un impact sur l'économie numérique. Et d'autre part, il peut formuler de
sa propre initiative des recommandations en faveur du développement de l'économie numérique en France. Dans le cadre de ces
compétences, il peut donc être amené à formuler des avis ou des recommandations tendant à favoriser l'accès aux données publiques.
Christophe CARON, professeur agrégé à la faculté de droit de Paris-Est, CNN , Communication Commerce électronique n° 7-8, Juillet 2011,
repère 7, « Dans l'appellation « Conseil national du numérique », il y a le mot « Conseil ». Et ce dernier revêt toute son importance car
le Conseil devra donner son avis sur tout projet de texte concernant l'Internet. »
63
Avis n° 4 du CNNUM en date du 17 juin 2011 - https://cnnumerique.fr/wp-content/uploads/2012/05/2011-0617_AvisCNNum_04_LCEN.pdf

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

59

Le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité avait
été signé par :



Le Président du Conseil
Le Ministre de l’Intérieur
Le Garde des sceaux, ministre de la Justice
Le ministre des finances et des affaires économiques

Le Décret n° 2005-1726 relatif aux passeports électroniques avait été signé par :






Le Premier Ministre
Le Ministre de l’Intérieur
Le Ministre des Affaires étrangères
Le Ministre de la Défense
Le Ministre de l’Outre-Mer.
Le Ministre de l’Économie des finances et de l’industrie
Le garde des sceaux, Ministre de la Justice

La Loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité a été signé par



Le Premier ministre
Le ministre des affaires étrangères, et européennes,
Le garde des sceaux, ministre de la justice et des libertés,
Le ministre de l'intérieur, de l'outre-mer, des collectivités
territoriales, et de l'immigration,
 Le ministre de l'économie, des finances et de l'industrie,
 La ministre du budget, des comptes publics et de la réforme de l'Etat.
Le moins que l’on puisse dire est que l’absence de signatures du Décret n° 2016-1460
saute aux yeux et interroge.
En effet, le ministre de l’Économie est chargé de l’exécution du décret critiqué, en ce
qu’il perçoit les droits de timbre pour l’édition des passeports. Par ailleurs, les services des
douanes, qui dépendent de « Bercy » sont également chargés de l’exécution de ce Décret. Enfin,
la question du coût de la centralisation des données constitue une question du ressort du Ministère
des Finances et du Budget.
Au Sénat, le 26 octobre dernier, il a été rappelé que « les projets informatiques qui requièrent
un investissement de 6 millions à 9 millions d'euros sont systématiquement soumis à l'examen de la DINSIC,
et lorsque l'investissement dépasse les 9 millions d'euros, la DINSIC doit émettre un avis conforme »64.

64 http://www.senat.fr/compte-rendu-commissions/20161024/fin.html

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

60

Or, dans sa réponse au CNNUM en date du 7 novembre65, le ministre de l’intérieur ne
dit pas que la DINSIC a fourni un avis conforme sur ce projet.
Le Conseil d’Etat devra vérifier si le seuil des 9 millions d’euros n’a pas été atteint et si la
procédure de l’avis conforme ne devait pas être conforme.
En ce qui concerne, l’absence de signature du garde des sceaux, Ministre de la Justice, elle
est encore plus incroyable. Voilà un texte qui concerne les libertés publiques de tous les titulaires
d’une carte d’identité ou d’un passeport, pour ne pas dire de tous les Français majeurs et le
Ministre de la Justice n’aurait pas été consulté et ne serait pas chargé de son exécution ?
C’est d’autant plus curieux que le Décret n° 2016-1460 modifie les deux décrets précités.
Ne serait-ce qu’en raison du parallélisme des formes, le garde des sceaux, Ministre de la Justice,
aurait dû signer le décret critiqué.
Par ailleurs, comme le Décret n° 2016-1460 emporte des conséquences sur les modalités
d’accès et de consultation par des personnes placées sous l’autorité du Procureur de la République
ou sur réquisition d’un juge d’instruction (articles 3, 4 et 5), le garde des sceaux, Ministre de la
Justice doit être considéré comme l’un des ministres chargés de l’exécution du décret critiqué.
En vertu de l'article 22 de la Constitution, les actes du Premier ministre sont contresignés,
le cas échéant, par les « ministres chargés de leur exécution » et non, à l'instar des actes dont le
Président de la République est l'auteur, par les « ministres responsables ».
Pour le Conseil d’Etat, les ministres chargés de l'exécution d'un acte réglementaire du
Premier ministre sont « ceux qui seront compétents pour signer ou contresigner les mesures réglementaires
ou individuelles que comporte nécessairement l'exécution de cet acte »66.
Autrement dit, les ministres chargés de l'exécution d'un décret sont ceux qui auront la
charge de prendre les mesures juridiques nécessaires à son application. Tel est bien le cas du
Ministre de l’ÉCONOMIE, du Ministre du BUDGET et du garde des sceaux, Ministre de la
JUSTICE.
L’absence de signatures de ces ministres au pied du Décret n° 2016-1460
constitue un vice de procédure devant entrainer la nullité du décret critiqué.

65 http://www.interieur.gouv.fr/Actualites/Communiques/Fichier-TES-Courrier-de-Bernard-Cazeneuve-au-President-du-Conseil-nationaldu-numerique
66 CE, Ass., 27 avril 1962, Sicard et autres, Rec. p. 279
CE, 19 déc. 2008, n° 312553 : JurisData n° 2008-074874 ; JCP G 2009, II, 10042, note E. Dupic et P. Tifine. –
CE, 19 nov. 2008, n° 296633 : JurisData n° 2008-074592.
CE, 14 nov. 2008, n° 297557 : JurisData n° 2008-074499 ; JCP A 2008, act. 982. –
CE, 13 oct. 2008, n° 292486 : JurisData n° 2008-074314)

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

B.

INCOMPÉTENCE

1°)

Violation de l’article 27 de la Loi Informatique & Libertés

61

Le juge de l'excès de pouvoir sanctionne la méconnaissance du domaine de la loi en
constatant simplement, le cas échéant d'office, l'incompétence de l'autorité administrative 67.
Dans l’arrêt Navy68, le Conseil d’Etat distingue entre la définition d’un droit et les
modalités d’application de ce droit :
En vertu de l'article 34 de la Constitution, il revient à la loi de
déterminer les principes fondamentaux de la sécurité sociale,
au nombre desquels figure la définition de la nature des
conditions exigées pour l'attribution d'une prestation. En
subordonnant le bénéfice du complément de libre choix
d'activité à taux partiel à une condition de montant maximal des
ressources procurées par l'activité exercée, le pouvoir
réglementaire ne s'est pas borné à adapter les modalités selon
lesquelles ce complément est attribué à certaines catégories de
travailleurs mais a fixé une condition nouvelle non prévue par
la loi et qu'il ne lui appartenait pas d'instituer

Dès lors, il conviendra de vérifier si par ces caractéristiques le fichier des Titres
Electroniques Sécurisés créé par le Décret n° 2016/1460 constitue une modalité d’application de
la Loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité ou fixe des conditions
nouvelles non prévues par la loi (ou censurées par le Conseil constitutionnel) qu’il ne lui
appartenait pas d’instituer.
Par ailleurs, dans l’arrêt Syndicat de la Magistrature69, le Conseil d’Etat constate que les
modifications réglementaires
sont susceptibles d'avoir une incidence sur les modalités
d'exécution des peines et, partant, touchent à des règles de
procédure pénale »

Ainsi, sur la foi d’une simple incidence, le Conseil d’Etat considère que cette modification
entre dans le domaine de la loi et censure à ce titre, le décret qui empiète qui viole l’article 34 de
la Constitution.

67

68
69

CE, 13 mars 2013, n° 360815.
CE, 21 nov. 2012, n° 346421
CE, 6 mars 2013, n° 355815, Sté Navy.
CE, 28 nov. 2009, n° 312314, Syndicat de la magistrature

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

62

L'Assemblée du contentieux du Conseil d'État dans son arrêt Union maritime CFDT et
Fédération nationale des syndicats maritimes CGT 70 est venue apporter une précision utile pour
délimiter les compétences respectives de la loi et du règlement.
La délimitation entre la loi et le règlement repose, en effet, non pas sur le contenu
des dispositions en cause, mais sur son but et son effet.
Le Conseil d'État était saisi d'un décret du 20 mars 1987 relatif à l'immatriculation et à
l'armement des navires dans le territoire des Terres australes et antarctiques françaises. Comme
le Commissaire du Gouvernement l'a reconnu, le régime de l'immatriculation des navires français
relève sans conteste du pouvoir réglementaire. À considérer le contenu même du décret attaqué,
on ne pouvait donc conclure qu'à la compétence de son auteur. Or, le Conseil d'État est parvenu
à la conclusion inverse, parce que ledit décret avait pour but et pour effet de modifier les
champs d'application respectifs de deux lois, à savoir le Code du travail maritime et le
Code du travail de l'outre-mer. Les dispositions du décret ainsi annulées par le Conseil d'État pour
incompétence ont logiquement été reprises par la loi n° 96-151 du 26 février 1996 relative aux
transports.
Une analyse similaire doit s’appliquer au décret soumis à la censure du Conseil d’Etat.
En effet, la création d’un fichier centralisé des TES excède le simple domaine
réglementaire : le traitement électronique de données hautement sensibles (informations
biométriques) est du ressort exclusif de la loi car il peut entraîner des atteintes aux libertés
individuelles, au droit de la personne humaine et constitue une limitation à la liberté d’aller et de
venir, principe qui « ne peut faire l'objet d'autres restrictions que celles, prévues par la loi »
Selon une interprétation retenue par le Conseil constitutionnel dès 1959, si la loi n’est pas
tenue de régir dans le détail la matière investie, elle doit se limiter aux seules mesures mettant en
cause une « règle » ou un « principe fondamental » d’une matière rangée par la Constitution dans
le domaine de la loi.
« Les dispositions qui, par l’importance de leurs incidences, ont un caractère déterminant à l’égard de
la règle ou du principe intéressé, non celles qui ne concernent que leur mise en œuvre ou leurs modalités
d’application » possèdent donc une nature législative71.
Ce n’est pas l’existence du passeport qui est en cause mais l’introduction d’une technique
non maitrisée qui procède à un fichage généralisé de la population française et comprenant des
informations sensibles qui sont personnelles, pour ne pas dire « intimes » à chaque citoyen.

70

71

CE Ass. 27 oct. 1995 : Rec. CE, p. 369 ; JCP 1996, éd. G, IV, 124, obs. M.-Ch. Rouault ; AJDA 1995, p. 940 et p. 875, chron. J.-H. Stahl et
D. Chauvaux ; RFD adm. 1996, p. 415, concl. M. Denis-Linton
A. de Laubadère : AJDA 1965, p. 102.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

63

Ainsi, le Conseil d’Etat a-t-il toujours pris soin, aux termes d’une jurisprudence constante
en la matière, de préciser que
« en donnant compétence au législateur pour fixer les règles
concernant les garanties fondamentales accordées aux
citoyens pour l’exercice des libertés publiques, l’article 34 n’a
pas retiré les pouvoirs de police générale qu’il exerçait
antérieurement ; qu'il appartient dès lors au Premier ministre,
en vertu des articles 21 et 37 de la Constitution, de prendre les
mesures de police applicables à l'ensemble du territoire et
justifiées par les nécessités de l'ordre public, au nombre
desquelles figurent les impératifs de santé publique ; que,
lorsque le législateur est intervenu dans ce domaine, il incombe
au Premier ministre d'exercer son pouvoir de police générale
sans méconnaître la loi ni en altérer la portée »72.

a) La procédure dérogatoire prévue par l’article 27 de la Loi Informatique & Libertés
n’était pas applicable.

Pour justifier le passage par la voie réglementaire, le Ministère de l’Intérieur a brandi le
bouclier de l’article 27 de la Loi Informatique a Libertés. En effet, ce texte dispose :
I. - Sont autorisés par décret en Conseil d'Etat, pris après avis
motivé et publié de la Commission nationale de l'informatique et
des libertés :
(…)
2° Les traitements de données à caractère personnel mis en
œuvre pour le compte de l'Etat qui portent sur des données
biométriques nécessaires à l'authentification ou au contrôle de
l'identité des personnes.

Dans sa délibération sur le projet de décret73, la CNIL émet des réserves sur le recours à
l’article 27, mais son pouvoir limité ne lui permet que d’émettre des regrets :
si elle n’entend pas contester la possibilité offerte par l’article
27-1-2° de la loi du 6 janvier 1978 modifiée d’autoriser la mise
en œuvre, par la voie d’un décret en Conseil d’Etat, de
traitements comportant des données biométriques utilisées à
des fins d’authentification des personnes, la Commission réitère
que les enjeux soulevés par la mise en œuvre d’un traitement
comportant des données particulièrement sensibles relatives à

72

CE, 19 mars 2007, n° 300467, Conféd. Ch. Syndicales départementales débitants de tabac France : Jurisdata n° 2007-071624.
73 Délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d’un traitement de données
à caractère personnel relatif aux passeports et aux cartes nationales d’identité (saisine n° 1979541), JORF n°0254 du 30 octobre 2016

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

64

près de 60 millions de français auraient mérité une véritable
étude d’impact et l’organisation d’un débat parlementaire.

Dans son avis74, la Section de l’Intérieur du Conseil d’Etat constate que
« compte tenu de l’ampleur du fichier envisagé et de la
sensibilité des données qu’il contiendrait, il n’est pas interdit au
Gouvernement, s’il le croit opportun, d’emprunter la voie
législative ».

Tant la CNIL que le Conseil d’Etat dans sa formation de conseil du gouvernement
répugnent à s’opposer frontalement sur cette question du nécessaire débat démocratique. Ils se
contentent d’en rappeler l’opportunité. Mais, ils n’osent pas avancer de l’opportunité, qui du
pouvoir discrétionnaire du Gouvernement, à la nécessité.
Pourtant, le principal objectif d’une utilisation à grande échelle des techniques
biométriques est de parvenir à une véritable identification des personnes et non plus seulement
à une simple authentification.
Ce changement de nature du ficher créé par le Décret n° 2016/1460 n’entre donc pas
dans les régimes dérogatoires instaurés par l’article 27 de la Loi Informatique & Libertés.
Ne serait-ce que pour cette raison, la création d’un fichier centralisé de données
biométriques concernant plus de 60 millions de Français constitue une ingérence
disproportionnée dans la vie privée des « gens honnêtes » et, per se, une atteinte à leurs libertés
personnelles garanties par la Constitution et le droit conventionnel.
En raison de l’importance de cette atteinte et de son caractère permanent, la création
d’un tel fichier électronique centralisé est du ressort exclusif préalable du législateur.

Pour cette simple raison, la création du fichier électronique centralisé a été prise par une
autorité radicalement incompétente et encourt pour ce seul motif la nullité en raison de l’excès
de pouvoir ainsi démontré.
Le Gouvernement est tellement conscient de cette difficulté qu’il a essayé – bien
maladroitement – de la couvrir en organisant a posteriori un débat parlementaire sur un texte
réglementaire (sic !) sans prévoir à la représentation nationale de s’exprimer par un vote dans les
conditions fixées par la Constitution.

74 Avis de la Section de l’Intérieur du 23 février 2016, n° 391 080

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

65

b) L’impossibilité de régularisation par un débat parlementaire a posteriori sur un acte
réglementaire

Dans une lettre adressée à Claude BARTOLONE et Gérard LARCHER présidents de
l’Assemblée nationale du Sénat, M. Bernard CAZENEUVE, ci-devant Ministre de l’Intérieur, a
ainsi proposé un « débat parlementaire en séance publique »,
Le ministre estime qu’un tel débat, réclamé par de nombreuses voix, « serait de nature à
répondre aux questions formulées au gouvernement » sur ce fichier..
Au cours de cette audition75 devant l’Assemblée nationale, les députés n’ont pas manqué
de rappeler que la sécurité informatique n’était pas absolue (cf. les mails de Mme Hilary
CLINTON ou le piratage du fichier israélien concernant les 9 millions de citoyen de cet Etat de
droit). D’autres ont insisté sur le fait que
« Tout fichier soulève des interrogations légitimes sur la
protection des libertés et des données personnelles. Il n’est pas
raisonnable de prendre des décisions de cette nature sans débat
parlementaire préalable. Ce n’est pas à la hauteur d’une
démocratie respectueuse des droits et des libertés » (M. Sergio
Coronado)

Dans le cadre du débat au Sénat, M. Philippe BAS propose une solution qui sera finalement
rejetée par le Gouvernement.

75

http://www.assemblee-nationale.fr/14/cri/2016-2017/20170045.asp

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

66

Au final, le « débat parlementaire » n’aura pas permis de lever les incertitudes et les zones
d’ombre. Par ailleurs, en l’absence du vote d’une loi, les échanges courtois au Parlement ne
peuvent pas avoir pour effet de modifier la nature d’un acte réglementaire qui empiète
incontestablement dans le domaine de la loi.
Dès lors, malgré l’aveu implicite76 de la compétence du législateur, le décret pris par le
Gouvernement en violation de l’article 34 de la Constitution devra être annulé.
2°)

Le Décret n° 1460 viole le principe de séparation des pouvoirs et modifie des
dispositions du ressort de la loi.

Dans sa version antérieure au Décret n° 1460, l’article 5 du Décret n° 55-1397 du
22 octobre 1955 instituant la carte nationale d’identité disposait
Lors de la constitution du dossier de demande de carte nationale
d’identité, il est procédé au relevé d’une empreinte digitale de
l’intéressé. Conservée au dossier par le service gestionnaire de la
carte, l’empreinte digitale ne peut être utilisée qu’en vue :
1° De la détection des tentatives d’obtention ou d’utilisation
frauduleuse d’un titre d’identité ;
2° De l’identification certaine d’une personne dans le cadre
d’une procédure judiciaire.

Bien que contenu dans un acte réglementaire, le principe régi par l’article 5 du Décret n°
55-1397 appartient au domaine de la loi :
-

D’une part, car il s’agit de régir l’usage de données biométriques par l’autorité
judiciaire ;

-

D’autre part, parce que cette « identification » constitue une ingérence dans la
vie privée et porte atteinte à une liberté fondamentale.
En effet, l’article 34 de la Constitution dispose que « La loi fixe les règles
concernant : (…°) -les droits civiques et les garanties fondamentales accordées aux
citoyens pour l'exercice des libertés publiques ; la liberté, (…); les sujétions imposées par
la Défense nationale aux citoyens en leur personne et en leurs biens ».

Dès lors, toute modification de l’article 5 du décret n° 55-1397 est du ressort de la loi.

76

http://www.rtl.fr/actu/politique/bernard-cazeneuve-reconnait-qu-un-debat-sur-le-fichier-tes-aurait-du-avoir-lieu-en-amont7785793734

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

67

Or, l’article 17 du Décret n° 2016/1460 remplace l’intégralité des dispositions de l’article
5 ancien par des dispositions relatives aux conditions de remise matérielle de la carte d’identité.
Ce faisant, le Décret n° 2016/1460 porte à atteinte à la séparation des pouvoirs et un
modifie un texte entrant dans le domaine de la loi.
En conséquence, le décret sera annulé.
*

*
*

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

68

IV. ILLÉGALITÉ INTERNE
A.

VIOLATION DE LA LOI

L’article 2 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité
définit le contenu des Titres Electroniques Sécurisés (TES) dans les termes suivants :
La carte nationale d’identité et le passeport comportent un
composant électronique sécurisé contenant les données
suivantes :
1° Le nom de famille, le ou les prénoms, le sexe, la date et le lieu
de naissance du demandeur ;
2° Le nom dont l’usage est autorisé par la loi, si l’intéressé en a
fait la demande ;
3° Son domicile ;
4° Sa taille et la couleur de ses yeux ;
5° Ses empreintes digitales ;
6° Sa photographie.

L’article 2 du Décret 2016/1460 précise
I. - Les données à caractère personnel et informations
enregistrées dans le traitement mentionné à l’article 1er sont :
1° Les données relatives au demandeur ou au titulaire du titre :
a) Le nom de famille, le nom d’usage, les prénoms ;
b) La date et le lieu de naissance ;
c) Le sexe ;
d) La couleur des yeux ;
e) La taille ;
f) Le domicile ou la résidence ou, le cas échéant, la commune de
rattachement de l’intéressé ou l’adresse de l’organisme
d’accueil auprès duquel la personne est domiciliée ;
g) Les données relatives à sa filiation : les noms, prénoms,
dates et lieux de naissance de ses parents, leur nationalité ;

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

69

Le § g) ajoute des informations personnelles – donc protégées – à celles prévues par la loi.
Cette extension d’éléments portant intrinsèquement atteinte à la vie privée non seulement au
porteur du TES mais également à ses deux ascendants constitue une violation de la loi.
Bien plus qu’une modalité d’application de la Loi n° 2012/410, il s’agit d’une modification
substantielle de la définition des TES.
Une telle modification constitue une violation de la loi.
A ce titre, le Décret n° 2016-1460 encourt la nullité en raison de cette illégalité interne
particulièrement flagrante.

B.

DÉTOURNEMENT DE POUVOIR / ILLÉGALITÉ DE L’OBJET

Comme cela a été largement démontré dans les développements précédents, le Décret
2016-1460 s’inscrit dans un mouvement patient mais constant du Ministère de l’Intérieur
d’étendre son emprise sur le contrôle des citoyens sous le prétexte de les protéger contre la
menace terroriste.
En affichant une finalité limitée (lutter contre la fraude documentaire et faciliter les
vérifications d’identité), le Ministère de l’Intérieur a du mal à cacher son objectif réel de fichage
généralisé de la population française en collectant et conservant des données biométriques
sensibles au-delà de ce qui est nécessaire à la finalité affichée.
Ce comportement constitue un détournement de pouvoir et une illégalité faute
d’habilitation législative suffisante.

C.

ERREUR DE DROIT

En ne respectant le principe de proportionnalité qui constitue une protection essentielle
de chaque citoyen présumé innocent, dans le cadre de la gestion des données sensibles, le
Ministère de l’Intérieur a commis une erreur de droit entachant le décret et devant conduire au
prononcé de sa nullité77.

77

Geneviève KOUBI, Le « méga fichier » de la discorde, http://theconversation.com/le-mega-fichier-de-la-discorde-69107

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

D.

70

ERREUR DE FAIT
En refusant de prendre en compte la réalité de l’insécurité permanente générée
par ce fichier centralisé et en omettant de vérifier si des solutions techniques
alternatives et plus sécures ne sont pas disponibles sur le marché, le Ministère
de l’Intérieur commet une erreur de fait78.

PAR CES MOTIFS

Et tous autres à produire, déduire ou suppléer au besoin même d’office,
plaise au Conseil d’Etat :
CONSTATER QUE le Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un
traitement de données à caractère personnel relatif aux passeports et aux cartes nationales
d’identité (JORF n°0254 du 30 octobre 2016)

En conséquence, ANNULER en toutes ses dispositions, le Décret n° 2016-1460 du 28
octobre 2016.

SOUS TOUTES RESERVES

78

Geneviève KOUBI, Le « méga fichier » des titres électroniques sécurisées, JCP (A), n° 47, 28 novembre 2016, 2300.

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

71

BORDEREAU DE PIECES COMMUNIQUEES

Pièce n° 1

Décret n° 2016 – 1460 du 28 octobre 2016 autorisant la création d’un
traitement de données à caractère personnel relatif aux passeports et aux
cartes nationales d’identité

Pièce n° 2

Convention pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel – Strasbourg le 28 janvier 1981

Pièce n° 3

Rapport d’information de M. LECERF, Sénateur, (Sénat Cession Ordinaire
de 2004 – 2005)

Pièce n° 4

Arrêt du 04 décembre 2008 de la Cour Européenne des Droits de l’Homme
– Affaire S. et MARPER c. ROYAUME-UNI

Pièce n° 5

Communiqué du Greffier suite à l’arrêt du 04 décembre 2008 de la Cour
Européenne des Droits de l’Homme – Affaire S. et MARPER c. ROYAUMEUNI

Pièce n° 6

Règlement n° 444/2009 du Parlement Européen et du Conseil, du 28 mai
2009

Pièce n° 7

Avis n° 4 du Conseil National du Numérique relatif au projet de décret pris
pour l’application de l’article 18 de la loi pour la confiance dans l’économie
numérique

Pièce n° 8

Fiche sur la loi relative à la protection de l’identité : éléments de contexte.
(Observations gouvernementales complémentaires)

Pièce n° 9

Saisine par 60 députés relative à la Décision n° 2012-652 DC du 22 mars
2012

Pièce n°10

Observations du Gouvernement relatif à la Décision n° 2012-652 DC du 22
mars 2012

Pièce n° 11

Réplique par 60 sénateurs relative à la Décision n° 2012-652 DC du 22 mars
2012

Pièce n° 12

Dossier documentaire du Conseil Constitutionnel relatif à la Décision n°
2012 – 652 DC – Loi relative à la protection de l’identité –

Pièce n° 13

Commentaire du Conseil Constitutionnel relatif à la Décision n° 2012-652
DC du 22 mars 2012

Pièce n° 14

Communiqué de presse du Conseil Constitutionnel relatif à la Décision n°
2012-652 DC du 22 mars 2012

Pièce n° 15

« Passeport biométrique : bataille feutrée autour de vos empreintes »
Article de Camille POLLONI, Journaliste

Recours pour excès de pouvoir contre le Décret n° 2016- 1460 du 28 octobre 2016

72

Pièce n° 16

Avis du Conseil d’Etat du 23 février 2016 relatif à la possibilité de créer un
fichier regroupant les données relatives aux cartes nationales d’identité et aux
passeports

Pièce n° 17

Charte des droits fondamentaux de l’Union Européenne (JO de l’UE du 07
Juin 2016)

Pièce n° 18

Règlement européen sur la protection des données : ce qui change pour les
professionnels (www.cnil.fr du 15 juin 2016)

Pièce n° 19

Délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet
de décret autorisant la création d’un traitement de données à caractère
personnel relatif aux passeports et aux cartes nationales d’identité

Pièce n° 20

Syndicat de la Magistrature – Fichier TES : danger pour les libertés

Pièce n° 21

« Mégafichier : Une centralisation inutile et dangereuse »
Article d’un collectif – Libération – 16 novembre 2016

Pièce n° 22

Avis du Conseil National du Numérique sur le ficher TES

Pièce n° 23

Formulaire Cerfa n° 12100*02 de demande de passeport

Pièce n° 24

Mandat de Monsieur Louis-Georges TIN

Pièce n°25

Pièce d’identité de Monsieur Louis-Georges TIN

Pièce n° 26

Mandat de Monsieur Didier BONNIN

Pièce n°27

Pièce d’identité de Monsieur Didier BONNIN

Sign up to vote on this title
UsefulNot useful