Note dobservations de la Commission nationale de linformatique et des liberts concernant la proposition de loi relative la protection de lidentit

Examine en sance plnire le 25 octobre 2011

Depuis le dbut des annes 2000, plusieurs projets de cartes didentit biomtriques et lectroniques ont vu le jour. La Commission a ainsi t saisie par le ministre de lintrieur de trois avant-projets de loi et sest prononce, en particulier en juillet 2008, sur un projet de loi relatif la protection de lidentit. Celui-ci nayant pas t dpos sur le bureau de lAssemble nationale, la dlibration n 2008-306 du 17 juillet 2008 na pas t rendue publique. A loccasion du dbat parlementaire en cours sur la proposition de loi n 682 relative la protection de lidentit, la CNIL estime ncessaire, conformment ses missions gnrales de conseil et dinformation prvues par larticle 11 de la loi Informatique et Liberts , de faire connatre son analyse en la matire. La prsente note dobservations, examine en sance plnire de la Commission le 25 octobre 2011, sappuie tout particulirement sur les dcisions quelle a dj rendues sagissant des passeports biomtriques (dlibration n2007-368 du 11 dcembre 2007), des cartes didentit lectroniques et biomtriques (notamment dlibration n 2008-306 prcite), et plus gnralement en matire de biomtrie, dadministration lectronique et de tlservices.

I.

Les donnes biomtriques sont des donnes particulirement sensibles dont le traitement est strictement encadr par la loi

La Commission rappelle que les donnes biomtriques ne sont pas des donnes caractre personnel comme les autres . Elles prsentent en effet la particularit de permettre tout moment lidentification de la personne concerne sur la base dune ralit biologique qui lui est propre, permanente dans le temps et dont elle ne peut saffranchir. A la diffrence de toute autre donne caractre personnel, la donne biomtrique nest donc pas attribue par un tiers ou choisie par la personne : elle est produite par le corps lui-mme et le dsigne ou le reprsente, lui et nul autre, de faon immuable. Elle appartient donc la personne qui la gnre et tout dtournement ou mauvais usage de cette donne fait alors peser un risque majeur sur lidentit de celle-ci. Cette spcificit des donnes biomtriques a dailleurs conduit le Lgislateur leur confrer une protection et un encadrement particuliers. La modification de la loi Informatique et Liberts intervenue le 6 aot 2004 a ainsi renforc le pouvoir de contrle de la CNIL sur de tels traitements (autorisation pralable ncessaire), considrs comme prsentant des risques particuliers au regard de la vie prive et des liberts individuelles. La ncessit de prter une attention particulire aux donnes biomtriques doit tre renforce lorsque la biomtrie utilise est dite trace , comme les empreintes digitales par exemple. Celles-ci ont en effet la particularit de pouvoir tre captures et utilises linsu des personnes concernes, comme par exemple des fins dusurpation didentit. Il en est de mme pour les caractristiques du visage. En effet, si celles-ci ne donnent pas lieu dpt de traces, lassociation entre vidoprotection et dispositifs de reconnaissance faciale aboutit un rsultat similaire en crant des traces informatiques en lieu et place des traces physiques laisses par les empreintes digitales.

Cette spcificit des donnes biomtriques a pour consquence daccrotre le niveau dexigence quant leur utilisation. En particulier, deux principes fondateurs du droit la protection des donnes caractre personnel doivent tre imprativement respects : le principe de finalit : les traitements de donnes doivent poursuivre des finalits dtermines, explicites et lgitimes (article 6-2 de la loi Informatique et Liberts ) et les donnes concernes ne doivent pas tre utilises dautres fins que celles qui ont t dfinies ; le principe de proportionnalit : les dispositifs envisags doivent tre strictement proportionns au regard des objectifs du traitement. Plus prcisment, les donnes traites doivent tre adquates, pertinentes et non excessives au regard des finalits attribues au traitement (article 6-3), leur dure de conservation dans le traitement ne doit pas excder la dure ncessaire ces finalits (article 6-5) et elles ne doivent tre rendues accessibles quaux destinataires ayant un intrt lgitime en connatre.

Le respect de ces principes est dautant plus imprieux lorsque les donnes biomtriques sont collectes dans le cadre des procdures de dlivrance de titres didentit ou de voyage qui sont dtenus par la quasi-totalit de la population franaise.

II.

Charge dappliquer la loi, la CNIL sest dj prononce sur lutilisation de la biomtrie dans le cadre de la dlivrance de titres didentit

Sur la base de cette grille de lecture , la Commission sest prononce de multiples reprises sur des projets de traitements biomtriques mis en uvre dans le cadre de la dlivrance de titres didentit ou de voyage, tout particulirement dans le cadre de son avis sur les passeports biomtriques. La finalit du systme des passeports biomtriques, autoris par le dcret n 2005-1726 du 30 dcembre 2005 modifi, est uniquement dordre administratif. Ce traitement a ainsi pour seul objectif de mieux scuriser la dlivrance de ces titres et en particulier de lutter contre la fraude lidentit. Pour atteindre cet objectif, le systme des passeports biomtriques repose sur deux lments principaux, qui se retrouvent dans la proposition de loi actuellement examine par le Parlement : la dlivrance de passeports quips de puces lectroniques contenant des donnes biomtriques (photographie et deux empreintes digitales) et la cration dune base de donnes centralise contenant notamment les empreintes digitales de huit doigts des demandeurs de titre. Dans son avis du 11 dcembre 2007, la Commission a rappel quelle a toujours considr comme lgitime le recours des dispositifs de reconnaissance biomtrique pour sassurer de lidentit dune personne, ds lors que les donnes biomtriques sont conserves dans un support individuel exclusivement dtenu par la personne concerne. Ainsi, la personne concerne, et elle seule, conserve la matrise de ses donnes biomtriques qui restent sous sa responsabilit et ne peuvent pas tre utilises pour lidentifier son insu.

La CNIL a ainsi relev que linsertion dun composant lectronique constitue une mesure efficace de protection contre la falsification ou la contrefaon des documents ds lors quelle permet de sassurer par des mcanismes cryptographiques de lauthenticit de la puce et de lintgrit des donnes quelle contient. En outre, linsertion dlments biomtriques dans le composant est de nature empcher les possibilits dusurpation didentit dans la mesure o elle permet leur comparaison avec les empreintes prsentes par la personne physique dtentrice du titre. Cest pourquoi la Commission a estim que lintroduction dans les titres didentit et de voyage dun composant lectronique contenant des donnes biomtriques est proportionne par rapport lobjectif de renforcement de la scurit de ltablissement et de la vrification des titres. En ce qui concerne spcifiquement les passeports, la lgislation europenne fait dailleurs obligation aux Etats membres de dlivrer de tels passeports. Lanalyse de la Commission a cependant t diffrente en ce qui concerne la cration de la base de donnes biomtriques centralise. Tout dabord, en ce qui concerne la finalit de ce traitement en base centrale, la Commission a rappel que le traitement, sous une forme automatise et centralise, de donnes telles que les empreintes digitales, compte tenu la fois des caractristiques de llment didentification physique retenu, des usages possibles de ces traitements et des risques datteintes graves la vie prive et aux liberts individuelles en rsultant, ne pouvait tre admis que dans la mesure o des exigences en matire de scurit ou dordre public le justifient. Or, ce traitement tant constitu uniquement aux fins de faciliter et de scuriser les procdures de dlivrance des passeports, la Commission a considr que, si lgitimes soient-elles, les finalits invoques ne justifiaient pas la conservation, au plan national, de donnes biomtriques telles que les empreintes digitales et que les traitements ainsi mis en uvre seraient de nature porter une atteinte excessive la libert individuelle. En outre, la proportionnalit du traitement en base centrale des empreintes digitales des demandeurs de titre a fait lobjet de rserves de la part de la Commission. Celle-ci a ainsi rappel que la cration dune base centralise de donnes biomtriques de grande ampleur comporte des risques importants et implique des scurits techniques complexes et supplmentaires. En effet, un fichier est dautant plus vulnrable, convoit et susceptible dutilisations multiples quil est de grande dimension, quil est reli des milliers de points daccs et de consultation, et quil contient des informations trs sensibles comme des donnes biomtriques. La CNIL a galement soulign que le recueil de huit empreintes digitales et leur conservation en base centrale ne rsultaient pas des prescriptions du rglement communautaire relatif aux passeports. Or, le nombre dempreintes digitales enregistres dans le traitement central revt un aspect dterminant dans lapprciation du caractre pertinent, adquat et non excessif des donnes collectes au regard de la finalit du traitement. A cet gard, la Commission relve que le Conseil dEtat, saisi de requtes en annulation du dcret relatif aux passeports, devrait se prononcer prochainement sur ce point.

Elle a enfin relev quun dispositif biomtrique de lutte contre la fraude ne peut tre pleinement efficace que si les documents dtat civil produits par les demandeurs pour se faire enregistrer dans le systme sont fiables. Or, aucune mesure particulire ntait prvue par le ministre de lintrieur afin de scuriser ces documents sources . Au regard de lensemble de ces lments, la Commission a estim que la conservation sous forme centralise des huit empreintes digitales des demandeurs de passeport semblait disproportionne au regard de lobjectif de lutte contre la fraude documentaire.

III.

Application de ces principes au cas de la proposition de loi relative la protection de lidentit

La proposition de loi relative la protection de lidentit reprend dans une large mesure le dispositif mis en uvre dans le cadre des passeports biomtriques ainsi que les prcdents projets du ministre de lintrieur relatifs aux cartes didentit biomtriques et lectroniques. Plus prcisment, elle poursuit trois objectifs principaux : garantir une meilleure fiabilit des cartes nationales didentit et des passeports, en quipant ces titres de puces lectroniques contenant des donnes biomtriques (photographie et empreintes digitales) ; lutter contre la fraude lidentit, en crant un traitement de donnes caractre personnel pour faciliter le recueil et la conservation des donnes requises pour la dlivrance de ces titres (donnes biomtriques et autres donnes didentification ncessaires cette dlivrance) ; offrir aux titulaires de cartes didentit de nouveaux services tels que lauthentification distance et la signature lectronique.

1) Sur la lgitimit de la dlivrance de titres biomtriques Comme elle la rappel dans son avis sur les passeports biomtriques, tout comme dans son avis sur le prcdent projet du ministre de lintrieur relatif aux cartes didentit biomtriques, la Commission estime que lintroduction dun composant lectronique contenant des donnes biomtriques est proportionne par rapport lobjectif de renforcement de la scurit de ltablissement et de la vrification des titres. La dlivrance de tels documents doit cependant, selon la Commission, tre assortie de garanties complmentaires. Celles-ci pourraient porter en premier lieu sur lge minimal de collecte des identifiants biomtriques : pour la CNIL, la dtermination de cet ge nest pas seulement un lment technique mais une question de principe mritant un large dbat. Pour prserver la dignit de la personne ainsi que pour garantir la fiabilit de la procdure, la Commission considre que la collecte et le traitement des empreintes digitales devraient tre limits pour les enfants, par exemple en prvoyant une dispense de collecte pour les enfants de moins de douze ans, comme le prvoit dailleurs le droit communautaire en la matire. En second lieu, la Commission estime que la comparaison entre la donne biomtrique enregistre dans le composant et lempreinte lue en direct sur un lecteur pourrait se faire dans la carte elle-mme. La mise en uvre de cette technique, dite match on card , serait

susceptible dapporter une garantie supplmentaire la protection des donnes caractre personnel, en vitant toute possibilit de copie externe. Dautres mesures techniques et logiques doivent galement tre prvues afin dassurer la scurit de ces composants et des donnes caractre personnel qui y sont contenues. 2) Sur la cration de la base de donnes biomtriques Deux catgories de finalits peuvent tre attribues au traitement centralis de donnes biomtriques dans le cadre des documents didentit et de voyage : soit le traitement a pour finalit la gestion des procdures administratives de dlivrance des titres, et en particulier la lutte contre la fraude lidentit, soit il sagit un nouvel outil de police judiciaire. Ces deux finalits nappellent pas les mmes dispositifs techniques ni les mmes garanties en matire de protection des donnes des personnes concernes. Dans le cadre de la proposition de loi relative la protection de lidentit, le systme projet a pour seul objectif de mieux scuriser la dlivrance de ces titres et en particulier de lutter contre la fraude lidentit. Ds lors, il sagirait uniquement de crer un fichier administratif, semblable au traitement dj mis en uvre relatif aux passeports biomtriques, et en aucun cas de constituer un outil de police judiciaire la disposition des services de police et de gendarmerie. Il convient cependant de sassurer que le traitement cr ne peut tre utilis dautres fins que la scurisation de la dlivrance des titres didentit et de voyage, par exemple en le prvoyant expressment dans la loi. De mme, linterdiction de procder linterconnexion avec tout autre traitement de donnes caractre personnel, lexception des fichiers de passeports et de cartes didentit vols ou perdus, pourrait tre prvue dans le texte de la proposition de loi. Il conviendrait galement de sassurer quun tel systme ne soit pas dtourn de sa finalit par un recours systmatique aux rquisitions judiciaires, qui sont possibles sur tout traitement de donnes caractre personnel en application des dispositions du code de procdure pnale. En effet, une consultation systmatique du fichier aurait pour effet de le doter de facto dune finalit de police judiciaire, qui constitue une finalit distincte. En ce qui concerne la proportionnalit de cette base centrale dlments biomtriques, la Commission relve quil existe des modalits de lutte contre la fraude qui apparaissent tout la fois aussi efficaces et plus respectueuses de la protection de la vie prive des personnes, en particulier celles qui sattachent scuriser les documents sources produire pour la dlivrance de titres didentit. Ainsi en est-il de la procdure de vrification des donnes dtat civil, prvue par la proposition de loi. La Commission rappelle cet gard que cette procdure a t appele de ses vux de nombreuses reprises depuis 1986, et notamment dans sa dlibration sur le passeport biomtrique, dans la mesure o elle permet de renforcer la scurit du processus de dlivrance des titres didentit, en se prmunissant de certaines modalits de fraude documentaire, comme linvention didentit, la prsentation de faux actes dtat civil ainsi que la prsentation dactes dtat civil de tiers. Cette procdure a finalement t prvue par un dcret du 10 fvrier 2011, pris aprs avis de la CNIL.

Dautres mesures de lutte contre la fraude sont actuellement mises en uvre ou ltude, comme linsertion de composants lectroniques dans les titres, la scurisation des justificatifs de domicile prsents lors des demandes de carte didentit ou de passeport, ou encore la gestion dun traitement spcifique de lutte contre la fraude documentaire au sein du ministre de lintrieur. La Commission considre que lefficacit de lensemble de ces mesures devrait tre prcisment value avant denvisager la gnralisation du traitement en base centralise des identifiants biomtriques des individus. Dans ces conditions, la Commission estime, tout comme dans le cadre de son avis sur le projet de loi prsent en 2008 par le ministre de lintrieur, que la proportionnalit de la conservation sous forme centralise de donnes biomtriques, au regard de lobjectif lgitime de lutte contre la fraude documentaire, nest pas ce jour dmontre. Si une telle base centralise de donnes biomtriques tait nanmoins envisage, des garanties supplmentaires de nature assurer la protection des donnes personnelles des citoyens franais devraient tre introduites. Par exemple, la limitation du nombre dempreintes digitales enregistres dans la base centrale pour chaque personne pourrait tre envisage. La Commission considre en effet que la limitation deux doigts constituerait une garantie matrielle contre le dtournement de finalit du systme, en empchant les recherches en identification sur la base des empreintes digitales, tout en permettant de vrifier la correspondance entre lidentit revendique et les empreintes prsentes. Comme indiqu prcdemment, le Conseil dEtat devrait dailleurs se prononcer prochainement sur la pertinence de lenregistrement de huit empreintes digitales au regard de la finalit du traitement relatif aux passeports. Dautres mesures permettraient galement de limiter les possibilits dutilisation de la base de donnes biomtriques la seule fin de lutte contre la fraude lidentit. Ainsi de labsence de lien univoque entre les donnes biomtriques enregistres dans le traitement central et les donnes dtat civil des personnes auxquelles ces donnes correspondent, ou de linterdiction expresse de procder des recherches en identification sur la base des lments biomtriques enregistres dans la base. 3) Sur la possibilit de mettre en uvre des dispositifs de reconnaissance faciale : les rserves de la Commission Si les remarques qui prcdent concernant la base centralise de donnes biomtriques valent tout autant pour les empreintes digitales que pour les photographies, la Commission relve que les fonctionnalits didentification des personnes, partir de lanalyse biomtrique de la morphologie de leur visage, revtent un caractre particulier. En effet, la Commission considre que la mise en uvre par lEtat de dispositifs de reconnaissance faciale des personnes prsente des risques importants pour les liberts individuelles, notamment dans le contexte actuel de multiplication du nombre des systmes de vidoprotection, de leur interconnexion et de leur interoprabilit. Dans ces conditions, la CNIL exprime sa plus grande rserve sur la possibilit, ouverte par la proposition de loi, de recourir de telles fonctionnalits dans le cadre des demandes de titres didentit et de voyage

Compte tenu de ces risques, il serait souhaitable de prvoir un cadre juridique spcifique et limit, propre lutilisation des technologies de reconnaissance faciale des fins didentification des personnes par lEtat. En tout tat de cause, la Commission estime que de tels traitements biomtriques devraient faire lobjet dexprimentations pralables, places sous son contrle. 4) Sur les fonctions lectroniques de la carte nationale didentit La proposition de loi prvoit de nouvelles fonctionnalits de la carte nationale didentit, qui permettra de sauthentifier en ligne et de signer lectroniquement. La Commission considre que lobjectif de simplification des dmarches administratives en ligne et de dveloppement du commerce lectronique est tout fait lgitime. Cependant, de telles fonctions lectroniques appellent des garanties particulires, dans la mesure o elles pourraient permettre la constitution dun identifiant unique pour tous les citoyens franais ainsi que la constitution dun savoir public sur les agissements privs. Cest pourquoi le dispositif projet doit empcher la collecte excessive de donnes, le suivi des personnes sur internet ainsi que lusurpation de lidentit numrique. A cet gard, la Commission relve que plusieurs garanties essentielles sont prvues par la proposition de loi, comme par exemple le caractre facultatif de sa dtention pour bnficier des tlservices commerciaux ou de ladministration ou encore le consentement des personnes au traitement de leurs donnes des fins dutilisation de tlservices. En outre, elle souligne que lutilisation de tlservices impliquera ncessairement la mise en uvre de certificats lectroniques, enregistrs dans la puce contact de la carte didentit contenant un grand nombre de donnes caractre personnel (noms, prnoms, sexe, date et lieu de naissance, adresse e-mail, adresses de rsidences successives, photographie du titulaire, signature manuscrite numrise, etc.). Il apparat ds lors ncessaire de sassurer que seules les donnes personnelles ncessaires aux transactions lectroniques sont communiques lors de lutilisation de ces tlservices. Dans ces conditions, la Commission estime que de telles fonctionnalits doivent tre accompagnes de la mise en place de mcanismes dits de divulgation partielle ou slective , qui permettent de ne communiquer que les seules informations requises, selon la nature du tlservice, pour assurer les vrifications pralables utiles la mise en uvre de celui-ci (critre gographique, dge, etc.). Si la proposition de loi semble prvoir de tels mcanismes, il convient cependant de bien les distinguer, dans le texte, de la ncessaire information, claire et pralable toute transmission de donnes, des personnes concernes, notamment sur la nature des informations communiques au tlservice. Par ailleurs, de telles fonctionnalits ne devraient pas permettre le suivi des personnes sur internet ou lexploitation par lEtat dinformations sur les transactions prives effectues par les citoyens. Une telle interdiction serait utilement rappele dans le texte prvoyant ces nouvelles fonctionnalits de la carte lectronique. Des mesures techniques de nature garantir limpossibilit de tracer lensemble des transactions effectues par les personnes, telles que linclusion dautres certificats dans la puce lectronique de la carte didentit, lutilisation de listes de rvocation et non de serveurs de rvocation, ainsi que la dfinition de politiques rigoureuses dhabilitation et de traabilit au sein des organismes de certification, pourraient galement tre prvues.

Enfin, des mesures techniques de nature garantir labsence de constitution dun identifiant unique (la cration didentifiants sectoriels spcifiques chaque prestataire) ainsi que la scurit des communications entre la carte didentit et les lecteurs dune part, entre la carte, les fournisseurs de tlservice et le tiers certificateur dautre part, devraient galement faire lobjet de spcifications techniques dtailles.

Isabelle FALQUE-PIERROTIN