La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1-2° ;
Vu la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;
Vu la décision du Conseil constitutionnel n° 2012-652 DC du 22 mars 2012 ;
Vu l'avis du Conseil d'Etat n° 391080 du 23 février 2016 ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis d'un projet de décret autorisant la création, par le ministre de l'intérieur, d'un traitement automatisé de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
Ce traitement, dénommé « Titres électroniques sécurisés » (TES), doit notamment porter sur des données biométriques recueillies, dans le cadre de l'établissement des cartes nationales d'identité et des passeports, à des fins d'authentification des personnes.
Le ministère souhaite dès lors faire application de la procédure prévue à l'article 27-l-2° de la loi du 6 janvier 1978 modifiée, qui dispose que les traitements mis en œuvre pour le compte de l'Etat qui portent sur des données biométriques sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission.
A titre liminaire, le projet soumis appelle de la part de la Commission plusieurs réserves.
Elle observe d'abord que la mise en œuvre du traitement envisagé conduirait à réunir au sein d'un même fichier des données biométriques, en particulier les images numérisées des empreintes digitales et de la photographie de l'ensemble des demandeurs de cartes nationales d'identité et de passeports.
Si la base actuelle des passeports TES contient 15 millions de jeux de données comparables à celles qui sont appelées à figurer dans la base commune envisagée par le présent projet, le passage à une base réunissant des données biométriques relatives à 60 millions de personnes, représentant ainsi la quasi-totalité de la population française, constitue un changement d'ampleur et, par suite, de nature, considérable.
La Commission considère en outre que, compte tenu de la nature des données traitées, les conséquences qu'aurait un détournement des finalités du fichier imposent des garanties substantielles et une vigilance particulière.
S'agissant des garanties, la Commission regrette que les dispositifs présentant moins de risques pour la protection des données personnelles, tels que la conservation de données biométriques sur un support individuel exclusivement détenu par la personne, n'aient pas été expertisés. Elle recommande dès lors une évaluation complémentaire du dispositif. Il en va de même s'agissant de la conservation des données biométriques brutes qui, pour des raisons de sécurité, pourrait être utilement remplacée par des gabarits de celles-ci.
S'agissant enfin de la vigilance collective quant à ce type de traitements, la Commission relève que, compte tenu, d'une part, de la nature de cette base, relative aux titres d'identité, et, d'autre part, des débats relatifs à la protection de l'identité intervenus à l'occasion de l'adoption de la loi du 27 mars 2012 susvisée, le Parlement devrait être prioritairement saisi du projet envisagé. Si, d'un strict point de vue juridique, aucun obstacle ne s'oppose au recours au décret, elle recommande donc au Gouvernement de saisir le Parlement du projet.
Sur la finalité du traitement :
Le dispositif envisagé s'inscrit dans le cadre de la refonte et de l'harmonisation des procédures d'instruction et de délivrance des cartes nationales d'identité et des passeports.
Le projet de décret prévoit ainsi de modifier les conditions de recueil et d'instruction des demandes de cartes nationales d'identité, en supprimant le principe de la territorialisation des demandes et en appliquant à ces titres les outils de sécurité et de simplification déjà mis en œuvre pour les passeports, notamment l'archivage numérisé des documents et l'enregistrement de données biométriques.
Dans ce cadre, est prévue la création d'un traitement commun qui, aux termes de l'article ler du projet de décret, doit permettre, d'une part, de « procéder à l'établissement, à la délivrance, au renouvellement, à l'invalidation et au retrait » des cartes nationales d'identité et des passeports et, d'autre part, de « prévenir et constater leur falsification et contrefaçon ».
La mise en œuvre, par l'Agence nationale des titres sécurisés, de ce traitement commun conduira à la suppression du Fichier national de gestion (FNG) relatif aux cartes nationales d'identité, prévu par le décret n° 55-1397 du 22 octobre 1955 modifié, et du système TES relatif à la délivrance du passeport, du passeport de service et du passeport de mission, prévu par le décret n° 2005-1726 du 30 décembre 2005 modifié.
Le regroupement de l'ensemble des données recueillies au sein d'un même traitement doit permettre de simplifier et de moderniser l'instruction des demandes de cartes nationales d'identité et de passeports, facilitant notamment la mise en place de plate-formes d'instruction communes.
En outre, la numérisation des données recueillies dans le cadre de la procédure de délivrance des cartes nationales d'identité permettra de les sécuriser et de mieux protéger leur intégrité.
Enfin, le traitement commun, qui réunira l'image numérisée des empreintes digitales et de la photographie de l'ensemble des demandeurs et titulaires de cartes nationales d'identité et de passeports, vise à renforcer la lutte contre la fraude documentaire et l'usurpation d'identité.
Sa mise en œuvre permettra plus précisément de procéder à la comparaison automatique des empreintes digitales de chaque demandeur avec les empreintes précédemment enregistrées sous la même identité, soit que ce demandeur sollicite le renouvellement d'un titre, soit qu'il dispose déjà d'un autre titre. Ce faisant, il doit faciliter l'authentification des demandeurs et permettre de s'assurer qu'elles sont effectivement titulaires de l'identité qu'ils revendiquent.
Il ne pourra pas, en revanche, être utilisé à des fins d'identification des personnes.
Dans ces conditions, la Commission considère que les finalités du traitement TES sont déterminées, explicites et légitimes au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Elle rappelle toutefois que les données biométriques présentent la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir. Ces données sont susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles.
Comme cela a été souligné à titre liminaire, les risques spécifiques attachés au fichier envisagé, au regard tant de la nature des données enregistrées que du nombre de personnes concernées, imposent la plus grande prudence et obligent à n'envisager sa mise en œuvre que dans la stricte mesure où aucun autre dispositif, présentant moins de risques d'atteintes aux droits des intéressés, ne permet d'atteindre des résultats équivalents.
Sur ce point, elle relève que les finalités légitimes poursuivies par la mise en œuvre du traitement TES sont comparables à celles de l'institution d'une carte nationale d'identité dotée d'un composant électronique comportant des données biométriques, prévue à l'article 2 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.
La proposition de loi à l'origine de ces dispositions prévoyait également la mise en place d'une base centralisée regroupant les données biométriques recueillies pour l'établissement des cartes nationales d'identité et des passeports. Le dispositif, dont les finalités étaient plus larges que celles du traitement dont la création est aujourd'hui envisagée, a été déclaré contraire à l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 par le Conseil constitutionnel dans sa décision n° 2012-652 DC du 22 mars 2012.
En revanche, l'introduction du composant électronique sécurisé dans la carte nationale d'identité, qui n'a pas été censurée par le Conseil constitutionnel, n'a toujours pas été mise en œuvre.
L'application de cette mesure législative serait de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d'atteintes au droit au respect de la vie privée. Elle permettrait de conserver les données biométriques sur un support individuel exclusivement détenu par la personne concernée, qui conserverait donc la maîtrise de ses données, réduisant les risques d'une utilisation à son insu.
La Commission regrette dès lors que les actes réglementaires permettant l'entrée en vigueur d'une telle mesure n'aient pas été adoptés, alors qu'est envisagée la création d'une base de données centralisée, présentant davantage de risques au regard de la protection des droits et libertés.
En outre, si elle n'entend pas contester la possibilité offerte par l'article 27-1-2° de la loi du 6 janvier 1978 modifiée d'autoriser la mise en œuvre, par la voie d'un décret en Conseil d'Etat, de traitements comportant des données biométriques utilisées à des fins d'authentification des personnes, la Commission réitère que les enjeux soulevés par la mise en œuvre d'un traitement comportant des données particulièrement sensibles relatives à près de 60 millions de français auraient mérité une véritable étude d'impact et l'organisation d'un débat parlementaire.
En tout état de cause, la Commission estime que la mise en œuvre d'un tel traitement doit obéir à des règles de sécurité strictes et être entourée de garanties assurant que les données sont utilisées aux seules fins prévues par le pouvoir réglementaire.
Sur les données traitées :
Le traitement commun aux passeports et aux cartes nationales d'identité a vocation à regrouper l'ensemble des documents numérisés et données à caractère personnel collectées dans le cadre de la procédure d'établissement et de délivrance de ces titres.
Cette dématérialisation des données et leur conservation dans un fichier central n'est nouvelle que pour les cartes nationales d'identité, dont la procédure de délivrance est alignée sur celle des passeports.
La plupart des données à caractère personnel et des informations qui seront enregistrées dans le TES correspondent à celles aujourd'hui contenues dans le fichier de gestion des passeports et n'appellent pas d'observation de la part de la Commission.
Elle relève toutefois que, parmi ces données, définies à l'article 2 du projet de décret, figureront notamment l'image numérisée de la photographie et l'image numérisée des empreintes digitales du demandeur.
Le projet de décret limite à deux le nombre d'empreintes digitales recueillies, comme le prévoit déjà l'article 6-1 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports et comme le prévoira l'article 4-3 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité dans sa version modifiée par le projet de décret.
Le recueil de deux empreintes apparait adéquat au regard de la finalité d'authentification du traitement, qui ne nécessite pas un nombre supérieur d'empreintes, comme l'a indiqué le Conseil d'Etat dans sa décision n° 317827 en date du 26 octobre 2011, relative au système de gestion des passeports. Cette limitation constitue une garantie contre le risque d'utilisation des données à des fins d'identification des personnes.
A cet égard, le II de l'article 3 du projet de décret prévoit que le traitement TES ne comportera pas de dispositif de recherche permettant l'identification à partir de l'image numérisée du visage ou des empreintes digitales. Les données biométriques ne seront accessibles qu'à partir des données d'identité, ce qui permettra de vérifier l'identité avancée par le demandeur, mais non de rechercher l'identité d'une personne à partir de ses empreintes ou de sa photographie.
La Commission souligne que l'effectivité de cette exclusion, qui suppose la mise en œuvre de mesures de sécurité strictes et un contrôle permanent des accès aux données ainsi que de leur utilisation, doit impérativement être assurée.
Au vu des risques graves d'atteinte à la vie privée soulevés par la mise en œuvre de ce traitement, la commission se montrera particulièrement attentive à ses conditions réelles de mise en œuvre, notamment dans le cadre de ses pouvoirs de contrôle prévus à l'article 44 de la loi du 6 janvier 1978 modifiée.
Si l'utilisation des données biométriques à des fins d'identification est ainsi exclue, leur exploitation à des fins d'authentification est automatisée et élargie.
Le traitement permettra ainsi de vérifier l'identité du demandeur d'un titre en comparant systématiquement ses empreintes digitales avec celles précédemment enregistrées sous la même identité dans le fichier TES.
Le ministère de l'intérieur entend fonder cette comparaison sur l'article 8 du projet de décret, qui s'inspire de la rédaction de l'article 22 du décret du 30 décembre 2005 relatif aux passeports et prévoit, après avoir mentionné la consultation du Fichier des personnes recherchées, « qu'il est également procédé à une consultation du traitement mentionné à l'article 10 afin de vérifier si des titres ont déjà été sollicités ou délivrés sous l'identité du demandeur ».
La Commission considère que ce contrôle, qui a vocation à s'appliquer à la quasi-totalité de la population française et constitue l'apport essentiel du traitement TES, doit se fonder sur des dispositions juridiques plus explicites, permettant une information claire des citoyens sur les conditions d'utilisation des données biométriques collectées. Elle demande donc que le décret soit précisé sur ce point et qu'il exclue expressément l'utilisation, dans le cadre de cette authentification, d'un dispositif de reconnaissance faciale à partir de la photographie.
Par ailleurs, le taux de fiabilité certaine du dispositif de comparaison des empreintes digitales étant d'environ 97 %, la Commission juge nécessaire l'adoption de mesures protectrices des droits des intéressés permettant de remédier aux risques de faux rejets ou de fausses acceptations.
Sur ce point, elle prend acte que le résultat de la comparaison automatisée des empreintes sera uniquement un élément participant de l'instruction de la demande de titre mais ne pourra, à lui seul, suffire à conclure à la délivrance d'un titre ou au rejet de la demande pour fraude.
Elle considère toutefois préférable, pour lever toute ambigüité, de modifier la rédaction de l'article 1er du projet de décret définissant les finalités du traitement, pour supprimer l'expression : « constater » la falsification ou la contrefaçon de titres, qui semble exclure toute marge d'appréciation.
Sur la durée de conservation des données :
L'article 9 du projet de décret fixe les durées de conservation des données enregistrées dans le traitement en fonction du titre (passeport, passeport de service, passeport de mission, carte nationale d'identité) et de l'âge du demandeur (mineur ou majeur).
Les durées prévues, similaires à celles fixées à l'article 24 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports et à l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité, sont adaptées aux finalités pour lesquelles les données sont collectées et traitées, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données
Plusieurs catégories de destinataires ont accès au fichier TES, qui transmet par ailleurs des informations à plusieurs autres traitements.
Ont tout d'abord accès aux données contenues dans le traitement les agents chargés de l'application de la réglementation relative au passeport et à la carte nationale d'identité ou chargés de la délivrance de ces titres, désignés et dûment habilités par l'autorité hiérarchique dont ils dépendent.
Ces accès, qui poursuivent un intérêt légitime au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée, n'appellent pas d'observation de la part de la Commission.
Ont également accès au traitement TES, dans les conditions prévues par l'article L. 222-1 du code de la sécurité intérieure, les services de police, les militaires et les agents des services de renseignement mentionnés à l'article R. 222-1 du code de la sécurité intérieure, dans le cadre de missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme.
La Commission prend acte que ces agents, désignés et dûment habilités, ne pourront pas accéder à l'empreinte numérisée des empreintes digitales.
Conformément aux finalités administratives du traitement, le projet de décret ne prévoit pas d'accès des autorités judiciaires.
La Commission rappelle toutefois que l'ensemble des données contenues dans TES, y compris des données biométriques, pourront, comme l'ensemble des données contenues dans des fichiers administratifs, faire l'objet de réquisitions judiciaires.
Si le principe de telles réquisitions n'est nullement contesté, la Commission regrette que l'absence d'intervention du législateur ait empêché d'analyser l'opportunité de moduler les conditions de leur mise en œuvre à l'égard des données contenues dans TES, pour tenir compte de l'ampleur inégalée de ce traitement et du caractère particulièrement sensible des données qu'il réunira.
Outre la définition de différentes catégories de destinataires, le projet de décret prévoit la transmission d'informations à la base Interpol et au système d'information Schengen, qui n'appelle pas d'observation de la part de la Commission.
Apparaît également justifiée la transmission d'informations au « fichier national de contrôle de la validité des titres », mentionnée à l'article 7 du projet de décret et par ailleurs prévue par l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » pris après un avis de la Commission en date du 21 juillet 2016.
Toutefois, par souci de clarté et de cohérence par rapport à la terminologie employée par l'arrêté du 10 août 2016, la Commission considère, d'une part, que la dénomination DOCVERIF devrait être reprise à l'article 7 du projet de décret et, d'autre part, que ce même article, qui prévoit la transmission de données nominatives pour les titres « perdus, volés ou invalidés », devrait uniquement mentionner les titres « invalidés », cette catégorie incluant, aux termes de l'article 3 et de l'annexe de l'arrêté précité, les titres déclarés perdus ou volés.
Sur les droits des personnes :
Il est envisagé d'informer les demandeurs de titres sur les caractéristiques du traitement par voie d'affichage.
Sur ce point, la Commission considère que la mise en œuvre du dispositif de comparaison automatisée des empreintes du demandeur à celles antérieurement enregistrées sous la même identité constitue l'une des caractéristiques essentielles du fichier central, directement liée à ses finalités, et entre dès lors dans le champ de l'obligation d'information incombant aux responsables de traitement en application de l'article 32 de la loi du 6 février 1978 modifiée.
Quant aux droits d'accès et de rectification, ils s'exerceront auprès de l'autorité de délivrance, dans les conditions fixées aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, ce qui n'appelle pas d'observation de la Commission.
Il en va de même de l'exclusion de l'exercice du droit d'opposition par l'article 12 du projet de décret, qui dispose qu'il ne s'applique pas au traitement TES.
Sur la sécurité des données et la traçabilité des actions :
Le système TES est un système de gestion des demandes de titres. Les différentes demandes effectuées par un même demandeur sont enregistrées dans le système comme des demandes distinctes. Une demande mutualisée de carte nationale d'identité et de passeport par un même demandeur fait ainsi l'objet de deux dossiers totalement séparés, les données communes étant conservées deux fois.
La base biométrique est composée de trois bases de données distinctes permettant de séparer les photographies, les empreintes digitales et la signature numérisée du demandeur. Les données des bases biométriques sont chiffrées, les clés de chiffrement sont conservées dans des HSM (Hardware Security Module) qualifiés par l'ANSSI, et l'accès à ces données est sécurisé par la mise en œuvre d'un lien unidirectionnel depuis le dossier de demande de titre.
Cependant, la Commission rappelle que la conservation de données biométriques brutes soulève des risques que l'utilisation de gabarits permettrait de prévenir. Elle considère donc, comme cela a été précédemment indiqué, que les données biométriques brutes devraient être remplacées par des gabarits ou tout autre dispositif technique permettant de renforcer la protection et la sécurité des données.
La gestion des droits des utilisateurs est assurée par l'autorité hiérarchique dont dépendent les agents. Le système TES propose une gestion fine des droits des utilisateurs, selon plusieurs profils fonctionnels (recueil, remise, suivi et instruction selon 5 niveaux) et pour chaque type de titre géré.
La Commission relève que l'article 9 du projet de décret prévoit que les consultations font l'objet d'un enregistrement comprenant l'identification du consultant, la date et l'heure de la consultation, et que ces informations sont conservées pendant cinq ans.
Tous les flux internes à TES et entre les différentes composantes sont sécurisés et cloisonnés, pour en contrôler l'origine.
Sous ces réserves, la Commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que l'obligation résultant de l'article 34 susmentionné nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.