Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie par le ministère de l'intérieur, sur le fondement de l'article 32 de la loi du 6 janvier 1978 modifiée (ci-après, la loi « informatique et libertés »), d'un projet de décret modifiant le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
Ce traitement, dénommé « titres électroniques sécurisés » (TES), a pour principale finalité l'établissement, la délivrance, le renouvellement et l'invalidation des cartes nationales d'identité et des passeports. Il permet également de prévenir et détecter la falsification et la contrefaçon de ces documents, et de lutter contre l'usurpation d'identité. Le traitement « TES » a pour caractéristique de regrouper, dans une base de données centralisée, l'image numérisée du visage et des empreintes digitales de deux doigts de l'ensemble des demandeurs de cartes nationales d'identité et de passeports.
La Commission rappelle que, compte tenu de la nature et du volume des données traitées, qui comprennent des données particulièrement sensibles de la quasi-totalité de la population française, des garanties substantielles doivent entourer la mise en œuvre du traitement. Ainsi, une vigilance particulière s'impose eu égard à toute modification du traitement soumise pour avis à la Commission.
Le traitement « TES » a récemment fait l'objet de modifications, sur lesquelles la Commission s'est prononcée par sa délibération n° 2021-022 du 11 février 2021. A cette occasion, la Commission a émis des observations sur l'ajout d'une nouvelle finalité de lutte contre l'usurpation d'identité, les durées de conservation, la possibilité pour les usagers de solliciter la suppression de l'image numérisée de leurs empreintes digitales, la mise en relation de « TES » avec d'autres traitements, et les mesures de sécurité.
Par le présent projet, le ministère entend apporter une modification au traitement pour pallier les difficultés auxquelles sont confrontés les usagers en raison de l'absence d'anticipation de l'arrivée à échéance de leur titre. Dans ce contexte, le projet de décret soumis pour avis à la Commission modifie l'article 2 du décret n° 2016-1460 pour permettre l'utilisation des coordonnées téléphoniques (numéro de téléphone) de l'usager afin de transmettre à ce dernier l'information relative à l'expiration prochaine de son titre.
Si cette modification ne soulève pas de difficulté majeure à l'aune de la règlementation relative à la protection des données à caractère personnel, la Commission émet toutefois quelques observations sur :
- d'une part, l'efficacité de l'utilisation du numéro de téléphone pour répondre à l'objectif poursuivi et les modalités concrètes d'utilisation de cette donnée à caractère personnel ;
- d'autre part, certaines caractéristiques du traitement sur lesquelles la Commission s'est prononcée dans sa délibération n° 2021-022 du 11 février 2021 précitée.
Sur les usages projetés des coordonnées téléphoniques du demandeur
L'article 2 du décret n° 2016-1460 relatif au traitement « TES » permet, dans sa version en vigueur, l'enregistrement de l'adresse de messagerie électronique et des coordonnées téléphoniques du demandeur de titre d'identité pour que ce dernier puisse, lorsqu'il le souhaite, « être informé par ce moyen de la disponibilité de son titre ». Le projet de décret soumis pour avis à la Commission modifie cette disposition pour permettre l'utilisation des coordonnées du demandeur en vue de fournir à cette personne « toute information relative à son titre ».
Ainsi, la modification projetée a pour seul objet d'étendre le périmètre des informations pouvant être transmises au demandeur, et n'entraine donc pas l'enregistrement de données supplémentaires. En outre, l'utilisation des coordonnées du demandeur reste subordonnée au souhait, exprimé par ce dernier, de recevoir une information par ce moyen.
En premier lieu, il ressort des termes du projet de décret que l'adresse de messagerie électronique et les coordonnées téléphoniques du demandeur pourront être utilisées en vue de fournir à cette personne « toute information relative à son titre ». Ainsi rédigée, la disposition projetée ne permet pas de saisir avec précision les différents usages qui pourront être faits de l'adresse de messagerie électronique et/ou des coordonnées téléphoniques enregistrées dans le traitement.
Au regard des précisions apportées par le ministère, la Commission prend acte de ce que la modification projetée vise à permettre l'utilisation du numéro de téléphone pour informer, par SMS, le demandeur de l'expiration prochaine de son titre, six mois avant la date de fin de validité de celui-ci. Cette utilisation des coordonnées téléphoniques s'ajouterait à l'usage qui en est actuellement fait pour transmettre, par SMS également, l'information relative à la disponibilité du titre.
En deuxième lieu, les coordonnées du demandeur sont recueillies lors de la demande de titre d'identité. La durée de validité des titres étant de dix ou quinze ans, il est possible que les coordonnées téléphoniques des personnes changent. En outre, le numéro de téléphone peut être réattribué. Dans ces conditions, les informations transmises par l'administration peuvent être reçues par des personnes tierces.
A cet égard, la Commission prend acte de ce que l'information communiquée par SMS ne sera pas nominative et ne contiendra pas de données à caractère personnel.
Elle s'interroge toutefois sur l'efficacité de l'utilisation du numéro de téléphone du demandeur pour répondre au besoin exprimé. Au regard de l'intervalle de temps séparant le recueil de l'utilisation de cette donnée, et en l'absence de mise à jour des coordonnées des personnes inscrites dans le traitement, il n'est pas garanti que les personnes concernées reçoivent l'information relative à l'expiration de leur titre. Sous cet angle, l'utilisation projetée du numéro de téléphone ne saurait répondre efficacement à l'objectif visé par le ministère.
Au regard de cette observation, la Commission considère que des moyens alternatifs ou complémentaires devraient être mobilisés pour répondre, plus efficacement et dans le strict respect des principes relatifs à la protection des données à caractère personnel, au besoin exprimé. Ainsi, elle accueille favorablement le projet complémentaire de déployer des campagnes d'information visant à inciter les usagers à vérifier eux-mêmes la date de fin de validité de leur titre.
En dernier lieu, elle invite le ministère à mettre à jour l'analyse d'impact relative à la protection des données (AIPD) pour prendre en compte et préciser l'évolution projetée.
Sur les autres caractéristiques du traitement
Au-delà de l'évolution prévue par le projet de décret, l'AIPD a été complétée pour notamment apporter des précisions sur les durées de conservation. Elle ne fait toutefois pas état d'évolutions du traitement qui permettraient de prendre en compte certaines recommandations formulées dans la délibération n° 2021-022 précitée.
En premier lieu, la personne concernée a la possibilité de demander, pour ce qui concerne l'établissement d'une carte nationale d'identité, que l'image numérisée de ses empreintes digitales ne soit pas conservée dans le traitement au-delà d'un délai de quatre-vingt-dix jours à compter de la date de délivrance du titre ou de la date de refus de cette délivrance, la copie sur papier des empreintes étant par ailleurs conservée pour une durée de quinze ans (article 4-3 du décret du 22 octobre 1955 instituant la carte nationale d'identité). Elle est informée, au moment de la demande de titre, de cette possibilité et, s'il en est fait usage, de la conservation d'une copie sur papier (art. 10 du décret n° 2016-1460).
L'AIPD relative au traitement « TES » a été modifiée pour notamment préciser que l'usager est informé de cette possibilité au moment de sa demande de carte nationale d'identité et que la demande de non-conservation des données à l'issue du délai de quatre-vingt-dix jours se fait sur un formulaire dédié.
A cet égard, la Commission rappelle avoir observé, dans sa délibération n° 2021-022 du 11 février 2021, que :
- l'information devra être délivrée aux personnes concernées conformément aux exigences de l'article 12 du règlement général sur la protection des données (RGPD) ;
- le formulaire spécifique proposé au demandeur devra comporter des mentions relatives à la réglementation applicable en matière de protection des données à caractère personnel ;
- la suppression de l'image numérisée des empreintes digitales à l'issue du délai de quatre-vingt-dix jours, lorsque la personne concernée en a fait la demande, devrait être effectuée de manière automatisée.
S'agissant de l'information des personnes concernées, la Commission souligne la nécessité de garantir une sensibilisation forte des agents municipaux chargés de recueillir les demandes de cartes nationales d'identité, qui devrait porter sur la mise en œuvre des dispositions relatives à la possibilité de s'opposer à la conservation de l'image numérisée des empreintes digitales dans les conditions précitées et sur l'information afférente des personnes concernées. Tout en prenant acte des précisions apportées sur les différents moyens déployés pour assurer l'information des usagers, la Commission recommande que les agents municipaux soient particulièrement sensibilisés à l'importance de fournir verbalement aux personnes concernées, lors de la demande de carte nationale d'identité, une information concise et aisément compréhensible.
S'agissant des modalités de suppression de l'image numérisée des empreintes digitales, la Commission observe qu'une solution manuelle est actuellement en place et qu'aucune évolution n'est, dans l'immédiat, prévue par le ministère. Tout en prenant acte des mesures mises en œuvre pour éviter une conservation des données pertinentes au-delà du délai de quatre-vingt-dix jours, la Commission estime que la solution manuelle actuellement retenue ne devrait être que transitoire et qu'un procédé automatisé de suppression des données devrait être mis en place.
En second lieu, il ressort des précisions apportées par le ministère qu'aucune mesure n'a été prise pour encadrer les transferts de données en dehors de l'Union européenne qu'implique l'interconnexion des traitements « TES » et « Stolen and Lost Travel Documents » (SLTD) géré par Interpol.
Or la Commission rappelle avoir souligné, dans sa délibération n° 2021-022 précitée, que de tels transferts ne peuvent être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. En l'absence de décision d'adéquation adoptée par la Commission européenne, ces transferts ne peuvent être réalisés que sous réserve que des garanties appropriées soient mises en œuvre conformément à l'article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comité européen de la protection des données sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l'UE.
La Commission invite le ministère à se conformer aux exigences du RGPD, et rappelle qu'elle ne manquera pas de faire usage, le cas échéant, de ses pouvoirs de contrôle en application de l'article 19 de la loi informatique et libertés.