Données personnelles : protection de l’identité

En 2012, la protection des données personnelles est sur le point de connaître un épisode majeur avec la proposition de loi « relative à la protection de l’identité », déposée le 27 juillet 2010 par les sénateurs UMP Jean-René Lecerf et Michel Houel et qui approche du terme de son parcours législatif, et qui fait l’objet d’un nouveau vote de l’Assemblée Nationale le 31 janvier 2012.

fingerprint

© Tom Harris

Cette loi a pour but d’encadrer l’avènement de la nouvelle Carte Nationale d’Identité (CNI) en autorisant la création d’un fichier de référence qui sera sans précédent par sa taille, puisqu’il aurait pour but l’établissement et la vérification des titres d’identité et de voyage pour l’ensemble de la population française.

Rappel du projet de « CNIe »

La nouvelle Carte Nationale d’Identitémodernisée comprendrait deux puces :

•    une puce dite « régalienne », qui reprendra les informations de la carte d’identité (état civil, photo d’identité) et y ajoutera des données complémentaires (empreintes digitales numérisées) ;

•    une puce optionnelle permettant l’activation d’une signature électronique personnelle pour les transactions en ligne (auprès des administrations ayant développé des téléprocédures, mais aussi auprès des entreprises d’e-commerce).

Les informations figurant dans la puce régalienne et dans la puce commerciale doivent être stockées au sein d’une base de données unique, un fichier central des CNI. Avec la photo d’identité et surtout les empreintes digitales, ce fichier central serait donc biométrique, permettant donc une identification particulièrement intrusive de la personne humaine.

L’insertion de données biométriques dans des documents d’identité a déjà été validée précédemment pour lepasseport biométrique (CE Ass. 26 octobre 2011), permettant l’enregistrement de l’image numérisée du visage et des empreintes digitales au sein d’une base dite « TES » (« titres électroniques sécurisés »). L’exploitation de données biométriques pour la délivrance de documents d’identité n’est donc pas nouvelle, et c’est précisément cette « base TES » qu’il s’agit aujourd’hui d’étendre à la délivrance des Cartes Nationales d’Identité.

Le principe d’un fichage biométrique de la population est donc acquis depuis la création de cette base TES, qui allait déjà plus loin que le « FAED » (fichier des empreintes digitales constitué en 1987 par le Ministère de l’Intérieur aux fins d’identification d’auteurs de crimes et délits, et qui comporte un peu plus de 3,6 millions d’individus). On constate donc, évolution technologique oblige, un renforcement du nombre et de la nature des données collectées par l’administration, en particulier pour les fichiers de police destinés à contrer une criminalité de plus en plus technologique.

Mais la proposition de loi actuellement débattue va engendrer la création d’un fichier central biométrique bien plus vaste que les précédents, puisqu’il concerne les cartes d’identité de l’ensemble de la population (45 millions de personnes de plus de 15 ans titulaires d’une CNI aujourd’hui, et à terme plus de 60 millions de français).

Si la notion de « fichier de la population » n’est pas non plus nouvelle (cf. NIRPP), la constitution de ce « super-fichier » pose en revanche des questions particulièrement aigues, que reflètent les débats parlementaires et l’actuelle opposition entre Sénat et Assemblée Nationale.

Ces débats portent à la fois sur les données collectées, et sur les finalités du super-fichier. C’est la loi du 6 janvier 1978 qui a posé les grands concepts de la protection des données nominatives, en conditionnant toujours la légalité d’un fichier à la proportion des informations enregistrées aux finalités (pratiques, juridiques, techniques, économiques, militaires, etc.) poursuivies par son responsable. Or, pour des raisons pratiques et historiques exposées ci-après, le super-fichier envisagé ne va pas sans poser des questions de libertés publiques.

Les données collectées

Dans sa rédaction actuelle, la proposition de loi reprend les données d’état civil classiques (nom, prénoms, sexe, date et lieu de naissance, adresse du domicile, taille, couleur des yeux, photographie…) et y ajoute les empreintes digitales.

Pour le passeport biométrique et après un avis assez critique de la CNIL, le Conseil d’Etat avait limité à deux le nombre d’empreintes digitales nécessaire, imposant le respect du principe de proportionnalité à un Ministère de l’Intérieur qui voulait alors collecter jusqu’à huit empreintes à l’occasion de la fabrication ou du renouvellement d’un passeport.

Pour la Carte Nationale d’Identité, le gouvernement a réitéré sa demande d’enregistrement de huit empreintes digitales, mais afin de se conformer à la décision du CE d’octobre 2011, le nombre d’empreintes digitales est maintenu à deux dans la dernière version de la loi.

L’autre puce, dite « commerciale » a également été critiquée dans la mesure où il est difficile de comprendre comment la possibilité de payer ses achats en ligne aurait un lien avec l’état civil. Critique toutefois assez fragile dans la mesure où la signature électronique fait nécessairement intervenir des notions d’identification et d’authentification liées à l’état civil du consommateur. Il est difficile de concilier simplification des services en ligne et sanctuarisation des données personnelles.

La proposition de loi ne détaille cependant pas les données qui seraient stockées dans cette seconde puce. On sait qu’elles devront permettre les démarches administratives et authentifier les transactions commerciales, et qu’elles pourraient donc comporter les données bancaires de la personne. On sait par ailleurs que la signature électronique implique la délivrance et la conservation d’un certificat numérique, mais rien n’est dit sur ce que sera la signature électronique de la CNI, ni sur le dialogue éventuel entre les deux puces… ce qui constitue une première zone d’ombre à clarifier.

Enfin, cette puce « commerciale« , permettrait de s’identifier sur internet de manière sécurisée, bien qu’en la matière, des expériences voisines montrent qu’il n’existe pas longtemps de technologie réellement infalsifiable, et qu’on peut douter du caractère infaillible d’une identification en ligne via la future CNI.

Les finalités poursuivies

C’est toutefois au niveau des finalités poursuivies que les débats sont les plus houleux. La finalité essentielle du fichier est de permettre la constitution et la délivrance des cartes nationales d’identité, soit une finalité administrative liée à l’état civil. Il va de soi que la génération des titres d’identité impose la création d’une base de référence.

Mais la nature du fichier n’est pas qu’administrative, comme en témoigne l’expression « fichier des gens honnêtes» utilisée par le Rapporteur de la loi M. François Pillet, et comme en attestent surtout les motifs de la loi qui visent expressément la lutte contre les usurpations d’identité.

Ces fraudes, qui se multiplient avec l’augmentation des transactions commerciales en ligne, seraient d’un nombre de 200.000 par an (selon une étude du Credoc) – certains commentateurs ramenant toutefois ce chiffre à 15.000 infractions constatées chaque année, selon l’Observatoire National de la Délinquance auditionné par la CNIL.

Usurpation online

A première vue, il n’est pas très original de vouloir utiliser un fichier central des titres d’identité pour lutter contre les usurpations d’identité, puisqu’il s’agirait précisément du référentiel permettant de confondre la fraude.

Mais alors, si la finalité du fichier est de lutter contre les usurpations d’identité, on comprend mal qu’existe déjà un fichier « relatif à la fraude documentaire et à l’usurpation d’identité », créé par arrêté du 9 novembre 2011, et qui est exempt d’empreintes digitales et exclut la possibilité de reconnaissance faciale. Si un tel fichier existe déjà, précisément pour lutter contre l’usurpation d’identité, pourquoi invoquer la même finalité au soutien du futur fichier central biométrique, avec empreintes digitales et reconnaissance faciale en sus ?

Peut-être parce que la lutte contre l’usurpation d’identité n’est pas le seul motif de la loi. On observe en effet que cette seconde finalité opère un glissement juridique lourd de sens, puisque la finalité administrative se double d’une finalité policière : la répression d’un nombre non négligeable d’infractions plus ou moins voisines de l’usurpation d’identité.

Débats parlementaires

Sans entrer ici dans les subtilités de la navette parlementaire, il apparaît que la proposition initialement introduite par les sénateurs visait à interdire toute utilisation policière des données du fichier central biométrique, alors que la position défendue par l’Assemblée Nationale et le gouvernement vise à permettre l’exploitation de ces données à des fins policières et judiciaires, via un énoncé élargi des buts dans lesquels pourra être utilisé le fichier.

Les précautions des sénateurs tenaient compte de la défiance de la CNIL envers l’idée-même d’un fichier biométrique centralisé, d’une part, et de la position de la Cour Européenne des Droits de l’Homme (qui avait sanctionné la Grande-Bretagne pour avoir conservé des données identifiantes de personnes innocentes dans son fichier policier des empreintes génétiques), d’autre part.

La proposition de loi initiale disposait donc que le traitement « mis en œuvre par le ministère de l’intérieur, permet l’établissement et la vérification des titres dans des conditions garantissant l’intégrité et la confidentialité des données à caractère personnel ainsi que la traçabilité des consultations et des modifications effectuées par les personnes y ayant accès ».

En outre, l’article 5 de la proposition prévoyait que « l’enregistrement des empreintes digitales et de l’image numérisée du visage du demandeur

[est] réalisé de telle manière qu’aucun lien univoque ne soit établi entre elles, ni avec [les données d’état civil], et que l’identification de l’intéressé à partir de l’un ou l’autre de ces éléments biométriques ne soit pas possible ». Des articles 5 bis et 5 ter renforçaient les précautions dans la consultation du fichier et la définition des entités habilitées à le faire.

Le Sénat prônait ainsi la mise en place de ce qu’on appelle un « lien faible », c’est-à-dire un dispositif technique permettant de confirmer la correspondance entre une empreinte et un état civil répertorié, sans identification automatique de la personne à partir de ses données biométriques, afin que ce fichier de plusieurs millions d’empreintes digitales ne puisse pas être utilisé dans le cadre d’enquêtes de police, mais uniquement aux fins de gestion des CNI. Ainsi lors d’une vérification d’identité, le fichier indique seulement si l’identité correspond à l’empreinte dans le dossier sans la désigner.

Enfin, le Sénat s’opposait à tout traitement du fichier par un dispositif de reconnaissance faciale, afin d’empêcher le croisement automatique avec les enregistrements des caméras de vidéosurveillance, et donc l’exploitation du fichier central biométrique dans le cadre de la répression des crimes et délits de tous ordres, mais aussi, potentiellement, le tracking de citoyens identifiés pendant leurs déplacements.

Afin de justifier ces limitations face aux projets d’amendements du gouvernement et de l’Assemblée, le Rapporteur de la loi au Sénat, Monsieur François Pillet, n’hésitait pas à parler de « bombe à retardement pour les libertés numériques ». Et pour empêcher l’explosion et combattre le spectre d’une identification administrative automatisée de l’individu à partir de ses empreintes digitales ou de sa photographie, les sénateurs ont donc cherché des garanties légales et techniques condamnant les éventuelles extensions de finalités.

Assemblée

Les députés et le gouvernement se sont opposés à ces précautions, en arguant qu’elles ruinaient la possibilité d’identifier directement l’auteur d’une usurpation d’identité. En outre, le Ministère de l’Intérieur déplorait que le «lien faible » rende impossible l’exploitation du fichier CNI dans le cadre des enquêtes pénales sur réquisition judiciaire. Or, l’utilisation de données biométriques peut permettre d’identifier de manière très poussée uncoupable, mais également de disculper un innocent… et pourquoi pas, également, d’incriminer par erreur un innocent dont les empreintes figurent au mauvais endroit !

En clair, un « lien faible » permet de confirmer qu’une personne n’est pas celle qu’elle prétend être en consultant le fichier. Un « lien fort » permet en revanche d’identifier nominalement une personne dans tous les cas. Il y a une certaine logique à ce que ceux qui veulent n’autoriser qu’une finalité administrative à un super-fichier national, préconisent un verrou technique jugé contreproductif par ceux qui veulent conférer des finalités judiciaires au fichier.

La Commission Mixte Paritaire n’ayant pas permis de résorber cette divergence, l’Assemblée Nationale a réintroduit la notion de « lien fort » en janvier 2012, afin d’autoriser l’identification de la personne à partir des données biométriques, et donc leur exploitation policière.

En l’état, le texte permet donc l’exploitation des données biométriques aux fins d’identifier les victimes de catastrophes naturelles ou de transport, mais aussi dans le cadre des enquêtes de police, c’est-à-dire sans contrôle judiciaire a priori, pour les faits d’usurpation d’identité (art. 226-4-4 CP), mais aussi d’escroquerie (art. 313-1 et 313-2 CP), d’atteinte aux « services spécialisés de renseignement » (art. 413-13 CP), de faux, de faux en écritures et d’usage de faux (art. 441-1 et suivants CP), d’entrave à la Justice, mais aussi d’infractions au Code de la route ou au Code des transports.

Cette simple énumération montre qu’on s’éloigne d’un fichier consacré à la gestion des titres d’identité, pour permettre une utilisation des données biométriques dans des enquêtes de police – dont rien n’indique que la liste ne sera pas allongée après coup. Il deviendrait presque hasardeux de se promener sans gants.

Et de fait, les opposants à la loi y voient la perspective « orwellienne » d’une extension probable des finalités du fichier. Ils invoquent notamment, au soutien de leur argumentaire, l’échec du précédent projet INES initialement proposé pour lutter contre le terrorisme, l’incongruité qui consiste à prévoir sur la CNI une puce de nature «commerciale » qui pourrait permettre de croiser l’état civil d’une personne avec ses habitudes de consommation, ou encore le lobbying des industries susceptibles de mettre en œuvre le système de la nouvelle CNI. Le lecteur jugera lui-même de la pertinence de ces arguments ou de leur caractère « paranoïaque ».

Mais les deux arguments principaux sont les suivants :

•    la disproportion qu’il y a à constituer un fichier central de 45 millions de personnes pour lutter contre un phénomène criminel dont la réalité oscille entre 15.000 et 150.000 cas par an, s’il s’agit effectivement d’un fichier uniquement administratif sans autre utilisation possible compte tenu de son caractère national. En clair : s’il est hors de question de contraindre les services de police à se contenter de fiches cartonnées face à des délinquants au fait des possibilités techniques, il convient également de s’interroger sur la nécessité de ficher l’intégralité des personnes physiques innocentes à l’échelle d’un pays entier pour prévenir une forme particulière de délinquance ;

•    l’absence de garanties empêchant de futures extensions de finalité, comme on a pu le constater dans le passé pour des fichiers tels que le FNAEG. Le FNAEG était en effet initialement destiné à ficher les données génétiques des délinquants sexuels multirécidivistes, mais il a connu une extension de finalité particulièrement poussée, notamment via la loi du 15 novembre 2001 relative à la « sécurité quotidienne », jusqu’à enregistrer l’ADN de personnes simplement soupçonnées de crimes ou délits divers. Cette extension des finalités, malgré les précautions initiales du législateur, a fait passer le nombre d’enregistrements de 2.807 en 2003 à plus d’un million en 2009 !

Rien n’indique que le futur fichier central biométrique ne connaîtra pas une interprétation extensive comparable, sans que le législateur d’aujourd’hui puisse contrôler ce qu’en fera le législateur de demain. La tendance est en effet à l’augmentation continue du nombre et de la taille des fichiers de police, comme en atteste le rapport d’information parlementaire du 21 décembre 2011. D’aucuns se demandent alors s’il est nécessaire d’y ajouter un super-fichier national redondant avec certains de ces fichiers, et permettant une collecte beaucoup plus intrusive auprès de l’intégralité de la population.

On peut objecter aux opposants au texte que les usurpations d’identité, qui se multiplient sur le web notamment, génèrent un coût social lourd et des situations parfois ubuesques. L’usurpation d’identité peut être traumatisante parce que très dommageable à la personne, et constitue l’élément matériel de nombreuses autres infractions réprimées par le Code pénal. On peut rappeler qu’il est également souhaitable que la loi s’empare des technologies d’identification biométrique et élabore un référentiel public incontestable, utile à plus d’un titre, plutôt que de laisser des officines privées proposer des solutions d’identification plus ou moins fiables.

On peut aussi souligner que les garde-fous mis en place sont rassurants, puisqu’ils limitent à deux le nombre d’empreintes digitales collectées, excluent l’utilisation des techniques de reconnaissance faciale sur les photos d’identité enregistrées dans la base, et cantonnent des réquisitions judiciaires aux seuls cas de fraude à l’identité. Pour l’instant, donc.

On peut également souligner que la dernière version du texte dispose qu’« aucune interconnexion au sens de l’article 30 de la loi n°78-17 du 6 janvier 1978 précitée ne peut être effectuée entre les données mentionnées aux 5° et 6° de l’article 2 de la présente loi [soit la photo d’identité et les empreintes digitales] contenues dans le traitement prévu par le présent article et tout autre fichier ou recueil de données nominatives ». Cette précaution interdit donc clairement l’utilisation des données biométriques en corrélation avec d’autres fichiers (par exemple des fichiers de police ou le fichier de la Sécurité Sociale).

On peut même préconiser des protections complémentaires : prôner une traçabilité accrue des accès à la base, proposer aux personnes physiques un recours rapide devant le juge judiciaire, renforcer les pouvoirs de contrôle de la CNIL sur les exploitations du fichier, fixer par voie légale la durée maximale de conservation des données (et non renvoyer à un simple décret pour cela comme le texte actuel), songer à consulter le Conseil d’Etat (dont l’intervention est curieusement écartée du processus), une information poussée des citoyens sur les services habilités à consulter le fichier… malheureusement, combien de fichiers existent aujourd’hui sans que le contrôle légal ait été exercé sur eux ? Combien ont vu leurs finalités élargies ou leurs interconnexions multipliées après leur création ? Et aucun d’entre eux ne présentait le caractère exhaustif du fichier envisagé aujourd’hui.

digitals

En toute hypothèse, l’argument demeure de la proportionnalité du fichier aux finalités poursuivies.

Il n’existe plus, du fait de la suppression du « lien faible », d’obstacle technique à l’extension des finalités du fichier. Et la loi ne comporte pas non plus d’interdiction générale d’interconnexion avec d’autres fichiers – en isolant ce fichier précis dans un carcan interdisant tout rapprochement avec d’autres bases. Or, tout autant que la finalité prévue, ce sont aussi les interconnexions possibles qui déterminent les utilisations d’un fichier (la CNIL précise qu’une donnée personnelle est identifiante per se ou par recoupement avec d’autres données). Et rien n’indique que le juge judiciaire, protecteur des libertés publiques, aura son mot à dire. Il n’est tout simplement pas mentionné.

Impératif actuel de lutte contre la fraude (notamment informatique) versus risque potentiel de détournement du fichier : comment choisir ? Il est toutefois possible de se reporter aux raisons qui ont guidé le choix du législateur dans un cas extrêmement similaire il y a trente ans.

En 1974, un article de presse intitulé « SAFARI ou la chasse aux français » défrayait la chronique. Il évoquait le projet du Ministère de l’Intérieur d’interconnecter un grand nombre de fichiers administratifs et de police, via le numéro de Sécurité Sociale (NIR). L’article dénonçait une « première tentative de fichage intégral de la population» depuis le précédent Vichyste de 1941 qui avait permis d’identifier spécifiquement les juifs et les étrangers.

Le scandale fut tel qu’il amena, précisément, la création de la loi du 6 janvier 1978, soit la première législation au monde qui prenait acte du caractère authentiquement personnel des données identifiantes et de leur nécessaire protection contre les traitements non consentis. C’est donc « grâce » à cette tentative de fichage généralisé par interconnexion des fichiers de l’Etat que la protection légale des données personnelles a vu le jour, à la fin des années 70, après des débats de haute volée sur le rôle de l’informatique dans la société. Le spectre de la seconde guerre mondiale était encore puissant dans les esprits, et avec lui, le risque qu’un fichier apparemment inoffensif serve, plus tard, des desseins beaucoup moins respectueux des libertés publiques.

safari

Depuis le début des années 2000, l’interconnexion des fichiers va bon train, pour divers motifs qui ne sont pas tous discutés en place publique ou au Parlement. Entre interconnexions exponentielles et extension continue des finalités de certains fichiers de police, les principes de la loi de 1978 qui semblent parfois céder le pas devant le pragmatisme technologique, surtout depuis que l’avis de la CNIL n’est plus que consultatif (2004) pour ces fichiers.

Les inquiétudes qui avaient saisi les parlementaires en 1977 sont fort heureusement toujours dans les esprits aujourd’hui. Dans le cadre des débats sur la nouvelle CNI, le rapporteur de la loi au Sénat affirmait d’ailleurs, le 3 novembre 2011 :

« Démocrates soucieux des droits protégeant les libertés publiques, nous ne pouvons pas laisser derrière nous un fichier que, dans l’avenir, d’autres, dans la configuration d’une Histoire dont nous ne serons pas les écrivains, pourront transformer en outil dangereux et liberticide. (…) Que pourraient alors dire les victimes en nous visant ? Ils avaient identifié les risques et ils ne nous en ont pas protégés. Monsieur le Ministre, je ne veux pas qu’à ce fichier, ils puissent alors donner un nom, le vôtre, le mien ou le nôtre. »

Mais afin de trancher les débats qui opposent actuellement les parlementaires au sujet de ce fichier central biométrique, il est également possible de se référer aux analyses menées en 1977, au sein du rapport Tricot à l’origine de la loi « Informatique & Libertés », qui restent d’une criante actualité :

« – L’ordinateur est réputé infaillible. C’est faire bon marché des déductions inexactes, tendancieuses, moralement ou juridiquement critiquables qui peuvent entacher les données et devant lesquelles il n’aura « aucune capacité d’étonnement ».
– Le recours à l’informatique, fondée sur la logique et les mathématiques, renforce une tendance de notre civilisation à la catégorisation des situations et des individus.
– La conservation massive et systématique des données relatives à chaque personne tend à figer les situations en attachant aux individus des étiquettes jadis plus rares et plus approximatives et dont il leur était plus facile de se débarrasser.
– En renforçant les moyens pour l’État de suivre, analyser, confronter les diverses activités humaines, l’informatique agit dans le sens de l’efficacité technique mais non dans celui de la liberté.
– Une circulation trop fluide des informations entre les différents services de l’Administration abattrait d’utiles barrières et conférerait à tout fonctionnaire détenteur d’une parcelle de la puissance publique des pouvoirs excessifs sur les administrés. »

C’est dire que si dans les années 70, un projet de fichage généralisé de la population a ému au point que soit voté un texte précurseur dans le monde entier en matière de protection des données personnelles, un projet équivalent aujourd’hui doit interpeller tout autant le législateur, qui doit se méfier de la tentation de remplacer les enquêtes humaines par des investigations purement techniques, mais aussi la société civile, qui doit prendre conscience de ses droits et les défendre.

D’autres nations dans le monde, parfois confrontées à des problématiques d’insécurité bien plus complexes que les nôtres, semblent avoir abandonné le projet d’un fichier biométrique de leur population en raison des risques de détournement et de l’impossibilité technique de fournir une garantie totale d’intégrité de la base en toute époque. La carte d’identité n’étant pas obligatoire, il est donc légitime de s’interroger, avec certains parlementaires (dont la position dépasse largement les clivages politiques et le bicamérisme) sur le caractère « proportionné » d’un fichier national de 60 millions de personnes pour lutter contre quelques dizaines de milliers d’infractions par an…

Le législateur ne doit pas céder à la « paranoïa » qui lui ferait voir des coupables partout, ni à celle qui lui ferait voir une menace sur les libertés dans toute investigation policière. A dire vrai, un fichier aussi sensible sera mieux encadré que les nombreux fichiers de données personnelles constitués par les entreprises privées avec le consentement insouciant des individus (réseaux sociaux, fichiers clients…). Mais le fichier central biométrique a ceci de particulier qu’il revient sur la méfiance traditionnelle du législateur face à toute forme de fichage systématique par les pouvoirs publics.

Il est aisé de parer une réforme des concepts issus de la loi de 1978, pour prétendre assurer la proportionnalité du fichier aux finalités poursuivies, mais le législateur serait bien avisé, comme il l’avait fait lors de la genèse de cette loi il y a trente ans, de réfléchir également aux risques qu’il pourrait faire courir aux 60 millions de fichés. Car si par définition, ces risques sont encore inconnus à ce jour, une politique pénale aux évolutions parfois imprévisibles, qui court après la sophistication croissante de certaines infractions, pourrait concrétiser l’un ou l’autre de ces risques de manière dramatique sans que les citoyens se soient assurés d’un contrôle effectif sur le sort de ce « fichier des gens honnêtes »…

Un retour sur l’origine législative de la protection des données personnelles peut donc s’avérer pertinent afin d’encadrer de manière réellement pérenne et efficace le futur fichier central de l’identité des personnes.