Protection des données - Identité numérique : les réserves de la Cnil et de la commission des lois du Sénat

Plusieurs événements récents, relatifs à l'identité numérique, pourraient relancer les débats sur la protection des données et remettre en cause, du moins partiellement, le traitement des empreintes au niveau national. La commission des lois du Sénat saisie pour la deuxième lecture de la proposition de loi "sur la protection de l'identité" des sénateurs Jean-René Lecerf et Michel Houel, qui doit avoir lieu le 3 novembre prochain, vient de rétablir certaines dispositions garantissant une meilleure protection des données personnelles. Sur le même sujet, la Commission nationale de l'informatique et des libertés (Cnil) exprime de nouveau ses réserves sur le système de protection des données de la future carte d'identité électronique, notamment en recommandant au législateur de mieux encadrer l'usage d'un fichier central des données et les possibilités de reconnaissance faciale. Dans une décision relative au dispositif instituant le passeport biométrique, le Conseil d'Etat vient de censurer la conservation dans un fichier national des empreintes digitales de huit doigts comme cela était prévu initialement.

Interdire le rapprochement entre données biométriques et identité

La proposition de loi "sur la protection de l'identité" prévoit la création d'une nouvelle carte d'identité électronique dotée de deux puces, la première dite "régalienne" doit contenir les informations d'identité de son propriétaire, son état civil et ses empreintes digitales, et la seconde, dite "de services dématérialisés" facultative sera utilisée pour la signature électronique. Ce texte, soutenu par le gouvernement, affirme principalement la volonté de lutter efficacement contre l'usurpation et la falsification d'identité. Il prévoit pour cela la création d'un fichier central contenant les données biométriques et d'identité de chaque citoyen nécessaires à la délivrance des cartes d'identité et des passeports. En première lecture, le 1er juin, les sénateurs ont amendé le texte initial afin de garantir l'impossibilité d'identifier une personne à partir de ses seules empreintes biométriques, signifiant l'impossibilité de l'exploiter à des fins de recherche criminelle. Pour verrouiller cette disposition ils ont opté pour la technique dite "du lien faible" qui interdit le rapprochement entre les données biométriques et l'identité tout en garantissant une sécurité très équivalente sur les risques d'usurpation de titre. Les députés ont supprimé cette garantie en juillet, en revenant au projet d'origine. Et à son tour la commission des lois du Sénat vient de la rétablir. "Les députés ont d'abord voulu qu'il y ait un risque zéro d'usurpation d'identité, quand nous avons voulu un risque zéro pour les libertés publiques. L'idée est de lutter contre l'usurpation d'identité non par la répression, mais par la dissuasion : car un fraudeur qui se serait déjà vu délivrer une carte d'identité aurait 99,9% de chances d'être découvert, au terme d'une enquête peu complexe...", a expliqué en commission le rapporteur François Pillet.
Dans une note d'observations rendue publique le 25 octobre, la Cnil exprime également plusieurs réserves assez proches de celle de la commission des lois du Sénat, en rappelant qu'elle a toujours considéré "légitime le recours à des dispositifs de reconnaissance biométrique pour s'assurer de l'identité d'une personne" à condition qu'elles soient "conservées dans un support individuel" pour mieux garantir les libertés individuelles. Aussi émet-elle de vives réserves sur la conservation sous forme centralisée de données biométriques. Au regard de l'objectif de lutte contre la fraude, la proportionnalité "n'est à ce jour pas démontrée", souligne la commission. Elle rappelle aussi qu'un dispositif biométrique de lutte contre la fraude ne peut être pleinement efficace que si les documents d'état civil produits par les demandeurs pour se faire enregistrer dans le système sont fiables. "Or, constate-t-elle, aucune mesure particulière n'était prévue par le ministère de l'Intérieur afin de sécuriser ces documents sources" avant son intervention. En cas de maintien du fichier central, elle préconise, comme les sénateurs de la commission des lois, l'utilisation de la technique des liens faibles et exprime "sa plus grande réserve" sur la possibilité ouverte par la proposition de loi d'identifier des personnes à partir de l'analyse biométrique de la morphologie de leur visage.

Le Conseil d'Etat censure le recueil des huit empreintes digitales

La commission s'était déjà prononcée à de multiples reprises sur des projets de traitement biométrique et notamment sur la finalité du système des passeports "bio". En son temps elle avait déjà exprimé ses réserves notamment sur le recueil des huit empreintes digitales et leur conservation en base centrale "alors qu'elles ne résultaient pas des prescriptions du règlement communautaire relatif aux passeports". Elle vient d'obtenir partiellement gain de cause puisque le Conseil d'Etat saisi de requêtes en annulation du décret relatif aux passeports vient de rendre une décision le 26 octobre 2011. Il admet la création d'un fichier central des passeports mais après avoir examiné de manière approfondie les garanties de fonctionnement prévues - accès et durée de conservation limités, impossibilité de recherche par les données biométriques –, il annule les dispositions prévoyant la collecte de huit empreintes digitales "alors que seules deux sont destinées à figurer dans le passeport".
Dans ce contexte "sensible", il n'est pas certain, que la prévision du ministère de l'Intérieur de lancer le nouveau dispositif de la carte d'identité électronique à l'automne 2012 puisse être respectée. Il sera intéressant de suivre les débats du 3 novembre prochain dans la nouvelle configuration du Sénat, sans oublier non plus le calendrier politique des prochains mois qui pourrait également retarder sa sortie.