Archives

Identité numérique - Le texte renforçant la protection de l'identité a été adopté

La proposition de loi relative à la protection de l'identité a été définitivement adoptée par le Parlement, au terme de débats marqués par une opposition assez franche entre députés et sénateurs, notamment sur la création d'un fichier central biométrique et la possibilité d'établir des relations directes entre l'état civil et les données biométriques d'un citoyen. Retour sur le contenu, souvent technique, des douze articles d'un texte important, entre autres, pour les services d'état civil.

La proposition de loi "relative à la protection de l'identité", déposée le 27 juillet 2010 par les sénateurs UMP Jean-René Lecerf et Michel Houel a été définitivement adoptée le 6 mars 2012 après un parcours législatif au cours duquel le Sénat s'est opposé à plusieurs reprises à certains des principes fondamentaux introduits par le texte, notamment celui de la création d'un fichier central biométrique.
Les débats ont été marqués par une opposition assez franche entre les députés et les sénateurs sur l'architecture générale du dispositif. Des débats qui ont principalement porté sur la proportionnalité des dispositions retenues par rapport à l'objectif initial de sécurisation de l'identité des personnes. La création d'un fichier central biométrique de plus de 50 millions de français et la possibilité d'établir des relations directes entre l'état civil et les données biométriques d'un citoyen ont été fortement mises en cause par les sénateurs, qui l'ont estimée dangereuse pour les libertés publiques. Dans ses avis, la Commission nationale de l'informatique et des libertés (Cnil) a d'ailleurs rappelé qu'une base de cette ampleur "comporte des risques importants et implique des sécurités techniques complexes et supplémentaires". Et la Cnil d'expliquer qu'"un fichier est d'autant plus vulnérable, 'convoité' et susceptible d'utilisations multiples qu'il est de grande dimension, qu'il est relié à des milliers de points d'accès et de consultation et qu'il contient des informations très sensibles comme des données biométriques".
La proposition de loi relative à la protection de l'identité reprend dans une large mesure le dispositif mis en oeuvre dans le cadre des passeports biométriques ainsi que les précédents projets du ministère de l'Intérieur relatifs aux cartes d'identité biométriques et électroniques. Elle vise à : garantir une meilleure fiabilité des cartes nationales d'identité (CNI) et des passeports, en équipant ces titres de puces électroniques contenant des données biométriques (photographie et empreintes digitales) ; créer un dispositif de recueil et de conservation de données personnelles des citoyens (biométriques et biographiques) pour sécuriser la délivrance des titres et pouvoir comparer les données en cas de contrôle d'identité ; offrir aux titulaires de cartes d'identité de nouveaux services tels que l'authentification à distance et la signature électronique. La proposition de loi adoptée comporte douze articles définissant le nouveau cadre

CNI et passeport, des supports privilégiés pour prouver son identité

Le premier article rappelle et précise un principe de base : une identité se prouve par tout moyen et peut se justifier par la présentation d'une carte nationale d'identité ou d'un passeport français en cours de validité. Ce principe, qui figurait déjà à l'article 78-2 du Code de procédure pénale, tend à faire de la CNI ou du passeport en cours de validité le moyen privilégié pour prouver son identité. Ce qui signifie notamment de la part des opérateur économiques qu'ils ne peuvent exiger de leurs clients autre chose que l'un de ces deux documents pour prouver une identité.

Institution d'une carte d'identité et d'un passeport électroniques

La proposition de loi doit donner lieu à la création d'une carte d'identité électronique et d'un passeport sécurisé qui seront équipés d'une puce à technologie sans contact contenant les données biographiques et biométriques (état civil, photo d'identité et empreintes digitales numérisées). La puce sera lisible à quelques centimètres de distance par un lecteur spécifique mais les données transmises devront être décryptées de manière à rendre impossible l'interception à distance des informations.
L'article 2 précise les données qui seront enregistrées sur la puce électronique. Il s'agit des données d'état civil (nom de famille, prénoms, sexe, date et lieu de naissance), du domicile ainsi que des informations relatives à la taille et à la couleur des yeux, des empreintes digitales ainsi que de la photographie d'identité.
Deux empreintes digitales y figureront. Cette disposition est conforme à la directive européenne relative au passeport biométrique, qui impose deux empreintes au minimum, et est également conforme au décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports.

Un dispositif optionnel d'authentification et de signature électronique

La carte nationale d'identité électronique pourra contenir un dispositif supplémentaire d'authentification de l'identité électronique. Cette fonctionnalité, qui reste optionnelle - "à la demande du titulaire de la carte"-, doit faciliter le développement des téléprocédures administratives et du e-commerce en sécurisant l'authentification des personnes sur les réseaux de communication électroniques et en permettant la mise en œuvre de la signature électronique. Pour garantir la sécurité des données du titre d'identité, cette fonctionnalité donne lieu à l'installation d'une puce distincte, indépendante de celle contenant les données d'état civil. Et pour éviter toute perte de contrôle, le législateur prévoit la mise en place de mécanismes de divulgation partielle des données, permettant aux usagers de décider à chaque utilisation "des données d'identification transmises par voie électronique" puisque "l'utilisation de services en ligne ne nécessite pas systématiquement l'identification précise des personnes ou la communication de l'ensemble des données contenues dans les certificats". Le texte veille également à ce que nul ne puisse se voir refuser l'accès à un service donné, ni se voir opposer un refus de vente pour le seul motif qu'il ne possède pas de carte d'identité incluant la fonction d'identification électronique.

Les contrôles liés à un demande de délivrance de CNI ou de passeport

L'article 4 s'attaque à la résolution d'une des principales défaillances de la chaîne de l'identité : celle qui permet aux fraudeurs d'obtenir des copies ou des extraits d'actes d'autres personnes pour les produire ensuite à l'appui d'une demande de titre d'identité. Il prévoit que l'administration vérifie en tant que de besoin auprès de l'officier d'état civil dépositaire de l'acte que la copie est conforme ou qu'elle a été délivrée à la bonne personne. Un décret précisera les conditions dans lesquelles cette vérification doit s'opérer.

Un fichier central biométrique dont l'utilisation sera réglementée

L'élément le plus controversé de la loi réside dans la création d'un fichier central contenant l'ensemble des données, notamment biométriques, requises pour la délivrance du passeport et de la carte nationale d'identité. L'utilisation de la technologie dite à "liens faibles" préconisée quasi unanimement par les sénateurs, qui permettait pourtant de garantir à 99% toute tentative d'usurpation sans créer de lien direct entre l'identité et les empreintes, n'a pas été retenue. Si bien que le dispositif de reconnaissance directe définitivement retenu conduira à la création d'un fichier des empreintes digitales de tous les français. L'opposition du Sénat, les réticences de la Cnil et les décisions du Conseil d'Etat ont conduit les députés et le gouvernement à introduire des restrictions et des verrous concernant l'utilisation de la base de données centrale et du dispositif biométrique dans son ensemble. Mais dans un cadre qui sera relativement plus facile à modifier qu'une technologie qui aurait imposé de tout reconstruire. Le nombre d'empreintes conservées dans la base est désormais limité à deux, la reconnaissance faciale est explicitement exclue et l'Assemblée nationale a introduit des garanties législatives en réduisant les finalités d'accès à la base centrale sur réquisition judiciaire aux seules infractions liées à l'usurpation d'identité et à la recherche de corps de victimes de catastrophes collectives et naturelles.
D'autres modalités d'accès ont été précisées. La justification de son identité par le porteur du titre d'identité s'effectuera uniquement à partir des éléments inscrits sur la carte et l'accès à ces données sera limité aux agents chargés des missions de contrôle ou de vérification de l'identité (article 6). Certains opérateurs publics ou privés ainsi que les établissements qui assurent des missions de service public (CAF, Pôle emploi, Urssaf) seront autorisés à consulter le fichier central pour s'assurer de la validité ou non du titre d'identité qui leur est présenté, selon des modalités qui seront définies par décret (article 7). Les services en charge de la lutte contre le terrorisme, "pour les besoins de la prévention et de la répression des atteintes à l'indépendance de la Nation, à l'intégrité de son territoire, à sa sécurité, à la forme républicaine de ses institutions, aux moyens de sa défense et de sa diplomatie, à la sauvegarde de sa population en France et à l'étranger et aux éléments essentiels de son potentiel scientifique et économique et des actes de terrorisme" pourront également accéder à la base de données centrale (article 10)

Dispositions diverses

Les modalités d'applications de la proposition de loi seront précisées par un décret qui définira notamment la durée de conservation des données de la base centrale (article 8). Les peines encourues en cas de tentative d'accès frauduleuse ou de modification des données contenues dans la base de données sont aggravées (article 9) et le législateur prévoit un mode opératoire pour imposer, lorsqu'un acte est annulé par le juge sur le fondement d'une usurpation d'identité, que le dispositif du jugement dont la transcription est ordonnée à l'état civil fasse référence à l'usurpation. Ceci afin de souligner le caractère frauduleux d'une mention qui, bien qu'annulée, ne peut être effacée (article 11).