Titres sécurisés - Passeport : un décret entérine la décision du Conseil d'Etat de collecter deux empreintes digitales
Il n'y aura plus huit mais seulement deux empreintes digitales collectées et conservées dans la base de données TES (transactions électroniques sécurisées) pour la délivrance des passeports biométriques, conformément à la décision du Conseil d'Etat du 26 octobre 2011. C'est ce que vient de confirmer un décret publié le 18 avril et presque passé inaperçu puisqu'il est relatif "au recueil des images numérisées du visage dans certaines communes des départements et collectivités d'outre-mer et des empreintes digitales des demandeurs de passeport".
Envisager définitivement une prise d'empreinte sur deux doigts
Suite à l'annulation d'une partie du décret prononcée par le Conseil d'Etat, le ministre de l'Intérieur avait saisi la Commission nationale de l'informatique et des libertés (Cnil) pour avis sur les conséquences à tirer de cette décision. Il proposait, pour se mettre en conformité, de modifier l'article 6-1 du décret du 30 décembre 2005 dans les termes suivants : "Lors du dépôt de la demande de passeport, il est procédé au recueil des empreintes digitales à plat de chacun des index du demandeur. Si le recueil de l'une de ces empreintes s'avère impossible, il est procédé au recueil de celle du majeur ou de l'annulaire de la même main ou, à défaut, de l'autre main, dans cet ordre de priorité." Cette formulation n'ayant appelé aucune observation particulière de la part de la Cnil, c'est donc celle qui figure dans le décret publié hier au Journal officiel. Toutefois dans son avis (JO du 19 avril), la Cnil émet quelques recommandations : "En pratique, les modalités de recueil des empreintes, effectuées en mairie ou dans les postes consulaires, ne seront pas modifiées dans la mesure où les demandeurs devront continuer à présenter leurs huit empreintes en posant leurs deux mains, sans les pouces, sur les capteurs." Tout en prenant acte que les empreintes des six doigts non retenus ne seront ni transmises vers la base centrale ni conservées, la Cnil estime préférable d'envisager définitivement une prise d'empreinte sur deux doigts et recommande qu'il en soit tenu compte lors du renouvellement ou de l'acquisition de nouveaux matériels.
Effacement des données déjà enregistrées dans la base centrale
La décision du Conseil d'Etat impose en outre de supprimer du traitement central les empreintes digitales non enregistrées dans le composant électronique du passeport. Or, les données biométriques de plus de six millions de demandeurs ayant déjà été enregistrées dans la base centrale, la mise en conformité de la base imposait à l'Agence nationale des titres sécurisés (ANTS) l'effacement de près de 38 millions d'empreintes. Devant une opération d'une telle ampleur, qui devait s'achever en mars 2012 selon les indications fournies par le ministère de l'Intérieur, la Cnil a demandé que la procédure d'effacement soit réalisée "dans des conditions assurant la plus grande confidentialité aux données stockées". En conséquence, elle a proposé "l'utilisation de logiciels spécifiques, qualifiés ou certifiés […] par l'Agence nationale de la sécurité des systèmes d'information [Anssi]" et suggéré au ministère de s'appuyer "sur un audit externe pour vérifier la mise en oeuvre de la modification du système, et l'effectivité de l'effacement des empreintes". Pour compléter, elle a indiqué qu'elle s'attacherait elle-même "à vérifier le bon effacement de ces données à l'issue de l'opération menée par le ministère de l'Intérieur".