(Avis n° 1431412)
La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère des affaires étrangères et européennes d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'authentification du titulaire d'un passeport diplomatique et à la fabrication du titre ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, modifié par le règlement (CE) n° 444/2009 du Parlement européen et du Conseil du 28 mai 2009 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, et notamment son article 27 ;
Vu la loi n° 2006-64 du 23 janvier 2006 modifiée relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, et notamment son article 9 ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret n° 2007-401 du 25 mars 2007 ;
Vu le décret n° 2008-543 du 9 juin 2008 relatif au passeport diplomatique ;
Vu l'arrêté du 11 février 2009 relatif au passeport diplomatique ;
Vu la délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 31 mai 2010, par le ministère des affaires étrangères et européennes, d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'authentification du titulaire d'un passeport diplomatique et à la fabrication du titre.
Ce projet de décret vise notamment à permettre la délivrance par le ministère des affaires étrangères de passeports diplomatiques conformes aux prescriptions du règlement (CE) n° 2252/2004 susvisé. Dans la mesure où ces passeports peuvent être d'une durée de validité de dix ans, ils entrent dans le champ d'application dudit règlement et doivent donc être munis d'un composant électronique contenant la photographie numérisée de son titulaire ainsi que les empreintes digitales de ses deux doigts.
Le projet de décret prévoit également la création d'un traitement automatisé de données à caractère personnel relatives aux titulaires de ces titres, dénommé « REVOL », qui enregistre notamment les empreintes digitales des huit doigts des titulaires de passeport diplomatique.
Ainsi, si le ministère projette de créer une application particulière dédiée aux titulaires du passeport diplomatique, compte tenu des fortes spécificités qui s'attachent à ces titres, la commission observe que le projet de décret qui lui est soumis pour avis comporte de très nombreuses similitudes avec le décret n° 2005-1726 modifié, pris après l'avis susvisé de la CNIL en date du 11 décembre 2007, qui a autorisé la mise en œuvre du traitement de données à caractère personnel dénommé « TES » relatives aux demandeurs de passeports, de passeports de service et de passeports de mission.
Dans la mesure où le traitement REVOL fait appel à un dispositif biométrique, la commission considère qu'il y a lieu de faire application des dispositions de l'article 27 de la loi du 6 janvier 1978 modifiée.
A titre liminaire, la commission estime que les dispositions du projet de décret qui lui est soumis pour avis pourraient utilement être intégrées au décret n° 2008-543 du 9 juin 2008 relatif au passeport diplomatique. La lisibilité du régime juridique relatif à ces titres serait en effet favorisée si toutes les dispositions y relatives étaient regroupées dans un même texte réglementaire.
Sur l'enregistrement de données biométriques dans le composant électronique intégré au passeport diplomatique :
La commission rappelle que la collecte de l'image numérisée du visage du demandeur de passeport diplomatique ainsi que celle de deux de ses empreintes digitales sont rendues nécessaires par les dispositions du règlement (CE) n° 2252/2004 du 13 décembre 2004, qui fait obligation aux Etats membres de délivrer des passeports dotés d'un composant électronique comportant les éléments biométriques précités.
A cet égard, elle rappelle qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique, dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif. La commission prend donc acte de l'enregistrement des éléments biométriques précités dans le composant électronique du passeport diplomatique.
Sur la conservation de données biométriques en base centrale :
L'article 9 du projet de décret prévoit notamment l'enregistrement dans le traitement REVOL des empreintes digitales des huit doigts des personnes dont la demande de passeport a été acceptée par le ministère des affaires étrangères ainsi que de l'image numérisée de leur visage. La commission relève que ledit article précise à cet égard que le dispositif ne permet pas de procéder à des recherches en identification à partir de ces empreintes digitales et ne comporte pas de dispositif de reconnaissance faciale.
A titre liminaire, la commission rappelle que le recueil de huit empreintes digitales, d'une part, et la conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire, d'autre part, ne résultent pas d'une prescription communautaire.
Elle rappelle également qu'elle a toujours considéré que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient.
A cet égard, elle observe que le traitement REVOL poursuit les mêmes finalités que le traitement TES, énoncées à l'article 18 du décret n° 2005-1726 modifié, à savoir la mise en œuvre des procédures d'établissement, de délivrance, de renouvellement et de retrait des passeports diplomatiques ainsi que la prévention et la détection de leur falsification et de leur contrefaçon. Or, dans son avis du 11 décembre 2007, la commission avait considéré que si ces finalités apparaissaient légitimes elles ne justifiaient pas la conservation en base centrale des empreintes digitales des demandeurs de passeport.
En outre, elle relève que le ministère des affaires étrangères n'est pas confronté, en matière de passeport diplomatique, aux mêmes difficultés de fraude documentaire que ne l'est le ministère de l'intérieur s'agissant des passeports ordinaires. La commission observe en effet que seules les empreintes digitales des personnes dont la demande de passeport diplomatique a été acceptée par le ministère des affaires étrangères sont collectées et enregistrées dans le traitement REVOL, de sorte que ces données ne sont aucunement utilisées aux fins d'instruction des demandes de passeport diplomatique. Le ministère a précisé à cet égard que les données biométriques conservées en base centrale ne seront utilisées que dans le cadre d'une réquisition judiciaire et qu'aucun des destinataires du traitement ne pourra y avoir accès.
Dès lors, si la nécessité d'assurer une cohérence gouvernementale concernant les passeports biométriques délivrés par l'Etat français ne peut être totalement écartée, la commission considère que la proportionnalité de la conservation en base centrale des images numérisées du visage et des empreintes digitales des titulaires de passeport biométrique, au regard des finalités du traitement REVOL, n'a pas été démontrée.
Elle relève plus particulièrement que la collecte et l'enregistrement des empreintes digitales de huit doigts ne répondent à aucune finalité précise du traitement REVOL et que la conservation de ces éléments est uniquement justifiée par la nécessité d'assurer une cohérence avec le dispositif du passeport biométrique ordinaire. Dès lors, la commission estime qu'il conviendrait que, en tout état de cause, l'enregistrement des empreintes digitales dans ce traitement soit limité aux seuls éléments nécessaires à la délivrance des passeports diplomatiques biométriques, soit aux empreintes digitales des deux doigts du titulaire enregistrées dans le composant électronique du passeport.
En ce qui concerne les exemptions à l'obligation de collecte des ces éléments biométriques, la commission prend acte de ce que l'article 4 du projet de décret prévoit que les empreintes digitales des mineurs de moins de douze ans ne sont pas recueillies. Elle relève que l'augmentation de cet âge minimal, par rapport aux dispositions du décret n° 2005-1726 modifié, est conforme aux évolutions du droit communautaire en la matière, d'une part, et qu'elle prend en compte les réserves exprimées par la commission à de nombreuses reprises, s'agissant de la collecte des identifiants biométriques des enfants, d'autre part. Elle prend également acte de ce qu'un passeport d'une durée de validité maximale de douze mois, non soumis aux dispositions du règlement communautaire précité, sera délivré aux personnes dans l'incapacité de se prêter au relevé de leurs empreintes.
Sur les autres données à caractère personnel enregistrées dans le traitement :
L'article 9 du projet de décret prévoit en outre l'enregistrement dans le traitement REVOL de données relatives au titulaire du passeport diplomatique, d'informations relatives au passeport diplomatique délivré, de données relatives au fabricant du passeport et aux agents chargés de la délivrance du passeport ainsi que de l'image numérisée des pièces du dossier de demande de passeport diplomatique.
A cet égard, la commission prend acte de ce qu'il n'est pas prévu d'enregistrer d'éléments relatifs au domicile ou à la résidence des personnes concernées, contrairement à ce que prévoit l'article 19 du décret n° 2005-1726 modifié, qui avait fait l'objet de réserves de la part de la commission dans son avis du 11 décembre 2007.
La liste des autres informations et données à caractère personnel enregistrées dans le traitement n'appelle pas d'observation particulière de la part de la commission.
Sur la durée de conservation des données :
Aux termes de l'article 10 du projet de décret soumis à la commission, les données à caractère personnel et les informations enregistrées dans le traitement REVOL sont conservées pendant quinze ans à compter de la date d'acceptation ou de refus de la demande lorsque le titre est délivré à un majeur et pendant dix ans lorsque le titre est délivré à un mineur.
A cet égard, la commission relève que l'article 2 du décret n° 2008-543 relatif au passeport diplomatique précise que celui-ci ne peut être utilisé qu'aux fins pour lesquelles il est délivré et qu'il doit être restitué au ministère des affaires étrangères à l'expiration de sa validité ou dès lors que son utilisation n'est plus justifiée. Or, en vertu de l'article 1er de l'arrêté du 11 février 2009 relatif au passeport diplomatique, ces passeports peuvent être délivrés pour la seule durée du mandat de certaines hautes fonctions de la République ou pour la durée de certaines missions effectuées par des agents du ministère.
Dans la mesure où l'article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont conservées « pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées », la commission considère que la durée de conservation des données enregistrées dans le traitement REVOL devrait être dépendante de la validité exacte du passeport diplomatique délivré, par exemple de cinq ans à compter de sa restitution au ministère des affaires étrangères.
Sur les destinataires des données et leurs modalités d'accès :
La commission relève que seuls les agents et personnels du ministère des affaires étrangères spécialement affectés dans le service chargé de l'instruction des demandes de passeport diplomatique sont autorisés à enregistrer les données et informations dans le traitement REVOL et à accéder directement à l'application. A cet égard, elle estime que l'article 11 du projet de décret devrait être modifié, afin de mentionner explicitement que ces agents sont destinataires des données enregistrées dans l'application REVOL. Dans la mesure où ces agents n'auront pas accès aux empreintes digitales des personnes concernées, comme l'a confirmé le ministère des affaires étrangères, la commission estime en outre que cet article devrait expressément prévoir que ces accès se limitent aux données alphanumériques du traitement.
En ce qui concerne les modalités d'accès de ces agents au traitement, la commission prend acte de ce que ceux-ci sont spécialement habilités à traiter les demandes de passeport diplomatique et de ce que leur accès à l'application REVOL nécessite en outre une authentification par carte à puce et mot de passe.
Elle prend également acte de ce que le ministère des affaires étrangères a prévu de strictes mesures de traçabilité des consultations du traitement effectuées par ces agents. L'article 16 du projet de décret prévoit ainsi expressément que ces consultations feront l'objet d'un enregistrement comprenant l'identifiant du consultant, la date, l'heure et l'objet de la consultation et que ces informations seront conservées pendant un an. La traçabilité des accès au système permettant notamment à la commission, le cas échéant, de mener des missions de contrôle, conformément à l'article 44 de la loi du 6 janvier 1978 modifiée, il conviendrait que ces informations comprennent, non seulement les consultations du système, mais également les actions effectuées dans l'application REVOL (modification ou suppression de données, transmission à d'autres autorités, etc.).
La commission observe que les autres destinataires du traitement REVOL, mentionnés aux articles 14 et 15 du projet de décret, ne disposent pas d'un accès direct à l'application mais doivent demander communication de certaines données auprès des agents du ministère des affaires étrangères. Ainsi, les agents des services de la police nationale, de la gendarmerie nationale et des douanes, chargés des missions de recherche et de contrôle de l'identité des personnes, de vérification de la validité et de l'authenticité des passeports, ainsi que les agents chargés des missions de prévention et de répression des actes de terrorisme peuvent être rendus destinataires, à leur demande, des données enregistrées dans le traitement.
A cet égard, la commission considère que ces deux articles pourraient utilement être placés à la suite de l'article 11 du projet de décret, afin de favoriser une meilleure intelligibilité des dispositions relatives aux destinataires du traitement REVOL. Elle estime qu'il conviendrait qu'une procédure de désignation individuelle et d'habilitation spéciale soit expressément prévue pour les agents mentionnés à l'article 14 du projet de décret et que cet article mentionne expressément que ceux-ci ne peuvent avoir accès aux empreintes digitales enregistrées dans la base centrale.
S'agissant de l'accès aux données du traitement par les services chargés de la lutte antiterroriste, à l'exclusion des empreintes digitales, la commission relève que l'article 9 de la loi n° 2006-64 du 23 janvier 2006 modifiée ne permet l'accès qu'au « système de gestion des passeports », qui semble désigner le traitement TES mis en œuvre par le ministère de l'intérieur aux fins de gestion des passeports ainsi que des passeports de service et de mission. Elle s'interroge dès lors sur la validité du fondement juridique permettant d'étendre l'accès de ces services au traitement REVOL.
Sur les sécurités du dispositif projeté :
En ce qui concerne les sécurités entourant la conservation des données biométriques tout d'abord, la commission prend acte de ce que celles-ci seront stockées par l'Agence nationale des titres sécurisés (ANTS) tout comme les données biométriques enregistrées dans le traitement TES et qu'elles seront indexées par un index REVOL spécifique, connu du seul ministère des affaires étrangères. Cependant, elle estime qu'il serait plus pertinent de prévoir un stockage de ces données dans une base distincte de celle contenant les empreintes digitales des demandeurs de passeport ordinaire, qui devrait en outre faire l'objet de mesures assurant une traçabilité complète et sécurisée des opérations. La commission recommande également que cette base soit chiffrée et que les clés de chiffrement soient exclusivement détenues par les personnels du ministère des affaires étrangères.
En outre, elle relève que le système REVOL s'appuie sur un réseau privé, protégé physiquement et logiquement, et qu'il s'appuie sur une gestion des identités physiques et des habilitations des agents garantissant que seuls les agents habilités du ministère ont accès aux données du système.
S'agissant de la sécurité des échanges entre les différents organismes impliqués dans la délivrance des passeports diplomatiques, elle prend acte de ce que le ministère des affaires étrangères utilisera un double chiffrement, des données et du tunnel, afin de transmettre directement les informations à l'Imprimerie nationale, et que les clés de chiffrement sont gérées par des cartes agent du ministère.
Au regard de ces éléments et hormis les réserves exprimées s'agissant de la conservation des données biométriques, la commission considère dès lors que les mesures de sécurité prévues par le ministère des affaires étrangères sont conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes concernées :
La commission relève que les mesures d'information des personnes concernées sont identiques à celles qui ont été prévues par le ministère de l'intérieur concernant la délivrance des passeports biométriques ordinaires. Ainsi, l'article 12 du projet de décret prévoit que la remise du passeport diplomatique s'accompagne d'une copie sur papier des données enregistrées dans le composant électronique, d'une part, et d'une notice d'information sur la nature des données à caractère personnel enregistrées dans le traitement REVOL, d'autre part. La commission estime que ces modalités d'information sont conformes aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Elle prend également acte des modalités d'exercice des droits d'accès et de rectification des personnes aux données qui les concernent, prévues par ledit article 12 qui dispose que ces droits s'exercent directement auprès du ministère des affaires étrangères, seule autorité habilitée à délivrer des passeports diplomatiques.
Cependant, la commission rappelle au ministère des affaires étrangères que, s'il n'envisage pas de permettre aux personnes de s'opposer, pour des motifs légitimes, à ce que des données les concernant fassent l'objet d'un traitement, il convient que l'acte réglementaire autorisant la mise en œuvre du traitement REVOL écarte expressément les dispositions de l'article 38 de la loi du 6 janvier 1978 modifiée.