(Demande d'avis n° 1127336 v3)
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret portant modification du décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi du 6 janvier 1978 modifiée ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu la décision du Conseil d'Etat du 26 octobre 2011 statuant au contentieux sur les requêtes n°s 317827, 317952, 318013 et 318051 ;
Vu la délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 2 décembre 2011, par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret portant modification du décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports, en application des dispositions des articles 27 et 30 de la loi du 6 janvier 1978 modifiée.
Ce décret, dans sa rédaction issue de la modification intervenue en 2008, a autorisé la délivrance de passeports munis d'un composant électronique (puce sans contact) contenant notamment deux des empreintes digitales de son titulaire ainsi que la création d'une base centralisée comprenant huit empreintes digitales des demandeurs de titre. La commission, qui avait été saisie pour avis de ces modifications du traitement relatif aux passeports, avait exprimé, dans sa délibération du 11 décembre 2007, de fortes réserves sur le dispositif projeté.
Le Conseil d'Etat a, par la suite, été saisi de plusieurs requêtes en annulation du décret relatif aux passeports. Par sa décision en date du 26 octobre 2011, le Conseil d'Etat a annulé l'article prévoyant la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport.
Afin de tirer les conséquences de cette décision, le ministère de l'intérieur projette de modifier l'article 6-1 du décret du 30 décembre 2005 modifié pour limiter le recueil et la conservation des empreintes digitales du demandeur de passeport aux seules deux empreintes insérées dans le composant électronique du titre. En outre, les six empreintes surnuméraires des demandeurs de passeport, collectées depuis 2008 et conservées dans le traitement central, doivent être effacées de la base.
Sur la limitation de la collecte des empreintes digitales :
La commission observe que ses réserves sur le dispositif autorisé en 2008 et, plus généralement, son analyse, au regard de la loi du 6 janvier 1978 modifiée, des traitements biométriques ont été partiellement suivies par le Conseil d'Etat. Ce dernier n'a cependant pas estimé, contrairement à la commission, que le principe même de la conservation dans une base centrale des images numérisées du visage et des empreintes digitales des demandeurs de passeport était disproportionné au regard de la finalité du traitement.
Le Conseil d'Etat a considéré que la finalité de celui-ci, qui permet uniquement de s'assurer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré et que les données contenues dans le composant électronique du passeport n'ont pas été falsifiées, pouvait « être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage ». En ce sens, l'analyse de la commission sur l'absence de proportionnalité du dispositif par rapport aux objectifs précis qui lui sont assignés a été suivie par le Conseil d'Etat.
Celui-ci a ainsi estimé que « l'utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n'étant pas établie, la collecte et la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé ».
Cette formulation confirme également la position constante de la commission selon laquelle les dispositifs biométriques reposant sur l'utilisation des empreintes digitales et ayant pour seule finalité l'authentification des personnes, et non leur identification, ne nécessitent la conservation que de deux empreintes. En ce qui concerne, en particulier, les traitements biométriques mis en œuvre pour le compte de l'Etat, la commission a, par exemple, rappelé que la conservation de huit empreintes digitales était disproportionnée au regard de la finalité d'authentification des voyageurs inscrits au traitement PARAFE.
En tout état de cause, la décision du Conseil d'Etat impose de limiter le recueil et la conservation des empreintes digitales du demandeur de passeport aux seuls deux éléments insérés dans le composant électronique du titre. Le ministère de l'intérieur prévoit donc de modifier l'article 6-1 du décret du 30 décembre 2005 modifié dans les termes suivants : « Lors du dépôt de la demande de passeport, il est procédé au recueil des empreintes digitales à plat de chacun des index du demandeur. Si le recueil de l'une de ces empreintes s'avère impossible, il est procédé au recueil de celle du majeur ou de l'annulaire de la même main ou, à défaut, de l'autre main, dans cet ordre de priorité. »
Cette rédaction n'appelle pas d'observation particulière de la part de la commission.
Elle relève cependant qu'en pratique les modalités de recueil de ces empreintes, qui a lieu en mairie ou dans les postes consulaires, ne seront pas modifiées dans la mesure où les demandeurs devront continuer à présenter leurs huit empreintes (en posant leurs deux mains, sans les pouces, sur les capteurs).
La commission prend acte que les six doigts non retenus ne seront ni transmis vers la base centrale ni conservés. Elle estime cependant qu'il serait préférable de ne réaliser la prise d'empreintes que sur deux doigts et non sur huit. C'est pourquoi elle recommande, lors du renouvellement ou de l'acquisition du nouveau matériel, la mise à disposition de capteurs de deux doigts.
Sur la procédure d'effacement des données enregistrées :
La décision précitée du Conseil d'Etat impose, en outre, de supprimer du traitement central les empreintes digitales non enregistrées dans le composant électronique du passeport. Or, les données biométriques de plus de six millions de demandeurs sont enregistrées dans la base centrale. Cette opération de grande ampleur, qui devrait s'achever en mars 2012, selon les indications fournies par le ministère de l'intérieur, doit donc être menée dans des conditions assurant la plus grande confidentialité aux données stockées.
A cet égard, la commission estime que la procédure générale de suppression des empreintes surnuméraires est adéquate. Elle relève cependant que l'utilisation de logiciels spécifiques, qualifiés ou certifiés CSPN (certification de sécurité de premier niveau) par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) permettrait de garantir un effacement plus sécurisé.
Elle recommande par ailleurs, compte tenu de l'importance des opérations envisagées, que le ministère s'appuie sur un audit externe pour vérifier la mise en œuvre de la modification du système, et notamment l'effectivité de l'effacement des six empreintes. En tout état de cause, la commission s'attachera, dans le cadre de missions de contrôle diligentées en application de l'article 44 de la loi du 6 janvier 1978 modifiée, à vérifier le bon effacement de ces données à l'issue de l'opération menée par le ministère de l'intérieur.