Inepte, Nocif, Effrayant et Scélérat, le projet INES doit être retiré

Iris et la LDH dépose une requete en annulation....

IRIS, LDH — 2015-04-16T14:15:27Z

Requête n° 318013, déposée conjointement par Iris et la Ligue des droits de l'Homme (LDH) qui ont désigné comme mandataire unique la Ligue des droits de l'Homme représentée par son président, et tendant à l'annulation du décret n°2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques (NOR : OCD0807352D, JO du 4 mai 2008

- Actions

IRIS et LDH - Recours passeport biométrique : Observations complémentaires suite à une décision de la CEDH

IRIS, LDH — 2009-01-05T17:35:15Z

Texte intégral du mémoire ampliatif (également disponible en PDF)

À Monsieur le Président et
Mesdames et Messieurs les Conseillers d'État
1, place du Palais Royal
75100 Paris Cedex 01

Affaire n°318013

OBSERVATIONS COMPLEMENTAIRES

POUR :

– Imaginons un réseau internet solidaire (IRIS), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris 20e, 40 rue de la Justice, représentée par sa présidente en exercice, Meryem MARZOUKI ;

– la Ligue des droits de l'Homme (LDH), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris (18e), 138 rue Marcadet, représentée par son président en exercice, Jean-Pierre DUBOIS.

CONTRE :

le décret n°2008-426 du 30 avril 2008 modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Les présentes écritures ont pour objet de venir compléter le mémoire en réplique déposé par l'association Imaginons un Réseau Internet Solidaire et la Ligue des droits de l'Homme le 6 novembre 2008 au greffe du Conseil d'État.

Il ne sera pas ici procédé à un rappel des faits, les requérants renvoyant à cet égard aux développements qu'ils ont déjà effectués dans leur mémoire introductif d'instance.

Par ailleurs, les requérants maintenant leurs demandes, celles-ci ne seront pas reprises autrement que dans le dispositif reproduit en fin du présent mémoire.

1. Dans le cadre du recours en annulation qu'elles ont engagé à l'encontre du décret n°2008-426 du 30 avril 2008 modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, les associations requérantes ont jugé utile d'apporter au débat une décision très récente de la Cour européenne des droits de l'Homme (CEDH, 4 déc. 2008, S et Marper c/ Royaume-Uni, aff. n°30562/04 et n°30566/04).

L'arrêt rendu par la Cour porte en effet sur la conformité de la collecte et de la conservation d'empreintes digitales au regard des dispositions de l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales relatives à la protection de la vie privée.

Or, rappelons qu'en l'espèce le décret contesté a justement pour objet de permettre aux autorités françaises de collecter, puis de conserver les empreintes digitales des demandeurs de passeports (article 8 du décret n°2008-426 du 30 avril 2008 modifiant l'article 19 du décret n°2005-1726 du 30 décembre 2005).

2. Du point de vue de la Cour européenne des droits de l'Homme, la question de la conformité d'une telle mesure est très claire. Elle estime en effet que la conservation d'empreintes digitales {constitue une {{atteinte au respect de la vie privée}} } (point n°86).

De manière plus précise, {elle rappelle que, dans ce contexte comme dans celui des écoutes téléphoniques, de la surveillance secrète et de la collecte secrète de renseignements, il est essentiel de fixer des règles claires et détaillées régissant la portée et l'application des mesures et imposant un minimum d'exigences concernant, notamment, la durée, le stockage, l'utilisation, l'accès des tiers, les procédures destinées à préserver l'intégrité et la confidentialité des données et les procédures de destruction de celles-ci, {{de manière à ce que les justiciables disposent de garanties suffisantes contre les risques d'abus et d'arbitraire}} (voir, mutatis mutandis, Kruslin c. France, 24 avril 1990, §§ 33 et 35, série A no 176-A, Rotaru, précité, §§ 57-59, Weber et Saravia c. Allemagne (déc.), no 54934/00, CEDH 2006 -..., Association pour l'intégration européenne et les droits de l'homme et Ekimdjiev c. Bulgarie, no 62540/00, §§ 75-77, 28 juin 2007, Liberty et autres c. Royaume-Uni, no 58243/00, §§ 62-63, 1er juillet 2008)} (point n°99).

Elle ajoute par ailleurs que {la nécessité de disposer de telles garanties se fait d'autant plus sentir lorsqu'il s'agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque {{ces données sont utilisées à des fins policières}} } (point n°103).

3. Il convient ici de rappeler que les traitements examinés dans le cadre de cette affaire ont été mis en œuvre par les autorités britanniques à des fins de prévention, de constatation, de recherche et de poursuite d'infractions pénales.

Tel est également l'une des finalités, sinon la principale, poursuivies par la conservation des empreintes digitales dans le cadre des dispositions du décret contesté.

Il en résulte qu'une telle similitude rend la solution retenue par la Cour d'autant plus éclairante en vue de l'examen de la proportionnalité de la collecte, puis de la conservation d'empreintes digitales en application du décret contesté.

4. Dans ce cadre, le Conseil d'État ne manquera pas de relever que dans l'affaire S. et Marper c/ Royaume-Uni la Cour :

– a non seulement été {frappée par {{le caractère général}} et {{indifférencié}} du pouvoir de conservation en vigueur}, les données en cause pouvant {être conservées quelles que soient la nature et la gravité des infractions dont la personne était à l'origine soupçonnée et {{indépendamment de son âge}} } (point n°119) ;

– mais qu'elle a en outre estimé que la conservation d'empreintes digitales { {{peut être particulièrement préjudiciable dans le cas de mineurs}}, tel le premier requérant, en raison de leur situation spéciale et de l'importance que revêt leur développement et leur intégration dans la société}, indiquant à cette occasion qu'elle s'inspirait des dispositions de la Convention des Nations Unies sur les droits de l'enfant de 1989 (point n°124).

Elle en a déduit que la conservation d'empreintes digitales dans le cadre d'un traitement ayant pour finalité la prévention, la constatation, la recherche et la poursuite d'infractions pénales ne traduisait pas {un juste équilibre entre les intérêts publics et privés concurrents en jeu et qu'elle devait s'analyser en une {{atteinte disproportionnée}} au droit des requérants au respect de leur vie privée et ne peut passer pour nécessaire dans une société démocratique}.

5. Or, en l'espèce, et comme l'ont démontré les associations requérantes dans leurs précédentes écritures sur le fondement des analyses à la fois de la CNIL, du Contrôleur européen de la protection des données et du Groupe de l'article 29, force est de constater :

– que la collecte de huit empreintes digitales au lieu de deux, comme le prévoit le règlement communautaire, et leur conservation au sein de la base centralisée constituent des mesures disproportionnées, alors qu' {aucune mesure particulière n'est prévue, parallèlement (...), pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes}, selon l'expression de la CNIL, comme le requiert pourtant le Conseil constitutionnel (Cons. const., 15 nov. 2007, Déc. n°2007-557 DC, cons. n°16) ;

– qu'elles ne peuvent passer pour nécessaires dans une société démocratique, en ce qu'elles ne paraissent {pas constituer en l'état, un outil décisif de lutte contre la fraude documentaire}, selon l'expression de la CNIL, ; et, ce,

– d'autant plus à l'égard des mineurs âgés de plus de 6 ans.

6. Pour l'ensemble de ces raisons, le Conseil d'État voudra bien conclure à l'illégalité du décret contesté et en prononcer l'annulation.

PAR CES MOTIFS
Et tous autres à produire, déduire, suppléer, au besoin même d'office,

Les requérantes sollicitent du Conseil d'État l'annulation du décret n°2008-426 du 30 avril 2008.

Fait à Paris, le 22 décembre 2008

Meryem Marzouki, Présidente d'IRIS

Jean-Pierre Dubois, Président de la LDH

LISTE DES PIECES

PIECE N°1 : Arrêt S. et Marper c/ Royaume-Uni rendu par la Cour européenne des droits de droits de l'Homme le 4 décembre 2008 sous les numéros 30562/04 et 30566/04.

IRIS et LDH - Mémoire en réplique aux observations du ministère de l'Intérieur (recours passeport biométrique)

IRIS, LDH — 2008-11-07T13:11:28Z

Texte intégral du mémoire en réplique (également disponible en PDF)

À Monsieur le Président
de la Section du contentieux
du Conseil d'État
Place du Palais Royal
75100 Paris 01 SP

Paris, le 5 novembre 2008

Objet : Requête n° 318013 déposée conjointement par Iris et la Ligue des droits de l'Homme (LDH) qui ont désigné comme mandataire unique la Ligue des droits de l'Homme représentés par son président et tendant à l'annulation du décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques (NOR : IOCD0807352D, JO du 4 mai 2008)

Affaire suivie par Mme Tardy (secrétaire de la 10e sous-section)

MEMOIRE EN REPLIQUE

Monsieur le Président,

Vous avez bien voulu nous communiquer les observations du ministre de l'Intérieur concernant la requête commune déposée par IRIS et la LDH contre le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Ce mémoire en défense nous conduit à faire les observations suivantes.

I. Sur la publication tardive de l'avis de la CNIL

Dans son mémoire, le ministère soutient que le retard de publication de l'avis de la CNIL n'a aucune influence sur la légalité du décret attaqué.

Il s'appuie pour cela sur l'arrêt Lambert rendu par le Conseil d'État en 1989 selon lequel {la circonstance qu'un acte administratif n'ait pas été publié ou ait été publié avec retard reste sans influence sur sa légalité même (CE. Sect. 31 mars 1989, Lambert, p. 110, n°71747, s'agissant d'un arrêté de placement d'office)} (Mémoire du 6 octobre 2007, p. 3).

Sur ce point, le Conseil ne manquera pas de constater tout d'abord que la présente requête porte sur une réglementation d'application beaucoup plus large que celle du placement d'office. Elle ne concerne rien de moins que l'ensemble de la population française titulaire d'un passeport. Il en résulte que le respect dans ce domaine des règles de formalisme doit être d'autant plus strict que ces règles sont la garantie d'une protection efficace des libertés fondamentales.

La jurisprudence Lambert, dont le ministère omet d'ailleurs de rappeler la seconde partie de phrase du considérant, ne fait rien d'autre qu'appliquer ce principe. Dans sa décision, le Conseil d'État a en effet considéré que ledit retard est {sans influence sur la légalité de l'arrêté préfectoral contesté {{dès lors}} que la mesure d'urgence que peut prendre le maire (arrêté du maire) {{ne constitue pas un préalable nécessaire}} } à l'acte administratif (PIECE N°1).

Or, et c'est le deuxième point, le Conseil d'État pourra relever que, d'après le ministère lui-même, {il est exact} que ce préalable n'a pas été rempli en l'espèce. Rappelons en effet que {l'avis de la CNIL, en date du 11 décembre 2007, a été publié au Journal Officiel du 10 mai 2008, {{soit six jours après la publication du décret le 4 mai 2008}} } (Mémoire du 6 octobre 2007, p. 3).

Il s'y ajoute, enfin, le fait que ce préalable était bel et bien nécessaire. On en veut pour preuve :
– les dispositions de l'article 26-II de la loi Informatique & libertés - applicables en l'espèce - selon lesquelles tout avis de la CNIL pris sur le fondement de l'article 27 { {{est publié avec le décret autorisant le traitement}} } ;
– précisées par celles plus explicites encore de son décret d'application ajoutant que {les actes sur lesquels ils portent {{sont publiés à la même date}} } ;
– cette obligation reposant elle-même sur le responsable du traitement, à savoir, dans le cas du décret du 30 avril 2008, le ministère.

Il en résulte que l'avis de la CNIL et le décret contesté auraient dû être publiés simultanément.

Le respect de cette obligation, comme l'a relevé la CNIL elle-même dans son avis du 26 septembre 2000, constitue en effet un préalable nécessaire dans la mesure où il permet d' {assurer le maintien d'un haut niveau de garantie et en tout état de cause, à préserver la portée qui doit s'attacher aux interventions d'une autorité administrative indépendante à l'égard de traitements particulièrement sensibles} (PIECE N°2).

Le Conseil voudra bien en déduire que le décret contesté doit être annulé pour publication tardive de l'avis de la CNIL en date du 11 décembre 2007.

II. Sur la violation de la procédure d'avis prévue à l'article 26 de la loi Informatique & libertés

Dans ses dernières écritures, le ministère soutient également que {le traitement automatisé des demandes de passeports sécurisés répond très exactement aux dispositions (...) de l'article 27 puisqu'il s'agit d'un traitement portant sur des données biométriques (photographie du visage et prise des empreintes digitales du demandeur) à des fins d'authentification des titulaires des titres et aucunement d'un traitement à finalité policière, qu'il s'agisse d'un fichier de police judiciaire ou d'un fichier de renseignement} (Mémoire du 6 octobre 2007, p. 3).

Il en conclut que l'argumentation des requérants est non-fondée et que le décret contesté n'avait pas à faire l'objet de la procédure d'avis prévue à l'article 26 de la loi Informatique & libertés. Or, le ministère commet à cet égard une confusion qui vient semer un trouble inutile dans le débat.

Les requérants ne contestent pas l'application de la procédure prévue à l'article 27 de la loi du 6 janvier 1978 à certaines dispositions du décret du 30 avril 2008. Comme ils l'ont dit pourtant de manière claire dans le mémoire introductif d'instance (p. 9), ils la contestent seulement s'agissant de la création de la base centralisée dénommée TES.

Rappelons en effet que les dispositions de l'article 27-I, 2° de la loi Informatique & libertés prévoient que {sont autorisés par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés (...) les traitements de données à caractère personnel mis en œuvre pour le compte de l'État qui portent sur des données biométriques {{nécessaires}} :
– à l'{{authentification}} ; ou
– au {{contrôle de l'identité}} des personnes}.

Si, en l'espèce, certaines dispositions du décret contesté ont effectivement comme unique finalité l'authentification ou le contrôle de l'identité des personnes, tel n'est pas le seul objet de la création de la base centralisée TES.

La simple lecture de l'article 18 du décret du 30 décembre 2005, tel qu'inséré par l'article 7 du décret du 30 avril 2008, suffit à le relever. Ces dispositions prévoient en effet que le ministère est autorisé à procéder à la création du système TES :
– certes, {afin de mettre en œuvre les procédures d'établissement, de délivrance, de renouvellement et de retrait des passeports}, ce qui correspond effectivement à une mission d'authentification ou de contrôle de l'identité ;
– mais aussi et surtout {à {{prévenir}} et {{détecter}} leur falsification et leur contrefaçon}.

L'apparition de nouvelles finalités au traitement prévue par le règlement communautaire n°2252/2004 n'a d'ailleurs pas seulement été constatée par les requérants. Le Contrôleur européen de la protection des données l'a lui même relevé dans son avis qu'il a été contraint de délivrer de sa propre initiative le 26 mars 2008, la Commission européenne n'ayant pas respecté l'obligation qui lui était faite de le saisir conformément à l'article 28, paragraphe 2 du règlement communautaire n°45/2001.

Selon ses propres termes, {bien qu'il soit possible aux États membres de n'utiliser la base de données centralisée qu'à des fins de vérification des données biométriques, conformément aux strictes limites imposées par le règlement, cette possibilité présente des risques supplémentaires à l'égard de la protection des données à caractère personnel, comme {{l'apparition d'autres finalités non prévues par le règlement, voire la pratique d'une pêche aux informations dans la base de données, qu'il sera difficile de modérer}} } (PIECE N°3).

Or, lorsqu'un traitement public poursuit une finalité de prévention et de détection de la falsification et de la contrefaçon des passeports, il dépasse de loin celles de simple {authentification ou de contrôle de l'identité des personnes}, telles qu'expressément visées par l'article 27 de la loi du 6 janvier 1978.

La falsification ou la contrefaçon d'un passeport est en effet une infraction prévue par les articles 441-2 et suivants du code pénal.

Il en résulte que la base TES poursuit alors, contrairement à ce que prétend le ministère (Mémoire du 6 octobre, p. 3), également une finalité {policière} et peut même constituer un {fichier de renseignement}.

On en veut pour preuve l'article 21-1 du décret du 30 décembre 2005, tel qu'inséré par celui du 30 avril 2008. Ces dispositions autorisent en effet les services en charge de la lutte contre le terrorisme à accéder à la base TES.

Et pour quelle raison avoir autorisé des services de renseignement - ne disposant d'ailleurs pas de compétences en matière de délivrance de passeports - à accéder à cette base centralisée, sinon pour leur permettre d'accomplir leurs missions de prévention, de recherche, de constatation ou de poursuite d'infractions pénales d'une particulière gravité ?

Or, la procédure applicable en cas de traitements publics poursuivant une telle finalité n'est pas celle de l'article 27, mais bien celle de l'article 26 de la loi Informatique & libertés.
Cette différence des procédures (article 26 ou article 27) résultant elle-même d'une différence des finalités poursuivies par le décret attaqué (d'un côté authentification ou contrôle de l'identité et, de l'autre, prévention et détection de la falsification ou de la contrefaçon de documents officiels) n'est pas sans conséquence d'un point de vue juridique.

Elle impose en effet que chacune de ces finalités aurait dû faire l'objet de deux actes réglementaires distincts. C'est la condition indispensable pour éviter une interconnexion de fichiers ayant des intérêts publics différents et devant, dans ce cas, être soumise non à une simple procédure d'avis de la CNIL, mais à une autorisation expresse de cette dernière, conformément à l'article 25 de la loi Informatique & libertés.

Il en résulte que le ministère ne peut prétendre que la procédure de l'article 27 qu'il a suivie serait plus protectrice que celle de l'article 26 de la loi du 6 janvier 1978.

De toute évidence, ces dernières dispositions prévoient qu'un traitement qui intéresse la sûreté de l'État, la défense ou la sécurité publique ou qui a pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales doit être autorisé par décret en Conseil d'État, lorsqu'il prévoit, comme en l'espèce, la collecte - par l'intermédiaire de l'image numérisée du visage - de données sensibles faisant même indirectement apparaître les origines raciales ou ethniques (Rapport {Mesure de la diversité et protection des données personnelles} du 25 mai 2007 présenté à la CNIL).

Le Conseil d'État voudra bien conclure de l'ensemble de ces éléments :
– que la finalité poursuivie par la création de la base centralisée TES se distingue clairement de celles de simple authentification ou de contrôle de l'identité au sens de l'article 27 de la loi Informatique & libertés ;
– que, pour cette raison, elle aurait dû être autorisée au terme de la procédure d'avis de la CNIL telle que prévue par l'article 26 de la loi du 6 janvier 1978 ; voire même ;
– qu'en conséquence, elle aurait dû faire l'objet d'un décret strictement séparé de ceux des 30 décembre 2005 et 30 avril 2008, sauf à procéder à une interconnexion de fichiers ayant des intérêts publics différents violant l'obligation d'autorisation expresse de la CNIL prévue à l'article 25-I, 5° de la loi du 6 janvier 1978 ;
– qu'en choisissant de ne pas appliquer ces dispositions, le Premier Ministre a commis un détournement de procédure ou, à tout le moins, une erreur de droit de nature à prononcer la nullité du décret contesté.

III. Sur la violation du principe de proportionnalité prévu à l'article 6, 3° de la loi du 6 janvier 1978

Là encore, le ministère établit une confusion dans l'argumentation des requérantes. Il soutient en effet que la création de la base centralisée TES est nécessaire. Il croit d'ailleurs utile de préciser que la CNIL l'a même jugé légitime. À l'en croire, la Commission était donc favorable à l'adoption du décret contesté (mémoire du 6 octobre, p. 6, paragraphes 4 et 6).

Le ministère oublie cependant de mentionner les nombreuses réserves émises par la CNIL dans son avis du 11 décembre 2007 (PIECE N° 4 - voir également : Communiqué de la CNIL, Passeports biométriques : la CNIL réservée sur la création de la première base de données biométriques relatives aux citoyens français, 5 juin 2008, www.cnil.fr).

Elle a en effet considéré que {si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter {{une atteinte excessive}} à la liberté individuelle}. Et la CNIL n'est pas la seule à juger que la constitution d'une base centralisée est de nature à porter une telle atteinte. Le Contrôleur européen de la protection des données dans son avis du 26 mars 2008 sur la proposition de modification du règlement communautaire a, pour sa part, recommandéà la Commission de proposer de nouvelles mesures d'harmonisation afin que les données biométriques collectées pour être intégrées dans les passeports délivrés par États membres de l'UE ne puissent être stockées que sur un support décentralisé (sur la puce sans contact du passeport)({{PIECE N°3}}). Il rejoint en cela l'avis prononcé par le groupe de l'article 29 constitué de l'ensemble des autorités chargées au niveau de chaque État membre de la protection des données personnelles (Avis 3/2005, 30 septembre 2005, WP 112 - {{PIECE N°5}}). Cette institution a en effet jugé quela création d'une base de données centralisée contenant les données personnelles et en particulier les données biométriques de tous les citoyens (européens) risquerait de violer le principe de base de proportionnalité. Toute base de données centralisée accroîtrait les risques d'utilisation abusive et d'appropriation frauduleuse. Elle accroîtrait également le risque d'abus et de dérapages. Enfin, elle augmenterait également le risque d'utilisation des éléments d'identification biométrique comme 'clés d'accès' à diverses bases de données, et partant d'interconnexion de fichiers. C'est cette atteinte que les requérants contestent et non le caractèrenécessairede ce traitement au sens de l'article 6, 2° de la loi du 6 janvier 1978. Ils considèrent en effet que la création d'une base centralisée au niveau national viole le {{principe de proportionnalité}} qui impose que tout traitement ne doit porter que sur des donnéesadéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement(L. n°78-17, 6 janvier 1978, mod., art. 6, 3° ; voir {CE, 3 décembre 1999, Caisse de Crédit Mutuel de Bain-Tresboeuf, concl. J.-D. Combrexelle}). Rappelons que ces dispositions sont considérées par le Conseil Constitutionnel lui-même comme des garanties légales du respect du droit à la vie privée découlant de l'article 2 de la déclaration des droits de l'Homme et du citoyen de 1789 ({Cons. const., Déc. n°2007-557 DC du 15 novembre 2007, Loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile ; Cons. const., Déc. n°2008-562 DC du 21 février 2008, Loi relative à la rétention de sûreté et à la déclaration d'irresponsabilité pénale pour cause de trouble mental}). Rappelons surtout que le respect de ce principe est une condition {sine qua non} de la licéité de tous traitements de données à caractère personnel, {{qu'ils soient mis en œuvre par des personnes privées ou, comme en l'espèce, par une personne publique}}. Aucune dérogation à ce principe n'est en effet prévue par la loi du 6 janvier 1978, y compris s'agissant des traitements publics prévus à ses articles 26 et 27. On en veut pour preuve que l'article 29 de la loi {Informatique & libertés} prévoyant des dérogations pour ces catégories de traitements se borne seulement à indiquer la liste des mentions devant être contenues dans l'acte autorisant un traitement de données à caractère personnel tel que le décret attaqué. Malgré le caractère impératif de ces dispositions au niveau national, le Ministre tente de se soustraire à leur champ d'application au motif que les données figurant dans la base centralisée des nouveaux passeportsrestent effectivement strictement limitées à celles qui sont nécessaires pour assurer une identification certaine des titulaires des titres(Mémoire du 6 octobre, p. 5). Il juge donc totalement proportionné la collecte de pas moins de huit empreintes digitales sur tout demandeur de passeport dès l'âge - pourtant très jeune - de 6 ans. D'après lui, ce choix de huit empreintes serait même établi scientifiquement, les performances d'identification des systèmes biométriques décroissant avec l'augmentation de la taille de la population à gérer. Il croit utile d'ajouter que les erreurs constatables d'identification diminuent d'un facteur cinq à chaque fois que le nombre de doigts enrôlés est doublé. Le Conseil d'État pourra cependant relever que le ministère se borne à citer des statistiques, sans expliciter leur provenance scientifique, ni en fournir la preuve. À tout le moins, il n'en existe à notre connaissance aucune dont les conclusions sont indiscutables. C'est d'ailleurs pour cette raison que le Contrôleur européen de protection des données relève que {{la Commission n'a réalisé aucune analyse d'impact}} et que les projets pilotes, en tant que tels, fournissent {{un volume d'informations insuffisant}}. En l'absence de tels éléments, force est de constater que la création d'une base centralisée comme TES ne suffit pas en-elle même à assurer uneidentification certaine des titulaires des titresselon l'expression du ministère, surtout si - comme le relève la CNIL dans son avis -aucune mesure particulière n'est prévue, parallèlement à la conservation de données biométriques, pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes({{PIECE N°4}}). Ce faisant, elle en conclut que la base centralisée TES, là encore contrairement aux affirmations du ministère,ne paraît pas constituer en l'état, un outil décisif de lutte contre la fraude documentaire. La Commission rejoint en cela l'analyse du Conseil Constitutionnel à propos de l'utilisation de tests ADN en matière de regroupement familial. À l'occasion de l'examen de la loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile, il a en effet émis une réserve d'interprétation selon laquelle l'application d'un nouveau dispositifne saurait avoir pour effet de dispenser les autorités (...) de vérifier, au cas par cas, (...) la validité et l'authenticité des actes de l'état civil; ce n'est que, sous cette réserve qu'il considère que l'application d'un tel dispositif ne porte pas atteinte ni directement ni indirectement à un droit fondamental, en l'espèce celui de mener une vie familiale normale ({Cons. const., 15 nov. 2007, Déc. n°2007-557 DC}). Appliqué à notre cas, ce principe permet d'en déduire que la création d'une base centralisée de données comportant des informations biométriques, sans que ne soit systématiquement vérifié l'authenticité des pièces justificatives à l'appui de la demande de passeport, est de nature à porter, même indirectement, atteinte au droit fondamental à la protection contre les fichiers nominatifs informatisés ({CE, Ass., 18 février 1976, Deberon, JCP 1976, n°18383, concl. Guillaume ; Cons. const., 23 juill. 1999, Déc. n° 99-416 DC - 9 nov. 1999, Déc. n° 99-419 DC}). Dans ce contexte, le ministère croit utile de s'appuyer sur l'obligation prévue par le {règlement communautaire n°2252/2004} de collecter les empreintes digitales. Son examen révèle cependant que le règlement dont le décret contesté est une mesure d'application au niveau national n'impose nullement aux États membres, dont la France, de collecter huit empreintes digitales. Il n'en impose que deux. On comprend donc mal comment le ministère persiste à prétendre que la collecte de huit empreintes digitales, au lieu de deux, est proportionnée au sens de la loi {Informatique & libertés}. Tout au plus, peut-il dire que d'autres États membres l'ont choisi. Mais cette circonstance ne peut présumer à elle seule de la légalité au regard du droit français de la collecte de huit empreintes digitales de tout demandeur de passeport et de leur centralisation au sein de la base de donnéesTES. Une telle collecte et une telle centralisation s'avèrent même plus que disproportionnées lorsqu'elles concernent les mineurs. Il est d'ailleurs surprenant, qu'en l'absence de disposition expresse du règlement communautaire 2252/2004, les autorités françaises aient jugé indispensable de fixer la limite d'âge à partir de laquelle doivent collecter les empreintes digitales à 6 ans. Ceci l'est d'autant plus si l'on relève : - que la proposition de modification de ce règlement adoptée le 18 octobre 2007, {soit près de 6 mois avant la publication du décret contesté}, juge que cette question est trop importantepour être laissée à la discrétion du législateur national ({{PIECE N°6}}) ; - et que c'est même pour cette raison que les autorités communautaires ont fondé leur compétence, pour définir les dérogations à l'obligation de donner ses empreintes digitales. En l'espèce, les autorités communautaires n'ont fait qu'appliquer le principe de subsidiarité énoncé à l'article 5, deuxième alinéa du Traité CE aux termes duqueldans les domaines qui ne relèvent pas de sa compétence exclusive, la Communauté n'intervient, conformément au principe de subsidiarité, que si et dans la mesure où les objectifs de l'action envisagée ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de l'action envisagée, être mieux réalisés au niveau communautaire(CJCE, British American Tobacco, C-491/01, 10 décembre 2002, Recueil 2002, p.I-11453)}. On ne peut donc que constater qu'à la date du 30 avril 2008, les autorités françaises n'avaient pas pleine et entière compétence pour imposer par décret aux mineurs âgés de plus de 6 ans la collecte de leurs empreintes digitales. Elles ne pouvaient pas non plus le faire par anticipation, les dispositions communautaires n'ayant pas encore été adoptées définitivement. Car si la proposition de modification du règlement communautaire n°2252/2004 envisage de fixer également cette obligation dès l'âge de 6 ans, ce seuil fait encore largement débat. De toute évidence, comme le note le Contrôleur européen dans son avis à l'occasion de la proposition de modification du règlement,ni la littérature scientifique disponible, ni l'analyse d'impact précédemment menée par la Commission dans le cadre de la proposition relative au système d'information sur les visas n'ont présenté de preuves concluantes sur lesquelles fonder avec certitude un âge limite pour les enfants({{PIECE N°3}}). Ce faisant, la France prend donc le risque d'adopter une disposition nationale susceptible d'être contraire à un objectif communautaire ; hypothèse qui, rappelons-le est sanctionnée par le Conseil d'État ({CE. 24 septembre 1990, Boisdet, n°58657 ; CE. Sect. 3 décembre 1999, Association ornithologique et mammalogique de Saône-et-Loire et Rassemblement des opposants à la chasse, n°164789 et 165122 ; CE. Sect. 3 décembre 1999 Association ornithologique et mammalogique de Saône-et-Loire et France nature environnement, n°199622 et 200124}). Et ce risque est loin d'être hypothétique, le Parlement européen pouvant notamment décider de suivre l'analyse du Contrôleur européen de protection des données, recommandant qu'en raison des études peu concluantes la collecte d'empreintes d'enfants de 6 ans ne devrait être que temporaire. Il préconise même de relever la limite d'âge à 14 ans, en se fondant sur la réglementation relative aux demandeurs d'asile (règlement n°2725/2000 du 11 décembre 2000) ainsi que sur le programmeUS Visit`.

En prévoyant la collecte d'empreintes d'enfants dès l'âge de six ans, le ministère a en réalité commis une erreur d'appréciation, susceptible de placer le décret contesté en contradiction avec les objectifs poursuivis par la réglementation communautaire en cours de discussion.

EN CONCLUSION :

Les associations requérantes réitèrent donc leur demande d'annulation du décret n° 2008-426 du 30 avril 2008portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l'objet d'une mesure d'éloignement et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile.

Pour les associations requérantes,

Jean-Pierre Dubois
Président de la Ligue des droits de l'Homme

LISTE DES PIÈCES JOINTES

Pièce n° 1 : Arrêt du Conseil d'État, 31 mars 1989, Lambert, Recueil p. 110.

Pièce n° 2 : Avis de la CNIL du 26 septembre 2000 sur le projet de loi modifiant la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Pièce n° 3 : Avis du Contrôleur européen de la protection des données du 26 mars 2008 sur la proposition de règlement modifiant le règlement n°2252/2004.

Pièce n° 4 : Délibération n°2007-368 de la CNIL du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'État modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Pièce n° 5 : Avis du groupe de travail sur la protection des données de l'article 29 du 30 septembre 2005 sur l'application du règlement n°2252/2004 du Conseil.

Pièce n° 6 : Proposition de règlement du 18 octobre 2007 modifiant le règlement n°2252/2004 du Conseil présentée par la Commission européenne.

IRIS et LDH - Recours contre le passeport biométrique

IRIS, LDH — 2008-07-04T13:43:21Z

Texte intégral du recours (également disponible en PDF)

CONSEIL D'ETAT
SECTION DU CONTENTIEUX
REQUÊTE en ANNULATION

POUR :

- Imaginons un réseau internet solidaire (IRIS), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris 20e, 40 rue de la Justice, représentée par sa présidente en exercice, Meryem MARZOUKI ;

- la Ligue des droits de l'Homme (LDH), association régie par la loi du 1er juillet 1901, dont le siège est établi à Paris (18e), 138 rue Marcadet, représentée par son président en exercice, Jean-Pierre DUBOIS.

Les associations requérantes désignent comme mandataire unique Jean-Pierre Dubois, domicilié à la Ligue des droits de l'homme, 138 rue Marcadet, 75018 Paris.

CONTRE :
Le Premier ministre

OBJET :
Demande d'annulation du décret n°2008-426 du 30 avril 2008 modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques (NOR:IOCD0807352D, JO du 4 mai 2008)

*

Les associations exposantes défèrent à la censure du Conseil d'État le décret n°2008-426 du 30 avril 2008 du Premier ministre référencé ci-dessus.

À l'appui de leurs requêtes, elles entendent faire valoir les faits et moyens suivants.

FAITS

Le 4 mai 2008 est paru au Journal Officiel le décret du Premier ministre n°2008-426 du 30 avril 2008 modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

L'avis de la CNIL avait été sollicité le 27 septembre 2007, conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. La CNIL a rendu son avis dans sa délibération n° 2007-368 du 11 décembre 2007.

Cet avis n'a été publié au Journal Officiel que le 10 mai 2008, soit 6 jours après la publication du décret contesté.

À la nouvelle finalité d'élaboration de statistiques près, le décret contesté poursuit les mêmes finalités que le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques. Il impose toutefois la collecte et le traitement automatisé de nouvelles données à caractère personnel, dont la nature, la quantité et la durée de conservation leur confèrent un caractère disproportionné au regard de ces finalités.

Le décret déféré à la censure du Conseil d'État insère en effet un article 6-1, imposant la collecte des empreintes digitales de huit doigts du demandeur de passeport. Cette collecte concerne en particulier tout mineur âgé de plus de 6 ans. Le décret contesté introduit de surcroît une modification de l'article 18, ayant pour objet la création d'une base de données dénommée « TES » afin de conserver et traiter de manière centralisée les données collectées sur le demandeur du passeport, en particulier et par modification de l'article 19, l'image numérisée de son visage et celle de ses huit empreintes digitales.

Les associations requérantes entendent montrer que le décret attaqué a été pris selon une procédure irrégulière et qu'il ne respecte pas les obligations imposées par les différents textes de droit interne, de droit international et de droit communautaire relatifs à la protection des personnes à l'égard du traitement des données à caractère personnel.

Elles entendent également montrer que, le décret contesté ayant été pris sur le fondement de l'article 27 de la loi n°78-17 du 6 janvier 1978 et non sur le fondement de son article 26, la méconnaissance de la procédure prévue à cet article 26 résulte d'un détournement de procédure, ou à tout le moins d'une erreur de droit.

DISCUSSION

Sur la recevabilité :

Les deux associations requérantes sont recevables à déférer le texte litigieux devant le Conseil d'État.

- L'association Imaginons un réseau Internet solidaire (IRIS) est une association de défense de l'ensemble des droits et libertés fondamentaux dans l'usage de l'informatique et des réseaux et a été amenée, depuis sa création en octobre 1997, à agir constamment en faveur de la protection de la vie privée et des données personnelles dans le contexte du traitement numérique de telles données comme de leur circulation sur les réseaux.

- La Ligue des droits de l'homme (LDH), qui s'est donné pour but de défendre l'ensemble des droits et libertés fondamentaux, a inscrit de façon spécifique dans ses statuts la lutte « en faveur du respect des libertés individuelles en matière de traitement des données informatisées ».

Sur le fond :

I. Légalité externe

Le décret attaqué a été pris selon une procédure irrégulière.

1/ Sur la méconnaissance de l'obligation de publier simultanément l'avis de la CNIL avec l'acte autorisant le traitement

Les requérantes soutiennent tout d'abord que le décret n°2008-426 du 30 avril 2008 modifiant celui du 30 décembre 2005 relatif aux passeports électroniques n'a pas respecté l'article 26 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Ces dispositions prévoient en effet que « sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :
1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.
L'avis de la commission est publié avec l'arrêté autorisant le traitement ».

Ce principe s'applique également lorsque les traitements visés à l'article 26 « portent sur des données mentionnées au I de l'article 8 » et qui font apparaître, même indirectement comme en l'espèce, les origines raciales ou ethniques, à l'instar de l'image numérisée du visage qui sera conservée dans la base de données « TES » (Rapport « Mesure de la diversité et protection des données personnelles » du 25 mai 2007 présenté à la CNIL).

Or, le décret attaqué a justement pour finalité, par la création de cette base de données, de lutter contre la constitution de faux passeports, activité qui se rattache à des préoccupations de sécurité publique ou, à tout le moins, à la constatation et la poursuite d'infractions pénales.

Il en résulte que ces dispositions auraient dû être adoptées dans le respect de la procédure prévue à l'article 26 de loi du 6 janvier 1978. En ne s'y conformant pas, le Premier Ministre s'est donc affranchi d'une garantie essentielle de la loi Informatique & libertés, cet article imposant que l'avis de la CNIL soit publié avec l'acte qui autorise le traitement intéressant la sécurité publique ou, à tout le moins, la constatation et la poursuite d'infractions pénales.

En l'espèce, le Conseil pourra constater que cette obligation n'a pas été remplie, le décret ayant été publié au Journal Officiel du 4 mai 2008 alors que l'avis de la CNIL est paru à celui du 10 mai 2008. Le Conseil voudra bien en déduire que le décret contesté devra être annulé au motif du non-respect de la procédure prévue par les dispositions de l'article 26 de la loi du 6 janvier 1978.

II. Légalité interne

1/ Rappel des textes et des principes applicables

Le recueil et le traitement des données personnelles comportent une série de risques pour les libertés des personnes fichées : il faut donc apprécier la légalité des mesures prises au regard des principes qui régissent la protection des personnes à l'égard du traitement des données à caractère personnel.

- Aux termes de l'article 8 § 2 de la Convention européenne des droits de l'homme, il ne peut y avoir ingérence d'une autorité publique dans l'exercice du droit au respect de la vie privée que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire - notamment - à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales. On sait que, pour la Cour européenne des droits de l'homme, le respect de ces conditions implique des exigences relatives à la qualité de la base juridique de l'ingérence, à la proportionnalité des mesures et à la nécessité de garanties adéquates contre les abus.

- La Convention n°108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel énoncent de leur côté des principes fondamentaux que doit respecter la mise en œuvre de traitements informatisés. Ces principes sont repris dans la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en dernier lieu par la loi du 6 août 2004. Il s'agit notamment des principes de pertinence et de proportionnalité, de finalité et de l'exigence, là encore, de garanties suffisantes.

- Concernant plus spécifiquement les enfants, la Convention des Nations Unies relatives aux droits de l'enfant du 20 novembre 1989 prévoit en particulier en son article 16 que « nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée ».

C'est à la lumière de ces principes généraux qu'il convient d'examiner les dispositions du décret du 30 avril 2008.

2/ Sur la violation de l'article 6, 3° de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Les requérantes soutiennent que le décret litigieux ne respecte pas le principe de proportionnalité de l'article 6, 3° de la loi n°78-17 du 6 janvier 1978 selon lequel un traitement ne peut porter que sur des données à caractère personnel qui sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Or, ces dispositions sont fondamentales. Elles sont d'ailleurs consacrées par l'article 5 de la Convention 108 du Conseil de l'Europe et l'article 6 de la directive 95/46/CE qui rappellent, en des termes similaires, que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, et qu'elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. Ces dispositions constituent donc des conditions de licéité applicables à tout traitement de données à caractère personnel, y compris à ceux mis en œuvre en l'espèce par le décret n°2008-426 du 30 avril 2008.

Leur respect est en cela impératif, d'autant que l'article 6,3° précité a été consacré par le Conseil Constitutionnel comme l'une des garanties essentielles du respect du droit à la vie privée découlant de l'article 2 de la Déclaration des Droits de l'Homme et du Citoyen de 1789 (Cons. const., Déc. n°2007-557 DC du 15 novembre 2007, Loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile ; Cons. const., Déc. n°2008-562 DC du 21 février 2008, Loi relative à la rétention de sûreté et à la déclaration d'irresponsabilité pénale pour cause de trouble mental).

En l'espèce, le Conseil pourra constater que ces dispositions n'ont été respectées :

- ni par l'article 6-1 inséré par le décret contesté, en ce qu'il impose la collecte des empreintes digitales de huit doigts, et que de surcroît ces dispositions s'appliquent à tout mineur âgé de plus de 6 ans ;

- ni par la modification de ses articles 18 et 19, l'article 18 ayant pour objet la création d'une base de données dénommée « TES », alors qu'elle n'a pas été rendue obligatoire par le règlement communautaire n°2252/2004 du 13 décembre 2004.

Sur le caractère disproportionné de la collecte des empreintes digitales de huit doigts

L'article 6-1 inséré par le décret n°2008-426 du 30 avril 2008 pose comme principe que « lors du dépôt de la demande de passeport, il est procédé au recueil de l'image numérisée du visage et des empreintes digitales de huit doigts du demandeur ».

Or, comme le souligne la CNIL dans son avis, le règlement communautaire n°2252/2004 du 13 décembre 2004 n'impose, en matière d'empreintes digitales, que la collecte de deux empreintes.

Il n'apparaît dans le décret contesté aucune finalité additionnelle qui pourrait justifier cette augmentation de la quantité de données biométriques recueillies, ce qui lui confère un caractère excessif et non pertinent.

Il convient toutefois de relever que le passeport est un titre d'identité tout autant qu'un titre de voyage. Il n'est alors pas inutile de s'interroger sur le fait que le décret contesté puisse s'inscrire dans un projet plus global d'élaboration et de délivrance de tels titres, y compris la carte nationale d'identité. La seule justification de la collecte des empreintes digitales de huit doigts résiderait alors non pas dans les finalités énoncées du décret contesté, mais dans des finalités extérieures à ce décret. Le caractère excessif et non pertinent des données collectées se doublerait alors de la poursuite de finalités autres que celles déclarées par le décret contesté.

Dans son avis, la CNIL considère à cet égard que « l'ampleur de la réforme qui se dessine et l'importance des questions qu'elle peut soulever justifieraient que [...] le Parlement en soit saisi sous forme d'un projet de loi ».

Les requérantes estiment en effet qu'un tel projet de loi, s'il n'était soumis qu'ultérieurement au Parlement, entraverait la liberté de choix des parlementaires en la contraignant par avance par des dispositions adoptées dans le décret contesté. Il en résulterait donc un grave déficit démocratique.

Sur le caractère disproportionné de la collecte des empreintes digitales des enfants de moins de 6 ans

De surcroît, l'article 6-1 inséré par le décret n°2008-426 du 30 avril 2008 fixe un âge minimal en deçà duquel le principe de collecte des empreintes digitales ne s'applique pas. Il prévoit en effet que « les empreintes digitales des enfants de moins de six ans ne sont pas recueillies ». Il en résulte a contrario que ces dispositions s'appliquent à tout mineur dès l'âge de 6 ans.

Force est de constater qu'en retenant comme âge minimum celui de six ans pour le recueil des empreintes digitales, le décret n°2008-426 du 30 avril 2008 étend de manière excessive l'application de ce dispositif à un nombre important de très jeunes enfants, sans l'encadrer pour autant des garanties les plus élémentaires.

Or, de nombreuses dispositions rappellent que les enfants disposent d'un droit au respect de la vie privée et qu'on ne saurait traiter de la même manière tous les enfants âgés de six à dix-huit ans.

Au niveau international, tout d'abord, l'article 16 de la Convention des Nations Unies relatives aux droits de l'enfant du 20 novembre 1989 prévoit que « nul enfant ne fera l'objet d'immixtions arbitraires ou illégales dans sa vie privée ».

Plus récemment et dans le domaine qui nous intéresse, le Groupe de l'article 29, qui rassemble les autorités européennes de protection des données à caractère personnel, a rappelé que « dans toutes sociétés, les enfants devaient être traités en fonction de leur degré de maturité » (Document de travail 1/2008 sur la protection des données à caractère personnel de l'enfant).

L'existence d'un droit des enfants au respect de leur vie privée est également garanti au niveau national. L'article 227-25 du Code pénal précise, par exemple, qu'il n'est en principe pas pénalement sanctionné d'avoir des relations sexuelles, à condition qu'elles soient sans contrainte, avec des mineurs âgés de plus de quinze ans (article 227-25 du Code pénal). Il résulte de ces dispositions qu'un enfant âgé de moins de quinze ans ne saurait être traité comme un adulte.

De manière plus intéressante encore, le droit français reconnaît qu'un enfant ne peut être traité d'une manière similaire à un adulte que s'il est âgé d'au moins treize ans. C'est ainsi à partir de seize ans que l'on considère qu'un mineur peut être jugé assez responsable pour avoir une autonomie juridique par le biais de l'émancipation (article 447 du Code civil).

Le droit pénal met également en place une gradation de la gravité des infractions commises sur des mineurs si la victime est ou non âgée de plus de quinze ans, en prévoyant une majoration des peines punissant certaines infractions, par exemple, en cas d'agressions sexuelles (article 222-29 du Code pénal), de provocation au suicide (article 222-13 du Code pénal) ou de tortures et actes de barbaries (article 222-3 du Code pénal). En dernier lieu, l'âge minimum à partir duquel un enfant peut être déclaré pénalement responsable est fixé à treize ans (article 122-8 du Code pénal).

Il n'est enfin pas inutile d'ajouter à ces exemples celui de la collecte de données à caractère personnel auprès d'enfants lors de leur connexion à des sites Internet. Les responsables de sites Internet fixent au moins à treize ans l'âge à partir duquel ils procèdent à cette collecte sans obtenir l'autorisation des parents.

Rappelons d'ailleurs que les commentaires de la CNIL relatifs aux dispositions de l'article 6-1 inséré par le décret litigieux ont été sur ce point plus que sévères. Elle a en effet considéré que « l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat voire un amendement à la convention sur les droits de l'enfant et que pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants » (Délibération n°2007-368 du 11 décembre 2007).

Au regard de l'ensemble de ces éléments, et compte tenu du très faible risque de fraude pour les enfants en bas âge, il apparaît plus que disproportionné d'imposer la constitution d'un passeport électronique pour les enfants dès l'âge de six ans.

Sur ces fondements, le Conseil voudra bien annuler l'article 6-1 inséré par le décret n°2008-426 du 30 avril 2008.

Sur le caractère disproportionné de la création de la base de données dénommée TES

L'article 18 modifié du décret n°2008-426 du 30 avril 2008 prévoit qu'« afin de mettre en œuvre les procédures d'établissement, de délivrance, de renouvellement et de retrait des passeports mentionnés aux articles 1er et 17-1, ainsi que pour prévenir et détecter leur falsification et leur contrefaçon, le ministre de l'Intérieur est autorisé à créer un système de traitement automatisé de données à caractère personnel dénommés TES ».

Au regard de ces éléments, la constitution d'une telle base de données se justifierait :

- d'une part, par la possibilité de faciliter l'établissement, la délivrance, le renouvellement et le retrait des passeports, et
- d'autre part, par la nécessité de prévenir et détecter la falsification et la contrefaçon des passeports.

Le Conseil pourra néanmoins constater que la constitution d'une telle base de données n'est pas adéquate, n'est pas pertinente et est excessive au sens des dispositions de l'article 6,3° de la loi Informatique et libertés.

D'après le Premier Ministre, la constitution de la base de données « TES » a tout d'abord pour objectif de faciliter l'établissement, la délivrance, le renouvellement et le retrait des passeports.

Une telle justification ne semble cependant pas tenir eu égard aux forts risques d'inefficacité de ce dispositif. Comme l'a en effet relevé la CNIL, la péremption des données fournies lors de la première délivrance du passeport impose en tout état de cause que celles-ci soient à nouveau recueillies lors de son renouvellement (Délibération n°2007-368 du 11 décembre 2007).

L'article 4 du décret prévoit en effet que les passeports ont une durée de validité de dix ans en général et de cinq ans lorsqu'ils sont délivrés à un mineur. Le temps ainsi écoulé entre deux périodes d'établissement d'un passeport est suffisamment important pour que les informations initialement recueillies perdent toute leur fiabilité et leur pertinence.

Il en est ainsi encore plus pour un mineur dont l'évolution sur une période de cinq ans demeure considérable (taille, physionomie, changement de domicile, domicile partagé, etc.).

Il résulte de ces éléments que la constitution d'une base de données conservant les informations biométriques contenues dans un passeport ne peut pas être justifiée par le fait qu'elle faciliterait l'établissement, la délivrance, le renouvellement et le retrait de celui-ci.

À supposer qu'elle le soit, le Conseil ne manquera pas de constater qu'elle est excessive. Elle expose en effet les personnes concernées à un risque important d'atteintes à leur liberté individuelle et à leur vie privée. On en veut pour preuve le fait que le décret contesté vise à recueillir un nombre important de données (pas moins de 25 catégories différentes) qui pourront être conservées pendant quinze ans lorsque le passeport est délivré à un majeur et pendant dix ans lorsqu'il est délivré à un mineur (article 24 du décret du 30 avril 2008) et ce alors que ces documents ont eux-mêmes une durée de validité de dix ans pour les majeurs et de cinq ans pour les mineurs.

Le Conseil voudra donc bien annuler l'article 18 du décret n°2008-426 du 30 avril 2008 en ce que le traitement ainsi mis en œuvre est disproportionné au sens de l'article 6,3° de la loi n°78-17 du 6 janvier 1978.

L'article 18 du décret prévoit, en second lieu, que la constitution de la base de données TES est justifiée par la nécessité de prévenir et détecter la falsification et la contrefaçon des passeports.

Or, à juste titre, la CNIL a relevé « qu'aucune mesure particulière n'est prévue, parallèlement à la conservation de données biométriques, pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes ».

Une telle absence présente pourtant de très importants risques car, une fois les données enregistrées, ce sont elles qui feront foi. Si leur authenticité n'est pas vérifiée dans des conditions légalement prévues, il est permis de douter de l'efficacité de la constitution d'une telle base de données pour prévenir et détecter les cas de falsification, le recoupement des informations dans ce cadre étant également peu fiable.

À supposer qu'elle soit efficace, la constitution de cette base de données demeure elle aussi excessive au regard de la finalité poursuivie par le décret. Elle accroît en effet le risque d'atteintes à la liberté individuelle et à la vie privée des personnes concernées sans apporter de garanties supplémentaires.

Or, le contrôle de l'authenticité des passeports peut être effectué à partir d'autres moyens moins attentatoires à la liberté individuelle et à la vie privée comme, par exemple, le contrôle visuel ou le recours à des techniques de fabrication des passeports rendant ces derniers difficilement falsifiables voire infalsifiables.

Il en résulte que les dispositions de l'article 18 du décret n°2008-426 du 30 avril 2008 méconnaissent le principe de proportionnalité visé à l'article 6, 3° de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'article 5 c de la Convention n° 108 du Conseil de l'Europe, et à l'article 6.1 c de la directive n° 95/46/CE.

Sur ce fondement, votre Conseil voudra bien annuler l'article 18 du décret n°2008-426 du 30 avril 2008.

3/ Sur la méconnaissance de la procédure prévue à l'article 26 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Les requérantes considèrent par ailleurs que le décret litigieux n'a pas respecté les dispositions de l'article 26 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés auxquelles il était pourtant soumis.

Sur le détournement de la procédure prévue à l'article 26

Si les dispositions du décret contesté relatives à la création d'un passeport biométrique devaient effectivement être prises sur le fondement de l'article 27 de la loi du 6 janvier 1978, les dispositions du même décret relatives à la création de la base de données « TES » devaient, en revanche, être adoptées sur le fondement de l'article 26.

Ces dispositions prévoient en effet que « sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État et :
1° Qui intéressent la sûreté de l'État, la défense ou la sécurité publique ;
2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.
L'avis de la commission est publié avec l'arrêté autorisant le traitement ».

Elles précisent également que « ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement ».

Le I de l'article 8 vise les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, comme, par exemple, l'image numérisée du visage qui sera conservée dans la base de données « TES » (Rapport « Mesure de la diversité et protection des données personnelles » du 25 mai 2007 présenté à la CNIL).

Or, en l'espèce, le décret n° 2008-426 du 30 avril 2008 a notamment pour finalité la sécurité publique ou, à tout le moins, la constatation ou la poursuite d'infractions pénales. L'article 18 du décret précise en effet que la base de données « TES » permettra de lutter contre la constitution de faux passeports, activité qui se rattache à des préoccupations de sécurité publique ou, à tout le moins, à la constatation et la poursuite d'infractions pénales.

L'article 21-1 du décret prévoit en outre que « peuvent accéder aux données enregistrées dans le traitement prévu à l'article 18, à l'exclusion de l'image numérisée des empreintes digitales, dans les conditions fixées aux articles 9 et 33 de la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles transfrontaliers :

- « les agents des services de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale chargés des missions de prévention et de répression des actes de terrorisme individuellement désignés et spécialement habilités respectivement par le directeur général de la police nationale et le directeur général de la gendarmerie nationale ;
- les agents des services de renseignement du ministère de la défense chargés des missions de prévention des actes de terrorisme individuellement désignés et spécialement habilités respectivement par le directeur général de la sécurité extérieure, le directeur de la protection et de la sécurité de la défense ou le directeur du renseignement militaire ».

Au regard de ces éléments, il ne fait aucun doute que les dispositions du décret n°2008-426 du 30 avril 2008 relatives à la base de données « TES » poursuivent une finalité de sécurité publique, ou, à tout le moins, relative à la constatation ou à la poursuite d'infractions pénales, l'une ou l'autre étant d'ailleurs seule de nature à pouvoir justifier la création d'une telle base de données.

Il en résulte que ces dispositions auraient dû être adoptées dans le respect de la procédure prévue à l'article 26 de loi du 6 janvier 2008. En choisissant de ne pas appliquer ces dispositions à la finalité de prévention et de détection des passeports, le Premier Ministre a donc commis un détournement de procédure (CE, Ass., 24 juin 1960, Société Frampar et Société France Éditions et Publications).

Le Premier Ministre s'est en cela affranchi d'une garantie essentielle prévue par l'article 26 de la loi du 6 janvier 1978, cet article imposant que l'avis de la CNIL soit publié avec le décret qui autorise le traitement intéressant la sécurité publique.

Sur ce fondement, le Conseil ne pourra qu'annuler les dispositions de l'article 18 du décret n°2008-426 du 30 avril 2008 relatives à la constitution de la base de données « TES ».

En outre, à supposer que le Premier Ministre n'ait pas procédé à un tel détournement de procédure, votre Conseil ne pourra que constater qu'une erreur de droit a été commise.

Sur l'erreur de droit résultant de la violation des dispositions de l'article 26 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Comme il a été précédemment précisé, les dispositions relatives à la constitution de la base de données « TES », compte tenu de leur finalité spécifique, auraient dû être adoptées dans le cadre de la procédure de l'article 26 de la loi du 6 janvier 1978. Il en résulte que le Premier Ministre, en adoptant de telles dispositions sur le fondement de l'article 27 de la loi du 6 janvier 1978 :

- a méconnu les dispositions de l'articles 26 de la loi du 6 janvier 1978 ;
et
- est allé au-delà du champ d'application de l'article 27 de la même loi.

Le Premier Ministre a donc commis une erreur de droit qui l'a notamment conduit à publier le décret n°2008-426 du 30 avril 2008, sans y joindre l'avis pourtant exigé de la CNIL.

En outre, s'il était considéré que les données recueillies dans la base de données « TES » ne sont pas des données sensibles au sens du I de l'article 8 de la loi du 6 janvier 1978, l'erreur de droit commise par le Premier Ministre méconnaîtrait l'attribution de compétence effectuée en faveur des ministres concernés. Or, ces derniers ont seulement contresigné le décret n°2008-426 du 30 avril 2008 dont seul le Premier Ministre demeure l'auteur. Les ministres compétents ne sont donc pas les coauteurs de l'acte administratif autorisant la création de la base de données « TES », en violation totale de l'article 26 de la loi du 6 janvier 1978 qui impose que de tels traitements « sont autorisés par arrêté du ou des ministres compétent ».

Au regard de ces éléments, votre Conseil ne pourra donc qu'annuler les dispositions du décret n°2008-426 du 30 avril 2008 relatives à la constitution de la base de données « TES ».

En conclusion,

Les dispositions du décret attaqué violent :

- l'article 16 de la Convention des Nations Unies relatives aux droits de l'enfant du 20 novembre 1989, dans la mesure où la collecte des empreintes digitales des enfants seront collectées à partir de l'âge de six ans, sans aucune garantie spécifique eu égard à leur âge.

- l'article 5c de la Convention n° 108 du Conseil de l'Europe, l'article 6.1.c de la directive n° 95/46/CE, l'article 6, 3° de la loi du 6 janvier 1978, dans la mesure où la création de la base de données dénommée TES présente un caractère disproportionné ;

- l'article 26 de la loi du 6 janvier 1978, en tant qu'il prévoit que l'avis de la CNIL soit publié avec le décret qui autorise le traitement intéressant la sécurité publique.

***

PAR CES MOTIFS, et tous autres à produire, déduire ou suppléer, les associations exposantes concluent à ce qu'il plaise au Conseil d'État :

ANNULER :
Le décret n° 2008-426 du 30 avril 2008.

Demandeurs de visas : après les empreintes digitales, les tests ADN

IRIS — 2007-09-17T14:09:21Z
- Actions

Mentions légales et Crédits

IRIS — 2005-07-02T22:00:00Z

Site du collectif pour le retrait du projet INES

Mentions légales

– Directrice de la publication :
Meryem Marzouki
IRIS (Imaginons un réseau Internet solidaire)
294 rue de Charenton
75012 Paris
Tél/Fax : +33(0)1 44 74 92 39
– Déclaration à la CNIL :
Techniquement, ce site est un sous-site du site d'IRIS, déclaré à la CNIL et enregistré sous le numéro 570879.

Crédits

– Hébergement :
R@S (Réseau associatif et syndical)
– Nom de domaine :
SGDG
– Conception technique :
Site réalisé avec le logiciel libre Spip
– Conception graphique :
IRIS
– Conception et développement du système de pétition en ligne : R@S
– Moteur de recherche : ht ://Dig

Contacter le webmestre de ce site

– ines-webmestre@ines.sgdg.org

Audition de Meryem Marzouki (IRIS) par la CNIL

IRIS — 2005-05-08T22:00:00Z

La CNIL a organisé des auditions sur le projet INES. Dans ce cadre, Meryem Marzouki (présidente d'IRIS) a présenté le 9 mai 2005 les positions de l'association IRIS.

La première intervention publique de notre association sur la biométrie a eu lieu au cours de la conférence internationale des autorités de protection de données organisée à Paris par la CNIL en 2001. J'ai aussi participé en avril dernier à l'un des débats organisés par le Forum des droits sur Internet.

En l'état, nous considérons que le dispositif prévu par le Ministère de l'intérieur est injustifié au regard de la faiblesse des arguments présentés. Celui-ci nous paraît potentiellement nocif pour les libertés individuelles. Enfin, la façon dont ce projet a été établi nous semble particulièrement déloyale et antidémocratique.

– Premièrement, le dispositif est injustifié : le Ministère de l'intérieur et le Gouvernement sont, pour l'heure, incapables de nous fournir des statistiques précises nous permettant de constater l'ampleur de la fraude à la carte d'identité, que ce soit en termes de falsification, d'usurpation d'identité ou de délivrance indue de titres multiples. Or, il s'agit des principaux éléments avancés par les autorités pour justifier la création d'une carte biométrique et la constitution d'une base centralisée.

En fait, toutes les préfectures savent bien, et le Ministère de l'intérieur aussi, que la fraude a lieu en amont de la fabrication de la carte d'identité : ce sont les documents d'état civil servant à la délivrance du titre qui sont les plus susceptibles d'être falsifiés ou obtenus de manière indue.

Compte tenu des risques potentiels que comporte ce projet par rapport à la protection de la vie privée de nos concitoyens, celui-ci porte donc gravement atteinte à l'un des principes cardinaux de la législation française et européenne : le principe de proportionnalité.

– En second lieu, le dispositif prévu est nocif et ce, malgré les déclarations qui se veulent rassurantes du Ministère de l'Intérieur concernant la sécurisation des données biométriques et les garanties apportées concernant l'accès à ces informations. Le projet est susceptible d'ouvrir la voie à de graves dérives.

En effet, les orientations techniques choisies n'écartent pas le risque de fichage généralisé de la population, puisque, d'après les premiers éléments présentés par le Ministère de l'intérieur, chaque base regroupant les différentes informations biométriques contenues dans la carte sera centralisée. Il faut renoncer à édifier une telle base : sans fichier centralisé, il est impossible de procéder à l'identification d'une personne parmi une masse d'anonymes lors d'une manifestation à caractère public ou privé. La carte d'identité ne doit servir qu'à l'authentification de son porteur.

De plus, les utilisations assignées au futur titre d'identité sécurisé dépassent, de très loin, la simple gestion de l'état civil. Ainsi, la puce de la carte inclura un certificat de signature électronique qui pourra être utilisé dans le cadre de transactions commerciales avec des opérateurs privés. Loin d'être opposés à la signature électronique et aux téléprocédures, nous estimons que ces fonctions n'entrent pas dans le cadre des finalités assignées à la carte d'identité.

D'autre part, les identifiants biométriques retenus (les empreintes digitales et la photographie numérisée du visage du porteur) dans le projet INES ne sont pas neutres. En effet, ces techniques permettent de tracer les déplacements de l'individu à son insu. Il est désormais possible d'identifier une personne à partir de sa photographie lors d'une manifestation publique ou privée en recourant à des moyens de vidéosurveillance couplés à une base de données informatisée. Un tel dispositif a déjà été utilisé aux Etats-Unis lors de la finale d'un Superbowl, ce qui avait alors déclenché de vives protestations de la part des associations de protection des libertés individuelles. Une
expérience similaire a été menée dans une banlieue londonienne par Scotland Yard pour contrôler les allées et venues des populations supposées suspectes.

Enfin, il ne fait pas de doute que les utilisations des données biométriques collectées dans la base centralisée seront étendues au cours du temps. En effet, l'expérience récente a montré que les finalités initiales assignées aux fichiers d'informations étaient rapidement remises en question. Ainsi, de nombreuses utilisations abusives du STIC (Système de traitement des infractions constatées) ont été constatées depuis sa création. De même, le FNAEG (fichier national automatisé des empreintes génétiques) ne se limite plus simplement au simple recensement des délinquants sexuels puisque son usage a fortement été étendu par les lois successives prises depuis sa création
en 1998. Ainsi, très récemment, un syndicaliste condamné à cinq mois de prison avec sursis à la suite d'une altercation avec les forces de l'ordre lors d'une manifestation s'est vu ajouté à ce fichier. Cet exemple illustre l'importance des extensions du champ d'application de cet outil.

D'après les informations fournies par le Ministère de l'intérieur, la nouvelle carte biométrique aura un coût unitaire supérieur de 20 % à la précédente version. L'Etat cherchera probablement à rentabiliser ce lourd investissement en élargissant les usages possibles de ce titre et des informations qu'il contient aux acteurs privés (banques, commerces...) ou à d'autres acteurs publics. Là encore, des dérives sont malheureusement envisageables.

Déjà, la sophistication des techniques rend possible le relevé d'empreintes biométriques de façon simple et immédiate via une borne automatique comme c'est le cas dans les aéroports américains par exemple. Compte tenu de la facilité de la démarche, il est probable que la prise d'empreintes s'impose et se banalise dans les aspects les plus courants de la vie quotidienne de l'individu, y compris pour des usages anodins très éloignés de l'identification de la personne par une autorité régalienne.

Face à ces dérives potentielles de l'utilisation de la base de données, les prérogatives de la CNIL seront considérablement réduites, en raison de la refonte de la loi informatique et libertés par la loi d'août 2004. L'autorité administrative indépendante, chargée du contrôle du respect de la vie privée et des données personnelles en France, ne pourra plus opposer son droit de veto contre certaines dispositions d'ordre réglementaire, notamment dans le domaine « des données biométriques concernant l'identification ou l'identité des personnes ».

D'autres modalités techniques de ce projet nous apparaissent également contestables. Ainsi, la lecture de la puce contenue dans la carte pourra s'opérer sans contact physique avec le lecteur. Si tel était le cas, cela favoriserait les possibilités de lecture non autorisée des informations contenues dans la carte ainsi que l'interception des données transmises de la puce au lecteur central. La seule raison que le Ministère de l'intérieur a invoquée pour justifier ce choix est liée à la réduction de l'usure de la carte. Cet argument nous paraît bien mince compte tenu des risques précédemment évoqués. Or, aux Etats-Unis mêmes, les responsables du projet « passeports pour citoyens US »
commencent à s'apercevoir des dangers d' « interception » des données contenues dans la puce sans contact (cf. déclarations de Franck Moss, du Département d'Etat des Etats-Unis, à la récente Conférence Computers, Freedoms and Privacy de Seattle en avril 2005).

D'un point de vue économique, les décisions qui vont être prises pour la carte d'identité nationale seront structurantes : elles conditionneront tous les choix ultérieurs qui seront faits en matière de vérification de l'identité que ce soit pour des besoins publics ou privés. Les choix effectués par le Ministère de l'intérieur détermineront les contours de l'ensemble du marché de la biométrie et de la sécurisation des transactions, aussi bien au niveau des infrastructures que des matériels et des logiciels utilisés. Ce secteur en gestation présente un gigantesque potentiel d'un point de vue économique, et ses principaux acteurs, dont plusieurs sont Français, ont un intérêt patent à ce que des projets tels qu'INES soient mis en oeuvre. Cela ne saurait toutefois justifier de tels risques d'atteintes aux libertés individuelles.

Il est regrettable qu'aucune réflexion d'ordre social ou politique n'accompagne le projet INES, dont la présentation se limite à une vision purement technicienne et techniciste de l'introduction de la biométrie. Or, il apparaît évident que la diffusion de cette nouvelle carte d'identité conduira à banaliser l'usage de la biométrie auprès de la population, ce qu'il faut à tout prix éviter.

C'est pourquoi le manque de réactivité des citoyens peut paraître préoccupant aujourd'hui. Il y a 30 ans le projet SAFARI avait suscité un tollé général. Or, dans le contexte actuel, l'opinion ne se mobilise plus autour de telles thématiques. Ainsi, la révision de la loi informatique et libertés n'a rencontré quasiment aucune opposition malgré les reculs que ce texte a introduits dans la protection de la vie privée. Cependant, au niveau européen, il y a bien eu une mobilisation contre l'immatriculation biométrique de tous les citoyens et résidents européens, sous la forme, notamment, d'une lettre ouverte au Parlement européen le 29 novembre 2004, commune aux
organisations Privacy International & Statewatch (Royaume Uni.) et European Digital Rights (Europe), dont IRIS est signataire. En France, la Ligue des droits de l'homme et les syndicats membres du collectif DELIS (Droit et libertés face à l'informatisation de la société) sont aussi mobilisés.

L'utilisation des nouvelles technologies représente, c'est vrai, un gain de confort pour les Français qui souhaitent avant tout une simplification des rouages de l'administration. Toutefois, le corollaire d'un guichet unique, c'est la constitution d'un fichier unique et centralisé potentiellement porteur de risques pour les libertés individuelles. Malheureusement, compte tenu des gains attendus, ce danger est difficilement perceptible par l'opinion.

Dans notre société, il me semble percevoir un changement de rapport concernant la notion même d'intimité. Certains individus ont pleinement conscience que les données personnelles les concernant ont une valeur commerciale qu'ils peuvent mettre à profit pour l'obtention de certains services ou biens. La vie privée devient donc elle-même négociable. Ainsi, un opérateur de téléphonie mobile a pu proposer un service de communication gratuite à condition que l'utilisateur accepte de voir ses conversations interrompues par des messages à caractère publicitaire. Ces évolutions en cours constituent, à mon sens, un véritable renversement des valeurs. Au regard de cette diminution de l'espace privé, il est souhaitable de ne pas ouvrir une brèche supplémentaire en banalisant le recours aux techniques biométriques.

De plus, la biométrie ne constitue pas une simple évolution des techniques d'identification mais, bel et bien, un saut qualitatif majeur. Cette technologie permet d'identifier l'individu en fonction de ses caractéristiques les plus intimes et non pas en fonction de ce qu'il sait ou ce qu'il possède. Pour toutes ces raisons, nous estimons que le recours à la biométrie dans le projet de carte d'identité INES porte non seulement atteinte au principe de proportionnalité mais également au principe de finalité.

– Troisièmement, la façon dont ce projet est mené nous semble déloyale et antidémocratique. La présentation du projet INES tend à dissimuler l'ensemble des risques qu'il sous-tend pour la sauvegarde des libertés publiques. Les décisions ont été prises au plus haut niveau à un niveau de détail très important sans pour autant que ce sujet fasse l'objet d'un débat public ou d'une concertation.

C'est ainsi que, vu le coût très important du projet, toutes les communes françaises ne pourront être dotées d'outils pour délivrer les cartes et lire les puces électroniques. Des discussions sont en cours entre l'association des maires de France et le Ministère de l'Intérieur qui ne vont pas sans soulever de vives protestations de la part des représentants des collectivités locales s'estimant lésés.

Signalons d'ailleurs au passage que la CNIL n'a pas encore, à ce jour, été saisie pour avis sur le texte, alors que l'avant-projet de loi devrait être prochainement finalisé.
Par ailleurs, le projet est étayé par de nombreuses informations inexactes pour justifier les choix retenus. Ainsi, contrairement à ce qui est indiqué par le Ministère de l'Intérieur, le projet INES n'est pas dicté par des obligations internationales. En effet, les standards élaborés par l'OACI au niveau mondial et le règlement européen du 13 décembre 2004 ne concernent que les passeports et les documents de voyages. D'autre part, l'OACI introduit uniquement l'obligation de faire figurer la photographie du porteur sur le titre. Quant au règlement européen, ce document élaboré sans aucun débat mériterait largement un débat démocratique au niveau des différents Etats-membres. De plus, la France avait largement l'occasion d'exprimer ses réticences éventuelles lors du Conseil des ministres européens. C'est pourquoi, il est regrettable d'entendre des responsables nationaux se défausser systématiquement sur les institutions européennes, alors que notre gouvernement est pleinement partie prenante des décisions prises à ce niveau.

La présentation du projet INES à destination du grand public entretient la confusion par le mélange des genres. En effet, ce dispositif renvoie simultanément à la lutte contre le terrorisme, à la lutte contre l'immigration clandestine, à la signature électronique dans le cadre de transactions sur Internet, voire à d'autres utilisations encore insoupçonnées.

Enfin, le Ministère de l'intérieur vient d'annoncer son intention de rendre obligatoire la carte d'identité. Seul le gouvernement de Vichy avait instauré une telle mesure auparavant. On n'ose imaginer ce qu'il adviendrait si un régime autoritaire bénéficiait d'un tel outil pour contrôler la population. Les résultats du deuxième tour de l'élection présidentielle de 2002 nous montrent que ce risque n'est pas à écarter.

Aucun autre pays européen n'a établi de dispositif d'identification biométrique à l'exception de l'Italie, même si la prise des empreintes y reste facultative.

Se pose aussi le problème du degré de maturité actuelle des technologies biométriques et de leur fiabilité : il me semble nécessaire d'appliquer le principe de précaution dans ce domaine aussi.

La décision de rendre la carte payante a également été annoncée, ce qui, si la carte est par ailleurs obligatoire, introduit un caractère discriminatoire et contrevient au principe d'égalité entre les citoyens. Le coût lié aux perfectionnements technologiques de ce support devrait être pris en charge intégralement par l'impôt qui est l'instrument de la solidarité nationale. Sauf peut-être en cas de perte, pour responsabiliser les porteurs, comme certains l'ont suggéré, mais personnellement je n'y suis pas favorable.

En conclusion, pour que le projet INES soit acceptable à nos yeux, celui-ci devrait comporter les garanties suivantes :
– une restriction des finalités de la carte à la seule authentification du porteur du titre (et non pas l'identification d'un anonyme parmi une population) ;
– l'engagement de ne pas constituer de base de données centralisée regroupant l'ensemble des informations biométriques des français ;
– une exclusion de toutes autres fonctionnalités, y compris de signature électronique, qui doivent être entièrement dissociées de la carte d'identité, de son support et de sa gestion ;
– s'il est nécessaire de mettre une puce, ce qui reste à démontrer, une suppression de tous éléments biométriques sur la carte (y compris la photographie du titulaire numérisée sous forme de données informatiques qui serait contenue dans la puce) ;
– le recours à d'autres modalités techniques que la puce « sans contact » en raison des risques évoqués précédemment (contrôle abusif et interception des données) ;
– le renoncement au caractère obligatoire de la carte d'identité qui constitue une inquiétante régression et un oubli de l'histoire récente.

Compte-rendu disponible au format PDF sur le site de la CNIL

Lettre ouverte au Parlement européen contre l'immatriculation biométrique de tous les citoyens et résidents européens

IRIS — 2004-11-28T23:00:00Z

L'association IRIS (Imaginons un réseau Internet solidaire) est signataire de la lettre ouverte commune des organisations Privacy International et Statewatch (Royaume-Uni) et European Digital Rights (Europe) au Parlement européen, relative à l'immatriculation biométrique de tous les citoyens et résidents européens. Les organisations signataires demandent au Parlement européen de rejeter, ce mercredi 1er décembre, le « projet de règlement du Conseil établissant des normes pour les dispositifs de sécurité et les éléments de biométrie intégrés dans les passeports et documents de voyage émis par les États membres ». IRIS appelle les organisations associatives et syndicales soucieuses de la défense des droits fondamentaux à adhérer également à la demande de rejet de ce projet. Le texte de ce projet a en effet été modifié par le Conseil des ministres européens de l'Intérieur et de la Justice le 26 octobre dernier, pour y ajouter l'obligation de faire figurer les empreintes digitales, en plus de l'image du visage, comme deuxième élément biométrique dans les documents de voyage des citoyens et résidents en Europe. L'opportunité d'une campagne européenne de signatures individuelles sera examinée ultérieurement.

Les signataires relèvent, dans la lettre ouverte, qu'une telle urgence n'est nullement nécessaire pour cette initiative du Conseil, qui requiert au contraire un examen plus approfondi par le Parlement européen. De plus, ils notent que le système qui sera mis en place nécessitera des contrôles importants et un cadre légal solide pour assurer qu'il constitue une réponse bien proportionnée à la lutte contre le terrorisme. Ils se déclarent très alarmés par les procédés politiques mis en oeuvre pour l'adoption de ce projet de règlement, que les signataires considèrent comme des procédés irresponsables et malsains pour le fonctionnement d'un système démocratique. Ils soulignent en particulier les constats suivants :

– Le Conseil des ministres européens de l'Intérieur et de la Justice a décidé d'introduire, lors de sa réunion du 26 octobre 2004 et sans débat public, la nécessité d'ajouter les empreintes digitales en second identifiant biométrique pour les passeports et autres documents de voyage émis par les États membres pour leurs citoyens et leurs résidents.

– La majorité des présidents de groupes du Parlement européen (PE) a convenu qu'il ne s'agissait pas là d'une modification suffisamment importante pour requérir un nouvel examen par la Commission des libertés et des droits des citoyens du PE. En cas de refus de la part des présidents de groupes, le Conseil aurait de toutes façons engagé une procédure d'urgence et, par ailleurs, aurait retardé l'introduction de la procédure de codécision sur les questions d'immigration et d'asile à avril 2005, au lieu du 1er janvier prochain.

Les signataires de la lettre ouverte demandent en particulier la suppression de la nécessité de faire figurer les empreintes digitales sur les passeports et autres documents de voyage. Ils exhortent le Parlement européen à s'opposer à la création d'une base de données européenne centralisée de telles données personnelles.
Avant l'inclusion des empreintes digitales en plus de l'image faciale sur les documents de voyage, le groupe Article 29 (G29) composé des autorités nationales de protection des données avait examiné le projet de règlement. Il avait demandé que plusieurs garanties soient mises en oeuvre, en particulier l'assurance que les données biométriques ne seraient pas stockées dans une base centrale. Comme le rappelle la CNIL, « le G29 considère en effet que les données biométriques doivent servir exclusivement à vérifier l'identité du porteur du document. Une base centralisée de photographies et d'empreintes digitale ouvrirait nécessairement la porte à d'autres usages ».

Selon la CNIL, commentant la réunion du Conseil européen du 26 octobre, « ce point n'était pas en discussion devant le Conseil européen car le règlement ne porte que sur les caractéristiques techniques des documents de voyage et le débat ne fait que commencer sur cette question ». Les procédés du Conseil, et la pression qu'il fait peser sur le Parlement, semblent pourtant indiquer qu'il n'y aura que peu de débat. Notons enfin que, selon l'organisation britannique Statewatch, la discussion sur la nécessité d'inclure également les empreintes digitales a été réouverte par le Conseil à l'initiative de quatre États membres : l'Italie, l'Allemagne, la France et la Grèce.

L'absence de débat public en France, pays à l'avant-garde d'une politique européenne plus sécuritaire, est très préoccupante. Le rôle de la CNIL, autorité administrative indépendante, est d'éclairer les citoyens et résidents français sur cette politique afin qu'ils prennent conscience de ses implications. IRIS regrette que la CNIL ne remplisse pas mieux cette mission. L'association relève par exemple que la CNIL indique que « ce règlement répond à la volonté des États membres d'améliorer la sécurité des documents de voyage en y insérant des éléments biométriques. Il répond aussi et ne s'en cache pas aux exigences des autorités américaines qui imposent qu'à partir du 26 octobre 2005, les ressortissants de vingt-huit pays disposent de ce type de passeport pour rentrer aux Etats-Unis sans visa », sans préciser que les États-Unis s'en tiennent, dans leurs exigences par ailleurs insupportables par rapport à des pays normalement souverains, à la demande d'un seul identifiant biométrique pour les documents de voyage, l'image du visage. Les recommandations de l'Organisation de l'aviation civile internationale (OACI) s'en tiennent également à ce seul identifiant. Les États-Unis n'ont d'ailleurs pas l'intention affichée de doter les passeports de leurs propres ressortissants d'empreintes digitales.

IRIS rappelle que la France a mis en chantier, dans le cadre de l'administration électronique, le programme INES (identité nationale électronique sécurisée), dans lequel il est prévu que les cartes nationales d'identité comprendront des identifiants biométriques, dont les empreintes digitales. On savait déjà que le leader mondial en cette matière était un Français, le groupe Sagem. La revue ZDNET relève en plus que l'ancien ministre de l'Intérieur, Nicolas Sarkozy, avait déclaré en 2003 à une réunion du G8 que « La tradition française, c'est l'empreinte digitale ». La décision du Conseil européen devrait donc satisfaire l'État français aux plans économique, culturel et politique, puisque la prochaine obligation européenne viendra renforcer et justifier auprès des citoyens et résidents français la nécessité d'une carte d'identité nationale susceptible d'« être lue dans les lecteurs de carte du marché et être le sésame de l'administration électronique », selon la formule auto-satisfaite et d'une insoutenable légèreté de l'Agence pour le développement de l'administration électronique. Les citoyens, quant à eux, sont tenus à l'écart et n'ont pas droit à la parole, ni même à l'information.

Les organisations souhaitant signer la lettre ouverte de PI, Statewatch et EDRi peuvent le faire à l'aide du formulaire web mis en place par EDRi à l'adresse :
http://www.edri.org/campaigns/biometrics/sign

La date limite d'envoi des signatures d'organisations est fixée au 30 novembre 2004 à 12h00, date à laquelle le texte accompagné de la liste des signataires sera adressé à la Commission européenne. Les signatures reçues ultérieurement seront toutefois collectées et rendues publiques pour la poursuite de la campagne.

Voir en ligne : le texte de la lettre ouverte de PI, Statewatch et EDRI au Parlement européen (en Anglais).

Des ONG appellent l'OACI à renoncer aux passeports à identifiants biométriques et RFID

IRIS — 2004-03-29T22:00:00Z

Plusieurs organisations nationales et internationales de défense des libertés, dont l'association IRIS (Imaginons un réseau Internet solidaire) adressent aujourd'hui une lettre ouverte à l'organisation de l'aviation civile internationale (OACI, agence des Nations Unies). L'OACI tient cette semaine une importante réunion au Caire, sur le thème des « défis en matière de sécurité pour faciliter les opérations de transport aérien ».

À l'initiative des associations American Civil Liberty Union (ACLU) et Privacy International (PI), cette lettre expose les nombreux dangers en matière d'intrusion dans la vie privée et d'atteinte à la liberté de circulation que recèlent les propositions de l'OACI, notamment celles visant à inclure des informations biométriques, voire des puces RFID (permettant l'identification par ondes radio) dans les passeports et autres documents de voyage. De plus, ces informations sur tous les détenteurs de tels passeports seraient conservées dans une base de données internationale. Tel est le plan que l'OACI souhaite adopter en tant que standard déployé internationalement d'ici à 2015, dans la plus parfaite discrétion et sans aucun débat public.

L'OACI opterait pour la reconnaissance faciale comme identifiant biométrique standard, laissant aux États la possibilité d'y adjoindre d'autres identifiants, tels que les empreintes digitales. La lettre ouverte des associations expose en détail les dangers de ces choix et, sans négliger la nécessité d'assurer la sécurité du transport aérien, propose des mesures moins intrusives et donc moins susceptibles de porter atteinte aux droits fondamentaux des centaines de milliers de citoyens concernés.

Ces mesures de l'OACI sont envisagées, avec le soutien des États-Unis et de l'Union européenne, dans un climat déjà très préoccupant en matière d'atteinte aux droits fondamentaux et aux libertés, qui bat en brèche des principes cardinaux du droit, tels que, dans ce cas, les principes de finalité et de proportionnalité que doivent respecter les atteintes, sécuritaires mais aussi marchandes, à la vie privée. On note dans cette situation des préférences nettes pour les méthodes les plus intrusives, comme l'utilisation des identifiants biométriques et des techniques RFID, dont on sait qu'elles constituent en outre un marché en pleine expansion.

Voir en ligne :
– le texte de la lettre ouverte de l'ACLU et de PI à l'OACI (en Anglais).
– historique et informations plus détaillées sur le site de PI (en Anglais).