La CNIL réitère son opposition au passeport biométrique

par Stéphane Foucart, Le Monde du 18 mai 2008

Les fondations de la première base de données biométriques, destinée à rassembler la majeure partie de la population française, auront été posées contre l’avis de la Commission nationale de l’informatique et des libertés (CNIL). Son président, Alex Türk, l’a rappelé, vendredi 16 mai, lors de la présentation du rapport annuel de l’autorité indépendante. Un décret, publié le 4 mai, instaure en effet la prochaine génération de passeports, dont la nouveauté est de reposer sur un fichier central.

Cette base de données contiendra les informations renfermées dans tous les nouveaux passeports (huit empreintes digitales et l’image faciale numérisée du porteur), ainsi que, à terme, celles concernant les titulaires de la future carte nationale d’identité. Or la CNIL avait rendu, le 11 décembre 2007, un avis défavorable au dispositif.

PORTÉE TRÈS FAIBLE

La commission a d’abord déploré l’usage de la voie réglementaire. « Nous pensons que l’importance de l’enjeu aurait justifié un passage devant le législateur, mais nous n’avons pas été entendus », a expliqué M. Türk. La CNIL a également jugé disproportionné la création d’un fichier central et le prélèvement de huit empreintes. Ces caractéristiques vont au-delà des dispositions de la réglementation européenne, qui réclame le prélèvement de deux empreintes digitales seulement.

La loi informatique et libertés de 1978, révisée en 2004, dispose que l’avis de la CNIL doit être publié à côté du décret qui a fait l’objet de sa saisine. Bien que symbolique, cette prérogative de l’autorité n’a pas été respectée. M. Türk s’est ainsi ému de ce que l’avis défavorable de la CNIL n’ait été publié que le 10 mai, avec presque une semaine de retard.

Au ministère de l’intérieur, on rappelle que la portée du décret en question est très faible. En particulier, il ne permet pas que la base de données biométriques instituée puisse être pleinement utilisée et que soient menées des comparaisons « automatiques » d’empreintes. Permettre ce type d’opération, assure-t-on Place Beauvau, passera par le législateur, dans le cadre du projet de loi sur l’identité numérique. Celui-ci, qui comprendra le volet sur la future carte d’identité, doit être soumis cet été à la CNIL, pour avis.

Stéphane Foucart

Le Journal officiel du 4 mai 2008 publie un décret du 30 avril dernier relatif aux passeports biométriques [1],
qui modifie un décret du 30 décembre 2005 relatif aux passeports électroniques [2].

Le passeport biométrique contiendra, outre les données d’identité habituelles, les images numérisées du visage et des empreintes digitales de deux doigts du titulaire.

Ces données seront enregistrées dans une « puce sans contact » intégrée au passeport. Un tel composant électronique, utilisant la technologie Rfid, permet des communications par ondes radio, et donc sans contact. La lecture des données peut donc se faire à distance, comme l’ont découvert à leurs dépens plusieurs dizaines de milliers de Belges [3]. La sécurité de cette technologie est toujours sujet à polémique [4].

Constitution d’un fichier national des empreintes digitales

La police dispose, depuis 1987, d’un fichier des empreintes digitales, le Faed. Il contient actuellement 2 800 000 empreintes.

Mais le décret du 30 avril 2008 indique au sujet des passeports qu’« afin de [...] prévenir et détecter leur falsification et leur contrefaçon, le ministre de l’Intérieur est autorisé à créer un système de traitement automatisé de données à caractère personnel dénommé TES. » Y seront enregistrées les données du titulaire ainsi que les images numérisées de son visage et des empreintes digitales de huit de ses doigts qui auront été recueillies lors du dépôt de la demande de passeport.

L’existence d’un tel fichier national, comportant des données biométriques avec l’identité et le domicile de chaque citoyen amené à utiliser un passeport, pourrait permettre de remonter à ces personnes à partir des traces qu’elle aura laissées. Cela soulève des questions sur l’usage qui pourrait être fait d’une telle base de données.

L’avis du G29 sur le passeport européen

Etant donné son importance, nous reprenons intégralement ci-dessous l’avis du groupe des autorités européennes de protection des données (G29) sur le passeport européen en date du 30 septembre 2005 [5] :

Avis du groupe des autorités européennes de protection des données (G29) sur le passeport européen

Le 30 septembre 2005, le groupe dit de l’article 29 (G 29) a rendu un avis relatif aux aspects éthiques, juridiques et techniques de l’application du règlement du Conseil européen du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.

Le 13 décembre 2004, le Conseil européen a adopté le règlement (CE) n° 2252/2004 établissant des normes pour les dispositifs de sécurité et les éléments de biométrie intégrés dans les passeports et les documents de voyage délivrés par les États membres. Ce règlement impose deux éléments biométriques obligatoires : la photographie faciale numérisée et les empreintes digitales. Les spécifications techniques venant compléter ce texte ont été adoptées par la Commission européenne en février 2005 et ne tiennent pas compte des demandes de modifications du Parlement Européen.

Le calendrier d’application fait obligation aux Etats membres de délivrer, pour le 28 août 2006 au plus tard, des passeports comportant un dispositif de stockage, sous la forme d’un composant électronique, contenant la photographie faciale du titulaire et pour le 28 février 2008, des passeports comprenant les empreintes digitales numérisées.

Dans son avis du 30 septembre 2005 sur l’application du règlement du 13 décembre 2004, le G29 souligne que l’introduction d’éléments biométriques numérisés dans les passeports aura de lourdes conséquences sur la vie privée pour les titulaires de ces documents, dans la mesure où ces données peuvent être stockées dans des bases de données et mises à disposition à des fins non prévisibles.

Aussi, au regard des risques éthiques, le groupe de travail recommande d’attendre les résultats et conclusions du projet Européen BITE ou ETIB (Ethique des technologies d’identification biométrique), avant d’intégrer des éléments biométriques dans les passeports, autres documents de voyage ou cartes d’identité. Ce projet a pour but de lancer la recherche et d’ouvrir un débat public sur l’éthique de la biométrie. En effet, jusqu’à présent, les éléments biométriques tels que les empreintes digitales étaient collectés principalement dans des affaires pénales. Les citoyens européens sont-ils prêts à donner leurs empreintes digitales pour d’autres motifs ?

Sur un plan technique, compte tenu des risques inhérents à la nature de la biométrie, le groupe de l’article 29 demande que les passeports intégrant des empreintes digitales ne puissent être lus par des lecteurs qui ne sont pas compatibles avec le « Extended Access Control ». Cette norme empêche, par un mécanisme de clés combinées, tout « écrémage » et interception des données biométriques.

Le groupe demande que soit garanti que seules les autorités compétentes puissent avoir accès aux données stockées sur la puce. Les Etats membres sont ainsi appelés par le groupe de l’article 29, à tenir un registre des autorités compétentes.

Enfin, le respect de l’ensemble de ces conditions suppose, également, de restreindre l’usage des données biométriques contenues dans le passeport à un strict objet de comparaison entre les données stockées dans le passeport et les données fournies par le détenteur du document.

Les réserves de la Cnil

L’avis de la Cnil concernant le décret relatif au passeport biométrique [6], fait référence à l’avis du G29. Nous n’en reprenons que les extraits qui nous semblent les plus importants (la commission appelle base centrale ce que le décret désigne par TES) :

La commission observe que le projet de décret qui lui est soumis pour avis « est notamment destiné à mettre en œuvre » un règlement européen ».

Sur la conservation de données biométriques en base centrale

« A titre liminaire, la Commission observe que le recueil de huit empreintes digitales, d’une part, et la conservation en base centrale de l’image numérisée de ces dernières ainsi que celle du visage du titulaire, d’autre part, ne résultent pas des prescriptions dudit règlement européen. »

« la Commission considère que, si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle. »

« La conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée. »

« La Commission considère enfin que l’ampleur de la réforme qui se dessine et l’importance des questions qu’elle peut soulever justifieraient que, comme elle l’a rappelé à plusieurs reprises, le Parlement en soit saisi sous forme d’un projet de loi, qui lui serait préalablement soumis pour avis. »

Sur les sécurités

« Il est prévu que l’accès aux données stockées dans le composant électronique soit contrôlé en utilisant des mécanismes, qui en l’état actuel de la technique, paraissant de nature à garantir un niveau suffisant de protection du composant électronique. […]D’autres dispositifs de protection électromagnétique du titre pourraient à terme être inclus dans le passeport. Néanmoins, ces dispositifs et leur éventuelle mise en œuvre sont actuellement en cours d’étude. »

« Par conséquent, la Commission souhaite être rendue destinataire des éléments relatifs aux mesures qui seront finalement retenues. »

Observons que l’avis de la Cnil développe deux des critiques souvent exprimées à propos de Base élèves : l’absence d’un véritable débat (« l’ampleur de la réforme ... et l’importance des questions ... justifieraient que ... le Parlement en soit saisi »), et une certaine légèreté en ce qui concerne les sécurités.

_____________________

Rappelons pour terminer ce que l’Association européenne pour la défense des droits de l’Homme (AEDH) écrivait le 29 novembre 2005 à propos de la carte d’identité électronique [7] :

« La carte d’identité électronique combinée au fichage biométrique bafoue radicalement les principes et les libertés fondamentales sur lesquels repose notre démocratie. »

Ont-ils pensé à tout ?

Les photographies, de format 35 x 45 mm, doivent être récentes (moins de 6 mois), en couleur, et identiques. [8]

La tête doit être dans l’axe de la photographie, qui doit être sur fond clair faisant apparaître le contour et les traits du visage ainsi que le haut des épaules. La taille du visage doit être comprise entre 32 et 36 mm (soit 70 à 80% du cliché). La tête doit apparaître nue, sans couvre-chef, ni foulard, serre-tête et autres objets décoratifs. Il n’existe aucune dérogation à cette prescription [9].
La norme actuelle des photos d’identité n’empêche pas la personne de sourire ; elle indique par contre que la bouche doit être fermée [10].