IRIS et LDH - Mémoire en réplique aux observations du ministère de l’Intérieur (recours passeport biométrique)

jeudi 6 novembre 2008, par IRIS, LDH
Ce mémoire répond aux observations du ministère de l’Intérieur formulées le 6 octobre 2008 à la suite du recours formé par IRIS et la LDH le 4 juillet 2008. Dans cette réplique, les associations maintiennent l’ensemble de leurs arguments. En particulier, elles font valoir qu’il y a bien eu violation de la procédure d’avis prévue à l’article 26 de la loi Informatique et liberté, s’agissant de la création de la base centralisée "TES" contenant des données biométriques, dont la création poursuit également une finalité policière et peut même constituer un fichier de renseignement. Le décret attaqué autorise en effet les services en charge de la lutte contre le terrorisme à accéder à la base "TES". IRIS et la LDH réaffirment également la violation du principe de proportionnalité résultant de la création de cette base centralisée ainsi que de la collecte et du traitement de 8 empreintes digitales, y compris celle des enfants dès l’âge de 6 ans, alors que le Règlement européen ne l’impose aucunement.

Texte intégral du mémoire en réplique (également disponible en PDF)

À Monsieur le Président
de la Section du contentieux
du Conseil d’État
Place du Palais Royal
75100 Paris 01 SP

Paris, le 5 novembre 2008

Objet : Requête n° 318013 déposée conjointement par Iris et la Ligue des droits de l’Homme (LDH) qui ont désigné comme mandataire unique la Ligue des droits de l’Homme représentés par son président et tendant à l’annulation du décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques (NOR : IOCD0807352D, JO du 4 mai 2008)

Affaire suivie par Mme Tardy (secrétaire de la 10e sous-section)

MEMOIRE EN REPLIQUE

Monsieur le Président,

Vous avez bien voulu nous communiquer les observations du ministre de l’Intérieur concernant la requête commune déposée par IRIS et la LDH contre le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Ce mémoire en défense nous conduit à faire les observations suivantes.

I. Sur la publication tardive de l’avis de la CNIL

Dans son mémoire, le ministère soutient que le retard de publication de l’avis de la CNIL n’a "aucune influence sur la légalité du décret attaqué".

Il s’appuie pour cela sur l’arrêt Lambert rendu par le Conseil d’État en 1989 selon lequel "la circonstance qu’un acte administratif n’ait pas été publié ou ait été publié avec retard reste sans influence sur sa légalité même (CE. Sect. 31 mars 1989, Lambert, p. 110, n°71747, s’agissant d’un arrêté de placement d’office)" (Mémoire du 6 octobre 2007, p. 3).

Sur ce point, le Conseil ne manquera pas de constater tout d’abord que la présente requête porte sur une réglementation d’application beaucoup plus large que celle du placement d’office. Elle ne concerne rien de moins que l’ensemble de la population française titulaire d’un passeport. Il en résulte que le respect dans ce domaine des règles de formalisme doit être d’autant plus strict que ces règles sont la garantie d’une protection efficace des libertés fondamentales.

La jurisprudence Lambert, dont le ministère omet d’ailleurs de rappeler la seconde partie de phrase du considérant, ne fait rien d’autre qu’appliquer ce principe. Dans sa décision, le Conseil d’État a en effet considéré que ledit retard est "sans influence sur la légalité de l’arrêté préfectoral contesté dès lors que la mesure d’urgence que peut prendre le maire (arrêté du maire) ne constitue pas un préalable nécessaire " à l’acte administratif (PIECE N°1).

Or, et c’est le deuxième point, le Conseil d’État pourra relever que, d’après le ministère lui-même, "il est exact" que ce préalable n’a pas été rempli en l’espèce. Rappelons en effet que "l’avis de la CNIL, en date du 11 décembre 2007, a été publié au Journal Officiel du 10 mai 2008, soit six jours après la publication du décret le 4 mai 2008 " (Mémoire du 6 octobre 2007, p. 3).

Il s’y ajoute, enfin, le fait que ce préalable était bel et bien nécessaire. On en veut pour preuve :
- les dispositions de l’article 26-II de la loi Informatique & libertés - applicables en l’espèce - selon lesquelles tout avis de la CNIL pris sur le fondement de l’article 27 " est publié avec le décret autorisant le traitement " ;
- précisées par celles plus explicites encore de son décret d’application ajoutant que "les actes sur lesquels ils portent sont publiés à la même date " ;
- cette obligation reposant elle-même sur "le responsable du traitement", à savoir, dans le cas du décret du 30 avril 2008, le ministère.

Il en résulte que l’avis de la CNIL et le décret contesté auraient dû être publiés simultanément.

Le respect de cette obligation, comme l’a relevé la CNIL elle-même dans son avis du 26 septembre 2000, constitue en effet un préalable nécessaire dans la mesure où il permet d’ "assurer le maintien d’un haut niveau de garantie et en tout état de cause, à préserver la portée qui doit s’attacher aux interventions d’une autorité administrative indépendante à l’égard de traitements particulièrement sensibles" (PIECE N°2).

Le Conseil voudra bien en déduire que le décret contesté doit être annulé pour publication tardive de l’avis de la CNIL en date du 11 décembre 2007.

II. Sur la violation de la procédure d’avis prévue à l’article 26 de la loi Informatique & libertés

Dans ses dernières écritures, le ministère soutient également que "le traitement automatisé des demandes de passeports sécurisés répond très exactement aux dispositions (...) de l’article 27 puisqu’il s’agit d’un traitement portant sur des données biométriques (photographie du visage et prise des empreintes digitales du demandeur) à des fins d’authentification des titulaires des titres et aucunement d’un traitement à finalité policière, qu’il s’agisse d’un fichier de police judiciaire ou d’un fichier de renseignement" (Mémoire du 6 octobre 2007, p. 3).

Il en conclut que l’argumentation des requérants est non-fondée et que le décret contesté n’avait pas à faire l’objet de la procédure d’avis prévue à l’article 26 de la loi Informatique & libertés. Or, le ministère commet à cet égard une confusion qui vient semer un trouble inutile dans le débat.

Les requérants ne contestent pas l’application de la procédure prévue à l’article 27 de la loi du 6 janvier 1978 à certaines dispositions du décret du 30 avril 2008. Comme ils l’ont dit pourtant de manière claire dans le mémoire introductif d’instance (p. 9), ils la contestent seulement s’agissant de la création de la base centralisée dénommée "TES".

Rappelons en effet que les dispositions de l’article 27-I, 2° de la loi Informatique & libertés prévoient que "sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés (...) les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires " :
- à "l’authentification" ; ou
- au "contrôle de l’identité des personnes
".

Si, en l’espèce, certaines dispositions du décret contesté ont effectivement comme unique finalité l’authentification ou le contrôle de l’identité des personnes, tel n’est pas le seul objet de la création de la base centralisée "TES".

La simple lecture de l’article 18 du décret du 30 décembre 2005, tel qu’inséré par l’article 7 du décret du 30 avril 2008, suffit à le relever. Ces dispositions prévoient en effet que le ministère est autorisé à procéder à la création du système TES :
- certes, "afin de mettre en œuvre les procédures d’établissement, de délivrance, de renouvellement et de retrait des passeports", ce qui correspond effectivement à une mission d’authentification ou de contrôle de l’identité ;
- mais aussi et surtout "à prévenir et détecter leur falsification et leur contrefaçon".

L’apparition de nouvelles finalités au traitement prévue par le règlement communautaire n°2252/2004 n’a d’ailleurs pas seulement été constatée par les requérants. Le Contrôleur européen de la protection des données l’a lui même relevé dans son avis qu’il a été contraint de délivrer de sa propre initiative le 26 mars 2008, la Commission européenne n’ayant pas respecté l’obligation qui lui était faite de le saisir conformément à l’article 28, paragraphe 2 du règlement communautaire n°45/2001.

Selon ses propres termes, "bien qu’il soit possible aux États membres de n’utiliser la base de données centralisée qu’à des fins de vérification des données biométriques, conformément aux strictes limites imposées par le règlement, cette possibilité présente des risques supplémentaires à l’égard de la protection des données à caractère personnel, comme l’apparition d’autres finalités non prévues par le règlement, voire la pratique d’une pêche aux informations dans la base de données, qu’il sera difficile de modérer " (PIECE N°3).

Or, lorsqu’un traitement public poursuit une finalité de prévention et de détection de la falsification et de la contrefaçon des passeports, il dépasse de loin celles de simple "authentification ou de contrôle de l’identité des personnes", telles qu’expressément visées par l’article 27 de la loi du 6 janvier 1978.

La falsification ou la contrefaçon d’un passeport est en effet une infraction prévue par les articles 441-2 et suivants du code pénal.

Il en résulte que la base "TES" poursuit alors, contrairement à ce que prétend le ministère (Mémoire du 6 octobre, p. 3), également une finalité "policière" et peut même constituer un "fichier de renseignement".

On en veut pour preuve l’article 21-1 du décret du 30 décembre 2005, tel qu’inséré par celui du 30 avril 2008. Ces dispositions autorisent en effet les services en charge de la lutte contre le terrorisme à accéder à la base "TES".

Et pour quelle raison avoir autorisé des services de renseignement - ne disposant d’ailleurs pas de compétences en matière de délivrance de passeports - à accéder à cette base centralisée, sinon pour leur permettre d’accomplir leurs missions de prévention, de recherche, de constatation ou de poursuite d’infractions pénales d’une particulière gravité ?

Or, la procédure applicable en cas de traitements publics poursuivant une telle finalité n’est pas celle de l’article 27, mais bien celle de l’article 26 de la loi Informatique & libertés. Cette différence des procédures (article 26 ou article 27) résultant elle-même d’une différence des finalités poursuivies par le décret attaqué (d’un côté authentification ou contrôle de l’identité et, de l’autre, prévention et détection de la falsification ou de la contrefaçon de documents officiels) n’est pas sans conséquence d’un point de vue juridique.

Elle impose en effet que chacune de ces finalités aurait dû faire l’objet de deux actes réglementaires distincts. C’est la condition indispensable pour éviter une interconnexion de fichiers ayant des intérêts publics différents et devant, dans ce cas, être soumise non à une simple procédure d’avis de la CNIL, mais à une autorisation expresse de cette dernière, conformément à l’article 25 de la loi Informatique & libertés.

Il en résulte que le ministère ne peut prétendre que la procédure de l’article 27 qu’il a suivie serait plus protectrice que celle de l’article 26 de la loi du 6 janvier 1978.

De toute évidence, ces dernières dispositions prévoient qu’un traitement qui intéresse la sûreté de l’État, la défense ou la sécurité publique ou qui a pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales doit être autorisé par décret en Conseil d’État, lorsqu’il prévoit, comme en l’espèce, la collecte - par l’intermédiaire de l’image numérisée du visage - de données sensibles faisant même indirectement apparaître les origines raciales ou ethniques (Rapport "Mesure de la diversité et protection des données personnelles" du 25 mai 2007 présenté à la CNIL).

Le Conseil d’État voudra bien conclure de l’ensemble de ces éléments :
- que la finalité poursuivie par la création de la base centralisée "TES" se distingue clairement de celles de simple authentification ou de contrôle de l’identité au sens de l’article 27 de la loi Informatique & libertés ;
- que, pour cette raison, elle aurait dû être autorisée au terme de la procédure d’avis de la CNIL telle que prévue par l’article 26 de la loi du 6 janvier 1978 ; voire même ;
- qu’en conséquence, elle aurait dû faire l’objet d’un décret strictement séparé de ceux des 30 décembre 2005 et 30 avril 2008, sauf à procéder à une interconnexion de fichiers ayant des intérêts publics différents violant l’obligation d’autorisation expresse de la CNIL prévue à l’article 25-I, 5° de la loi du 6 janvier 1978 ;
- qu’en choisissant de ne pas appliquer ces dispositions, le Premier Ministre a commis un détournement de procédure ou, à tout le moins, une erreur de droit de nature à prononcer la nullité du décret contesté.

III. Sur la violation du principe de proportionnalité prévu à l’article 6, 3° de la loi du 6 janvier 1978

Là encore, le ministère établit une confusion dans l’argumentation des requérantes. Il soutient en effet que la création de la base centralisée "TES" est nécessaire. Il croit d’ailleurs utile de préciser que la CNIL l’a même jugé "légitime". À l’en croire, la Commission était donc favorable à l’adoption du décret contesté (mémoire du 6 octobre, p. 6, paragraphes 4 et 6).

Le ministère oublie cependant de mentionner les nombreuses réserves émises par la CNIL dans son avis du 11 décembre 2007 (PIECE N° 4 - voir également : Communiqué de la CNIL, Passeports biométriques : la CNIL réservée sur la création de la première base de données biométriques relatives aux citoyens français, 5 juin 2008, www.cnil.fr).

Elle a en effet considéré que "si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle. Et la CNIL n’est pas la seule à juger que la constitution d’une base centralisée est de nature à porter une telle atteinte. Le Contrôleur européen de la protection des données dans son avis du 26 mars 2008 sur la proposition de modification du règlement communautaire a, pour sa part, recommandé "à la Commission de proposer de nouvelles mesures d’harmonisation afin que les données biométriques collectées pour être intégrées dans les passeports délivrés par États membres de l’UE ne puissent être stockées que sur un support décentralisé (sur la puce sans contact du passeport)" (PIECE N°3).

Il rejoint en cela l’avis prononcé par le groupe de l’article 29 constitué de l’ensemble des autorités chargées au niveau de chaque État membre de la protection des données personnelles (Avis 3/2005, 30 septembre 2005, WP 112 - PIECE N°5). Cette institution a en effet jugé que "la création d’une base de données centralisée contenant les données personnelles et en particulier les données biométriques de tous les citoyens (européens) risquerait de violer le principe de base de proportionnalité. Toute base de données centralisée accroîtrait les risques d’utilisation abusive et d’appropriation frauduleuse. Elle accroîtrait également le risque d’abus et de dérapages. Enfin, elle augmenterait également le risque d’utilisation des éléments d’identification biométrique comme ’clés d’accès’ à diverses bases de données, et partant d’interconnexion de fichiers".

C’est cette atteinte que les requérants contestent et non le caractère "nécessaire" de ce traitement au sens de l’article 6, 2° de la loi du 6 janvier 1978.

Ils considèrent en effet que la création d’une base centralisée au niveau national viole le principe de proportionnalité qui impose que tout traitement ne doit porter que sur des données "adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement" (L. n°78-17, 6 janvier 1978, mod., art. 6, 3° ; voir CE, 3 décembre 1999, Caisse de Crédit Mutuel de Bain-Tresboeuf, concl. J.-D. Combrexelle).

Rappelons que ces dispositions sont considérées par le Conseil Constitutionnel lui-même comme des garanties légales du respect du droit à la vie privée découlant de l’article 2 de la déclaration des droits de l’Homme et du citoyen de 1789 (Cons. const., Déc. n°2007-557 DC du 15 novembre 2007, Loi relative à la maîtrise de l’immigration, à l’intégration et à l’asile ; Cons. const., Déc. n°2008-562 DC du 21 février 2008, Loi relative à la rétention de sûreté et à la déclaration d’irresponsabilité pénale pour cause de trouble mental).

Rappelons surtout que le respect de ce principe est une condition sine qua non de la licéité de tous traitements de données à caractère personnel, qu’ils soient mis en œuvre par des personnes privées ou, comme en l’espèce, par une personne publique.

Aucune dérogation à ce principe n’est en effet prévue par la loi du 6 janvier 1978, y compris s’agissant des traitements publics prévus à ses articles 26 et 27. On en veut pour preuve que l’article 29 de la loi Informatique & libertés prévoyant des dérogations pour ces catégories de traitements se borne seulement à indiquer la liste des mentions devant être contenues dans l’acte autorisant un traitement de données à caractère personnel tel que le décret attaqué.

Malgré le caractère impératif de ces dispositions au niveau national, le Ministre tente de se soustraire à leur champ d’application au motif que les données figurant dans la base centralisée des nouveaux passeports "restent effectivement strictement limitées à celles qui sont nécessaires pour assurer une identification certaine des titulaires des titres" (Mémoire du 6 octobre, p. 5).

Il juge donc totalement proportionné la collecte de pas moins de huit empreintes digitales sur tout demandeur de passeport dès l’âge - pourtant très jeune - de 6 ans. D’après lui, ce choix de huit empreintes serait même établi scientifiquement, les performances d’identification des systèmes biométriques décroissant avec l’augmentation de la taille de la population à gérer. Il croit utile d’ajouter que les erreurs constatables d’identification diminuent d’un facteur cinq à chaque fois que le nombre de doigts enrôlés est doublé.

Le Conseil d’État pourra cependant relever que le ministère se borne à citer des statistiques, sans expliciter leur provenance scientifique, ni en fournir la preuve. À tout le moins, il n’en existe à notre connaissance aucune dont les conclusions sont indiscutables. C’est d’ailleurs pour cette raison que le Contrôleur européen de protection des données relève que la Commission n’a réalisé aucune analyse d’impact et que les projets pilotes, en tant que tels, fournissent un volume d’informations insuffisant.

En l’absence de tels éléments, force est de constater que la création d’une base centralisée comme TES ne suffit pas en-elle même à assurer une "identification certaine des titulaires des titres" selon l’expression du ministère, surtout si - comme le relève la CNIL dans son avis - "aucune mesure particulière n’est prévue, parallèlement à la conservation de données biométriques, pour s’assurer de l’authenticité des pièces justificatives fournies à l’appui des demandes" (PIECE N°4). Ce faisant, elle en conclut que la base centralisée TES, là encore contrairement aux affirmations du ministère, "ne paraît pas constituer en l’état, un outil décisif de lutte contre la fraude documentaire".

La Commission rejoint en cela l’analyse du Conseil Constitutionnel à propos de l’utilisation de tests ADN en matière de regroupement familial. À l’occasion de l’examen de la loi relative à la maîtrise de l’immigration, à l’intégration et à l’asile, il a en effet émis une réserve d’interprétation selon laquelle l’application d’un nouveau dispositif "ne saurait avoir pour effet de dispenser les autorités (...) de vérifier, au cas par cas, (...) la validité et l’authenticité des actes de l’état civil" ; ce n’est que, sous cette réserve qu’il considère que l’application d’un tel dispositif ne porte pas atteinte ni directement ni indirectement à un droit fondamental, en l’espèce celui de mener une vie familiale normale (Cons. const., 15 nov. 2007, Déc. n°2007-557 DC).

Appliqué à notre cas, ce principe permet d’en déduire que la création d’une base centralisée de données comportant des informations biométriques, sans que ne soit systématiquement vérifié l’authenticité des pièces justificatives à l’appui de la demande de passeport, est de nature à porter, même indirectement, atteinte au droit fondamental à la protection contre les fichiers nominatifs informatisés (CE, Ass., 18 février 1976, Deberon, JCP 1976, n°18383, concl. Guillaume ; Cons. const., 23 juill. 1999, Déc. n° 99-416 DC - 9 nov. 1999, Déc. n° 99-419 DC).

Dans ce contexte, le ministère croit utile de s’appuyer sur l’obligation prévue par le règlement communautaire n°2252/2004 de collecter les empreintes digitales. Son examen révèle cependant que le règlement dont le décret contesté est une mesure d’application au niveau national n’impose nullement aux États membres, dont la France, de collecter huit empreintes digitales. Il n’en impose que deux.

On comprend donc mal comment le ministère persiste à prétendre que la collecte de huit empreintes digitales, au lieu de deux, est proportionnée au sens de la loi Informatique & libertés. Tout au plus, peut-il dire que d’autres États membres l’ont choisi. Mais cette circonstance ne peut présumer à elle seule de la légalité au regard du droit français de la collecte de huit empreintes digitales de tout demandeur de passeport et de leur centralisation au sein de la base de données "TES".

Une telle collecte et une telle centralisation s’avèrent même plus que disproportionnées lorsqu’elles concernent les mineurs. Il est d’ailleurs surprenant, qu’en l’absence de disposition expresse du règlement communautaire 2252/2004, les autorités françaises aient jugé indispensable de fixer la limite d’âge à partir de laquelle doivent collecter les empreintes digitales à 6 ans. Ceci l’est d’autant plus si l’on relève :
- que la proposition de modification de ce règlement adoptée le 18 octobre 2007, soit près de 6 mois avant la publication du décret contesté, juge que cette question est trop importante "pour être laissée à la discrétion du législateur national " (PIECE N°6) ;
- et que c’est même pour cette raison que les autorités communautaires ont fondé leur compétence, pour définir les dérogations à l’obligation de donner ses empreintes digitales.

En l’espèce, les autorités communautaires n’ont fait qu’appliquer le principe de subsidiarité énoncé à l’article 5, deuxième alinéa du Traité CE aux termes duquel "dans les domaines qui ne relèvent pas de sa compétence exclusive, la Communauté n’intervient, conformément au principe de subsidiarité, que si et dans la mesure où les objectifs de l’action envisagée ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de l’action envisagée, être mieux réalisés au niveau communautaire" (CJCE, British American Tobacco, C-491/01, 10 décembre 2002, Recueil 2002, p.I-11453).

On ne peut donc que constater qu’à la date du 30 avril 2008, les autorités françaises n’avaient pas pleine et entière compétence pour imposer par décret aux mineurs âgés de plus de 6 ans la collecte de leurs empreintes digitales.

Elles ne pouvaient pas non plus le faire par anticipation, les dispositions communautaires n’ayant pas encore été adoptées définitivement. Car si la proposition de modification du règlement communautaire n°2252/2004 envisage de fixer également cette obligation dès l’âge de 6 ans, ce seuil fait encore largement débat.

De toute évidence, comme le note le Contrôleur européen dans son avis à l’occasion de la proposition de modification du règlement, "ni la littérature scientifique disponible, ni l’analyse d’impact précédemment menée par la Commission dans le cadre de la proposition relative au système d’information sur les visas n’ont présenté de preuves concluantes sur lesquelles fonder avec certitude un âge limite pour les enfants" (PIECE N°3).

Ce faisant, la France prend donc le risque d’adopter une disposition nationale susceptible d’être contraire à un objectif communautaire ; hypothèse qui, rappelons-le est sanctionnée par le Conseil d’État (CE. 24 septembre 1990, Boisdet, n°58657 ; CE. Sect. 3 décembre 1999, Association ornithologique et mammalogique de Saône-et-Loire et Rassemblement des opposants à la chasse, n°164789 et 165122 ; CE. Sect. 3 décembre 1999 Association ornithologique et mammalogique de Saône-et-Loire et France nature environnement, n°199622 et 200124).

Et ce risque est loin d’être hypothétique, le Parlement européen pouvant notamment décider de suivre l’analyse du Contrôleur européen de protection des données, recommandant qu’en raison des études peu concluantes la collecte d’empreintes d’enfants de 6 ans ne devrait être que temporaire. Il préconise même de relever la limite d’âge à 14 ans, en se fondant sur la réglementation relative aux demandeurs d’asile (règlement n°2725/2000 du 11 décembre 2000) ainsi que sur le programme "US Visit".

En prévoyant la collecte d’empreintes d’enfants dès l’âge de six ans, le ministère a en réalité commis une erreur d’appréciation, susceptible de placer le décret contesté en contradiction avec les objectifs poursuivis par la réglementation communautaire en cours de discussion.

EN CONCLUSION :

Les associations requérantes réitèrent donc leur demande d’annulation du décret n° 2008-426 du 30 avril 2008portant création d’un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l’objet d’une mesure d’éloignement et modifiant la partie réglementaire du code de l’entrée et du séjour des étrangers et du droit d’asile.

Pour les associations requérantes,

Jean-Pierre Dubois
Président de la Ligue des droits de l’Homme

LISTE DES PIÈCES JOINTES

Pièce n° 1 : Arrêt du Conseil d’État, 31 mars 1989, Lambert, Recueil p. 110.

Pièce n° 2 : Avis de la CNIL du 26 septembre 2000 sur le projet de loi modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Pièce n° 3 : Avis du Contrôleur européen de la protection des données du 26 mars 2008 sur la proposition de règlement modifiant le règlement n°2252/2004.

Pièce n° 4 : Délibération n°2007-368 de la CNIL du 11 décembre 2007 portant avis sur un projet de décret en Conseil d’État modifiant le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Pièce n° 5 : Avis du groupe de travail sur la protection des données de l’article 29 du 30 septembre 2005 sur l’application du règlement n°2252/2004 du Conseil.

Pièce n° 6 : Proposition de règlement du 18 octobre 2007 modifiant le règlement n°2252/2004 du Conseil présentée par la Commission européenne.