CNCDH - Problèmes posés par l’inclusion d’éléments biométriques dans la carte nationale d’identité
jeudi 1er juin 2006, par
Contribution de la Commission nationale consultative des droits de l’homme (CNCDH) au débat sur la biométrie et sur le projet INES. Texte adopté le 1er juin 2006.
La Commission Nationale Consultative des Droits de l’homme (CNCDH) a entrepris depuis près de deux ans une réflexion sur les nouvelles technologies de l’information et leurs conséquences sur les droits de l’homme. S’appuyant sur les principes édictés par la loi du 6 janvier 1978 sur la protection des données personnelles [1], elle cherche à évaluer leur application face aux défis technologiques actuels. C’est donc dans ce cadre que la CNCDH analyse le développement de l’administration électronique à la lumière des droits de l’homme et des libertés fondamentales, et elle est attentive en particulier à l’esprit et à la lettre de l’article premier de la loi de 1978 qui dispose que « l’informatique doit être au service de chaque citoyen (.) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et publiques ».
Rappelons que le terme « biométrie » est utilisé pour définir des techniques permettant d’identifier une personne à partir de l’un ou plusieurs de ses caractères biologiques ou comportementaux comme l’empreinte digitale, la géométrie de la main, l’iris, la rétine, le visage, la voix, la signature, la frappe sur un clavier, le réseau veineux ou la thermographie du visage. Comme l’indique le rapport « Cabal » [2], dont sont tirées les informations qui suivent, aucun caractère de cette nature ne semble a priori exclu, et les données biométriques ne sont pas nécessairement anatomiques : la voix, le geste, l’odeur, la chaleur sont envisagées et les photographies numérisées sont utilisées pour la reconnaissance faciale. A partir de l’un de ces éléments, propre à un individu, on détermine un gabarit, c’est-à-dire une suite numérique qui caractérise l’élément biométrique ; c’est le gabarit qui en principe sera conservé, voire associé à l’image elle-même.
La novation technologique ne tient pas seulement à la découverte ou à la généralisation de ces procédés qui permettent à partir d’un simple élément du corps humain ou d’un geste de retrouver une personne bien déterminée. Elle tient aussi à ce que la reconnaissance sera automatisée par le recours à l’informatique. Jusqu’à présent cette reconnaissance se faisait par trois moyens principaux : la reconnaissance visuelle des individus, qui suppose présence et vigilance d’une personne pour contrôler ; sur une possession, clé, carte ; sur une connaissance, code, mot de passe, etc. Depuis lors, des systèmes automatisés, avec vitesse accrue d’acquisition des données à comparer ont totalement modifié les sujétions du contrôle. En effet, ces nouveaux procédés peuvent s’associer au fait que ces éléments se retrouvent dans des puces qui servent à un réseau de lecture et d’information, et que ces puces sont lisibles sans l’intervention de la personne dont l’identité est en cause. Il faut en outre savoir, même s’il n’en est pas question dans les projets actuels que cette lecture à distance serait possible à partir de puces implantées dans le corps humain, et que cette possibilité déjà explorée pour des raisons médicales ne relève pas de la science fiction. En effet les puces numériques de type « RFID [3] » (Radio Frequency Identification Device) appliquées aux machines ou objets sont dès à présent techniquement susceptibles de fonctionner sur le support du corps humain. De même qu’il est possible de suivre le parcours des objets, désormais porteurs de ces puces lisibles à distance au lieu du traditionnel code barres, en temps réel, il n’est pas exclu que ce système s’applique un jour à l’homme, permettant sa localisation.
La CNCDH part du constat que les problèmes posés dans un contexte technologique nouveau relèvent d’un dilemme classique pour les libertés publiques. Il y a évidemment de très bonnes raisons pour profiter du progrès technique si ce progrès conduit à améliorer l’efficacité de tâches régaliennes d’identification. Mais il y a des risques inhérents à cette évolution et il s’agit de savoir s’il faut prendre ces risques.
L’évaluation de ces risques doit se faire notamment à la lumière des principes édictés dans la loi de 1978 pour l’utilisation de données personnelles, et particulièrement les principes suivants :
– le principe de finalité, selon lequel les données personnelles ne peuvent faire l’objet d’un traitement que pour une finalité déterminée légitime, en relation avec la mission de l’organisme responsable de ce traitement ;
– le principe de pertinence et de proportionnalité, qui indique que les données personnelles collectées et traitées doivent être pertinentes au regard de la finalité et ne doivent pas excéder la nécessité pour réaliser cette finalité ;
– le principe de licéité et loyauté dans la manière dont sont collectées les données ;
– l’obligation de sécurité rend notamment impératif de fixer des limites de la durée de conservation des données ainsi que des garanties dans les destinataires de ces données ;
– le principe de transparence, qui veut que chacun connaisse l’utilisation des données recueillies, principe qui s’exprime notamment par un droit d’accès, de rectification et d’opposition par les personnes concernées ;
– le principe d’exactitude, qui dispose que les données faisant l’objet de traitement automatisé doivent être exactes, complètes et mises à jour par le responsable du traitement.
Cette novation technique permet l’inclusion dans les pièces d’identité de données personnelles sensibles, banalisant ainsi la collecte, la conservation et les potentialités d’utilisation de ce type d’information. Pourquoi dire que les données biométriques sont à ce point sensibles ? Elles représentent des éléments uniques, propres à la personne, à l’origine du constat d’identité, intangibles. Elles font partie de sa vie privée, protégée par de nombreux instruments internationaux auxquels la France est partie.
Mais dès le moment où elles ont été recueillies, elles prennent en quelque sorte une vie propre. La personne en est dépossédée, réduite à une composante de son patrimoine biologique ou à un geste enregistré et n’a plus le contrôle de l’usage qui peut en être fait. A l’inverse, la personne qui, autorisée ou non, met la main sur cette composante a aussitôt accès à la personne dans l’intégralité de son identité. Cette situation peut paraître anodine dans la vie de tous les jours, mais peut aussi déraper de façon irréversible. Si la technique s’est trompée au départ, ou a été trompée, il s’attache à l’élément biométrique une présomption de certitude qui multiplie les conséquences de l’erreur d’identité. Par ailleurs, dès que les données sont conservées et fichées, le moindre dysfonctionnement a des conséquences très graves ; le lien unique rattachant la donnée biométrique à son porteur permettra, en cas d’interconnexion des fichiers, toutes les intrusions possibles et imaginables dans l’intimité de la personne, sa vie privée, ses modes de consommation, ses actions, ses activités, ses déplacements. La facilité même de l’identification, sa fréquence et surtout le fait qu’elle est possible à tout moment à l’insu de la personne fait perdre à celle-ci tout contrôle sur son rapport officiel avec la société. Or compte tenu de l’efficacité de ces procédés, il est naïf de raisonner comme si tous les utilisateurs potentiels allaient s’en tenir aux limites de leur mandat.
En d’autres termes, non seulement la collecte de ces éléments représentatifs de l’être touche la dignité humaine en ce qu’elle réduit chacun à l’extraction de son patrimoine biologique, mais de surcroît, le caractère unique du lien rattachant la donnée biométrique à son porteur et l’intangibilité supposée de ce lien conduisent à bien peser la gravité de l’enjeu ; la décision d’exploiter ces éléments d’identification représente un tournant et nous engage de façon irréversible.
Or les raisons invoquées pour franchir le pas ne sont pas entièrement convaincantes. Du point de vue simplement technique, l’efficacité revendiquée n’est pas prouvée. Il subsiste à l’heure actuelle bien des questions sur la fiabilité des techniques et sur la maîtrise de cette manière de collecter des informations. Le coût de la transformation est très important et vient en concurrence avec les dépenses qui permettraient d’améliorer des procédés classiques et éprouvés pour éliminer les fraudes.
Notre pays dispose, dès qu’il est question de recueillir, de mettre en fichier et de conserver des données personnelles d’un système sophistiqué de garanties placé sous le contrôle de la CNIL. Or la nouvelle donne technique pousse ce système au delà de sa limite d’efficacité et le déstabilise. La CNCDH souligne ici la tendance naturelle de ces technologies à s’étendre, à partir d’équipements que tout pousse à concevoir largement. De là naissent toutes les difficultés pour maîtriser l’évolution. Si le contrôle d’identité doit se faire dans le respect des libertés, la clef de l’équilibre est la définition d’une utilisation légitime, donc ciblée, de l’information. Or dès que celle-ci est rassemblée dans une base de données, dès que l’on passe par celle-ci pour retourner à la personne repérée, les problèmes surgissent. Toute la démarche qui a conduit aux discussions actuelles est révélatrice d’un glissement. De la question du passeport et d’obligations internationales rapidement acceptées semble découler, alors qu’il n’y a pas d’urgence, celle de la carte d’identité. De l’inscription de données sur un document dont l’intéressé est détenteur, on passe à l’utilité, puis à la nécessité de fichiers. Comme on veut vérifier l’identité pour plusieurs raisons, les unes obligatoirement imposées, les autres imposées de fait à l’occasion de la délivrance de certains services, d’autres encore à l’initiative de la personne elle-même, la définition du ou des fichiers, des personnes qui y accèdent et de leur interconnections devient complexe et d’autant moins transparente. On glisse d’un projet de carte d’identité moderne et rénovée à l’idée de carte d’identité obligatoire. Et pendant ce temps l’habitude se prend d’exiger de plus en plus d’identifications à toutes occasions, ce qui ne manquera pas à terme de valider la prééminence puis le monopole du nouveau document, tout en rendant possible, à moins que des garanties ne soient mises en place, les contrôles pratiqués à l’insu des personnes.
I. La CNCDH estime donc devoir alerter les autorités responsables et les citoyens, tous dès à présent concernés, sur les points suivants :
Le recours à la biométrie doit être entrepris seulement de telle manière que soit préservée la maîtrise de chacun sur son identité. Il s’agit par là d’éviter le traçage généralisé et la transformation de l’acte qui consiste à décliner son identité. Un tel acte est fondé sur la coopération consciente de l’intéressé qui répond à une demande légitime d’identification ; cette identité ne doit pas être captée à l’insu de la personne, à des fins qui lui sont étrangères ou illégitimes, ou encore de simple curiosité ;a fortiori, ne peut il en être ainsi à des fins de surveillance, si les garanties posées par la loi ne sont pas assurées.
Cette affirmation conduit à être extrêmement réservé envers tout ce qui implique vérification à distance. C’est également l’objection fondamentale qui peut s’élever contre l’idée d’une carte directement ou indirectement obligatoire en ce qu’elle offrirait des services auxquels il serait désavantageux de ne pas accéder pour les personnes non titulaires de la carte. Le simple fait que tout le monde serait tenu de détenir ce document, lui-même étayé par les techniques biométriques, serait une incitation irréversible à accroître les exigences d’identification, du fait de tout interlocuteur public ou privé et par là de restreindre peu à peu le champ de la vie privée ou l’on n’est pas tenu de rendre compte de sa présence ou de ses activités.
Le recueil des éléments biométriques attestant l’identité doit préserver le contrôle de leur utilisation. Plus que jamais cette règle fondatrice des garanties concernant les données personnelles exige que les données ne soient rassemblées que pour une utilisation précise et légitimée pour cet usage. L’interconnexion, surtout si d’importants investissements ont été consentis au départ, est la tentation constante et le risque. Ceci conduit à considérer comme vulnérable et donc à éviter tout fichier centralisé de données biométriques ; ceci conduit à ne pas considérer comme normal le fait d’ajouter une utilisation à une autre, précédemment consentie. Ceci conduit à se méfier de l’association entre plusieurs utilisations, mettant en jeu des opérateurs ayant des missions différentes ou un rapport différent avec les intérêts qui sont à ce moment ceux des personnes identifiées. C’est pour cette raison que l’association entre des utilisations régaliennes et des services à rendre à des usagers ne va pas de soi, et qu’il est discutable de mettre utilisateurs publics et privés dans un même système d’accès aux données.
En d’autres termes, le recours à la biométrie, pour des usages publics ou privés, à des fins d’identification aboutit à trois conclusions :
1. Eu égard au caractère très sensible des données biométriques, les droits qu’ont les personnes sur leurs données doivent être fortement garantis.
2. Toute utilisation quelle qu’elle soit, à des fins publiques ou privées, et que l’identification soit faite par suite d’une obligation imposée à la personne ou pour des raisons de commodité avancées par la personne elle-même, doit se faire dans le cadre de garanties effectives.
3. L’autorité publique a dans l’évolution une responsabilité particulière lorsqu’elle entend établir sur ces bases un titre d’identité national.
Une personne qui doit se prêter au prélèvement d’une donnée biométrique a droit à la fiabilité ; il s’agit de techniques tellement lourdes de signification qu’elles ne doivent être appliquées que le jour où le risque d’erreur, de manipulation des éléments de base ou de vol aura été réduit à un niveau qui n’est pas encore atteint. Il est encore un temps pour l’amélioration de techniques traditionnelles, car la menace de la fraude à l’identité ne suffit pas pour affirmer que telle ou telle technique biométrique est déjà opérationnelle.
Le droit à la vie privée implique de ne pas être identifié ou contrôlé à son insu, ou suivi à la trace.
Enfin tout recours à la biométrie pour des usages publics ou privés implique une exigence particulière d’effectivité, s’agissant des garanties reconnues pour la collecte de données personnelles, et des droits d’accès, de rectification, d’oubli ainsi que pour l’efficacité du contrôle de la constitution et de l’utilisation de fichiers figurant sur le titre ou de fichiers distants.
II. Une responsabilité particulière incombe donc à l’autorité publique si elle étend ces techniques à l’établissement d’un titre d’identité national.
C’est ici que le projet initialement intitulé « INES » ? Identité Nationale Electronique Sécurisée ? intéresse la CNCDH. Il s’agit pour le moment d’un projet, et non d’un projet de loi, et la CNCDH prend acte de ce fait en s’en tenant, au stade actuel, à des remarques destinées à s’inscrire dans un débat ouvert depuis plusieurs mois et auquel contribuent la CNIL, le Forum des droits sur Internet et les travaux du Sénat.
La CNCDH a pris connaissance de ce programme destiné à fusionner, simplifier, sécuriser les procédures de demandes de passeports et de cartes nationales d’identité (CNI). Le programme tel que présenté à la concertation a pour but de délivrer des titres hautement sécurisés conformes aux exigences internationales ainsi que d’offrir aux citoyens les moyens de prouver leur identité sur Internet et de signer de manière électronique pour atteindre ces objectifs, il est donc question de procéder à la collecte d’éléments biométriques et de les intégrer dans le titre d’identité, au moyen du stockage dans une puce lisible sans contact, qui pourrait éventuellement être lisible à distance.
Ces perspectives se sont précisées puisqu’il s’agit en fait d’intégrer dans le document d’identité la photo du visage et les empreintes digitales. A ce stade, l’administration pense à la carte nationale d’identité. Le pas a été franchi, en raison d’obligations internationales, s’agissant des passeports.
Il ne s’agit pas de contester sa légitimité pour ce faire : à bien des égards, les raisons d’améliorer la vérification des identités pour l’exercice de missions régaliennes sont plus compréhensibles que l’usage à tout va d’une obligation d’identification exigée pour n’importe quel acte de la vie quotidienne. Mais la mise en œuvre de cette réforme est peu ou pas réversible et a valeur d’entraînement. Et si l’Etat n’est pas certain de protéger le citoyen contre une dérive très dangereuse, il ne doit pas, sauf nécessité reconnue, faire les premiers pas.
C’est pourquoi la CNCDH, sans préjudice de l’avis qu’elle formulera lorsque les projets concernant la carte d’identité s’exprimeront dans un projet de loi, estime devoir alerter les autorités responsables de ces études et les citoyens sur les points suivants :
1. II n’y a lieu d’utiliser les données biométriques pour l’établissement d’une carte d’identité nationale qu’autant que cette réforme réponde à une nécessité évidente et au principe de proportionnalité qui gouverne la collecte et le traitement de données personnelles.
Or au stade actuel, tous les doutes ne sont pas levés en ce qui concerne la sécurité et la fiabilité de ces techniques, comparées aux techniques traditionnelles. Les moyens d’évaluation existent : d’une part, les pays étrangers ont mis en œuvre des solutions très contrastées face à ces progrès techniques, et il sera possible dans relativement peu de temps de tirer parti soit des expériences entreprises, soit des éléments de débat qui ont poussé certains pays à exclure le recours à la biométrie.
Par la force des choses, en raison des engagements pris au niveau européen, des éléments biométriques sont, depuis le décret du 30 décembre 2005, inclus dans les nouveaux passeports électroniques. La photographie sera intégrée d’une part dans le titre sous une forme numérisée, d’autre part dans son composant, une puce sans contact. Le contenu de la puce est dans le dispositif actuel limité aux donnes mentionnées dans le passeport. Le dispositif est techniquement inter opérable, mais il n’est pas envisagé aujourd’hui que la photographie numérisée soit utilisée en France pour des dispositifs automatisés de reconnaissance faciale ; il demeure que cette technique est rendue possible et sera (sans contrôle des autorités nationales) susceptible d’être pratiquée à l’étranger. La puce sans contact permet le stockage de données numériques accessibles à faible distance par un lecteur répondant aux spécifications appropriées. Les données ne pourront être lues que si le passeport est présenté ouvert, les échanges entre la puce et le lecteur seront cryptés. La CNIL, comme le groupe européen dit de l’article 29 se sont prononcés ; la première a donné son aval au vu de ces caractéristiques paraissant limiter le risque, mais a donné rendez vous à l’administration pour que soient précisées les modalités de contrôle d’accès au fichier national des passeports étant rappelé que ce fichier ne comporte pas d’éléments biométriques ; le Groupe de l’article 29 continue à manifester son inquiétude. Il s’agit là d’éléments d’information qui valent pour tout projet CNI. On ne peut que noter que l’institution chargée de la protection sur le plan européen souhaite que l’on attende les conclusions du projet ETIB (éthique des technologies identification biométrique) avant de franchir ce pas et fait des recommandations tendant à restreindre l’usage des données.
Il est important que la mise en place du passeport électronique n’apparaisse pas comme une acceptation de principe de la biométrie, valant pour la carte nationale d’identité, mais au contraire comme l’occasion d’une évaluation, qui donne le temps de mesurer véritablement les enjeux d’une extension.
2. S’agissant du projet CNI, la nécessité de basculer vers l’utilisation de la biométrie n’est pas démontrée alors surtout que des solutions simples et protectrices des titres pourraient être mises en place, par exemple par la communication directe des actes d’état civil par les communes aux Préfectures et Sous préfectures, constituant un transfert sécurisé, comme le préconise la CNIL depuis 20 ans. Il y a lieu dès lors, d’écarter les solutions techniques conduisant à la constitution inutile et vulnérable de fichiers.
Ainsi en est il de la numérisation de la photographie du titulaire ; l’authenticité n’exige pas que soit conservée la photographie numérisée de la personne, ni dans le titre lui-même, ni dans une base distante dès lors que les conditions de fabrication et de délivrance du titre sont irréprochables, ce dont peut attester tout certificat électronique attaché au titre.
3. En tout état de cause, la CNCDH recommande de ne pas procéder à la constitution de bases de données biométriques, plus précisément d’exclure par avance la constitution d’un fichier central, en ce que la constitution de telles bases est irréversible et est susceptible de permettre, dans un futur plus ou moins proche les interconnexions que l’on souhaite interdire. La tentation créée par l’existence de ces possibilités et le fait qu’aucune société n’est par principe à l’abri de dérives contraires à la démocratie imposent de renoncer à ces techniques.
4. Pour la même raison, la CNCDH recommande de ne pas faire usage des puces sans contact, qui permettent la communication d’informations à l’insu de l’intéressé et au mépris du respect de sa vie privée. On note incidemment que les données du nouveau passeport ne peuvent être lues que par un lecteur avec contact, technique mise en œuvre par l’administration française par précaution. On ne sait pas évidemment ce qu’il en sera à l’étranger et si les mêmes sécurités sont valables si le passeport est ouvert.
5. La CNCDH préconise de ne pas rendre la CNI obligatoire, permettant ainsi au citoyen qui préfère ne pas s’engager dans le processus de continuer, selon la pratique républicaine, à justifier de son identité au moyen de divers documents.
Texte de référence disponible en ligne sur le site de la CNCDH.
[1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Articles 226-16 à 226-24 du Nouveau Code Pénal) modifiée par la loi 2004-801 du 7 août 2004•
[2] Méthodes scientifiques d’identification des personnes à partir des données biométriques et techniques de mise en œuvre, Rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, no 938 Assemblée nationale, no 355 Sénat, juin 2003.
[3] Le terme RFID (Radio Frequency Identification Device) désigne l’utilisation d’une fréquence radio pour identifier automatiquement un objet. La puce RFID est composée d’une étiquette électronique qui mémorise les données numériques, et d’une antenne qui transmet les informations enregistrées. Elle permet de stocker et récupérer des données à distance.