headers
Bb! | 13 May 08:15

[actus_l] Avis de la CNIL sur le passeport biométrique

http://www.cnil.fr/index.php?id=2428

Avis de la CNIL sur le passeport biométrique

07/05/2008 - Echos des séances

Saisie Ă  l’automne par le ministĂšre de l’intĂ©rieur, la Commission a Ă©mis un
avis sur le projet de décret instituant le passeport biométrique par une
délibération du 11 décembre 2007 

http://www.cnil.fr/?id=2427

Délibération n°2007-368 du 11 décembre 2007 portant avis sur un projet de
dĂ©cret en Conseil d’Etat modifiant le dĂ©cret n°2005-1726 du 30 dĂ©cembre 2005
relatif aux passeports Ă©lectroniques

11 Décembre 2008 - ThÚme(s) : Titres d'identité

La Commission nationale de l’informatique et des libertĂ©s
Saisie pour avis par le ministĂšre de l’intĂ©rieur, de l’outre-mer et des
collectivitĂ©s territoriales, le 27 septembre d’un projet de dĂ©cret en Conseil
d’Etat modifiant le dĂ©cret n°2005-1726 du 30 dĂ©cembre 2005 relatif aux
passeports Ă©lectroniques ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des
personnes Ă  l’égard du traitement automatisĂ© des donnĂ©es Ă  caractĂšre
personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre
1995 relative Ă  la protection des personnes physiques Ă  l’égard du traitement
de données à caractÚre personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la
protection des personnes physiques Ă  l’égard des traitements de donnĂ©es Ă 
caractĂšre personnel, et notamment son article 27 ;

Vu le dĂ©cret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi
n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;

Vu le rÚglement du Conseil européen n°2252/2004 du 13 décembre 2004 qui
établit des normes pour les éléments de sécurité et les éléments biométriques
intégrés dans les passeports et les documents de voyage délivrés par les Etats
membres ;

Vu le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports
Ă©lectroniques ;

Vu l’avis 3/2005 du groupe de l’article 29 en date du 30 dĂ©cembre 2005 sur
l’application du rĂšglement (CE) n°2252/2004 du Conseil du 13 dĂ©cembre 2004
établissant des normes pour les éléments de sécurité et les éléments
biométriques intégrés dans les passeports et les documents de voyage délivrés
par les Etats membres ;

Vu la dĂ©libĂ©ration n°99-23 du 8 avril 1999 portant avis sur le projet d’arrĂȘtĂ©
concernant la crĂ©ation par le ministĂšre de l’intĂ©rieur d’un traitement
automatisĂ© d’informations nominatives relatif Ă  la dĂ©livrance des passeports ;

Vu la délibération n°2005-279 du 22 novembre 2005 portant avis sur le projet
de décret instituant le passeport électronique et sur les modifications
apportĂ©es au traitement « DELPHINE » permettant l’établissement, la dĂ©livrance
et la gestion des passeports ;

Vu la délibération n°2005-208 du 10 octobre 2005 portant avis sur le projet de
loi relatif Ă  la lutte contre le terrorisme ;

AprĂšs avoir entendu Mme MichĂšle TABAROT, commissaire, en son rapport et Mme
Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Emet l’avis suivant :

Le projet de décret soumis pour avis de la Commission est notamment destiné à
mettre en Ɠuvre le rĂšglement du Conseil europĂ©en n°2252/2004 du 13 dĂ©cembre
2004 qui établit des normes pour les éléments de sécurité et les éléments
biométriques intégrés dans les passeports et les documents de voyage délivrés
par les Etats membres.

A cet Ă©gard, il vise Ă  mettre la France en capacitĂ© d’émettre, avant le 28
juin 2009, des passeports dotĂ©s d’un composant Ă©lectronique contenant non
seulement l’image numĂ©risĂ©e du visage de son titulaire mais aussi celle de
deux de ses empreintes digitales, conformĂ©ment aux prescriptions de l’article
6 du rÚglement précité.

Si le décret n°2005-1726 du 30 décembre 2005 a permis la réalisation de la
premiÚre étape prévue aux termes du rÚglement européen, en permettant la
dĂ©livrance de passeports dotĂ©s d’un composant Ă©lectronique intĂ©grant l’image
numérisée du visage du titulaire, le présent projet de décret entend donc
poursuivre le processus d’adaptation du droit interne à cette norme
europĂ©enne, en intĂ©grant dans le mĂȘme composant l’image numĂ©risĂ©e de deux de
ses empreintes digitales.

Le projet de dĂ©cret prĂ©voit Ă©galement l’enregistrement de donnĂ©es biomĂ©triques
se rapportant aux demandeurs (images numérisées de la photographie et des
empreintes digitales) dans le systÚme de traitement automatisé de données à
caractÚre personnel relatif au passeport, dénommé « DELPHINE », cependant
qu’il envisage parallĂšlement la conservation de donnĂ©es relatives Ă  leur
filiation ainsi que des piùces justificatives fournies à l’appui de la demande
de passeport, sous un format numérisé.

En outre, le projet de décret apporte un certain nombre de modifications
affectant les conditions d’accĂšs aux donnĂ©es Ă  caractĂšre personnel contenues
dans le systĂšme de traitement « DELPHINE » en mĂȘme temps qu’il lui confĂšre une
finalitĂ© nouvelle, Ă  savoir l’élaboration de statistiques.

Enfin, il détermine le régime juridique applicable au passeport temporaire.

Sur l’enregistrement des donnĂ©es biomĂ©triques dans le composant Ă©lectronique
intégré au passeport

La Commission observe que la collecte de l’image numĂ©risĂ©e du visage du
demandeur ainsi que celle de deux de ses empreintes digitales est rendue
nécessaire par les dispositions du rÚglement du Conseil européen n°2252/2004
du 13 dĂ©cembre 2004, dans la mesure oĂč il fait obligation aux Etats membres de
délivrer, au plus tard le 28 juin 2009, des passeports dotés de composants
électronique comportant les éléments biométriques précités.

A cet Ă©gard, la Commission tient Ă  rappeler qu’elle considĂšre comme lĂ©gitime
le recours, pour s’assurer de l’identitĂ© d’une personne, Ă  des dispositifs de
reconnaissance biométrique dÚs lors que les données biométriques sont
conservĂ©es sur un support dont la personne a l’usage exclusif.

Sur la conservation de données biométriques en base centrale

Le projet de dĂ©cret soumis pour avis Ă  l’examen de la Commission prĂ©voit le
recueil de l’image numĂ©risĂ©e du visage du demandeur et des empreintes
digitales de huit doigts ainsi que leur conservation dans le systĂšme de
traitement « DELPHINE », qui pourrait ainsi constituer la premiÚre base
centralisée de données biométriques à finalité administrative portant sur des
ressortissants français.

Cette base serait en réalité segmentée en trois bases de données distinctes,
contenant respectivement les donnĂ©es d’état civil, les donnĂ©es photographiques
et les empreintes digitales. Il est prĂ©vu de mettre en Ɠuvre des mĂ©canismes de
« double-hachage », pour garantir qu’une donnĂ©e biomĂ©trique, qu’il s’agisse
d’une donnĂ© photographique ou d’une empreinte digitale ne puisse ĂȘtre
consultĂ©e sans avoir prĂ©alablement accĂ©dĂ© Ă  l’enregistrement de la donnĂ©e
d’état civil s’y rapportant. Le systĂšme central de traitement serait hĂ©bergĂ©,
exploitĂ© et supervisĂ© par les services d’exploitation du ministĂšre de
l’intĂ©rieur, de l’outre-mer et des collectivitĂ©s territoriales, sur deux sites
sécurisés. Il est également prévu des dispositifs de journalisation des accÚs,
afin d’assurer la traçabilitĂ© et l’imputabilitĂ© des opĂ©rations effectuĂ©es sur
le systĂšme.

A titre liminaire, la Commission observe que le recueil de huit empreintes
digitales, d’une part, et la conservation en base centrale de l’image
numĂ©risĂ©e de ces derniĂšres ainsi que celle du visage du titulaire, d’autre
part, ne résultent pas des prescriptions dudit rÚglement européen.

En outre, la Commission tient Ă  rappeler que le traitement, sous une forme
automatisée et centralisée, de données telles que les empreintes digitales,
compte tenu Ă  la fois des caractĂ©ristiques de l’élĂ©ment d’identification
physique retenu, des usages possibles de ces traitements et des risques
d’atteintes graves Ă  la vie privĂ©e et aux libertĂ©s individuelles en rĂ©sultant,
ne peut ĂȘtre admis que dans la mesure oĂč des exigences en matiĂšre de sĂ©curitĂ©
ou d’ordre public le justifient.

Or, la Commission observe que le traitement mis en Ɠuvre conserve les mĂȘmes
finalitĂ©s que celles Ă©noncĂ©es aux termes de l’article 18 du dĂ©cret du 30
dĂ©cembre 2005 – faciliter les procĂ©dures d’établissement, de dĂ©livrance, de
renouvellement, de remplacement et de retrait des passeports ainsi que
prévenir, détecter et réprimer leur falsification et leur contrefaçon.

A cet égard, la Commission considÚre que, si légitimes soient-elles, les
finalités invoquées ne justifient pas la conservation, au plan national, de
données biométriques telles que les empreintes digitales et que les
traitements ainsi mis en Ɠuvre seraient de nature à porter une atteinte
excessive à la liberté individuelle.

En outre, au regard des Ă©lĂ©ments dont elle dispose et dans la mesure oĂč le
dispositif envisagĂ© se limite Ă  rendre possible l’accĂšs ponctuel des autoritĂ©s
judiciaires aux données biométriques, en exécution de réquisitions ou de
commissions rogatoires, la Commission estime que ledit dispositif ne paraĂźt
pas constituer, en l’état, un outil dĂ©cisif de lutte contre la fraude
documentaire de nature Ă  lever les prĂ©ventions exprimĂ©es jusqu’alors par la
Commission Ă  l’endroit de la constitution de bases centralisĂ©es de donnĂ©es
biométriques.

En effet, la Commission observe qu’aucune mesure particuliĂšre n’est prĂ©vue,
parallĂšlement Ă  la conservation de donnĂ©es biomĂ©triques, pour s’assurer de
l’authenticitĂ© des piĂšces justificatives fournies Ă  l’appui des demandes et
relĂšve, en particulier, que mĂȘme si une Ă©tude est en cours, le dispositif
envisagĂ© ne prĂ©voit pas de procĂ©dures de tĂ©lĂ©-transmission des donnĂ©es d’état
civil entre les administrations concernées, procédures qui sont pourtant
susceptibles de garantir la fiabilité desdites données.

De mĂȘme, la rĂ©alisation d’une application de gestion Ă©lectronique des
documents, destinée à faciliter les conditions de délivrance ou de
renouvellement d’un passeport, n’est pas non plus de nature à justifier la
conservation de données biométriques.

Par consĂ©quent, mĂȘme si le ministĂšre de l’intĂ©rieur, de l’outre-mer et des
collectivitĂ©s territoriales s’engage Ă  prĂ©ciser aux termes du projet de dĂ©cret
qu’il ne sera pas possible de procĂ©der Ă  une recherche en identification Ă 
partir de l’image numĂ©risĂ©e des empreintes digitales et que le systĂšme
envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de
l’image numĂ©risĂ©e de la photographie, la conservation dans une base centrale
des images numérisées du visage et des empreintes digitales semble
disproportionnée.

La Commission considĂšre enfin que l’ampleur de la rĂ©forme qui se dessine et
l’importance des questions qu’elle peut soulever justifieraient que, comme
elle l’a rappelĂ© Ă  plusieurs reprises, le Parlement en soit saisi sous forme
d’un projet de loi, qui lui serait prĂ©alablement soumis pour avis.

Sur la conservation des piĂšces justificatives.

Le projet de décret prévoit également la conservation dans le systÚme de
traitement « DELPHINE » de l’image numĂ©risĂ©e des piĂšces justificatives
dĂ©posĂ©es Ă  l’appui de la demande de passeport, en particulier les documents
justificatifs du domicile du demandeur.

Si elle est justifiĂ©e par les services du ministĂšre de l’intĂ©rieur par le
souci de la modernisation des procédures administratives, elle ne permettra
pas nécessairement une amélioration des conditions de renouvellement du
passeport Ă  l’expiration de la durĂ©e de validitĂ© de ce dernier, compte tenu du
caractĂšre non pĂ©renne des informations fournies Ă  l’occasion de la premiĂšre
délivrance.

Aussi, la Commission se montre rĂ©servĂ©e quant Ă  la pertinence d’une
conservation de ces documents sous format numérisé. Sur les destinataires et
les modalitĂ©s d’accĂšs au systĂšme de traitement «DELPHINE».

La Commission prend acte de ce que les personnels chargés des missions de
recherche et de contrĂŽle de l’identitĂ© des personnes, de vĂ©rification de la
validitĂ© et de l’authenticitĂ© des passeports au sein des services de la police
nationale, de la gendarmerie nationale et des douanes n’accùdent pas et
n’accĂ©deront pas aux donnĂ©es Ă  caractĂšre personnel enregistrĂ©es dans la base
centrale mais seulement Ă  celles contenues dans le composant Ă©lectronique du
passeport.

La Commission prend Ă©galement acte de ce que les agents des services de la
direction générale de la police nationale et de la direction générale de la
gendarmerie nationale chargés des missions de prévention et de répression des
actes de terrorisme de mĂȘme que les agents des services de renseignement du
ministÚre de la défense chargés des missions de prévention des actes de
terrorisme n’accĂ©deront pas Ă  l’ensemble des donnĂ©es enregistrĂ©es dans le
systĂšme de traitement Ă  l’exclusion de l’image numĂ©risĂ©e des empreintes
digitales.

Dans la mesure oĂč la Commission observe que cette exclusion n’est justifiĂ©e
qu’au regard de la spĂ©cificitĂ© attachĂ©e aux donnĂ©es biomĂ©triques, elle estime
que le projet de dĂ©cret devrait Ă©galement faire mention de l’impossibilitĂ©
pour les agents prĂ©citĂ©s d’accĂ©der Ă  l’image numĂ©risĂ©e du visage du titulaire.

La Commission prend enfin acte de ce que le ministĂšre de l’intĂ©rieur, de
l’outre-mer et des collectivitĂ©s territoriales envisage de prĂ©ciser aux termes
du projet de dĂ©cret que les destinataires devraient faire l’objet d’une
procĂ©dure de dĂ©signation individuelle et d’habilitation spĂ©ciale.

Sur le régime juridique du passeport temporaire.

Conformément aux dispositions du rÚglement du Conseil européen n°2252/2004 du
13 décembre 2004, le projet de décret fixe le principe de la délivrance à
titre exceptionnel d’un passeport temporaire, pour satisfaire aussi bien les
demandeurs confrontĂ©s Ă  une situation relevant de l’urgence, que les personnes
ou les agents civils et militaires nĂ©cessitant d’ĂȘtre mis en possession d’un
titre de voyage dépourvu de composant électronique.

Compte tenu de la spécificité attachée à ce passeport, la Commission estime
que son processus de dĂ©livrance ne devrait pas obĂ©ir aux mĂȘmes rĂšgles que
celles en vigueur pour le passeport, le passeport de service ou le passeport
de mission.

A cet Ă©gard, il convient de relever qu’il ne peut ĂȘtre dĂ©livrĂ© que dans des
cas relevant de situations d’urgence ou se caractĂ©risant par la recherche par
son titulaire d’une relative discrĂ©tion, qu’il n’a pas vocation Ă  ĂȘtre
renouvelĂ© et qu’il ne comporte pas de composant Ă©lectronique et partant, ne
contient pas de données biométriques.

Aussi, tout en prenant acte de ce que le ministĂšre de l’intĂ©rieur, de
l’outre-mer et des collectivitĂ©s territoriales envisage de ramener Ă  six ans
la durĂ©e de conservation des donnĂ©es collectĂ©es Ă  l’occasion de la dĂ©livrance
d’un passeport temporaire, la Commission considùre qu’il paraüt peu pertinent
de procéder au recueil des empreintes digitales du demandeur, à leur
conservation ainsi qu’à celle de l’image numĂ©risĂ©e de son visage en base
centrale.

Sur la situation des mineurs.

DĂšs lors que le passeport est dĂ©livrĂ© sans condition d’ñge, la procĂ©dure de
dĂ©livrance applicable aux mineurs doit faire l’objet d’une attention toute
particuliĂšre.

Dans ces conditions, la Commission tient à rappeler que l’ñge à partir duquel
les empreintes sont relevĂ©es n’est pas seulement un Ă©lĂ©ment technique mais une
question de principe méritant un large débat voire un amendement à la
convention sur les droits de l’enfant et que pour prĂ©server la dignitĂ© de la
personne et pour garantir la fiabilité de la procédure, la collecte et le
traitement des empreintes digitales doivent ĂȘtre limitĂ©s pour les enfants.

Sur les sécurités

Il est prĂ©vu que l’accĂšs aux donnĂ©es stockĂ©es dans le composant Ă©lectronique
soit contrĂŽlĂ© en utilisant des mĂ©canismes, qui en l’état actuel de la
technique, paraissant de nature Ă  garantir un niveau suffisant de protection
du composant Ă©lectronique. L’accĂšs aux empreintes digitales n’est possible
qu’aprùs authentification mutuelle entre le lecteur et le composant. Le
composant intĂšgre Ă©galement des dispositifs de protection contre la
duplication et la falsification. D’autres dispositifs de protection
Ă©lectromagnĂ©tique du titre pourraient Ă  terme ĂȘtre inclus dans le passeport.
NĂ©anmoins, ces dispositifs et leur Ă©ventuelle mise en Ɠuvre sont actuellement
en cours d’étude.

Par consĂ©quent, la Commission souhaite ĂȘtre rendue destinataire des Ă©lĂ©ments
relatifs aux mesures qui seront finalement retenues.

Sur l’information des personnes.

L’article 25 du dĂ©cret n°2005-1726 du 30 dĂ©cembre 2005 prĂ©voit que la remise
du passeport s’accompagne de la copie sur papier des donnĂ©es nominatives
enregistrées dans le composant électronique.

Enfin, la Commission prend acte de ce qu’une notice d’information sur la
nature des données à caractÚre personnel enregistrées dans le systÚme de
traitement central sera remise au demandeur du passeport.

Le prĂ©sident,  Alex TĂŒrk

DerniĂšre modification : 07/05/08



_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l
Permalink | Reply |

Gmane