headers
Bb! | 18 Nov 08:51
Favicon

[actus_l] Passeport biométrique : IRIS et la LDH demandent au Conseil d État d annuler le décret

http://www.iris.sgdg.org/info-debat/comm-passeport0708.html

Passeport biométrique : IRIS et la LDH demandent au Conseil d'État d'annuler
le décret Communiqué commun d'IRIS et de la LDH - 4 juillet 2008

IRIS et la LDH demandent au Conseil d'État d'annuler le décret de création du
passeport biométrique.

Ce décret, dont les associations estiment qu'il a été pris selon une procédure
irrégulière, prévoit d'une part la collecte de huit empreintes digitales des
demandeurs de passeports, y compris les enfants dès l'âge de 6 ans, et d'autre
part la création d'une base de données biométrique centralisée pour la
conservation et le traitement de l'ensemble des données recueillies.

IRIS et la LDH considèrent que la nature, la quantité et la durée de
conservation de ces données présentent un caractère disproportionné au regard
des finalités du décret, violant ainsi le droit interne, le droit
international et le droit communautaire relatifs à la protection des personnes
à l'égard du traitement des données à caractère personnel, ainsi que le droit
international relatif à la protection des enfants.

Pour les deux associations, ces mesures poursuivent des finalités bien plus
larges que celles annoncées dans le décret contesté. Il s'agit en effet de
contraindre par avance le débat parlementaire sur le projet de carte
d'identité biométrique, alors qu'un tel projet met en cause une société dans
laquelle l'identité reste fondée sur un principe déclaratif, au profit d'une
conception de l'identité imprimée dans l'intimité biologique, comme l'avait
déjà dénoncé le collectif contre le projet INES de carte d'identité
biométrique, dont IRIS et la LDH sont membres fondateurs.

Si le décret n'était pas annulé, le gouvernement pourrait empêcher, au
prétexte de simplifier et rationaliser techniquement la délivrance des titres
d'identité et de voyage, tout débat démocratique sur ce qui ne constitue rien
moins qu'une rupture du contrat social entre le citoyen et l'État. Pour plus
de détails, voir :
- Le texte du recours en annulation déposé le 4 juillet 2008
http://www.ines.sgdg.org/article.php3?id_article=110 (PDF)
- Le site du collectif contre le projet INES
http://www.ines.sgdg.org

Contacts :
- LDH (Ligue des droits de l'homme) - www.ldh-france.org
Virginie Peron, communication@..., tel: 01.56.55.51.07
- IRIS (Imaginons un réseau Internet solidaire) - www.iris.sgdg.org
Meryem Marzouki, iris-contact@..., tel: 01.44.74.92.39

http://www.ines.sgdg.org/article.php3?id_article=120

IRIS et LDH - Mémoire en réplique aux observations du ministère de l’Intérieur
(recours passeport biométrique)

jeudi 6 novembre 2008, par IRIS, LDH
Ce mémoire répond aux observations du ministère de l’Intérieur formulées le 6
octobre 2008 à la suite du recours formé par IRIS et la LDH le 4 juillet 2008.
Dans cette réplique, les associations maintiennent l’ensemble de leurs
arguments. En particulier, elles font valoir qu’il y a bien eu violation de la
procédure d’avis prévue à l’article 26 de la loi Informatique et liberté,
s’agissant de la création de la base centralisée "TES" contenant des données
biométriques, dont la création poursuit également une finalité policière et
peut même constituer un fichier de renseignement. Le décret attaqué autorise
en effet les services en charge de la lutte contre le terrorisme à accéder à
la base "TES". IRIS et la LDH réaffirment également la violation du principe
de proportionnalité résultant de la création de cette base centralisée ainsi
que de la collecte et du traitement de 8 empreintes digitales, y compris celle
des enfants dès l’âge de 6 ans, alors que le Règlement européen ne l’impose
aucunement.

Texte intégral du mémoire en réplique (également disponible en PDF)

À Monsieur le Président
de la Section du contentieux
du Conseil d’État
Place du Palais Royal
75100 Paris 01 SP

Paris, le 5 novembre 2008

Objet : Requête n° 318013 déposée conjointement par Iris et la Ligue des
droits de l’Homme (LDH) qui ont désigné comme mandataire unique la Ligue des
droits de l’Homme représentés par son président et tendant à l’annulation du
décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30
décembre 2005 relatif aux passeports électroniques (NOR : IOCD0807352D, JO du
4 mai 2008)

Affaire suivie par Mme Tardy (secrétaire de la 10e sous-section)
MEMOIRE EN REPLIQUE

Monsieur le Président,

Vous avez bien voulu nous communiquer les observations du ministre de
l’Intérieur concernant la requête commune déposée par IRIS et la LDH contre le
décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30
décembre 2005 relatif aux passeports électroniques.

Ce mémoire en défense nous conduit à faire les observations suivantes.

I. Sur la publication tardive de l’avis de la CNIL

Dans son mémoire, le ministère soutient que le retard de publication de l’avis
de la CNIL n’a "aucune influence sur la légalité du décret attaqué".

Il s’appuie pour cela sur l’arrêt Lambert rendu par le Conseil d’État en 1989
selon lequel "la circonstance qu’un acte administratif n’ait pas été publié ou
ait été publié avec retard reste sans influence sur sa légalité même (CE.
Sect. 31 mars 1989, Lambert, p. 110, n°71747, s’agissant d’un arrêté de
placement d’office)" (Mémoire du 6 octobre 2007, p. 3).

Sur ce point, le Conseil ne manquera pas de constater tout d’abord que la
présente requête porte sur une réglementation d’application beaucoup plus
large que celle du placement d’office. Elle ne concerne rien de moins que
l’ensemble de la population française titulaire d’un passeport. Il en résulte
que le respect dans ce domaine des règles de formalisme doit être d’autant
plus strict que ces règles sont la garantie d’une protection efficace des
libertés fondamentales.

La jurisprudence Lambert, dont le ministère omet d’ailleurs de rappeler la
seconde partie de phrase du considérant, ne fait rien d’autre qu’appliquer ce
principe. Dans sa décision, le Conseil d’État a en effet considéré que ledit
retard est "sans influence sur la légalité de l’arrêté préfectoral contesté
dès lors que la mesure d’urgence que peut prendre le maire (arrêté du maire)
ne constitue pas un préalable nécessaire " à l’acte administratif (PIECE N°1).

Or, et c’est le deuxième point, le Conseil d’État pourra relever que, d’après
le ministère lui-même, "il est exact" que ce préalable n’a pas été rempli en
l’espèce. Rappelons en effet que "l’avis de la CNIL, en date du 11 décembre
2007, a été publié au Journal Officiel du 10 mai 2008, soit six jours après la
publication du décret le 4 mai 2008 " (Mémoire du 6 octobre 2007, p. 3).

Il s’y ajoute, enfin, le fait que ce préalable était bel et bien nécessaire.
On en veut pour preuve :
-  les dispositions de l’article 26-II de la loi Informatique & libertés -
applicables en l’espèce - selon lesquelles tout avis de la CNIL pris sur le
fondement de l’article 27 " est publié avec le décret autorisant le traitement
" ;
-  précisées par celles plus explicites encore de son décret d’application
ajoutant que "les actes sur lesquels ils portent sont publiés à la même date
" ;
-  cette obligation reposant elle-même sur "le responsable du traitement", à
savoir, dans le cas du décret du 30 avril 2008, le ministère.

Il en résulte que l’avis de la CNIL et le décret contesté auraient dû être
publiés simultanément.

Le respect de cette obligation, comme l’a relevé la CNIL elle-même dans son
avis du 26 septembre 2000, constitue en effet un préalable nécessaire dans la
mesure où il permet d’ "assurer le maintien d’un haut niveau de garantie et en
tout état de cause, à préserver la portée qui doit s’attacher aux
interventions d’une autorité administrative indépendante à l’égard de
traitements particulièrement sensibles" (PIECE N°2).

Le Conseil voudra bien en déduire que le décret contesté doit être annulé pour
publication tardive de l’avis de la CNIL en date du 11 décembre 2007.

II. Sur la violation de la procédure d’avis prévue à l’article 26 de la loi
Informatique & libertés

Dans ses dernières écritures, le ministère soutient également que "le
traitement automatisé des demandes de passeports sécurisés répond très
exactement aux dispositions (...) de l’article 27 puisqu’il s’agit d’un
traitement portant sur des données biométriques (photographie du visage et
prise des empreintes digitales du demandeur) à des fins d’authentification des
titulaires des titres et aucunement d’un traitement à finalité policière,
qu’il s’agisse d’un fichier de police judiciaire ou d’un fichier de
renseignement" (Mémoire du 6 octobre 2007, p. 3).

Il en conclut que l’argumentation des requérants est non-fondée et que le
décret contesté n’avait pas à faire l’objet de la procédure d’avis prévue à
l’article 26 de la loi Informatique & libertés. Or, le ministère commet à cet
égard une confusion qui vient semer un trouble inutile dans le débat.

Les requérants ne contestent pas l’application de la procédure prévue à
l’article 27 de la loi du 6 janvier 1978 à certaines dispositions du décret du
30 avril 2008. Comme ils l’ont dit pourtant de manière claire dans le mémoire
introductif d’instance (p. 9), ils la contestent seulement s’agissant de la
création de la base centralisée dénommée "TES".

Rappelons en effet que les dispositions de l’article 27-I, 2° de la loi
Informatique & libertés prévoient que "sont autorisés par décret en Conseil
d’État, pris après avis motivé et publié de la Commission nationale de
l’informatique et des libertés (...) les traitements de données à caractère
personnel mis en œuvre pour le compte de l’État qui portent sur des données
biométriques nécessaires " :
-  à "l’authentification" ; ou
-  au "contrôle de l’identité des personnes".

Si, en l’espèce, certaines dispositions du décret contesté ont effectivement
comme unique finalité l’authentification ou le contrôle de l’identité des
personnes, tel n’est pas le seul objet de la création de la base centralisée
"TES".

La simple lecture de l’article 18 du décret du 30 décembre 2005, tel qu’inséré
par l’article 7 du décret du 30 avril 2008, suffit à le relever. Ces
dispositions prévoient en effet que le ministère est autorisé à procéder à la
création du système TES :
-  certes, "afin de mettre en œuvre les procédures d’établissement, de
délivrance, de renouvellement et de retrait des passeports", ce qui correspond
effectivement à une mission d’authentification ou de contrôle de l’identité ;
-  mais aussi et surtout "à prévenir et détecter leur falsification et leur
contrefaçon".

L’apparition de nouvelles finalités au traitement prévue par le règlement
communautaire n°2252/2004 n’a d’ailleurs pas seulement été constatée par les
requérants. Le Contrôleur européen de la protection des données l’a lui même
relevé dans son avis qu’il a été contraint de délivrer de sa propre initiative
le 26 mars 2008, la Commission européenne n’ayant pas respecté l’obligation
qui lui était faite de le saisir conformément à l’article 28, paragraphe 2 du
règlement communautaire n°45/2001.

Selon ses propres termes, "bien qu’il soit possible aux États membres de
n’utiliser la base de données centralisée qu’à des fins de vérification des
données biométriques, conformément aux strictes limites imposées par le
règlement, cette possibilité présente des risques supplémentaires à l’égard de
la protection des données à caractère personnel, comme l’apparition d’autres
finalités non prévues par le règlement, voire la pratique d’une pêche aux
informations dans la base de données, qu’il sera difficile de modérer " (PIECE
N°3).

Or, lorsqu’un traitement public poursuit une finalité de prévention et de
détection de la falsification et de la contrefaçon des passeports, il dépasse
de loin celles de simple "authentification ou de contrôle de l’identité des
personnes", telles qu’expressément visées par l’article 27 de la loi du 6
janvier 1978.

La falsification ou la contrefaçon d’un passeport est en effet une infraction
prévue par les articles 441-2 et suivants du code pénal.

Il en résulte que la base "TES" poursuit alors, contrairement à ce que prétend
le ministère (Mémoire du 6 octobre, p. 3), également une finalité "policière"
et peut même constituer un "fichier de renseignement".

On en veut pour preuve l’article 21-1 du décret du 30 décembre 2005, tel
qu’inséré par celui du 30 avril 2008. Ces dispositions autorisent en effet les
services en charge de la lutte contre le terrorisme à accéder à la base "TES".

Et pour quelle raison avoir autorisé des services de renseignement - ne
disposant d’ailleurs pas de compétences en matière de délivrance de passeports
- à accéder à cette base centralisée, sinon pour leur permettre d’accomplir
leurs missions de prévention, de recherche, de constatation ou de poursuite
d’infractions pénales d’une particulière gravité ?

Or, la procédure applicable en cas de traitements publics poursuivant une
telle finalité n’est pas celle de l’article 27, mais bien celle de l’article
26 de la loi Informatique & libertés. Cette différence des procédures (article
26 ou article 27) résultant elle-même d’une différence des finalités
poursuivies par le décret attaqué (d’un côté authentification ou contrôle de
l’identité et, de l’autre, prévention et détection de la falsification ou de
la contrefaçon de documents officiels) n’est pas sans conséquence d’un point
de vue juridique.

Elle impose en effet que chacune de ces finalités aurait dû faire l’objet de
deux actes réglementaires distincts. C’est la condition indispensable pour
éviter une interconnexion de fichiers ayant des intérêts publics différents et
devant, dans ce cas, être soumise non à une simple procédure d’avis de la
CNIL, mais à une autorisation expresse de cette dernière, conformément à
l’article 25 de la loi Informatique & libertés.

Il en résulte que le ministère ne peut prétendre que la procédure de l’article
27 qu’il a suivie serait plus protectrice que celle de l’article 26 de la loi
du 6 janvier 1978.

De toute évidence, ces dernières dispositions prévoient qu’un traitement qui
intéresse la sûreté de l’État, la défense ou la sécurité publique ou qui a
pour objet la prévention, la recherche, la constatation ou la poursuite
d’infractions pénales doit être autorisé par décret en Conseil d’État,
lorsqu’il prévoit, comme en l’espèce, la collecte - par l’intermédiaire de
l’image numérisée du visage - de données sensibles faisant même indirectement
apparaître les origines raciales ou ethniques (Rapport "Mesure de la diversité
et protection des données personnelles" du 25 mai 2007 présenté à la CNIL).

Le Conseil d’État voudra bien conclure de l’ensemble de ces éléments :
-  que la finalité poursuivie par la création de la base centralisée "TES" se
distingue clairement de celles de simple authentification ou de contrôle de
l’identité au sens de l’article 27 de la loi Informatique & libertés ;
-  que, pour cette raison, elle aurait dû être autorisée au terme de la
procédure d’avis de la CNIL telle que prévue par l’article 26 de la loi du 6
janvier 1978 ; voire même ;
-  qu’en conséquence, elle aurait dû faire l’objet d’un décret strictement
séparé de ceux des 30 décembre 2005 et 30 avril 2008, sauf à procéder à une
interconnexion de fichiers ayant des intérêts publics différents violant
l’obligation d’autorisation expresse de la CNIL prévue à l’article 25-I, 5° de
la loi du 6 janvier 1978 ;
-  qu’en choisissant de ne pas appliquer ces dispositions, le Premier Ministre
a commis un détournement de procédure ou, à tout le moins, une erreur de droit
de nature à prononcer la nullité du décret contesté.

III. Sur la violation du principe de proportionnalité prévu à l’article 6, 3°
de la loi du 6 janvier 1978

Là encore, le ministère établit une confusion dans l’argumentation des
requérantes. Il soutient en effet que la création de la base centralisée "TES"
est nécessaire. Il croit d’ailleurs utile de préciser que la CNIL l’a même
jugé "légitime". À l’en croire, la Commission était donc favorable à
l’adoption du décret contesté (mémoire du 6 octobre, p. 6, paragraphes 4 et 6).

Le ministère oublie cependant de mentionner les nombreuses réserves émises par
la CNIL dans son avis du 11 décembre 2007 (PIECE N° 4 - voir également :
Communiqué de la CNIL, Passeports biométriques : la CNIL réservée sur la
création de la première base de données biométriques relatives aux citoyens
français, 5 juin 2008, www.cnil.fr).

Elle a en effet considéré que "si légitimes soient-elles, les finalités
invoquées ne justifient pas la conservation, au plan national, de données
biométriques telles que les empreintes digitales et que les traitements ainsi
mis en œuvre seraient de nature à porter une atteinte excessive à la liberté
individuelle. Et la CNIL n’est pas la seule à juger que la constitution d’une
base centralisée est de nature à porter une telle atteinte. Le Contrôleur
européen de la protection des données dans son avis du 26 mars 2008 sur la
proposition de modification du règlement communautaire a, pour sa part,
recommandé "à la Commission de proposer de nouvelles mesures d’harmonisation
afin que les données biométriques collectées pour être intégrées dans les
passeports délivrés par États membres de l’UE ne puissent être stockées que
sur un support décentralisé (sur la puce sans contact du passeport)" (PIECE
N°3).

Il rejoint en cela l’avis prononcé par le groupe de l’article 29 constitué de
l’ensemble des autorités chargées au niveau de chaque État membre de la
protection des données personnelles (Avis 3/2005, 30 septembre 2005, WP 112 -
PIECE N°5). Cette institution a en effet jugé que "la création d’une base de
données centralisée contenant les données personnelles et en particulier les
données biométriques de tous les citoyens (européens) risquerait de violer le
principe de base de proportionnalité. Toute base de données centralisée
accroîtrait les risques d’utilisation abusive et d’appropriation frauduleuse.
Elle accroîtrait également le risque d’abus et de dérapages. Enfin, elle
augmenterait également le risque d’utilisation des éléments d’identification
biométrique comme ’clés d’accès’ à diverses bases de données, et partant
d’interconnexion de fichiers".

C’est cette atteinte que les requérants contestent et non le caractère
"nécessaire" de ce traitement au sens de l’article 6, 2° de la loi du 6
janvier 1978.

Ils considèrent en effet que la création d’une base centralisée au niveau
national viole le principe de proportionnalité qui impose que tout traitement
ne doit porter que sur des données "adéquates, pertinentes et non excessives
au regard des finalités pour lesquelles elles sont collectées et pour
lesquelles elles sont traitées ultérieurement" (L. n°78-17, 6 janvier 1978,
mod., art. 6, 3° ; voir CE, 3 décembre 1999, Caisse de Crédit Mutuel de
Bain-Tresboeuf, concl. J.-D. Combrexelle).

Rappelons que ces dispositions sont considérées par le Conseil Constitutionnel
lui-même comme des garanties légales du respect du droit à la vie privée
découlant de l’article 2 de la déclaration des droits de l’Homme et du citoyen
de 1789 (Cons. const., Déc. n°2007-557 DC du 15 novembre 2007, Loi relative à
la maîtrise de l’immigration, à l’intégration et à l’asile ; Cons. const.,
Déc. n°2008-562 DC du 21 février 2008, Loi relative à la rétention de sûreté
et à la déclaration d’irresponsabilité pénale pour cause de trouble mental).

Rappelons surtout que le respect de ce principe est une condition sine qua non
de la licéité de tous traitements de données à caractère personnel, qu’ils
soient mis en œuvre par des personnes privées ou, comme en l’espèce, par une
personne publique.

Aucune dérogation à ce principe n’est en effet prévue par la loi du 6 janvier
1978, y compris s’agissant des traitements publics prévus à ses articles 26 et
27. On en veut pour preuve que l’article 29 de la loi Informatique & libertés
prévoyant des dérogations pour ces catégories de traitements se borne
seulement à indiquer la liste des mentions devant être contenues dans l’acte
autorisant un traitement de données à caractère personnel tel que le décret
attaqué.

Malgré le caractère impératif de ces dispositions au niveau national, le
Ministre tente de se soustraire à leur champ d’application au motif que les
données figurant dans la base centralisée des nouveaux passeports "restent
effectivement strictement limitées à celles qui sont nécessaires pour assurer
une identification certaine des titulaires des titres" (Mémoire du 6 octobre,
p. 5).

Il juge donc totalement proportionné la collecte de pas moins de huit
empreintes digitales sur tout demandeur de passeport dès l’âge - pourtant très
jeune - de 6 ans. D’après lui, ce choix de huit empreintes serait même établi
scientifiquement, les performances d’identification des systèmes biométriques
décroissant avec l’augmentation de la taille de la population à gérer. Il
croit utile d’ajouter que les erreurs constatables d’identification diminuent
d’un facteur cinq à chaque fois que le nombre de doigts enrôlés est doublé.

Le Conseil d’État pourra cependant relever que le ministère se borne à citer
des statistiques, sans expliciter leur provenance scientifique, ni en fournir
la preuve. À tout le moins, il n’en existe à notre connaissance aucune dont
les conclusions sont indiscutables. C’est d’ailleurs pour cette raison que le
Contrôleur européen de protection des données relève que la Commission n’a
réalisé aucune analyse d’impact et que les projets pilotes, en tant que tels,
fournissent un volume d’informations insuffisant.

En l’absence de tels éléments, force est de constater que la création d’une
base centralisée comme TES ne suffit pas en-elle même à assurer une
"identification certaine des titulaires des titres" selon l’expression du
ministère, surtout si - comme le relève la CNIL dans son avis - "aucune mesure
particulière n’est prévue, parallèlement à la conservation de données
biométriques, pour s’assurer de l’authenticité des pièces justificatives
fournies à l’appui des demandes" (PIECE N°4). Ce faisant, elle en conclut que
la base centralisée TES, là encore contrairement aux affirmations du
ministère, "ne paraît pas constituer en l’état, un outil décisif de lutte
contre la fraude documentaire".

La Commission rejoint en cela l’analyse du Conseil Constitutionnel à propos de
l’utilisation de tests ADN en matière de regroupement familial. À l’occasion
de l’examen de la loi relative à la maîtrise de l’immigration, à l’intégration
et à l’asile, il a en effet émis une réserve d’interprétation selon laquelle
l’application d’un nouveau dispositif "ne saurait avoir pour effet de
dispenser les autorités (...) de vérifier, au cas par cas, (...) la validité
et l’authenticité des actes de l’état civil" ; ce n’est que, sous cette
réserve qu’il considère que l’application d’un tel dispositif ne porte pas
atteinte ni directement ni indirectement à un droit fondamental, en l’espèce
celui de mener une vie familiale normale (Cons. const., 15 nov. 2007, Déc.
n°2007-557 DC).

Appliqué à notre cas, ce principe permet d’en déduire que la création d’une
base centralisée de données comportant des informations biométriques, sans que
ne soit systématiquement vérifié l’authenticité des pièces justificatives à
l’appui de la demande de passeport, est de nature à porter, même
indirectement, atteinte au droit fondamental à la protection contre les
fichiers nominatifs informatisés (CE, Ass., 18 février 1976, Deberon, JCP
1976, n°18383, concl. Guillaume ; Cons. const., 23 juill. 1999, Déc. n° 99-416
DC - 9 nov. 1999, Déc. n° 99-419 DC).

Dans ce contexte, le ministère croit utile de s’appuyer sur l’obligation
prévue par le règlement communautaire n°2252/2004 de collecter les empreintes
digitales. Son examen révèle cependant que le règlement dont le décret
contesté est une mesure d’application au niveau national n’impose nullement
aux États membres, dont la France, de collecter huit empreintes digitales. Il
n’en impose que deux.

On comprend donc mal comment le ministère persiste à prétendre que la collecte
de huit empreintes digitales, au lieu de deux, est proportionnée au sens de la
loi Informatique & libertés. Tout au plus, peut-il dire que d’autres États
membres l’ont choisi. Mais cette circonstance ne peut présumer à elle seule de
la légalité au regard du droit français de la collecte de huit empreintes
digitales de tout demandeur de passeport et de leur centralisation au sein de
la base de données "TES".

Une telle collecte et une telle centralisation s’avèrent même plus que
disproportionnées lorsqu’elles concernent les mineurs. Il est d’ailleurs
surprenant, qu’en l’absence de disposition expresse du règlement communautaire
2252/2004, les autorités françaises aient jugé indispensable de fixer la
limite d’âge à partir de laquelle doivent collecter les empreintes digitales à
6 ans. Ceci l’est d’autant plus si l’on relève :
-  que la proposition de modification de ce règlement adoptée le 18 octobre
2007, soit près de 6 mois avant la publication du décret contesté, juge que
cette question est trop importante "pour être laissée à la discrétion du
législateur national " (PIECE N°6) ;
-  et que c’est même pour cette raison que les autorités communautaires ont
fondé leur compétence, pour définir les dérogations à l’obligation de donner
ses empreintes digitales.

En l’espèce, les autorités communautaires n’ont fait qu’appliquer le principe
de subsidiarité énoncé à l’article 5, deuxième alinéa du Traité CE aux termes
duquel "dans les domaines qui ne relèvent pas de sa compétence exclusive, la
Communauté n’intervient, conformément au principe de subsidiarité, que si et
dans la mesure où les objectifs de l’action envisagée ne peuvent pas être
réalisés de manière suffisante par les États membres et peuvent donc, en
raison des dimensions ou des effets de l’action envisagée, être mieux réalisés
au niveau communautaire" (CJCE, British American Tobacco, C-491/01, 10
décembre 2002, Recueil 2002, p.I-11453).

On ne peut donc que constater qu’à la date du 30 avril 2008, les autorités
françaises n’avaient pas pleine et entière compétence pour imposer par décret
aux mineurs âgés de plus de 6 ans la collecte de leurs empreintes digitales.

Elles ne pouvaient pas non plus le faire par anticipation, les dispositions
communautaires n’ayant pas encore été adoptées définitivement. Car si la
proposition de modification du règlement communautaire n°2252/2004 envisage de
fixer également cette obligation dès l’âge de 6 ans, ce seuil fait encore
largement débat.

De toute évidence, comme le note le Contrôleur européen dans son avis à
l’occasion de la proposition de modification du règlement, "ni la littérature
scientifique disponible, ni l’analyse d’impact précédemment menée par la
Commission dans le cadre de la proposition relative au système d’information
sur les visas n’ont présenté de preuves concluantes sur lesquelles fonder avec
certitude un âge limite pour les enfants" (PIECE N°3).

Ce faisant, la France prend donc le risque d’adopter une disposition nationale
susceptible d’être contraire à un objectif communautaire ; hypothèse qui,
rappelons-le est sanctionnée par le Conseil d’État (CE. 24 septembre 1990,
Boisdet, n°58657 ; CE. Sect. 3 décembre 1999, Association ornithologique et
mammalogique de Saône-et-Loire et Rassemblement des opposants à la chasse,
n°164789 et 165122 ; CE. Sect. 3 décembre 1999 Association ornithologique et
mammalogique de Saône-et-Loire et France nature environnement, n°199622 et
200124).

Et ce risque est loin d’être hypothétique, le Parlement européen pouvant
notamment décider de suivre l’analyse du Contrôleur européen de protection des
données, recommandant qu’en raison des études peu concluantes la collecte
d’empreintes d’enfants de 6 ans ne devrait être que temporaire. Il préconise
même de relever la limite d’âge à 14 ans, en se fondant sur la réglementation
relative aux demandeurs d’asile (règlement n°2725/2000 du 11 décembre 2000)
ainsi que sur le programme "US Visit".

En prévoyant la collecte d’empreintes d’enfants dès l’âge de six ans, le
ministère a en réalité commis une erreur d’appréciation, susceptible de placer
le décret contesté en contradiction avec les objectifs poursuivis par la
réglementation communautaire en cours de discussion.

EN CONCLUSION :

Les associations requérantes réitèrent donc leur demande d’annulation du
décret n° 2008-426 du 30 avril 2008portant création d’un traitement automatisé
de données à caractère personnel relatives aux étrangers faisant l’objet d’une
mesure d’éloignement et modifiant la partie réglementaire du code de l’entrée
et du séjour des étrangers et du droit d’asile.

Pour les associations requérantes,

Jean-Pierre Dubois
Président de la Ligue des droits de l’Homme

LISTE DES PIÈCES JOINTES

Pièce n° 1 : Arrêt du Conseil d’État, 31 mars 1989, Lambert, Recueil p. 110.

Pièce n° 2 : Avis de la CNIL du 26 septembre 2000 sur le projet de loi
modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et
aux libertés.

Pièce n° 3  : Avis du Contrôleur européen de la protection des données du 26
mars 2008 sur la proposition de règlement modifiant le règlement n°2252/2004.

Pièce n° 4 : Délibération n°2007-368 de la CNIL du 11 décembre 2007 portant
avis sur un projet de décret en Conseil d’État modifiant le décret n°2005-1726
du 30 décembre 2005 relatif aux passeports électroniques.

Pièce n° 5 : Avis du groupe de travail sur la protection des données de
l’article 29 du 30 septembre 2005 sur l’application du règlement n°2252/2004
du Conseil.

Pièce n° 6 : Proposition de règlement du 18 octobre 2007 modifiant le
règlement n°2252/2004 du Conseil présentée par la Commission européenne.


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l
Permalink | Reply |

Gmane