Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Contrats   Conférences et colloques   Consommateurs   Contenu illicite   Lettre du Cejem   Régulation   Noms de domaine   Brevet   Marques   Bases de données   Signes distinctifs   Professions   Vie privée   Droit d’auteur   Au jour le jour  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Le projet de carte nationale d’identité électronique

Une exigence internationale et communautaire

Mots-clefs :

par Kevin kheyari, le vendredi 5 mai 2006

Suite aux attentats terroristes du 11 septembre 2001 les autorités américaines ont exercé une pression internationale extrêmement forte en matière de sécurisation des procédés d’identification des personnes [1] exigeant notamment des ressortissants européens, désirant se rendre sans visa sur le sol américain, de disposer d’un passeport biométrique suffisamment sécurisé. L’Union européenne a ainsi adopté le 13 décembre 2004 un règlement imposant aux Etats membres l’établissement d’un passeport européen biométrique intégrant dans un premier temps une photographie numérisée puis dans un second temps des empreintes digitales numérisées [2]. Souhaitant dépasser les exigences européennes la France a mis en œuvre un projet global (le programme INES : Identité Nationale Electronique Sécurisée ) visant non seulement la création d’un passeport européen biométrique [3] mais également la création d’une carte nationale d’identité électronique [4] remplaçant l’actuelle carte d’identité. Ce futur titre d’identité devrait être infalsifiable (I) et multifonction (II).

I/ Une carte d’identité électronique « sécurisée »

La carte d’identité électronique sera équipée d’une puce électronique lisible sans contact (B) contenant des éléments d’identification biométriques personnels (A) stockés dans des fichiers centraux (C).

A/ Une identification biométrique

L’identification actuelle d’une personne au moyen de données relatives à l’état civil contenu dans sa carte d’identité ne permet pas, selon les autorités publiques, de lutter efficacement contre l’usurpation croissante d’identité. Afin de rendre ces titres d’identité infalsifiables le gouvernement souhaite utiliser la technologique biométrique [5]. Autrement dit, créer une carte d’identité contenant des données biométriques permettant l’identification de chaque individu à partir de caractéristiques physiques du corps humain : des empreintes digitales et une photographie numérisées censées être uniques, universelles, permanentes, mesurables, et inaltérables [6].

Ce procédé soulève, néanmoins, de nombreuses questions :
-  A l’heure actuelle le système biométrique est-il techniquement mature, performant et suffisamment fiable [7] ? Quel est son niveau de sécurité ? Quelle est sa marge d’erreur réelle ?
-  Peut-on « révoquer », en cas d’erreur ou d’usurpation, un identifiant biométrique comme l’empreinte digitale [8] et surtout comment ?
-  N’est-il pas simplement possible de contourner cette technologie en obtenant de vrais titres d’identité au moyen de fausses pièces justificatives ?

B/ Une puce électronique lisible sans contact

Le programme INES précise que les données biométriques devront figurer sur la future carte d’identité dans une puce électronique lisible sans contact grâce à l’usage de la technologie d’identification fondée sur les radiofréquences (RFID). Le risque éventuel serait de porter atteinte au respect de la vie privée du porteur de la carte par une lecture à distance de telles données permettant l’identification et la géolocalisation (« traçabilité ») du titulaire à son insu. En conséquence, il semblerait que le ministère de l’Intérieur souhaite aujourd’hui une version remaniée du projet initial de carte d’identité électronique sécurisée [9]. Cette carte comportera, désormais, deux volets distincts :
-  Le premier volet, qualifié de « régalien », comportera les éléments d’identité de la personne (données inscrites sur les cartes actuelles plus les données biométriques) et permettra une lecture sans contact de très courte portée (moins d’un centimètre), en principe.
-  Le second volet dit de « services » permettra d’accéder à des services électroniques publics et privés et sera muni d’un code secret avec contact (lisible au moyen d’un lecteur de cartes externe).

C/ La centralisation des données biométriques

Afin de lutter plus efficacement contre la fraude à l’identité le gouvernement souhaite stocker les données biométriques (photographie et empreintes digitales) dans des fichiers centraux (bases de données) offrant ainsi la possibilité de remonter d’une empreinte digitale anonyme vers l’identité de son « propriétaire » et d’empêcher de la sorte qu’une même personne puisse disposer de plusieurs identités. Si l’accès à ces fichiers nécessitera, semble t-il, une autorisation judiciaire et pourra être « tracé » (repérage automatique de l’agent habilité qui aura consulté le dossier), il n’est rien dit quant aux droits du titulaire de la carte sur le contenu de ces fichiers (un droit d’accès direct aux fichiers ? Un droit de rectifier le contenu des fichiers ? Le droit d’être informé de toute consultation des fichiers par une tierce personne ? Le droit de refuser l’accès du contenu à certaine personne ? Le droit de vérifier l’usage des données des fichiers ?...).Rien n’est dit non plus sur les droits des « services publics de sécurité » habilités à consulter les données conservées dans ces fichiers (qui sont ils ? Pour quel(s) motif(s) et par quel(s) moyen(s) ont-ils accès à ces données ?). Enfin, le fonctionnement de ce système de centralisation des données biométriques sera contrôlé par une autorité indépendante qui pourrait être la CNIL (la Commission nationale de l’informatique et des libertés) [10].

II/ Une carte multifonction

Les informations contenues dans la carte d’identité électronique seront divisées en cinq blocs distincts, étanches et sécurisés (par le moyen de la cryptographie) :
-  Le bloc « identité » contenant les informations imprimées sur la carte ainsi que les données biométriques permettra le contrôle d’identité du porteur.
-  Le bloc « authentification de la carte » (activé par un code PIN secret) permettra de prouver automatiquement l’authenticité de la carte.
-  Le bloc « identification certifiée » du titulaire de la carte permettra de prouver électroniquement son identité et d’accéder ainsi à des téléprocédures publiques et privées.
-  Le bloc « signature électronique » (activé par un code PIN secret) permettra de signer électroniquement des documents authentiques soit à l’intention d’une e-administration soit pour toute transaction électronique privée.
-  Le bloc « portfolio personnel » permettra au titulaire, s’il le souhaite, de stocker, à titre personnel, des informations complémentaires dans la carte. Ainsi, ce titre d’identité électronique permettra à travers une identification renforcée de son titulaire (A) d’avoir accès sur un même support à des usages privés (B) et à des usages administratifs (C).

A/ Renforcer la sécurisation des titres d’identité

Comme nous avons pu le voir précédemment, l’objectif principal du projet gouvernemental est de sécuriser les titres d’identité au moyen d’identifiants biométriques intégrés dans une puce électronique stockés dans des fichiers centraux. Juridiquement il s’agit d’un traitement automatisé de données à caractère personnel devant respecter les conditions posées par l’article 6 de la loi dite « Informatique et libertés » du 6 janvier 1978 [11]. Ainsi, selon le principe de finalité [12] les données à caractère personnel [13] (les empreintes digitales) doivent être enregistrées dans une base de données (fichier central) pour une fonction déterminée et explicite (l’identification du citoyen). Or, la conséquence pourrait être le détournement de cette finalité par l’utilisation de ces fichiers centraux à des fins policières par le fait, notamment, d’interconnexions possibles avec des fichiers de police déjà existants [14]. D’autre part, les données à caractère personnel ainsi collectées doivent être adéquates, pertinentes et non excessives au regard de cette finalité [15]. Autrement dit, doit être respecté le principe de proportionnalité entre les moyens technologiques employés et l’objectif poursuivi (la sécurisation des titres d’identité). A cet égard, la création d’un fichier central d’empreintes digitales ne semble pas respecter ce principe. En effet, aucune étude française officielle n’évalue précisément l’ampleur de la fraude à l’identité contre laquelle doit lutter le projet de carte d’identité électronique sécurisée [16]. De plus, comme nous l’avons signalé ci-dessus, non seulement la biométrie n’offrirait pas une sécurité technique sans faille mais il serait, en outre, possible d’en empêcher toute efficacité par l’utilisation en amont de faux documents justificatifs. Enfin, on peut se demander quel est l’intérêt de constituer des fichiers centraux destinés à améliorer l’efficacité des contrôles d’identité dès lors que la carte d’identité électronique est dite « infalsifiable ».

B/ Sécuriser les transactions électroniques privées

La conception multifonction de la future carte d’identité permettra également au citoyen d’effectuer des prestations électroniques privées en lui donnant les moyens de prouver son identité sur l’Internet (le bloc « identification certifiée ») et de signer électroniquement ses transactions (le bloc « signature électronique »). L’identification certifiée du porteur de la carte et la signature électronique seront réalisées par le recours à des certificats électroniques, émis par l’Etat, garantissant l’identité du titulaire de la carte et permettant ainsi de sécuriser les transactions commerciales en ligne. On peut, néanmoins, se demander quelle sera la responsabilité de l’Etat en cas de défaut de fiabilité des certificats qu’il émet dans une transaction électronique privée contractualisée entre un citoyen et un acteur privé. En outre, il est envisagé, toujours afin de faciliter les transactions électroniques, de permettre au titulaire, s’il le souhaite, de stocker des informations complémentaires dans le bloc « portfolio personnel » de la carte d’identité (par exemple stocker de manière « exportable » un numéro de compte en banque). Le risque éventuel est d’assister à l’obtention de ces données par un opérateur privé pour la constitution de fichiers privés pouvant être, notamment, croisés avec d’autres informations relatives aux comportements de consommation du porteur de la carte d’identité. Enfin, la circulation de toutes ces informations sur l’Internet (réseau ouvert) laisse subsister un doute réel sur le maintien de leur confidentialité.

C/ Développer l’administration électronique

Le projet de création d’une carte nationale d’identité électronique s’intègre dans le développement de l’administration électronique avec le programme ADELE 2004 [17]. La future carte d’identité permettra, aussi, d’accéder à des téléprocédures publiques et de simplifier ainsi les démarches administratives.

CONCLUSION : DU PROGRAMME AU PROJET DE LOI

Contrairement à ce qui avait été envisagé initialement dans le programme INES, la carte d’identité électronique ne sera pas obligatoire mais restera payante. Un projet de loi devrait être discuté devant le Parlement dès le mois de juin 2006 mais auparavant la CNIL devra être consultée pour avis simplement consultatif [18].

Notes

[1] La recommandation très influente de l’OACI (organisation de l’aviation civile internationale) du 21 mai 2004 vise l’intégration dans les documents de voyage d’éléments d’information biométriques du voyageur (www.icao.int). Les Etats-Unis imposent, depuis le 19 novembre 2001, aux compagnies aériennes opérant des vols à destination du territoire américain le transfert des données de leurs passagers aux autorités américaines (la loi « Aviation and Transportation Security Act ») et exigent, depuis le 26 octobre 2005, la présentation d’un passeport électronique pour pénétrer sur leur territoire ou, à défaut, un passeport à lecture optique délivré avant cette date.

[2] Le règlement européen du 13 décembre 2004 prévoit qu’à compter du 28 août 2006 tous les passeports délivrés au sein de l’Union européenne devront comporter une puce électronique contenant des données à caractère personnel et la photographie faciale du titulaire (www.europa.eu.int). Le groupe des autorités européennes de protection des données (groupe 29) a rendu, le 30 septembre 2005, un avis nuancé sur l’application de ce règlement. (www.europa.eu.int).

[3] Un contentieux juridique, tenant au champ d’application du monopole de réalisation des passeports électroniques, entre le ministère de l’Intérieur et l’Imprimerie nationale retarde actuellement la fabrication du passeport biométrique français lequel devrait commencer à être délivré à partir du 13 avril 2006 (Le Monde du 13 avril 2006). A défaut, les français titulaires d’un passeport émis après le 26 octobre 2005 et désirant se rendre aux Etats-Unis devront se munir d’un visa (Le Monde du 21 avril 2006).

[4] Le programme INES : www.foruminternet.org. Le ministère de l’Intérieur a confié depuis le mois de février 2005 au Forum des droits sur l’Internet l’organisation d’un débat national sur la création d’une future carte d’identité électronique. Un rapport de synthèse critique a été remis, le 16 juin 2005, au gouvernement (www.foruminternet.org). Le ministère de l’Intérieur a confié depuis le mois de février 2005 au Forum des droits sur l’Internet l’organisation d’un débat national sur la création d’une future carte d’identité électronique. Un rapport de synthèse critique a été remis, le 16 juin 2005, au gouvernement (www.foruminternet.org).

[5] Le gouvernement justifie ce choix par des raisons économiques et pratiques : la carte s’userait moins et serait d’utilisation plus rapide et plus simple.

[6] L’exposition interactive « Biométrie : le corps identité » jusqu’au 5 novembre 2006 à la Cité des sciences (www.cité-sciences.fr).

[7] La Commission européenne a ouvert, depuis septembre 2005, un portail de réflexion sur l’usage de la biométrie (www.europeanbiometrics.info).La 27ème Conférence internationale des Commissaires à la protection des données et à la vie privée du 16 septembre 2005 a adopté une résolution sur l’utilisation de la biométrie dans les titres d’identité (www.privacyconference2005.org).

[8] La CNIL ne souhaite pas l’utilisation de l’empreinte digitale comme identifiant biométrique car celle-ci laisserait des traces susceptibles d’être collectées à l’insu de la personne concernée (voir le dossier « biométrie et titres d’identité » sur le site www.cnil.fr).

[9] Intervention de Monsieur Philippe Sauzet, directeur du programme INES au ministère de l’Intérieur, le 5 décembre 2005, lors de la sixième rencontre parlementaire sur la société de l’information et de l’Internet.

[10] « La CNIL ne dispose pas des moyens juridiques et financiers nécessaires pour contrôler de façon effective un tel dispositif » Alex Tûrk, le président de la CNIL (lors du 25ème rapport annuel d’activité).

[11] La loi relative à l’Informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 relative, notamment, à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

[12] Art. 6 2° de la loi Informatique et libertés modifiée.

[13] Art. 2 al2 de la loi Informatique et libertés modifiée.

[14] Par exemple un recoupement possible d’informations avec le fichier national automatisé des empreintes génétiques (le FNAEG).

[15] Art. 6 3° de la loi Informatique et libertés modifiée.

[16] Dans son rapport d’information du 28 juin 2005 la mission d’information de la commission des lois du Sénat sur la nouvelle génération de documents d’identité fait « le constat d’une fraude significative avérée en dépit de l’absence d’une évaluation globale » (www.senat.fr).

[17] ADministration ELEctronique 2004-2007( www.adae.gouv.fr.).

[18] Art. 27 I 2° de la loi Informatique et libertés modifiée.