Plan du site | Mentions légales | Crédits | Espace rédacteur

Doctorante en droit privé, Université de Paris II. Allocataire-Monitrice, conseil en entreprise. Chargée de travaux dirigés à l’Université de Paris II.

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Consommateurs   Au jour le jour   Marques   Droit d’auteur   Professions   Contrats   Contenu illicite   Conférences et colloques   Régulation   Brevet   Lettre du Cejem   Bases de données   Signes distinctifs   Vie privée   Noms de domaine  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Le passeport biométrique (Décret n°2008-426 du 30 Avril 2008)

Mots-clefs :

par Géraldine Criqui, le lundi 28 juillet 2008

Le passeport « électronique » n’est plus, le décret du 30 Avril [1] instaure simplement le « passeport ». Dans le texte, en effet, aucun terme ou adjectif se rapportant aux techniques biométriques, n’est utilisé. Pourtant, pour se mettre en conformité avec la règlementation européenne c’est bien de la création d’un passeport biométrique qu’il s’agit.

En effet, en 2004, le conseil européen dans le but de lutter contre la falsification des passeports et leur utilisation frauduleuse, a adopté un règlement posant les normes minimales à adopter pour la sécurisation des titres [2].

L’application de ce règlement a eu lieu en deux temps comme cela était prévu. Le décret du 30 décembre 2005 instaure le passeport électronique qui contient une puce RFID et l’image numérisée du visage du titulaire [3].

Le décret de 2008, objet de notre étude, modifie le précédent décret et complète le dispositif en obligeant à la collecte des empreintes digitales du demandeur. Photos numérisées du visage et des empreintes sont également enregistrées, et cela est nouveau, dans le système de traitement automatisé des données relatives aux procédures d’établissement des passeports, système désormais dénommé TES.

Ainsi, et dès lors que les mairies seront équipées des machines adéquates, seront numérisées, pour la délivrance d’un passeport, non plus seulement l’image faciale du titulaire mais également les empreintes de huit de ses doigts, sauf pour les enfants de moins de six ans dont les empreintes ne seront pas récoltées [4] .

Comment ces données biométriques vont-elles être utilisées et par qui ?

D’une part, les images numérisées du visage du titulaire et de deux de ses empreintes digitales seront enregistrées dans la puce RFID [5].

D’autre part, le décret indique que l’ensemble des données biométriques (l’image du visage et les empreintes des huit doigts) seront enregistrées dans le traitement automatisé de données, ce qui n’était pas le cas avant [6] .

Le premier procédé de conservation des données, l’enregistrement sur une puce communicante pouvant être lue à distance répond à lui seul à l’exigence européenne : s’assurer de la fiabilité du lien entre le passeport et son détenteur. Sa mise en œuvre ne nécessite pas obligatoirement la création d’un fichier central mais peut s’opérer par lecture-comparaison entre les doigts du détenteur et le support de stockage qui lui est personnel, la puce RFID contenue dans le passeport qu’il détient.

L’usage de la Radio Frequency Identification soulève toutefois des inquiétudes. En 2005, alors qu’un débat public s’ouvrait sur le projet de carte nationale d’identité électronique, qui elle aussi devait contenir une puce, on s’interrogeait déjà sur la maturité du système, son caractère irrévocable et la possibilité de contourner cette technologie [7].

Trois ans après les interrogations demeurent et les doutes se confirment même alors que les passeports biométriques britanniques et belges, déjà en circulation, ont pu être « crackés » par des experts en sécurité. Ils ont pu récolter à distance les empreintes contenues dans la puce [8].

La CNIL,dans son avis du 11 décembre 2007 sur le projet de décret [9] , pointe également la faiblesse du système au regard du but qu’il se donne, la lutte contre la fraude, dès lors que rien n’est fait pour s’assurer de l’authenticité des pièces justificatives fournies à l’appui des demandes.

Le second procédé de conservation des données, l’enregistrement sur le fichier central, n’était pas prévu par le règlement européen et a été adopté contre l’avis de la CNIL.

L’autorité indépendante a en effet estimé que les finalités de l’acte règlementaire n’étaient pas de celles qui permettaient la mise en œuvre d’un traitement de données biométriques. La sécurité ou l’ordre public n’était pas en jeu ici, et le traitement dès lors constituait une atteinte excessive à la liberté individuelle.

Le gouvernement est passé outre mais a toutefois, suivi la CNIL sur quelques points, notamment quant à l’accès et à l’usage de ce fichier central.

Seuls peuvent y avoir accès dans son intégralité « les personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports » [10] .

Les services de police et de gendarmerie chargés des missions de prévention et de répression des actes de terrorisme doivent être « individuellement désignés et spécialement habilités » [11] pour le consulter sans avoir toutefois accès aux empreintes digitales.

Enfin « le traitement ne comporte ni dispositif de reconnaissance faciale à partir de l’image numérisée du visage, ni dispositif de recherche permettant l’identification à partir de l’image numérisée des empreintes digitales enregistrées dans ce traitement » [12].

Aux Etats-Unis, récemment, des fonctionnaires délivrant des permis de conduire et adeptes d’une émission de télévision s’intéressant aux individus recherchés par la police (« America’s most wanted ») ont tenté « pour le sport » de comparer grâce à des procédés biométriques les photos données avec les photos numérisées à leur disposition dans le fichier des permis de conduire. Ils ont permis à la police d’arrêter un suspect [13] .

Un tel usage du fichier TES n’est donc pas possible en France. Toujours est-il que la base de données biométriques se constitue.

Dès lors, on ne peut qu’approuver la CNIL en ce qu’elle regrette que le nouveau cadre du passeport ait été adopté par voie règlementaire [14].

Ce décret, établissant un nouveau passeport qui ne dit pas son nom, instaure un automatisme pour tous les français, celui de donner leurs empreintes digitales et ce alors même qu’aucun débat public n’a été engagé sur la question de la collecte et de l’usage des données biométriques.

Il faut espérer que le projet de loi sur l’identité numérique, comportant un volet sur la future carte d’identité nationale, comblera cette lacune et qu’un vaste débat s’engagera [15].

Nombreux seront les points à clarifier car la technologie n’est pas une fin en soi, elle est faillible et présente des risques. Son usage nécessite des bilans objectifs d’efficacité. Ses finalités doivent être claires, connues et acceptées.

Aujourd’hui un fichier se constitue, quels en seront les usages futurs ? Et quels standards seront suivis ? Le Conseil européen obligeait à la collecte de deux empreintes, la France s’est décidée pour l’enregistrement de huit, aux Etats-Unis ce sont vos dix doigts qui sont numérisés si vous souhaitez entrer sur le territoire [16] .

Les réponses à ces questions relèvent de choix politique certes mais sont avant tout des enjeux de société qui doivent mobiliser chacun.

Géraldine CRIQUI

Notes

[1] Décret n°2008-426 du 30 Avril 2008, JO du 4 mai 2008.

[2] Règlement (CE) n° 2252/2004 du 13 décembre 2004, JOCE n°L 385 du 29/12/2004, p.0001-0006.

[3] Décret n°2005-1726 du 30 décembre 2005, JO du 31 décembre 2005.

[4] Article 6-1 nouveau

[5] Article 2 modifié

[6] Article 19 a) modifié

[7] KHEYARI Kévin, « Le projet de carte nationale d’identité numérique » 5 mai 2006, article disponible sur le site du CEJEM : www.cejem.com.

[8] « Le passeport biométrique britannique cracké par un expert en sécurité » 7 mars 2007, « Le passeport biométrique belge pas suffisamment sécurisé » 7 juin 2007, articles disponibles sur www.journaldunet.com

[9] Délibération n°2007-368 du 11 décembre 2007, disponible sur le site de la CNIL : www.cnil.fr

[10] Article 21

[11] Article 21-1 modifié

[12] Article 19 modifié

[13] LIPTAK Adam, « Driver’s license emerges as crime fighting tool, but privacy advocates worry », New York Times, 17 Février 2007.

[14] CNIL, 28ème Rapport d’activité 2007, La Documentation Française, p.19

[15] Comme ce fut le cas en 2005, alors que le projet était déjà d’actualité et que le ministère de l’intérieur avait confié au Forum des Droits de l’Internet l’organisation d’un débat national : www.foruminternet.org

[16] « 10 fingerprint scanners to deploy to all port of entry », rubrique « how it works » sur le site du département de la sécurité intérieure américain : www.dhs.gov