Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques

JORF n°0109 du 10 mai 2008
texte n° 90



Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques

NOR: CNIX0811604X
ELI: Non disponible



(Avis n° 1127336 V1)


La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales le 27 septembre d'un projet de décret et en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret n° 2007-401 du 25 mars 2007 ;
Vu le règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Vu l'avis 3/2005 du groupe de l'article 29 en date du 30 décembre 2005 sur l'application du règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu la délibération n° 99-23 du 8 avril 1999 portant avis sur le projet d'arrêté concernant la création par le ministère de l'intérieur d'un traitement automatisé d'informations nominatives relatif à la délivrance des passeports ;
Vu la délibération n° 2005-279 du 22 novembre 2005 portant avis sur le projet de décret instituant le passeport électronique et sur les modifications apportées au traitement DELPHINE permettant l'établissement, la délivrance et la gestion des passeports ;
Vu la délibération n° 2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme ;
Après avoir entendu Mme Michèle Tabarot, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret soumis pour avis de la commission est notamment destiné à mettre en œuvre le règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres.
A cet égard, il vise à mettre la France en capacité d'émettre, avant le 28 juin 2009, des passeports dotés d'un composant électronique contenant non seulement l'image numérisée du visage de son titulaire mais aussi celle de deux de ses empreintes digitales, conformément aux prescriptions de l'article 6 du règlement précité.
Si le décret n° 2005-1726 du 30 décembre 2005 a permis la réalisation de la première étape prévue aux termes du règlement européen, en permettant la délivrance de passeports dotés d'un composant électronique intégrant l'image numérisée du visage du titulaire, le présent projet de décret entend donc poursuivre le processus d'adaptation du droit interne à cette norme européenne, en intégrant dans le même composant l'image numérisée de deux de ses empreintes digitales.
Le projet de décret prévoit également l'enregistrement de données biométriques se rapportant aux demandeurs (images numérisées de la photographie et des empreintes digitales) dans le système de traitement automatisé de données à caractère personnel relatif au passeport, dénommé « DELPHINE », cependant qu'il envisage parallèlement la conservation de données relatives à leur filiation ainsi que des pièces justificatives fournies à l'appui de la demande de passeport, sous un format numérisé.
En outre, le projet de décret apporte un certain nombre de modifications affectant les conditions d'accès aux données à caractère personnel contenues dans le système de traitement DELPHINE en même temps qu'il lui confère une finalité nouvelle, à savoir l'élaboration de statistiques.
Enfin, il détermine, le régime juridique applicable au passeport temporaire.
Sur l'enregistrement des données biométriques dans le composant électronique intégré au passeport :
La commission observe que la collecte de l'image numérisée du visage du demandeur ainsi que celle de deux de ses empreintes digitales est rendue nécessaire par les dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 dans la mesure où il fait obligation aux Etats membres de délivrer, au plus tard le 28 juin 2009, des passeports dotés de composants électroniques comportant les éléments biométriques précités.
A cet égard, la commission tient à rappeler qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif.
Sur la conservation de données biométriques en base centrale :
Le projet de décret soumis pour avis à l'examen de la commission prévoit le recueil de l'image numérisée du visage du demandeur et des empreintes digitales de huit doigts ainsi que leur conservation dans le système de traitement DELPHINE, qui pourrait ainsi constituer la première base centralisée de données biométriques à finalité administrative portant sur des ressortissants français.
Cette base serait en réalité segmentée en trois bases de données distinctes, contenant respectivement les données d'état civil, les données photographiques et les empreintes digitales. Il est prévu de mettre en œuvre des mécanismes de « double-hachage », pour garantir qu'une donnée biométrique, qu'il s'agisse d'une donnée photographique ou d'une empreinte digitale, ne puisse être consultée sans avoir préalablement accédé à l'enregistrement de la donnée d'état civil s'y rapportant. Le système central de traitement serait hébergé, exploité et supervisé par les services d'exploitation du ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, sur deux sites sécurisés. Il est également prévu des dispositifs de journalisation des accès afin d'assurer la traçabilité et l'imputabilité des opérations effectuées sur le système.
A titre liminaire, la commission observe que le recueil de huit empreintes digitales, d'une part, et la conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire, d'autre part, ne résultent pas des prescriptions dudit règlement européen.
En outre, la commission tient à rappeler que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient.
Or, la commission observe que le traitement mis en œuvre conserve les mêmes finalités que celles énoncées aux termes de l'article 18 du décret du 30 décembre 2005 ― faciliter les procédures d'établissement, de délivrance, de renouvellement, de remplacement et de retrait des passeports ainsi que prévenir, détecter et réprimer leur falsification et leur contrefaçon.
A cet égard, la commission considère que, si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle.
En outre, au regard des éléments dont elle dispose et dans la mesure où le dispositif envisagé se limite à rendre possible l'accès ponctuel des autorités judiciaires aux données biométriques, en exécution de réquisitions ou de commissions rogatoires, la commission estime que ledit dispositif ne paraît pas constituer, en l'état, un outil décisif de lutte contre la fraude documentaire de nature à lever les préventions exprimées jusqu'alors par la commission à l'endroit de la constitution de bases centralisées de données biométriques.
En effet, la commission observe qu'aucune mesure particulière n'est prévue, parallèlement à la conservation de données biométriques, pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes et relève, en particulier, que, même si une étude est en cours, le dispositif envisagé ne prévoit pas de procédures de télétransmission des données d'état civil entre les administrations concernées, procédures qui sont pourtant susceptibles de garantir la fiabilité desdites données.
De même, la réalisation d'une application de gestion électronique des documents, destinée à faciliter les conditions de délivrance ou de renouvellement d'un passeport, n'est pas non plus de nature à justifier la conservation de données biométriques.
Par conséquent, même si le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales s'engage à préciser aux termes du projet de décret qu'il ne sera pas possible de procéder à une recherche en identification à partir de l'image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l'image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée.
La commission considère enfin que l'ampleur de la réforme qui se dessine et l'importance des questions qu'elle peut soulever justifieraient que, comme elle l'a rappelé à plusieurs reprises, le Parlement en soit saisi sous forme d'un projet de loi, qui lui serait préalablement soumis pour avis.
Sur la conservation des pièces justificatives :
Le projet de décret prévoit également la conservation dans le système de traitement DELPHINE de l'image numérisée des pièces justificatives déposées à l'appui de la demande de passeport, en particulier les documents justificatifs du domicile du demandeur.
Si elle est justifiée par les services du ministère de l'intérieur par le souci de la modernisation des procédures administratives, elle ne permettra pas nécessairement une amélioration des conditions de renouvellement du passeport à l'expiration de la durée de validité de ce dernier, compte tenu du caractère non pérenne des informations fournies à l'occasion de la première délivrance.
Aussi, la commission se montre réservée quant à la pertinence d'une conservation de ces documents sous format numérisé.
Sur les destinataires et les modalités d'accès au système de traitement DELPHINE :
La commission prend enfin acte de ce que les personnels chargés des missions de recherche et de contrôle de l'identité des personnes, de vérification de la validité et de l'authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes n'accèdent pas et n'accéderont pas aux données à caractère personnel enregistrées dans la base centrale mais seulement à celles contenues dans le composant électronique du passeport.
La commission prend également acte de ce que les agents des services de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale chargés des missions de prévention et de répression des actes de terrorisme de même que les agents des services de renseignement du ministère de la défense chargés des missions de prévention des actes de terrorisme n'accéderont pas â l'ensemble des données enregistrées dans le système de traitement à l'exclusion de l'image numérisée des empreintes digitales.
Dans la mesure où la commission observe que cette exclusion n'est justifiée qu'au regard de la spécificité attachée aux données biométriques, elle estime que le projet de décret devrait également faire mention de l'impossibilité pour les agents précités d'accéder à l'image numérisée du visage du titulaire.
La commission prend enfin acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de préciser aux termes du projet de décret que les destinataires devraient faire l'objet d'une procédure de désignation individuelle et d'habilitation spéciale.
Sur le régime juridique du passeport temporaire :
Conformément aux dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004, le projet de décret fixe le principe de la délivrance à titre exceptionnel d'un passeport temporaire pour satisfaire aussi bien les demandeurs confrontés à une situation relevant de l'urgence que les personnes ou les agents civils et militaires nécessitant d'être mis en possession d'un titre de voyage dépourvu de composant électronique.
Compte tenu de la spécificité attachée à ce passeport, la commission estime que son processus de délivrance ne devrait pas obéir aux mêmes règles que celles en vigueur pour le passeport, le passeport de service ou le passeport de mission.
A cet égard, il convient de relever qu'il ne peut être délivré que dans des cas relevant de situations d'urgence ou se caractérisant par la recherche par son titulaire d'une relative discrétion, qu'il n'a pas vocation à être renouvelé et qu'il ne comporte pas de composant électronique et, partant, ne contient pas de données biométriques.
Aussi, tout en prenant acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de ramener à six ans la conservation des données collectées à l'occasion de la délivrance d'un passeport temporaire, la commission considère qu'il paraît peu pertinent de procéder au recueil des empreintes digitales du demandeur, à leur conservation ainsi qu'à celle de l'image numérisée de son visage en base centrale.
Sur la situation des mineurs :
Dès lors que le passeport est délivré sans condition d'âge, la procédure de délivrance applicable aux mineurs doit faire l'objet d'une attention toute particulière.
Dans ces conditions, la commission tient à rappeler que l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat voire un amendement à la convention sur les droits de l'enfant et que, pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants.
Sur les sécurités :
Il est prévu que l'accès aux données stockées dans le composant électronique soit contrôlé en utilisant des mécanismes qui, en l'état actuel de la technique, paraissent de nature à garantir un niveau suffisant de protection du composant électronique. L'accès aux empreintes digitales n'est possible qu'après authentification mutuelle entre le lecteur et le composant. Le composant intègre également des dispositifs de protection contre la duplication et la falsification. D'autres dispositifs de protection électromagnétique du titre pourraient à terme être inclus dans le passeport. Néanmoins, ces dispositifs et leur éventuelle mise en œuvre sont actuellement en cours d'étude.
Par conséquent, la commission souhaite être rendue destinataire des éléments relatifs aux mesures qui seront finalement retenues.
Sur l'information des personnes :
L'article 25 du décret n° 2005-1726 du 30 décembre 2005 prévoit que la remise du passeport s'accompagne de la copie sur papier des données nominatives enregistrées dans le composant électronique.
Enfin, la commission prend acte de ce qu'une notice d'information sur la nature des données à caractère personnel enregistrées dans le système de traitement central sera remise au demandeur du passeport.


Le président,

A. Türk