Délibération n° 2017-058 du 16 mars 2017 portant avis sur un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et relatif aux conditions de recueil et de conservation des empreintes digitales du demandeur de carte nationale d'identité (demande d'avis n° AV 16028500)

JORF n°0109 du 10 mai 2017
texte n° 341



Délibération n° 2017-058 du 16 mars 2017 portant avis sur un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et relatif aux conditions de recueil et de conservation des empreintes digitales du demandeur de carte nationale d'identité (demande d'avis n° AV 16028500)

NOR: CNIX1713235X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et relatif aux conditions de recueil et de conservation des empreintes digitales du demandeur de carte nationale d'identité ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-1 [2°] et 11 [4° a]) ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu l'arrêté du 9 février 2017 portant application du décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu la délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;


Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d'identité et relatif aux conditions de recueil et de conservation des empreintes digitales du demandeur de carte nationale d'identité.
L'image des empreintes digitales des demandeurs de carte nationale d'identité est, en application de l'article 2-I-i du décret du 28 octobre 2016 susvisé, enregistrée dans le traitement relatif aux passeports et aux cartes nationales d'identité dénommé TES (Titres électroniques sécurisés), dont le projet de décret vise à modifier les conditions de mise en œuvre. Le projet de décret doit dès lors, conformément aux dispositions du a de l'article 11-4° et du 2° de l'article 27-I de la loi du 6 janvier 1978 modifiée, être pris après avis motivé et publié de la Commission.
La création du traitement TES a pour objet de permettre le regroupement, dans une base de données centralisée, de l'image numérisée du visage et des empreintes digitales des index de l'ensemble des demandeurs de carte nationale d'identité et de passeport. Aux termes de l'article 1er du décret du 28 octobre 2016 susvisé, pris après l'avis de la CNIL en date du 29 septembre 2016, sa mise en œuvre vise, d'une part, à faciliter l'établissement, la délivrance, le renouvellement, l'invalidation et le retrait des titres concernés et, d'autre part, à prévenir et détecter leur falsification et contrefaçon. Afin de mieux lutter contre la fraude documentaire, le système TES permet notamment de procéder à la comparaison automatique des empreintes digitales de chaque demandeur avec celles précédemment enregistrées sous la même identité, à des fins d'authentification des personnes.
L'autorisation de la mise en œuvre du traitement automatisé TES par le décret du 28 octobre 2016 susvisé a suscité des inquiétudes, auxquelles le ministre de l'intérieur a entendu répondre en décidant notamment d'offrir aux demandeurs d'une carte nationale d'identité la possibilité de refuser l'enregistrement de leurs empreintes digitales dans le fichier central.
Le projet de décret soumis à l'examen de la Commission prévoit ainsi d'introduire un nouvel alinéa à l'article 4-3 du décret du 22 octobre 1955 susvisé précisant que « l'image des empreintes digitales, numérisées à plat, est enregistrée dans le traitement prévu à l'article 1er du décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité, sauf si le demandeur refuse la numérisation de ses empreintes lors du dépôt de sa demande ».
Le refus de la numérisation de ses empreintes digitales à des fins d'enregistrement dans le traitement TES ne pourra être exprimé qu'au moment du dépôt de la demande ou à l'occasion du renouvellement de la carte nationale d'identité. Pour permettre l'expression de ce refus, une mention spécifique à cocher sera introduite dans les formulaires de demande de carte nationale d'identité.
Lorsque le demandeur refusera la numérisation de ses empreintes digitales, ces dernières seront recueillies sur un formulaire papier joint au dossier de demande de carte nationale d'identité, ce qui correspond aux modalités de recueil des empreintes digitales qui étaient en vigueur avant l'application du dispositif TES.
S'agissant des conditions de conservation des empreintes digitales des demandeurs dans une telle hypothèse, le projet de décret précise que « le dossier est conservé de manière sécurisée par le service instructeur dans des conditions de nature à garantir la traçabilité de leur consultation », ce dont la Commission prend acte, tout en soulignant que la création d'un fichier relatif aux personnes qui ont refusé l'enregistrement de l'image de leurs empreintes digitales dans la base de données TES doit être exclue.
Enfin, le projet de décret prévoit que « les empreintes digitales ne peuvent être utilisées qu'en vue de la détection des tentatives d'obtention ou d'utilisation frauduleuses d'un titre d'identité ou de l'identification certaine d'une personne dans le cadre d'une procédure judiciaire ».
Si l'utilisation des empreintes digitales en vue de la détection des tentatives d'obtention ou d'utilisation frauduleuses d'un titre définit un cas d'utilisation clair et pleinement justifié au regard de l'objectif de lutte contre la fraude documentaire poursuivi, l'utilisation à des fins d'« identification certaine d'une personne dans le cadre d'une procédure judiciaire » peut, compte tenu de la rédaction adoptée, renvoyer à des hypothèses diverses et nombreuses, sans rapport avec les finalités administratives à l'origine du traitement.
Le ministère de l'intérieur a précisé que les utilisations judiciaires mentionnées par le projet de décret sont uniquement celles susceptibles d'intervenir dans les conditions prévues par le code de procédure pénale. La mention de ces utilisations judiciaires n'apparaît dès lors pas nécessaire à la Commission, qui estime en outre qu'elle est susceptible de créer une confusion sur la nature du fichier papier envisagé, dont la création est fondée sur des motifs administratifs.
Ces précisions rappellent toutefois que, indépendamment des finalités administratives définies par le ministère de l'intérieur, des utilisations de l'image des empreintes digitales à des fins d'identification des personnes peuvent être autorisées dans un cadre judiciaire, que les empreintes aient été conservées dans le traitement automatisé TES ou dans un fichier papier.
En tout état de cause, la Commission relève que les usagers ne bénéficieront de la mesure envisagée que dans le cadre d'une demande de carte nationale d'identité et que ces mêmes usagers, s'ils procèdent à une demande de passeport, ne pourront pas s'opposer à la numérisation de l'image de leurs empreintes digitales et à son enregistrement dans le fichier central.
Elle souligne en outre que les demandeurs de carte nationale d'identité ne pourront refuser l'enregistrement dans le traitement TES que d'une partie de leurs données biométriques, puisque l'enregistrement dans le fichier central de l'image de leur photographie demeurera obligatoire.
Elle relève enfin que la part des demandeurs de carte nationale d'identité qui optera effectivement pour la conservation de l'image de leurs empreintes digitales dans un fichier papier demeure inconnue et pourrait être relativement limitée.
Dans ces conditions, la Commission considère que la mesure envisagée, qui entraînera des conséquences contraires à l'objectif de simplification administrative sans pouvoir être justifiée par l'amélioration de la lutte contre la fraude documentaire, n'est pas de nature à réduire substantiellement les risques soulevés par la création de la base de données TES, dont la vocation demeure de réunir des données biométriques relatives à la quasi-totalité de la population française.
La Commission ne peut dès lors que réitérer les réserves exprimées dans sa délibération du 29 septembre 2016 relative aux conditions de mise en œuvre du traitement TES, et notamment celles tendant à ce que soient renforcées les mesures de sécurité visant à assurer la protection des données collectées.


La présidente,

I. Falque-Pierrotin