La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur et de l'aménagement du territoire, le 10 octobre 2005, du projet de décret instituant le passeport électronique et de la modification du traitement DELPHINE de gestion des passeports (demande d'avis n° 1127336),
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 2252/2004 du 13 décembre 2004 du Conseil de l'Union européenne ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la position commune 2005/69/JAI du 24 janvier 2005 du Conseil de l'Union européenne ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi n° 2004-810 du 6 août 2004 ;
Vu l'arrêté du 22 novembre 1999 portant création du traitement DELPHINE ;
Vu la délibération de la CNIL n° 99-23 du 8 avril 1999 relative au traitement DELPHINE ;
Vu la délibération de la CNIL n° 2005-208 du 10 octobre 2005 concernant l'avant-projet de loi relatif à la lutte contre le terrorisme ;
Après avoir entendu M. François Giquel, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations, Emet l'avis suivant :
Le ministère de l'intérieur a saisi la Commission nationale de l'informatique et des libertés du projet de décret instituant le passeport électronique et des modifications du traitement de données à caractère personnel DELPHINE permettant l'établissement, la délivrance et la gestion des passeports.
Sur les finalités poursuivies :
La mise en oeuvre du « passeport électronique » a pour objectif, conformément aux textes européens, de prévenir et de lutter contre la fraude documentaire portant sur ces titres grâce à de nouvelles modalités de production, à l'insertion dans ce passeport de la photographie numérisée de son détenteur et d'un composant électronique (puce sans contact) contenant des données relatives à son détenteur et à sa délivrance, ainsi qu'à la mise en place de transmissions de données relatives aux passeports volés ou perdus vers le système d'information Schengen et Interpol.
Par ailleurs, le projet de décret envisage de permettre aux services de la police et de la gendarmerie nationale spécialement chargés de la prévention et de la répression du terrorisme d'accéder au fichier national des passeports dans le cadre de leurs missions.
Enfin, le projet de décret vise à conférer au passeport la valeur d'un titre d'identité équivalent à la carte nationale d'identité qui devra permettre « la simplification de la vie quotidienne des administrés ».
Sur la valeur juridique du passeport électronique et ses utilisations possibles :
Le projet de décret a notamment pour objet, selon les termes du rapport au Premier ministre accompagnant le projet de décret, de « renforcer le statut juridique du passeport en lui conférant la valeur de certification de l'identité de son titulaire, à l'instar de ce qui prévaut depuis 1955 pour la carte nationale d'identité ».
Compte tenu de la valeur juridique nouvelle du passeport et de l'objectif de simplification poursuivi, la commission observe que le passeport électronique pourra bientôt être largement utilisé tant dans la sphère publique (lors des démarches auprès des services de l'Etat, des collectivités territoriales ou des organismes de sécurité sociale) que dans la sphère privée (par exemple, pour l'ouverture d'un compte bancaire).
La commission relève également que le composant électronique du futur passeport est une puce sans contact, permettant sous certaines conditions la lecture à faible distance des données relatives au détenteur du titre qui y sont enregistrées.
La commission observe que, si une captation frauduleuse du contenu de la puce sans contact est rendue techniquement impossible lorsque le passeport n'est pas ouvert, tel ne sera pas le cas lorsque ce titre sera présenté par son détenteur, conformément aux textes en vigueur, à un professionnel disposant du matériel de lecture adéquat à l'occasion de la fourniture ou du paiement d'un bien ou d'un service.
Afin d'interdire tout accès frauduleux de cet ordre aux données de la puce, le projet de décret instituant le passeport électronique fixe en ses articles 21 et 22 la liste des seuls destinataires autorisés de ces données. La commission prend acte de cette garantie juridique et rappelle que les dispositions pénales concernant les infractions à la loi « informatique et libertés » ont vocation à s'appliquer à toute personne accédant frauduleusement aux données de la puce.
Sur les nouvelles modalités de production des passeports :
Le dossier présenté prévoit que le passeport ne sera plus produit localement mais de façon centralisée. Un centre de personnalisation du passeport sera ainsi mis en place et confié à un sous-traitant (« personnalisateur » des titres).
Les photographies seront scannées sur le lieu de dépôt de la demande puis transmises par voie informatique au système d'appariement qui recevra également de DELPHINE les ordres de production. Une fois l'appariement réalisé sur la base du numéro du formulaire de demande, l'ordre de production sera envoyé au « personnalisateur ».
A l'occasion de l'appariement, un stockage provisoire des données doit intervenir, identique à celui mis en place pour la production actuelle de la carte nationale d'identité. La commission prend acte de ce qu'aucune consultation, aucune interaction autre que la réception des éléments d'identité et de la photographie ainsi que l'envoi de l'ordre de production ne seront mis en oeuvre dans le cadre de ce stockage provisoire de données à caractère personnel.
Le prestataire devra ensuite renvoyer un compte rendu informatisé de la production. En cas de réussite, ce compte rendu déclenchera la mise à jour du fichier national des passeports.
La commission relève que des précautions particulières liées à l'externalisation de la production ont été définies par le ministère de l'intérieur (engagement contractuel du prestataire à préserver la sécurité des données traitées et à ne pas les utiliser à des fins détournées, contrôle du respect des mesures de sécurité exigées par le ministère).
Les données ne seront pas conservées plus de trois mois par le prestataire. A cette fin, le titulaire effacera au fur et à mesure les données de production lorsque leur conservation ne se justifie plus (c'est-à-dire lorsque le passeport est remis à l'intéressé et que celui-ci n'a trouvé aucune erreur), et en tout état de cause au plus tard trois mois après réception de l'ordre de production.
La commission prend acte de ce nouveau schéma de fonctionnement et des mesures envisagées afin d'assurer la protection des données à caractère personnel ainsi traitées.
Sur le traitement de la photographie numérisée du détenteur du passeport :
Si la photographie faisait déjà partie des données à caractère personnel traitées dans le cadre du passeport, le projet de décret prévoit qu'elle doit désormais être intégrée sous une forme numérisée, d'une part, dans le titre (à la place de l'actuelle photographie collée) comme c'est déjà le cas pour la carte nationale d'identité et, d'autre part, dans son composant électronique (puce sans contact).
La commission observe que cette modification du contenu du passeport résulte du règlement européen du 13 décembre 2004 susvisé et a pour but de « mieux sécuriser le passeport, par l'établissement d'un lien plus fiable entre ce titre et son titulaire grâce à l'introduction d'éléments de sécurité communs et à l'intégration d'identificateurs biométriques interopérables ».
Elle prend acte qu'il n'est pas aujourd'hui envisagé que la photographie numérisée du détenteur du passeport soit utilisée sur le territoire national dans le cadre de dispositifs automatisés de reconnaissance faciale et qu'en tout état de cause aucune disposition du projet de décret ne permettrait une telle utilisation.
En revanche, le dispositif étant interopérable, la mise en place de tels traitements biométriques est susceptible d'intervenir à l'étranger, sur décision des seules autorités du pays concerné.
La commission relève enfin que la photographie du détenteur du titre ne sera pas enregistrée dans le fichier national des passeports : celle-ci sera numérisée par les services préfectoraux ou consulaires avant d'être envoyée au prestataire de service désigné pour la production des passeports, à charge pour ce dernier de détruire les données nécessaires à la confection du titre au plus tard trois mois à compter de la réception de l'ordre de production.
Sur les sécurités de la puce sans contact :
Conformément au règlement européen 2252/2004 du 13 décembre 2004 et au document 9303 de l'Organisation de l'aviation civile internationale (OACI), le projet de décret prévoit en son article 2 que le composant électronique du passeport est une puce sans contact, c'est-à-dire un processeur et un lieu de stockage de données numériques accessibles à faible distance par un lecteur répondant à des spécifications techniques particulières (normes ISO 14443 et 7816).
La commission observe qu'une telle technologie est pour la première fois utilisée en France dans le cadre de documents d'identité et qu'elle appelle la mise en place de sécurités particulières.
Les sécurités développées autour de l'accès aux données de la puce sont les suivantes :
1° La lecture des données du composant électronique suppose l'ouverture physique du passeport (« contrôle d'accès basique ») ;
2° La zone de lecture optique (bande MRZ) du passeport est ensuite lue à l'aide d'un équipement adapté ;
3° Une session sécurisée (chiffrée) est alors ouverte entre ce lecteur et le titre ;
4° Les « sécurités passives » sont vérifiées (vérification de l'authentification du titre et de l'intégrité des données électroniques scellées lors de la fabrication du document par signature électronique) ;
5° Les données de la puce sont alors accessibles.
Le numéro de session de communication entre le lecteur et la puce est aléatoire pour écarter toute possibilité de tracer les personnes (enregistrement automatique du nombre de passage d'une même personne à un point de contrôle).
La commission estime que ces mesures techniques sont de nature à garantir l'authentification, la confidentialité et l'intégrité des données enregistrées sur le composant électronique du passeport.
Sur l'interconnexion du fichier national des passeports avec le système d'information Schengen et Interpol :
Le projet de décret prévoit en son article 25 l'interconnexion du fichier national des passeports non seulement avec le fichier des personnes recherchées comme c'est le cas depuis 1999, mais également avec le système d'information Schengen et le système d'information d'Interpol.
Dans ce cadre seront transmises de façon automatisée des données limitées aux numéros des passeports perdus ou volés, au pays émetteur, au type et au caractère vierge ou personnalisé du document.
La commission prend acte du fait que ces deux interconnexions se fondent sur la position commune n° 2005/69/JAI du Conseil de l'Union européenne du 24 janvier 2005, qui doit être mise en oeuvre par les Etats membres avant la fin de l'année 2005.
Sur l'accès des services chargés de la lutte anti-terroriste à DELPHINE :
Le projet de décret envisage en son article 23 de rendre les données du fichier national des passeports accessibles aux services chargés de la lutte anti-terroriste de la police et de la gendarmerie nationale.
La commission observe que le projet de loi relatif à la lutte contre le terrorisme, actuellement examiné par le Parlement, comporte une disposition équivalente.
Conformément à sa délibération du 10 octobre 2005 concernant l'avant-projet de loi relatif à la lutte contre le terrorisme, la commission estime dès lors nécessaire que figurent dans le projet de décret, directement ou par renvoi à un arrêté pris après avis de la CNIL, la liste des données accessibles strictement nécessaires à la poursuite des finalités de lutte anti-terroriste, l'énumération des services de police et de gendarmerie destinataires des données ainsi que les mesures propres à assurer la sécurité des données à l'occasion de leur consultation, et notamment les modalités d'habilitation d'accès et de contrôle systématique des consultations du fichier national des passeports.
Elle demande que le projet de décret prévoie la désignation, auprès du directeur général de la police nationale, d'une personne spécialement chargée d'assurer le contrôle effectif des accès des services chargés de la lutte anti-terroriste à DELPHINE, ainsi que la transmission à la CNIL d'un bilan annuel des contrôles opérés sur ces accès.
Sur le contrôle des accès au fichier national des passeports :
La commission avait souligné, dans sa délibération du 8 avril 1999, la présence de dispositifs de sécurité permettant de contrôler les accès au fichier national des passeports (cartes à puce individuelles pour l'accès à l'application, journalisation des connexions).
Elle relève que le système prévu d'accès par carte à puce n'a pas été mis en oeuvre par le ministère de l'intérieur et prend acte de la définition d'une procédure de journalisation des connexions à DELPHINE, en rappelant la nécessité d'une exploitation effective de ces journaux par les personnels techniques autorisés. Elle demande à être tenue informée, dans un délai de trois mois, des mesures prises à cet effet.
Le président,
A. Türk