🟧 DĂ©libĂ©ration CNIL du 11 fĂ©vrier 2021 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractĂšre personnel relatif aux passeports et aux cartes nationales d’identitĂ©

La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministre de l’intĂ©rieur d’une demande d’avis concernant un projet de dĂ©cret modifiant le dĂ©cret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret n° 2016-1460 du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractĂšre personnel relatif aux passeports et aux cartes nationales d’identitĂ© ;
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le rĂšglement (UE) 2019/1157 du Parlement europĂ©en et du Conseil du 20 juin 2019 relatif au renforcement de la sĂ©curitĂ© des cartes d’identitĂ© des citoyens de l’Union et des documents de sĂ©jour dĂ©livrĂ©s aux citoyens de l’Union et aux membres de leur famille exerçant leur droit Ă  la libre circulation ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 32 ;
Vu le dĂ©cret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identitĂ© ;
Vu le dĂ©cret n° 2016-1460 du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractĂšre personnel relatif aux passeports et aux cartes nationales d’identitĂ© ;


Le rĂšglement europĂ©en 2019/1157 du 20 juin 2019 susvisĂ© a pour objet de renforcer la sĂ©curitĂ© des cartes d’identitĂ© des citoyens de l’Union et des documents de sĂ©jour dĂ©livrĂ©s aux citoyens de l’Union et aux membres de leur famille exerçant leur droit Ă  la libre circulation. Ce rĂšglement, applicable Ă  compter du 2 aoĂ»t 2021, impose aux Etats membres de l’Union europĂ©enne (UE) de mettre en circulation des cartes d’identitĂ© intĂ©grant un composant Ă©lectronique hautement sĂ©curisĂ© contenant des donnĂ©es biomĂ©triques, Ă  savoir une image numĂ©risĂ©e du visage du titulaire de la carte et celle de deux empreintes digitales dans des formats numĂ©riques interopĂ©rables. L’article 3-5 du rĂšglement 2019/1157 du 20 juin 2019 susvisĂ©, impose par ailleurs le recueil obligatoire des empreintes digitales.
Ne sont exemptĂ©s de recueil des empreintes digitales, aux termes de ce rĂšglement, que les mineurs de moins de six ans et les personnes qui sont dans l’incapacitĂ© physique de se les voir prĂ©lever, les Etats membres conservant quant Ă  eux la possibilitĂ© d’exempter de recueil des empreintes digitales les mineurs de moins de douze ans. A cet Ă©gard, la Commission relĂšve qu’en France, des dispositions nationales ont Ă©tĂ© adoptĂ©es en ce sens.

C’est dans ce contexte que la Commission est saisie d’un projet de dĂ©cret modifiant les dispositions relatives Ă  la carte nationale d’identitĂ© (CNI) ainsi que celles relatives aux conditions de mise en Ɠuvre du traitement dĂ©nommĂ© « Titres Ă©lectroniques sĂ©curisĂ©s » (TES). Elle rappelle que ce traitement, qui regroupe, dans une base de donnĂ©es centralisĂ©e, l’image numĂ©risĂ©e du visage et des empreintes digitales de deux doigts de l’ensemble des demandeurs de CNI et de passeports, permet de dĂ©livrer et de renouveler ces documents, mais aussi de prĂ©venir et dĂ©tecter leur falsification et contrefaçon. Afin de mieux lutter contre la fraude documentaire, notamment au moment du renouvellement du titre, le systĂšme TES procĂšde Ă  la comparaison automatique des empreintes digitales de chaque demandeur avec celles prĂ©cĂ©demment enregistrĂ©es sous la mĂȘme identitĂ©, afin de vĂ©rifier que l’identitĂ© du demandeur de titre est bien celle qu’il prĂ©tend avoir (fonction d’authentification des personnes).

Elle souligne qu’Ă  ce jour, le TES demeure un fichier singulier, compte tenu tant de son pĂ©rimĂštre d’une ampleur inĂ©galĂ©e, que de la nature particuliĂšrement sensible des donnĂ©es biomĂ©triques qu’il contient. Depuis la crĂ©ation de ce traitement, la Commission s’est ainsi toujours montrĂ©e particuliĂšrement attentive quant aux garanties substantielles Ă  mettre en Ɠuvre pour encadrer l’utilisation de ce traitement et entend faire preuve d’une vigilance renforcĂ©e dans le cadre des modifications qui lui sont soumises.

Elle rappelle en effet que, s’agissant plus particuliĂšrement des usages rĂ©galiens, le recours Ă  des dispositifs de reconnaissance biomĂ©trique est considĂ©rĂ© comme lĂ©gitime pour s’assurer de l’identitĂ© d’une personne, dĂšs lors que les donnĂ©es biomĂ©triques sont conservĂ©es sur un support dont la personne a l’usage exclusif, comme c’est le cas pour le passeport biomĂ©trique. La Commission estime Ă  ce titre, ainsi qu’elle l’a rappelĂ© dans de nombreuses dĂ©libĂ©rations, que la mise en place et le maintien d’une base centrale de donnĂ©es biomĂ©triques ne peut ĂȘtre admise que dans la mesure oĂč des exigences impĂ©rieuses en matiĂšre de sĂ©curitĂ© ou d’ordre public le justifient. Le traitement de donnĂ©es biomĂ©triques (image du visage et empreintes digitales), sous une forme centralisĂ©e, engendre en effet davantage de risques du point de vue de la protection des donnĂ©es Ă  caractĂšre personnel, compte tenu Ă  la fois des caractĂ©ristiques de l’Ă©lĂ©ment d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves Ă  la vie privĂ©e et aux libertĂ©s individuelles en rĂ©sultant.

C’est notamment au regard de ces Ă©lĂ©ments que la Commission s’Ă©tait montrĂ©e dĂ©favorable Ă  la crĂ©ation d’une base centralisĂ©e des empreintes digitales recueillies pour les passeports Ă©lectroniques, dĂ©nommĂ©e « Titres Ă©lectroniques sĂ©curisĂ©es » (TES), par le dĂ©cret du 30 avril 2008, puis avait regrettĂ©, son extension aux empreintes digitales recueillies pour les cartes d’identitĂ© par le dĂ©cret du 28 octobre 2016. Saisi au contentieux, le Conseil d’Etat a validĂ© le principe de la constitution d’une base centralisĂ©e, limitĂ©e aux empreintes de deux doigts Ă  des fins d’authentification, tant pour les passeports (CE, Ass., 26 oct. 2011, n° 317827, Rec.) que pour les cartes d’identitĂ© (CE, 10/9, 18 oct. 2018, n° 404996), et ce alors mĂȘme que pour les passeports les donnĂ©es biomĂ©triques figurent dĂ©jĂ  dans le composant individuel insĂ©rĂ© dans le titre.

Au regard des enjeux spĂ©cifiques liĂ©s au choix de maintenir, au niveau national, une base centralisĂ©e des empreintes digitales, la Commission estime que des solutions qu’elle considĂšre comme plus protectrices de la vie privĂ©e des citoyens devraient continuer Ă  ĂȘtre envisagĂ©es. Elle invite, Ă  cet Ă©gard, le ministĂšre ainsi que l’Agence nationale des titres sĂ©curisĂ©s (ANTS) Ă  poursuivre leurs travaux afin d’Ă©tudier la possibilitĂ©, en particulier, de conserver la photographie des empreintes digitales sous la forme d’un gabarit.

Ces Ă©lĂ©ments gĂ©nĂ©raux rappelĂ©s, la Commission estime que la mise en Ɠuvre d’une identitĂ© numĂ©rique d’Etat de haut niveau, respectueuse des principes « Informatique et LibertĂ©s », doit ĂȘtre encouragĂ©e. Elle considĂšre Ă  ce titre que la mise en Ɠuvre d’une carte nationale d’identitĂ© Ă©lectronique (CNIe) a vocation Ă  rĂ©pondre Ă  des usages rĂ©galiens (document de voyage, preuve d’identitĂ© lors de contrĂŽles, lutte contre la fraude documentaire) qui font l’objet du projet de dĂ©cret soumis Ă  la Commission, mais Ă©galement, Ă  terme, Ă  des services d’identitĂ© numĂ©rique qui ne sont pas dĂ©crits dans le projet de dĂ©cret mais pourraient faire l’objet de textes futurs, lĂ©gislatifs ou rĂ©glementaires. La Commission encourage le dĂ©veloppement de ces identitĂ©s, sĂ©curisĂ©es, qui permettent notamment de supprimer la circulation de photocopies de piĂšces d’Etat civil lors de l’accomplissement de certaines dĂ©marches administratives ou commerciales les nĂ©cessitant, tout en rappelant qu’un tel niveau de certification de l’identitĂ© n’est en revanche pas nĂ©cessaire pour de nombreuses autres dĂ©marches. Elle souhaite Ă©galement faire quelques observations sur les considĂ©rations Ă  prendre en compte dans cette optique.

S’agissant du dĂ©veloppement des solutions d’identitĂ© numĂ©rique, le ministĂšre a prĂ©cisĂ© que le composant Ă©lectronique de la CNIe serait intĂ©grĂ© au schĂ©ma d’identification Ă©lectronique composĂ© d’ALICEM (« Application de lecture de l’identitĂ© d’un citoyen en mobilitĂ© ») et de FranceConnect. La Commission estime que le dĂ©ploiement de cette carte est l’occasion d’Ă©tendre trĂšs largement l’accĂšs Ă  un dispositif sĂ©curisĂ© permettant de bĂ©nĂ©ficier de services d’identitĂ© numĂ©rique et qu’une rĂ©flexion devrait ĂȘtre menĂ©e afin de prendre en compte les problĂ©matiques liĂ©es Ă  l’inclusion numĂ©rique. Il incombera de conserver un accĂšs physique aux services en cause, en particulier aux services publics ou aux services essentiels. Aussi, le dispositif envisagĂ© doit ĂȘtre adaptĂ© afin de garantir l’accessibilitĂ© aux personnes handicapĂ©es des dispositifs de recueil de donnĂ©es biomĂ©triques et d’enregistrement numĂ©rique des demandes de CNIe. Elle renvoie sur ce dernier point aux recommandations formulĂ©es par le DĂ©fenseur des droits dans sa dĂ©cision 2020-027 du 20 mai 2020 relative aux difficultĂ©s rencontrĂ©es par les majeurs sous tutelle lors de la dĂ©livrance ou Ă  l’occasion du renouvellement de leur carte nationale d’identitĂ©.

La Commission considĂšre en outre que la conception de cette nouvelle CNIe est l’occasion d’intĂ©grer des outils supplĂ©mentaires permettant de garantir la meilleure protection de la vie privĂ©e possible dans le cadre de son usage comme support d’identitĂ© numĂ©rique. Ainsi, il est possible de prĂ©voir des dispositifs d’identification procĂ©dant Ă  la divulgation sĂ©lective des informations prĂ©sentes sur la carte (fonctionnalitĂ© incluse dans la carte d’identitĂ© allemande). Cela pourrait permettre l’utilisation de la carte pour certaines finalitĂ©s spĂ©cifiques sans avoir Ă  rĂ©vĂ©ler l’intĂ©gralitĂ© des donnĂ©es d’identitĂ© (par exemple pour certifier sa commune de rĂ©sidence lorsque l’on souhaite bĂ©nĂ©ficier d’une rĂ©duction Ă  l’entrĂ©e dans un Ă©quipement communal, sans rĂ©vĂ©ler tous les Ă©lĂ©ments d’identitĂ© prĂ©sents sur la carte ; ou pour certifier son Ăąge pour jouer Ă  un jeu d’argent ou acheter de l’alcool en donnant ces seuls Ă©lĂ©ments d’information). De mĂȘme, il serait possible d’utiliser ou de dĂ©river des identifiants sectoriels distincts (fonctionnalitĂ© incluse dans la carte d’identitĂ© autrichienne) selon les finalitĂ©s poursuivies, Ă  l’image de ce que la Commission recommande pour les tĂ©lĂ©services de l’administration Ă©lectronique et a pu ĂȘtre mis en Ɠuvre, par exemple, dans les cartes multiservices dĂ©veloppĂ©es au niveau des territoires sous le nom de « cartes de vie quotidienne ». La Commission encourage le ministĂšre, par le biais de la mission interministĂ©rielle sur l’identitĂ© numĂ©rique, Ă  rĂ©flĂ©chir Ă  des futures Ă©volutions de la CNIe en ce sens.

Compte tenu des finalitĂ©s poursuivies par le traitement TES, qui relĂšvent du champ du RGPD, et dans la mesure oĂč le traitement est mis en Ɠuvre pour le compte de l’Etat agissant dans l’exercice de ses prĂ©rogatives de puissance publique, qu’il porte sur des donnĂ©es biomĂ©triques nĂ©cessaires Ă  l’authentification ou au contrĂŽle de l’identitĂ© des personnes, il doit ĂȘtre autorisĂ© par un dĂ©cret en Conseil d’Etat, pris aprĂšs avis motivĂ© et publiĂ© de la Commission conformĂ©ment Ă  l’article 32 de la loi du 6 janvier 1978 modifiĂ©e.

Ces Ă©lĂ©ments rappelĂ©s, la Commission relĂšve que le prĂ©sent projet de dĂ©cret prĂ©voit, au titre notamment d’une nouvelle finalitĂ© (« lutter contre l’usurpation d’identitĂ© »), d’Ă©tendre les donnĂ©es actuellement transmises au fichier national de contrĂŽle de la validitĂ© des titres (traitement « DOCVERIF ») ainsi que le transfert d’informations vers les logiciels de rĂ©daction des procĂ©dures de la police et de la gendarmerie nationales en cas de dĂ©claration de vol de titre. ConformĂ©ment aux exigences europĂ©ennes prĂ©citĂ©es, ce projet de dĂ©cret prĂ©voit Ă©galement la suppression du caractĂšre facultatif du recueil des empreintes digitales, afin de les enregistrer dans la carte d’identitĂ©.

Le projet de décret appelle, dans ces conditions, les observations suivantes.

Sur la finalitĂ© de lutte contre l’usurpation d’identitĂ©

La Commission rappelle qu’aux termes de l’article 1er du dĂ©cret n° 2016-1460 du 28 octobre 2016 susvisĂ©, le fichier TES doit permettre de « procĂ©der Ă  l’Ă©tablissement, Ă  la dĂ©livrance, au renouvellement et Ă  l’invalidation des cartes nationales d’identitĂ© [
] et des passeports [
], ainsi que prĂ©venir et dĂ©tecter leur falsification et contrefaçon ». Le Conseil d’Etat a considĂ©rĂ© que « [
] ce traitement n’a pour finalitĂ© que de permettre l’instruction des demandes relatives Ă  ces titres et de prĂ©venir et dĂ©tecter leur falsification et leur contrefaçon. La crĂ©ation d’un tel traitement, destinĂ© Ă  prĂ©server l’intĂ©gritĂ© des donnĂ©es Ă  caractĂšre personnel nĂ©cessaires Ă  la dĂ©livrance des titres d’identitĂ© et de voyage aux fins de sĂ©curiser la dĂ©livrance de ces titres et d’amĂ©liorer l’efficacitĂ© de la lutte contre la fraude et qui, au surplus, facilite, par la centralisation des donnĂ©es recueillies, les dĂ©marches des usagers, est ainsi justifiĂ©e par un motif d’intĂ©rĂȘt gĂ©nĂ©ral » (Conseil d’Etat, 10e – 9e chambres rĂ©unies, 18 octobre 2018, 404996).
L’article 9 du projet de dĂ©cret complĂšte les finalitĂ©s poursuivies par le traitement TES afin de permettre de « lutter contre l’usurpation d’identitĂ© », qui s’inscrit dans le prolongement des finalitĂ©s actuelles.

La Commission relĂšve que cette formulation des finalitĂ©s du traitement, qui correspond Ă  des usages existants depuis l’origine, avait Ă©tĂ© mentionnĂ©e dans ses prĂ©cĂ©dents avis. Elle appelle nĂ©anmoins le ministĂšre Ă  prĂ©ciser qu’il s’agit d’une usurpation d’identitĂ© en lien avec l’usage frauduleux de documents d’identitĂ©. Elle souligne en outre que, dans la mesure oĂč le traitement TES a vocation Ă  rĂ©unir les donnĂ©es biomĂ©triques de prĂšs de l’ensemble de la population française, il importe que le ministĂšre ainsi que l’ANTS, dĂ©sormais responsables conjoints du traitement, soient particuliĂšrement vigilants quant au respect de la finalitĂ© d’authentification de ce traitement et que l’accĂšs Ă  celui-ci ne puisse se faire que par l’identitĂ© du porteur du titre d’identitĂ©. Elle rappelle que le Conseil d’Etat a jugĂ© que « conformĂ©ment Ă  sa finalitĂ© d’authentification, l’accĂšs Ă  ce traitement ne peut se faire que par l’identitĂ© du porteur du titre d’identitĂ©, Ă  l’exclusion, en raison des modalitĂ©s mĂȘmes de fonctionnement du traitement, de toute recherche Ă  partir des donnĂ©es biomĂ©triques elles-mĂȘmes ».

Sur la durée de conservation des empreintes digitales

L’article 10-3 du rĂšglement 2019/1157 du 20 juin 2019 susvisĂ© prĂ©voit que « sauf s’ils sont nĂ©cessaires aux finalitĂ©s du traitement dans le respect du droit de l’Union et du droit national, les Ă©lĂ©ments d’identification biomĂ©triques stockĂ©s aux fins de la personnalisation des cartes d’identitĂ© ou des documents de sĂ©jour sont conservĂ©s de maniĂšre trĂšs sĂ©curisĂ©e et uniquement jusqu’Ă  la date de remise du document et, en tout Ă©tat de cause, pas plus de quatre-vingt-dix jours Ă  compter de la date de dĂ©livrance du document. AprĂšs ce dĂ©lai, ces Ă©lĂ©ments d’identification biomĂ©triques sont immĂ©diatement effacĂ©s ou dĂ©truits ».

A titre liminaire, la Commission observe que d’autres pays europĂ©ens (tels que la Belgique et l’Allemagne), ayant pour certains une expĂ©rience de plusieurs annĂ©es sur l’utilisation de cartes dotĂ©es de composants Ă©lectroniques, conservent les donnĂ©es biomĂ©triques en base centrale pour une durĂ©e ne dĂ©passant pas les quatre-vingt-dix jours prĂ©vus par le rĂšglement 2019/1157 prĂ©citĂ© et n’utilisent pas de base de donnĂ©es centralisĂ©es contenant les empreintes digitales pour lutter contre la fraude et les usurpations d’identitĂ©. Le Gouvernement français a fait le choix de conserver la base existante actuellement et de prĂ©voir, par voie rĂ©glementaire, que l’ensemble des donnĂ©es Ă  caractĂšre personnel relatives Ă  la CNIe est conservĂ© pendant une durĂ©e de quinze ans (article 14 du projet de dĂ©cret). Ce choix n’est pas contraire Ă  l’article 10-3 du rĂšglement europĂ©en, Ă©clairĂ© par son considĂ©rant 22, qui rĂ©serve l’hypothĂšse d’une conservation plus longue lorsque cela est nĂ©cessaire aux finalitĂ©s de traitements des mĂȘmes donnĂ©es prĂ©vues par le droit national. Ce faisant, le projet de dĂ©cret abaisse la durĂ©e de conservation de ces donnĂ©es, pour l’aligner sur la durĂ©e de validitĂ© des nouvelles cartes d’identitĂ©.

InterrogĂ© sur la proportionnalitĂ© de cette nouvelle durĂ©e de conservation, le ministĂšre a prĂ©cisĂ© que la conservation des donnĂ©es biomĂ©triques dans la base TES au-delĂ  de la dĂ©livrance du titre d’identitĂ© au demandeur est justifiĂ©e par la nĂ©cessitĂ© de lutter contre l’obtention indue d’un titre et, en particulier, contre le phĂ©nomĂšne d’usurpation d’identitĂ© dans le cadre de la procĂ©dure de dĂ©livrance. Il a Ă©galement indiquĂ© que la possibilitĂ© pour un individu d’usurper une identitĂ© et d’utiliser un document authentique reprĂ©sente un risque sĂ©rieux qu’il convient de prendre en compte en transmettant plusieurs exemples de scenarii possibles (demande d’un document en prĂ©sentant un Ă©tat civil obtenu frauduleusement et en usurpant l’identitĂ© de la personne concernĂ©e, demande de renouvellement d’un titre perdu ou volĂ© en allĂ©guant une identitĂ© usurpĂ©e, fraude mimĂ©tique, etc.).

Si la Commission relĂšve que les durĂ©es de conservation prĂ©vues par le projet de dĂ©cret correspondent Ă  la durĂ©e de validitĂ© du titre, comme c’est d’ores et dĂ©jĂ  le cas, et ce, depuis 2016, elle souligne que l’utilisation d’un nouveau type de carte d’identitĂ© comprenant l’intĂ©gration d’un composant Ă©lectronique, qui permettra a priori de rĂ©duire les hypothĂšses de fraude documentaire, aurait pu conduire Ă  rĂ©Ă©valuer cette durĂ©e. Elle prend toutefois acte des prĂ©cisions apportĂ©es par le ministĂšre selon lesquelles il est possible que l’usurpation d’identitĂ© repose, en pratique, sur la prĂ©sentation d’un titre volĂ© ou trouvĂ© et dont le composant Ă©lectronique a Ă©tĂ© volontairement dĂ©tĂ©riorĂ© et dont la photographie ressemble Ă  l’usurpateur. La Commission prend Ă©galement acte des prĂ©cisions apportĂ©es relatives au fait qu’en cas de suspicion de fraude, les piĂšces constitutives pour Ă©tudier un dossier d’usurpation comprennent le fait que des titres prĂ©cĂ©dents aient pu ĂȘtre invalidĂ©s ou refusĂ©s.

La Commission relĂšve Ă©galement que ces durĂ©es de conservation ont Ă©tĂ© admises au contentieux par les dĂ©cisions du Conseil d’Etat dĂ©jĂ  mentionnĂ©es (CE, Ass., 26 oct. 2011, n° 317827, Rec. ; CE, 10/9, 18 oct. 2018, n° 404996). Elle souligne en outre que le projet de dĂ©cret, qui rĂ©duit la durĂ©e de validitĂ© de la CNI conformĂ©ment aux dispositions du rĂšglement europĂ©en du 20 juin 2019 susvisĂ©, prĂ©voit Ă©galement que les durĂ©es de conservations des donnĂ©es dans le traitement TES portant sur les titres dĂ©jĂ  dĂ©livrĂ©s, demeurent inchangĂ©es. Elle souligne toutefois les difficultĂ©s liĂ©es Ă  la bonne comprĂ©hension d’ensemble des durĂ©es de conservation retenues dans la mesure oĂč il est nĂ©cessaire de se rĂ©fĂ©rer Ă  des dispositions du projet de dĂ©cret figurant au titre des « dispositions transitoires ». Dans ce contexte, la Commission appelle l’attention du ministĂšre ainsi que de l’ANTS sur la nĂ©cessitĂ© d’assurer la lisibilitĂ© du dispositif envisagĂ© pour les personnes concernĂ©es.

Sur la possibilitĂ© de solliciter la suppression de l’image numĂ©risĂ©e des empreintes digitales sous forme numĂ©rique

La Commission relĂšve que l’article 3 du projet de dĂ©cret prĂ©voit la possibilitĂ© pour la personne concernĂ©e de demander Ă  ce que l’image numĂ©risĂ©e de ses empreintes ne soit pas conservĂ©e dans le traitement au-delĂ  d’un dĂ©lai de quatre-vingt-dix jours Ă  compter de la date de dĂ©livrance du titre ou de la date de refus de cette dĂ©livrance par le service instructeur, la copie sur papier des empreintes Ă©tant alors conservĂ©e par l’ANTS pour une durĂ©e de quinze ans.

La Commission relĂšve que si la conservation sous format papier des empreintes digitales du demandeur n’est pas nouvelle, elle appelle, dans le contexte des modifications envisagĂ©es, les observations suivantes.

D’une part, la Commission accueille favorablement la possibilitĂ© d’une conservation moins longue de donnĂ©es biomĂ©triques en base centralisĂ©e. Pour permettre l’expression de ce choix, un formulaire spĂ©cifique devra ĂȘtre proposĂ© au demandeur (par voie papier ou mis en ligne) et devra ĂȘtre adaptĂ© au nouveau contexte rĂ©glementaire. La Commission rappelle que l’information aux personnes concernĂ©es devra ĂȘtre dĂ©livrĂ©e, conformĂ©ment Ă  l’article 12 du RGPD, d’une façon concise, transparente et aisĂ©ment comprĂ©hensible, en particulier pour toute information destinĂ©e spĂ©cifiquement Ă  une personne mineure. Elle rappelle, en tout Ă©tat de cause et dans la mesure oĂč des donnĂ©es Ă  caractĂšre personnel seront collectĂ©es par le biais de ce formulaire, que celui-ci devra comporter les mentions relatives Ă  la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel.

D’autre part, la Commission relĂšve que l’article 15 du projet de dĂ©cret, qui est relatif Ă  la nature des informations fournies au demandeur lors de sa demande de titre, vise Ă  l’informer de la possibilitĂ© qui lui est effectivement offerte de refuser la conservation dans TES de l’image numĂ©risĂ©e de ses empreintes digitales au-delĂ  d’un dĂ©lai maximal de quatre-vingt-dix jours, ne fait pas rĂ©fĂ©rence (y compris par l’objet d’un renvoi) aux dispositions du dĂ©cret du 22 octobre 1955 susvisĂ© relatives Ă  la conservation, d’une copie papier de ces mĂȘmes donnĂ©es. Elle estime qu’Ă  des fins de meilleure lisibilitĂ© du dispositif dans son ensemble, le projet de dĂ©cret pourrait ĂȘtre complĂ©tĂ© en ce sens.

Enfin, elle relĂšve que la suppression des empreintes digitales Ă  l’issue du dĂ©lai de quatre-vingt-dix jours, lorsque le demandeur en a fait la demande, est effectuĂ©e de maniĂšre manuelle par des agents habilitĂ©s de l’ANTS. La Commission recommande que cette solution demeure transitoire et que les modifications nĂ©cessaires soient planifiĂ©es et mises en Ɠuvre pour permettre une suppression automatisĂ©e des donnĂ©es Ă  la fin de la durĂ©e de conservation.

Sur l’interconnexion avec le fichier national de contrĂŽle de la validitĂ© des titres (« DOCVERIF »)

L’article 12 du projet de dĂ©cret prĂ©voit que le traitement TES « transmet au fichier national de contrĂŽle de validitĂ© des titres, les numĂ©ros des titres Ă©mis, le type de titre, les nom, prĂ©noms, date et lieu de naissance du titulaire ainsi que la date de dĂ©livrance et la mention du caractĂšre valide ou invalide du document et, le cas Ă©chĂ©ant, le motif de son invaliditĂ© avec mention de la date de l’Ă©vĂšnement ».

Si la transmission de donnĂ©es issues du traitement TES vers « DOCVERIF » est dĂ©jĂ  prĂ©vue et encadrĂ©e depuis 2016, la Commission rappelle qu’elle est actuellement limitĂ©e aux numĂ©ros des titres Ă©mis ainsi qu’Ă  l’indication relative au type de titre. Elle rappelle Ă©galement que les donnĂ©es d’Ă©tat civil du titulaire du titre (nom, prĂ©noms, date et lieu de naissance) ne sont transmises Ă  « DOCVERIF » que dans le cas oĂč le titre d’identitĂ© est dĂ©clarĂ© perdu, volĂ© ou invalidĂ© dans TES. Elle relĂšve en outre qu’aucune donnĂ©e biomĂ©trique n’a vocation Ă  ĂȘtre transmise dans ce cadre.
De maniĂšre gĂ©nĂ©rale, la Commission rappelle que pour assurer la stricte proportionnalitĂ© de cette transmission, seules les donnĂ©es utiles Ă  la rĂ©alisation de la finalitĂ© poursuivie doivent ĂȘtre enregistrĂ©es.

Elle relĂšve que la modification envisagĂ©e conduit, de façon systĂ©matique, Ă  la transmission d’informations au fichier « DOCVERIF », en supprimant tout critĂšre quant au statut du titre (suppression des mentions « perdus, volĂ©s ou invalidĂ©s »).

InterrogĂ© sur ce point, le ministĂšre a prĂ©cisĂ© que la seule confirmation de la validitĂ© du numĂ©ro d’un titre ne permet pas de garantir que le titre n’a pas Ă©tĂ© falsifiĂ© et que la modification envisagĂ©e vise Ă  permettre, dans un objectif de lutte contre la fraude documentaire, de vĂ©rifier que les donnĂ©es d’Ă©tat-civil figurant sur le titre suspect correspondent Ă  celles du titre authentique enregistrĂ©es dans TES et transmises Ă  « DOCVERIF ». La Commission prend acte de ce que la transmission systĂ©matique des donnĂ©es issues du TES permettrait par exemple de dĂ©tecter d’Ă©ventuelles falsifications de l’Ă©tat-civil figurant sur un titre d’identitĂ© dont le numĂ©ro est toujours valide.

Sans remettre en cause le principe de ces Ă©volutions au regard des prĂ©cisions apportĂ©es, la Commission relĂšve tout d’abord que cette modification conduira Ă  une augmentation du volume de donnĂ©es transmis au traitement « DOCVERIF ». Elle rappelle que cette modification ne doit pas conduire Ă  ce que le traitement « DOCVERIF », qui poursuit des finalitĂ©s distinctes de celles de TES, devienne une base miroir de ce dernier. Dans ces conditions, la Commission invite le ministĂšre ainsi que l’ANTS Ă  prendre toute mesure nĂ©cessaire permettant d’assurer le strict respect des conditions de mise en Ɠuvre de chacun de ces fichiers.

Enfin, si elle est consciente des contraintes opĂ©rationnelles liĂ©es Ă  la mise en Ɠuvre de solutions techniques qui pourraient permettre de rĂ©pondre Ă  l’objectif poursuivi de lutte contre la fraude, sans pour autant conduire Ă  ce que l’ensemble des donnĂ©es d’Ă©tat civil soient transmises au traitement« DOCVERIF », elle invite nĂ©anmoins le ministĂšre ainsi que l’ANTS Ă  engager une rĂ©flexion sur ce point, au travers, par exemple, de la gĂ©nĂ©ration au niveau de TES d’une signature Ă©lectronique certifiant les donnĂ©es du titre sans en transmettre une copie et Ă  mener une Ă©tude de faisabilitĂ© sur une telle opportunitĂ©.

En tout Ă©tat de cause, la Commission souligne qu’Ă  dĂ©faut pour cet article du projet de dĂ©cret de prĂ©ciser les finalitĂ©s pour lesquelles les donnĂ©es seront transmises Ă  « DOCVERIF », cette transmission devra uniquement rĂ©pondre aux conditions de sa collecte telle que prĂ©vue par le dĂ©cret TES. Elle rappelle Ă©galement que l’arrĂȘtĂ© du 10 aoĂ»t 2016 autorisant la crĂ©ation de « DOCVERIF », sur lequel elle devra se prononcer, devra ĂȘtre modifiĂ© afin de prĂ©voir la collecte de ces donnĂ©es.

Sur la transmission de données aux logiciels de rédaction des procédures de la police et la gendarmerie nationales

L’article 13 du projet de dĂ©cret encadre la possibilitĂ© de transmettre des donnĂ©es issues du traitement TES aux logiciels de rĂ©daction des procĂ©dures de la gendarmerie et la police nationales, dans le cas du recueil des dĂ©clarations de vol des cartes nationales d’identitĂ© et des passeports. Les donnĂ©es d’Ă©tat civil, les informations relatives Ă  la dĂ©livrance du titre (date, lieu, autoritĂ©, type et numĂ©ro) ainsi que l’image numĂ©risĂ©e du visage du titulaire du titre sont notamment transmises. Le ministĂšre a par ailleurs prĂ©cisĂ© que seules les informations relatives aux documents correspondant Ă  l’Ă©tat civil exact saisi par l’agent en charge de la plainte seront transmises.

A titre liminaire, la Commission relĂšve que ces Ă©volutions ne constituent actuellement qu’un projet devant ĂȘtre mis en Ɠuvre Ă  Ă©chĂ©ance fin 2021. Elle souligne en outre que les fonctionnalitĂ©s projetĂ©es nĂ©cessiteront la modification, le cas Ă©chĂ©ant, des actes rĂ©glementaires encadrant ces traitements.

Elle relĂšve que ces transmissions sont notamment justifiĂ©es par la nĂ©cessitĂ© de fiabiliser les informations transmises au SystĂšme d’information Schengen (SIS). Sans remettre en cause l’utilitĂ© opĂ©rationnelle que constitue une telle Ă©volution, la Commission rappelle que lorsque le Conseil d’Etat, dans sa dĂ©cision du 18 octobre 2018 prĂ©citĂ©e, s’Ă©tait prononcĂ© sur la lĂ©galitĂ© du dĂ©cret relatif au traitement TES, il avait spĂ©cifiquement relevĂ© que « l’interconnexion du systĂšme de traitement n’est prĂ©vue qu’avec les systĂšmes d’information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numĂ©ros des passeports perdus ou volĂ©s, au pays Ă©metteur et au caractĂšre vierge ou personnalisĂ© du document ».

A ce stade et si elle prend acte des prĂ©cisions apportĂ©es par le ministĂšre selon lesquelles la transmission de donnĂ©es rĂ©alisĂ©e doit permettre, lors du recueil d’une plainte pour vol d’une carte nationale d’identitĂ© ou d’un passeport, aux logiciels de rĂ©daction des procĂ©dures d’obtenir de TES le numĂ©ro du titre concernĂ© ainsi que les informations permettant de vĂ©rifier que le plaignant en est bien le titulaire lĂ©gitime (visualisation de la photographie du titre), la Commission s’interroge toutefois sur l’opportunitĂ©, dans cette situation, de transmettre l’ensemble des donnĂ©es mentionnĂ©es Ă  l’article 13 du projet de dĂ©cret – et non les seules informations relatives Ă  la dĂ©livrance du titre – afin de transmettre dans un second temps des signalements complets au SIS.

En tout Ă©tat de cause et s’agissant plus particuliĂšrement de la transmission de l’image numĂ©risĂ©e du visage du titulaire, le projet de dĂ©cret prĂ©cise qu’elle est « transmise selon des modalitĂ©s qui ne permettent pas son enregistrement dans les logiciels susmentionnĂ©s ». InterrogĂ© sur ce point, le ministĂšre a indiquĂ© que la photographie sera affichĂ©e sous la forme d’un « pop-up » sans fonctionnalitĂ© de tĂ©lĂ©chargement ou d’enregistrement. Elle permettra Ă  l’agent recevant la plainte de vĂ©rifier que l’identitĂ© dĂ©clarĂ©e par le plaignant est celle figurant sur son document d’identitĂ© (CNIe ou passeport). A cet Ă©gard, la Commission invite le ministĂšre Ă  renforcer l’information des agents concernĂ©s quant au respect de l’interdiction d’enregistrer de quelque maniĂšre que ce soit (et par exemple via une capture d’Ă©cran) la photographie de la personne concernĂ©e. Elle invite Ă©galement le ministĂšre Ă  envisager la possibilitĂ© d’apposer un filigrane Ă  la photographie affichĂ©e, permettant ainsi de dissuader tout enregistrement illĂ©gitime en assurant une meilleure traçabilitĂ© et garantissant ainsi le strict respect des conditions de mise en Ɠuvre prĂ©cĂ©demment dĂ©crites.

Sur les autres interconnexions

Le traitement TES a vocation Ă  alimenter la partie nationale du SystĂšme d’information Schengen de deuxiĂšme gĂ©nĂ©ration (N-SIS II), ainsi que le traitement « Stolen and Lost Travel Documents » (SLTD) gĂ©rĂ© par Interpol, de donnĂ©es relatives aux titre perdus, volĂ©s ou invalidĂ©s. Cette alimentation, qui est rĂ©alisĂ©e de maniĂšre automatique, implique que le traitement TES transmette des donnĂ©es, Ă  l’exception des donnĂ©es biomĂ©triques, dĂšs lors qu’est enregistrĂ©e une dĂ©claration de perte, ou de vol.

Si ces modalitĂ©s n’appellent pas d’observation, la Commission souligne nĂ©anmoins que s’agissant plus particuliĂšrement de la base SLTD, des donnĂ©es pourront ĂȘtre transmises hors de l’Union europĂ©enne. Elle rappelle que les transferts de donnĂ©es vers des pays tiers ne pourront ĂȘtre opĂ©rĂ©s que sous rĂ©serve du respect des conditions Ă©noncĂ©es aux articles 45 et suivants du RGPD. En l’absence de dĂ©cision d’adĂ©quation adoptĂ©e par la Commission europĂ©enne, de tels transferts ne pourront ĂȘtre rĂ©alisĂ©s que sous rĂ©serve que des garanties appropriĂ©es soient mises en Ɠuvre conformĂ©ment Ă  l’article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comitĂ© europĂ©en de la protection des donnĂ©es sur les mesures qui complĂštent les outils de transfert pour garantir le respect du niveau de protection des donnĂ©es Ă  caractĂšre personnel de l’UE.

Sur la sécurité du traitement

A titre gĂ©nĂ©ral, la Commission souligne que le renouvellement du format de la carte d’identitĂ© utilisĂ© depuis environ trente ans apportera un renforcement significatif de la sĂ©curitĂ© du titre, notamment par l’ajout du composant Ă©lectronique sĂ©curisĂ©. Elle souligne par ailleurs que dans son avis du 23 fĂ©vrier 2016, le Conseil d’Etat a rappelĂ© qu’eu Ă©gard Ă  l’ampleur et au caractĂšre particuliĂšrement sensible du TES, qui pourrait rassembler les donnĂ©es relatives Ă  l’identitĂ© ainsi que les photographies et les empreintes digitales numĂ©risĂ©es de plusieurs dizaines de millions de personnes, la mise en Ɠuvre de ce traitement informatique de donnĂ©es devait obĂ©ir Ă  des rĂšgles de sĂ©curitĂ© strictes.

La Commission rappelle quant Ă  elle que la mise en Ɠuvre de mesures de sĂ©curitĂ© adĂ©quates nĂ©cessite notamment d’assurer l’effectivitĂ© des restrictions d’accĂšs prĂ©vues par le cadre normatif en vigueur, la traçabilitĂ© des consultations ainsi que la prĂ©vention de tout dĂ©tournement des donnĂ©es.

Elle relĂšve que s’agissant du composant Ă©lectronique enregistrant les donnĂ©es d’identitĂ©, celui-ci est similaire Ă  celui utilisĂ© pour le passeport depuis 2008 selon les spĂ©cifications de la norme ICAO (International Civil Aviation Organization) pour les documents de voyage.

La Commission relĂšve Ă©galement que l’Agence nationale de la sĂ©curitĂ© des systĂšmes d’information (ANSSI) a, lors des audits qu’elle a rĂ©alisĂ©s concernant le traitement TES, Ă©mis un certain nombre de recommandations.

Parmi les recommandations mises en Ɠuvre, la Commission prend note qu’une journalisation des requĂȘtes judiciaires a Ă©tĂ© opĂ©rĂ©e. En l’Ă©tat de la documentation, il n’est pas indiquĂ© que les agents habilitĂ©s Ă  rĂ©pondre aux requĂȘtes judiciaires ne peuvent pas ĂȘtre, aussi, habilitĂ©s Ă  la gestion de ces traces. La Commission considĂšre comme indispensable qu’une telle rĂšgle soit explicitĂ©e et mise en Ɠuvre si cela n’Ă©tait pas le cas.

La Commission comprend de la documentation que certaines des recommandations n’ont par ailleurs pas Ă©tĂ© mises en Ɠuvre et ainsi :

– la recommandation 1 conseille non seulement de chiffrer les donnĂ©es biomĂ©triques en base, ce qui a Ă©tĂ© mis en Ɠuvre par le ministĂšre, mais aussi de confier les moyens de dĂ©chiffrement Ă  un tiers de sorte que ni le ministĂšre ni l’autoritĂ© tierce ne puisse, seule, avoir les moyens de dĂ©chiffrer les donnĂ©es pour rĂ©pondre aux rĂ©quisitions judiciaires. Cette seconde partie de la recommandation ne semble ni mise en Ɠuvre par le ministĂšre Ă  ce stade ni prĂ©vue dans le plan d’action. Cette recommandation permet Ă  la fois de relever le niveau de sĂ©curitĂ© des donnĂ©es et de protection de la vie privĂ©e, ainsi que de limiter le risque que le traitement soit transformĂ© en une base d’identification des individus. Compte tenu de ces Ă©lĂ©ments, la Commission estime nĂ©cessaire qu’une telle mesure, par ailleurs recommandĂ©e par l’ANSSI, soit mise en Ɠuvre ;
– la recommandation 4 prĂ©voit de relever le niveau d’exigence en sĂ©curitĂ© des contrats de prestation. Sa mise en Ɠuvre devant ĂȘtre intĂ©grĂ©e lors du renouvellement du marchĂ©, la Commission comprend que celle-ci est prĂ©vue dans le plan d’action du ministĂšre.

La Commission considĂšre comme indispensable que ces recommandations particuliĂšres soient prises en compte et relĂšve que c’est ce que le ministĂšre prĂ©voit pour la quasi-intĂ©gralitĂ© des recommandations de l’ANSSI.

Elle estime en outre que le pĂ©rimĂštre des audits de sĂ©curitĂ© devrait ĂȘtre Ă©tendu, de maniĂšre Ă  inclure les interconnexions, mises en relation et rapprochements mis en Ɠuvre.

La Commission relĂšve que plusieurs mesures du plan d’action Ă©taient indiquĂ©es pour fin 2020 dans la version de l’analyse d’impact relative Ă  la protection des donnĂ©es (AIPD) de dĂ©cembre 2020. Si elle constate un certain retard quant Ă  leur mise en Ɠuvre, elle recommande au ministĂšre de mettre Ă  jour les dĂ©lais prĂ©vus et de prĂ©voir une Ă©valuation de leur mise en Ɠuvre fin 2021.

La Commission note enfin que des traces, tant systĂšmes qu’applicatives, sont gĂ©nĂ©rĂ©es par le traitement et conservĂ©es pour une durĂ©e de cinq ans. La Commission rappelle que sa recommandation sur la gestion des traces et des journaux techniques, est de mettre en Ɠuvre une durĂ©e de conservation de six mois, sauf Ă  ĂȘtre en mesure de prouver que certains risques ne peuvent ĂȘtre couverts que par une extension de cette durĂ©e. De mĂȘme, en vue d’ĂȘtre en mesure d’assurer l’intĂ©gritĂ© et la disponibilitĂ© des donnĂ©es, un systĂšme de centralisation des traces est conseillĂ© ainsi que la mise en Ɠuvre d’un mĂ©canisme proactif de contrĂŽle automatique des journaux contribuant Ă  la dĂ©tection des comportements anormaux par la gĂ©nĂ©ration automatique d’alertes.


JORF n°0063 du 14 mars 2021, texte n° 80

1 commentaire sur “🟧 DĂ©libĂ©ration CNIL du 11 fĂ©vrier 2021 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractĂšre personnel relatif aux passeports et aux cartes nationales d’identitĂ©”

Les commentaires sont fermés.