🟧 DĂ©libĂ©ration CNIL du 11 fĂ©vrier 2021 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractère personnel relatif aux passeports et aux cartes nationales d’identitĂ©

La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministre de l’intĂ©rieur d’une demande d’avis concernant un projet de dĂ©cret modifiant le dĂ©cret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret n° 2016-1460 du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractère personnel relatif aux passeports et aux cartes nationales d’identitĂ© ;
Vu le règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le règlement (UE) 2019/1157 du Parlement europĂ©en et du Conseil du 20 juin 2019 relatif au renforcement de la sĂ©curitĂ© des cartes d’identitĂ© des citoyens de l’Union et des documents de sĂ©jour dĂ©livrĂ©s aux citoyens de l’Union et aux membres de leur famille exerçant leur droit Ă  la libre circulation ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 32 ;
Vu le dĂ©cret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identitĂ© ;
Vu le dĂ©cret n° 2016-1460 du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractère personnel relatif aux passeports et aux cartes nationales d’identitĂ© ;


Le règlement europĂ©en 2019/1157 du 20 juin 2019 susvisĂ© a pour objet de renforcer la sĂ©curitĂ© des cartes d’identitĂ© des citoyens de l’Union et des documents de sĂ©jour dĂ©livrĂ©s aux citoyens de l’Union et aux membres de leur famille exerçant leur droit Ă  la libre circulation. Ce règlement, applicable Ă  compter du 2 aoĂ»t 2021, impose aux Etats membres de l’Union europĂ©enne (UE) de mettre en circulation des cartes d’identitĂ© intĂ©grant un composant Ă©lectronique hautement sĂ©curisĂ© contenant des donnĂ©es biomĂ©triques, Ă  savoir une image numĂ©risĂ©e du visage du titulaire de la carte et celle de deux empreintes digitales dans des formats numĂ©riques interopĂ©rables. L’article 3-5 du règlement 2019/1157 du 20 juin 2019 susvisĂ©, impose par ailleurs le recueil obligatoire des empreintes digitales.
Ne sont exemptĂ©s de recueil des empreintes digitales, aux termes de ce règlement, que les mineurs de moins de six ans et les personnes qui sont dans l’incapacitĂ© physique de se les voir prĂ©lever, les Etats membres conservant quant Ă  eux la possibilitĂ© d’exempter de recueil des empreintes digitales les mineurs de moins de douze ans. A cet Ă©gard, la Commission relève qu’en France, des dispositions nationales ont Ă©tĂ© adoptĂ©es en ce sens.

C’est dans ce contexte que la Commission est saisie d’un projet de dĂ©cret modifiant les dispositions relatives Ă  la carte nationale d’identitĂ© (CNI) ainsi que celles relatives aux conditions de mise en Ĺ“uvre du traitement dĂ©nommĂ© « Titres Ă©lectroniques sĂ©curisĂ©s » (TES). Elle rappelle que ce traitement, qui regroupe, dans une base de donnĂ©es centralisĂ©e, l’image numĂ©risĂ©e du visage et des empreintes digitales de deux doigts de l’ensemble des demandeurs de CNI et de passeports, permet de dĂ©livrer et de renouveler ces documents, mais aussi de prĂ©venir et dĂ©tecter leur falsification et contrefaçon. Afin de mieux lutter contre la fraude documentaire, notamment au moment du renouvellement du titre, le système TES procède Ă  la comparaison automatique des empreintes digitales de chaque demandeur avec celles prĂ©cĂ©demment enregistrĂ©es sous la mĂŞme identitĂ©, afin de vĂ©rifier que l’identitĂ© du demandeur de titre est bien celle qu’il prĂ©tend avoir (fonction d’authentification des personnes).

Elle souligne qu’Ă  ce jour, le TES demeure un fichier singulier, compte tenu tant de son pĂ©rimètre d’une ampleur inĂ©galĂ©e, que de la nature particulièrement sensible des donnĂ©es biomĂ©triques qu’il contient. Depuis la crĂ©ation de ce traitement, la Commission s’est ainsi toujours montrĂ©e particulièrement attentive quant aux garanties substantielles Ă  mettre en Ĺ“uvre pour encadrer l’utilisation de ce traitement et entend faire preuve d’une vigilance renforcĂ©e dans le cadre des modifications qui lui sont soumises.

Elle rappelle en effet que, s’agissant plus particulièrement des usages rĂ©galiens, le recours Ă  des dispositifs de reconnaissance biomĂ©trique est considĂ©rĂ© comme lĂ©gitime pour s’assurer de l’identitĂ© d’une personne, dès lors que les donnĂ©es biomĂ©triques sont conservĂ©es sur un support dont la personne a l’usage exclusif, comme c’est le cas pour le passeport biomĂ©trique. La Commission estime Ă  ce titre, ainsi qu’elle l’a rappelĂ© dans de nombreuses dĂ©libĂ©rations, que la mise en place et le maintien d’une base centrale de donnĂ©es biomĂ©triques ne peut ĂŞtre admise que dans la mesure oĂą des exigences impĂ©rieuses en matière de sĂ©curitĂ© ou d’ordre public le justifient. Le traitement de donnĂ©es biomĂ©triques (image du visage et empreintes digitales), sous une forme centralisĂ©e, engendre en effet davantage de risques du point de vue de la protection des donnĂ©es Ă  caractère personnel, compte tenu Ă  la fois des caractĂ©ristiques de l’Ă©lĂ©ment d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves Ă  la vie privĂ©e et aux libertĂ©s individuelles en rĂ©sultant.

C’est notamment au regard de ces Ă©lĂ©ments que la Commission s’Ă©tait montrĂ©e dĂ©favorable Ă  la crĂ©ation d’une base centralisĂ©e des empreintes digitales recueillies pour les passeports Ă©lectroniques, dĂ©nommĂ©e « Titres Ă©lectroniques sĂ©curisĂ©es » (TES), par le dĂ©cret du 30 avril 2008, puis avait regrettĂ©, son extension aux empreintes digitales recueillies pour les cartes d’identitĂ© par le dĂ©cret du 28 octobre 2016. Saisi au contentieux, le Conseil d’Etat a validĂ© le principe de la constitution d’une base centralisĂ©e, limitĂ©e aux empreintes de deux doigts Ă  des fins d’authentification, tant pour les passeports (CE, Ass., 26 oct. 2011, n° 317827, Rec.) que pour les cartes d’identitĂ© (CE, 10/9, 18 oct. 2018, n° 404996), et ce alors mĂŞme que pour les passeports les donnĂ©es biomĂ©triques figurent dĂ©jĂ  dans le composant individuel insĂ©rĂ© dans le titre.

Au regard des enjeux spĂ©cifiques liĂ©s au choix de maintenir, au niveau national, une base centralisĂ©e des empreintes digitales, la Commission estime que des solutions qu’elle considère comme plus protectrices de la vie privĂ©e des citoyens devraient continuer Ă  ĂŞtre envisagĂ©es. Elle invite, Ă  cet Ă©gard, le ministère ainsi que l’Agence nationale des titres sĂ©curisĂ©s (ANTS) Ă  poursuivre leurs travaux afin d’Ă©tudier la possibilitĂ©, en particulier, de conserver la photographie des empreintes digitales sous la forme d’un gabarit.

Ces Ă©lĂ©ments gĂ©nĂ©raux rappelĂ©s, la Commission estime que la mise en Ĺ“uvre d’une identitĂ© numĂ©rique d’Etat de haut niveau, respectueuse des principes « Informatique et LibertĂ©s », doit ĂŞtre encouragĂ©e. Elle considère Ă  ce titre que la mise en Ĺ“uvre d’une carte nationale d’identitĂ© Ă©lectronique (CNIe) a vocation Ă  rĂ©pondre Ă  des usages rĂ©galiens (document de voyage, preuve d’identitĂ© lors de contrĂ´les, lutte contre la fraude documentaire) qui font l’objet du projet de dĂ©cret soumis Ă  la Commission, mais Ă©galement, Ă  terme, Ă  des services d’identitĂ© numĂ©rique qui ne sont pas dĂ©crits dans le projet de dĂ©cret mais pourraient faire l’objet de textes futurs, lĂ©gislatifs ou rĂ©glementaires. La Commission encourage le dĂ©veloppement de ces identitĂ©s, sĂ©curisĂ©es, qui permettent notamment de supprimer la circulation de photocopies de pièces d’Etat civil lors de l’accomplissement de certaines dĂ©marches administratives ou commerciales les nĂ©cessitant, tout en rappelant qu’un tel niveau de certification de l’identitĂ© n’est en revanche pas nĂ©cessaire pour de nombreuses autres dĂ©marches. Elle souhaite Ă©galement faire quelques observations sur les considĂ©rations Ă  prendre en compte dans cette optique.

S’agissant du dĂ©veloppement des solutions d’identitĂ© numĂ©rique, le ministère a prĂ©cisĂ© que le composant Ă©lectronique de la CNIe serait intĂ©grĂ© au schĂ©ma d’identification Ă©lectronique composĂ© d’ALICEM (« Application de lecture de l’identitĂ© d’un citoyen en mobilitĂ© ») et de FranceConnect. La Commission estime que le dĂ©ploiement de cette carte est l’occasion d’Ă©tendre très largement l’accès Ă  un dispositif sĂ©curisĂ© permettant de bĂ©nĂ©ficier de services d’identitĂ© numĂ©rique et qu’une rĂ©flexion devrait ĂŞtre menĂ©e afin de prendre en compte les problĂ©matiques liĂ©es Ă  l’inclusion numĂ©rique. Il incombera de conserver un accès physique aux services en cause, en particulier aux services publics ou aux services essentiels. Aussi, le dispositif envisagĂ© doit ĂŞtre adaptĂ© afin de garantir l’accessibilitĂ© aux personnes handicapĂ©es des dispositifs de recueil de donnĂ©es biomĂ©triques et d’enregistrement numĂ©rique des demandes de CNIe. Elle renvoie sur ce dernier point aux recommandations formulĂ©es par le DĂ©fenseur des droits dans sa dĂ©cision 2020-027 du 20 mai 2020 relative aux difficultĂ©s rencontrĂ©es par les majeurs sous tutelle lors de la dĂ©livrance ou Ă  l’occasion du renouvellement de leur carte nationale d’identitĂ©.

La Commission considère en outre que la conception de cette nouvelle CNIe est l’occasion d’intĂ©grer des outils supplĂ©mentaires permettant de garantir la meilleure protection de la vie privĂ©e possible dans le cadre de son usage comme support d’identitĂ© numĂ©rique. Ainsi, il est possible de prĂ©voir des dispositifs d’identification procĂ©dant Ă  la divulgation sĂ©lective des informations prĂ©sentes sur la carte (fonctionnalitĂ© incluse dans la carte d’identitĂ© allemande). Cela pourrait permettre l’utilisation de la carte pour certaines finalitĂ©s spĂ©cifiques sans avoir Ă  rĂ©vĂ©ler l’intĂ©gralitĂ© des donnĂ©es d’identitĂ© (par exemple pour certifier sa commune de rĂ©sidence lorsque l’on souhaite bĂ©nĂ©ficier d’une rĂ©duction Ă  l’entrĂ©e dans un Ă©quipement communal, sans rĂ©vĂ©ler tous les Ă©lĂ©ments d’identitĂ© prĂ©sents sur la carte ; ou pour certifier son âge pour jouer Ă  un jeu d’argent ou acheter de l’alcool en donnant ces seuls Ă©lĂ©ments d’information). De mĂŞme, il serait possible d’utiliser ou de dĂ©river des identifiants sectoriels distincts (fonctionnalitĂ© incluse dans la carte d’identitĂ© autrichienne) selon les finalitĂ©s poursuivies, Ă  l’image de ce que la Commission recommande pour les tĂ©lĂ©services de l’administration Ă©lectronique et a pu ĂŞtre mis en Ĺ“uvre, par exemple, dans les cartes multiservices dĂ©veloppĂ©es au niveau des territoires sous le nom de « cartes de vie quotidienne ». La Commission encourage le ministère, par le biais de la mission interministĂ©rielle sur l’identitĂ© numĂ©rique, Ă  rĂ©flĂ©chir Ă  des futures Ă©volutions de la CNIe en ce sens.

Compte tenu des finalitĂ©s poursuivies par le traitement TES, qui relèvent du champ du RGPD, et dans la mesure oĂą le traitement est mis en Ĺ“uvre pour le compte de l’Etat agissant dans l’exercice de ses prĂ©rogatives de puissance publique, qu’il porte sur des donnĂ©es biomĂ©triques nĂ©cessaires Ă  l’authentification ou au contrĂ´le de l’identitĂ© des personnes, il doit ĂŞtre autorisĂ© par un dĂ©cret en Conseil d’Etat, pris après avis motivĂ© et publiĂ© de la Commission conformĂ©ment Ă  l’article 32 de la loi du 6 janvier 1978 modifiĂ©e.

Ces Ă©lĂ©ments rappelĂ©s, la Commission relève que le prĂ©sent projet de dĂ©cret prĂ©voit, au titre notamment d’une nouvelle finalitĂ© (« lutter contre l’usurpation d’identitĂ© »), d’Ă©tendre les donnĂ©es actuellement transmises au fichier national de contrĂ´le de la validitĂ© des titres (traitement « DOCVERIF ») ainsi que le transfert d’informations vers les logiciels de rĂ©daction des procĂ©dures de la police et de la gendarmerie nationales en cas de dĂ©claration de vol de titre. ConformĂ©ment aux exigences europĂ©ennes prĂ©citĂ©es, ce projet de dĂ©cret prĂ©voit Ă©galement la suppression du caractère facultatif du recueil des empreintes digitales, afin de les enregistrer dans la carte d’identitĂ©.

Le projet de décret appelle, dans ces conditions, les observations suivantes.

Sur la finalitĂ© de lutte contre l’usurpation d’identitĂ©

La Commission rappelle qu’aux termes de l’article 1er du dĂ©cret n° 2016-1460 du 28 octobre 2016 susvisĂ©, le fichier TES doit permettre de « procĂ©der Ă  l’Ă©tablissement, Ă  la dĂ©livrance, au renouvellement et Ă  l’invalidation des cartes nationales d’identitĂ© […] et des passeports […], ainsi que prĂ©venir et dĂ©tecter leur falsification et contrefaçon ». Le Conseil d’Etat a considĂ©rĂ© que « […] ce traitement n’a pour finalitĂ© que de permettre l’instruction des demandes relatives Ă  ces titres et de prĂ©venir et dĂ©tecter leur falsification et leur contrefaçon. La crĂ©ation d’un tel traitement, destinĂ© Ă  prĂ©server l’intĂ©gritĂ© des donnĂ©es Ă  caractère personnel nĂ©cessaires Ă  la dĂ©livrance des titres d’identitĂ© et de voyage aux fins de sĂ©curiser la dĂ©livrance de ces titres et d’amĂ©liorer l’efficacitĂ© de la lutte contre la fraude et qui, au surplus, facilite, par la centralisation des donnĂ©es recueillies, les dĂ©marches des usagers, est ainsi justifiĂ©e par un motif d’intĂ©rĂŞt gĂ©nĂ©ral » (Conseil d’Etat, 10e – 9e chambres rĂ©unies, 18 octobre 2018, 404996).
L’article 9 du projet de dĂ©cret complète les finalitĂ©s poursuivies par le traitement TES afin de permettre de « lutter contre l’usurpation d’identitĂ© », qui s’inscrit dans le prolongement des finalitĂ©s actuelles.

La Commission relève que cette formulation des finalitĂ©s du traitement, qui correspond Ă  des usages existants depuis l’origine, avait Ă©tĂ© mentionnĂ©e dans ses prĂ©cĂ©dents avis. Elle appelle nĂ©anmoins le ministère Ă  prĂ©ciser qu’il s’agit d’une usurpation d’identitĂ© en lien avec l’usage frauduleux de documents d’identitĂ©. Elle souligne en outre que, dans la mesure oĂą le traitement TES a vocation Ă  rĂ©unir les donnĂ©es biomĂ©triques de près de l’ensemble de la population française, il importe que le ministère ainsi que l’ANTS, dĂ©sormais responsables conjoints du traitement, soient particulièrement vigilants quant au respect de la finalitĂ© d’authentification de ce traitement et que l’accès Ă  celui-ci ne puisse se faire que par l’identitĂ© du porteur du titre d’identitĂ©. Elle rappelle que le Conseil d’Etat a jugĂ© que « conformĂ©ment Ă  sa finalitĂ© d’authentification, l’accès Ă  ce traitement ne peut se faire que par l’identitĂ© du porteur du titre d’identitĂ©, Ă  l’exclusion, en raison des modalitĂ©s mĂŞmes de fonctionnement du traitement, de toute recherche Ă  partir des donnĂ©es biomĂ©triques elles-mĂŞmes ».

Sur la durée de conservation des empreintes digitales

L’article 10-3 du règlement 2019/1157 du 20 juin 2019 susvisĂ© prĂ©voit que « sauf s’ils sont nĂ©cessaires aux finalitĂ©s du traitement dans le respect du droit de l’Union et du droit national, les Ă©lĂ©ments d’identification biomĂ©triques stockĂ©s aux fins de la personnalisation des cartes d’identitĂ© ou des documents de sĂ©jour sont conservĂ©s de manière très sĂ©curisĂ©e et uniquement jusqu’Ă  la date de remise du document et, en tout Ă©tat de cause, pas plus de quatre-vingt-dix jours Ă  compter de la date de dĂ©livrance du document. Après ce dĂ©lai, ces Ă©lĂ©ments d’identification biomĂ©triques sont immĂ©diatement effacĂ©s ou dĂ©truits ».

A titre liminaire, la Commission observe que d’autres pays europĂ©ens (tels que la Belgique et l’Allemagne), ayant pour certains une expĂ©rience de plusieurs annĂ©es sur l’utilisation de cartes dotĂ©es de composants Ă©lectroniques, conservent les donnĂ©es biomĂ©triques en base centrale pour une durĂ©e ne dĂ©passant pas les quatre-vingt-dix jours prĂ©vus par le règlement 2019/1157 prĂ©citĂ© et n’utilisent pas de base de donnĂ©es centralisĂ©es contenant les empreintes digitales pour lutter contre la fraude et les usurpations d’identitĂ©. Le Gouvernement français a fait le choix de conserver la base existante actuellement et de prĂ©voir, par voie rĂ©glementaire, que l’ensemble des donnĂ©es Ă  caractère personnel relatives Ă  la CNIe est conservĂ© pendant une durĂ©e de quinze ans (article 14 du projet de dĂ©cret). Ce choix n’est pas contraire Ă  l’article 10-3 du règlement europĂ©en, Ă©clairĂ© par son considĂ©rant 22, qui rĂ©serve l’hypothèse d’une conservation plus longue lorsque cela est nĂ©cessaire aux finalitĂ©s de traitements des mĂŞmes donnĂ©es prĂ©vues par le droit national. Ce faisant, le projet de dĂ©cret abaisse la durĂ©e de conservation de ces donnĂ©es, pour l’aligner sur la durĂ©e de validitĂ© des nouvelles cartes d’identitĂ©.

InterrogĂ© sur la proportionnalitĂ© de cette nouvelle durĂ©e de conservation, le ministère a prĂ©cisĂ© que la conservation des donnĂ©es biomĂ©triques dans la base TES au-delĂ  de la dĂ©livrance du titre d’identitĂ© au demandeur est justifiĂ©e par la nĂ©cessitĂ© de lutter contre l’obtention indue d’un titre et, en particulier, contre le phĂ©nomène d’usurpation d’identitĂ© dans le cadre de la procĂ©dure de dĂ©livrance. Il a Ă©galement indiquĂ© que la possibilitĂ© pour un individu d’usurper une identitĂ© et d’utiliser un document authentique reprĂ©sente un risque sĂ©rieux qu’il convient de prendre en compte en transmettant plusieurs exemples de scenarii possibles (demande d’un document en prĂ©sentant un Ă©tat civil obtenu frauduleusement et en usurpant l’identitĂ© de la personne concernĂ©e, demande de renouvellement d’un titre perdu ou volĂ© en allĂ©guant une identitĂ© usurpĂ©e, fraude mimĂ©tique, etc.).

Si la Commission relève que les durĂ©es de conservation prĂ©vues par le projet de dĂ©cret correspondent Ă  la durĂ©e de validitĂ© du titre, comme c’est d’ores et dĂ©jĂ  le cas, et ce, depuis 2016, elle souligne que l’utilisation d’un nouveau type de carte d’identitĂ© comprenant l’intĂ©gration d’un composant Ă©lectronique, qui permettra a priori de rĂ©duire les hypothèses de fraude documentaire, aurait pu conduire Ă  rĂ©Ă©valuer cette durĂ©e. Elle prend toutefois acte des prĂ©cisions apportĂ©es par le ministère selon lesquelles il est possible que l’usurpation d’identitĂ© repose, en pratique, sur la prĂ©sentation d’un titre volĂ© ou trouvĂ© et dont le composant Ă©lectronique a Ă©tĂ© volontairement dĂ©tĂ©riorĂ© et dont la photographie ressemble Ă  l’usurpateur. La Commission prend Ă©galement acte des prĂ©cisions apportĂ©es relatives au fait qu’en cas de suspicion de fraude, les pièces constitutives pour Ă©tudier un dossier d’usurpation comprennent le fait que des titres prĂ©cĂ©dents aient pu ĂŞtre invalidĂ©s ou refusĂ©s.

La Commission relève Ă©galement que ces durĂ©es de conservation ont Ă©tĂ© admises au contentieux par les dĂ©cisions du Conseil d’Etat dĂ©jĂ  mentionnĂ©es (CE, Ass., 26 oct. 2011, n° 317827, Rec. ; CE, 10/9, 18 oct. 2018, n° 404996). Elle souligne en outre que le projet de dĂ©cret, qui rĂ©duit la durĂ©e de validitĂ© de la CNI conformĂ©ment aux dispositions du règlement europĂ©en du 20 juin 2019 susvisĂ©, prĂ©voit Ă©galement que les durĂ©es de conservations des donnĂ©es dans le traitement TES portant sur les titres dĂ©jĂ  dĂ©livrĂ©s, demeurent inchangĂ©es. Elle souligne toutefois les difficultĂ©s liĂ©es Ă  la bonne comprĂ©hension d’ensemble des durĂ©es de conservation retenues dans la mesure oĂą il est nĂ©cessaire de se rĂ©fĂ©rer Ă  des dispositions du projet de dĂ©cret figurant au titre des « dispositions transitoires ». Dans ce contexte, la Commission appelle l’attention du ministère ainsi que de l’ANTS sur la nĂ©cessitĂ© d’assurer la lisibilitĂ© du dispositif envisagĂ© pour les personnes concernĂ©es.

Sur la possibilitĂ© de solliciter la suppression de l’image numĂ©risĂ©e des empreintes digitales sous forme numĂ©rique

La Commission relève que l’article 3 du projet de dĂ©cret prĂ©voit la possibilitĂ© pour la personne concernĂ©e de demander Ă  ce que l’image numĂ©risĂ©e de ses empreintes ne soit pas conservĂ©e dans le traitement au-delĂ  d’un dĂ©lai de quatre-vingt-dix jours Ă  compter de la date de dĂ©livrance du titre ou de la date de refus de cette dĂ©livrance par le service instructeur, la copie sur papier des empreintes Ă©tant alors conservĂ©e par l’ANTS pour une durĂ©e de quinze ans.

La Commission relève que si la conservation sous format papier des empreintes digitales du demandeur n’est pas nouvelle, elle appelle, dans le contexte des modifications envisagĂ©es, les observations suivantes.

D’une part, la Commission accueille favorablement la possibilitĂ© d’une conservation moins longue de donnĂ©es biomĂ©triques en base centralisĂ©e. Pour permettre l’expression de ce choix, un formulaire spĂ©cifique devra ĂŞtre proposĂ© au demandeur (par voie papier ou mis en ligne) et devra ĂŞtre adaptĂ© au nouveau contexte rĂ©glementaire. La Commission rappelle que l’information aux personnes concernĂ©es devra ĂŞtre dĂ©livrĂ©e, conformĂ©ment Ă  l’article 12 du RGPD, d’une façon concise, transparente et aisĂ©ment comprĂ©hensible, en particulier pour toute information destinĂ©e spĂ©cifiquement Ă  une personne mineure. Elle rappelle, en tout Ă©tat de cause et dans la mesure oĂą des donnĂ©es Ă  caractère personnel seront collectĂ©es par le biais de ce formulaire, que celui-ci devra comporter les mentions relatives Ă  la rĂ©glementation applicable en matière de protection des donnĂ©es Ă  caractère personnel.

D’autre part, la Commission relève que l’article 15 du projet de dĂ©cret, qui est relatif Ă  la nature des informations fournies au demandeur lors de sa demande de titre, vise Ă  l’informer de la possibilitĂ© qui lui est effectivement offerte de refuser la conservation dans TES de l’image numĂ©risĂ©e de ses empreintes digitales au-delĂ  d’un dĂ©lai maximal de quatre-vingt-dix jours, ne fait pas rĂ©fĂ©rence (y compris par l’objet d’un renvoi) aux dispositions du dĂ©cret du 22 octobre 1955 susvisĂ© relatives Ă  la conservation, d’une copie papier de ces mĂŞmes donnĂ©es. Elle estime qu’Ă  des fins de meilleure lisibilitĂ© du dispositif dans son ensemble, le projet de dĂ©cret pourrait ĂŞtre complĂ©tĂ© en ce sens.

Enfin, elle relève que la suppression des empreintes digitales Ă  l’issue du dĂ©lai de quatre-vingt-dix jours, lorsque le demandeur en a fait la demande, est effectuĂ©e de manière manuelle par des agents habilitĂ©s de l’ANTS. La Commission recommande que cette solution demeure transitoire et que les modifications nĂ©cessaires soient planifiĂ©es et mises en Ĺ“uvre pour permettre une suppression automatisĂ©e des donnĂ©es Ă  la fin de la durĂ©e de conservation.

Sur l’interconnexion avec le fichier national de contrĂ´le de la validitĂ© des titres (« DOCVERIF »)

L’article 12 du projet de dĂ©cret prĂ©voit que le traitement TES « transmet au fichier national de contrĂ´le de validitĂ© des titres, les numĂ©ros des titres Ă©mis, le type de titre, les nom, prĂ©noms, date et lieu de naissance du titulaire ainsi que la date de dĂ©livrance et la mention du caractère valide ou invalide du document et, le cas Ă©chĂ©ant, le motif de son invaliditĂ© avec mention de la date de l’Ă©vènement ».

Si la transmission de donnĂ©es issues du traitement TES vers « DOCVERIF » est dĂ©jĂ  prĂ©vue et encadrĂ©e depuis 2016, la Commission rappelle qu’elle est actuellement limitĂ©e aux numĂ©ros des titres Ă©mis ainsi qu’Ă  l’indication relative au type de titre. Elle rappelle Ă©galement que les donnĂ©es d’Ă©tat civil du titulaire du titre (nom, prĂ©noms, date et lieu de naissance) ne sont transmises Ă  « DOCVERIF » que dans le cas oĂą le titre d’identitĂ© est dĂ©clarĂ© perdu, volĂ© ou invalidĂ© dans TES. Elle relève en outre qu’aucune donnĂ©e biomĂ©trique n’a vocation Ă  ĂŞtre transmise dans ce cadre.
De manière générale, la Commission rappelle que pour assurer la stricte proportionnalité de cette transmission, seules les données utiles à la réalisation de la finalité poursuivie doivent être enregistrées.

Elle relève que la modification envisagĂ©e conduit, de façon systĂ©matique, Ă  la transmission d’informations au fichier « DOCVERIF », en supprimant tout critère quant au statut du titre (suppression des mentions « perdus, volĂ©s ou invalidĂ©s »).

InterrogĂ© sur ce point, le ministère a prĂ©cisĂ© que la seule confirmation de la validitĂ© du numĂ©ro d’un titre ne permet pas de garantir que le titre n’a pas Ă©tĂ© falsifiĂ© et que la modification envisagĂ©e vise Ă  permettre, dans un objectif de lutte contre la fraude documentaire, de vĂ©rifier que les donnĂ©es d’Ă©tat-civil figurant sur le titre suspect correspondent Ă  celles du titre authentique enregistrĂ©es dans TES et transmises Ă  « DOCVERIF ». La Commission prend acte de ce que la transmission systĂ©matique des donnĂ©es issues du TES permettrait par exemple de dĂ©tecter d’Ă©ventuelles falsifications de l’Ă©tat-civil figurant sur un titre d’identitĂ© dont le numĂ©ro est toujours valide.

Sans remettre en cause le principe de ces Ă©volutions au regard des prĂ©cisions apportĂ©es, la Commission relève tout d’abord que cette modification conduira Ă  une augmentation du volume de donnĂ©es transmis au traitement « DOCVERIF ». Elle rappelle que cette modification ne doit pas conduire Ă  ce que le traitement « DOCVERIF », qui poursuit des finalitĂ©s distinctes de celles de TES, devienne une base miroir de ce dernier. Dans ces conditions, la Commission invite le ministère ainsi que l’ANTS Ă  prendre toute mesure nĂ©cessaire permettant d’assurer le strict respect des conditions de mise en Ĺ“uvre de chacun de ces fichiers.

Enfin, si elle est consciente des contraintes opĂ©rationnelles liĂ©es Ă  la mise en Ĺ“uvre de solutions techniques qui pourraient permettre de rĂ©pondre Ă  l’objectif poursuivi de lutte contre la fraude, sans pour autant conduire Ă  ce que l’ensemble des donnĂ©es d’Ă©tat civil soient transmises au traitement« DOCVERIF », elle invite nĂ©anmoins le ministère ainsi que l’ANTS Ă  engager une rĂ©flexion sur ce point, au travers, par exemple, de la gĂ©nĂ©ration au niveau de TES d’une signature Ă©lectronique certifiant les donnĂ©es du titre sans en transmettre une copie et Ă  mener une Ă©tude de faisabilitĂ© sur une telle opportunitĂ©.

En tout Ă©tat de cause, la Commission souligne qu’Ă  dĂ©faut pour cet article du projet de dĂ©cret de prĂ©ciser les finalitĂ©s pour lesquelles les donnĂ©es seront transmises Ă  « DOCVERIF », cette transmission devra uniquement rĂ©pondre aux conditions de sa collecte telle que prĂ©vue par le dĂ©cret TES. Elle rappelle Ă©galement que l’arrĂŞtĂ© du 10 aoĂ»t 2016 autorisant la crĂ©ation de « DOCVERIF », sur lequel elle devra se prononcer, devra ĂŞtre modifiĂ© afin de prĂ©voir la collecte de ces donnĂ©es.

Sur la transmission de données aux logiciels de rédaction des procédures de la police et la gendarmerie nationales

L’article 13 du projet de dĂ©cret encadre la possibilitĂ© de transmettre des donnĂ©es issues du traitement TES aux logiciels de rĂ©daction des procĂ©dures de la gendarmerie et la police nationales, dans le cas du recueil des dĂ©clarations de vol des cartes nationales d’identitĂ© et des passeports. Les donnĂ©es d’Ă©tat civil, les informations relatives Ă  la dĂ©livrance du titre (date, lieu, autoritĂ©, type et numĂ©ro) ainsi que l’image numĂ©risĂ©e du visage du titulaire du titre sont notamment transmises. Le ministère a par ailleurs prĂ©cisĂ© que seules les informations relatives aux documents correspondant Ă  l’Ă©tat civil exact saisi par l’agent en charge de la plainte seront transmises.

A titre liminaire, la Commission relève que ces Ă©volutions ne constituent actuellement qu’un projet devant ĂŞtre mis en Ĺ“uvre Ă  Ă©chĂ©ance fin 2021. Elle souligne en outre que les fonctionnalitĂ©s projetĂ©es nĂ©cessiteront la modification, le cas Ă©chĂ©ant, des actes rĂ©glementaires encadrant ces traitements.

Elle relève que ces transmissions sont notamment justifiĂ©es par la nĂ©cessitĂ© de fiabiliser les informations transmises au Système d’information Schengen (SIS). Sans remettre en cause l’utilitĂ© opĂ©rationnelle que constitue une telle Ă©volution, la Commission rappelle que lorsque le Conseil d’Etat, dans sa dĂ©cision du 18 octobre 2018 prĂ©citĂ©e, s’Ă©tait prononcĂ© sur la lĂ©galitĂ© du dĂ©cret relatif au traitement TES, il avait spĂ©cifiquement relevĂ© que « l’interconnexion du système de traitement n’est prĂ©vue qu’avec les systèmes d’information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numĂ©ros des passeports perdus ou volĂ©s, au pays Ă©metteur et au caractère vierge ou personnalisĂ© du document ».

A ce stade et si elle prend acte des prĂ©cisions apportĂ©es par le ministère selon lesquelles la transmission de donnĂ©es rĂ©alisĂ©e doit permettre, lors du recueil d’une plainte pour vol d’une carte nationale d’identitĂ© ou d’un passeport, aux logiciels de rĂ©daction des procĂ©dures d’obtenir de TES le numĂ©ro du titre concernĂ© ainsi que les informations permettant de vĂ©rifier que le plaignant en est bien le titulaire lĂ©gitime (visualisation de la photographie du titre), la Commission s’interroge toutefois sur l’opportunitĂ©, dans cette situation, de transmettre l’ensemble des donnĂ©es mentionnĂ©es Ă  l’article 13 du projet de dĂ©cret – et non les seules informations relatives Ă  la dĂ©livrance du titre – afin de transmettre dans un second temps des signalements complets au SIS.

En tout Ă©tat de cause et s’agissant plus particulièrement de la transmission de l’image numĂ©risĂ©e du visage du titulaire, le projet de dĂ©cret prĂ©cise qu’elle est « transmise selon des modalitĂ©s qui ne permettent pas son enregistrement dans les logiciels susmentionnĂ©s ». InterrogĂ© sur ce point, le ministère a indiquĂ© que la photographie sera affichĂ©e sous la forme d’un « pop-up » sans fonctionnalitĂ© de tĂ©lĂ©chargement ou d’enregistrement. Elle permettra Ă  l’agent recevant la plainte de vĂ©rifier que l’identitĂ© dĂ©clarĂ©e par le plaignant est celle figurant sur son document d’identitĂ© (CNIe ou passeport). A cet Ă©gard, la Commission invite le ministère Ă  renforcer l’information des agents concernĂ©s quant au respect de l’interdiction d’enregistrer de quelque manière que ce soit (et par exemple via une capture d’Ă©cran) la photographie de la personne concernĂ©e. Elle invite Ă©galement le ministère Ă  envisager la possibilitĂ© d’apposer un filigrane Ă  la photographie affichĂ©e, permettant ainsi de dissuader tout enregistrement illĂ©gitime en assurant une meilleure traçabilitĂ© et garantissant ainsi le strict respect des conditions de mise en Ĺ“uvre prĂ©cĂ©demment dĂ©crites.

Sur les autres interconnexions

Le traitement TES a vocation Ă  alimenter la partie nationale du Système d’information Schengen de deuxième gĂ©nĂ©ration (N-SIS II), ainsi que le traitement « Stolen and Lost Travel Documents » (SLTD) gĂ©rĂ© par Interpol, de donnĂ©es relatives aux titre perdus, volĂ©s ou invalidĂ©s. Cette alimentation, qui est rĂ©alisĂ©e de manière automatique, implique que le traitement TES transmette des donnĂ©es, Ă  l’exception des donnĂ©es biomĂ©triques, dès lors qu’est enregistrĂ©e une dĂ©claration de perte, ou de vol.

Si ces modalitĂ©s n’appellent pas d’observation, la Commission souligne nĂ©anmoins que s’agissant plus particulièrement de la base SLTD, des donnĂ©es pourront ĂŞtre transmises hors de l’Union europĂ©enne. Elle rappelle que les transferts de donnĂ©es vers des pays tiers ne pourront ĂŞtre opĂ©rĂ©s que sous rĂ©serve du respect des conditions Ă©noncĂ©es aux articles 45 et suivants du RGPD. En l’absence de dĂ©cision d’adĂ©quation adoptĂ©e par la Commission europĂ©enne, de tels transferts ne pourront ĂŞtre rĂ©alisĂ©s que sous rĂ©serve que des garanties appropriĂ©es soient mises en Ĺ“uvre conformĂ©ment Ă  l’article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comitĂ© europĂ©en de la protection des donnĂ©es sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des donnĂ©es Ă  caractère personnel de l’UE.

Sur la sécurité du traitement

A titre gĂ©nĂ©ral, la Commission souligne que le renouvellement du format de la carte d’identitĂ© utilisĂ© depuis environ trente ans apportera un renforcement significatif de la sĂ©curitĂ© du titre, notamment par l’ajout du composant Ă©lectronique sĂ©curisĂ©. Elle souligne par ailleurs que dans son avis du 23 fĂ©vrier 2016, le Conseil d’Etat a rappelĂ© qu’eu Ă©gard Ă  l’ampleur et au caractère particulièrement sensible du TES, qui pourrait rassembler les donnĂ©es relatives Ă  l’identitĂ© ainsi que les photographies et les empreintes digitales numĂ©risĂ©es de plusieurs dizaines de millions de personnes, la mise en Ĺ“uvre de ce traitement informatique de donnĂ©es devait obĂ©ir Ă  des règles de sĂ©curitĂ© strictes.

La Commission rappelle quant Ă  elle que la mise en Ĺ“uvre de mesures de sĂ©curitĂ© adĂ©quates nĂ©cessite notamment d’assurer l’effectivitĂ© des restrictions d’accès prĂ©vues par le cadre normatif en vigueur, la traçabilitĂ© des consultations ainsi que la prĂ©vention de tout dĂ©tournement des donnĂ©es.

Elle relève que s’agissant du composant Ă©lectronique enregistrant les donnĂ©es d’identitĂ©, celui-ci est similaire Ă  celui utilisĂ© pour le passeport depuis 2008 selon les spĂ©cifications de la norme ICAO (International Civil Aviation Organization) pour les documents de voyage.

La Commission relève Ă©galement que l’Agence nationale de la sĂ©curitĂ© des systèmes d’information (ANSSI) a, lors des audits qu’elle a rĂ©alisĂ©s concernant le traitement TES, Ă©mis un certain nombre de recommandations.

Parmi les recommandations mises en Ĺ“uvre, la Commission prend note qu’une journalisation des requĂŞtes judiciaires a Ă©tĂ© opĂ©rĂ©e. En l’Ă©tat de la documentation, il n’est pas indiquĂ© que les agents habilitĂ©s Ă  rĂ©pondre aux requĂŞtes judiciaires ne peuvent pas ĂŞtre, aussi, habilitĂ©s Ă  la gestion de ces traces. La Commission considère comme indispensable qu’une telle règle soit explicitĂ©e et mise en Ĺ“uvre si cela n’Ă©tait pas le cas.

La Commission comprend de la documentation que certaines des recommandations n’ont par ailleurs pas Ă©tĂ© mises en Ĺ“uvre et ainsi :

– la recommandation 1 conseille non seulement de chiffrer les donnĂ©es biomĂ©triques en base, ce qui a Ă©tĂ© mis en Ĺ“uvre par le ministère, mais aussi de confier les moyens de dĂ©chiffrement Ă  un tiers de sorte que ni le ministère ni l’autoritĂ© tierce ne puisse, seule, avoir les moyens de dĂ©chiffrer les donnĂ©es pour rĂ©pondre aux rĂ©quisitions judiciaires. Cette seconde partie de la recommandation ne semble ni mise en Ĺ“uvre par le ministère Ă  ce stade ni prĂ©vue dans le plan d’action. Cette recommandation permet Ă  la fois de relever le niveau de sĂ©curitĂ© des donnĂ©es et de protection de la vie privĂ©e, ainsi que de limiter le risque que le traitement soit transformĂ© en une base d’identification des individus. Compte tenu de ces Ă©lĂ©ments, la Commission estime nĂ©cessaire qu’une telle mesure, par ailleurs recommandĂ©e par l’ANSSI, soit mise en Ĺ“uvre ;
– la recommandation 4 prĂ©voit de relever le niveau d’exigence en sĂ©curitĂ© des contrats de prestation. Sa mise en Ĺ“uvre devant ĂŞtre intĂ©grĂ©e lors du renouvellement du marchĂ©, la Commission comprend que celle-ci est prĂ©vue dans le plan d’action du ministère.

La Commission considère comme indispensable que ces recommandations particulières soient prises en compte et relève que c’est ce que le ministère prĂ©voit pour la quasi-intĂ©gralitĂ© des recommandations de l’ANSSI.

Elle estime en outre que le périmètre des audits de sécurité devrait être étendu, de manière à inclure les interconnexions, mises en relation et rapprochements mis en œuvre.

La Commission relève que plusieurs mesures du plan d’action Ă©taient indiquĂ©es pour fin 2020 dans la version de l’analyse d’impact relative Ă  la protection des donnĂ©es (AIPD) de dĂ©cembre 2020. Si elle constate un certain retard quant Ă  leur mise en Ĺ“uvre, elle recommande au ministère de mettre Ă  jour les dĂ©lais prĂ©vus et de prĂ©voir une Ă©valuation de leur mise en Ĺ“uvre fin 2021.

La Commission note enfin que des traces, tant systèmes qu’applicatives, sont gĂ©nĂ©rĂ©es par le traitement et conservĂ©es pour une durĂ©e de cinq ans. La Commission rappelle que sa recommandation sur la gestion des traces et des journaux techniques, est de mettre en Ĺ“uvre une durĂ©e de conservation de six mois, sauf Ă  ĂŞtre en mesure de prouver que certains risques ne peuvent ĂŞtre couverts que par une extension de cette durĂ©e. De mĂŞme, en vue d’ĂŞtre en mesure d’assurer l’intĂ©gritĂ© et la disponibilitĂ© des donnĂ©es, un système de centralisation des traces est conseillĂ© ainsi que la mise en Ĺ“uvre d’un mĂ©canisme proactif de contrĂ´le automatique des journaux contribuant Ă  la dĂ©tection des comportements anormaux par la gĂ©nĂ©ration automatique d’alertes.


JORF n°0063 du 14 mars 2021, texte n° 80

1 commentaire sur “🟧 DĂ©libĂ©ration CNIL du 11 fĂ©vrier 2021 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 22 octobre 1955 instituant la carte nationale d’identitĂ© et le dĂ©cret du 28 octobre 2016 autorisant la crĂ©ation d’un traitement de donnĂ©es Ă  caractère personnel relatif aux passeports et aux cartes nationales d’identitĂ©”

Les commentaires sont fermés.