La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret modifiant le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité et le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu le règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 32 ;

Vu le décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité ;

Vu le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité ;

Après avoir entendu M^me Marie-Laure DENIS, présidente, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

Le règlement européen 2019/1157 du 20 juin 2019 susvisé a pour objet de renforcer la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation. Ce règlement, applicable à compter du 2 août 2021, impose aux Etats membres de l’Union européenne (UE) de mettre en circulation des cartes d’identité intégrant un composant électronique hautement sécurisé contenant des données biométriques, à savoir une image numérisée du visage du titulaire de la carte et celle de deux empreintes digitales dans des formats numériques interopérables. L’article 3-5 du règlement 2019/1157 du 20 juin 2019 susvisé, impose par ailleurs le recueil obligatoire des empreintes digitales.

Ne sont exemptés de recueil des empreintes digitales, aux termes de ce règlement, que les mineurs de moins de six ans et les personnes qui sont dans l’incapacité physique de se les voir prélever, les Etats membres conservant quant à eux la possibilité d’exempter de recueil des empreintes digitales les mineurs de moins de douze ans. A cet égard, la Commission relève qu’en France, des dispositions nationales ont été adoptées en ce sens.

C’est dans ce contexte que la Commission est saisie d’un projet de décret modifiant les dispositions relatives à la carte nationale d’identité (CNI) ainsi que celles relatives aux conditions de mise en œuvre du traitement dénommé Titres électroniques sécurisés (TES). Elle rappelle que ce traitement, qui regroupe, dans une base de données centralisée, l’image numérisée du visage et des empreintes digitales de deux doigts de l’ensemble des demandeurs de CNI et de passeports, permet de délivrer et de renouveler ces documents, mais aussi de prévenir et détecter leur falsification et contrefaçon. Afin de mieux lutter contre la fraude documentaire, notamment au moment du renouvellement du titre, le système TES procède à la comparaison automatique des empreintes digitales de chaque demandeur avec celles précédemment enregistrées sous la même identité, afin de vérifier que l’identité du demandeur de titre est bien celle qu’il prétend avoir (fonction d’authentification des personnes).

Elle souligne qu’à ce jour, le TES demeure un fichier singulier, compte tenu tant de son périmètre d’une ampleur inégalée, que de la nature particulièrement sensible des données biométriques qu’il contient. Depuis la création de ce traitement, la Commission s’est ainsi toujours montrée particulièrement attentive quant aux garanties substantielles à mettre en œuvre pour encadrer l’utilisation de ce traitement et entend faire preuve d’une vigilance renforcée dans le cadre des modifications qui lui sont soumises.

Elle rappelle en effet que, s’agissant plus particulièrement des usages régaliens, le recours à des dispositifs de reconnaissance biométrique est considéré comme légitime pour s’assurer de l’identité d’une personne, dès lors que les données biométriques sont conservées sur un support dont la personne a l’usage exclusif, comme c’est le cas pour le passeport biométrique. La Commission estime à ce titre, ainsi qu’elle l’a rappelé dans de nombreuses délibérations, que la mise en place et le maintien d’une base centrale de données biométriques ne peut être admise que dans la mesure où des exigences impérieuses en matière de sécurité ou d’ordre public le justifient. Le traitement de données biométriques (image du visage et empreintes digitales), sous une forme centralisée, engendre en effet davantage de risques du point de vue de la protection des données à caractère personnel, compte tenu à la fois des caractéristiques de l’élément d’identification physique retenu, des usages possibles de ces traitements et des risques d’atteintes graves à la vie privée et aux libertés individuelles en résultant.

C’est notamment au regard de ces éléments que la Commission s’était montrée défavorable à la création d’une base centralisée des empreintes digitales recueillies pour les passeports électroniques, dénommée Titres électroniques sécurisées (TES), par le décret du 30 avril 2008, puis avait regretté, son extension aux empreintes digitales recueillies pour les cartes d’identité par le décret du 28 octobre 2016. Saisi au contentieux, le Conseil d’Etat a validé le principe de la constitution d’une base centralisée, limitée aux empreintes de deux doigts à des fins d’authentification, tant pour les passeports (CE, Ass., 26 oct. 2011, n° 317827, Rec.) que pour les cartes d’identité (CE, 10/9, 18 oct. 2018, n° 404996), et ce alors même que pour les passeports les données biométriques figurent déjà dans le composant individuel inséré dans le titre.

Au regard des enjeux spécifiques liés au choix de maintenir, au niveau national, une base centralisée des empreintes digitales, la Commission estime que des solutions qu’elle considère comme plus protectrices de la vie privée des citoyens devraient continuer à être envisagées. Elle invite, à cet égard, le ministère ainsi que l’Agence nationale des titres sécurisés (ANTS) à poursuivre leurs travaux afin d’étudier la possibilité, en particulier, de conserver la photographie des empreintes digitales sous la forme d’un gabarit.

Ces éléments généraux rappelés, la Commission estime que la mise en œuvre d’une identité numérique d’Etat de haut niveau, respectueuse des principes Informatique et Libertés , doit être encouragée. Elle considère à ce titre que la mise en œuvre d’une carte nationale d’identité électronique (CNIe) a vocation à répondre à des usages régaliens (document de voyage, preuve d’identité lors de contrôles, lutte contre la fraude documentaire) qui font l’objet du projet de décret soumis à la Commission, mais également, à terme, à des services d’identité numérique qui ne sont pas décrits dans le projet de décret mais pourraient faire l’objet de textes futurs, législatifs ou réglementaires. La Commission encourage le développement de ces identités, sécurisées, qui permettent notamment de supprimer la circulation de photocopies de pièces d’Etat civil lors de l’accomplissement de certaines démarches administratives ou commerciales les nécessitant, tout en rappelant qu’un tel niveau de certification de l’identité n’est en revanche pas nécessaire pour de nombreuses autres démarches. Elle souhaite également faire quelques observations sur les considérations à prendre en compte dans cette optique.

S’agissant du développement des solutions d’identité numérique, le ministère a précisé que le composant électronique de la CNIe serait intégré au schéma d’identification électronique composé d’ALICEM ( Application de lecture de l’identité d’un citoyen en mobilité ) et de FranceConnect. La Commission estime que le déploiement de cette carte est l’occasion d’étendre très largement l’accès à un dispositif sécurisé permettant de bénéficier de services d’identité numérique et qu’une réflexion devrait être menée afin de prendre en compte les problématiques liées à l’inclusion numérique. Il incombera de conserver un accès physique aux services en cause, en particulier aux services publics ou aux services essentiels. Aussi, le dispositif envisagé doit être adapté afin de garantir l’accessibilité aux personnes handicapées des dispositifs de recueil de données biométriques et d’enregistrement numérique des demandes de CNIe. Elle renvoie sur ce dernier point aux recommandations formulées par le Défenseur des droits dans sa décision 2020-027 du 20 mai 2020 relative aux difficultés rencontrées par les majeurs sous tutelle lors de la délivrance ou à l’occasion du renouvellement de leur carte nationale d’identité.

La Commission considère en outre que la conception de cette nouvelle CNIe est l’occasion d’intégrer des outils supplémentaires permettant de garantir la meilleure protection de la vie privée possible dans le cadre de son usage comme support d’identité numérique. Ainsi, il est possible de prévoir des dispositifs d’identification procédant à la divulgation sélective des informations présentes sur la carte (fonctionnalité incluse dans la carte d’identité allemande). Cela pourrait permettre l’utilisation de la carte pour certaines finalités spécifiques sans avoir à révéler l’intégralité des données d’identité (par exemple pour certifier sa commune de résidence lorsque l’on souhaite bénéficier d’une réduction à l’entrée dans un équipement communal, sans révéler tous les éléments d’identité présents sur la carte ; ou pour certifier son âge pour jouer à un jeu d’argent ou acheter de l’alcool en donnant ces seuls éléments d’information). De même, il serait possible d’utiliser ou de dériver des identifiants sectoriels distincts (fonctionnalité incluse dans la carte d’identité autrichienne) selon les finalités poursuivies, à l’image de ce que la Commission recommande pour les téléservices de l’administration électronique et a pu être mis en œuvre, par exemple, dans les cartes multiservices développées au niveau des territoires sous le nom de cartes de vie quotidienne . La Commission encourage le ministère, par le biais de la mission interministérielle sur l’identité numérique, à réfléchir à des futures évolutions de la CNIe en ce sens.

Compte tenu des finalités poursuivies par le traitement TES, qui relèvent du champ du RGPD, et dans la mesure où le traitement est mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, qu’il porte sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes, il doit être autorisé par un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission conformément à l’article 32 de la loi du 6 janvier 1978 modifiée.

Ces éléments rappelés, la Commission relève que le présent projet de décret prévoit, au titre notamment d’une nouvelle finalité ( lutter contre l’usurpation d’identité ), d’étendre les données actuellement transmises au fichier national de contrôle de la validité des titres (traitement DOCVERIF ) ainsi que le transfert d’informations vers les logiciels de rédaction des procédures de la police et de la gendarmerie nationales en cas de déclaration de vol de titre. Conformément aux exigences européennes précitées, ce projet de décret prévoit également la suppression du caractère facultatif du recueil des empreintes digitales, afin de les enregistrer dans la carte d’identité.

Le projet de décret appelle, dans ces conditions, les observations suivantes.

Sur la finalité de lutte contre l’usurpation d’identité

La Commission rappelle qu’aux termes de l’article 1^er du décret n° 2016-1460 du 28 octobre 2016 susvisé, le fichier TES doit permettre de procéder à l’établissement, à la délivrance, au renouvellement et à l’invalidation des cartes nationales d’identité […] et des passeports […], ainsi que prévenir et détecter leur falsification et contrefaçon . Le Conseil d’Etat a considéré que […] ce traitement n’a pour finalité que de permettre l’instruction des demandes relatives à ces titres et de prévenir et détecter leur falsification et leur contrefaçon. La création d’un tel traitement, destiné à préserver l’intégrité des données à caractère personnel nécessaires à la délivrance des titres d’identité et de voyage aux fins de sécuriser la délivrance de ces titres et d’améliorer l’efficacité de la lutte contre la fraude et qui, au surplus, facilite, par la centralisation des données recueillies, les démarches des usagers, est ainsi justifiée par un motif d’intérêt général (Conseil d’État, 10ème – 9ème chambres réunies, 18/10/2018, 404996).

L’article 9 du projet de décret complète les finalités poursuivies par le traitement TES afin de permettre de lutter contre l’usurpation d’identité , qui s’inscrit dans le prolongement des finalités actuelles.

La Commission relève que cette formulation des finalités du traitement, qui correspond à des usages existants depuis l’origine, avait été mentionnée dans ses précédents avis. Elle appelle néanmoins le ministère à préciser qu’il s’agit d’une usurpation d’identité en lien avec l’usage frauduleux de documents d’identité. Elle souligne en outre que, dans la mesure où le traitement TES a vocation à réunir les données biométriques de près de l’ensemble de la population française, il importe que le ministère ainsi que l’ANTS, désormais responsables conjoints du traitement, soient particulièrement vigilants quant au respect de la finalité d’authentification de ce traitement et que l’accès à celui-ci ne puisse se faire que par l’identité du porteur du titre d’identité. Elle rappelle que le Conseil d’Etat a jugé que conformément à sa finalité d’authentification, l’accès à ce traitement ne peut se faire que par l’identité du porteur du titre d’identité, à l’exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes .

Sur la durée de conservation des empreintes digitales

L’article 10-3 du règlement 2019/1157 du 20 juin 2019 susvisé prévoit que sauf s’ils sont nécessaires aux finalités du traitement dans le respect du droit de l’Union et du droit national, les éléments d’identification biométriques stockés aux fins de la personnalisation des cartes d’identité ou des documents de séjour sont conservés de manière très sécurisée et uniquement jusqu’à la date de remise du document et, en tout état de cause, pas plus de quatre-vingt-dix jours à compter de la date de délivrance du document. Après ce délai, ces éléments d’identification biométriques sont immédiatement effacés ou détruits .

A titre liminaire, la Commission observe que d’autres pays européens (tels que la Belgique et l’Allemagne), ayant pour certains une expérience de plusieurs années sur l’utilisation de cartes dotées de composants électroniques, conservent les données biométriques en base centrale pour une durée ne dépassant pas les quatre-vingt-dix jours prévus par le règlement 2019/1157 précité et n’utilisent pas de base de données centralisées contenant les empreintes digitales pour lutter contre la fraude et les usurpations d’identité. Le Gouvernement français a fait le choix de conserver la base existante actuellement et de prévoir, par voie réglementaire, que l’ensemble des données à caractère personnel relatives à la CNIe est conservé pendant une durée de quinze ans (article 14 du projet de décret). Ce choix n’est pas contraire à l’article 10-3 du règlement européen, éclairé par son considérant 22, qui réserve l’hypothèse d’une conservation plus longue lorsque cela est nécessaire aux finalités de traitements des mêmes données prévues par le droit national. Ce faisant, le projet de décret abaisse la durée de conservation de ces données, pour l’aligner sur la durée de validité des nouvelles cartes d’identité.

Interrogé sur la proportionnalité de cette nouvelle durée de conservation, le ministère a précisé que la conservation des données biométriques dans la base TES au-delà de la délivrance du titre d’identité au demandeur est justifiée par la nécessité de lutter contre l’obtention indue d’un titre et, en particulier, contre le phénomène d’usurpation d’identité dans le cadre de la procédure de délivrance. Il a également indiqué que la possibilité pour un individu d’usurper une identité et d’utiliser un document authentique représente un risque sérieux qu’il convient de prendre en compte en transmettant plusieurs exemples de scenarii possibles (demande d’un document en présentant un état civil obtenu frauduleusement et en usurpant l’identité de la personne concernée, demande de renouvellement d’un titre perdu ou volé en alléguant une identité usurpée, fraude mimétique, etc.).

Si la Commission relève que les durées de conservation prévues par le projet de décret correspondent à la durée de validité du titre, comme c’est d’ores et déjà le cas, et ce, depuis 2016, elle souligne que l’utilisation d’un nouveau type de carte d’identité comprenant l’intégration d’un composant électronique, qui permettra a priori de réduire les hypothèses de fraude documentaire, aurait pu conduire à réévaluer cette durée. Elle prend toutefois acte des précisions apportées par le ministère selon lesquelles il est possible que l’usurpation d’identité repose, en pratique, sur la présentation d’un titre volé ou trouvé et dont le composant électronique a été volontairement détérioré et dont la photographie ressemble à l’usurpateur. La Commission prend également acte des précisions apportées relatives au fait qu’en cas de suspicion de fraude, les pièces constitutives pour étudier un dossier d’usurpation comprennent le fait que des titres précédents aient pu être invalidés ou refusés.

La Commission relève également que ces durées de conservation ont été admises au contentieux par les décisions du Conseil d’Etat déjà mentionnées (CE, Ass., 26 oct. 2011, n° 317827, Rec. ; CE, 10/9, 18 oct. 2018, n° 404996). Elle souligne en outre que le projet de décret, qui réduit la durée de validité de la CNI conformément aux dispositions du règlement européen du 20 juin 2019 susvisé, prévoit également que les durées de conservations des données dans le traitement TES portant sur les titres déjà délivrés, demeurent inchangées. Elle souligne toutefois les difficultés liées à la bonne compréhension d’ensemble des durées de conservation retenues dans la mesure où il est nécessaire de se référer à des dispositions du projet de décret figurant au titre des dispositions transitoires . Dans ce contexte, la Commission appelle l’attention du ministère ainsi que de l’ANTS sur la nécessité d’assurer la lisibilité du dispositif envisagé pour les personnes concernées.

Sur la possibilité de solliciter la suppression de l’image numérisée des empreintes digitales sous forme numérique

La Commission relève que l’article 3 du projet de décret prévoit la possibilité pour la personne concernée de demander à ce que l’image numérisée de ses empreintes ne soit pas conservée dans le traitement au-delà d’un délai de quatre-vingt-dix jours à compter de la date de délivrance du titre ou de la date de refus de cette délivrance par le service instructeur, la copie sur papier des empreintes étant alors conservée par l’ANTS pour une durée de quinze ans.

La Commission relève que si la conservation sous format papier des empreintes digitales du demandeur n’est pas nouvelle, elle appelle, dans le contexte des modifications envisagées, les observations suivantes.

D’une part, la Commission accueille favorablement la possibilité d’une conservation moins longue de données biométriques en base centralisée. Pour permettre l’expression de ce choix, un formulaire spécifique devra être proposé au demandeur (par voie papier ou mis en ligne) et devra être adapté au nouveau contexte réglementaire. La Commission rappelle que l’information aux personnes concernées devra être délivrée, conformément à l’article 12 du RGPD, d’une façon concise, transparente et aisément compréhensible, en particulier pour toute information destinée spécifiquement à une personne mineure. Elle rappelle, en tout état de cause et dans la mesure où des données à caractère personnel seront collectées par le biais de ce formulaire, que celui-ci devra comporter les mentions relatives à la réglementation applicable en matière de protection des données à caractère personnel.

D’autre part, la Commission relève que l’article 15 du projet de décret, qui est relatif à la nature des informations fournies au demandeur lors de sa demande de titre, vise à l’informer de la possibilité qui lui est effectivement offerte de refuser la conservation dans TES de l’image numérisée de ses empreintes digitales au-delà d’un délai maximal de quatre-vingt-dix jours, ne fait pas référence (y compris par l’objet d’un renvoi) aux dispositions du décret du 22 octobre 1955 susvisé relatives à la conservation, d’une copie papier de ces mêmes données. Elle estime qu’à des fins de meilleure lisibilité du dispositif dans son ensemble, le projet de décret pourrait être complété en ce sens.

Enfin, elle relève que la suppression des empreintes digitales à l’issue du délai de quatre-vingt-dix jours, lorsque le demandeur en a fait la demande, est effectuée de manière manuelle par des agents habilités de l’ANTS. La Commission recommande que cette solution demeure transitoire et que les modifications nécessaires soient planifiées et mises en œuvre pour permettre une suppression automatisée des données à la fin de la durée de conservation.

Sur l’interconnexion avec le fichier national de contrôle de la validité des titres ( DOCVERIF )

L’article 12 du projet de décret prévoit que le traitement TES transmet au fichier national de contrôle de validité des titres, les numéros des titres émis, le type de titre, les nom, prénoms, date et lieu de naissance du titulaire ainsi que la date de délivrance et la mention du caractère valide ou invalide du document et, le cas échéant, le motif de son invalidité avec mention de la date de l’évènement .

Si la transmission de données issues du traitement TES vers DOCVERIF est déjà prévue et encadrée depuis 2016, la Commission rappelle qu’elle est actuellement limitée aux numéros des titres émis ainsi qu’à l’indication relative au type de titre. Elle rappelle également que les données d’état civil du titulaire du titre (nom, prénoms, date et lieu de naissance) ne sont transmises à DOCVERIF que dans le cas où le titre d’identité est déclaré perdu, volé ou invalidé dans TES. Elle relève en outre qu’aucune donnée biométrique n’a vocation à être transmise dans ce cadre.

De manière générale, la Commission rappelle que pour assurer la stricte proportionnalité de cette transmission, seules les données utiles à la réalisation de la finalité poursuivie doivent être enregistrées.

Elle relève que la modification envisagée conduit, de façon systématique, à la transmission d’informations au fichier DOCVERIF , en supprimant tout critère quant au statut du titre (suppression des mentions perdus, volés ou invalidés ).

Interrogé sur ce point, le ministère a précisé que la seule confirmation de la validité du numéro d’un titre ne permet pas de garantir que le titre n’a pas été falsifié et que la modification envisagée vise à permettre, dans un objectif de lutte contre la fraude documentaire, de vérifier que les données d’état-civil figurant sur le titre suspect correspondent à celles du titre authentique enregistrées dans TES et transmises à DOCVERIF . La Commission prend acte de ce que la transmission systématique des données issues du TES permettrait par exemple de détecter d’éventuelles falsifications de l’état-civil figurant sur un titre d’identité dont le numéro est toujours valide.

Sans remettre en cause le principe de ces évolutions au regard des précisions apportées, la Commission relève tout d’abord que cette modification conduira à une augmentation du volume de données transmis au traitement DOCVERIF . Elle rappelle que cette modification ne doit pas conduire à ce que le traitement DOCVERIF , qui poursuit des finalités distinctes de celles de TES, devienne une base miroir de ce dernier. Dans ces conditions, la Commission invite le ministère ainsi que l’ANTS à prendre toute mesure nécessaire permettant d’assurer le strict respect des conditions de mise en œuvre de chacun de ces fichiers.

Enfin, si elle est consciente des contraintes opérationnelles liées à la mise en œuvre de solutions techniques qui pourraient permettre de répondre à l’objectif poursuivi de lutte contre la fraude, sans pour autant conduire à ce que l’ensemble des données d’état civil soient transmises au traitement DOCVERIF , elle invite néanmoins le ministère ainsi que l’ANTS à engager une réflexion sur ce point, au travers, par exemple, de la génération au niveau de TES d’une signature électronique certifiant les données du titre sans en transmettre une copie et à mener une étude de faisabilité sur une telle opportunité.

En tout état de cause, la Commission souligne qu’à défaut pour cet article du projet de décret de préciser les finalités pour lesquelles les données seront transmises à DOCVERIF , cette transmission devra uniquement répondre aux conditions de sa collecte telle que prévue par le décret TES. Elle rappelle également que l’arrêté du 10 août 2016 autorisant la création de DOCVERIF , sur lequel elle devra se prononcer, devra être modifié afin de prévoir la collecte de ces données.

Sur la transmission de données aux logiciels de rédaction des procédures de la police et la gendarmerie nationales

L’article 13 du projet de décret encadre la possibilité de transmettre des données issues du traitement TES aux logiciels de rédaction des procédures de la gendarmerie et la police nationales, dans le cas du recueil des déclarations de vol des cartes nationales d’identité et des passeports. Les données d’état civil, les informations relatives à la délivrance du titre (date, lieu, autorité, type et numéro) ainsi que l’image numérisée du visage du titulaire du titre sont notamment transmises. Le ministère a par ailleurs précisé que seules les informations relatives aux documents correspondant à l’état civil exact saisi par l’agent en charge de la plainte seront transmises.

A titre liminaire, la Commission relève que ces évolutions ne constituent actuellement qu’un projet devant être mis en œuvre à échéance fin 2021. Elle souligne en outre que les fonctionnalités projetées nécessiteront la modification, le cas échéant, des actes réglementaires encadrant ces traitements.

Elle relève que ces transmissions sont notamment justifiées par la nécessité de fiabiliser les informations transmises au Système d’information Schengen (SIS). Sans remettre en cause l’utilité opérationnelle que constitue une telle évolution, la Commission rappelle que lorsque le Conseil d’Etat, dans sa décision du 18 octobre 2018 précitée, s’était prononcé sur la légalité du décret relatif au traitement TES, il avait spécifiquement relevé que l’interconnexion du système de traitement n’est prévue qu’avec les systèmes d’information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document .

A ce stade et si elle prend acte des précisions apportées par le ministère selon lesquelles la transmission de données réalisée doit permettre, lors du recueil d’une plainte pour vol d’une carte nationale d’identité ou d’un passeport, aux logiciels de rédaction des procédures d’obtenir de TES le numéro du titre concerné ainsi que les informations permettant de vérifier que le plaignant en est bien le titulaire légitime (visualisation de la photographie du titre), la Commission s’interroge toutefois sur l’opportunité, dans cette situation, de transmettre l’ensemble des données mentionnées à l’article 13 du projet de décret – et non les seules informations relatives à la délivrance du titre – afin de transmettre dans un second temps des signalements complets au SIS.

En tout état de cause et s’agissant plus particulièrement de la transmission de l’image numérisée du visage du titulaire, le projet de décret précise qu’elle est transmise selon des modalités qui ne permettent pas son enregistrement dans les logiciels susmentionnés . Interrogé sur ce point, le ministère a indiqué que la photographie sera affichée sous la forme d’un pop-up sans fonctionnalité de téléchargement ou d’enregistrement. Elle permettra à l’agent recevant la plainte de vérifier que l’identité déclarée par le plaignant est celle figurant sur son document d’identité (CNIe ou passeport). A cet égard, la Commission invite le ministère à renforcer l’information des agents concernés quant au respect de l’interdiction d’enregistrer de quelque manière que ce soit (et par exemple via une capture d’écran) la photographie de la personne concernée. Elle invite également le ministère à envisager la possibilité d’apposer un filigrane à la photographie affichée, permettant ainsi de dissuader tout enregistrement illégitime en assurant une meilleure traçabilité et garantissant ainsi le strict respect des conditions de mise en œuvre précédemment décrites.

Sur les autres interconnexions

Le traitement TES a vocation à alimenter la partie nationale du Système d’information Schengen de deuxième génération (N-SIS II), ainsi que le traitement Stolen and Lost Travel Documents (SLTD) géré par Interpol, de données relatives aux titre perdus, volés ou invalidés. Cette alimentation, qui est réalisée de manière automatique, implique que le traitement TES transmette des données, à l’exception des données biométriques, dès lors qu’est enregistrée une déclaration de perte, ou de vol.

Si ces modalités n’appellent pas d’observation, la Commission souligne néanmoins que s’agissant plus particulièrement de la base SLTD, des données pourront être transmises hors de l’Union européenne. Elle rappelle que les transferts de données vers des pays tiers ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. En l’absence de décision d’adéquation adoptée par la Commission européenne, de tels transferts ne pourront être réalisés que sous réserve que des garanties appropriées soient mises en œuvre conformément à l’article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comité européen de la protection des données sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l’UE.

Sur la sécurité du traitement

A titre général, la Commission souligne que le renouvellement du format de la carte d’identité utilisé depuis environ trente ans apportera un renforcement significatif de la sécurité du titre, notamment par l’ajout du composant électronique sécurisé. Elle souligne par ailleurs que dans son avis du 23 février 2016, le Conseil d’Etat a rappelé qu’eu égard à l’ampleur et au caractère particulièrement sensible du TES, qui pourrait rassembler les données relatives à l’identité ainsi que les photographies et les empreintes digitales numérisées de plusieurs dizaines de millions de personnes, la mise en œuvre de ce traitement informatique de données devait obéir à des règles de sécurité strictes.

La Commission rappelle quant à elle que la mise en œuvre de mesures de sécurité adéquates nécessite notamment d’assurer l’effectivité des restrictions d’accès prévues par le cadre normatif en vigueur, la traçabilité des consultations ainsi que la prévention de tout détournement des données.

Elle relève que s’agissant du composant électronique enregistrant les données d’identité, celui-ci est similaire à celui utilisé pour le passeport depuis 2008 selon les spécifications de la norme ICAO (International Civil Aviation Organization) pour les documents de voyage.

La Commission relève également que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a, lors des audits qu’elle a réalisés concernant le traitement TES, émis un certain nombre de recommandations.

Parmi les recommandations mises en œuvre, la Commission prend note qu’une journalisation des requêtes judiciaires a été opérée. En l’état de la documentation, il n’est pas indiqué que les agents habilités à répondre aux requêtes judiciaires ne peuvent pas être, aussi, habilités à la gestion de ces traces. La Commission considère comme indispensable qu’une telle règle soit explicitée et mise en œuvre si cela n’était pas le cas.

La Commission comprend de la documentation que certaines des recommandations n’ont par ailleurs pas été mises en œuvre et ainsi :

• la recommandation 1 conseille non seulement de chiffrer les données biométriques en base, ce qui a été mis en œuvre par le ministère, mais aussi de confier les moyens de déchiffrement à un tiers de sorte que ni le ministère ni l’autorité tierce ne puisse, seule, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires. Cette seconde partie de la recommandation ne semble ni mise en œuvre par le ministère à ce stade ni prévue dans le plan d’action. Cette recommandation permet à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus. Compte tenu de ces éléments, la Commission estime nécessaire qu’une telle mesure, par ailleurs recommandée par l’ANSSI, soit mise en œuvre ;
• la recommandation 4 prévoit de relever le niveau d’exigence en sécurité des contrats de prestation. Sa mise en œuvre devant être intégrée lors du renouvellement du marché, la Commission comprend que celle-ci est prévue dans le plan d’action du ministère.

La Commission considère comme indispensable que ces recommandations particulières soient prises en compte et relève que c’est ce que le ministère prévoit pour la quasi-intégralité des recommandations de l’ANSSI.

Elle estime en outre que le périmètre des audits de sécurité devrait être étendu, de manière à inclure les interconnexions, mises en relation et rapprochements mis en œuvre.

La Commission relève que plusieurs mesures du plan d’action étaient indiquées pour fin 2020 dans la version de l’analyse d’impact relative à la protection des données (AIPD) de décembre 2020. Si elle constate un certain retard quant à leur mise en œuvre, elle recommande au ministère de mettre à jour les délais prévus et de prévoir une évaluation de leur mise en œuvre fin 2021.

La Commission note enfin que des traces, tant systèmes qu’applicatives, sont générées par le traitement et conservées pour une durée de cinq ans. La Commission rappelle que sa recommandation sur la gestion des traces et des journaux techniques, est de mettre en œuvre une durée de conservation de six mois, sauf à être en mesure de prouver que certains risques ne peuvent être couverts que par une extension de cette durée. De même, en vue d’être en mesure d’assurer l’intégrité et la disponibilité des données, un système de centralisation des traces est conseillé ainsi que la mise en œuvre d’un mécanisme proactif de contrôle automatique des journaux contribuant à la détection des comportements anormaux par la génération automatique d’alertes.

La Présidente

Marie-Laure DENIS