Délibération n° 2016-292 du 29 septembre 2016 portant avis sur un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (saisine n° 1979541)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0254 du 30 octobre 2016 |
| Enactment Date | 29 septembre 2016 |
| Record Number | JORFTEXT000033318979 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 30 octobre 2016 |
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-1-2° ;
Vu la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité ;
Vu le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d'identité ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu l'arrêté du 10 août 2016 autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « DOCVERIF » ;
Vu la décision du Conseil constitutionnel n° 2012-652 DC du 22 mars 2012 ;
Vu l'avis du Conseil d'Etat n° 391080 du 23 février 2016 ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis d'un projet de décret autorisant la création, par le ministre de l'intérieur, d'un traitement automatisé de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité.
Ce traitement, dénommé « Titres électroniques sécurisés » (TES), doit notamment porter sur des données biométriques recueillies, dans le cadre de l'établissement des cartes nationales d'identité et des passeports, à des fins d'authentification des personnes.
Le ministère souhaite dès lors faire application de la procédure prévue à l'article 27-l-2° de la loi du 6 janvier 1978 modifiée, qui dispose que les traitements mis en œuvre pour le compte de l'Etat qui portent sur des données biométriques sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la Commission.
A titre liminaire, le projet soumis appelle de la part de la Commission plusieurs réserves.
Elle observe d'abord que la mise en œuvre du traitement envisagé conduirait à réunir au sein d'un même fichier des données biométriques, en particulier les images numérisées des empreintes digitales et de la photographie de l'ensemble des demandeurs de cartes nationales d'identité et de passeports.
Si la base actuelle des passeports TES contient 15 millions de jeux de données comparables à celles qui sont appelées à figurer dans la base commune envisagée par le présent projet, le passage à une base réunissant des données biométriques relatives à 60 millions de personnes, représentant ainsi la quasi-totalité de la population française, constitue un changement d'ampleur et, par suite, de nature, considérable.
La Commission considère en outre que, compte tenu de la nature des données traitées, les conséquences qu'aurait un détournement des finalités du fichier imposent des garanties substantielles et une vigilance particulière.
S'agissant des garanties, la Commission regrette que les dispositifs présentant moins de risques pour la protection des données personnelles, tels que la conservation de données biométriques sur un support individuel exclusivement détenu par la personne, n'aient pas été expertisés. Elle recommande dès lors une évaluation complémentaire du dispositif. Il en va de même s'agissant de la conservation des données biométriques brutes qui, pour des raisons de sécurité, pourrait être utilement remplacée par des gabarits de celles-ci.
S'agissant enfin de la vigilance collective quant à ce type de traitements, la Commission relève que, compte tenu, d'une part, de la nature de cette base, relative aux titres d'identité, et, d'autre part, des débats relatifs à la protection de l'identité intervenus à l'occasion de l'adoption de la loi du 27 mars 2012 susvisée, le Parlement devrait être prioritairement saisi du projet envisagé. Si, d'un strict point de vue juridique, aucun obstacle ne s'oppose au recours au décret, elle recommande donc au Gouvernement de saisir le Parlement du projet.
Sur la finalité du traitement :
Le dispositif envisagé s'inscrit dans le cadre de la refonte et de l'harmonisation des procédures d'instruction et de délivrance des cartes nationales d'identité et des passeports.
Le projet de décret prévoit ainsi de modifier les conditions de recueil et d'instruction des demandes de cartes nationales d'identité, en supprimant le principe de la territorialisation des demandes et en appliquant à ces titres les outils de sécurité et de simplification déjà mis en œuvre pour...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI