Des identités de papier à

l'identification biométrique.

LA CNIL ET LES AUTORITÉS DE PROTECTION DES DONNÉES PERSONNELLES FACE AU DÉVELOPPEMENT DE LA BIOMÉTRIE DES ANNÉES

1980 À 2009

David Samson -

Mémoire de master 2 K THÉORIE ET ANALYSE DU DROIT », Ecole des hautes études en sciences sociales (EHESS), 20082009

p. 1

Sous la direction de M. Paolo Napoli

p. 2

p
· 3

Sommaire

Introduction 4

Chapitre I: L'identité, un concept ambigu 29

Chapitre II:Le rêve biométrique confronté aux défis technologiques 5¹

Chapitre III:La CNIL, texte réglementaire et doctrine 85

Chapitre IV:L'intégrité du corps humain 166

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité 183

Conclusion 328

Annexes 340

Bibliographie 342

Index 361

INTRODUCTION

« Ce fut l'approche de l'audience de l'affaire Sarah Brash qui le poussa fmalement à prendre une décision. (...) Elle avait montré de l'initiative ; il s'était juste laissé (ou plutôt avait laissé son Réserviste se faire) baiser. Il avait besoin d'un angle d'approche, d'une astuce -- quelque chose qui éclipserait sa petite manigance à elle. S'il changeait de corps avec un Réserviste à temps pour le procès -- devenant, officiellement, le premier humain à le faire -- personne ne perdrait du temps à couvrir les obscurs détails de l'affaire du point de vue de Sarah. Sa simple présence devant la Cour serait matière à controverse planétaire ; la définition légale de l'identité était toujours fondée sur les empreintes génétiques et rétiniennes, avec des exceptions maladroitement introduites pour permettre la thérapie génique et les transplantations de rétines. Les lois seraient bientôt changées -- il s'en occupait -- mais pour le moment, l'assignation s'appliquerait à son ancien corps. Il s'imaginait assis dans la tribune du public, anonyme (unrecognized), tandis que l'avocat de Sarah essaierait d'effectuer le contre-interrogatoire du Réserviste tremblant et ahuri que sa "dépouille" au rebut était devenue ! Lui, ou ses avocats, finiraient fort probablement avec une condamnation pour outrage à magistrat, mais cela vaudrait le spectacle. »

Greg Egan, "Le Réserviste", 1990¹

Nous ne visons pas tellement, ici, à présenter un exposé juridique de la doctrine de la Commission nationale informatique et libertés (CNIL) en matière de biométrie. Au-delà de la CNIL, nous voulons plutôt nous interroger sur les enjeux sociaux, politiques, culturels, voire philosophiques, soulevés par la biométrie en tant que technique d'identification personnelle, ce qui la situe non seulement en tant qu'héritière de l'anthropométrie et du bertillonnage, mais, plus largement, dans la prolongation des techniques d'identification administrative mises en place à partir du XVIIIe siècle avec l'établissement progressif d'un système d'état civil englobant la population entière. Nous nous intéressons donc à la biométrie en tant que technique juridico-administrative, qui pourrait aboutir à la constitution d'une « identité biométrique » succédant aux « identités de papier » construites par les Etats-nations au XIXe et au XXe siècle. Cette perspective nous amènera, bien sûr, à étudier le rôle de

¹ Egan, Greg (1990), The Extra, publié dans Eidolon, vol. 1/2, hiver 1990. Traduit par Francis Lustman et Quarante-Deux. Première publication en français: http://www.quarante-deux.org/recits/egan/nouvelles/reserviste.html . Nous signalons les références ajoutées postérieurement à la date de soutien du mémoire par une astérisque et l'usage d'italiques.

Introduction p. 4

Introduction p. 5

la CNIL, acteur juridique incontournable de l'installation des dispositifs biométriques, en particulier lorsqu'il s'agit de dispositifs requérant une autorisation préalable de celle-ci, ce qui inclut notamment les installations biométriques ne relevant pas de l'Etat. L'une des caractéristiques essentielles, en effet, de l'identification biométrique, qui la distingue des procédés antérieurs d'identification, est son utilisation importante dans le secteur privé. Autrement dit, les entreprises, et les individus eux-mêmes, contribuent à la mise en place de ce nouveau dispositif général d'identification. Toutefois, plutôt que de résumer la doctrine de la CNIL, nous allons au contraire insister sur le caractère parfois ambigu ou sur les changements éventuels de celle-ci, ainsi que sur la nature de l'opération juridique fondamentale qui préside au classement des technologies biométriques retenu par la Commission, typologie qui guide ensuite ses décisions en matière d'autorisation et de refus accordés aux dispositifs biométriques.

Après une esquisse des rapports entre le champ économique et le cadre juridique dans lesquels s'insère la technologie biométrique, nous consacrons cette introduction à expliquer, de façon générale, le fonctionnement et la finalité poursuivie par la biométrie, c'est-à-dire l'opération d'identification qu'elle met en oeuvre, puis à présenter l'objet « biométrie » au regard du droit.

La suite du mémoire est divisée en cinq chapitres. Le premier s'attache à une exploration des ambiguïtés du concept d'identité, et des différents types d'identité. Ce faisant, en mêlant considérations historiques, philosophiques et juridiques, nous appréhendons la biométrie à la fois en tant que technique d'identification administrative, qui pourrait annoncer une mutation importante de l'état civil tel que nous l'avons connu jusqu'ici, et en tant que réponse à des problèmes philosophiques et politiques posés par le concept même d'identité. L'identification biométrique tend en effet à se présenter comme le « stade scientifique » de l'identification administrative. Nous présentons ensuite les diverses technologies biométriques et les problèmes principaux que celles-ci suscitent. Bien que ce deuxième chapitre soit principalement consacré à la biométrie en tant que technologie, et aux différents usages qui en sont fait, nous verrons que les limites techniques de celle-ci ont une influence importante sur les choix politiques et juridiques postérieurs. Nous analysons dans ce cadre la fonction véridictionnelle du droit, qui transforme en certitude ce qui n'est qu'une vraisemblance technique, à savoir le fait que nous avons

Introduction p. 6

affaire au même individu. Droit et technique se renforcent ainsi mutuellement, au risque d'aggraver les conséquences d'une usurpation d'identité en introduisant la possibilité de l'erreur, du faux et de la falsification au coeur même de la vérité juridique.

En troisième lieu, nous nous concentrons sur la CNIL elle-même. Bien qu'un exposé de sa doctrine ne soit pas le but principal poursuivi ici, nous ne pouvons souligner les problèmes théoriques suscités par l'appréhension juridique de la biométrie par la CNIL qu'en suivant le cadre général cette doctrine. Aussi, après avoir montré le caractère juridique et politique de l'opération de classement des technologies biométriques à laquelle se livre la CNIL, nous suivons cette typologie pour analyser, dans le détail, les délibérations de la CNIL. Ceci nous permettra notamment de montrer des points d'inflexion de la doctrine de la CNIL, évolutions qui tendent à être passées sous silence par la Commission, ainsi que l'ambiguïté de certaines délibérations, qui montre que la doctrine officielle de la CNIL en matière de biométrie ne concorde pas toujours avec son attitude effective. Ce chapitre est aussi l'occasion de mettre en perspective la CNIL avec ses homologues européens, en particulier avec l'Information Commissionner britannique et l'Autorité grecque de protection des données (HDPA - Hellenic Data Protection Authority).

Au quatrième chapitre, nous nous arrêtons un moment sur les rapports entre biométrie, intégrité du corps humain et dignité de la personne, en analysant en particulier la mise en place du FNAEG (Fichier national automatisé des empreintes génétiques) et le jugement du TGI de Paris d'avril 2005 concernant un dispositif de contrôle d'accès dans l'entreprise, fonctionnant à l'aide de la reconnaissance d'empreintes digitales, et en situant celui-ci en perspective par rapport aux positions de l'Autorité grecque de protection des données.

Enfin, le dernier chapitre est consacré à l'utilisation étatique de la biométrie, en particulier en ce qui concerne les documents d'identité et de voyage. Il aborde donc les différents traitements de données biométriques mis en oeuvre en France et dans l'Union européenne, que ce soit en matière de passeports, de visas, de titres de séjours, etc., décisions qui font suite à celle des Etats-Unis d'imposer, après les attentats du ii septembre 2001, l'usage de passeports biométriques pour bénéficier du programme d'exemption de visas. Nous y évoquons aussi l'utilisation de l'identification génétique dans le cadre du regroupement familial, ainsi que la

Introduction p. 7

question des bases de données biométriques utilisées à des fins judiciaires, en interrogeant notamment l'arrêt de décembre 2008 de la Cour européenne des droits de l'homme (S. et Marper contre Royaume-Uni). Enfin, nous verrons ce que implique l'utilisation grandissante de la biométrie, non seulement pour les migrants et les étrangers, ou encore pour les « délinquants », mais, désormais, pour l'ensemble de la population. En nous attachant à la question des contrôles d'identité ou de l'interpellation, cela nous permettra de revenir sur rapports entre l'identification par le « face-à-face », l'identification par l'écrit et les papiers d'identité, et l' « identification biométrique ».

A/ ENCADRER OU RÉGULER LA BIOMÉTRIE?

Pourquoi s'intéresser à la biométrie, définie par l'Organisation internationale de normalisation (ISO) en tant que « reconnaissance automatique d'individus fondée sur leurs caractéristiques biologiques et comportementales² » ? Après quelques essais dispersés dans les années 1980 et 1990, la biométrie est devenue un secteur économique en plein essor. Or, la généralisation de l'usage des technologies biométriques, leur perfectionnement, leur diversification et la baisse importante de leur prix d'achat a conduit les autorités de plusieurs pays à s'intéresser à divers dispositifs d'encadrement possible et de réglementation de celles-ci, aiguillonnées en cela par les alertes émanant tant des associations (IRIS³, LDH⁴, Privacy International, etc.) que d' « autorités administratives indépendantes » ou de parlementaires (rapport Cabal⁵). Parmi les AAI, les autorités de protection des données personnelles (CNIL, G29, CEPD...) ont naturellement été amenées à se saisir de cet enjeu, mais des « autorités morales » telles que le Comité consultatif national d'éthique (CCNE) s'y sont aussi intéressées, en particulier lorsque cela concernait la génétique.

L'industrie mondiale de la biométrie représentait ainsi, selon l'International Biometrics Group (IBG), 47 millions d'euros en _1999, et 600 millions d'euros en 2003⁶. En 2008, l'IBG prévoyait un chiffre d'affaires total de 3 422 millions de dollars pour 2009, qui grimperait jusqu'à 9 368 millions de dollars en 2014⁷. On peut citer, parmi les secteurs où la biométrie se développe de façon importante, le contrôle aux

² ISO/IEC JTC 1/SC 37 Biometrics, « Text of Standing Document 2 (SD 2) Version 8, Harmonized Biometric Vocabulary », 22 août 2007. Il s'agit d'un papier préparatoire (et non pas d'une norme ISO), accessible sur http://isotc.iso.org/livelink/fetch/2000/2122/327993/2263272/2263034/22998o2/JTCooi-SC37-N-2263.pdf?nodeid=6714553&vernum=0 . Abrégé par la suite par ISO (2007), « Harmonized Biometrics Vocabulary ».

³ Imaginons un réseau interne solidaire.

⁴ Ligue des droits de l'homme.

⁵ Rapport dirigé par Christian Cabal (2003), effectué pour l'Office parlementaire d'évaluation des choix scientifiques et technologiques, et intitulé « Les méthodes scientifiques d'évaluation des personnes à partir de données biométriques et les techniques de mise en oeuvre ».

⁶Chiffres de l'International Biometrics Group, cité par Claudine Guerrier, « Les aspects juridiques de la biométrie », http://www.biometrie-online.net/dossiers/generalites/droit/Claudine %20GUERRIER.pdf (accès le io janvier 2009), p.i.

7 Présentation du Biometrics Market and Industry Report 2009-2014, publié en octobre 2008 (et vendu pour un prix de 3 995 dollars),

http://www.biometricgroup.com/reports/public/market report.php (accès le io janvier 2009)

Introduction p. 8

frontières et la sécurisation des documents de voyage, la sécurisation des transactions commerciales et financières, et, immédiatement après le secteur financier en nombre d'utilisateurs, le secteur des soins de santé (identification des patients, protection des données médicales) ⁸.

Face à ce phénomène social et économique, qui touche aussi bien la sphère publique que la sphère privée, l'Etat que les entreprises, les employés que les particuliers dans leur vie quotidienne, les autorités politiques ont en effet commencé à mettre en place les fondements d'un système d'encadrement juridique. Toutefois, l'Etat n'est pas simplement un acteur extérieur à ce développement des technologies biométriques, auquel il tenterait de répondre par la mise en place d'un cadre juridique. Il n'y a pas, d'un côté, le secteur économique, qui agirait spontanément, et de l'autre, le champ juridico-étatique qui tenterait de réglementer celui-ci. Bien au contraire, les Etats sont des acteurs centraux de ce développement de la biométrie, non seulement par la biométrisation des documents de voyage (passeports, etc.) mais aussi en finançant de généreux programmes de recherche et de développement visant à promouvoir ces technologies et à favoriser leur acceptation sociale. L'établissement de normes, techniques, juridiques ou quasi juridiques, soutient le développement de ces technologies tout autant qu'il encadre leur utilisation. A l'intérieur de l'Union européenne (UE), le programme de La Haye (2005-2O10) donnait ainsi comme finalité à ces recherches la sécurité des citoyens et la lutte contre l'immigration illégale et le terrorisme, dans le cadre plus général de la constitution d'un « espace de liberté, de sécurité et de justice ».

Si la CNIL a en effet tendance, en particulier dans ses rapports récents, à mettre l'accent sur l'importance du secteur commercial et privé en matière de biométrie, les rapports de la Commission européenne ne dissimulent nullement le rôle central de l'Etat dans ce qu'il appelle « l'effet diffusion » de la biométrie)°. Ces rapports

⁸ Mordini, Emilio et Ottolini, Corinna (2007), « Body identification, biometrics and medicine: ethical and social considerations », Annali dell'Istituto Superiore di Sanità 2007, vol. 43, n°1, p.51-60

⁹ Si les programmes de recherche comportent un pan « sciences humaines et sociales » visant à analyser les effets sociaux d'une généralisation de la biométrie, éventuellement de manière relativement critique, ceux-ci sont beaucoup moins importants. Cf. Statewatch: "EU: Report on biometrics dodges the real issues", Statewatch news online, mars 2005: http://www.statewatch.org/news/2oo5/mar/i7eu-biometric-report.htm

1° Voir la préface du rapport de l'Institute for Prospective Technological Studies (IPTS), JRC Commission européenne (2005), « Biometrics at the Frontiers: Assessing the Impact on Society » (2005), EUR 21585 EN, accessible sur

Introduction p. 9

Introduction p. 10

considèrent en effet que le développement de ces technologies, enjeu économique d'importance, est non seulement nécessaire et inéluctable, mais doit être favorisé par l'Etat, non seulement par la mise en place de normes juridiques encadrant ce phénomène, mais d'abord et avant tout en faisant des Etats membres de l'UE les premiers clients des firmes spécialisées dans le secteur. Ainsi, selon le rapport « Biometrics at the Frontiers: Assessing the Impact on Society » (2005), commandé au centre européen conjoint de recherche (European Joint Research Group) par la Commission pour communication au Parlement européen, « les gouvernements peuvent aider à créer un tel marché en tant que clients émetteurs, et non en qualité de réglementateurs. »¹¹ L'utilisation croissante de la biométrie aux frontières et dans l'administration électronique (e-government) suscitera une « adhésion croissante » de la population à celle-ci, « ouvrant la voie à l'utilisation ultérieure de la biométrie pour des applications civiles et commerciales. »12

L'UE a ainsi instauré et finance de nombreux programmes de recherche, dont, par exemple, HIDE (Homeland Security, Biometric Identification & Personal Detection Ethics)~³, MOBIO ~⁴, ou encore :

-- Le programme TURBINE (TrUsted Revocable Biometric IdeNtitiEs), mené dans le cadre du _7e programme cadre de l'UE (2007-2013), qui bénéficie d'une subvention européenne de 6,3 millions d'euros¹⁵. Il vise à créer des « pseudo-identités » à partir de caractéristiques biométriques telles que les empreintes digitales, notamment afin de parer à l'objection selon laquelle l'utilisation de caractéristiques biométriques en tant que mots de passe est problématique, ceux-ci ne pouvant être annulés.

-- Le programme PROBANT (People Real-Time Observation in Buildings, littéralement « Observation en temps réel des personnes dans les bâtiments »), coordonné de 2006 à 2008 par SATIMO (Société d'applications

http://cybersecurity jrc.ec.europa.eu/pages/ProjectlibestudyBiometrics.htm. Le résumé exécutif (15 p.) est formulé moins abruptement: http://cybersecurity.jrc.ec.europa.eu/docs/LIBE%2oBiometrics %2oMarch%2005/Biometrics exec summ FR.pdf

11 Résumé exécutif du rapport, _114, op.cit.

12 IPTS (2005), « Biometrics at the Frontiers: Assessing the Impact on Society » (2005), EUR ²¹585 EN, Résumé critique de Statewatch: "EU: Report on biometrics dodges the real issues", Statewatch news online, mars 2005: http://www.statewatch.org/news/2005/mar/17eu-biometric-report.htm

¹³ http://www.hideproject.org/about/project.html

¹⁴ http://www.mobioproject.org/

¹⁵ http://www.turbine-project.eu/index.php

technologiques de l'imagerie micro-onde) intégrait aussi tout un champ biométrique, et était doté par l'UE d'un budget de plus d'1,176 millions d'eurosi⁶

Le programme BIOTesting Europe (2007-2008), visant à élaborer des procédures européennes de standardisation et de certification des technologies biométriques, notamment afin de favoriser l'interopérabilité entre les systèmes et les échanges de données infra-européens. Coordonné par le Biometrics European Forum, ce programme était financé à hauteur de 268 00o euros par l'UE, pour un coût total de 358 00o euros¹⁷.

Enfin, la CNIL a autorisé en janvier 2007, pour la première fois, deux programmes de recherche concernant la biométrie, l'un dénommé « Technologie de la vision -- Techno Vision », organisé par l'université d'Evry-Val d'Essone, soutenu conjointement par les ministères de la recherche et de la défense, l'autre, piloté par Sagem Défense Sécurité, dénommé « 3Dface » et prenant place dans le cadre du programme IST (Technologies pour la société de l'information) de la Commission européenne'. Ces deux projets requéraient la constitution de bases de données biométriques, sur une base de volontariat, à des fins de recherche, Techno Vision ayant principalement pour but d'évaluer les systèmes de reconnaissance faciale

« ouvrant des perspectives dans le domaine de la vidéosurveillance », l'autre visant

« à prévenir les risques de captation et de modification des données biométriques ce qui est essentiel en matière de protection de la vie privée. »

Ainsi, si le droit s'est saisi de l'objet « biométrie », c'est à la fois pour encadrer l'usage de celui-ci et pour réguler ses applications. D'une part, la biométrie est conçue comme posant un risque éventuel face aux libertés individuelles; d'autre part, elle est

¹⁶ UE, Direction générale des entreprises et de l'industrie, recherche sécurité, « Preparatory Action for Security Research » (PASR, 2005), « PROBANT: People Real-Time Observation in Buildings: Assessment of New Technologies in Support of Surveillance and Intervention Operations. » http://ec.europa.eu/enterprise/security/doc/project flyers 2007/PROBANT.pdf

¹⁷ UE, Direction générale des entreprises et de l'industrie, recherche sécurité, « Preparatory Action for Security Research » (PASR, 2006), « BIOTesting Europe: towards a network for testing and certification of biometric components and systems », accessible sur http://ec.europa.eu/enterprise/security/doc/project flyers 2007/BIOTesting%20EUROPE.pdf

18 CNIL (2007), délib. n°2007-006 et 2007-007 du 18 janvier 2007. Cf. aussi « La Biométrie à l'oeil et à la tête du ... volontaire », io février 2007: http://www.cnil.fr/la-cnil/actu-cnil/article/article//la-biometrie-a-loeil-et-a-la-tete-du-volontaire/

Introduction p.11

appréhendée comme dispositif de sécurité indispensable. La Commission nationale informatique et libertés, créée par la loi de 1978, s'est posée en France comme l'arbitre entre ces deux impératifs contraires. Admirée par les uns, honnie par les autres, la CNIL est ainsi devenue l'acteur juridique majeur pour ce qui concerne la biométrie. Toutefois, son rôle ne se réduit pas à l'encadrement juridique d'un phénomène économique et politique extérieur, sur lequel elle n'aurait aucune prise. Les données personnelles, protégées au niveau communautaire par la directive 95/46/CE, sont en effet aussi considérées par celle-ci comme des marchandises, pouvant être échangées sans entraves au sein de l'Union européenne. La CNIL a ainsi eu un rôle économique grandissant, au « risque », selon Michel Gentot, président de la Commission de ₁₉₉₉ à 2004, « que les enjeux économiques ou financiers de ces interventions ne cessant de croître, la priorité soit donnée à cette mission nouvelle de régulation d'un marché, l'autorité pouvant alors être contrainte à déserter le terrain des libertés individuelles ou publiques, qui était celui de ses origines, pour se transformer en "luxueux" corps de contrôle spécialisé.19 »

~⁹ M. Gentot, in La protection de la vie privée dans la société d'information (tome 3), PUF, 2002, chap. I « La protection des données personnelles à la croisée des chemins », p.3o.

Introduction p. 12