Chapitre III:La CNIL, texte réglementaire et doctrine p. 85

CHAPITRE III: LA CNIL, TEXTE

RÉGLEMENTAIRE ET DOCTRINE

« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles et publiques. »

Art. l^er de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

« Indeed, the question of the use of biometrics for border controls is different than the question of its use for national ID-cards, in criminal investigations, in fighting terrorism or pandemics, for access controls at soccer games and in dancings, or say, for the selling of hamburgers. Rules at a general level just won't do. Which makes the issues at stake still more difficult: a balance between opacity and transparence must be searched in respect of each particular or generic set of problems. »

Serge Gutwirth, « Biometrics between opacity and transparence », 2007

La tension inhérente à la stratégie juridique de la Commission nationale informatique et libertés (CNIL), autorité administrative indépendante (AAI) créée par la loi du 6 janvier 1978 « relative à l'informatique, aux fichiers et aux libertés », vis-à-vis des technologies biométriques apparaît clairement dans le contraste entre ces deux citations, mises en exergue, l'une venant de l'article fondateur de la loi de 1978, qui a pu constituer un modèle européen en ce qui concerne la protection des données personnelles, à la fois à l'échelon de l'Union européenne, et sur celui des autres Etats nationaux (l'Espagne par exemple), l'autre d'un commentateur juriste dont les propos pourraient être sans peine tenus par un membre de la CNIL. C'est cette tension entre l'affirmation de principes généraux qui forment les fondements de l'ordre juridique démocratique, à l'exception, peut-être, du concept juridiquement non défini d' « identité humaine », et le pragmatisme de la Commission, qui définit

Chapitre III:La CNIL, texte réglementaire et doctrine p. 86

en effet l'esprit de la CNIL, du moins selon ses propres propos. Peut-être faut-il noter, en outre, que l'affirmation des principes généraux sur le mode négatif, « ni... ni... », qui évoque les « outils d'opacité » théorisés par Serge Gutwirth comme limites posées aux interférences du pouvoir (afin de protéger une liberté conçue simultanément comme négative et positive), entre en tension avec le caractère régulateur de l'action de la CNIL, qui préfère « encadrer la biométrie » et canaliser son développement plutôt que poser des limites infranchissables -- ce que Gutwirth appelle « outils de transparence » ; ou plutôt, si elle pose parfois des interdits catégoriques, c'est pour tracer les bornes en-deça desquelles certains usages de la biométrie sont autorisés.

Bien que parfois critiquée pour ce qui apparaît à d'aucuns comme un comportement « frileux », cette action régulatrice de la CNIL a sans doute contribué à l'essor récent de la biométrie: si celle-ci a pu ralentir parfois certaines ardeurs, l'effet de légitimation que cela implique en retour ne doit pas être négligé. Depuis l'examen de son premier dispositif biométrique de reconnaissance d'empreintes digitales au titre du contrôle d'accès en 1997¹⁹⁵, la CNIL a en effet progressivement édifié les fondements d'une doctrine en matière de biométrie. Assujettissant en 2004 les dispositifs biométriques à l'autorisation préalable de la CNIL, sauf exceptions, le législateur n'a pas réglementé leur usage, laissant ainsi à la CNIL le soin d'élaborer cette doctrine. Dès 2001, celle-ci consacre régulièrement des sections spécifiques de ses rapports d'activité à cette technologiei⁹⁶.

La CNIL entend par « biométrie » l'utilisation de « mesures portant sur les éléments biologiques d'un individu sur la base d'une méthode de numérisation des caractéristiques du vivant »¹⁹⁷. Cela exclut par exemple un simple badge portant une photographie numérisée de son porteur, s'il n'y a pas de traitement automatisé possible de cette information. En revanche, cela inclut l'empreinte ADN, parfois exclue du champ des technologies biométriques. La biométrie est ainsi distinguée de l'anthropométrie par l'informatisation de la procédure, tandis que le caractère numérique du gabarit enregistré la distingue de la dactyloscopie traditionnelle. Or, cette informatisation conduit à de nombreuses interrogations au sujet de l'échange

¹⁹⁵ CNIL (2007), « Biométrie : la CNIL encadre et limite l'usage de l'empreinte digitale », communiqué du 28 décembre 2007.

¹⁹⁶ CNIL, 21^e rapport d'activité 2000, chapitre 4, « Les contrôles d'accès par biométrie », p. 101-120

¹⁹⁷ Bensoussan, Alain (2008), Informatique et libertés, éd. Francis Lefebvre, 2008, §3 900.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 87

des données informatisées, que ce soit dans un cadre infra-national ou internationalX⁹⁸. Les risques inhérents à la biométrie dépendent ainsi, dans une large mesure, de la constitution de bases de données informatisées, et de la possibilité éventuelle de leur interconnexion, possibilité conditionnée à la standardisation des données biométriques informatisées.

Telle que modifiée en 2004, la loi Informatique et libertés lui accorde un pouvoir d'autorisation expresse des dispositifs biométriques, qui répond à quatre principes majeurs formulés par la CNIL199 :

finalité du dispositif (art. 6 loi n°78-17) proportionnalité (ibid.)

sécurité²O° (ou fiabilité du dispositif)

information des personnes concernées (art. 32 loi n°78-17)

Le principe de proportionnalité et de finalité, consacré à l'art. 6 de la loi de 1978 ainsi qu'à l'art. 5 de la Convention n°108, dispose en particulier que les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leur traitement ultérieur » (art. 6-3). Le Conseil constitutionnel a considéré ce principe comme l'une des garanties essentielles de la vie privée découlant de l'art. 2 de la Déclaration des droits de l'homme et du citoyen de 1789²°¹

198 Les échanges de données à l'intérieur de pays de l'UE ne sont pas soumis à l'autorisation préalable de la CNIL, mais à un simple régime de déclaration, en raison de l'harmonisation des législations prévue par la directive _95/46/CE. Hors UE, ces données sont aussi protégées en vertu de cette directive, qui n'autorise le transfert de données que si la législation du pays destinataire assure un niveau de protection adéquat aux données. Cette directive a eu un effet direct aux Etats-Unis, les incitant à modifier leurs règles, très libérales, dans un sens plus protecteur, afin de pouvoir bénéficier des données produites à l'intérieur de l'UE, notamment dans le cadre des Passenger Name Record (cf. chap. V). Après plusieurs négociations, rapportées de façon critique par Statewatch, la Commission européenne a passé l'accord Safe Harbour avec le Département du Commerce américain. Cf. http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/

¹⁹⁹ CNIL (2007) « Communication (...) relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007

²⁰° Délib. n°81-94 du 21 juillet 1981 portant adoption d'une recommandation relative aux mesures générales de sécurité des systèmes d'information.

2°1 Décision n°2007-557 DC du 15 nov. 2007, loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile; déc. n°2008-562 DC du 21 fév. 2008, loi relative à la rétention de sûreté et à la déclaration d'irresponsabilité pénale pour cause de trouble mental.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 88

Si la « doctrine » de la CNIL s'est précisée au cours des années, les principes fondamentaux de celle-ci étaient déjà présents en 2001. Malgré les innovations apportées par la loi du 6 août 2004, il n'y a pas eu ainsi de revirement notable et évident dans la conception de la CNIL vis-à-vis des technologies biométriques, alors même que l'usage de celles-ci s'est généralisé, à la fois pour des raisons économiques et technologiques tenant à l'essor de ces techniques, et pour des raisons liées au contexte de surveillance accru, au niveau mondial, après les attentats du 11 septembre 2001²⁰². Ainsi, alors que la CNIL avait autorisé, dans le secteur public, 34 dispositifs biométriques entre 1978 et 2004, elle en avait examiné, fin décembre 2007, 788 (secteur public et privé confondus) depuis 2004²⁰³. Au contraire, la CNIL a eu tendance à cristalliser sa doctrine, à la fois par le biais de communiqués ou de véritables guides se présentant en tant qu'exposés de doctrine²O⁴, et par le biais des autorisations uniques, régime de déclaration apparu avec la réforme de 2004. Ces guides, bien entendu, ne possèdent pas de caractère juridique contraignant, pas plus que les délibérations passées de la CNIL: celle-ci n'est pas contrainte de se sentir, à l'avenir, liée par ses conceptions passées.

Avec les autorisations uniques, on a pu ainsi assister à une rationalisation de l'activité de demande d'autorisation par la CNIL, qui fournit entreprises et organismes concernés en recommandations concises et en formulaires d'autorisation. Effectuée afin d'éviter des risques d'engorgement de la commission, qui, par ailleurs, déclare régulièrement manquer de moyens pour faire face à ses tâches, cette rationalisation a cependant aussi eu un effet indéniable sinon d'encouragement, du moins de facilitation de l'expansion des systèmes biométriques. Comme nous allons le voir pour ce qu'il s'agit de la restauration scolaire, cela ne signifie pas pour autant qu'aucune modification de doctrine n'ait eu lieu. Bref, la CNIL, semble-t-il, a préféré adopter une stratégie visant à « encadrer la biométrie », comme elle le dit elle-même, ce qui consiste à la fois à accompagner son développement et à le canaliser, en favorisant certaines technologies plutôt que d'autres.

2°2 Cf. chiffres précités de l'International Biometric Group.

²⁰³ « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, p.3

²⁰⁴ Cf. par ex. CNIL, L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles », http://www.cnil.fr/index.php? id=2524&news[uid] =583&cHash=4b9d4obo67

Chapitre III:La CNIL, texte réglementaire et doctrine p. 89

Dans ses grandes lignes, la doctrine de la CNIL, telle que présentée par elle-même, se résume ainsi: les dispositifs de reconnaissance d'empreintes digitales sur support central ne sont autorisés qu'en cas de « fort impératif de sécurité »; ils peuvent être utilisés à des fins de « contrôle d'accès » si les empreintes sont stockées sur support individuel. Les dispositifs de reconnaissance du contour de la main, technologie qui n'est pas « à trace », les données étant stockées sur support central (lecteur-serveur), sont autorisés dans un contexte élargi: « contrôle d'accès » dans les restaurants scolaires ou les restaurants d'entreprise, contrôle des horaires dans les entreprises. Nous verrons cependant qu'une analyse des délibérations de la CNIL montre que cette « doctrine » n'est pas si simple: la finalité du « contrôle d'accès » dans les restaurants se révèle souvent être une finalité de gestion administrative, voire de contrôle de la présence des élèves; parfois, plusieurs finalités peuvent être mêlées, la CNIL ayant par exemple autorisé l'usage de dispositifs de reconnaissance d'empreintes digitales, stockées sur support individuel, à des fins mixtes de contrôle des horaires et de contrôle d'accès. La notion de « contrôle d'accès » est ainsi à entendre dans un sens large. De même, le traitement PEGASES d'automatisation des frontières montre que derrière un « impératif de sécurité » peut se dissimuler une « biométrie de confort », qui poursuit aussi des finalités de gestion.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 90