Bien que la loi de 1978 ne mentionnât pas la
biométrie, la CNIL s'est emparée du sujet relativement tôt,
se fondant pour cela sur une interprétation qu'on pourrait dire
littérale de la loi. En effet, les articles 2, 4 et 5,
semblaient déjà très pertinents à l'égard de
la biométrie.
L'art. 4 définissait comme information «
nominative » celles « qui permettent, sous quelque forme que ce
soit, directement ou non, l'identification des personnes physiques auxquelles
elles s'appliquent », ce qui inclut logiquement les données
biométriques, y compris lorsqu'elles sont déliées de
l'état civil, l'identification étant alors simplement rendue plus
difficile.
L'art. 5 définissait le « traitement
automatisé d'informations nominatives », fondement des
systèmes biométriques « numériques », tandis que
l'art. 2 (devenu, après modification, l'art. io)
disposait, prévenant ainsi avant la lettre le « profilage »
:
«Aucune décision de justice impliquant une
appréciation sur un comportement
humain ne peut avoir pour fondement un traitement
automatisé d'informations donnant une défmition du profil ou de
la personnalité de l'intéressé.
Aucune décision administrative ou privée
impliquant une appréciation sur un
comportement humain ne peut avoir pour seul fondement un
traitement automatisé d'informations donnant une défmition du
profil ou de la personnalité de l'intéressé. »
Si les articles 3 et 4 incluent logiquement les traitements
automatisés d'informations nominatives mis en oeuvre dans tout
dispositif biométrique, l'article 2 est aussi pertinent
dans la mesure où plusieurs technologies biométriques, en
particulier celles utilisant les empreintes ADN, mais aussi la reconnaissance
faciale ou celles utilisant les « caractéristiques comportementales
», qui permettent de détecter des « mouvements anormaux
», permettent, techniquement parlant, le profilage des individus.
Chapitre III:La CNIL, texte réglementaire et doctrine p.
91
Si la CNIL s'est rapidement saisie du sujet, elle l'a fait
dans un esprit conciliant qui semble toutefois aujourd'hui
singulièrement restrictif °5. Autrement dit, elle
n'opposait que de légères réserves aux projets
gouvernementaux, mais ceux-ci demeuraient largement en-deçà de ce
qui se pratique aujourd'hui, concernant à la fois la durée de
conservation des données, les destinataires des fichiers, leur
interconnexion, etc.
Ainsi, elle autorisa dès 1984 une
expérimentation qui aboutit en 1986 à la mise en place du FNAED
(Fichier national automatisé des empreintes
digitales2o6, une technologie de SAGEM), à
finalité judiciaire.
En 1986, au moment de l'instauration de la « carte
d'identité Pasqua », accompagnée d'un « système
de fabrication et de gestion informatisée des cartes nationales
d'identité »207, elle donna un avis favorable au
relevé d'une empreinte digitale lors des demandes de carte
d'identité. Le système de gestion était en effet
divisé entre le fichier de gestion automatisé, et un «
fichier manuel éclaté », où étaient
enregistrées les empreintes digitales, non numérisées : il
n'y avait ainsi pas de constitution d'un fichier centralisé des
empreintes digitales208. Malgré cet éclatement du
fichier, les empreintes pouvaient servir dans le cadre d'une «
identification judiciaire »: selon le décret du 19 mars
1987209, elles ne sont en effet conservées que pour
détecter les « tentatives d'obtention ou d'utilisation frauduleuse
d'une carte d'identité » (art. 1) ou pour « l'identification
certaine d'une personne dans le cadre d'une procédure judiciaire »
(art. 2). On remarque ici une évolution notable de la
2°5 Ceci vaut de façon générale. Si la
CNIL fut jadis largement opposée à l'interconnexion des fichiers,
elle claironne aujourd'hui que « contrairement à certaines
idées reçues, la CNIL n'a jamais contesté la
légitimité de cet objectif de contrôle et de lutte contre
la fraude, dès lors que ces croisements ou ces fichiers sont conformes
à la loi Informatique et Libertés. » (CNIL, « Non, la
CNIL n'est pas un frein à la lutte contre la fraude sociale », 12
janvier 2009).
206 Cf. infra section « contrôles
d'identité » pour plus de détails sur ce fichier. CNIL,
délib. n°84-18 du 3 mai 1984 (Ministre de l'Intérieur ;
traitement automatisé d'empreintes digitales) -- la CNIL émet
alors le conseil que « le législateur soit saisi du problème
posé par la conservation des empreintes lorsque celles-ci sont
relevées lors d'une garde à vue non suivie d'une procédure
judiciaire ou lors d'une détention provisoire non suivie d'une
condamnation » ; délib. n°86-102 du 14 octobre 1986 (projet
décret - FNAED) ; décret n°87-249 du 8 avril 1987 (FNAED ;
ministère de l'Intérieur); CNIL, délib. n°04-068 du
24 juin 2004 (projet décret modif. décret du 8 avril 1987).
2°7 Décret n°87-178.
2°8 CNIL, délib. n°86-105 du 21
octobre 1986 (relevé empreinte digitale ; demande carte
nationale d'identité), qui fait suite à la délib.
n°86-76 du o1 juillet 1986 (projet de décret ; création
système de fabrication et de gestion informatisée des cartes
nationales d'identité; complément d'informations au sujet du
relevé d'empreintes). Celui-ci est instauré par le décret
n°87-179 du 19 mars 1987 publié au JO du 20
mars 1987.
2O9Décret n°87-179 du 19 mars
1987.
Chapitre III:La CNIL, texte réglementaire et doctrine p.
92
CNIL, qui s'inquiétait, six ans auparavant, de ce que
l'Etat puisse conserver la signature numérisée et « recourir
au stockage de la photographie des Français », et s'opposait
à l'utilisation des caractères OCRB et d'une zone de lecture
optique automatique sur la carte d'identité, qui n'était
prévue qu'à titre facultatif par la Résolution
77 (26) du Conseil de l'Europe relative à
l'établissement et à l'harmonisation des cartes nationales
d'identité21°
En 1987, elle autorisa aussi, pour une durée
expérimentale de deux ans, le fichier dactyloscopique de l'OFPRA (Office
français de protection des réfugiés et des apatrides), qui
sert principalement à empêcher les demandeurs d'asile de
déposer plusieurs requêtes successives sous différentes
identités', procédé qui fût
généralisé à l'échelle de l'Union
européenne avec la mise en place d'EURODAC. La même année,
elle donna un avis favorable à l'expérimentation, pour une
durée d'un an, d'automatisation du fichier surnommé «
Canonge »212.
Le fichier Canonge, le STIC et SALVAC
Bien que ne relevant pas, à strictement parler, de la
biométrie, mais davantage de l'anthropométrie classique, le
« traitement automatisé assurant l'archivage documentaire de
photographies et l'identification de malfaiteurs », surnommé
Canonge et désormais intégré dans le STIC, a fait
récemment parler de lui213 en raison des catégories
« ethniques » utilisées pour classer les profils
(constitués de photographies et d'informations nominatives), ce dont la
CNIL avait pleinement conscience'''. Or, la CNIL,
21° Délib. n°80-19 du 3 juin 1980 (avis relatif
à la création d'un traitement automatisé d'informations
nominatives concernant la fabrication de cartes nationales d'identité).
Toutes ces dispositions avaient été suivies, l'art. 4 du
décret n°80-609 du 31 juillet 1980 « portant création
d'un système de fabrication des cartes nationales d'identité
» précisant bien que ni la photographie, ni la signature ne
seraient conservées dans le fichier informatique.
211 CNIL, délib. n°87-106 du 3 novembre 1987 (OFPRA
; dactyloscopie demandeurs statut réfugié). Celui-ci est
créé par l'arrêté du 28 juin 1989 (JO du 11
juillet 1989, NOR: MAEF8910013A ), modifié par l'arrêté du
21 décembre 1989 (JO 8 janvier 1990, NOR: MAEF8910053A ).
212 Arrêté du 26 janvier 1988 relatif à
la conclusion d'un marché d'étude d'un prototype
expérimental de fichier photographique signalétique. NOR:
MDSD8800039A .
CNIL, délib. n°87-121 du 15 décembre 1987
(archivage documentaire de photographies et l'identification de malfaiteurs ;
service régional de la Police judiciaire de Marseille
213 Bauer, Alain (dir.), rapport « Groupe de contrôle
des fichiers de police et de gendarmerie. Mieux contrôler la mise en
oeuvre des dispositifs pour mieux protéger les libertés. »,
décembre 2008. Actuellement, le fichier distingue « 12 types: Blanc
(caucasien) ; Méditerranéen ; Gitan ; Moyen-oriental ; Nord
africain Maghrébin ; Asiatique Eurasien ; Amérindien ; Indien
(Inde) ; Métis-Mulâtre ; Noir ; Polynésien,
Mélanésien-canaque. » (rapport Bauer, 2008). Cela a
été critiqué par un certain nombre d'associations et
d'AAI, dont les remarques ont été publiées dans le rapport
pré-cité.
214 «Considérant (...) que l'information "type"
relative à une personne est susceptible de révéler
l'origine raciale de l'intéressé ; Cons. que le fichier comprend
à la fois les photographies d'une personne et les données
signalétiques de celle-ci ; que l'image et les données sont
enregistrées
Chapitre III:La CNIL, texte réglementaire et doctrine
p
· 93
qu'elle ait été, ou non, pleinement
informée de la «typologie» utilisée, fait
référence à l'article 31 de la loi de 1978, qui exclut
toute donnée faisant apparaître « les origines raciales
», sauf exception, « pour des motifs d'intérêt public
»; mais il faut alors un décret en Conseil d'Etat, procédure
qui n'a pas été suivie, le fichier ayant été
autorisé par un simple arrêté215. Celui-ci ne
fait d'ailleurs nulle mention de données ethniques, évoquant
seulement le « signalement des intéressés » (art. 4),
tandis que la CNIL s'en tient à la terminologie de « type ».
La CNIL a enfm écarté toute finalité de profilage en
affirmant que ce fichier ne constituait qu'une « aide à la
décision ». L'expérimentation concernant ce fichier a
été prorogée six mois par arrêté du 3 mai
1989, date à laquelle il a plongé dans la clandestinité216
; motif pour lequel le TGI de Marseille a donné raison en 1995 à
Claude R.217, qui réclamait la « suppression des
supports informatiques relatifs aux photographies prises le 18 décembre
1990 et ayant fait l'objet du traitement informatique visé par la
délibération n° 87-121 » ayant autorisé
l'expérimentation Canonge. Le fichier Canonge sera finalement
intégré au S TIC, dont la nomination originelle, «
Système de l'information criminelle », a été
modifié à la requête de la CNIL218, faite en
1998, en « Système des infractions constatées »,
légalisé a posteriori en... 2001219. La CNIL
justifie aujourd'hui l'utilisation de telles données sensibles en raison
de « l'intérêt public » du fichier, invoquant l'art.
8-IV de la loi modifiée de 1978, tout en remarquant le caractère
vague de cette notion'.
Enfin, la CNIL a récemment donné son accord
à un système de traitement automatisé, visant à
repérer le caractère « sériel » de certaines
infractions et à établir des statistiques, qui inclut davantage
de catégories de personnes que le STIC, ainsi que des catégories
raciales, dénommées « types ethniques » - la CNIL
préconisait le remplacement de cet
séparément et sont reliées par un
numéro d'identification ; Cons. que les informations collectées
sont relatives au numéro d'identification de la fiche, aux
photographies, à l'identité, à la signalisation et au
signalement ; qu'elles sont adéquates, pertinentes et non excessives par
rapport à la finalité pour laquelle elles sont collectées
» (Délib. n°87-121 du 15 décembre 1987).
215 Cf. aussi délib. n°81-66 du 26 mai 1981 (projet
de décret - l'art. 31 de la loi n°78-17 )
216 Le rapport Bauer (2008, op.cit.) affirme que ce
fichier a été « informatisé en juin 1992 » et
« développé dans le cadre du système de traitement
des informations constatées » (STIC), par quoi il faut sans doute
entendre que l'informatisation, entamée en 1987, n'a été
achevée qu'en 1992. Le STIC lui-même n'a été
légalisé qu'a posteriori, par le décret n°
2001-583 du 5 juillet 2001.
217 TGI de Marseille, 23 mars 1995
Claude R. / le Ministre de la Justice. Accessible sur
http://www.legalis.net/jurisprudence-decision.php3?id
article=1120.
218 CNIL, délib. n°98-097 du 24 novembre 1998,
portant avis sur le projet d'arrêté interministériel
relatif à la création du système de traitement de
l'information criminelle (STIC) et sur le projet de décret
présenté par le Premier ministre en application de l'article 31-
alinéa 3 de la loi du 6 janvier 1978
219 Décret n°2001-583 du 5 juillet 2001
pris pour l'application des dispositions du troisième
alinéa de l'article 31 de la loi no 78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés et portant
création du système de traitement des infractions
constatées.
Sur l'histoire du STIC, voir le 21e
rapport d'activité (année 2000) de la CNIL, chap. III, « Le
Stic suite... », p.73-99.
22° Debet, Anne (2007), « Mesure de la
diversité et protection des données personnelles », rapport
de la CNIL, 15 mai 2007, p.15.
Chapitre III:La CNIL, texte réglementaire et doctrine
p
· 94
intitulé par celui de « type physique apparent
»221. Existant depuis 2003222, ce fichier,
dénommé SALVAC (« Système d'analyse des liens de la
violence associée aux crimes »), a été
légalisé a posteriori par la loi du 12 décembre
2005 sur la récidive des infractions pénales (art. 30). Le
décret l'officialisant est paru le 25 juin 2009, et mentionne simplement
l'inscription du « signalement », sans plus de détails'. Il
précise que « le traitement ne comporte pas de dispositif de
reconnaissance faciale à partir de l'image numérisée de la
photographie » (art. 4).
De 1984 à 1997, la CNIL n'aura ainsi
délibéré publiquement qu'à propos de deux fichiers
biométriques, l'un réservé aux demandeurs d'asile, et
géré de manière -- officiellement -- stricte par l'OFPRA,
l'autre, le FNAED, réservé à la police judiciaire. Quant
au relevé des empreintes digitales lors des demandes de carte
d'identité, effectué afin de prévenir des fraudes
possibles, aucune centralisation n'est effectuée, ni même de
fichier mécanographique local établi: sa portée est donc
limitée, en comparaison avec les projets contemporains. Dans tous les
cas, la CNIL a donné son accord, mais assorti de réserves, le
contrôle effectué à l'égard du fichier de l'OFPRA et
visant à vérifier la mise en oeuvre d'un procédé de
destruction en cas de circonstances exceptionnelles~~4 -- le spectre
de Vichy demeure présent -- étant ainsi révélateur
de l'esprit alors adopté par la CNIL. L'interconnexion est bannie, les
finalités strictement limitées. La biométrie,
limitée pour l'heure à la dactyloscopie qui se modernise avec
l'informatisation, est restreinte aux fichiers de souveraineté et de
sécurité publique, bien que le coût et la nouveauté
de cette technologie, sans compter la connotation policière des
empreintes digitales, y soit certainement pour beaucoup. Le Ministère de
la Défense lui-même attend 1995 pour mettre en oeuvre,
avec l'accord de la CNIL indiquée par lettre (n°252 712), un
système automatisé de traitement d'informations nominatives,
comportant le gabarit de l'empreinte digitale, aux fins de contrôler
l'accès sur les bases militaires aériennes225.
221 La CNIL (nous soulignons) : « prend acte de
l'engagement du ministère de remplacer l'intitulé « type
ethnique » par l'intitulé « type physique apparent »,
conformément à sa demande »;elle « estime par ailleurs
que la mention de la couleur de la peau de la victime ou de
l'agresseur peut être admise compte tenu de la finalité de
recherche criminelle du traitement, en tant qu'elle constitue un signe
physique, objectif et permanent pouvant contribuer au signalement et
à l'identification de l'agresseur. » (délib. n°2009-042
du 29 janvier 2009)
222 CNIL (2006), « Une nouvelle catégorie de
fichiers de police : les fichiers de crimes en série », 24
février 2006.
http://www.cnil.fr/dossiers/police-justice/actualites/browse/7/article/551/une-nouvelle-categorie-de-fichiers-de-police-les-fichiers-de-crimes-en-serie/
223 Décret n° 2009-786 du 23 juin 2009
224 Délib. n°92-027 du 17 mars 1992 portant sur
une vérification sur place du fichier dactyloscopique des demandeurs du
statut de réfugié mis en oeuvre et géré par
l'OFPRA
225 Arrêté du 27 mars 1995 relatif
à la mise en oeuvre du traitement automatisé d'informations
nominatives de protection des points sensibles des bases aériennes,
publié au JO du 5 mai 1995.
Chapitre III:La CNIL, texte réglementaire et doctrine
P
· 95
Il faut ainsi attendre 1997 pour que la CNIL se prononce sur
l'utilisation à des fins de contrôle d'accès, et non plus
dans le cadre d'application policière (administrative ou judiciaire),
d'un fichier biométrique dactyloscopique. Le demandeur était
néanmoins un établissement public à caractère
administratif lié de très près aux enjeux de
souveraineté: il ne s'agissait de rien de moins que de la Banque de
France, qui voulait sécuriser l'accès à des zones
stratégiques226. La CNIL indiqua que le projet
d'arrêté de la Banque de France constituait une base anonyme,
l'empreinte digitale étant liée à un code connu de
l'employé seul: autrement dit, elle ne permettait pas, de façon
directe du moins, l'identification de la personne, son état civil
n'étant pas enregistré. Les informations n'étaient
conservées que le temps de son emploi, et celles liées à
son passage n'étaient gardées que pour une durée de trois
mois, tandis que le dispositif enregistrant le gabarit de l'empreinte ne
permettait pas « l'impression des empreintes enregistrées
».
Alors que d'autres pays, en particulier les Etats-Unis,
s'essaient déjà à la biométrie -- dès 1978,
le Minnesota est le premier Etat américain à mettre en place un
système automatisé d'empreintes digitales à visée
judiciaire227, tandis qu'un programme biométrique pour les
passagers fréquents est mis en place par les douanes étasuniennes
en 1993 la France avance ainsi doucement dans ce domaine, pour des
raisons qui ne tiennent, a priori, que de façon limitée
au rôle de la CNIL. De manière étonnante, les
premières demandes à la CNIL visant à autoriser
l'établissement de systèmes biométriques n'émanent
pas tant de l'Etat ou de secteurs sensibles et stratégiques de
l'administration publique, mais d'établissements scolaires, de mairies,
de postes... Bien entendu, la simple modalité de déclaration, par
récépissé, du secteur privé, en vigueur jusqu'en
2004, empêche toute évaluation quantitative de l'utilisation de la
biométrie dans le secteur, d'autant plus que la CNIL n'évaluait,
en 2004, qu'à environ 3o% le taux de déclaration des
PME228. Inversement, il est aussi
226 Délib. n°97-o44 du io juin 1997
(projet d'arrêté ; Banque de France ; gestion contrôles
d'accès ; empreintes digitales).
227 Et en 1988, la division de Lakewood du département
des shérifs du Comté de Los Angeles met en place un dispositif de
reconnaissance faciale. Voir pour ces deux exemples Stephen Coleman (2000),
« Biometrics »,The FBI Law Enforcement Bulletin, ler juin
2000, accessible sur The Free Library,
http://www.thefreelibrary.com/Biometrics-ao6364926o
228 CNIL (2004), « Nouveaux défis,
nouvelle loi, nouvelle CNIL », 24 juin 2004 (5 P
·)
http://www.cnil.fr/fileadmin/documents/La
CNIL/actualite/Dis-PDT-conf2o04.pdf
Chapitre III:La CNIL, texte réglementaire et doctrine p.
96
difficile d'évaluer l'usage fait de la biométrie
dans le secteur de la défense, celui-ci pouvant passer par une
procédure confidentielle.
Ainsi, si l'on excepte l'autorisation précitée
concernant la Banque de France (1997), la première demande,
refusée en 2000, émane du collège Jean
Rostand de Nice; la seconde de la préfecture de l'Hérault, et
vise à contrôler le temps de travail des employés; la
troisième émane du ministère de l'Education nationale, et
vise à sécuriser certains locaux de la cité
académique de Lille. Comme l'a souligné Xavier
Guchet~~9, la biométrie émane bien, ici, d'une demande
« du bas », de « tactiques locales de pouvoir », pour
reprendre le vocabulaire foucaldien. Elle vise à faciliter la gestion
des flux, dans une optique à la fois économique et de
contrôle, et s'intègre ainsi particulièrement bien dans le
processus de « modernisation » du management. Même
lorsqu'il s'agit apparemment d'impératifs de sécurité, la
biométrie peut parfois davantage servir des finalités de gestion,
comme à l'aéroport international
d'Athènes23°. Jusqu'à 2005, année
où la CNIL délivre trente-quatre autorisations d'usage de
dispositifs biométriques et en refuse cing231, les demandes
émanent souvent d'établissements similaires, celles ayant trait
à de véritables enjeux de sécurité ou de
souveraineté demeurant minoritaires (voir la section annexes pour un
récapitulatif des avis délivrés par la CNIL concernant la
biométrie avant la réforme de 2004).
229 Guchet, Xavier (2004), « Manger sous surveillance.
L'usage d'une technique biométrique pour le contrôle
d'accès à la cantine scolaire. » (7 p.), actes du 13e
colloque de CREIS/Terminal, « Société de l'information,
société du contrôle? », accessible sur
http://www.creis.sgdg.org/colloques
%2ocreis/2004/Guchet.htm . Voir aussi, en plus succinct, Guchet, X.
(2006), « Le pouvoir biométrique », Ecorev n°25,
hiver 2006-07,
http://ecorev.org/spip.php?article6u
23° Voir §9 de la décision
n°52/2003 de l'Autorité grecque de protection des données au
sujet du système biométrique (iris et empreintes digitales) que
l'aéroport international d'Athènes voulait instaurer.
231 CNIL, 28e rapport
d'activité 2007, « Encadrer la biométrie », p.18-22, La
Documentation française, 2008.
