Des identités de papier à  l'identité biométrique

Chapitre III:La CNIL, texte réglementaire et doctrine p. iii

2.Biométries à trace et sans traces: une distinction solide?

La distinction des biométries « à trace » se fonde sur le fait que la collecte de ces données ne requiert pas le consentement de la personne, et que de plus, « ces technologies biométriques se [prêtant] à une utilisation généralisée en raison de leur « faible niveau d'intrusion » » elles doivent être soumises, selon le G29, à des « garanties spécifiques »25⁸
_·

La définition de ces biométries « à trace » demeure ouverte. Si la CNIL la restreint aux empreintes digitales et génétiques, ainsi qu'aux dispositifs de reconnaissance faciale (dont le statut est plus flou), on peut en fait imaginer de l'étendre à d'autres: ainsi, nous laissons notre empreinte vocale lorsque nous dictons un message sur un répondeur téléphonique, et l'empreinte de notre iris lorsque nous nous faisons photographier²⁵⁹. De même, les technologies utilisant le contour de la main ne sont pas considérées à trace uniquement parce que les traces, bien réelles, du contour de la main ne seraient pas, pour le moment, exploitées pour des raisons techniques, motifs qui pourraient donc disparaître si l'intérêt pour l'exploitation de ces traces venait à se développer²⁶o. De fait, la CNIL elle-même considérait en 2005 que l'iris et le visage pourraient bientôt entrer dans cette catégorie, « si la vidéosurveillance se généralise et si la technologie de ces procédés progresse ^»261. De plus, bien que l'empreinte palmaire ne soit pas considérée par la CNIL comme une technologie « à trace », elle l'est de facto, ayant été introduite pour cette raison, aux côtés des empreintes digitales, dans le FNAED (fichier national automatisé des empreintes digitales), par le décret n°2002-585 du 27 mai 2005²⁶².

Enfin, pour le moment, on ne peut exploiter une vidéo en comparant les visages à une base de données photographiques, à l'aide de logiciels de reconnaissance faciale,

258 G29, document de travail sur la biométrie, 2003.

259 Watson, Andrew (2007), art. cit.

26° Desgens-Pasanau, Guillaume et Freyssinet, Eric (2009), L'identité à l'ère numérique, Dalloz, p.40

261 CNIL (2005), « La biométrie », l^er juin 2005

262 Décret n°2005-585 du 27 mai 2005 modif. le décret n° 87-249 du 8 avril 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l'intérieur, pris après avis favorable (sous réserves) de la CNIL (délib. n° 2004-068 du 24 juin 2004 portant avis sur le projet de décret du ministre de l'intérieur molli£ le décret du 8 avril 1987 relatif au FAED).

mais une telle technologie « sera au point à l'échéance de 5 à 10 ans. »²⁶³ De même que les technologies biométriques ont vu leur portée et leur efficacité se modifier radicalement avec l'avènement de l'informatique et de la télématique, la vidéosurveillance entre, elle aussi, dans un processus d'interconnexion avec ces nouvelles technologies, y compris la biométrie. La RATP a d'ailleurs récemment installé des panneaux publicitaires dotés de caméras intelligentes, qui permettent de déterminer le profil approximatif des passants (âge, sexe) afin de mieux cibler les messages publicitaires.

Bref, si la définition de ce qui constitue, ou non, une « biométrie à trace » relève, dans l'Union européenne, de la CNIL et de ses homologues, celle-ci est sujette à variation et peut être contestée dans son principe. Il faut d'ailleurs souligner que le G29 attire l'attention sur le fait que, si les technologies « à trace » se caractérisent par la possibilité de faire abstraction du consentement de la personne, le même problème se pose pour d' « autres systèmes biométriques, tels que ceux qui sont basés sur l'analyse de la frappe sur un clavier ou sur la reconnaissance faciale à distance »²⁶⁴. Le concept de technologie « à trace » apparaît ainsi flou, à la fois sur un plan technique (qu'est-ce qui peut être recueilli à l'insu de la personne?) et sur un plan juridique: la CNIL n'évoque pas la reconnaissance faciale parmi les technologies à trace dans ses guides qui exposent sa doctrine, bien qu'elle soit très proche de la qualifier de telle; de même, si le G29 traite de la reconnaissance faciale immédiatement après les empreintes digitales, les englobant parmi les systèmes requérant « des garanties spécifiques »²⁶⁵, il ne les qualifie pas non plus explicitement de technologie « à trace ».

Chapitre III:La CNIL, texte réglementaire et doctrine p. 112

263 Op.cit., p.41

264 G29, « Document de travail sur la biométrie », adopté le ^ler août 2003 (12168/02/FR)

265 Ibid.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 113

A. LES TECHNOLOGIES SANS « TRACES »

La CNIL qualifie explicitement de technologies sans « traces » celles utilisant le contour de la main (ou géométrie de la main), celles reconnaissant le réseau veineux du doigt²⁶⁶ ainsi qu'en l'état actuel des connaissances les dispositifs de reconnaissance vocale267.

La CNIL considère que les technologies utilisant la reconnaissance du contour de la main ne sont pas des technologies à trace. Le contour de la main se distingue techniquement de l'empreinte palmaire²⁶⁸. Pourtant, les textes réglementaires ainsi que les délibérations de la CNIL à ce sujet utilisent indifféremment les termes

« géométrie de la main », « contour de la main » (qui est le plus utilisé), et

« empreinte palmaire ». Ainsi, la délibération n°03-027 du 22 mai 2003 concernant la création d'une « carte d'identité intérieure » des détenus utilise à la fois le terme

« morphologie de la main » et « gabarit de son empreinte palmaire ». Or,

l' « empreinte palmaire » est bien une technologie à trace, comme l'indique le décret n^°2005^-585 du 27 mai 2005 relatif au FNAED (Fichier national automatisé des empreintes digitales). On ne peut que s'interroger sur les raisons d'une telle confusion des termes au sein même des délibérations de la CNIL.

Trois autorisations uniques pour les technologies « sans trace »

Pour ce qui concerne la reconnaissance du contour de la main, la CNIL a délivré deux autorisations uniques, mettant en oeuvre le régime de l'autorisation simplifiée. Il s'agit de :

266 « La Commission considère que le réseau veineux des doigts de la main, en l'état actuel de la technique, est une biométrie sans trace dont l'enregistrement sur un terminal de lecture-comparaison aux fins de contrôler les accès aux locaux ne comporte pas de risques particuliers pour les libertés et les droits fondamentaux des personnes. »(délib. n°2009-227 du 7 mai 2009, dispositif de l'INSERM).

267 CNIL, délib. n°2007-248, 13 septembre 2007 (Michelin ; reconnaissance vocale ; gestion des mots de passe). Cf. aussi, au sujet de la reconnaissance vocale et du réseau veineux, le 28² rapport d'activité 2007 de la CNIL, p.2o.

268 Cf. http://www.biometrie-online.net

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 114

l'AU-oo7 du 27 avril 2006 relative aux dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail²⁶⁹.

l'AU-oo9 du 27 avril 2006 relative aux traitements de données à caractère personnel reposant sur l'identification d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

Elle a émis en mai 2009 une troisième autorisation unique, concernant la reconnaissance du réseau veineux des doigts de la main, ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail²⁷o.

269 Cf. infra, section « La biométrie dans l'entreprise ».

^27O Délib. n°21309-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 115

La biométrie à l'école

« Il a également été avancé que toutes les tentatives de fraude, certains collégiens tentant de manger deux fois, étaient mises en échec du fait de la fiabilité du système (sic !). »

CNIL (2001) , 21e rapport d'activité 2000.

« S'ils inscrivent à la demi-pension, c'est pour qu'ils y aillent, pas pour aller au McDo ! »

Cabinet du recteur de l'académie de Paris (2006)²⁷

« Les perspectives de la biométrie telle que vendue dans les collèges est de s'insérer dans Sconet et servir à terme de point d'entrée d'informations qui seront ensuite échangées avec les partenaires, collectivités locales, etc. Cette politique vise à créer un méga fichier de la vie scolaire du primaire aux études supérieures, notamment via l'implantation des modules Base élèves, Sconet, pour constituer le répertoire national d'identification de l'élève/étudiant prenant en compte toute la biographie scolaire de l'enfant (et de sa famille) de 10 ans à 30 ans. »

Gilles Sainati, ex-secrétaire général du Syndicat de la magistrature (2008) 272.

L'établissement d'un paradigme d'usage de la biométrie à l'école et l'interprétation par la CNIL du principe de finalité

L'une des premières demandes d'autorisation accordée d'installation d'un dispositif biométrique, faite en 2002, émanait du collège Joliot Curie de Carqueiranne, et visait à contrôler l'accès au restaurant scolaire via un dispositif fondé sur la reconnaissance de la main²⁷³. L'administration du collège avait pris en compte le refus antérieur de la CNIL vis-à-vis de la première demande émanant d'un collège en France, le collège Jean Rostand de Nice, qui visait à installer un dispositif

271 Cité par Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006.

272 Sainati, Gilles (2008), « Biométrie: entre nouveau projet pédagogique et idéologie », Mediapart, 13 novembre 2008.

²⁷³ Délib. n°02-070 du 15 octobre 2002 (collège Joliot Curie de Carqueiranne; contrôler l'accès au restaurant scolaire ; géométrie de la main)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 116

de reconnaissance d'empreintes digitales sur support central²⁷⁴. La CNIL a émis un avis favorable concernant le dispositif de Joliot Curie, et depuis de nombreux autres établissements scolaires ont émis des demandes identiques. L'examen de la demande du collège Joliot Curie a ainsi établi un paradigme d'usage de la biométrie dans les écoles, à tel point que la CNIL a émis en avril 2006 une autorisation unique codifiant cet usage.

La finalité du dispositif mis en place par le collège Joliot Curie était ainsi décrite par la CNIL dans sa délibération:

« Le recours à la technique de reconnaissance du contour de la main permet de s'assurer que les données nécessaires au contrôle de l'accès ne sont ni perdues, ni échangées et que seules les personnes habilitées peuvent accéder au service. »

La finalité de « contrôle de l'accès », si elle semble dénoter implicitement une exigence sécuritaire, peut se contenter d'une exigence très faible; dans les cas contraires, qui concernent davantage les technologies « à trace », la CNIL note « l'impératif de sécurité » justifiant la mise en place du système. L'autre motif explicite était d'éviter les pertes ou échange de cartes donnant accès au restaurant. Outre ces finalités explicites, un motif implicite doit être signalé:

« Le système envisagé repose sur la mise en oeuvre d'un fichier de gestion comportant l'identité des élèves, leur classe, leur numéro d'ordre dans l'établissement, les coordonnées du responsable légal, un code d'accès personnel ainsi que les données utiles à l'accès au restaurant. Pour les membres du personnel, sont enregistrés l'identité, le code d'accès, l'agenda et le tarif. »275

Si de tels dispositifs sont ainsi autorisés au nom du « contrôle d'accès », ils procèdent aussi d'une finalité de gestion. A côté de ces finalités explicites et implicites relevées par la CNIL dans sa délibération, d'autres finalités inavouées doivent être relevées, dont en particulier le contrôle de la présence des élèves au restaurant scolaire ainsi que la prévention de la fraude.

²⁷⁴ Délib. n°oo-oi5 du 21 mars 2000, portant adoption du formulaire de déclaration des traitements de données personnelles mis en oeuvre dans le cadre d'un site Internet.

²⁷⁵ Nous soulignons.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 117

L'examen de la délibération antérieure, concernant le collège Jean Rostand de Nice, montre en effet l'ambiguïté de la notion de finalité retenue par la CNIL. Il faut distinguer, au sein de ses délibérations, ce qu'elle considère explicitement comme finalité²⁷⁶ des motifs éventuels qui affleurent dans la description du dispositif, mais qui ne sont pas officiellement retenus en tant que finalité (dans le cas du collège Joliot Curie, la constitution du « fichier de gestion »). Enfin, d'autres finalités réelles peuvent être prises en compte par la CNIL, mais seulement de façon informelle: ainsi, dans son 21^e rapport d'activité, elle relève les motivations réelles du collège Jean Rostand :

« Les motivations avancées par les concepteurs et les utilisateurs pour expliquer le choix de la biométrie concernent l'aspect sécurité et confort. Plus besoin de manipuler des cartes, de gérer l'octroi de mots de passe...

En l'espèce, l'administration du collège a indiqué que l'utilisation dudit système permet de supprimer toute manipulation d'argent à l'intérieur de l'établissement et de ne plus gérer les problèmes de cartes oubliées, perdues ou volées qui alourdissaient les tâches de gestion. Avec le système antérieur, l'intendance devait gérer quotidiennement 50 cas de cartes oubliées ou perdues. Il a également été avancé que toutes les tentatives de fraude, certains collégiens tentant de manger deux fois, étaient mises en échec du fait de la fiabilité du système (sic !). »277

Ainsi, la CNIL note d'abord « l'aspect sécurité et confort » mis en avant à la fois par l'industrie et par « les utilisateurs » : ce terme désigne en fait l'administration du collège qui justifie ainsi le dispositif. Or, le « confort » l'emporte nettement, et désigne ici les pertes ou oublis de cartes que la biométrie permet d'éviter. De surcroît, la CNIL marque clairement sa désapprobation morale à l'égard d'un dispositif visant à empêcher de « manger deux fois ». Pourtant, cette finalité de prévention de la « fraude » n'avait pas été citée dans la délibération refusant au collège Jean Rostand l'autorisation de mise en place du dispositif de reconnaissance d'empreintes digitales. On ne peut s'empêcher de croire qu'elle a néanmoins joué un rôle dans le refus de la

276 « le traitement ainsi mis en oeuvre ayant pour finalité... » (délib. n°00-015); « Le recours à la technique de reconnaissance du contour de la main permet de s'assurer que les données nécessaires au contrôle de l'accès ne sont ni perdues, ni échangées et que seules les personnes habilitées peuvent accéder au service. Le contour de la main, à la différence des empreintes digitales, ne laisse pas de trace et limite ainsi les risques d'utilisation des données à des fins étrangères à la finalité poursuivie par le traitement. Le traitement apparaît dès lors adapté aux objectifs et aux finalités poursuivis par l'administration du collège. » (délib. n°02-070), etc.

277 CNIL (2001), 21e rapport d'activité 2000, p.109

Chapitre III:La CNIL, texte réglementaire et doctrine p. 118

CNIL. Cependant, celle-ci autorisera par la suite de nombreux dispositifs biométriques dans les cantines, les établissements scolaires ayant sans doute appris la leçon : mieux vaut taire les objectifs de lutte contre la « fraude », lorsque celle-ci vise à empêcher des élèves de « manger deux fois ». Cet objectif, d'ailleurs, n'est pas nécessairement ressenti comme répressif par les élèves, certains n'y trouvant rien à redire, bien au contraire²⁷⁸.

Au collège Joliot Curie, les données biométriques (l'empreinte de la main), considérées comme peu sensibles par la CNIL puisque ne rentrant pas dans la catégorie des caractéristiques « à trace », étaient conservées sur des lecteurs biométriques, et non sur support individuel. Depuis, la CNIL a aussi autorisé dans un collège un dispositif reposant sur la reconnaissance du réseaux veineux des doigts de la main, qui, de même, sont considérés comme ne faisant pas partie des technologies « à trace »²⁷⁹. Toutefois, celui-ci ne visait pas à contrôler l'accès au restaurant scolaire, mais s'adressait aux employés et visait à sécuriser l'accès aux locaux au sein desquels s'effectue la gestion des alarmes.

De plus, le dispositif de Joliot Curie n'était pas obligatoire, une « carte à code barre » pouvant être délivrée. La CNIL a retenu ce principe du consentement dans des délibérations ultérieures²⁸O; son interprétation doit néanmoins être comparée avec celle effectuée à l'égard du passe RFID utilisé dans les transports rennais, où la Commission s'est montrée nettement plus sévère²⁸¹. Il faut aussi garder à l'esprit que,

278 Le Parisien relève ainsi quelques déclarations d'élèves, au collège Paul Klee, en 2006: « « C'est archi-bien : on se croirait dans James Bond », lance Sandra, 13 ans. Erwan, 14 ans, souligne quant à lui l'efficacité de la machine contre la fraude : « Avant, certains n'hésitaient pas à manger deux fois d'affilée. » Même enthousiasme du principal adjoint. « Ça nous a considérablement simplifié la vie. Le repas est toujours une véritable course contre la montre. Ce système nous permet de savoir précisément si nous sommes dans les temps. Cela a même contribué à fluidifier le trafic. » » (Anne-Laure Abraham et Julien Duffé (2006), « La biométrie fait peur au collège », Le Parisien, 4 décembre 2006)

2799 Délib. n°2009-029 du 29 janvier 2009 (Collège Georges d'Amboise ; réseau veineux des doigts de la main ; contrôle de l'accès aux locaux)

28° Cf. par ex:

- Délib. n°2006-031 du 02 février 2006 (collège Roland Garros ; contour de la main ; contrôler l'accès au restaurant scolaire).

- Délib. n°2006-093 du o6 avril 2006 (collège Gérard Philipe (sic) de Martigues ; contour de la main ; contrôler l'accès au restaurant scolaire).

- Délib. n°2006-094 du o6 avril 2006 (collège Louisa Paulin de Muret).

- Délib. n°2006-108 du 27 avril 2006 (Ensemble Scolaire Catholique Rochois Sainte-Marie/Sainte-Famille)

281 Délib. n°2009-002 du 20 janvier 2009 de la formation restreinte à prononçant un avertissement à l'encontre de la société KEOLIS RENNES, au sujet notamment du passe Korrigo (similaire au passe Navigo).

Chapitre III:La CNIL, texte réglementaire et doctrine p. 119

même lorsque cette clause d' « opt out » est accordée en droit, dans les faits elle est parfois difficile à mettre en oeuvre, ainsi de ce lycée qui oblige les deux seuls élèves ayant refusé le dispositif d'aller chercher chaque matin à l'administration un ticket282.

S'agissant de la conservation des données, celles-ci ne le sont que pour la durée de l'année scolaire, et, le cas échéant, effacées dans la semaine suivant le départ de l'élève en cours d'année. Cette disposition a été réitérée dans les autres délibérations.

L'information des responsables légaux des élèves en France et au Royaume-Uni

Par rapport à l'avis favorable donné en 2002 au collège Joliot Currie, ou encore à un autre émis en 2005²⁸³, la CNIL a ajouté, en 2006, un trait important concernant ces dispositifs : l'information des responsables légaux des élèves mineurs, ainsi que du personnel et des élèves majeurs, et leur droit de s'y opposer²⁸⁴. A contrario, en 2008, l'Information Commissionner Office (ICO) du Royaume-Uni a simplement conseillé aux établissements scolaires installant des dispositifs biométriques reposant sur la reconnaissance des empreintes digitales, non seulement pour les restaurants scolaires, mais aussi les bibliothèques, etc., d'informer les parents et de rendre le dispositif facultatif, sans en faire une obligation, et qui plus est en indiquant que cela permettrait de lever les « suspicions » à l'égard des « nouvelles technologies ». L'ICO considère en effet que, selon le droit en vigueur, les mineurs sont des « data subjects » autonomes, et que rien n'oblige à informer leurs responsables légaux²⁸⁵. En 2006, 3 500 établissements scolaires avaient déjà établi de tels dispositifs sans

282 Minano, Leila (2007), « Biométrie à la cantine : progrès technologique ou régression éthique ? », Educ Info, 31 août 2007

283 Délib. n°2005-169 du 05 juillet 2005 (collège "Les Mimosas" ; contour de la main ; contrôler l'accès au restaurant scolaire).

284 Délib. n°2006-031 du 02 février 2006 (collège Roland Garros, Nice); délib. n°2006-093 du 6 avril 2006 (collège Gérard Philipe (sic) de Martigues); délib. n°2006-094 du 6 avril 2006 (collège Louisa Paulin de Muret); délib. n°2006-108 du 27 avril 2006 (Ensemble Scolaire Catholique Rochois Sainte-Marie/Sainte-Famille)

285 « Second, there is nothing in the Act that states that until a child reaches a specific age any data protection rights they have should be exercised by their parents or guardian. For the purposes of the Act the pupils themselves are "data subjects": it is they who should in the first instance be informed and consulted about the use of their personal data. Deciding when children are mature enough to decide how their personal information should be used is difficult. On the one hand, as children mature they are entitled to an increasing measure of autonomy. On the other hand, while children might understand a simple explanation of why their fingerprints are being taken, they may well not appreciate the potential wider implications. » (Information Commissionner Office, 2008, « The use of biometrics in schools »).

Chapitre III:La CNIL, texte réglementaire et doctrine p. 120

informer les parents²⁸⁶; selon « Leave Them Kids Alone », plus de 5 000 établissements scolaires auraient mis en place des dispositifs identiques, allant jusqu'à enregistrer les empreintes digitales d'enfants de 4 à 5 ans. Les empreintes digitales d'un million d'enfants auraient déjà été prises. 400 crèches seraient aussi dotées de dispositifs de reconnaissance d'empreinte digitale, utilisés à des fins de contrôle d'accès²$⁷. BECTA, une sorte d'autorité indépendante (non-departmental public body) chargée des « technologies de l'information et de la communication » dans le domaine scolaire, précise explicitement que de tels dispositifs peuvent viser à contrôler la présence des élèves et ont généralement pour objectif d'éviter les pertes ou échanges indus de cartes288.

Contrairement à l'ICO britannique, la CNIL n'admet pas l'usage de dispositifs reposant sur la reconnaissance des empreintes digitales dans les établissements scolaires, ce qui a été explicitement formulé dans un communiqué²⁸⁹, et a aussi exclu du champ de l'AU-oo8 concernant les « dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail » les établissements où sont présents des mineurs. Le premier refus, et ce malgré le consentement des élèves, des parents d'élèves et du personnel, a été déclaré en 2000, concernant le collège Jean Rostand de Nice, qui voyait dans un tel dispositif un moyen pratique pour « éviter toute manipulation d'espèces et les difficultés généralement liées à la perte ou à l'oubli des cartes de cantine. »~⁹° La CNIL a depuis consolidé cette doctrine, réitérée à maintes reprises. Ainsi, elle a refusé une autorisation, le 26 juin 2008, au lycée maritime de Boulogne -- Le Portel qui voulait contrôler l'accès à l'établissement ainsi que la présence des élèves afin de lutter contre l' « absentéisme », mais qui visait aussi par

286 Roberts, Bob (2006), « Exclusive: Fingerprint Scandal of 7o0 00o Kids », The Mirror, 3 juillet 2006.

287 Andréani, Frédérique (2008), « La biométrie dès la crèche », Le Point n°1871, 24 juillet 2008.

288 Becta (2007), « Becta guidance on biometric technologies in schools », ier juillet 2007: http://schools.becta.org.uk/upload-

dir/downloads/becta_guidance on biometric technologies in schools.pdf . Concernant la biométrie en milieu scolaire au Royaume-Uni, voir aussi Lodge, Juliet et Sprokkereef, Annemarie (2009), « Accountability and transparent e-security -- the case of British (in)security, borders, and biometrics », publié le 22 avril 2009 sur http://www.libertysecurity.org/article2488.html

289 CNIL (2008), L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles ».

~⁹° Délib. n°oo-o15 du 21 mars 2000 (collège Jean Rostand de Nice).

Chapitre III:La CNIL, texte réglementaire et doctrine p. 121

cette technique à « rapidement établir une liste de présence en cas de sinistre » ²⁹¹ Elle précise qu'un tel contrôle n'a « pas pour objet de sécuriser l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant un enjeu majeur dépassant l'intérêt strict de l'organisme. »²⁹²

Ce n'est pas tant la finalité qui est ici mise en cause par la CNIL, mais la « proportionnalité » du dispositif: un dispositif utilisant l'empreinte géométrique de la main, poursuivant la même finalité de contrôle (d'accès voire de présence) des élèves serait en principe acceptable -- bien que les dispositifs autorisés ailleurs ne couvrent pas l'accès du lycée, mais le restaurant scolaire. En l'espèce, vu les finalités multiples et l'étendue du dispositif souhaité par le lycée maritime, la CNIL considère que l'enceinte du lycée ne constitue pas « une zone bien déterminée représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme » et que, par conséquent, un dispositif non biométrique, reposant sur l'utilisation d'une carte magnétique, « permettrait d'atteindre les objectifs poursuivis par le lycée maritime avec un niveau suffisant de sécurité par rapport aux enjeux. »

L'autorisation unique 009 sur la géométrie de la main à l'école

Le 27 avril 2006, en même temps qu'une série de délibérations autorisant des établissements scolaires à mettre en oeuvre des dispositifs de reconnaissance géométrique de la main pour contrôler l'accès des restaurants scolaires, la CNIL a délivré une autorisation unique à ce sujet (AU-0092^93), qui concerne uniquement les établissements (privés ou publics) de l'enseignement secondaire. L'autorisation ne concerne que les traitements ne conservant que le gabarit de l'empreinte palmaire, et non une « photographie de la main » (ce qui ferait rentrer le dispositif dans le cadre des technologies à trace). Ces traitements doivent avoir « pour finalité le contrôle de l'accès des élèves et des personnels au restaurant scolaire et sont interconnectés avec une application de gestion de la restauration ainsi qu'avec un système de paiement associé. » En d'autres termes, la CNIL avalise le fait que l'application poursuit un

²⁹¹ Délib. n°2008478 du 26 juin 2008 (refus; lycée maritime de Boulogne -- Le Portel ; empreintes digitales ; contrôle de l'accès des élèves et des personnels à l'établissement (autorisation n^°1256554)

²⁹² Ibid.

²⁹³ Délib. n°2006-103 du 27 avril 2006, portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 122

objectif de gestion économique. En revanche, et contrairement à l'ICO, elle exige l'information des élèves et, s'ils sont mineurs, de leurs représentants légaux, ainsi qu'une clause d'« opt-out » du système.

Les mouvements de contestation

Plus de deux décennies après le projet GAMIN, qui prévoyait comme « finalité principale » la « pré-sélection par des moyens automatisés d'enfants qui, selon la logique du système, seront ou non l'objet d'une assistance médicale et sociale ^»294, ce qui avait soulevé une controverse nationale, la biométrie dans les écoles suscite aussi des remous, beaucoup la mettant en rapport avec le livre Gixel préconisant d'habituer la population aux technologies de surveillance « dès le plus jeune âge » ainsi qu'à une « vague comportementaliste » symbolisée par le rapport Bénisti sur la délinquance qui préconisait de détecter le plus tôt possible les enfants « à problème ». Alors que 182 établissements scolaires avaient déjà établis de tels systèmes biométriques à la cantine en 2007²⁹⁵, les dispositifs biométriques dans les écoles autorisés par la CNIL, et dont l'installation représente plusieurs dizaines de milliers d'euros²⁹⁶, font ainsi l'objet de contestations d'élèves et de parents d'élèves, d'associations, de syndicats, et même de Louis Joinet, directeur de la CNIL de 1979 à 1981.

Ainsi, l'ONG Privacy France a décerné en 2009 le « prix Voltaire de la vigilance citoyenne » à plusieurs organisations, dont le « Collectif non à l'éducation biométrique dans l'Hérault », dont est membre l'ex-secrétaire général du Syndicat de la magistrature Gilles Sainati. Suite à une mobilisation au cours de l'année 2008, le conseil d'administration du collège Le Salagou, à Clermont-L'Hérault, a ainsi refusé l'instauration d'un système biométrique utilisant le contour de la main pour contrôler l'accès au restaurant scolaire, la mobilisation ayant même mené le conseil général à suspendre tout investissement dans le secteur²⁹⁷. De même, le dispositif installé par le lycée Maurice Ravel, à Paris, d'abord dans l'illégalité puis régularisé par la CNIL, n'a

²⁹⁴ Délib. n⁰81-74 du 16 juin 1981(certificats de santé ; services de la protection maternelle et infantile)

²⁹⁵ Minano, Leila (2007), « Biométrie à la cantine : progrès technologique ou régression éthique ? », Educ Info, 31 août 2007.

²⁹⁶ « Lycée Dumont-d'Urville : la biométrie fait débat », Var Matin, 5 juin 2009.

²⁹⁷ « Prix Voltaire pour "Non à la biométrie dans l'Hérault », Midi Libre, 24 juillet 2009. Accessible sur http://www.ldh-toulon.net/spip.php?article3411

Chapitre III:La CNIL, texte réglementaire et doctrine p. 123

finalement pas été utilisé, en raison de l'opposition des élèves et de directions émanant de la mairie de Paris, hostile à ces systèmes²⁹⁸.

Le collectif de Clermont-L'Hérault s'inquiétait aussi des possibilités d'interconnexion du fichier avec d'autres de l'Education nationale, telle que Base élèves ou Sconet²⁹⁹. Pour G. Sainati, « la gestion automatisée des cantines scolaires va se généraliser (...) et s'étendre à la gestion automatisée du temps de l'élève pour justifier dans un discours gestionnaire la suppression de postes (...) », tandis que le « suivi éducatif des enfants en difficulté ne sera plus confié à des professionnels mais à des gestionnaires du « temps réel » qui distribueront des sanctions financières et des contrats parentaux d'éducation au termes de savants recoupements de fichiers. »³°° Sainati conteste aussi la finalité de gestion, rappelant que les paiements sont effectués par mensualités, chaque repas n'ayant donc pas besoin d'être enregistré, et soulignant de façon générale l'inadaptation des systèmes biométriques pour la restauration scolaire, aucune « analyse attentive des files d'attentes et des flux matériels et humains autour d'un comptoir de restauration collective » n'étant effectuée³O¹ Ce regard amène à relativiser celui de X. Guchet (2004), qui insistait sur les finalités de gestion des flux, sans toutefois l'invalider, puisque ce qui est en jeu, c'est avant tout l'opposition entre différents modes de gestion. Au contraire, le cabinet du recteur de l'académie de Paris défend ces technologies au nom de la possibilité de ne payer que chaque repas réellement mangé, mais aussi d'une surveillance accrue à l'égard des élèves³O²

²⁹⁸ Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006. Au sujet du lycée Maurice Ravel, voir aussi Cousin, Capucine (2006), « La Cnil inquiète du développement futur de la biométrie et de la géolocalisation », Les Echos Judiciaires Girondins, Journal n°5 247 du 21 avril 2006; et CNIL, délib. n°2006-049 du 23 février 2006.

²⁹⁹ Ibid. Cf. aussi le « système de scolarité » autorisé par la CNIL en 1992, et le BNIE: LDH (2008), « Base élèves: attention à la BNIE qui se cache derrière! », 17 nov. 2008; délib. n^°9^2-130; 93^-074; 95098; _97-059; 98-093; 02-069; arrêté du 20 octobre 2008 portant création d'un traitement automatisé de données à caractère personnel relatif au pilotage et à la gestion des élèves de l'enseignement du premier degré (JO ^ler nov. 2008); Dreyfus, Jean-David (2008), « Le SAFARI des élèves du premier degré », Blog Dalloz, 7 nov. 2008.

³⁰° Sainati, Gilles (2008), « La biométrie au collège, l'éducation à la surveillance du citoyen », Mediapart, 16 septembre 2008.

³O¹Sainati, Gilles (2008), « Biométrie: entre nouveau projet pédagogique et idéologie », Mediapart, 13 novembre 2008.

^3O2 « Les parents ne paieront que les repas effectivement consommés, puisque chaque passage sera recensé, et ça, c'est plutôt bien. S'ils inscrivent à la demi-pension, c'est pour qu'ils y aillent, pas pour aller au McDo ! » (cabinet du recteur de l'académie de Paris, cité par Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006.)

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 124

L'ex-directeur de la CNIL Louis Joinet a témoigné en 2006 en faveur des quatre lycéens accusés de « dégradation de bien public » suite à des actions contre un dispositif biométrique, fonctionnant à la géométrie de la main et utilisé à la cantine du lycée de la Vallée-de-Chevreuse, à Gif-sur-Yvette. Le dispositif avait été détruit en novembre 2005 par une « vingtaine de clowns » faisant partie d'un « collectif qui dénonce les dispositifs de surveillance et de contrôle social »³°³. Selon L. Joinet, « ces jeunes ont le mérite de lancer un débat nécessaire sur la biométrie. Ils poursuivent un combat que j'avais entamé il y a vingt ans, et qui m'avait valu d'être débarqué de la CNIL. Aujourd'hui, dans un lycée comme celui de Gif, on se permet d'installer une machine alors que la CNIL ne l'a pas encore autorisé. Il y a d'énormes pressions de la part des industriels. L'opinion publique doit faire contrepoids. »3°4

La biométrie à l'école: la CNIL joue-t-elle son rôle?

Ces protestations attirent l'attention, d'une part, sur le livre Gixel pré-cité, qui préconisait la mise en place de dispositifs biométriques ciblant les plus jeunes, afin de les habituer à ces technologies de surveillance. D'autre part, ces dispositifs sont installés à la demande des établissements scolaires, éventuellement sous l'effet de pression des industriels, dont la CNIL a pu d'ailleurs se montrer parfois explicitement consciente. L'intéressement des entreprises est en effet un facteur non négligeable dans la généralisation de la biométrie à l'école. Enfin, il faut bien tenir en compte que si la CNIL parle de « contrôle d'accès du restaurant scolaire », ces dispositifs sont installés essentiellement dans une logique de « confort » (pour parer à l'oubli des cartes, etc.) et de gestion économique, et non de sécurité. La CNIL est elle-même plutôt claire sur le sujet, puisque s'agissant d'un contrôle d'accès à l'ensemble d'un lycée, contrôle qui pourrait être mis en place sous des motifs de sécurité des élèves vis-à-vis du « monde extérieur », la CNIL considère qu'un dispositif non biométrique est suffisant³°⁵. Le principe de finalité est ainsi à géométrie variable: sa mise en oeuvre dépend des interprétations successives de la CNIL, qui expose au sein même de ses

3°3 « Destruction d'un dispositif biométrique dans un lycée du 91 », Multitudes Web, 29 novembre 2005. http://multitudes.samizdat.net/Destruction-d-un-dispositif

3°4 Jacquard, Nicolas (2006), « La biométrie doit être encadrée » (entretien avec Louis Joinet, premier directeur de la CNIL), Le Parisien, 22 janvier 2006. Cf. dans la même édition Pascale Egré et Nicolas Jacquard, « Quand notre corps devient ».

3°5 Délib. n°2008-178 du 26 juin 2008 (refus; lycée maritime de Boulogne -- Le Portel ; empreintes digitales ; contrôle de l'accès des élèves et des personnels à l'établissement)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 125

délibérations des finalités implicites et des finalités explicites, et qui peut en outre évoquer d'autres finalités dans ses commentaires concernant ses propres délibérations ; il est aussi instrumentalisé par les établissements scolaires, qui savent passer sous silence certaines finalités honteuses (la lutte contre la « fraude » alimentaire) et apprennent à bien présenter leurs dossiers.

Outre des fonctions de gestion des flux, les dispositifs installés peuvent aussi servir à contrôler la présence des élèves (la plupart des traitements incluent les coordonnées du responsable légal à contacter, dans un but qu'on peut présumer à la fois de sécurité en cas d'urgence, mais aussi de s'assurer que l'élève est bien présent dans l'enceinte scolaire ou qu'il mange effectivement à la cantine)³o⁶ Il n'y a pas une seule logique cohérente et homogène qui préside à l'établissement de ces dispositifs biométriques, mais bien une multitude d'intérêts rivaux ou alliés qui se conjuguent.

La CNIL joue dès lors le rôle d'arbitre entre ces intérêts, adoptant une position médiane qui consiste à n'autoriser que les dispositifs reposant sur le contour de la main. Mais si cette position assumée et codifiée de la CNIL répond bien aux contraintes imposée par le respect du droit à la vie privée, n'est-elle pas en contradiction avec les avertissements que la CNIL délivre à l'égard d'une généralisation de la biométrie et d'un désintéressement prétendu des jeunes générations à l'égard des enjeux de protection des données personnelles? Le G29 a adopté en février 2009 un avis concernant spécifiquement les enfants, qui conclut sur l'importance d'éduquer les enfants afin qu'ils deviennent des « citoyens autonomes dans la société de l'information », cela non seulement par l'instauration de cours sur la protection des données personnelles, mais aussi en rendant « effective la participation progressive des enfants à la protection de leurs données à caractère personnel (de la consultation à la prise de décision) », ceci en fonction de leur degré de maturité³°⁷. L'avis ayant été signé au nom du groupe par Alex Turk, il serait intéressant de voir si, à l'avenir, la CNIL inclura des dispositions concernant la consultation des enfants et si elle différenciera entre plusieurs catégories d'âge, notamment entre le collège et le lycée, seuls établissements où la biométrie a été autorisée. Concernant les données biométriques, le G29 se contente de noter dans

³⁰⁶ Guchet, Xavier (2004), art. cit.

³⁰⁷ G29 (2009), avis n°2/2009 sur la protection des données à caractère personnel de l'enfant (Principes généraux et cas particulier des écoles), adopté le ii février 2009.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 126

certains cas la violation du principe de proportionnalité et des « effets excessivement intrusifs », et recommande « vivement » « de permettre aux représentants légaux de s'opposer facilement à l'utilisation des données biométriques de leur enfant », en incluant une clause d'opt-out dans les dispositifs biométriques à l'école, ce qui, à l'égard de la CNIL et en comparaison avec le Royaume-Uni, n'a pas grande portée. On pourrait toutefois argumenter à partir de son avis que, si, a priori, seul « l'intérêt supérieur de l'enfant » permet de limiter son droit à la vie privée, l'exemple donné étant en particulier le traitement des données de santé dans l'intérêt de l'enfant, on ne voit pas en quoi la finalité de gestion, invoquée implicitement pour l'instauration de la biométrie à l'école, puisse limiter son droit à la vie privée, qu'on peut, en l'espèce, estimer requérir l'interdiction de toute forme de biométrie. En effet, en opposition diamétrale avec les propositions du livre Gixel, le G29 attire bien l'attention sur la nécessité de responsabiliser l'enfant eu égard à la protection de la vie privée, finalité dont on peut difficilement dire qu'elle serait réalisée en les assujettissant à des dispositifs biométriques.

Certes, la finalité officiellement invoquée n'est pas de gestion, mais de contrôle d'accès. Celui-ci est-il dans « l'intérêt supérieur de l'enfant »? Quoi qu'il en soit, la CNIL ne parvient à rendre cohérente sa doctrine qu'en écartant certaines finalités réelles, dont elle se montre pourtant parfaitement consciente dans ses rapports d'activité, et en acceptant de ne retenir officiellement qu'une finalité, le « contrôle d'accès », ce qui lui permet en retour d'affirmer le caractère « proportionné » du dispositif. L'interprétation du principe de proportionnalité dépend ainsi directement de l'exclusion du texte juridique de finalités sociales, économiques et politiques qui président à l'établissement des dispositifs biométriques dans les écoles, finalités que la CNIL n'ignore cependant pas. Paradoxalement, le « gardien des libertés » que devait être la CNIL à l'égard du pouvoir politique devient ainsi plus laxiste que d'autres centres de pouvoir, dont la mairie de Paris ou le conseil général de l'Hérault. Voulant se montrer crédible et légitime en adoptant une position modérée, la CNIL s'expose toutefois à se faire doubler par d'autres instances, associatives, politiques, etc., quitte à susciter une exaspération conduisant à la remise en cause de l'ensemble de son activité³°⁸. On peut certes défendre la CNIL en insistant sur le

³⁰⁸ Forest, David (2008), « A 3o ans, la Cnil est déjà à bout de souffle », Libération, 4 janvier 2008 ; Vadrot, Claude-Marie (2007), « La CNIL occupée » (encadré de l'article « Plaidoyer contre le fichage »), Politis, 14 décembre 2007 ; Leprince, Chloé (2008), « Cnil : trente ans contre la « tyrannie de l'ordinateur » », Rue 89, 6 janvier 2008;.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 127

manque de moyens dont elle dispose ou sur les garde-fous qu'elle a pu mettre en place; il n'en demeure pas moins que, concernant la biométrie à l'école, la « menace », si menace il y a, ne provient pas de l'Etat, mais du lobbying des entreprises et de l'administration des établissements scolaires, et que certaines collectivités territoriales se montrent plus offensives que la CNIL sur son propre terrain.

Enfin, on remarque que malgré l'apparente stabilité de la doctrine de la CNIL, apparence que celle-ci semble favoriser à travers ses communiqués et ses rapports d'activité exposant ce qu'elle-même qualifie de « doctrine », on a pu toutefois constater une inflexion de celle-ci à partir de 2006, date à laquelle elle a introduit explicitement, au cours de ses délibérations, le critère de l'information des représentants légaux des élèves et de leur droit de refuser le dispositif biométrique. Il est frappant de constater que la CNIL n'attire pas davantage l'attention sur ce qui apparaît bel et bien comme un renforcement de la protection des personnes, effectué au moment même où elle s'apprête à délivrer une autorisation unique favorisant la généralisation du dispositif de reconnaissance géométrique de la main dans les restaurants scolaires.

La biométrie dans les prisons

La CNIL a aussi autorisé de tels dispositifs pour les détenus, dotés depuis un arrêté de 2003 d'une « carte d'identité intérieure » et « infalsifiable », sur laquelle figure le nom, la photographie et le numéro d'écrou du détenu, permettant une comparaison, via un lecteur biométrique, avec les données nominatives du détenu, comportant en outre son empreinte palmaire, enregistrées sur une base centrale propre à chaque établissement pénitentiaire (délib. n°03-027³°⁹). Ce faisant, la CNIL « a exprimé sa préférence pour les techniques n'impliquant pas la constitution d'une base centrale regroupant des gabarits biométriques d'individus » tout en relevant que chaque base centrale créée « sera propre à chaque établissement et ne sera pas interconnectée avec d'autres traitements. » Elle a aussi noté l'effacement des informations nominatives dès le départ du détenu de l'établissement pénitentiaire

3°9 Délib. n°o3-o27 du 22 mai 2003 et arrêté du io juin 2003 portant création d'un système de reconnaissance biométrique de l'identité des détenus

Chapitre III:La CNIL, texte réglementaire et doctrine p. 128

(que ce soit dans le cadre d'une libération ou d'un transfert) et sa remise de la carte d'identité intérieure. Elle note aussi que les « seuls destinataires des informations nominatives relatives aux détenus qui sont collectées et traitées au moyen de cette application sont les surveillants de l'établissement pénitentiaire concerné. » Soulignons enfin que si le droit d'accès aux informations nominatives est prévu, le droit d'opposition est, s'agissant de détenus, logiquement écarté.

A cet égard, on note d'abord que depuis la réforme de 2004 de la loi Informatique et libertés, un simple arrêté n'aurait pu établir ce système, qui aurait dû être autorisé en décret pris en Conseil d'Etat (art. 27, I-2, de la loi de 1978). Soulignons ensuite le caractère de proclamation, voire d'invocation, de cet arrêté, qui qualifie cette carte d'identité d'« infalsifiable », écartant ici, par un effet de rhétorique juridique, toute possibilité de faillibilité de la technique biométrique en question, et ce au défi de la réalité, fût-elle exceptionnelle. Rappelons qu'il s'agit avant tout d'un calcul de probabilité et de similitude opéré entre le gabarit de l'empreinte palmaire enregistré et la morphologie de la main présentée par le détenu. Certes, le dispositif s'appliquant à une population limitée, on peut espérer une très haute fiabilité; l'erreur et la simple coïncidence ne peuvent toutefois jamais être écartés, ni non plus les astuces des experts en contrefaçon... d'autant plus que la carte elle-même ne comporte que le nom, la photographie et le numéro d'écrou du détenu; son caractère « infalsifiable » provenant davantage de sa liaison avec le système central ayant enregistré le gabarit de l'empreinte palmaire, les possibilités techniques de falsification sont simplement déplacées de la carte au système informatique, exigeant dès lors non plus des compétences en contrefaçon, mais plutôt en programmation informatique. Dès lors, le caractère « infalsifiable » de la carte est en dépendance directe avec le niveau de sécurité, physique et informatique, du système informatique de l'établissement pénitentiaire. Prétendre qu'un tel niveau puisse prévenir de façon « sûre à 100% » toute intrusion relève à l'évidence d'une déclaration de principe n'ayant que peu à voir avec les faits, lesquels se contentent de probabilités.

L'introduction de la biométrie dans les parloirs a ainsi pu être qualifiée de « gadget sécuritaire » très coûteux (50 00o euros par installation, près de 9,5 millions d'euros pour l'ensemble des prisons en 2003), les évasions par substitution étant

Chapitre III:La CNIL, texte réglementaire et doctrine p. 129

rares bien que hautement médiatisées³¹O A suivre ces critiques de la biométrie, il semble bien qu'une telle mesure relève davantage de l'effet d'annonce propre à bien des mesures prises dans le cadre des politiques de sécurité, effet qui a pu conduire Denis Salas a parler de « populisme pénal ^»311, plutôt qu'à une volonté véritable de trouver une solution sociale aux problèmes posés par la « délinquance ». La rhétorique politique se dépose ici dans le texte juridique lui-même, comme pour lui donner plus de force et de réalité.

Par ailleurs, il n'est pas impossible que, dans un futur proche, les bracelets électroniques utilisés dans le cadre de la surveillance électronique, fixe ou mobile, soient dotés de dispositifs biométriques. En effet, le décret n°2004-243 du 17 mars 2004³¹² a introduit la possibilité de compléter le bracelet électronique utilisé dans le cadre du placement sous surveillance électronique fixe³~³ « par d'autres procédés de surveillance électronique permettant une authentification vocale ou digitale à des fins de vérification à distance de la présence de l'intéressé. » (art. _R57-11 du Code de procédure pénale).

L'année suivante, la loi « sur la récidive des infractions pénales » a introduit le PSEM (« placement sous surveillance électronique mobile »)³~⁴, mesure qui n'est pas seulement une peine ou un aménagement de peine, comme le PSE fixe, mais peut-être prononcée dans le cadre d'une libération conditionnelle, d'un suivi socio-judiciaire ou d'une surveillance judiciaire³~⁵. La CNIL a alors examiné un projet de décret qui prévoyait aussi de compléter le bracelet électronique par les mêmes dispositifs biométriques. Elle a alors réclamé des précisions sur le dispositif

³¹⁰ Dupont, Thierry (2003), « La biométrie légalisée dans les prisons françaises », ier juillet 2003, http://www.transfert.net/a9o58

³¹¹ Salas, Denis (2005), La volonté de punir. Essai sur le populisme pénal, Hachette Littératures, Paris, 2005. 287 p.

³¹² Décret n°2004-243 du 17 mars 2004 relatif au placement sous surveillance électronique et modifiant le code de procédure pénale (deuxième partie : Décrets en Conseil d'Etat), publié au JO le 20 mars 2004.

313 Introduit pour la première fois par la loi n° 97-1159 du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté.

314 Selon le Code de procédure pénale (art. 763-10 et sq.), « le placement sous surveillance électronique mobile ne peut être ordonné qu'à l'encontre d'une personne majeure condamnée à une peine privative de liberté d'une durée égale ou supérieure à sept ans et dont une expertise médicale a constaté la dangerosité, lorsque cette mesure apparaît indispensable pour prévenir la récidive à compter du jour où la privation de liberté prend fin. »

315 Cf. CNCDH (Commission nationale consultative des droits de l'homme), « Les prisons en France, vol. 2. Alternatives à la détention : du contrôle judiciaire à la détention », étude réalisée par Sarah Dindo, La Documentation française, 2007, en part. pp.87-92.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 13O

biométrique, demandant que ces dispositions soient disjointes du projet de décret 316 Sur ce point, elle a été entendue³¹⁷. Enfin, la loi du 25 février 2008 a introduit la notion de « surveillance de sûreté » qui s'ajoute aux autres mesures de suivi socio-judiciaire prévoyant le PSEM³¹⁸, lequel, pour l'instant, ne comporte pas de dispositif biométrique, mais un dispositif de géolocalisation³~⁹.

La reconnaissance du réseau veineux de la main et l'AU-o19

La CNIL encourage l'usage de dispositifs fonctionnant à l'aide de la reconnaissance du réseau veineux des doigts de la main comme alternative « sans trace » aux empreintes digitales, à des fins de contrôle d'accès³²O. Elle a émis en mai 2009 une troisième autorisation unique à ce sujet, restreinte à la finalité de contrôle de l'accès des locaux sur les lieux de travail³²¹

En effet, elle « considère que le réseau veineux des doigts de la main, en l'état actuel de la technique, est une biométrie sans trace dont l'enregistrement sur un terminal de lecture-comparaison aux fins de contrôler les accès aux locaux ne comporte pas de risques particuliers pour les libertés et les droits fondamentaux des personnes. _»322

Ce pourquoi elle autorise ces dispositifs, depuis 2007, même en l'absence d'impératif de sécurité. Ainsi, elle en a admis un, en juin 2009, qui visait à empêcher

³i⁶ Délib. n° 2007-109 du 24 mai 2007 portant avis sur le projet de décret en Conseil d'Etat présenté par le ministère de la justice relatif au placement sous surveillance électronique mobile des condamnés

317 Décret n° 2007-1169 du l^er août 2007 modifiant le code de procédure pénale (deuxième partie : Décrets en Conseil d'Etat) et relatif au placement sous surveillance électronique mobile, publié au JO le 3 août 2007;

318 Voir l'avis de la CNIL: Délib. n° 2008-183 du 3 juillet 2008 portant avis sur le projet de décret modifiant l'article R. 61-12 du code de procédure pénale relatif au placement sous surveillance électronique mobile dans le cadre d'une surveillance de sûreté, JO 5 novembre 2008.

319 Arrêté du 23 août 2007 portant homologation du procédé de surveillance électronique mobile pris pour application du décret n° 2007-1169 du ler août 2007 (...) relatif au placement sous surveillance électronique mobile, publié au JO le 12 septembre 2007.

³²⁰ Voir, entre autres, délib. n°2009-360 du 18 juin 2009; 2009-220, 2009-227 à 230, 2009-248 du 7 mai 2009; 2009-171 à 174, 187 à 189, 191, ¹93, ¹95, du 26 mars 2009; 2009-128 à 133 du 26 février 2009; délib. n^°200_7-335 ^{à 2}007^-339 du 8 novembre 2007, etc. Toutes ont une finalité de contrôle d'accès.

321 Délib. n°2009-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail

322 Délib. n°2009-227 du 7 mai 2009, dispositif de l'INSERM.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 131

la fraude lors d'examens en contrôlant les salles d'examen³~³. Il s'agissait du « Graduate Management Admission Test », un examen passé par 200 000 candidats dans 110 pays différents visant à donner accès à environ 1 800 écoles étasuniennes. Dans d'autres pays, l'association utilise des dispositifs d'empreintes digitales. En France, elle a installé ce dispositif via un sous-traitant ayant adhéré aux principes du « Safe Harbour » concernant l'échange transatlantique des données personnelles. Les gabarits, cryptés, sont conservés pour la durée de l'examen sur un poste de contrôle, afin d'éviter une substitution de candidats durant l'épreuve, puis transférés, parallèlement aux informations nominatives concernant le candidat, à un poste central aux Etats-Unis, où les données sont conservées cinq ans, durée de validité du test. Le dispositif vise officiellement deux finalités: éviter la fraude lors de l'examen, et d'autre part éviter qu'une même personne se présente plusieurs fois sous des noms différents. Si le lecteur biométrique rejette le candidat lors de l'examen, celui-ci est néanmoins autorisé à le poursuivre, tout litige faisant l'objet d'une procédure supplémentaire.

Ce dispositif est particulièrement intéressant: nonobstant les motifs d'autorisation de la CNIL, qui s'est assurée de l'encadrement du système, il n'en demeure pas moins qu'il marque une extension de la logique qui était à l'oeuvre, depuis la fin des années 1980, pour le contrôle des demandeurs d'asile, au secteur commercial et éducatif. On peut s'interroger sur les conséquences de cette autorisation, qui non seulement considère qu'un dispositif biométrique est légitime, au vu du principe de proportionnalité et de nécessité, pour contrôler une salle d'examen, et que les conditions spécifiques de cet examen constituent des « raisons sérieuses » d'utiliser ce dispositif, mais qui entérine de surcroît la conservation par une entreprise privée, durant cinq ans, des caractéristiques biométriques des candidats.

Outre cet exemple particulier, elle a autorisé de tels dispositifs pour « sécuriser l'accès du personnel » aux locaux de l'hôtel Neuilly³~⁴ ou d'une maison de retraite³~⁵; l'accès au stock de la société Nord Orthopédie³²⁶; l'accès de la trésorerie de la banque

323 Délib. n°2009-360 du 18 juin 2009 (Graduate Management Admission Council (GMAC) ; réseau veineux de la paume ; contrôler l'accès à des salles d'examen ; empêcher la substitution de candidat)

324 Délib. n°2009-248 du ₇ mai 2009.

325 Délib. n°2009-173 du 26 mars 2009

³²⁶ Délib. n°2009-229 du 7 mai 2009

Chapitre III:La CNIL, texte réglementaire et doctrine p. 132

Accord³~⁷; l'accès à une pharmacie à l'intérieur d'une résidence³²⁸ ou dans certains « locaux stratégiques » de l'Institut des Neurosciences de Grenoble³~⁹; l'accès à des postes informatiques d'une société de maintenance informatique³³°, etc. Bref, si l'impératif de sécurité peut parfois exister, il est d'autres fois faible, et la CNIL n'évoque que rarement cette raison, admettant même des installations qu'on pourrait qualifier de « confort », par exemple dans le cas suivant: « Le dispositif doit permettre de sécuriser l'accès aux locaux professionnels. Le choix d'un dispositif biométrique répond à la nécessité de prévenir les risques liés à la perte et aux vols des badges et des clés. »³³¹

L'autorisation unique n°019³³², comme les autres AU, exclut les mineurs de son application, ainsi que le contrôle des horaires, et n'autorise que l'enregistrement du gabarit et non d'une photographie ou d'une image du réseau veineux.

B. LES DISPOSITIFS DE RECONNAISSANCE FACIALE, UN STATUT AMBIGU

La CNIL n'a eu à examiner que très récemment des dispositifs de reconnaissance faciale. Si elle ne les a pas explicitement qualifié de technologie « à trace », elle a indiqué les problèmes que cette technologie soulève actuellement:

«D'une manière générale, la Commission observe qu'une donnée biométrique constitue un élément d'identification dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes.

Elle souligne que ce risque est d'autant plus grand en matière de reconnaissance faciale que l'image du visage peut être aisément captée et utilisée à l'insu de la personne concernée. »333

327 Délib.n°2009-220 du 7 mai 2009

^32$ Délib. n°2009-191 du 26 mars 2009

329 Délib. n°2009-193 du 26 mars 2009

^33° Délib. n°2007-339 du 8 novembre 2007 ( Hitachi Data Systems ; réseau veineux des doigts de la

main ; contrôle de l'accès au système d'information)

³³¹ Délib. n°2oo7-338 du 8 novembre 2007 (Etudes et Développement en Electronique Numérique (EDEN); réseau veineux des doigts de la main ; contrôle de l'accès aux locaux)

³³² Délib. n°2oo9-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.

³³³ Délib.n°2oo9-315 du 7 mai 2009 (refus; GMB Electronique; reconnaissance visages; contrôle accès)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 133

Dès lors, elle interprète ici le principe de proportionnalité comme requérant un « impératif de sécurité », en raison de deux risques tenant à l'utilisation de la photographie numérisée pour:

· «procéder à l'identification d'une personne à son insu par rapprochement avec un fichier nominatif de photographies ou de gabarits de visages ;

· usurper l'identité d'une personne, c'est-à-dire d'utiliser la photographie de son visage pour frauder un dispositif de reconnaissance faciale. »334

Ayant refusé en l'espèce son autorisation, elle l'a accordée dans un autre cas, où il s'agissait de « contrôler l'accès d'un nombre limité de personnes à certaines parties » des locaux de Novadis^335. Elle a motivé son autorisation en soulignant trois facteurs :

le dispositif en question exige le consentement actif des personnes pour l'enrôlement des caractéristiques biométriques (distance, temps de pose, etc.);

les photographies, les noms et prénoms et l'historique des passages sont enregistrés sur un boîtier fixe, qui n'est connecté à aucun poste informatique, empêchant toute diffusion de la photographie;

le dispositif est accompagné d'une caméra infra-rouge visant à éviter qu'il ne soit trompé par une simple photographie de la personne, en s'assurant que le visage présenté soit bien en trois dimensions.

Enfin, la CNIL « souligne que la présente autorisation ne porte que sur les traitements mis en oeuvre par la société Novadis à l'occasion du contrôle de l'accès à ses propres locaux et ne saurait constituer une labellisation du procédé de reconnaissance faciale utilisé. »³³⁶

Il est trop tôt pour parler d'une « doctrine » de la CNIL, et ses décisions sont, ici comme ailleurs, dépendantes de l'état des techniques. Elle a pu autoriser par ailleurs plusieurs dispositifs de recherche, dont le projet VINSI («Vérification d'Identité Numérique Sécurisée Itinérante ») que d'aucuns trouveraient sans doute inquiétant. Thales Security Systems cherche en effet à inventer le contrôle d'identité biométrique. Ce projet vise à fabriquer un « terminal mobile sécurisé capable d'effectuer de la reconnaissance d'empreintes digitales et de visages de personnes »:

334 Ibid.

345 Délib. n°2009-314 du 7 mai 2009 (Novadis ; reconnaissance visages ; contrôle de l'accès) 336 Ibid.

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 134

« Ce terminal mobile devrait permettre, sur la base d'un traitement des empreintes digitales ou du visage, d'une part, de s'assurer que le porteur d'un document d'identité électronique en est bien le titulaire légitime, d'autre part, d'identifier une personne via interrogation d'une base de données biométriques distante. »33'

Etant donné la finalité du projet VINSI, le traitement enregistre bien entendu les données d'état civil de la personne, combinées avec la photographie numérique et les empreintes digitales. Se voulant rassurante, la CNIL souligne que « son autorisation ne porte que sur un programme de recherche et ne saurait être interprétée comme l'acceptation tacite de futures demandes relatives à l'utilisation d'une plate-forme de vérification d'identité numérique reposant sur un terminal mobile »³³⁸. Un tel projet doit être mis en relation avec l'instauration du passeport biométrique³³⁹.

C. LES DISPOSITIFS DE RECONNAISSANCE D'EMPREINTE DIGITALE,
ARCHÉTYPE D'UNE TECHNOLOGIE « À TRACE »

La CNIL contrôle de près l'utilisation des dispositifs de reconnaissance d'empreintes digitales, celles-ci pouvant être recueillies à l'insu de la personne. D'autres raisons expliquent toutefois sa méfiance: selon son 21^e rapport d'activité, la dactyloscopie est affectée d'une « connotation policière » non seulement en raison de son histoire passée, mais « plus généralement », parce que « dans la plupart des cas, si ce n'est tous, la constitution d'un fichier d'empreintes digitales, même à des fins qui ne sont pas illégitimes, va devenir un nouvel instrument de police, c'est-à-dire un outil de comparaison qui pourra être utilisé à des fins policières, nonobstant sa finalité initiale. Il pourrait presque être soutenu que l'empreinte digitale est aux autres données biométriques ce que le NIR est aux autres données personnelles: une

347 Délib. n°2008-084 du 27 mars 2008 (Thales Security Systems ; données biométriques nécessaires au contrôle de l'identité)

338 Ibid.

339 Cf. infra (chap. V). Contentons-nous ici de remarquer l'hostilité de la CNIL vis-à-vis de l'établissement d'une base centralisée de photographies numériques et d'empreintes digitales (délib. n°2007-368 du ii décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modif. le décret n°2005-1726 du 3o décembre 2005 relatif aux passeports électroniques; et décret n°2008-426 du 3o avril 2008)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 135

information particulière qui présente un risque réel de relâchement du principe de finalité des fichiers. »34°

En d'autres termes, les technologies à trace, dont l'empreinte digitale, comportent deux risques principaux:

-- le prélèvement à l'insu de la personne d'une caractéristique biométrique, soit pour des usurpations d'identité, soit pour des vérifications d'identité sans le consentement de la personne ³⁴¹. La CNIL note ainsi la possibilité que les empreintes digitales puissent être récupérées par autrui afin d'« usurper l'identité d'une personne, par exemple pour frauder un dispositif reposant sur la reconnaissance de l'empreinte digitale. »³⁴² En d'autres termes, elle reconnaît explicitement la possibilité d'usurpation de l'identité biométrique, et donc, en creux, les nouvelles fraudes à l'identité que de tels systèmes permettent. La CNIL relève ainsi les possibilités de tromper les dispositifs de reconnaissance d'empreintes digitales à l'aide de « faux doigts », ainsi que celle d'acheter des « kits » de prélèvement d'empreintes digitales afin de relever celles d'autrui343.

-- la possibilité d'utiliser la caractéristique biométrique, à l'instar du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), comme clé d'accès unique et singulière permettant d'interconnecter une multitude de fichiers administratifs.

De plus, la constitution de bases de données composées d'empreintes digitales, même à finalité non policière, peut être détournée de ses finalités, notamment en raison de l'autorisation donnée à la police judiciaire d'accéder à tout fichier pouvant intéresser l'enquête, que ce soit dans le cadre d'une commission rogatoire ou d'une enquête « de flagrance »³⁴⁴.

^34° CNIL (2001), 21^e rapport d'activité 2000, p.1o8. De tels propos, concernant les technologies « à trace », sont constamment réitérés par la CNIL, étant aussi présents dans le 22^e rapport (p.167).

341 « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf

342 CNIL, délib. n°2008-273 du 17 juillet 2008 (refus ; NEMOPTIC ; empreintes digitales ; contrôle des accès aux locaux)

343 Ibid.

344 CNIL (2001), 21^e rapport d'activité 2000, p.109-110.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 136

Bien que la CNIL ne l'indique pas, il faut noter, en outre, que les images d'empreintes digitales permettent d'obtenir des informations relatives à l'état de santé du sujet, ce qui est valable d'ailleurs pour la plupart des images biométriques³⁴⁵ -- et non des gabarits, ce qui explique sans doute pourquoi la CNIL refuse en général la conservation des images (cf. par ex. AU-008 relative au contrôle d'accès dans les entreprises via un dispositif utilisant les empreintes digitales).

En raison de ces risques avérés, la CNIL n'autorise les dispositifs fonctionnant à l'aide d'empreintes digitales, lorsqu'il s'agit d' « identification » et non

d' « authentification » (carte d'identité, etc.), que si la finalité principale réside dans le contrôle d'accès, dans un objectif, donc, de sécurisation des locaux. Elle l'a par exemple exclu des restaurants scolaires, qui ne peuvent utiliser que les technologies utilisant la morphologie de la main, et, s'alignant sur la jurisprudence, a exclu l'usage de tels dispositifs à d'autres fins que le contrôle d'accès (contrôle des horaires notamment). Malgré ces limites, outre les utilisations publiques des technologies faisant appel aux empreintes digitales, notamment pour des usages judiciaires ou policiers, la CNIL a cependant autorisé un grand nombre de dispositifs faisant appel à ces technologies, de plus en plus répandues.

Elle opère toutefois une distinction centrale entre les dispositifs stockant les gabarits des empreintes digitales sur des bases de données centrales, assujettis à un contrôle strict, et ceux qui stockent ces données sur des supports individuels (carte magnétique, etc.), largement plus répandus. Elle distingue aussi les dispositifs en fonction de la qualité des gabarits enregistrés³⁴⁶. Les dispositifs stockant les gabarits d'empreintes digitales sur support individuel, ayant pour finalité le contrôle d'accès aux locaux par les employés, bénéficient d'un régime d'autorisation simplifiée (AU- oo8³⁴⁷).

345 Mordini et Ottolini (2007), op.cit. Cf. supra, chap. II, section 2.

346 « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf

³⁴' CNIL (2006), Délib. n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail (décision d'autorisation unique n° AU-008), publiée au JO le 16 juin 2006.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 137

Les données biométriques peuvent être stockées soit sur une base de données, soit sur une clef personnelle (technologie Match on Card). Dans ce dernier cas, le risque d'interception des données est moindre, aussi la CNIL considère que « la personne a la maîtrise de sa donnée biométrique »³⁴⁸. Puisque les données biométriques sont associées au corps de la personne, le risque encouru en cas de détournement (vol de la carte contenant ces données ou intrusion dans le serveur central) est plus grand que celui encouru en cas de divulgation d'un mot de passe, qui peut être changé349.

Le support central est principalement utilisé dans le cas de l'identification (ou comparaison « un-à-plusieurs »): le sujet pose son doigt sur le dispositif biométrique, lequel compare cette empreinte digitale avec les gabarits enregistrés. Ces gabarits sont eux-mêmes associés à un fichier nominatif. Dans le cas de la simple vérification (comparaison « un-à-un »), le dispositif ne requiert ni un fichier nominatif, ni l'enregistrement des données biométriques: ce qu'il compare, c'est la correspondance entre l'empreinte digitale recueillie au moment du contrôle et le gabarit stocké sur la carte (ou tout autre support individuel). La CNIL affirme que dans ce dernier cas « il n'est pas nécessaire d'associer un gabarit biométrique à une identité pour que le contrôle d'accès biométrique puisse fonctionner »³⁵°, contrairement à la procédure d'identification qui exige nécessairement, outre le stockage sur support central, l'association « de la donnée biométrique à d'autres éléments d'identité. »³⁵¹ Concrètement cela signifie qu'un simple badge « anonyme », contenant le gabarit de l'empreinte digitale, suffirait dans le cas de la vérification biométrique. En cas de perte ou de vol de ce badge, on ne disposerait donc pas nécessairement des éléments nécessaires pour connaître l'identité civile de son porteur. La CNIL a cependant autorisé des dispositifs enregistrant simultanément et sur le même support (en l'espèce, des postes informatiques) l'empreinte digitale et le nom³⁵².

348 CNIL (2007), « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf

349 Ibid.

^35O Ibid., p.5

³⁵¹ Ibid. , p.6

³⁵² Délib. _n°2007-343 du 22 novembre 2007 (autorisation; Wolters Kluwer France ; reconnaissance des empreintes digitales ; contrôle de l'accès aux postes informatiques - autorisation n° 1176668); délib. n°2007-342 du 22 novembre 2007 (autorisation; Téléroute France ; reconnaissance des empreintes digitales ; contrôle de l'accès aux postes informatiques - autorisation n° ¹¹76947)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 138

Du plus, en pratique, l'état civil d'une personne n'est que rarement un secret : il suffit de connaître l'identité civile du porteur d'un badge pour associer ces deux éléments (identité civile et caractéristiques biométriques stockées sur le badge), soit qu'on la connaisse par ailleurs, soit que, comme pour toute perte ou vol de papiers d'identité, le badge soit « trouvé » en même temps que des papiers permettant de déterminer l'état civil de son porteur.

Le stockage des données sur support individuel

Par « support individuel », la CNIL entend « tout support de stockage dont la personne concernée a un contrôle exclusif, tel qu'une carte à puce ou magnétique », précisant en outre que « le gabarit de l'empreinte digitale de la personne concernée est exclusivement enregistré sur un support individuel détenu par elle seule et dont le contenu ne peut être lu à son insu » (AU-oo8). Ou encore, dans une communication ayant pour but d'expliquer sa doctrine concernant les dispositifs de reconnaissance d'empreintes digitales, elle affirme :

« Dans le cas d'un stockage sur un support individuel (tel que carte à puce ou clé USB), exclusivement détenu par la personne concernée, la personne a la maîtrise de sa donnée biométrique. Celle-ci reste sous sa responsabilité et ne peut pas être utilisée pour l'identifier à son insu. En cas de vol ou de perte du support de stockage, on ne peut avoir accès qu'à une seule donnée biométrique éventuellement associée à l'identité de la personne. »3s3

Le concept central est donc celui de « maîtrise » de la « donnée biométrique », associé au concept de responsabilité individuelle : les caractéristiques biométriques sont « en son pouvoir », pourrait-on dire, et leur protection relève de la responsabilité du sujet. En cas de perte ou de vol de ces données, le sujet est donc seul responsable. Cet aspect de la doctrine peut interpeller, dans la mesure où le sujet est considéré « responsable » de la protection de ses données (il doit éviter de perdre le support individuel, carte à puce, clé USB, etc.); pourtant, lorsqu'il ne s'agit pas d'une « biométrie de confort », ce nouveau risque, pouvant conduire à une

353 CNIL (2007), « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, art. cit. Nous soulignons.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 139

usurpation d'identité, lui a été imposé: la CNIL ne prévoit pas de clause d' « opt-out » générale comme elle le fait pour les établissements scolaires.

De plus, on pourrait soutenir que ce concept de « maîtrise » exclurait les cartes à puce RFID, dont la fiabilité technique est mise en cause, les possibilités d'interception étant réelles. La CNIL a pu toutefois autoriser leur usage dans un cadre limité: dans tel dispositif approuvé par la CNIL, les données, chiffrées, «ne peuvent être activées que dans la limite d'une distance de trois centimètres du lecteur. ^»354 L'année précédente, la presse estimait que lo0 OOo employés des aéroports de Paris étaient astreints à de tels dispositifs355.

La « carte d'identité aéroportuaire » et les badges biométriques : de l'expérimentation de 2002 à la généralisation du procédé en 2004 et à l'ajout d'une puce RFID en 2007

Dans tel autre dispositif autorisé en 2007, utilisé pour sécuriser la zone réservée du satellite S3 de l'aéroport de Roissy, la DGAC (Direction générale de l'aviation civile) délivre des badges contenant les gabarits chiffrés des empreintes sur une « puce sans contact ^»356 Cette mesure allait plus loin que ce qui était strictement prévu par le règlement (CE) n° 2320/2002 concernant la sûreté de l'aviation civile, qui prévoyait la mise en place de « carte d'identité aéroportuaire » sur laquelle devait être présent le nom et la photographie du porteur ³⁵⁷. Le procédé mis en place par les aéroports de Paris est ici différent: les données d'état civil (nom, prénom, photographie, fonction, etc.³⁵⁸) sont stockées sur un serveur central, tandis que le gabarit de l'empreinte digitale est enregistré sur un badge d'accès. La CNIL a donc statué à

354 Délib. n°2005-001 du 13 janvier 2005 (autorisation; TF1 ; contrôle des accès par biométrie)

355 Delseny, Damien (2006), « Roissy et Orly se mobilisent », Le Parisien, 11 août 2006; du même journaliste, « Empreinte biométrique pour le personnel d'Orly et de Roissy », Le Parisien, 3o avril 2004.

356 Délib. n°2007-041 du o8 mars 2007 (autorisation ; Aéroports de Paris ; reconnaissance des empreintes digitales ; contrôle de l'accès au sein de la zone réservée du satellite S3 de l'aéroport de Paris-Charles-de-Gaulle).

357 Règlement (CE) n° 2320/2002 du Parlement européen et du Conseil du 16 décembre 2002 relatif à l'instauration de règles communes dans le domaine de la sûreté de l'aviation civile (Texte présentant de l'intérêt pour l'EEE) - Déclaration interinstitutionnelle , Journal officiel n° L ₃₅₅ du 30/12/2002 p. 0001 - 0022 (annexe, 2.2.1. « Zones de sûreté à accès réglementé et autres zones côté piste », iv).

Ce règlement, qui cite en premier lieu les attentats du 11 septembre 2001 comme motif de sa promulgation, précise qu'il « respecte les droits fondamentaux et observe les principes reconnus, notamment par la Charte des droits fondamentaux de l'Union européenne » et prévoit la possibilité d'adopter des « mesures plus strictes » (art. 6), mais aussi des mesures moins strictes et proportionnées aux petits aéroports ou aux aéroports ne comportant que des « vols de l'aviation générale » (art. 4^-3).

358 Le dispositif utilisé au satellite S3 de Roissy ajoute à ces informations « l'entreprise ayant délivré l'accréditation, l'entreprise d'appartenance, le numéro de badge et la date de fin de validité de badge ainsi que l'historique des passages, le détail des accès empruntés et la liste des irrégularités. »

Chapitre III:La CNIL, texte réglementaire et doctrine p. 140

plusieurs reprises sur des dispositifs semblables. Après une expérimentation autorisée le 23 avril 2002, menée sur une base volontaire et qui concernait plusieurs dispositifs (iris, empreinte digitale, et contour de la main)^359, la CNIL a autorisé en 2004 la généralisation d'un système de reconnaissance de l'empreinte digitale aux aéroports d'Orly et de Roissy³⁶⁰. Conformément à l'arrêté de 2003³⁶¹, substituant, en ce qui concerne les procédés biométriques, une procédure de justification des performances à la certification, le dispositif avait été évalué par la DGAC. Cependant, l'arrêté de 2003 ne mentionnait aucune puce RFID, différence que la CNIL passe sous silence dans sa délibération n°2007-041, où elle insiste au contraire sur le caractère davantage restreint de l'accès aux données par rapport au dispositif précédent.

Outre les cartes à puce ou cartes magnétique, la CNIL inclut parmi les supports individuels :

des clés USB qu'il s'agit de sécuriser³⁶²;

des cartes à microprocesseurs (dans le cadre d'une expérience sur le vote électronique³⁶³)

des ordinateurs portables sur lesquels seraient stockés les gabarits³⁶⁴, par exemple, dans le cas d'un cabinet d'avocats (spécialisé dans le droit de l'informatique), pour protéger des « informations couvertes par le secret professionnel » et « sécuriser l'accès à distance au réseau informatique de la société. »³⁶⁵ Soulignons que si l'ordinateur portable est considéré comme un « support individuel », et donc relevant de la « maîtrise » de la « personne concernée », il n'est pas pour autant la « propriété » de ce dernier, mais celle

³⁵⁹ Délib. n°o2-034 du 23 avril 2002, portant avis sur un projet de décision du directeur général de l'établissement public aéroports de Paris relative à une expérimentation de trois dispositifs biométriques de contrôle des accès aux zones réservées de sûreté des aéroports d'Orly et Roissy ³⁶o Délib. n°04-017 du o8 avril 2004, relative à une demande d'avis de l'établissement public Aéroports de Paris concernant la mise en oeuvre d'un contrôle d'accès biométrique aux zones réservées de sûreté des aéroports d'Orly et de Roissy.

361 Arrêté du ^ler septembre 2003 relatif aux infrastructures, équipements et formations en matière de sûreté du transport aérien ainsi qu'à certaines modalités d'exercice des agréments en qualité d'agent habilité, de chargeur connu, d'établissement connu et d'organisme technique, JORF n°292 du 18 décembre 2003 page ²¹575 , ^art. _4. L'arrêté établit aussi les normes concernant la « carte de

navigant », carte non biométrique mais doté d'une « zone de lecture automatique ».

362 Délib. n°2009-221 du 7 mai 2009 (Banque de France ; empreintes digitales ; contrôle de l'accès au contenu des clés USB)

³⁶³ Délib. n°o2-o15 du 14 mars 2002 (projet d'arrêté; mairie de Mérignac; expérimentation; vote électronique; empreintes digitales)

³⁶⁴ Délib. n°2008-017 du 22 janvier 2008 (Dow AgroSciences Export ; empreintes digitales ; contrôle de l'accès aux ordinateurs portables)

³⁶⁵ Délib. n°2008-274 du 17 juillet 2008 (société Alain Bensoussan Selas ; empreintes digitales ; contrôle de l'accès aux ordinateurs portables)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 141

de l'entreprise366 : « maîtrise » et « propriété » ne sont ici pas isomorphes. Lorsqu'il s'agit d'ordinateurs fixes, les gabarits sont d'ordinaire stockés sur des cartes à puce, l'ordinateur étant relié à un lecteur biométrique³⁶⁷. La CNIL a autorisé à plusieurs reprises le fait d'enregistrer à la fois le nom de la personne et le gabarit de l'empreinte digitale sur l'ordinateur concerné, à la fois pour un contrôle d'accès physique et dans le cadre du télétravail ³⁶⁸. On peut s'interroger sur une telle décision, qui associe dans le même fichier informatique, accessible à distance, état civil et caractéristique biométrique, et sur les conséquences éventuelles qu'aurait un piratage du système. La CNIL l'a cependant autorisé, en raison du caractère chiffré du gabarit et de la non-circulation sur un réseau informatique.

L'autorisation unique oo8

La CNIL a émis une autorisation unique, en application de l'art. 25 (II) de la loi réformée de 1978, qui permet au responsable du traitement d'adresser simplement un engagement de conformité.

L'AU-oo8, émise en 2006, porte sur la « mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail »³⁶⁹. Cette autorisation unique, qui s'applique au secteur privé aussi bien qu'au secteur public, exclut d'une part les établissements où sont présents des mineurs, d'autre part les traitements opérés pour « le compte de l'Etat ».

D'autre part, elle exclut la finalité de contrôle des horaires des employés, seul « le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de

³⁶⁶ Bouchet, Hubert (2004), La cybersurveillance sur les lieux de travail, rapport de la CNIL, La Documentation française, p.21.

367 Délib. _n°2009-398, et 388 à 396, du 2 juillet 2009.

368 Délib. n°2007-343 du 22 novembre 2007 (Wolters Kluwer France ; empreintes digitales ; contrôle de l'accès aux postes informatiques); délib. n°2007-342 du 22 novembre 2007 (Téléroute France ; empreintes digitales ; contrôle de l'accès aux postes informatiques)

³⁶⁹ Délib. n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail (décision d'autorisation unique n° AU-008)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 142

l'organisme » étant autorisé. Ce faisant, la CNIL n'a fait qu'aligner sa doctrine sur la jurisprudence, établie notamment sur la base de l'arrêt du TGI de Paris du 19 avril 2005, Comité d'entreprise d'Effia Services, Fédération des Syndicats SUD Rail c/ Société Effla Services (cf infra, section B).

L'autorisation unique ne permet enfin que le seul enregistrement des gabarits, et non d'une « image » ou d'une « photographie de l'empreinte digitale ».

Le droit d'accès et de rectification est spécifiquement affirmé (art. 8 de l'AU-oo8) ainsi qu'un droit d'information et de consultation, notamment des instances représentatives du personnel (art. 7). La durée de conservation maximale des données nominatives (qui ne concernent donc pas, a priori, le gabarit, stocké sur le support individuel) est aussi fixée (5 ans après le départ de l'employé, art. 4). Enfin, la « liberté d'aller et venir des employés protégés dans l'exercice de leurs missions » doit être préservée par le contrôle d'accès (art. 5): celui-ci ne peut donc être discriminatoire.

Autres délibérations

Pour les cas ne tombant pas sous l'AU-oo8, il faut d'abord indiquer que les dispositifs utilisant les empreintes digitales ont été exclus par la CNIL dès lors qu'il s'agit d'établissements scolaires³⁷°

Concernant la finalité, si les dispositifs d'empreintes digitales stockées sur support individuel sont en général destinés au contrôle d'accès de zones « sensibles », elle admet toutefois des exceptions.

La plus remarquable est certainement celle concernant la carte de fidélité « Club Airport Premier » délivrée par la Chambre de commerce et d'industrie de Nice, la CNIL justifiant l'autorisation principalement par le caractère volontaire de l'enrôlement biométrique, l'empreinte digitale étant stockée, ainsi que le nom, sur

³⁷° Délib. n°2008-178 du 26 juin 2008 (refus; lycée maritime de Boulogne -- Le Portel ; empreintes digitales ; contrôle de l'accès des élèves et des personnels à l'établissement). Délibération à laquelle fait allusion la CNIL dans L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles », http://www.cnil.fr/index.php

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 143

support individuel³⁷¹. Il s'agit là véritablement de « biométrie de confort », la responsabilité de toute usurpation biométrique incombant au détenteur de la carte.

La CNIL a aussi autorisé un dispositif, reposant sur l'adhésion volontaire des participants, visant à contrôler l'accès à un Centre d'Hébergement et de Réinsertion Sociale de Nice³⁷².

La CNIL peut aussi admettre des dispositifs doubles admettant plusieurs finalités. Le dispositif de TFi, approuvé par la CNIL, comporte à la fois un simple système de badges, destiné principalement au contrôle d'accès, et un dispositif biométrique enregistrant les empreintes digitales, chiffrées, sur badge doté d'une puce RFID dont la lecture est limitée à 3 cm du lecteur, destiné à protéger des « zones sensibles » (« la régie finale, le groupe électrogène, la salle des onduleurs, la salle des transformateurs, la salle autocommutateurs, ainsi que les salles informatiques ^»373). Enfin, ce dispositif double (badge ordinaire pour la majorité des employés et badge biométrique pour certains) comporte « pour finalités accessoires de faciliter la gestion des accès au restaurant d'entreprise et du paiement des consommations », restaurant qui ne comporte pas de lecteur biométrique.

En cas d' « authentification » de la personne, critère reconnu par la loi de 1978 en ce qui concerne les traitements d'Etat (art. 27, 1-2°), la CNIL autorise les dispositifs reposant sur les empreintes digitales avec stockage sur support individuel. En effet, dans une délibération du 11 décembre 2007 concernant le projet de décret modifiant le régime des passeports^374, la CNIL a dit considérer « comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif. »375.

³⁷¹ Délib. n°2005-115 du 07 juin 2005 (Chambre de Commerce et d'Industrie de Nice-Côte d'Azur ; gestion d'une carte de fidélité impliquant l'utilisation d'un dispositif biométrique de reconnaissance des empreintes digitales)

372 Délib. n°2008-324 du ii septembre 2008 (centre communal d'action sociale de la ville de Nice ; empreintes digitales ; contrôle de l'accès aux locaux)

³⁷³ Délib. n°2005-001 du 13 janvier 2005 relative à la gestion au sein de la société TFi du contrôle des accès de certains personnels autorisés à certaines zones sensibles grâce à un dispositif biométrique utilisant les empreintes digitales.

374 Cf. infra (chap. V)

375 Délib. n°2007-368 du ii décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n°2005-1726 du 3o décembre 2005 relatif aux passeports électroniques.

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 144

Le stockage des données sur support central

En janvier 2008, la CNIL a publié un guide précisant les critères sur lesquels elle se fonde pour autoriser ou refuser le recours aux dispositifs reposant sur la reconnaissance des empreintes digitales, avec stockage des données biométriques sur un terminal de lecture-comparaison ou sur un serveur. La CNIL affirme alors qu'en 2007, 53 des dispositifs biométriques examinés (sur un total de 602) reposaient sur la reconnaissance des empreintes digitales et le stockage des données sur un support centra1³⁷⁶. Elles en a refusé 21 (ce sont les seuls dispositifs biométriques refusés de l'année) et autorisé 32.

Le stockage sur support central des données biométriques construites à partir des empreintes digitales n'est admis par la CNIL que si les dispositifs « sont fondés sur un fort impératif de sécurité ^»377 et s'ils satisfont à quatre exigences, décrites dans un guide de décembre 2007 qui constitue sa « doctrine définie et codifiée »378:

finalité du dispositif;

proportionnalité;

sécurité et fiabilité (la CNIL prend en compte notamment les qualités techniques du dispositif, le taux de faux rejets, la qualité des gabarits enregistrés, etc., mais aussi les conditions de sécurité lors de l'enrôlement des personnes dans le dispositif biométrique, etc.);

information des personnes concernées.

En d'autres termes, elle n'autorise de tels dispositifs que dans des finalités sécuritaires, et à condition que la zone d'accès sécurisée soit bien déterminée, ne pouvant s'étendre, sauf exceptions, à la totalité de l'entreprise. La finalité « doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, de celle des

376 CNIL, « Biométrie: la CNIL encadre et limite l'usage de l'empreinte digitale », communiqué du 28 décembre 2007. Accessible sur http://www.cnil.fr/index.php?id=2363 Reprenant ces informations, La Semaine juridique, (Social, n°4, 22 janvier 2008, act.4o) cite un communiqué du 10 et 14 janvier 2008.

³⁷⁷ Ibid.

378 C'est du moins ainsi que la CNIL décrit ce guide (« Biométrie: la CNIL encadre et limite l'usage de l'empreinte digitale », op.cit.) dans un article de L'Echo des séances, « La CNIL dit non aux empreintes digitales dans les écoles », 25 septembre 2008.

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 145

biens et des installations ou encore de celles de certaines informations ». ³⁷⁹ Ces critères ont par exemple justifié le refus d'autorisation, notifié le 17 juillet 2008, vis-à-vis de huit dispositifs reposant sur l'enregistrement des empreintes digitales dans une base de données, qui concernaient notamment le contrôle de l'accès aux locaux d'une société de transformation de produits alimentaires, d'une entreprise de gestion de patrimoine immobilier et d'un établissement hébergeant des enfants confiés à l'aide sociale³⁸°

Pour le critère de la proportionnalité, la CNIL précise que « du point de vue de la sécurisation des accès, le dispositif avec base centrale et le dispositif avec support individuel se valent » (sauf pour « le ré-enrôlement d'un utilisateur, dont on souhaite vérifier que la nouvelle donnée biométrique enregistrée est proche de celle présentée au précédent enrôlement »)³$¹. La base centrale présente toutefois un avantage « lorsque l'accès doit être assuré à tout moment et sans délai, pour faire face à des situations d'urgence » (type site SESEVO). La proportionnalité est aussi évaluée au regard du nombre de personnes concernées: plus celui-ci est faible, plus le dispositif a de chances d'être accepté par la CNIL.

Pour ce qui concerne la finalité de protection de l'intégrité physique des personnes, la CNIL donne comme exemples:

accès à une zone spécifique à l'intérieur d'une installation nucléaire de base;

accès à certains sites classés SEVESO II, pour un large périmètre ou seulement pour des zones sensibles, compte tenu de la nature des produits manipulés et de la réglementation applicable en l'espèce;

³" Ibid.

³⁸o CNIL, L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles », http://www.cnil.fr/index.php? id=2524&news[uid]=583&cHash=4b9d4obo67 . Voir par ex. la délibération n°2008-273 du 17 juillet 2008 refusant la mise en oeuvre par la société NEMOPTIC d'un traitement de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle des accès aux locaux (autorisation n°1251617):

« A cet égard, la Commission observe que le dispositif n'a pas pour objet de sécuriser une zone bien déterminée des locaux, représentant un enjeu majeur dépassant l'intérêt strict de l'organisme concerné, mais répond à un besoin général de contrôler l'accès à l'entreprise. De même, la société NEMOPTIC justifie uniquement le choix du système présenté par le fait qu'il présente « un plus grande facilité d'emploi que les badges, par une élimination du risque de perte du badge et une meilleure immunité aux intrus ».

La Commission relève que cet objectif pourrait être atteint, par exemple, par le recours à des dispositifs reposant sur la reconnaissance d'autres données biométriques telles que le contour de la main ou le réseau veineux du doigt de la main qui, en l'état actuel de la technique, ne sont pas susceptibles d'être capturées à l'insu des personnes ».

381 Ibid., p.9

Chapitre III:La CNIL, texte réglementaire et doctrine p. 146

accès à une cellule de production des vaccins où se déroulent des cultures bactériennes;

accès à un bloc opératoire dans un CHU confronté à des problèmes spécifiques d'intrusion liés au voisinage;

accès à l'utilisation d'un matériel dangereux, tels que des chariots élévateurs.

Pour ce qui concerne la protection des biens et des installations, la CNIL précise que « ce qui est en jeu, c'est le dommage grave et irréversible qui peut leur être porté, indépendamment de la valeur du bien lui-même (sauf cas exceptionnels) et sous réserve que cela dépasse l'intérêt strict de l'organisme. »³$² Elle donne comme exemples de contrôle d'accès:

certaines zones d'une entreprise travaillant pour la Défense nationale;

le centre de contrôle et de sécurité d'une grande entreprise de messageries;

les zones sensibles d'un centre départemental d'incendie et de secours;

les zones sensibles d'une imprimerie fiduciaire soumise à des règles de sécurité nationales et internationales.

Elle a refusé au contraire le recours à de tels dispositifs pour le contrôle d'accès de la salle informatique « classique » d'une collectivité locale, ou pour l'accès à des zones de fabrication de vêtements destinés à certains services de l'Etat383.

On peut ajouter, à ces exemples concernant la protection des personnes et des biens, les autorisations accordées à des dispositifs enregistrant les empreintes digitales sur des lecteurs biométriques installés sur des boîtiers fixes, tel qu'un centre de stockage d'un laboratoire contenant des psychotropes et des stupéfiants³⁸⁴, ou un local de Sanofi-Aventis qui sert à des « manipulations génétiques »³⁸⁵, etc.

Pour ce qui concerne la protection des informations, la CNIL limite ces dispositifs aux informations ou aux « données devant faire l'objet d'une protection particulière

³⁸² Ibid., p.8

³⁸³ Ibid.

³⁸⁴ Délib. n°2007-269 du 20 septembre 2007 (laboratoire Renaudin).

³⁸⁸ Délib. n°2007-251 du 13 septembre 2007, autorisant la mise en oeuvre par la société Sanofi - Aventis Recherche & Développement d'un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l'accès aux locaux.

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 147

en raison des conséquences que leur divulgation, leur détournement à d'autres fins ou leur destruction auraient pour les personnes concernées par l'activité de l'entreprise, de l'institution ou de l'organisme. »³⁸⁶ Outre le « secret défense », secret industriel ou secret professionnel, cela inclut les « données dont la divulgation porteraient un préjudice grave et irréversible aux tiers concernés. » La CNIL donne comme exemple le contrôle d'accès:

aux locaux d'une entreprise classée ICPE (Installation classée pour la protection de l'environnement) développant des procédés sensibles faisant l'objet de restrictions à l'exportation;

la salle sécurisée contenant des informations de clients de niveau « confidentiel défense » d'une entreprise spécialisée dans les systèmes d'information de grandes entités;

aux locaux d'un cabinet-conseil en matière de propriété intellectuelle et industrielle, gérant habituellement des dossiers sensibles (secret défense, etc.);

au bâtiment d'un service de l'Education nationale contenant les sujets d'examens et de concours.

On peut ajouter à ces exemples le contrôle des centres de vidéosurveillance, justifié en raison du « fort impératif de sécurité », les données étant stockées sur support central (lecteur biométrique sur boîtier fixe) ³⁸⁷.

Elle a refusé au contraire de tels dispositifs pour le contrôle d'accès:

à l'ensemble des locaux d'une société de gestion d'abonnements pour le compte de sociétés de publication de presse périodique;

à l'ensemble du réseau informatique et des postes de travail fixes et mobiles de la totalité³⁸⁸ des agents d'un organisme de contrôle des assurances.

Pour ce qui concerne le critère de la sécurité, la CNIL examine précisément la qualité technique du dispositif et les systèmes de sécurité (physique, informatique, etc.) qui protègent celui-ci. Elle se comporte donc, en l'espèce, davantage comme un

³⁸⁶ Ibid., p.8

³⁸⁷ Délib.n°2oo7-27o du 20 septembre 2007 (communauté d'agglomération de la vallée de Montmorency ; empreintes digitales ; contrôle de l'accès aux locaux) ; Délib. n°21308-330 du ii septembre 2008 (mairie de Saint-Fons; empreintes digitales ; contrôle de l'accès aux locaux)

388 Souligné par la CNIL.

organisme (public) de certification, qui garantit la sécurité du système. Cette fonction, qui possède un aspect économique évident, est légitimée au regard de la nature « sensible » des données biométriques -- non pas au regard de l'article 8 de la loi de 1978, mais au regard de la doctrine de la CNIL concernant les dispositifs utilisant les empreintes digitales, considérées comme technologies « à trace ». La CNIL a ainsi élaboré par elle-même une nouvelle catégorie juridique de « données sensibles » non comprises par l'article 8.

Enfin, concernant l'information des personnes concernées, la CNIL indique que ce critère inclut, outre le critère du consentement disposé dans la loi Informatique et libertés, des dispositions relatives au Code du travail. Par conséquent, elle déclare dans ce guide tenir compte des résultats de « la consultation des instances représentatives du personnel. »389

Chapitre III:La CNIL, texte réglementaire et doctrine p. 148

³⁸⁹ Ibid. , p.12

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 149

Le passage automatisé aux frontières, entre « biométrie de confort » et sécurité

« Sécuriser, sans nuire à l'accueil

La biométrie suscite parfois quelques craintes quant à la protection des libertés individuelles. Safran n'élude pas ces questions. En France, ses équipes travaillent en étroite liaison avec la Cnil (Commission nationale de l'informatique et des libertés) pour la mise au point des différents systèmes biométriques. On l'ignore parfois, la biométrie a bel et bien des vertus démocratiques. Avec un système automatisé, le voyageur n'a plus à redouter d'être jugé « au faciès ». Le système ne fait aucune différence entre les individus. Parallèlement, l'accès aux données personnelles est hautement sécurisé. Ainsi, l'adoption de systèmes automatiques ne peut qu'être de nature à rassurer les voyageurs qui n'ont rien à se reprocher. »

Safran Magazine n°4, septembre 2008³⁹⁰

« But with the overall plunge in air travel after Sept. 11, economic catastrophe loomed for the airlines, which depend on business travelers for as much as two-thirds of their revenue. In surveys, airlines discovered that about 25 percent of that core market was cutting back on travel -- not because of fear of flying, but because of the delays and annoyances at crowded, often tense airport security checkpoints. »

Joe Sharkey, « The Nation; Class Consciousness Comes to Airport Security », The New York Times, 6 janvier 2002

Il convient peut-être de remarquer que, dans l'exposé officiel de la doctrine de la CNIL au sujet des dispositifs stockant les empreintes digitales sur des bases de données centralisées, exposé qui concorde avec les avis donnés, la CNIL omet néanmoins un domaine important où elle a autorisé, certes à contre-coeur, le traitement central des caractéristique d'empreintes digitales, qui concernait davantage la « biométrie de confort » que de « forts impératifs de sécurité »: il s'agit du programme PEGASE (« programme d'expérimentation d'une gestion automatisée et sécurisée ») d'automatisation des frontières expérimenté à l'aéroport Roissy-Charles-de-Gaulle. Le contrat PEGASE, ainsi que son successeur, PARAFE, a été attribué au groupe Safran -- Sagem Sécurité, qui est en charge de dispositifs biométriques dans plusieurs aéroports (Australie, etc.), notamment ceux installés

39° http://www.safran-group.com/IMG/pdf/mag4 complet.pdf

Chapitre III:La CNIL, texte réglementaire et doctrine p. 15O

dans les aéroports britanniques (le Border Agency's Iris Recognition Immigration System, réservé aux hommes d'affaires et aux professionnels en raison de son coût élevé³⁹¹).

Certes, la CNIL affirmait que « cette expérimentation a pour principale finalité d'améliorer les conditions du passage à la frontière et d'augmenter la fiabilité des contrôles que la France est tenue d'effectuer en vertu de ses engagements internationaux »³⁹², en l'espèce de la convention d'application de l'accord de Schengen (art. 1 du décret n°2005-556393). Toutefois, s'agissant de voyageurs fréquents, on doit mettre en avant le caractère commode du système qui permet principalement d'éviter les files d'attente en passant par un sas automatique: « En revanche, si le voyageur n'est pas reconnu à l'issue de trois tentatives, une porte latérale s'ouvre et le contrôle est réalisé par un agent de la police de l'air et des frontières. Enfin, si l'inscription du voyageur au fichier des personnes recherchées est intervenue depuis son inscription au programme, l'ouverture du sas nécessitera l'intervention d'un agent dûment informé de la situation. ^»394 Le directeur général adjoint en charge de l'exploitation, Pascal de Izaguirre, confirmait que « l'objectif majeur » était de « faire gagner du temps [aux] passagers tout en s'assurant de leur identité biométrique »395.

La Commission observait en 2005 que « s'agissant de la création de la base centrale envisagée (...) les précautions prises pour la première inscription d'un passager, pourvu qu'elles soient sûres et fiables, devraient rendre inutiles la constitution et la consultation de la base projetée, si celle-ci n'a comme objet que d'éviter une deuxième inscription sous un faux nom. »³⁹⁶ De plus, « la vérification de l'identité du passager pourrait être réalisée de façon tout aussi pertinente par une

391 Lodge, Juliet et Sprokkereef, Annemarie (2009), « Accountability and transparent e-security -- the case of British (in)security, borders, and biometrics », publié le 22 avril 2009 sur http://www.libertysecurity.org/article2488.html

392 Délib. n°2005-020 du 10 février 2005 (projet de décret en Conseil d'Etat ; expérimentation ayant pour objet d'améliorer, par comparaison d'empreintes digitales, les conditions et la fiabilité des contrôles effectués lors du passage de la frontière à l'aéroport Roissy-Charles-de-Gaulle)

393 Décret n° _2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy - Charles-de-Gaulle , JORF 28 mai 2005

394 Délib. n° 2006-065 du 16 mars 2006 (projet de décret modif. décret n° _2005-556 du 27 mai 2005) JO 25 mai 2006.

395 Delseny, Damien (2005), « Air France teste la biométrie sur ses passagers », Le Parisien, 3 juin 2005.

396 Délib. n°2005-020, art. cit.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 151

comparaison des empreintes digitales de la personne avec celles conservées dans une carte à puce détenue par l'intéressé, dès lors que cette carte serait infalsifiable. » Ces remarques sont réitérées un an plus tard, le gouvernement souhaitant prolonger l'expérimentation pour une durée de deux ans, ce que la CNIL a permis397.

Elle a aussi demandé en 2005 une modification de l'annexe du projet de décret « afin de pas permettre une possibilité de suivi des déplacements des intéressés »398. Elle n'émettait aucune remarque à propos de l'art. 6 du décret, qui prohibe toute interconnexion du fichier à l'exception des données provenant du rapprochement avec le fichier des personnes recherchées (vide, signalé, recherché).

En mai 2007, alors que le gouvernement souhaite généraliser ce système, renommé PARAFES, qui doit être utilisé par ioo 000 voyageurs fréquents, la CNIL remarque « qu'elle ne dispose toujours pas aujourd'hui d'une évaluation globale » du système^399. Elle constate que le système répond davantage à un objectif de confort:

« l'objectif principal est bien le passage plus rapide des frontières, sur la base du volontariat, pour "certains passagers qui ne présentent guère de risques du point de vue de la sécurité", comme l'indique le Rapport au Premier ministre qui accompagne le projet de décret, en vue d'un plus grand confort des voyageurs concernés, d'une meilleure image des aéroports et de l'attractivité de la France dans les relations d'affaires internationales. Il devrait en résulter aussi des gains de productivité pour la police aux frontières. »⁴⁰⁰

Elle relève en outre que le programme pourrait s'étendre à la totalité de la population:

« si l'adhésion au programme demeure volontaire comme dans la phase expérimentale, le champ d'application du dispositif pérennisé, et donc l'extension du traitement PARAFES, ne sont pas précisément définis par le projet de décret. Le traitement pourrait donc théoriquement s'ouvrir à la totalité des citoyens français, de l'Union européenne ou de certains autres Etats, à la seule condition qu'ils soient majeurs et détenteurs d'un passeport à bande de lecture optique,

397 Délib. n°2006-065, art. cit. ; décret n°2006-587 du 24 mai 2006 modifiant le décret n° ²005^-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy - Charles-de-Gaulle.

398 Ibid.

399 Délib. n°2007-094 du o3 mai 2007 (projet de décret portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la Convention signée à Schengen le 19 juin 1990.)

⁴⁰° Ibid.

Chapitre III:La CNIL, texte réglementaire et doctrine p. 152

alors que le ministère de l'intérieur prévoit un nombre de participants d'environ cent mille personnes, sans exposer les critères et les conditions pour adhérer à ce dispositif de passage rapide. »⁴⁰¹

De plus, elle relève que désormais, le fichier PARAFES est interconnecté avec non seulement le Fichier des personnes recherchées, mais aussi avec le SIS (système d'information Schengen). Reconnaissant la légitimité de cette interconnexion « dès lors qu'elle permet d'harmoniser les conditions de contrôle automatique des passagers empruntant le sas rapide avec celles du contrôle réglementaire classique opéré par les agents de la police de l'air et des frontières », elle préconise toutefois une modification du décret, afin que la seule interconnexion porte sur les données « connu, inconnu ou signalé ». Elle préconise aussi le non-enregistrement des données résultant de l'interrogation des bases FPR et SIS pour ce qui concerne les passagers connus ou signalés, ainsi que l'ajout d'une précision concernant la non-conservation des dates de passage⁴O²

Concernant les empreintes digitales, dont seulement deux d'entre elles étaient auparavant enregistrées, elle déclare que « l'enregistrement dans une base centrale des empreintes digitales de huit doigts apparaît (...) excessif », ne concordant pas non plus avec les dispositions de l'UE concernant les passeports biométriques.

Pris en Conseil d'Etat, conformément à la procédure prévue, le décret n°20071182 ignore largement les récriminations de la CNIL⁴°³. Le décret dispose que « les données alphanumériques du fichier PARAFES font l'objet d'une interconnexion avec le fichier des personnes recherchées et le système d'information Schengen », donnant un caractère tangible aux avertissements de la CNIL concernant l'usage des caractéristiques biométriques en tant qu'identifiants universels, similaires au NIR. Certes, les données provenant de l'interconnexion avec le FPR et le SIS ne sont pas conservées (annexe du décret). Toutefois, aucune précision concernant les dates de passage n'a été portée au décret, comme requis par la CNIL, bien que l'annexe ne

⁴O¹ Ibid.

⁴O² Ibid.

4°3 Décret n°2007-1182 du 3 août 2007 portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990 (JO, 7 août 2007.)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 153

mentionne pas l'enregistrement de ces données. Les huit empreintes digitales sont enregistrées sur le système central.

L'exemple de PEGASE-PARAFES est intéressant à plus d'un titre. D'abord, il indique une utilisation où la finalité de confort et celle de sécurité tendent à se confondre, ce qui permet aux différents groupes en présence de jouer sur cette ambiguïté. Ainsi, la CNIL tendait à admettre, lors de son premier avis, en 2005, qu'il y allait de la sécurité. Ce n'est qu'en 2007, à l'occasion de son troisième avis, qu'elle considère officiellement qu'il s'agit davantage d'accélération du passage aux frontières que de questions de sécurité. Le décret _n°2005-556 dispose quant à lui, pudiquement, que le « traitement a pour finalité l'amélioration des conditions du passage de la frontière et de la fiabilité des contrôles effectués conformément aux stipulations de la convention du 19 juin 1990 », tandis que le décret n°2007-1182 affirme comme finalité celle « d'améliorer le contrôle de la police aux frontières sur les voyageurs aériens et de faciliter un passage rapide des frontières extérieures des Etats parties à la convention du 19 juin 1990 ».

Cette ambiguïté permet ainsi à la CNIL d'avaliser l'enregistrement des empreintes digitales sur une base de données centrales, alors qu'en règle générale, et selon sa doctrine formulée, elle n'autorise cela qu'en cas de « fort impératif de sécurité », lequel n'est ici pas présent. En tout état de cause, le caractère facultatif et volontaire du programme contredit ces dits impératifs de sécurité. C'est plutôt du fait des contrôles de sécurité accrus suite au 11 septembre 2001, contrôle accru pour des raisons d'ordre public, que le « confort » des passagers s'est dégradé, ou du moins que le temps de passage aux frontières a été augmenté, conduisant certains passagers privilégiés à vouloir s'exempter des formalités ordinaires de contrôle via l'enrôlement biométrique. Les « vertus démocratiques » de la biométrie vantées par Safran Magazine, en charge de ce programme d'automatisation des frontières, se révèlent largement aristocratiques, étant réservées aux élites mondialisées. Du point de vue des forces de l'ordre elles-mêmes, l'avantage principal de ce type de dispositif n'est pas nécessairement la sécurité, mais peut-être davantage encore l'économie de personnel et de temps effectuée. Tout comme les dispositifs de reconnaissance biométrique dans les restaurants scolaires, la logique du management des flux est à l'oeuvre.

Chapitre III:La CNIL, texte réglementaire et doctrine

p. 154

Par ailleurs, l'évolution du programme PEGASE-PARAFES, qui progressivement

passe de l'enregistrement de deux à huit empreintes digitales, et qui inclut la consultation du SIS, conjointement avec la possibilité évoquée par la CNIL qu'il puisse être généralisé à l'ensemble de la population dotée d'un passeport « à bande de lecture optique », montre le caractère expérimental au sens propre du projet: testé sur un groupe de passagers fréquents et pressés, l'augmentation progressive de la quantité de personnes impliquées par le programme, parallèlement à l'instauration des visas biométriques et des passeports biométriques, permet sans doute de préparer le terrain à l'automatisation complète et générale des frontières. La « biométrie de confort » rejoint ici, non pas tellement les impératifs de sûreté, mais plutôt la politique générale de l'immigration et de l'asile, ou encore la « police à distance » théorisée par Didier Bigo et Elspeth Guild4°4.

Enfin, il vaut la peine de comparer l'attitude plutôt conciliante de la CNIL, malgré quelques conseils largement ignorés du gouvernement, concernant ce programme, avec celle de l'Autorité grecque de protection des données personnelles (HDPA, décision n°52/2003 du 5 novembre 2003), qui avait déjà affronté l'Eglise orthodoxe en supprimant, en 2000, la mention de la religion, ainsi que les empreintes digitales, sur les cartes d'identité⁴°⁵. Celle-ci, en effet, a refusé une expérimentation similaire à

4°4 Guild, Elspeth et Bigo, Didier (2003), « Le visa Schengen: expression d'une stratégie de « police » à distance », in Cultures & Conflits n°49 1/2003 pp. 22-37. L'illustration la plus frappante de cette « police » à distance est celle du caractère mouvant et différencié de la frontière qu'E. Guild a souligné lors de sa leçon inaugurale:

« For example, a Polish national driving in her car to Berlin will encounter the EU border for the first time at the physical edge of Germany. A US national arriving at Schipol airport directly by plane from New York will encounter the EU border first at check-in in New York when his passport is examined by the airline staff and security officers there for the purpose of controlling the EU border. He will then re-encounter the EU border when he must pass through immigration control at Schipol airport. A Moroccan national first encounters the EU border at the French consulate in Rabat when she seeks a visa. She will then re-encounter the border when she seeks to check in to catch her flight to Paris. She will again find the border when she arrives at Roissy Charles de Gaulle airport and passes through immigration control. So it is the individual who finds the border by virtue of his or her intentions and action relating to movement. But what is the border he or she activates ?

Dutch law provides at Article 109(4) Aliens Act 2000 that the borders of the Netherlands for the admission of aliens is to be found at the edge of the frontiers of all the Schengen states. Thus Germany, France, Italy, etc., are part of Dutch sovereignty for the purpose of the borders for persons. Further, Article 109(5) goes on to provide that "national security" of the Netherlands for these purposes means the national security of all the Schengen states. Returning then to the Weberian definition of the state, the enforcement of order over a defined territory no longer applies to the Member States as regards movement of persons. Access to the territory is controlled by a network of bureaucracies acting in accordance with the principle of cross recognition of their decisions », leçon inaugurale « Moving the Borders of Europe », cité dans l'article précité. 4°5 HDPA, décision n°510/17 du ₁₅ mai 2000 (sur la carte d'identité nationale)

Chapitre III:La CNIL, texte réglementaire et doctrine p. 155

l'aéroport international d'Athènes, où les données biométriques (iris et empreintes digitales) n'étaient pas stockées sur support central, mais sur une carte à puce. Le système visait à vérifier que la personne (volontaire au programme) s'étant enregistrée pour un vol était bien la même que celle qui montait dans l'avion (« check-in » et « boarding »). Selon l'Autorité grecque, le consentement de la personne n'autorise en aucun cas des traitements de donnée contraire aux principes de finalité et de nécessité. Ce principe avait déjà affirmé dans la décision _n°245/9 du 20 mars 2003 concernant le contrôle d'accès dans l'entreprise (cf. infra). Mais surtout, l'Autorité grecque a une compréhension du principe de proportionnalité, de nécessité et de finalité beaucoup plus stricte que la CNIL: en effet, elle a considéré que les moyens déjà en vigueur pour vérifier l'identité des passagers, à savoir le fait de présenter une carte d'identité en même temps que le billet d'avion et que la carte d'embarquement, suffisait à la finalité poursuivie, et que donc le procédé biométrique n'était pas proportionné à la finalité recherchée. Elle remarquait enfin que la méthode proposée par cette expérimentation servait davantage à faciliter la gestion des flux par les compagnies d'aviation qu'à remplir des conditions de sécurité. Pour ces raisons, le programme n'a pas reçu l'accord de l'Autorité grecque.