Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 222

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 223

1. Les traitements de souveraineté et les traitements policiers et judiciaires

A. EN FRANCE : UN CONTRÔLE AMOINDRI APRÈS 2004

Si le contrôle de la CNIL en matière de biométrie a augmenté vis-à-vis du secteur privé après la réforme de 2004, il a au contraire diminué en ce qui concerne les traitements dits « de souveraineté », concernant la sûreté de l'Etat, la défense et la sécurité publique. Ayant été exclus de la directive 95/46/CE (13^e considérant et art. 3), ces traitements relevaient exclusivement de la législation nationale, du moins jusqu'à la décision-cadre du Conseil européen de novembre 2008 « relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale »582.

Tout comme ceux concernant les infractions, condamnations et mesures de sûreté, les traitements de souveraineté sont mis en oeuvre après autorisation par arrêté du ou des ministre(s) compétent(s), qui ne peut avoir lieu qu'après avis motivé et public de la CNIL (L. 1978, art. 26, I). Toutefois, cet avis n'a de valeur que politique; le ministre peut autoriser le traitement par arrêté même en cas d'avis négatif. Cela a été entériné par le Conseil constitutionne1⁸⁸³. Le gouvernement a par exemple usé de ce pouvoir de passer outre l'avis de la CNIL pour le traitement TES des passeports⁵⁸ . Auparavant, les fichiers de police étaient assujettis à l'autorisation préalable de la CNIL, le gouvernement ne pouvant passer outre que par un décret pris en Conseil d'Etat, procédure qu'il n'a jamais utilisée (art. 15 de la loi n°78-17).

Si ce type de traitement comporte des « données sensibles », définies à l'art. 8, il doit faire l'objet d'une autorisation par décret pris en Conseil d'Etat, avec avis (positif

^5$2 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, Journal officiel n° L 3,5o du 30/12/2008 p. 0060 -- 0071.

Le Conseil de l'Europe avait toutefois définit quelques principes en 1987, par la recommandation (87) 15 du Comité des ministres aux Etats membres visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, adoptée le 17 septembre 1987.

⁵⁸³ Décision _n°2004-499 DC du 29 juillet 2004.

⁵⁸⁴ Cf. infra, chap. V sur les documents de voyage.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 224

ou négatif) de la CNIL (art. 26, II). Dans la mesure où les données sensibles incluent « les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (art. 8), les systèmes de traitement de données génétiques en font partie. Toutefois, l'avis du Conseil d'Etat n'est pas non plus juridiquement contraignant.

On pourrait légitimement s'interroger sur la nécessité d'inclure d'autres dispositifs biométriques parmi ces « données sensibles », tels que ceux opérant à l'aide de techniques de reconnaissance faciale, dont on pourrait argumenter qu'ils permettent de faire apparaître les « origines raciales ou ethniques » (la couleur de la peau) voire d'autres informations (s'ils sont utilisés, par exemple, dans le cadre de manifestations). La CNIL n'ignore pas tout à fait cet aspect⁵⁸⁵, bien qu'elle n'ait pas, à ce jour, officiellement inclus les photographies parmi les données sensibles. Selon IRIS et la Ligue des droits de l'homme, les photographies devraient pourtant être considérées comme des données sensibles, puisqu'elles font apparaître la couleur de la peau⁵⁸⁶. De même, les empreintes digitales pourraient aussi être considérées comme délivrant des informations de santé. Toutefois, jusqu'à présent, seules les données génétiques sont considérées comme formant des « données sensibles ».

La loi de 1978 prévoyait par ailleurs la possibilité, après promulgation d'un décret en Conseil d'Etat, d'une dispense de publication des « actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique »⁵⁸⁷, disposition étendue en 2004 aux fichiers « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté. ^»588 Le cas échéant,

⁵⁸⁵ « Il doit toutefois être relevé que le développement de la photographie numérique facilite de fait tout type de traitement possible de données sur les apparences physiques des personnes » (Debet, Anne (2007), « Mesure de la diversité et protection des données personnelles », rapport de la CNIL, 15 mai 2007, p.10)

⁵⁸⁶ IRIS et LDH, requête en annulation devant le Conseil d'Etat contre le décret n°2008-426 du 30 avril 2008 relatif aux passeports.

587 Art. 20 de la loi de 1978.

⁵⁸⁸ Art. 26 de la loi modifiée en 2004 de 1978. L'art. 13 de la loi n°2006-64 « relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers » modifie en outre l'article 3o de la loi n° 78-17 , qui concernent les informations adressées à la CNIL, en ajoutant l'alinéa suivant :

« Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 225

seul « le sens de l'avis émis » par la CNIL est publié⁵⁸⁹. Ces traitements de données peuvent aussi faire l'objet d'une autorisation unique. De fait, cette dispense de publication n'a été mise en oeuvre, jusqu'à présent, que pour les fichiers de la DST, de la DGSE, de la DRM et de la DPSD⁵⁹°. Les RG n'en ont pas été exempté, et suite à la réforme des services de renseignement, aboutissant à la fusion des RG et de la DST au sein de la DCRI (Direction centrale du renseignement intérieur⁵⁹¹), la CNIL a eu à examiner deux projets de décrets, visant à créer les fichiers EDVIGE et CRISTINA, qui ont suscité un large débat public. Nonobstant les autres dispositions prévues par ces projets de décrets, la CNIL a d'abord pris acte que ces fichiers bénéficiaient d'une dispense de publication de l'acte réglementaire les instaurant, mais que « le ministère de l'intérieur [s'était] toutefois engagé à publier l'acte réglementaire considéré et à autoriser le contrôle du traitement »⁵⁹². Elle a ensuite pris acte qu'une simple photographie, non numérisée, était enregistrée, ainsi que de la modification du projet de décret afin de préciser qu'aucun dispositif de reconnaissance faciale ne serait mis en oeuvre^593. Le gouvernement a ensuite publié le ier juillet 2008 deux décrets modifiant le décret n°91-1051 relatif aux fichiers des renseignements généraux et établissant le fichier EDVIGE⁵⁹⁴, qui précisaient que le « traitement ne [comportait] pas de dispositif de reconnaissance faciale à partir de la photographie »595, conformément aux recommandations de la CNIL, tandis qu'il dispensait de publication le décret instaurant CRISTINA. Toutefois, suite au tollé suscité par ce

décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum. »

⁵⁸⁹ Ibid. et art. 83 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°78-17. 59° C'est le cas notamment du traitement automatisé d'informations nominatives de personnes étrangères mis en oeuvre par la DRM (direction du renseignement militaire). Cf. décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 3o de la loi n° _78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui abroge le décret précédent n° 86-326 .

591 Décret n° 2008-609 du 27 juin 2008 (relatif aux missions de la DCRI)

592 Délib. n° 2008-175 du 16 juin 2008 (projet de décret portant modif. du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des RG et du décret n° 2007-914)

593 Délib. n° 2008-174 du 16 juin 2008 (projet de décret en Conseil d'Etat ; EDVIGE) publié au JO le ler juillet 2008.

594 Décret n° 2008-631 du 27 juin 2008, qui dispose notamment que « le décret n°91-1051 du 14 octobre 1991 susvisé est abrogé à la date du 31 décembre 2009. »;

décret n° 2008-632 du 27 juin 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé « EDVIGE »

595 Art. 2 du décret n°2008-623.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 226

fichier ⁵⁹⁶, le décret établissant EDVIGE a été retiré le 19 novembre 2008⁵⁹⁷. D'autre part, le collectif « non à EDVIGE » a déposé le 29 juillet 2008 un recours contre le décret non publié instaurant EDVIGE, au motif qu'il ne serait pas conforme à l'avis du Conseil d'Etat concernant le projet de décret, avis nécessaire dans la mesure où il s'agit de « données sensibles ». La Cour a ordonné le 31 juillet 2009 que le décret lui soit communiqué afin qu'elle puisse se prononcer sur le fond⁵⁹⁸.

Pour ces raisons, il est difficile d'apprécier de façon directe l'attitude de la CNIL à l'égard d'un usage éventuel et spécifique des technologies biométriques par les services de renseignement. Toutefois, il est possible d'apprécier cet usage au regard des autorisations concernant d'autres systèmes de traitement de données biométriques, notamment les fichiers policiers et judiciaire (L.1978, art. 26, I-2°). Traitements sensibles, ceux-là requièrent l'autorisation publique de la CNIL et doivent être établis par décret en Conseil d'Etat (L.1978, art. 26, II). Cette catégorie inclut notamment le FNAED (Fichier national automatisé des empreintes digitales, qui enregistre aussi les empreintes palmaires)^599, mis en oeuvre par la direction centrale de la police judiciaire; le FNAEG (Fichier national automatisé des empreintes génétiques), régulé par les articles 706-54 et suivants du Code pénal; et le SIS (système d'information Schengen), qui comporte notamment photographies et empreintes digitales. A ces fichiers, il faut ajouter ceux concernant les étrangers.

596 La Ligue des droits de l'homme s'indigne alors d'un fichier mélangeant « les personnes considérées comme « susceptibles de porter atteinte à l'ordre public » avec les militants associatifs, syndicaux ou politiques et en général tout citoyen sur lequel le pouvoir souhaite en savoir davantage » (J.-C. Vitran, « Surveiller les citoyens, partout et toujours », Une société de surveillance? L'état des droits de l'homme en France, édition 2009, p.32.) Un collectif « Non à Edvige » s'était constitué, rassemblant 250 000 signatures en près de deux mois, tandis que 13 organisations membres du collectif, dont la LDH, déposaient le 2 septembre 2008 un recours devant le Conseil d'Etat contre le décret n°2008-63.

597 Décret n° 2008-1199 du 19 novembre 2008 portant retrait du décret n° 2008-632 du 27 juin 2008 . Un projet de décret EDVIRSP devait toutefois le remplacer, tandis que le fichier CRISTINA devait bénéficier de la dérogation en matière de publication d'acte réglementaire.

598 CE (section du contentieux), 31 juillet 2009, n°320196 (décision devant être publiée au recueil Lebon).

599 Régi par le décret n°87-249 du 8 avril 1987.

B. LA COOPÉRATION POLICIÈRE ET JUDICIAIRE DANS L^OUE ET LE

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 227

« PRINCIPE DE DISPONIBILITÉ »

Au niveau communautaire, les fichiers relatifs à la prévention ou la répression des infractions pénales concernent le 3e pilier de l'UE, dit de la « coopération policière et judiciaire en matière pénale » (titre VI du traité CE, ou traité instituant la Communauté européenne), qui fonctionne selon un modèle à dominante intergouvernementale et qui ne relève pas de la directive _95/46/CE, ni de l'art. 16 du traité de fonctionnement de l'UE (qui, établi par le traité de Lisbonne, institue une base juridique unique concernant le « droit à la protection des données personnelles »). Jusqu'à 2008, ils ne relevaient ainsi que de la Convention n°108: aucune harmonisation réelle de la protection des données personnelles dans ce secteur n'avait donc été mise en oeuvre. Cela posait problème concernant l'échange des données, les autorités y ayant un accès différent selon les pays⁶o° Ainsi, la politique européenne concernant les fichiers relatifs aux infractions pénales, y compris les systèmes d'information biométriques, a d'abord favorisé l'échange des données avant de mettre en oeuvre un cadre juridique entourant leur protection: le traité de Prüm (2005) instaurant l'obligation d'établir des bases de données ADN et dactyloscopiques à des fins pénales a ainsi été intégré au cadre juridique européen en juin 2008, la décision-cadre relative à la protection des données personnelles dans le cadre du 3^e pilier n'ayant été promulguée qu'en novembre 2008.

Comme le rappelle le CEPD, dans le cadre du 3e pilier, « l'intervention du législateur européen est subordonnée à des limitations clairement définies: limitation des compétences législatives de l'Union aux domaines visés aux articles 3o et 31; limitations concernant la procédure législative, à laquelle le Parlement européen ne participe pas pleinement; limitations en termes de contrôle juridictionnel puisque, en vertu de l'article 35 du TUE, les compétences de la Cour européenne de justice sont

⁶O⁰ Didier Bigo notait ainsi qu' « en Allemagne (...) les services de renseignement interne ont le droit d'alimenter en données le système d'information Schengen. Aux Pays-Bas, un certain nombre de services de renseignement font appel aux services de police pour obtenir leurs informations. » (Bigo, D., audition devant la CNIL, 11 mars 2005).

limitées »⁶°¹ Alors que le premier pilier est régulé par des règlements (titre IV du traité CE), le 3^e pilier fait l'objet de décisions du Conseil.

Or, le 3^e pilier intéresse directement la biométrie, puisqu'on trouve dans son cadre les fichiers dactyloscopiques ainsi que les bases de données ADN utilisées dans le cadre d'enquêtes judiciaires et de la coopération des services de police. Le hiatus entre la protection apportée par le droit français à ces fichiers et l'absence de régulation au niveau communautaire était préoccupant dans la mesure où l'échange des données stockées dans des bases nationales était déjà prévu, tandis que des bases, des systèmes ou des réseaux européens d'information étaient construits (Eurodac, SIS II, utilisé pour signaler les personnes non-admises ou interdites du territoire, VIS ou système d'information sur les visas). En ce qui concerne la France, celle-ci autorise l'échange de ces données lorsque l'Etat tiers dispose de « garanties équivalentes » concernant leur protection (art. 24 de la loi de 2003 sur la sécurité intérieure, appliqué par ex. au FNAED).

S'agissant des bases de données ADN constituées à des fins de procédure pénale, le Conseil de l'UE demandait depuis 1997 aux Etats de veiller à leur « compatibilité », envisageant en tant que seconde étape la « création d'une base de données ADN européenne »⁶o³. Ces dispositions ont été reprises en 2001, le Conseil établissant une liste des marqueurs ADN à utiliser à des fins d'interopérabilité des systèmes; prenant en compte les possibilités d'évolution du savoir et des techniques, et donc le caractère temporaire de la notion d'ADN « non codant », il recommandait toutefois « aux États

6°1 CEPD (2005), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) ₄₇₅ final), publié au JOUE le 25 février 2006

6°2 CNIL (2001), 21^e rapport d'activité 2000, p.12

⁶o³ Résolution du Conseil du 9 juin 1997 relative à l'échange des résultats des analyses d'ADN (97/C ¹93/⁰²)

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.

228

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 229

membres d'être prêts à détruire les résultats d'analyses d'ADN qu'ils ont reçus, s'il s'avère que ces résultats comportent des informations sur des caractéristiques héréditaires spécifiques. »⁶o4

Par ailleurs, la Commission européenne poussait depuis 2005 à l'interopérabilité des différentes bases de données de ce secteur, ce qui permettrait l'interconnexion de ces systèmes de traitement, même si celle-ci ne se fait qu'à titre temporaire et momentané (consultations croisées)⁶o⁵. La Commission indiquait alors que les autorités chargées de la sécurité intérieure pourraient avoir accès, dans le futur, à EURODAC: quatre ans plus tard, elle propose en effet une modification du règlement EURODAC visant à permettre celui-ci⁶°⁶. Elle préconisait à cet égard l'utilisation des caractéristiques biométriques en tant que « clé primaire » autour desquelles seraient organisées les données: l'identifiant biométrique est alors utilisé comme « identifiant universel », selon la terminologie de la CNIL utilisée à propos du NIR. A ce sujet, le CEPD, qui déplore que le concept d'interopérabilité ne soit considéré par la Commission que sous l'angle technique, et non juridique ou politique, remarque que « les données biométriques, qui sont basées sur des probabilités, ne peuvent fournir la clé exempte de toute ambiguïté qui, par définition, est requise pour les clés primaires des bases de données », ce qui peut entraîner une « violation du principe de la qualité des données »⁶°⁷

La formalisation du principe de disponibilité en 2005

L'échange des données au sein de l'UE a été formalisé par le « principe de disponibilité », défini dans le programme de La Haye en tant que possibilité pour « les services répressifs d'un État membre qui a besoins de certaines informations (préalablement à l'engagement d'une poursuite) dans l'exercice de ses fonctions de les obtenir d'un autre État membre qui les détient, en mettant ces informations à sa

⁶o⁴ Résolution du Conseil du 25 juin 2001 relative à l'échange des résultats des analyses d'ADN (2001/C 187/01)

⁶ô⁵ Communication de la Commission du 24 novembre 2005 sur « le renforcement de l'efficacité et de l'interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergie entre ces bases ».

606 Cf. infra.

6°7 CEPD (2006), « Observations relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes »,10 mars 2006.

disposition »⁶⁰⁸. Celui-ci conduit donc à étendre l'accès aux données biométriques détenues par un Etat membre à tous les Etats membres de l'UE, ainsi qu'à Europol, tout en évitant la constitution d'une base centrale. Formulé dans la « proposition de décision-cadre du Conseil du 12 octobre 2005 relative à l'échange d'informations en vertu du principe de disponibilité », le principe de disponibilité va bien au-delà de la convention d'application de l'accord de Schengen, dont l'art. 39 prévoyait la possibilité d'échange d'information sans rendre celui-ci obligatoire. L'annexe II de la proposition détaille les informations qui peuvent être échangées, lesquelles incluent notamment les « profils ADN, c'est-à-dire les codes alphanumériques composés à partir des sept marqueurs d'ADN de l'ensemble européen de référence (European Standard Set) définis dans la résolution du Conseil 2001/C 187/01 du 25 juin 2001 relative à l'échange des résultats des analyses d'ADN. Ces marqueurs ne peuvent contenir aucune information sur des caractéristiques héréditaires spécifiques »; les « empreintes digitales » et les « données minimums en vue de l'identification des personnes figurant dans les registres de l'état civil. »⁶⁰⁹ Il est heureux que la proposition de décision-cadre n'instaure « aucune obligation de recueillir les informations en recourant à des mesures coercitives ».

L'intégration du traité de Prüm au cadre juridique de l'UE: l'échange des données dactyloscopiques et des profils ADN

Par contraste, le traité de Prüm (2005), signé par sept Etats membres (dont la France), et prévoyant l'échange des données dactyloscopiques et des profils ADN, impose l'obligation de constituer de telles bases de données. Cela a d'ailleurs été critiqué par le CEPD, de même que le processus d'adoption du traité lui-même, exercé en-dehors du cadre institutionnel de l'UE61°.

6°8 « Le principe de disponibilité », synthèses de la législation de l'UE sur

http://europa.eu/legislation summaries/justice freedom security/police customs cooperation/133 257 fr.htm ; CNIL (2006), « Echange d'informations selon le principe de disponibilité: une approche nouvelle de la coopération entre services répressifs en Europe », fiche de synthèse du ier août 2006: http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Principe de disponibili te.pdf

⁶⁰⁹ Proposition de décision-cadre du Conseil du 12 octobre 2005 relative à l'échange d'informations en vertu du principe de disponibilité (/* COM/2005/0490 final - CNS 2005/0207 */): http://eur-lex.europa.eu/smartapi/cgi/sga doc?smartapi!celexplus!prod!

DocNumber&lg=fr&type doc=COMfinal&an doc=2005&nu doc=490

61° CEPD (2006), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité (COM (2005) ₄₉₀ final) (§48 et 61).

230

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 231

Le traité de Prüm a été intégré en juin 2008 au cadre juridique de l'UE par la décision 2008/615/JAI du Conseil, qui équilibre le principe de disponibilité avec un « principe de responsabilité », qui concerne l'exactitude et la sécurité des données échangées⁶¹¹ Cette décision institutionnalise donc la standardisation et l'échange des données ADN et dactyloscopiques (empreintes digitales et palmaires) au sein de l'UE, via la constitution d'un « réseau des bases de données nationales des États membres » (cons. 13), les Etats étant appelés à constituer ces bases ADN et dactyloscopiques aux fins des enquêtes relatives aux infractions pénales (art. 2 et 9). Les profils ADN et les données dactyloscopiques correspondent aux standards européens ainsi qu'aux normes utilisées par Interpol. Ces données sont échangées au travers du réseau de communication « Services télématiques transeuropéens sécurisés entre administrations (TESTA II) _»612
_·

Les garanties concernant la protection des données personnelles (chap. VI), mis à part les principes généraux habituels (principe de finalité, d'exactitude, conservation des données, droit d'accès, sécurité des données, etc.), consistent essentiellement en une comparaison « anonyme » et transnationale des profils ADN et dactyloscopiques (entre celui recueilli lors d'une enquête et ceux qui sont enregistrés), les données personnelles permettant de rattacher les profils à un individu déterminé n'étant transmises que s'il y a concordance entre les profils comparés, et conformément au droit national de l'Etat membre requis (art. 2-5 et art. 8 sq.). La décision prévoit par ailleurs l'échange des données concernant l'immatriculation des véhicules (art. 12), ainsi que des données personnelles « aux fins de la prévention des infractions pénales et du maintien de l'ordre et de la sécurité publics lors de manifestations majeures à dimension transfrontalière, notamment dans le domaine sportif ou en rapport avec des réunions du Conseil européen » (art. 13) et à des fins d'anti-terrorisme (art. 16).

611 Décision 2oo8/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière et décision 2oo8/616/JAI du Conseil du 23 juin 2008 concernant la mise en oeuvre de la décision 2oo8/615/JAI, publiées au JOUE le 6 août 2008.

612 Décision 2oo8/616/JAI précitée.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 232

La décision-cadre de novembre 2008 sur la protection des données dans le cadre du 3e pilier

En raison de l'institutionnalisation de ce « principe de disponibilité », le Conseil européen a ressenti la nécessité de préparer une décision-cadre sur la protection des données personnelles dans le domaine de la coopération policière et judiciaire, afin d'harmoniser la législation dans ce domaine et d'assurer le respect des droits énoncés dans la Charte européenne des droits de l'homme (art. 7 et 8 sur la vie privée et les données personnelles). La protection des données utilisées et conservées par Europol est quant à elle assurée par une autorité de contrôle ad hoc, prévue par la Convention de ₁₉₉₅ sur Europol. La proposition du Conseil de décision-cadre concernant la protection des données personnelles d'octobre 2005₅⁶~³ était donc censée répondre à cette exigence, et prévoyait en outre de restreindre le transfert à des pays tiers et aux instances internationales des données personnelles à la condition que ces derniers puissent garantir un niveau adéquat de protection. L'article 1.2 fixe explicitement son objectif:

« Les États membres veillent à ce que la divulgation de données à caractère personnel aux autorités compétentes des autres États membres ne soit ni restreinte, ni interdite pour des motifs liés à la protection des données à caractère personnel telle que prévue par la présente décision-cadre. »

Ces éléments de garantie et de protection vont donc de pair avec un « marché » mondial des données personnelles, du moins entre les « nations civilisées » qui accordent un niveau de protection suffisant. Ceci n'est bien entendu pas sans poser de problèmes, quoique cela permette aussi d'influencer les Etats tiers, en premier lieu desquels les Etats-Unis⁶¹⁴, afin qu'ils implémentent des dispositions davantage protectrices s'ils veulent pouvoir bénéficier des données traitées dans l'UE.

Cette proposition du Conseil, qui institue un nouveau groupe de contrôle (art. 31 sq.), a été soumise à l'avis du CEPD (Contrôleur européen de la protection des

613 Proposition du Conseil de décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, COM(2005) ₄₇₅ final : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005: o475:FIN:FR:PDF

614 Voir par ex. CEPD (2008), Avis du ii novembre 2008 concernant le rapport final du Groupe de contact à haut niveau UE/Etats-Unis sur le partage d'informations et la protection de la vie privée et des données à caractère personnel, JO C 128, 06.06.2009, p. 1

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 233

données) en décembre 2005, avis qui n'a été publié qu'en février 2006⁶¹⁵. Le CEPD insistait d'abord sur le fait qu'un tel instrument de protection des données est nécessaire, indépendamment du fait de la mise en oeuvre du « principe de disponibilité » (§ 14). Il réitère aussi la nécessité de distinguer plus précisément entre les « différentes catégories de personnes » (suspects, condamnés, témoins, victimes, etc.), en demandant qu'une « attention particulière soit accordée aux données relatives aux personnes non suspectes » (§89) en renforçant les garanties à leur sujet, ainsi d'ailleurs qu'en ce qui concerne les personnes condamnées, dont l'échange des casiers judiciaires est prévu⁶¹⁶ (§91).

La Conférence des autorités européennes de protection des données a aussi publié un avis critique⁶¹⁷ sur le sujet, proposant plusieurs modifications, à commencer par celles du préambule, où l'expression « citoyen européen » doit être remplacée par « quiconque » (everyone), la protection des données personnelles étant « le droit de tout être humain », et qui devrait inclure une section au sujet des données biométriques. Elle affirme aussi que les dispositions de l'art. 1.2 concernant l'échange des données n'a de sens que s'il y a harmonisation complète des règles de protection dans l'UE.

La décision-cadre visant à l'harmonisation de la protection des données dans ce secteur a finalement été adoptée le 27 novembre 2008^618, formulant les principes

615 CEPD (2005), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) ₄₇₅ final), publié au JOUE le 25 février 2006:

http://www.edps.europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opini ons/2oo5/05-12-19 data protection FR.pdf . Voir aussi :

- CNIL (2008), « Coopération policière européenne et internationale : quelle protection pour les nombreux échanges de données personnelles ? », 25 juin 2008: http://www.cnil.fr/la-cnil/actu-cnil/article/article/91/cooperation-policiers-europeenne-et-internationale-quelle-protection-pour-les-nombreux-echange/

- CNIL (2006), « Un enjeu majeur : le projet de décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale », 16 août 2006: http://www.cnil.fr/dossiers/police justice/actualites/browse/5/article/551/un-enjeu-majeur-le-projet-de-decision-cadre-relative-a-la-protection-des-donnees-a-caractere/

616 Décision 2005/876/JAI du Conseil relative à l'échange d'informations extraites du casier judiciaire, en vigueur depuis le 9 décembre 2005, et décision-cadre 2009/315/JAI du Conseil du 26 février 2009

617 Conférence des autorités européennes de protection des données (2006), «Avis sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale », 24 janvier 2006: http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Avis decision cadre E N.pdf

618 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale,

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 234

généraux de protection des données⁶~⁹ (licéité, proportionnalité, finalité, exactitude, protection des données sensibles, information, droit d'accès, droit à réparation...). Celle-ci laisse ouverte la possibilité de « traitement ultérieur » des données à « fins historiques, statistiques ou scientifiques » (cons. 6 et 13). Elle vise aussi à harmoniser les conditions de transmission des données à des entités privées (banques, sociétés d'assurances, etc.) (cons. 17) et prévoit la possibilité de transférer les données à des Etats tiers ou à des organisations internationales (cons. 22-25). La décision-cadre prévoit la consultation des autorités nationales de protection des données s'agissant des fichiers présentant des risques particuliers, autorités qui devraient être dotées de « pouvoirs d'investigation et d'intervention » suffisants (cons. 3^2-35).

Journal officiel n° L 350 du 30/12/2008 p. oo6o - 0071

619 L'art. 7 n'écarte pas complètement les « décisions individuelles automatisées », mais ne les permet que si « que si la sauvegarde des intérêts légitimes de la personne concernée est assurée par la loi », reprenant ainsi la dérogation permise par l'art. ₁₅ de la directive 95/46/CE

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 235