Des identités de papier à  l'identité biométrique

2.Passeports biométriques et automatisation du contrôle aux frontières

L'instauration des passeports biométriques dans l'UE, ou plutôt dans les Etats parties prenantes de part entière aux accords de Schengen (l'Irlande et le Royaume-Uni sont notamment exclus de ces règlements, mais ils mettent en place des dispositions similaires de leur côté)⁶²⁰, s'est faite en deux temps: en premier lieu, le règlement n°2252/2004, amendé par le règlement _n°444/2009, a imposé aux Etats membres la délivrance, à partir de 2006, de passeports dotés de photographie numérique, en se conformant aux standards de l'OACI (doc. 9303). En un second temps, la décision C (2006) 2909 de la Commission a imposé l'ajout des empreintes digitales sur ces passeports, effective à partir du 28 juin 2009. Ce dispositif est appelé à être couplé à une procédure d'automatisation du contrôle aux frontières, notamment par l'instauration de dispositifs biométriques de contrôle d'accès (sur le modèle du système RAPID de reconnaissance faciale, utilisé à l'aéroport de Lisbonne et d'Helsinki^621). Pour l'instant, ces dispositifs sont volontaires, ce qui pourrait changer à terme, lorsque l'ensemble de la population sera équipée de passeports biométriques^622. Ce contrôle automatisé aux frontières est destiné à compenser l'alourdissement des contrôles pour certaines catégories de personne; il pourrait être étendu aux « voyageurs de bonne foi », ou « voyageurs enregistrés », ressortissants d'Etat tiers, soumis ou non à l'obligation de visa ⁶²³.

62° Selon la décision C (2006) 2009 de la Commission, ces Etats incluent: la Belgique, la République tchèque, l'Allemagne, l'Autriche, l'Estonie, la Lettonie et la Lituanie, la Grèce, l'Espagne, la France, l'Italie, Chypre et Malte, le Luxembourg, la Hongrie, les Pays-Bas, la Pologne, le Portugal, la Slovénie, la Slovaquie, la Finlande et la Suède.

621 Percept, Adeline (2008), « Passeports : le système Rapid des Portugais », France 24, 14 juillet 2008. Voir la communication de la Commission européenne COM (2008) 69 final: « Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne », 13 février 2008 (p.7-8).

622 COM (2008) 69 final, op. cit.

623 Ibid.

A. RÈGLEMENTS SUR LES PASSEPORTS ET DOCUMENTS DE VOYAGE

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 236

Le règlement n°2252/2004 « se limite à l'harmonisation des éléments de sécurité, y compris les identificateurs biométriques, des passeports et des documents de voyage délivrés par les Etats membres »⁶²⁴. Développant les acquis de Schengen⁶~⁵, ce règlement traite donc essentiellement de la biométrie, en s'appuyant sur les standards de l'OACI (doc. 9303)⁶²⁶

Les dispositions principales du règlement, qui possède une force juridique contraignante à l'égard des Etats parties de l'accord de Schengen, et qui se place sous l'égide de la directive _95/46/CE627, sont les suivantes:

imposition d'un support de stockage sur les passeports et documents de voyage comportant une photo faciale, ainsi que des empreintes digitales enregistrées [l'annexe de la décision C (2006) 2909 précise qu'il s'agit de l'image des empreintes de deux doigts, normalement celles des index], dans des formats interopérables (art. 1, §2)

les porteurs ont un «droit de vérifier les données à caractère personnel inscrites (...) et, le cas échéant, de les faire rectifier ou supprimer » (art. 4, §1)

« Aux fms du présent règlement, les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier:

-- a) l'authenticité du document;

624 Considérant 4, exposé des motifs du règlement (CE) n°2252/2004.

625 Le traité d'Amsterdam a intégré la convention d'application des accords de Schengen, initialement passés en 1985 entre le Benelux, la France et l'Allemagne, au droit communautaire. L'espace Schengen inclut donc, aujourd'hui, tous les Etats membres de l'UE, à l'exception du Royaume-Uni et de l'Irlande (liés entre eux par un accord bilatéral spécifique), la Suisse, la Norvège et l'Islande. Les pays des Balkans occidentaux devraient prochainement intégrer l'espace Schengen, la Commission européenne ayant récemment fait une proposition en ce sens pour la Macédoine, le Monténégro et la Serbie, qui ont mis en place des passeports biométriques, n'excluant pas une proposition similaire, d'ici à la mi-2010, pour l'Albanie et la Bosnie-et-Herzégovine (« La Commission propose un régime de déplacement sans obligation de visa pour les citoyens des pays des Balkans occidentaux », IP/o9/1138, Bruxelles, le 15 juillet 2009, communiqué publié sur http://europa.eu/rapid/pressReleasesAction.do? reference=IP/o9/1138&format=HTML&aged=o&langage=FR&guiLangage=fr ).

626 Cons. 3 de l'exposé des motifs, ibid.

627 Cons. 8 de l'exposé des motifs, ibid.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 237

-- b) l'identité du titulaire grâce à des éléments comparables directement disponibles lorsque la

loi exige la production du passeport ou d'autres documents de voyage. » (art. 4, §3).

En d'autres termes, ce règlement donne à la biométrisation des documents de voyage une fonction de vérification (comparaison « un-à-un »), et non d'identification (comparaison « un-à-plusieurs »). Dans cette mesure, les données biométriques conçues n'ont besoin que d'être stockées sur support individuel (puce sans contact), et non sur une base de données centrales. Il exclut en particulier les « cartes d'identité » ainsi que les « passeports » ou « documents de voyage temporaires ayant une validité inférieure ou égale à douze mois ». Dans la mesure où les cartes d'identité sont reconnues par l'Accord européen sur le régime de la circulation des personnes entre les pays membres du Conseil de l'Europe (1957) ainsi que par les accords de Schengen en tant que documents de voyage, ces accord limitent pour l'instant la portée effective de ce règlement, bien que l'accord du Conseil de l'Europe soit sujet à de nombreuses restrictions (par exemple en ce qui concerne les ressortissants turcs, soumis à des obligations de visas⁶²⁸ ; à l'inverse, les Français peuvent aller en Turquie avec une simple carte d'identité). De plus, la directive 2OO4/38/CE « relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres » met sur le même plan passeport et carte d'identité pour ce qui concerne la libre-circulation et le droit au séjour (d'une durée inférieure à trois mois) à l'intérieur des Etats de l'UE. En d'autres termes, seuls les citoyens de l'UE souhaitant se rendre dans des pays n'étant ni membres de l'UE, ni contractants des accords Schengen, ni membres du Conseil de l'Europe (ou imposant des restrictions à l'accord de ¹957), doivent nécessairement se doter d'un passeport, ainsi que ceux qui souhaitent obtenir une carte de séjour, lorsqu'ils dépassent une durée de séjour de trois mois, dans un autre Etat de l'UE que le leur (art. 14).

Le règlement n°2225/2004 sur les passeports a été amendé cinq ans plus tard, via le règlement _n°444/2009, adopté le 28 mai 2009. Aboutissement d'une proposition

628 Cf. l'arrêt Soysal de la CJCE du 19 février 2009; Observatoire de la vie politique turque: « L'arrêt Soysal: un pas vers la libre circulation des ressortissants turcs dans l'Union européenne? », 21-04-09

soumise par la Commission européenne le 18 octobre 2007⁶~⁹, ce nouveau règlement précise notamment que les enfants de moins de douze ans sont exemptés de la prise d'empreintes, celles-ci n'étant pas stables à cet âge, de même pour les personnes se révélant « temporairement » physiquement incapable de délivrer leurs empreintes, pour qui un passeport provisoire, d'une durée maximale d'un an, est délivré. Pour les Etats ayant adopté, par législation promulguée avant le 26 juin 2009, un âge limite inférieur à 12 ans (cas de la France), une période transitoire de quatre ans est prévue, l'âge limite ne pouvant toutefois être inférieur à 6 ans.

En outre, le principe « un passeport, un individu » est instauré, les enfants devant donc être dotés de leur propre passeport.

Le CEPD s'est auto-saisi en mars 2008 de ce projet de règlement, déplorant non seulement le fait de ne pas avoir été consulté, mais aussi de l'absence d'études fiables concernant l'âge à partir duquel les empreintes peuvent être fiables⁶³o. S'il a apprécié les mesures concernant l'exemption des enfants de moins de douze ans et des personnes physiquement incapables, il note que US-VISIT et EURODAC se limitent aux enfants de plus de quatorze ans -- tout en soulignant que s'agissant uniquement de vérification, et non d'identification, l'âge limite pourrait être abaissé. Il demandait aussi une limite d'âge maximale, proposition non retenue (US-VISIT retient le seuil de 79 ans).

Concernant le principe « un passeport, un individu », il note que si cela est censé contribuer à la lutte contre la traite des enfants, d'autres mécanismes sont prévus à cet effet, et que délivrer des passeports biométriques à des enfants constitue un puissant incitatif à prélever de facto leurs empreintes ou à modifier la législation afin de l'adapter à l'état de la technologie. Dès lors, il recommandait de restreindre ce principe aux enfants non exemptés de la prise d'empreintes, proposition qui n'a pas été retenue.

629 Cf. CEPD (2008), avis du 26 mars 2008 concernant la proposition de règlement modifiant le règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, JO C 200, 06.08.2008, p. 1

⁶³° CEPD, avis du 26 mars 2008, art. cit.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.

238

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 239

Il note par ailleurs qu'aucune harmonisation concernant les « documents sources » nécessaires à l'obtention des passeports n'est prévue.

S'agissant des bases de données centrale, il remarque que si le règlement limite l'usage des données biométriques à des fins de vérification, la possibilité d'identification, de détournement de finalités, voire d'une « pêche aux informations » dans la base de données apparaît dès lors qu'on instaure un tel système central. Il conseillait dès lors que le règlement propose « de nouvelles mesures d'harmonisation afin que les données biométriques collectées pour être intégrées dans les passeports délivrés par les États membres de l'UE ne puissent être stockées que sur un support décentralisé (sur la puce sans contact du passeport) » (§28). Le règlement n^°444/²009 s'est contenté d'affirmer que le « règlement (CE) n° 2252/2004 ne saurait constituer une base juridique pour établir ou maintenir, dans les États membres, des bases de données stockant ces informations, puisque cet aspect relève de la compétence exclusive des législations nationales. » (cons. 5)

Le CEPD ajoute que la proposition n'a prévu aucune harmonisation concernant le taux de faux rejets injustifiés ainsi que la procédure à suivre lorsqu'une personne a été indûment rejetée (§3o).