Des identités de papier à  l'identité biométrique

A. PROFILAGE ET BIOMÉTRIE : LA DIRECTIVE 2004/82/CE

CONCERNANT LES DONNÉES DES PASSAGERS (PNR) ET L'UTILISATION À DES FINS RÉPRESSIVES DES DOSSIERS PNR

La directive 2004/82/CE sur les données PNR complète en effet les dispositions de la Convention de Schengen, puisqu'elle vise également à lutter contre l'immigration irrégulière⁶⁸⁶. Elle prolonge une tendance, présente dans l'accord de Schengen, à externaliser une partie du contrôle des étrangers aux transporteurs ⁶⁸⁷, et prévoit explicitement la prise en compte, « dès que l'occasion se présente, de toute innovation technologique, surtout pour ce qui est de l'intégration et de l'utilisation des caractéristiques biométriques dans les informations qu'il incombe aux transporteurs de transmettre. ^»688 Bien que cette disposition n'ait pas été mise en oeuvre par la France (qui traite cependant, depuis décembre 2006, les données API, conservées dans le Fichier des passagers aériens⁶⁸⁹), il convient de s'arrêter sur l'utilisation de ces données, non seulement parce que les caractéristiques biométriques pourraient, à terme, y être intégrées, mais parce qu'en l'état actuel, elles permettent déjà, comme nous allons le voir, un « profilage » des individus « à risque »: ce faisant, données API-PNR et éléments biométriques convergent vers des pratiques communes de profilage ou d'analyse comportementale des individus⁶⁹°.

686 G29 (2006), avis 9/2006 (directive 2004/82/CE du Conseil; données relatives aux passagers), adopté le 28 septembre 2006.

687 Art 26 de la Convention de Schengen, qui fait obligation aux Etats d'instaurer des sanctions aux transporteurs acheminant des passagers dépourvus des documents requis pour l'entrée sur le territoire commun. Cf. à ce sujet le dossier composé par Amnesty International et France Terre d'Asile, « Le droit d'asile en France: état des lieux », in Cultures & Conflits n°26/27, été-automne _1997, p.123-203, en part. p.130-134.

688 Cons. 9 de la directive 2004/82/CE.

689 Le Fichier des passagers aériens (FPA) poursuit à la fois des fins de lutte contre l'immigration illégale et contre le terrorisme (art. 7 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et arrêté du 19 décembre 2006 « pris pour l'application de l'article 7 de la loi n° 2006-64 portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens »; cf. délib. n°2006-198 du 14 septembre 2006, publiés au JO le 21 décembre 2006 (conformément à la demande de la CNIL) ; arrêté du 28 janvier 2009 ; cf. délib. n° 2008-576 du 18 décembre 2008. L'arrêté du 31 mars 2006 (pris pour l'application de l'article 33 de la loi n° 2006-64) fixe la liste des organismes considérés comme participant à la « lutte contre le terrorisme » au sens de la loi de 2006, lesquels comprennent, entre autres, l'Office central pour la répression de l'immigration irrégulière et de l'emploi d'étrangers sans titre.. Le FPA est interconnecté au SIS et au FPR.

⁶⁹° Sur l'utilisation de la biométrie à des fins de « profiling » et de réduction de « l'incertitude radicale » à un « risque » calculable, cf. Ceyhan, Ayse (2006), « Enjeux d'identification et de surveillance à l'heure de la biométrie », Cultures & Conflits, n°64, hiver 2006, p.33^-47.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 254

Examinant cette directive, le G29 a tenu d'abord à affirmer que « la protection des données » est « un droit fondamental appartenant à toutes les personnes sur l'ensemble du territoire de l'Union européenne »⁶⁹¹, non réservé, par conséquent, aux citoyens de l'UE.⁶⁹² Il s'est ensuite inquiété de la dérogation accordée par l'art. 6 afin d'utiliser les données pour les « besoins des services répressifs », notion non définie par la directive, ainsi que par la possibilité d'utiliser les caractéristiques biométriques: non seulement cette notion n'est pas définie mais encore la directive « laisse aux autorités requérantes le soin de déterminer celles qui doivent être transférées et quand elles l'estiment techniquement réalisable », ce qui est inquiétant considérant « l'absence de spécifications précises concernant d'une part les finalités pour lesquelles elles doivent être recueillies et traitées et d'autre part les caractéristiques biométriques considérées comme à la fois nécessaires et proportionnées à cet effet »⁶93.

La Conférence européenne de l'aviation civile (2006)⁶⁹⁴ a défini les « données RPCV [systèmes de renseignements préalables concernant les voyageurs, ou données API] » comme étant celles « se trouvant sur la zone de lecture optique du document de voyage». Or, le G29 considère d'une part que les données PNR ne sont pas nécessaires au contrôle aux frontières, d'autre part qu'elles excèdent largement ce qui est contenu dans les lignes directrices et normes internationales⁶⁹⁵. En conclusion, il affirme soutenir « sans réserve l'objectif de maîtrise de l'immigration clandestine par l'amélioration des contrôles effectués sur les vols à destination de l'UE » tout en mettant en garde contre une transposition désordonnée de cette directive.

En novembre 2007, la Commission a présenté une proposition de décision-cadre relative à l'utilisation des données API/PNR à des fins répressives⁶⁹⁶, concrétisant et généralisant la possibilité offerte par l'art. 6 de la directive 2004/82/CE. S'inscrivant

⁶⁹¹ G29 (2006), avis 9/2006.

692 Sur la notion de « citoyenneté européenne », cf. Pataut, Etienne (2009), « L'invention du citoyen européen », La vie des idées, 2 juin 2009.

⁶⁹³ G29, ibid., 2 b), p.4.

⁶⁹⁴ Conférence européenne de l'aviation civile (2006), déclaration de principe du 8 avril 2006 sur les systèmes RPCV (systèmes de renseignements préalables concernant les voyageurs - systèmes API), citée par le G29, avis n°9/2006.

⁶⁹⁵ G29, avis n°9/2006.

696 Conseil de l'UE (2007), Proposition de Décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives (COM (2007) 654)

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 255

clairement dans un contexte de lutte contre le « terrorisme » et le « crime organisé », et non plus de contrôle de l'immigration, celle-ci vise principalement à évaluer les « risques » posés par les passagers afin de concentrer les contrôles aux frontières sur les « passagers à risque ». La proposition a un caractère incantatoire, vantant les mérites de l'utilisation de ces données dans la lutte anti-terroriste, utilité qui, selon le CEPD et l'Agence européenne des droits fondamentaux, n'a pas été démontrée⁶⁹⁷.

Examinant cette proposition, le CEPD a noté qu'elle constituait « une étape supplémentaire vers une collecte systématique des données concernant des personnes qui, en principe, ne sont soupçonnées d'aucune infraction. »⁶⁹⁸ Il souligne ensuite que « contrairement aux données API (informations préalables sur les passagers), censées permettre l'identification des personnes, les données PNR visées dans la proposition contribueraient à procéder à une évaluation des risques présentés par certaines personnes, à recueillir des informations et à établir des liens entre des personnes connues et d'autres qui ne le sont pas ^»699, c'est-à-dire à installer un procédure de profilage s'inscrivant dans une logique « proactive » ou d'anticipation des risques. Le profilage (profiling) peut être défini comme le fait d'élaborer un type ou modèle abstrait à partir d'analyses probabilitaires de données personnelles ou/et anonymisées, et ensuite d'appliquer ce modèle aux individus ou groupes d'individus⁷°°. La proposition affirme en effet la nécessité de conserver les données

⁶⁹⁷ CEPD (2008), §26-29 de l'avis du 20 décembre 2007 (projet de proposition de décision-cadre ; PNR; fins répressives). Publié au JO 1cT mai 2008 ;

Agence européenne des droits fondamentaux (2008), « Opinion of the European Union Agency for Fundamental Rights on the Proposal for a Council Framework Decision on the use of Passenger Name Record (PNR) data for law enforcement purposes », 28 octobre 2008.

⁶⁹⁸ CEPD (2008), avis du 20 décembre 2007 .

⁶⁹⁹ CEPD (2008), avis du 20 décembre 2007 .

⁷⁰° Le CEPD propose la définition suivante, tirée d'une étude du Conseil de l'Europe: « une méthode informatisée ayant recours à des procédés de data mining (fouille de données) sur des entrepôts de données (data warehouse) permettant ou devant permettre de classer avec une certaine probabilité et donc avec un certain taux d'erreur induit un individu dans une catégorie particulière afin de prendre des décisions individuelles à son égard», ainsi qu'une définition de Lee Bygrave (2001) que nous traduisons: « Généralement parlant, le profilage est le processus d'inférence d'un ensemble de caractéristiques (typiquement comportementales) d'une personne individuelle ou d'une entité collective et ensuite de traiter cette personne ou entité (ou d'autres personnes ou entités) à la lumière de ces caractéristiques. Ainsi, le processus de profilage a deux composants principaux: (1) la génération de profil -- le procès d'inférer un profil; et (2) l'application du profil -- le procès de traiter les personnes ou entités à la lumière de ce profil. Le premier composant consiste typiquement à analyser des données personnelles à la recherche de « patterns » [schémas], séquences et relations [relationships] afin d'arriver à un ensemble d'assomptions (le profil) fondé sur un raisonnement probabilitaire. Le second composant implique d'utiliser le profil généré pour aider à effectuer à recherche pour, et/ou une décision sur, une personne ou une entité. La ligne entre ces deux composants peut devenir floue en pratique, et la régulation d'une des composantes peut affecter l'autre. » (CEPD, 2008, avis du 20 déc. 2007)

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 256

« pour une période assez longue afin de permettre l'élaboration d'indicateurs de risques et l'esquisse de modèles de déplacement et de comportement » (cons. 9). L'élaboration de modèles abstraits à l'aide de logiciels permet ainsi de construire des catégories ou des « populations », sujettes par la suite à un traitement différencié, l'objectif ultime étant de favoriser au maximum les facilités de circulation pour les passagers jugés « sans risques » et « profitables », qualifiés de « voyageurs de bonne foi »⁷⁰¹, tout en augmentant au contraire au maximum le coût, économique, social et vital, de la circulation pour les « indésirables », qualifiés de « passagers à risque ». Le CEPD note en effet que les « suspects » seront « sélectionnés » à la fois « sur la base d'éléments concrets » et sur celle de « schémas types et des profils abstraits », sous-entendant à peine que cela pourrait conduire à des problèmes de discrimination, notamment en fonction de la religion des passagers, donnée pouvant être déduite des préférences alimentaires, inscrites dans les PNR⁷O². De même, l'Agence européenne des droits fondamentaux s'inquiète des possibilités de discriminations ouvertes par le « profiling » opéré à partir de l'analyse des données API-PNR et conteste l'efficacité de celui-ci⁷⁰³. Certes, le projet proscrit toute discrimination (art. 3 et cons. 20).

°1 Cf. comm. de la Commission du 13 février 2008 (COM (69) final): « En imposant une vérification approfondie de toutes les personnes, le cadre juridique actuel empêche ainsi de moderniser les modalités du contrôle aux frontières, alors que les nouvelles technologies permettraient d'automatiser, et donc d'accélérer considérablement, les vérifications pour les voyageurs de bonne foi. » (p.5) L'accord franco-sénégalais de 2006 de « gestion concertée des flux migratoires » est à cet égard symptomatique: « La France et le Sénégal poursuivront leurs efforts tendant à faciliter la délivrance de visas de circulation aux ressortissants de l'autre Partie, notamment hommes d'affaires, intellectuels, universitaires, scientifiques, commerçants, avocats, sportifs de haut niveau, artistes, qui participent activement aux relations économiques, commerciales, professionnelles, scientifiques, universitaires, culturelles et sportives entre les deux pays.

Ces personnes qui doivent pouvoir circuler sans formalités entre le Sénégal et la France ont vocation à se voir délivrer un visa uniforme permettant des séjours ne pouvant excéder trois mois par semestre et valable de un à cinq ans en fonction de la qualité du dossier présenté, de la durée des activités prévues en France et de celle de la validité du passeport. » (décret n° 2009-1073 du 26 août 2009 portant publication de l'accord entre le Gouvernement de la République française et le Gouvernement de la République du Sénégal relatif à la gestion concertée des flux migratoires..., publié au JO le ^ler septembre 2009).

7°2 CEPD (2008), avis du 20 décembre 2007, §18-19:

« Les suspects pourraient aussi bien être sélectionnés sur la base d'éléments concrets figurant dans les données PNR les concernant (par exemple un contact avec une agence de voyage suspecte ou encore une référence de carte de crédit volée), que sur la base de «modèles» ou d'un profil abstrait.

Bien qu'on ne puisse pas partir du principe que les passagers seront ciblés en fonction de leur religion ou de toute autre donnée sensible, il apparaît néanmoins qu'ils pourraient faire l'objet d'une enquête fondée sur un ensemble d'informations concrètes et d'informations abstraites, notamment des schémas types et des profils abstraits.»

⁷°³ Agence européenne des droits fondamentaux (2008), opinion citée, section E. « Prohibition of discrimination (Article 21 of the Charter of Fundamental Rights of the EU)», _§34-47
· Selon l'AEDF, « les preuves disponibles suggèrent que les pratiques de profilage fondées directement sur, ou ciblant factuellement l'ethnicité, l'origine nationale ou la religion sont un moyen non adéquat et inefficace, par là disproportionné, de contrer le terrorisme et le crime organisé: elles affectent des milliers de personnes innocentes, sans produire de résultats concrets. » 038, notre traduction).

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 257

Toutefois, le CEPD « note cependant que sa portée est limitée à l'action répressive des unités de renseignements passagers ou des autorités compétentes. Dans son libellé actuel, le texte n'exclut pas le filtrage automatisé des personnes selon des profils types et n'empêche pas non plus la constitution automatisée de listes de suspects et l'instauration de mesures telles qu'une surveillance accrue, tant que ces mesures ne sont pas considérées comme des actions répressives. » (§92)

Un tel profilage serait en contradiction avec l'art. ₁₅ de la directive _95/46/CE, qui reprend partiellement un trait de la loi française de 1978, interdisant la prise de décisions sur le seul fondement d'un traitement automatisé. En effet, les décisions concernant un individu risquent d'être prises à partir d'un modèle abstrait et général fondé à partir de données collectives et statistiques, ne concernant pas nécessairement cet individu.

Selon le projet de décision-cadre, les « unités de renseignement passager » seront chargées de ce profilage. Ces unités, indique le CEPD, pourront être aussi bien les services de douane que les services de renseignement, « voire [à] tout type de sous-traitant », la directive n'apportant aucune précision à ce sujet, pas plus qu'à la « qualité des destinataires des données »⁷°⁴. Par ailleurs, le CEPD, comme d'ailleurs le Sénat français (qui a proposé une durée maximale de 6 ans'°⁵), considère la durée de conservation des données PNR, fixée au total à 13 ans, comme disproportionnée. Le CEPD attire notamment l'attention sur l'accumulation de bases de données faite sans étude d'impact, conduisant à une politique législative irrationnelle et ouvrant la voie vers une « société de surveillance totale » (§ii6).

Soulignant le caractère disproportionné de la proposition, le G29 parle quant à lui de « société européenne de la surveillance » et soulève la question de l'applicabilité de la décision-cadre 2008/977/JAI « puisque ladite décision-cadre ne régit que le transfert des données à caractère personnel entre les services répressifs des États

^7°4 CEPD (2008), avis du 20 déc. 2008, §68-71

'^°5 Sénat (2009), Résolution européenne sur la proposition de décision-cadre relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives (E 3697) devenue résolution du Sénat le 20 mai 2009.

Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 258

membres de l'UE et non leur transfert par les transporteurs aériens aux unités de renseignements passagers dans l'UE »⁷⁰⁶

Enfin, l'Agence européenne des droits fondamentaux a aussi critiqué la proposition, notant qu'elle vise entre autres les « associés » des personnes qui sont ou peuvent être impliquées dans le terrorisme ou le crime organisé, notion très large qui pourrait inclure toute connaissance de ces personnes'°⁷.