|
Des identités de papier à l'identité biométrique( Télécharger le fichier original )par David Samson Ecole des hautes études en sciences sociales - Master 2 de théorie et analyse du droit 2009 |
CHAPITRE III: LA CNIL, TEXTERÉGLEMENTAIRE ET DOCTRINE
A/ LA CNIL ET LA BIOMÉTRIE DE 1984 À 2004
B/ LA RÉFORME DE 2004: QUELLESCONSÉQUENCES VIS-À-VIS DE LABIOMÉTRIE?
1. Le régime des déclarations et l'autorisation unique
2. La conservation des données à des fins d'établissement de statistiques : la biométrie, outil du pouvoir biopolitique?
C/ LA CNIL ET LA BIOMÉTRIE DEPUIS LES LOIS DU 6 AOÛT 2004
1. Classer les technologies biométriques: une opération juridique?
2.Biométries à trace et sans traces: une distinction solide?
l' « empreinte palmaire » est bien une technologie à trace, comme l'indique le décret n°2005-585 du 27 mai 2005 relatif au FNAED (Fichier national automatisé des empreintes digitales). On ne peut que s'interroger sur les raisons d'une telle confusion des termes au sein même des délibérations de la CNIL. Trois autorisations uniques pour les technologies « sans trace » Pour ce qui concerne la reconnaissance du contour de la main, la CNIL a délivré deux autorisations uniques, mettant en oeuvre le régime de l'autorisation simplifiée. Il s'agit de : 266 « La Commission considère que le réseau veineux des doigts de la main, en l'état actuel de la technique, est une biométrie sans trace dont l'enregistrement sur un terminal de lecture-comparaison aux fins de contrôler les accès aux locaux ne comporte pas de risques particuliers pour les libertés et les droits fondamentaux des personnes. »(délib. n°2009-227 du 7 mai 2009, dispositif de l'INSERM). 267 CNIL, délib. n°2007-248, 13 septembre 2007 (Michelin ; reconnaissance vocale ; gestion des mots de passe). Cf. aussi, au sujet de la reconnaissance vocale et du réseau veineux, le 282 rapport d'activité 2007 de la CNIL, p.2o. 268 Cf. http://www.biometrie-online.net Chapitre III:La CNIL, texte réglementaire et doctrine p. 114
Elle a émis en mai 2009 une troisième autorisation unique, concernant la reconnaissance du réseau veineux des doigts de la main, ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail27o. 269 Cf. infra, section « La biométrie dans l'entreprise ». 27O Délib. n°21309-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail. Chapitre III:La CNIL, texte réglementaire et doctrine p. 115 La biométrie à l'école « Il a également été avancé que toutes les tentatives de fraude, certains collégiens tentant de manger deux fois, étaient mises en échec du fait de la fiabilité du système (sic !). » CNIL (2001) , 21e rapport d'activité 2000. « S'ils inscrivent à la demi-pension, c'est pour qu'ils y aillent, pas pour aller au McDo ! » Cabinet du recteur de l'académie de Paris (2006)27 « Les perspectives de la biométrie telle que vendue dans les collèges est de s'insérer dans Sconet et servir à terme de point d'entrée d'informations qui seront ensuite échangées avec les partenaires, collectivités locales, etc. Cette politique vise à créer un méga fichier de la vie scolaire du primaire aux études supérieures, notamment via l'implantation des modules Base élèves, Sconet, pour constituer le répertoire national d'identification de l'élève/étudiant prenant en compte toute la biographie scolaire de l'enfant (et de sa famille) de 10 ans à 30 ans. » Gilles Sainati, ex-secrétaire général du Syndicat de la magistrature (2008) 272. L'établissement d'un paradigme d'usage de la biométrie à l'école et l'interprétation par la CNIL du principe de finalité L'une des premières demandes d'autorisation accordée d'installation d'un dispositif biométrique, faite en 2002, émanait du collège Joliot Curie de Carqueiranne, et visait à contrôler l'accès au restaurant scolaire via un dispositif fondé sur la reconnaissance de la main273. L'administration du collège avait pris en compte le refus antérieur de la CNIL vis-à-vis de la première demande émanant d'un collège en France, le collège Jean Rostand de Nice, qui visait à installer un dispositif 271 Cité par Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006. 272 Sainati, Gilles (2008), « Biométrie: entre nouveau projet pédagogique et idéologie », Mediapart, 13 novembre 2008. 273 Délib. n°02-070 du 15 octobre 2002 (collège Joliot Curie de Carqueiranne; contrôler l'accès au restaurant scolaire ; géométrie de la main) Chapitre III:La CNIL, texte réglementaire et doctrine p. 116 de reconnaissance d'empreintes digitales sur support central274. La CNIL a émis un avis favorable concernant le dispositif de Joliot Curie, et depuis de nombreux autres établissements scolaires ont émis des demandes identiques. L'examen de la demande du collège Joliot Curie a ainsi établi un paradigme d'usage de la biométrie dans les écoles, à tel point que la CNIL a émis en avril 2006 une autorisation unique codifiant cet usage. La finalité du dispositif mis en place par le collège Joliot Curie était ainsi décrite par la CNIL dans sa délibération: « Le recours à la technique de reconnaissance du contour de la main permet de s'assurer que les données nécessaires au contrôle de l'accès ne sont ni perdues, ni échangées et que seules les personnes habilitées peuvent accéder au service. » La finalité de « contrôle de l'accès », si elle semble dénoter implicitement une exigence sécuritaire, peut se contenter d'une exigence très faible; dans les cas contraires, qui concernent davantage les technologies « à trace », la CNIL note « l'impératif de sécurité » justifiant la mise en place du système. L'autre motif explicite était d'éviter les pertes ou échange de cartes donnant accès au restaurant. Outre ces finalités explicites, un motif implicite doit être signalé: « Le système envisagé repose sur la mise en oeuvre d'un fichier de gestion comportant l'identité des élèves, leur classe, leur numéro d'ordre dans l'établissement, les coordonnées du responsable légal, un code d'accès personnel ainsi que les données utiles à l'accès au restaurant. Pour les membres du personnel, sont enregistrés l'identité, le code d'accès, l'agenda et le tarif. »275 Si de tels dispositifs sont ainsi autorisés au nom du « contrôle d'accès », ils procèdent aussi d'une finalité de gestion. A côté de ces finalités explicites et implicites relevées par la CNIL dans sa délibération, d'autres finalités inavouées doivent être relevées, dont en particulier le contrôle de la présence des élèves au restaurant scolaire ainsi que la prévention de la fraude. 274 Délib. n°oo-oi5 du 21 mars 2000, portant adoption du formulaire de déclaration des traitements de données personnelles mis en oeuvre dans le cadre d'un site Internet. 275 Nous soulignons. Chapitre III:La CNIL, texte réglementaire et doctrine p. 117 L'examen de la délibération antérieure, concernant le collège Jean Rostand de Nice, montre en effet l'ambiguïté de la notion de finalité retenue par la CNIL. Il faut distinguer, au sein de ses délibérations, ce qu'elle considère explicitement comme finalité276 des motifs éventuels qui affleurent dans la description du dispositif, mais qui ne sont pas officiellement retenus en tant que finalité (dans le cas du collège Joliot Curie, la constitution du « fichier de gestion »). Enfin, d'autres finalités réelles peuvent être prises en compte par la CNIL, mais seulement de façon informelle: ainsi, dans son 21e rapport d'activité, elle relève les motivations réelles du collège Jean Rostand : « Les motivations avancées par les concepteurs et les utilisateurs pour expliquer le choix de la biométrie concernent l'aspect sécurité et confort. Plus besoin de manipuler des cartes, de gérer l'octroi de mots de passe... En l'espèce, l'administration du collège a indiqué que l'utilisation dudit système permet de supprimer toute manipulation d'argent à l'intérieur de l'établissement et de ne plus gérer les problèmes de cartes oubliées, perdues ou volées qui alourdissaient les tâches de gestion. Avec le système antérieur, l'intendance devait gérer quotidiennement 50 cas de cartes oubliées ou perdues. Il a également été avancé que toutes les tentatives de fraude, certains collégiens tentant de manger deux fois, étaient mises en échec du fait de la fiabilité du système (sic !). »277 Ainsi, la CNIL note d'abord « l'aspect sécurité et confort » mis en avant à la fois par l'industrie et par « les utilisateurs » : ce terme désigne en fait l'administration du collège qui justifie ainsi le dispositif. Or, le « confort » l'emporte nettement, et désigne ici les pertes ou oublis de cartes que la biométrie permet d'éviter. De surcroît, la CNIL marque clairement sa désapprobation morale à l'égard d'un dispositif visant à empêcher de « manger deux fois ». Pourtant, cette finalité de prévention de la « fraude » n'avait pas été citée dans la délibération refusant au collège Jean Rostand l'autorisation de mise en place du dispositif de reconnaissance d'empreintes digitales. On ne peut s'empêcher de croire qu'elle a néanmoins joué un rôle dans le refus de la 276 « le traitement ainsi mis en oeuvre ayant pour finalité... » (délib. n°00-015); « Le recours à la technique de reconnaissance du contour de la main permet de s'assurer que les données nécessaires au contrôle de l'accès ne sont ni perdues, ni échangées et que seules les personnes habilitées peuvent accéder au service. Le contour de la main, à la différence des empreintes digitales, ne laisse pas de trace et limite ainsi les risques d'utilisation des données à des fins étrangères à la finalité poursuivie par le traitement. Le traitement apparaît dès lors adapté aux objectifs et aux finalités poursuivis par l'administration du collège. » (délib. n°02-070), etc. 277 CNIL (2001), 21e rapport d'activité 2000, p.109 Chapitre III:La CNIL, texte réglementaire et doctrine p. 118 CNIL. Cependant, celle-ci autorisera par la suite de nombreux dispositifs biométriques dans les cantines, les établissements scolaires ayant sans doute appris la leçon : mieux vaut taire les objectifs de lutte contre la « fraude », lorsque celle-ci vise à empêcher des élèves de « manger deux fois ». Cet objectif, d'ailleurs, n'est pas nécessairement ressenti comme répressif par les élèves, certains n'y trouvant rien à redire, bien au contraire278. Au collège Joliot Curie, les données biométriques (l'empreinte de la main), considérées comme peu sensibles par la CNIL puisque ne rentrant pas dans la catégorie des caractéristiques « à trace », étaient conservées sur des lecteurs biométriques, et non sur support individuel. Depuis, la CNIL a aussi autorisé dans un collège un dispositif reposant sur la reconnaissance du réseaux veineux des doigts de la main, qui, de même, sont considérés comme ne faisant pas partie des technologies « à trace »279. Toutefois, celui-ci ne visait pas à contrôler l'accès au restaurant scolaire, mais s'adressait aux employés et visait à sécuriser l'accès aux locaux au sein desquels s'effectue la gestion des alarmes. De plus, le dispositif de Joliot Curie n'était pas obligatoire, une « carte à code barre » pouvant être délivrée. La CNIL a retenu ce principe du consentement dans des délibérations ultérieures28O; son interprétation doit néanmoins être comparée avec celle effectuée à l'égard du passe RFID utilisé dans les transports rennais, où la Commission s'est montrée nettement plus sévère281. Il faut aussi garder à l'esprit que, 278 Le Parisien relève ainsi quelques déclarations d'élèves, au collège Paul Klee, en 2006: « « C'est archi-bien : on se croirait dans James Bond », lance Sandra, 13 ans. Erwan, 14 ans, souligne quant à lui l'efficacité de la machine contre la fraude : « Avant, certains n'hésitaient pas à manger deux fois d'affilée. » Même enthousiasme du principal adjoint. « Ça nous a considérablement simplifié la vie. Le repas est toujours une véritable course contre la montre. Ce système nous permet de savoir précisément si nous sommes dans les temps. Cela a même contribué à fluidifier le trafic. » » (Anne-Laure Abraham et Julien Duffé (2006), « La biométrie fait peur au collège », Le Parisien, 4 décembre 2006) 2799 Délib. n°2009-029 du 29 janvier 2009 (Collège Georges d'Amboise ; réseau veineux des doigts de la main ; contrôle de l'accès aux locaux) 28° Cf. par ex:
281 Délib. n°2009-002 du 20 janvier 2009 de la formation restreinte à prononçant un avertissement à l'encontre de la société KEOLIS RENNES, au sujet notamment du passe Korrigo (similaire au passe Navigo). Chapitre III:La CNIL, texte réglementaire et doctrine p. 119 même lorsque cette clause d' « opt out » est accordée en droit, dans les faits elle est parfois difficile à mettre en oeuvre, ainsi de ce lycée qui oblige les deux seuls élèves ayant refusé le dispositif d'aller chercher chaque matin à l'administration un ticket282. S'agissant de la conservation des données, celles-ci ne le sont que pour la durée de l'année scolaire, et, le cas échéant, effacées dans la semaine suivant le départ de l'élève en cours d'année. Cette disposition a été réitérée dans les autres délibérations. L'information des responsables légaux des élèves en France et au Royaume-Uni Par rapport à l'avis favorable donné en 2002 au collège Joliot Currie, ou encore à un autre émis en 2005283, la CNIL a ajouté, en 2006, un trait important concernant ces dispositifs : l'information des responsables légaux des élèves mineurs, ainsi que du personnel et des élèves majeurs, et leur droit de s'y opposer284. A contrario, en 2008, l'Information Commissionner Office (ICO) du Royaume-Uni a simplement conseillé aux établissements scolaires installant des dispositifs biométriques reposant sur la reconnaissance des empreintes digitales, non seulement pour les restaurants scolaires, mais aussi les bibliothèques, etc., d'informer les parents et de rendre le dispositif facultatif, sans en faire une obligation, et qui plus est en indiquant que cela permettrait de lever les « suspicions » à l'égard des « nouvelles technologies ». L'ICO considère en effet que, selon le droit en vigueur, les mineurs sont des « data subjects » autonomes, et que rien n'oblige à informer leurs responsables légaux285. En 2006, 3 500 établissements scolaires avaient déjà établi de tels dispositifs sans 282 Minano, Leila (2007), « Biométrie à la cantine : progrès technologique ou régression éthique ? », Educ Info, 31 août 2007 283 Délib. n°2005-169 du 05 juillet 2005 (collège "Les Mimosas" ; contour de la main ; contrôler l'accès au restaurant scolaire). 284 Délib. n°2006-031 du 02 février 2006 (collège Roland Garros, Nice); délib. n°2006-093 du 6 avril 2006 (collège Gérard Philipe (sic) de Martigues); délib. n°2006-094 du 6 avril 2006 (collège Louisa Paulin de Muret); délib. n°2006-108 du 27 avril 2006 (Ensemble Scolaire Catholique Rochois Sainte-Marie/Sainte-Famille) 285 « Second, there is nothing in the Act that states that until a child reaches a specific age any data protection rights they have should be exercised by their parents or guardian. For the purposes of the Act the pupils themselves are "data subjects": it is they who should in the first instance be informed and consulted about the use of their personal data. Deciding when children are mature enough to decide how their personal information should be used is difficult. On the one hand, as children mature they are entitled to an increasing measure of autonomy. On the other hand, while children might understand a simple explanation of why their fingerprints are being taken, they may well not appreciate the potential wider implications. » (Information Commissionner Office, 2008, « The use of biometrics in schools »). Chapitre III:La CNIL, texte réglementaire et doctrine p. 120 informer les parents286; selon « Leave Them Kids Alone », plus de 5 000 établissements scolaires auraient mis en place des dispositifs identiques, allant jusqu'à enregistrer les empreintes digitales d'enfants de 4 à 5 ans. Les empreintes digitales d'un million d'enfants auraient déjà été prises. 400 crèches seraient aussi dotées de dispositifs de reconnaissance d'empreinte digitale, utilisés à des fins de contrôle d'accès2$7. BECTA, une sorte d'autorité indépendante (non-departmental public body) chargée des « technologies de l'information et de la communication » dans le domaine scolaire, précise explicitement que de tels dispositifs peuvent viser à contrôler la présence des élèves et ont généralement pour objectif d'éviter les pertes ou échanges indus de cartes288. Contrairement à l'ICO britannique, la CNIL n'admet pas l'usage de dispositifs reposant sur la reconnaissance des empreintes digitales dans les établissements scolaires, ce qui a été explicitement formulé dans un communiqué289, et a aussi exclu du champ de l'AU-oo8 concernant les « dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail » les établissements où sont présents des mineurs. Le premier refus, et ce malgré le consentement des élèves, des parents d'élèves et du personnel, a été déclaré en 2000, concernant le collège Jean Rostand de Nice, qui voyait dans un tel dispositif un moyen pratique pour « éviter toute manipulation d'espèces et les difficultés généralement liées à la perte ou à l'oubli des cartes de cantine. »~9° La CNIL a depuis consolidé cette doctrine, réitérée à maintes reprises. Ainsi, elle a refusé une autorisation, le 26 juin 2008, au lycée maritime de Boulogne -- Le Portel qui voulait contrôler l'accès à l'établissement ainsi que la présence des élèves afin de lutter contre l' « absentéisme », mais qui visait aussi par 286 Roberts, Bob (2006), « Exclusive: Fingerprint Scandal of 7o0 00o Kids », The Mirror, 3 juillet 2006. 287 Andréani, Frédérique (2008), « La biométrie dès la crèche », Le Point n°1871, 24 juillet 2008. 288 Becta (2007), « Becta guidance on biometric technologies in schools », ier juillet 2007: http://schools.becta.org.uk/upload- dir/downloads/becta_guidance on biometric technologies in schools.pdf . Concernant la biométrie en milieu scolaire au Royaume-Uni, voir aussi Lodge, Juliet et Sprokkereef, Annemarie (2009), « Accountability and transparent e-security -- the case of British (in)security, borders, and biometrics », publié le 22 avril 2009 sur http://www.libertysecurity.org/article2488.html 289 CNIL (2008), L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles ». ~9° Délib. n°oo-o15 du 21 mars 2000 (collège Jean Rostand de Nice). Chapitre III:La CNIL, texte réglementaire et doctrine p. 121 cette technique à « rapidement établir une liste de présence en cas de sinistre » 291 Elle précise qu'un tel contrôle n'a « pas pour objet de sécuriser l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant un enjeu majeur dépassant l'intérêt strict de l'organisme. »292 Ce n'est pas tant la finalité qui est ici mise en cause par la CNIL, mais la « proportionnalité » du dispositif: un dispositif utilisant l'empreinte géométrique de la main, poursuivant la même finalité de contrôle (d'accès voire de présence) des élèves serait en principe acceptable -- bien que les dispositifs autorisés ailleurs ne couvrent pas l'accès du lycée, mais le restaurant scolaire. En l'espèce, vu les finalités multiples et l'étendue du dispositif souhaité par le lycée maritime, la CNIL considère que l'enceinte du lycée ne constitue pas « une zone bien déterminée représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme » et que, par conséquent, un dispositif non biométrique, reposant sur l'utilisation d'une carte magnétique, « permettrait d'atteindre les objectifs poursuivis par le lycée maritime avec un niveau suffisant de sécurité par rapport aux enjeux. » L'autorisation unique 009 sur la géométrie de la main à l'école Le 27 avril 2006, en même temps qu'une série de délibérations autorisant des établissements scolaires à mettre en oeuvre des dispositifs de reconnaissance géométrique de la main pour contrôler l'accès des restaurants scolaires, la CNIL a délivré une autorisation unique à ce sujet (AU-009293), qui concerne uniquement les établissements (privés ou publics) de l'enseignement secondaire. L'autorisation ne concerne que les traitements ne conservant que le gabarit de l'empreinte palmaire, et non une « photographie de la main » (ce qui ferait rentrer le dispositif dans le cadre des technologies à trace). Ces traitements doivent avoir « pour finalité le contrôle de l'accès des élèves et des personnels au restaurant scolaire et sont interconnectés avec une application de gestion de la restauration ainsi qu'avec un système de paiement associé. » En d'autres termes, la CNIL avalise le fait que l'application poursuit un 291 Délib. n°2008478 du 26 juin 2008 (refus; lycée maritime de Boulogne -- Le Portel ; empreintes digitales ; contrôle de l'accès des élèves et des personnels à l'établissement (autorisation n°1256554) 292 Ibid. 293 Délib. n°2006-103 du 27 avril 2006, portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire. Chapitre III:La CNIL, texte réglementaire et doctrine p. 122 objectif de gestion économique. En revanche, et contrairement à l'ICO, elle exige l'information des élèves et, s'ils sont mineurs, de leurs représentants légaux, ainsi qu'une clause d'« opt-out » du système. Les mouvements de contestation Plus de deux décennies après le projet GAMIN, qui prévoyait comme « finalité principale » la « pré-sélection par des moyens automatisés d'enfants qui, selon la logique du système, seront ou non l'objet d'une assistance médicale et sociale »294, ce qui avait soulevé une controverse nationale, la biométrie dans les écoles suscite aussi des remous, beaucoup la mettant en rapport avec le livre Gixel préconisant d'habituer la population aux technologies de surveillance « dès le plus jeune âge » ainsi qu'à une « vague comportementaliste » symbolisée par le rapport Bénisti sur la délinquance qui préconisait de détecter le plus tôt possible les enfants « à problème ». Alors que 182 établissements scolaires avaient déjà établis de tels systèmes biométriques à la cantine en 2007295, les dispositifs biométriques dans les écoles autorisés par la CNIL, et dont l'installation représente plusieurs dizaines de milliers d'euros296, font ainsi l'objet de contestations d'élèves et de parents d'élèves, d'associations, de syndicats, et même de Louis Joinet, directeur de la CNIL de 1979 à 1981. Ainsi, l'ONG Privacy France a décerné en 2009 le « prix Voltaire de la vigilance citoyenne » à plusieurs organisations, dont le « Collectif non à l'éducation biométrique dans l'Hérault », dont est membre l'ex-secrétaire général du Syndicat de la magistrature Gilles Sainati. Suite à une mobilisation au cours de l'année 2008, le conseil d'administration du collège Le Salagou, à Clermont-L'Hérault, a ainsi refusé l'instauration d'un système biométrique utilisant le contour de la main pour contrôler l'accès au restaurant scolaire, la mobilisation ayant même mené le conseil général à suspendre tout investissement dans le secteur297. De même, le dispositif installé par le lycée Maurice Ravel, à Paris, d'abord dans l'illégalité puis régularisé par la CNIL, n'a 294 Délib. n081-74 du 16 juin 1981(certificats de santé ; services de la protection maternelle et infantile) 295 Minano, Leila (2007), « Biométrie à la cantine : progrès technologique ou régression éthique ? », Educ Info, 31 août 2007. 296 « Lycée Dumont-d'Urville : la biométrie fait débat », Var Matin, 5 juin 2009. 297 « Prix Voltaire pour "Non à la biométrie dans l'Hérault », Midi Libre, 24 juillet 2009. Accessible sur http://www.ldh-toulon.net/spip.php?article3411 Chapitre III:La CNIL, texte réglementaire et doctrine p. 123 finalement pas été utilisé, en raison de l'opposition des élèves et de directions émanant de la mairie de Paris, hostile à ces systèmes298. Le collectif de Clermont-L'Hérault s'inquiétait aussi des possibilités d'interconnexion du fichier avec d'autres de l'Education nationale, telle que Base élèves ou Sconet299. Pour G. Sainati, « la gestion automatisée des cantines scolaires va se généraliser (...) et s'étendre à la gestion automatisée du temps de l'élève pour justifier dans un discours gestionnaire la suppression de postes (...) », tandis que le « suivi éducatif des enfants en difficulté ne sera plus confié à des professionnels mais à des gestionnaires du « temps réel » qui distribueront des sanctions financières et des contrats parentaux d'éducation au termes de savants recoupements de fichiers. »3°° Sainati conteste aussi la finalité de gestion, rappelant que les paiements sont effectués par mensualités, chaque repas n'ayant donc pas besoin d'être enregistré, et soulignant de façon générale l'inadaptation des systèmes biométriques pour la restauration scolaire, aucune « analyse attentive des files d'attentes et des flux matériels et humains autour d'un comptoir de restauration collective » n'étant effectuée3O1 Ce regard amène à relativiser celui de X. Guchet (2004), qui insistait sur les finalités de gestion des flux, sans toutefois l'invalider, puisque ce qui est en jeu, c'est avant tout l'opposition entre différents modes de gestion. Au contraire, le cabinet du recteur de l'académie de Paris défend ces technologies au nom de la possibilité de ne payer que chaque repas réellement mangé, mais aussi d'une surveillance accrue à l'égard des élèves3O2 298 Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006. Au sujet du lycée Maurice Ravel, voir aussi Cousin, Capucine (2006), « La Cnil inquiète du développement futur de la biométrie et de la géolocalisation », Les Echos Judiciaires Girondins, Journal n°5 247 du 21 avril 2006; et CNIL, délib. n°2006-049 du 23 février 2006. 299 Ibid. Cf. aussi le « système de scolarité » autorisé par la CNIL en 1992, et le BNIE: LDH (2008), « Base élèves: attention à la BNIE qui se cache derrière! », 17 nov. 2008; délib. n°92-130; 93-074; 95098; 97-059; 98-093; 02-069; arrêté du 20 octobre 2008 portant création d'un traitement automatisé de données à caractère personnel relatif au pilotage et à la gestion des élèves de l'enseignement du premier degré (JO ler nov. 2008); Dreyfus, Jean-David (2008), « Le SAFARI des élèves du premier degré », Blog Dalloz, 7 nov. 2008. 30° Sainati, Gilles (2008), « La biométrie au collège, l'éducation à la surveillance du citoyen », Mediapart, 16 septembre 2008. 3O1Sainati, Gilles (2008), « Biométrie: entre nouveau projet pédagogique et idéologie », Mediapart, 13 novembre 2008. 3O2 « Les parents ne paieront que les repas effectivement consommés, puisque chaque passage sera recensé, et ça, c'est plutôt bien. S'ils inscrivent à la demi-pension, c'est pour qu'ils y aillent, pas pour aller au McDo ! » (cabinet du recteur de l'académie de Paris, cité par Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006.) Chapitre III:La CNIL, texte réglementaire et doctrine p. 124 L'ex-directeur de la CNIL Louis Joinet a témoigné en 2006 en faveur des quatre lycéens accusés de « dégradation de bien public » suite à des actions contre un dispositif biométrique, fonctionnant à la géométrie de la main et utilisé à la cantine du lycée de la Vallée-de-Chevreuse, à Gif-sur-Yvette. Le dispositif avait été détruit en novembre 2005 par une « vingtaine de clowns » faisant partie d'un « collectif qui dénonce les dispositifs de surveillance et de contrôle social »3°3. Selon L. Joinet, « ces jeunes ont le mérite de lancer un débat nécessaire sur la biométrie. Ils poursuivent un combat que j'avais entamé il y a vingt ans, et qui m'avait valu d'être débarqué de la CNIL. Aujourd'hui, dans un lycée comme celui de Gif, on se permet d'installer une machine alors que la CNIL ne l'a pas encore autorisé. Il y a d'énormes pressions de la part des industriels. L'opinion publique doit faire contrepoids. »3°4 La biométrie à l'école: la CNIL joue-t-elle son rôle? Ces protestations attirent l'attention, d'une part, sur le livre Gixel pré-cité, qui préconisait la mise en place de dispositifs biométriques ciblant les plus jeunes, afin de les habituer à ces technologies de surveillance. D'autre part, ces dispositifs sont installés à la demande des établissements scolaires, éventuellement sous l'effet de pression des industriels, dont la CNIL a pu d'ailleurs se montrer parfois explicitement consciente. L'intéressement des entreprises est en effet un facteur non négligeable dans la généralisation de la biométrie à l'école. Enfin, il faut bien tenir en compte que si la CNIL parle de « contrôle d'accès du restaurant scolaire », ces dispositifs sont installés essentiellement dans une logique de « confort » (pour parer à l'oubli des cartes, etc.) et de gestion économique, et non de sécurité. La CNIL est elle-même plutôt claire sur le sujet, puisque s'agissant d'un contrôle d'accès à l'ensemble d'un lycée, contrôle qui pourrait être mis en place sous des motifs de sécurité des élèves vis-à-vis du « monde extérieur », la CNIL considère qu'un dispositif non biométrique est suffisant3°5. Le principe de finalité est ainsi à géométrie variable: sa mise en oeuvre dépend des interprétations successives de la CNIL, qui expose au sein même de ses 3°3 « Destruction d'un dispositif biométrique dans un lycée du 91 », Multitudes Web, 29 novembre 2005. http://multitudes.samizdat.net/Destruction-d-un-dispositif 3°4 Jacquard, Nicolas (2006), « La biométrie doit être encadrée » (entretien avec Louis Joinet, premier directeur de la CNIL), Le Parisien, 22 janvier 2006. Cf. dans la même édition Pascale Egré et Nicolas Jacquard, « Quand notre corps devient ». 3°5 Délib. n°2008-178 du 26 juin 2008 (refus; lycée maritime de Boulogne -- Le Portel ; empreintes digitales ; contrôle de l'accès des élèves et des personnels à l'établissement) Chapitre III:La CNIL, texte réglementaire et doctrine p. 125 délibérations des finalités implicites et des finalités explicites, et qui peut en outre évoquer d'autres finalités dans ses commentaires concernant ses propres délibérations ; il est aussi instrumentalisé par les établissements scolaires, qui savent passer sous silence certaines finalités honteuses (la lutte contre la « fraude » alimentaire) et apprennent à bien présenter leurs dossiers. Outre des fonctions de gestion des flux, les dispositifs installés peuvent aussi servir à contrôler la présence des élèves (la plupart des traitements incluent les coordonnées du responsable légal à contacter, dans un but qu'on peut présumer à la fois de sécurité en cas d'urgence, mais aussi de s'assurer que l'élève est bien présent dans l'enceinte scolaire ou qu'il mange effectivement à la cantine)3o6 Il n'y a pas une seule logique cohérente et homogène qui préside à l'établissement de ces dispositifs biométriques, mais bien une multitude d'intérêts rivaux ou alliés qui se conjuguent. La CNIL joue dès lors le rôle d'arbitre entre ces intérêts, adoptant une position médiane qui consiste à n'autoriser que les dispositifs reposant sur le contour de la main. Mais si cette position assumée et codifiée de la CNIL répond bien aux contraintes imposée par le respect du droit à la vie privée, n'est-elle pas en contradiction avec les avertissements que la CNIL délivre à l'égard d'une généralisation de la biométrie et d'un désintéressement prétendu des jeunes générations à l'égard des enjeux de protection des données personnelles? Le G29 a adopté en février 2009 un avis concernant spécifiquement les enfants, qui conclut sur l'importance d'éduquer les enfants afin qu'ils deviennent des « citoyens autonomes dans la société de l'information », cela non seulement par l'instauration de cours sur la protection des données personnelles, mais aussi en rendant « effective la participation progressive des enfants à la protection de leurs données à caractère personnel (de la consultation à la prise de décision) », ceci en fonction de leur degré de maturité3°7. L'avis ayant été signé au nom du groupe par Alex Turk, il serait intéressant de voir si, à l'avenir, la CNIL inclura des dispositions concernant la consultation des enfants et si elle différenciera entre plusieurs catégories d'âge, notamment entre le collège et le lycée, seuls établissements où la biométrie a été autorisée. Concernant les données biométriques, le G29 se contente de noter dans 306 Guchet, Xavier (2004), art. cit. 307 G29 (2009), avis n°2/2009 sur la protection des données à caractère personnel de l'enfant (Principes généraux et cas particulier des écoles), adopté le ii février 2009. Chapitre III:La CNIL, texte réglementaire et doctrine p. 126 certains cas la violation du principe de proportionnalité et des « effets excessivement intrusifs », et recommande « vivement » « de permettre aux représentants légaux de s'opposer facilement à l'utilisation des données biométriques de leur enfant », en incluant une clause d'opt-out dans les dispositifs biométriques à l'école, ce qui, à l'égard de la CNIL et en comparaison avec le Royaume-Uni, n'a pas grande portée. On pourrait toutefois argumenter à partir de son avis que, si, a priori, seul « l'intérêt supérieur de l'enfant » permet de limiter son droit à la vie privée, l'exemple donné étant en particulier le traitement des données de santé dans l'intérêt de l'enfant, on ne voit pas en quoi la finalité de gestion, invoquée implicitement pour l'instauration de la biométrie à l'école, puisse limiter son droit à la vie privée, qu'on peut, en l'espèce, estimer requérir l'interdiction de toute forme de biométrie. En effet, en opposition diamétrale avec les propositions du livre Gixel, le G29 attire bien l'attention sur la nécessité de responsabiliser l'enfant eu égard à la protection de la vie privée, finalité dont on peut difficilement dire qu'elle serait réalisée en les assujettissant à des dispositifs biométriques. Certes, la finalité officiellement invoquée n'est pas de gestion, mais de contrôle d'accès. Celui-ci est-il dans « l'intérêt supérieur de l'enfant »? Quoi qu'il en soit, la CNIL ne parvient à rendre cohérente sa doctrine qu'en écartant certaines finalités réelles, dont elle se montre pourtant parfaitement consciente dans ses rapports d'activité, et en acceptant de ne retenir officiellement qu'une finalité, le « contrôle d'accès », ce qui lui permet en retour d'affirmer le caractère « proportionné » du dispositif. L'interprétation du principe de proportionnalité dépend ainsi directement de l'exclusion du texte juridique de finalités sociales, économiques et politiques qui président à l'établissement des dispositifs biométriques dans les écoles, finalités que la CNIL n'ignore cependant pas. Paradoxalement, le « gardien des libertés » que devait être la CNIL à l'égard du pouvoir politique devient ainsi plus laxiste que d'autres centres de pouvoir, dont la mairie de Paris ou le conseil général de l'Hérault. Voulant se montrer crédible et légitime en adoptant une position modérée, la CNIL s'expose toutefois à se faire doubler par d'autres instances, associatives, politiques, etc., quitte à susciter une exaspération conduisant à la remise en cause de l'ensemble de son activité3°8. On peut certes défendre la CNIL en insistant sur le 308 Forest, David (2008), « A 3o ans, la Cnil est déjà à bout de souffle », Libération, 4 janvier 2008 ; Vadrot, Claude-Marie (2007), « La CNIL occupée » (encadré de l'article « Plaidoyer contre le fichage »), Politis, 14 décembre 2007 ; Leprince, Chloé (2008), « Cnil : trente ans contre la « tyrannie de l'ordinateur » », Rue 89, 6 janvier 2008;. Chapitre III:La CNIL, texte réglementaire et doctrine p. 127 manque de moyens dont elle dispose ou sur les garde-fous qu'elle a pu mettre en place; il n'en demeure pas moins que, concernant la biométrie à l'école, la « menace », si menace il y a, ne provient pas de l'Etat, mais du lobbying des entreprises et de l'administration des établissements scolaires, et que certaines collectivités territoriales se montrent plus offensives que la CNIL sur son propre terrain. Enfin, on remarque que malgré l'apparente stabilité de la doctrine de la CNIL, apparence que celle-ci semble favoriser à travers ses communiqués et ses rapports d'activité exposant ce qu'elle-même qualifie de « doctrine », on a pu toutefois constater une inflexion de celle-ci à partir de 2006, date à laquelle elle a introduit explicitement, au cours de ses délibérations, le critère de l'information des représentants légaux des élèves et de leur droit de refuser le dispositif biométrique. Il est frappant de constater que la CNIL n'attire pas davantage l'attention sur ce qui apparaît bel et bien comme un renforcement de la protection des personnes, effectué au moment même où elle s'apprête à délivrer une autorisation unique favorisant la généralisation du dispositif de reconnaissance géométrique de la main dans les restaurants scolaires. La biométrie dans les prisons La CNIL a aussi autorisé de tels dispositifs pour les détenus, dotés depuis un arrêté de 2003 d'une « carte d'identité intérieure » et « infalsifiable », sur laquelle figure le nom, la photographie et le numéro d'écrou du détenu, permettant une comparaison, via un lecteur biométrique, avec les données nominatives du détenu, comportant en outre son empreinte palmaire, enregistrées sur une base centrale propre à chaque établissement pénitentiaire (délib. n°03-0273°9). Ce faisant, la CNIL « a exprimé sa préférence pour les techniques n'impliquant pas la constitution d'une base centrale regroupant des gabarits biométriques d'individus » tout en relevant que chaque base centrale créée « sera propre à chaque établissement et ne sera pas interconnectée avec d'autres traitements. » Elle a aussi noté l'effacement des informations nominatives dès le départ du détenu de l'établissement pénitentiaire 3°9 Délib. n°o3-o27 du 22 mai 2003 et arrêté du io juin 2003 portant création d'un système de reconnaissance biométrique de l'identité des détenus Chapitre III:La CNIL, texte réglementaire et doctrine p. 128 (que ce soit dans le cadre d'une libération ou d'un transfert) et sa remise de la carte d'identité intérieure. Elle note aussi que les « seuls destinataires des informations nominatives relatives aux détenus qui sont collectées et traitées au moyen de cette application sont les surveillants de l'établissement pénitentiaire concerné. » Soulignons enfin que si le droit d'accès aux informations nominatives est prévu, le droit d'opposition est, s'agissant de détenus, logiquement écarté. A cet égard, on note d'abord que depuis la réforme de 2004 de la loi Informatique et libertés, un simple arrêté n'aurait pu établir ce système, qui aurait dû être autorisé en décret pris en Conseil d'Etat (art. 27, I-2, de la loi de 1978). Soulignons ensuite le caractère de proclamation, voire d'invocation, de cet arrêté, qui qualifie cette carte d'identité d'« infalsifiable », écartant ici, par un effet de rhétorique juridique, toute possibilité de faillibilité de la technique biométrique en question, et ce au défi de la réalité, fût-elle exceptionnelle. Rappelons qu'il s'agit avant tout d'un calcul de probabilité et de similitude opéré entre le gabarit de l'empreinte palmaire enregistré et la morphologie de la main présentée par le détenu. Certes, le dispositif s'appliquant à une population limitée, on peut espérer une très haute fiabilité; l'erreur et la simple coïncidence ne peuvent toutefois jamais être écartés, ni non plus les astuces des experts en contrefaçon... d'autant plus que la carte elle-même ne comporte que le nom, la photographie et le numéro d'écrou du détenu; son caractère « infalsifiable » provenant davantage de sa liaison avec le système central ayant enregistré le gabarit de l'empreinte palmaire, les possibilités techniques de falsification sont simplement déplacées de la carte au système informatique, exigeant dès lors non plus des compétences en contrefaçon, mais plutôt en programmation informatique. Dès lors, le caractère « infalsifiable » de la carte est en dépendance directe avec le niveau de sécurité, physique et informatique, du système informatique de l'établissement pénitentiaire. Prétendre qu'un tel niveau puisse prévenir de façon « sûre à 100% » toute intrusion relève à l'évidence d'une déclaration de principe n'ayant que peu à voir avec les faits, lesquels se contentent de probabilités. L'introduction de la biométrie dans les parloirs a ainsi pu être qualifiée de « gadget sécuritaire » très coûteux (50 00o euros par installation, près de 9,5 millions d'euros pour l'ensemble des prisons en 2003), les évasions par substitution étant Chapitre III:La CNIL, texte réglementaire et doctrine p. 129 rares bien que hautement médiatisées31O A suivre ces critiques de la biométrie, il semble bien qu'une telle mesure relève davantage de l'effet d'annonce propre à bien des mesures prises dans le cadre des politiques de sécurité, effet qui a pu conduire Denis Salas a parler de « populisme pénal »311, plutôt qu'à une volonté véritable de trouver une solution sociale aux problèmes posés par la « délinquance ». La rhétorique politique se dépose ici dans le texte juridique lui-même, comme pour lui donner plus de force et de réalité. Par ailleurs, il n'est pas impossible que, dans un futur proche, les bracelets électroniques utilisés dans le cadre de la surveillance électronique, fixe ou mobile, soient dotés de dispositifs biométriques. En effet, le décret n°2004-243 du 17 mars 2004312 a introduit la possibilité de compléter le bracelet électronique utilisé dans le cadre du placement sous surveillance électronique fixe3~3 « par d'autres procédés de surveillance électronique permettant une authentification vocale ou digitale à des fins de vérification à distance de la présence de l'intéressé. » (art. R57-11 du Code de procédure pénale). L'année suivante, la loi « sur la récidive des infractions pénales » a introduit le PSEM (« placement sous surveillance électronique mobile »)3~4, mesure qui n'est pas seulement une peine ou un aménagement de peine, comme le PSE fixe, mais peut-être prononcée dans le cadre d'une libération conditionnelle, d'un suivi socio-judiciaire ou d'une surveillance judiciaire3~5. La CNIL a alors examiné un projet de décret qui prévoyait aussi de compléter le bracelet électronique par les mêmes dispositifs biométriques. Elle a alors réclamé des précisions sur le dispositif 310 Dupont, Thierry (2003), « La biométrie légalisée dans les prisons françaises », ier juillet 2003, http://www.transfert.net/a9o58 311 Salas, Denis (2005), La volonté de punir. Essai sur le populisme pénal, Hachette Littératures, Paris, 2005. 287 p. 312 Décret n°2004-243 du 17 mars 2004 relatif au placement sous surveillance électronique et modifiant le code de procédure pénale (deuxième partie : Décrets en Conseil d'Etat), publié au JO le 20 mars 2004. 313 Introduit pour la première fois par la loi n° 97-1159 du 19 décembre 1997 consacrant le placement sous surveillance électronique comme modalité d'exécution des peines privatives de liberté. 314 Selon le Code de procédure pénale (art. 763-10 et sq.), « le placement sous surveillance électronique mobile ne peut être ordonné qu'à l'encontre d'une personne majeure condamnée à une peine privative de liberté d'une durée égale ou supérieure à sept ans et dont une expertise médicale a constaté la dangerosité, lorsque cette mesure apparaît indispensable pour prévenir la récidive à compter du jour où la privation de liberté prend fin. » 315 Cf. CNCDH (Commission nationale consultative des droits de l'homme), « Les prisons en France, vol. 2. Alternatives à la détention : du contrôle judiciaire à la détention », étude réalisée par Sarah Dindo, La Documentation française, 2007, en part. pp.87-92. Chapitre III:La CNIL, texte réglementaire et doctrine p. 13O biométrique, demandant que ces dispositions soient disjointes du projet de décret 316 Sur ce point, elle a été entendue317. Enfin, la loi du 25 février 2008 a introduit la notion de « surveillance de sûreté » qui s'ajoute aux autres mesures de suivi socio-judiciaire prévoyant le PSEM318, lequel, pour l'instant, ne comporte pas de dispositif biométrique, mais un dispositif de géolocalisation3~9. La reconnaissance du réseau veineux de la main et l'AU-o19 La CNIL encourage l'usage de dispositifs fonctionnant à l'aide de la reconnaissance du réseau veineux des doigts de la main comme alternative « sans trace » aux empreintes digitales, à des fins de contrôle d'accès32O. Elle a émis en mai 2009 une troisième autorisation unique à ce sujet, restreinte à la finalité de contrôle de l'accès des locaux sur les lieux de travail321 En effet, elle « considère que le réseau veineux des doigts de la main, en l'état actuel de la technique, est une biométrie sans trace dont l'enregistrement sur un terminal de lecture-comparaison aux fins de contrôler les accès aux locaux ne comporte pas de risques particuliers pour les libertés et les droits fondamentaux des personnes. »322 Ce pourquoi elle autorise ces dispositifs, depuis 2007, même en l'absence d'impératif de sécurité. Ainsi, elle en a admis un, en juin 2009, qui visait à empêcher 3i6 Délib. n° 2007-109 du 24 mai 2007 portant avis sur le projet de décret en Conseil d'Etat présenté par le ministère de la justice relatif au placement sous surveillance électronique mobile des condamnés 317 Décret n° 2007-1169 du ler août 2007 modifiant le code de procédure pénale (deuxième partie : Décrets en Conseil d'Etat) et relatif au placement sous surveillance électronique mobile, publié au JO le 3 août 2007; 318 Voir l'avis de la CNIL: Délib. n° 2008-183 du 3 juillet 2008 portant avis sur le projet de décret modifiant l'article R. 61-12 du code de procédure pénale relatif au placement sous surveillance électronique mobile dans le cadre d'une surveillance de sûreté, JO 5 novembre 2008. 319 Arrêté du 23 août 2007 portant homologation du procédé de surveillance électronique mobile pris pour application du décret n° 2007-1169 du ler août 2007 (...) relatif au placement sous surveillance électronique mobile, publié au JO le 12 septembre 2007. 320 Voir, entre autres, délib. n°2009-360 du 18 juin 2009; 2009-220, 2009-227 à 230, 2009-248 du 7 mai 2009; 2009-171 à 174, 187 à 189, 191, 193, 195, du 26 mars 2009; 2009-128 à 133 du 26 février 2009; délib. n°2007-335 à 2007-339 du 8 novembre 2007, etc. Toutes ont une finalité de contrôle d'accès. 321 Délib. n°2009-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail 322 Délib. n°2009-227 du 7 mai 2009, dispositif de l'INSERM. Chapitre III:La CNIL, texte réglementaire et doctrine p. 131 la fraude lors d'examens en contrôlant les salles d'examen3~3. Il s'agissait du « Graduate Management Admission Test », un examen passé par 200 000 candidats dans 110 pays différents visant à donner accès à environ 1 800 écoles étasuniennes. Dans d'autres pays, l'association utilise des dispositifs d'empreintes digitales. En France, elle a installé ce dispositif via un sous-traitant ayant adhéré aux principes du « Safe Harbour » concernant l'échange transatlantique des données personnelles. Les gabarits, cryptés, sont conservés pour la durée de l'examen sur un poste de contrôle, afin d'éviter une substitution de candidats durant l'épreuve, puis transférés, parallèlement aux informations nominatives concernant le candidat, à un poste central aux Etats-Unis, où les données sont conservées cinq ans, durée de validité du test. Le dispositif vise officiellement deux finalités: éviter la fraude lors de l'examen, et d'autre part éviter qu'une même personne se présente plusieurs fois sous des noms différents. Si le lecteur biométrique rejette le candidat lors de l'examen, celui-ci est néanmoins autorisé à le poursuivre, tout litige faisant l'objet d'une procédure supplémentaire. Ce dispositif est particulièrement intéressant: nonobstant les motifs d'autorisation de la CNIL, qui s'est assurée de l'encadrement du système, il n'en demeure pas moins qu'il marque une extension de la logique qui était à l'oeuvre, depuis la fin des années 1980, pour le contrôle des demandeurs d'asile, au secteur commercial et éducatif. On peut s'interroger sur les conséquences de cette autorisation, qui non seulement considère qu'un dispositif biométrique est légitime, au vu du principe de proportionnalité et de nécessité, pour contrôler une salle d'examen, et que les conditions spécifiques de cet examen constituent des « raisons sérieuses » d'utiliser ce dispositif, mais qui entérine de surcroît la conservation par une entreprise privée, durant cinq ans, des caractéristiques biométriques des candidats. Outre cet exemple particulier, elle a autorisé de tels dispositifs pour « sécuriser l'accès du personnel » aux locaux de l'hôtel Neuilly3~4 ou d'une maison de retraite3~5; l'accès au stock de la société Nord Orthopédie326; l'accès de la trésorerie de la banque 323 Délib. n°2009-360 du 18 juin 2009 (Graduate Management Admission Council (GMAC) ; réseau veineux de la paume ; contrôler l'accès à des salles d'examen ; empêcher la substitution de candidat) 324 Délib. n°2009-248 du 7 mai 2009. 325 Délib. n°2009-173 du 26 mars 2009 326 Délib. n°2009-229 du 7 mai 2009 Chapitre III:La CNIL, texte réglementaire et doctrine p. 132 Accord3~7; l'accès à une pharmacie à l'intérieur d'une résidence328 ou dans certains « locaux stratégiques » de l'Institut des Neurosciences de Grenoble3~9; l'accès à des postes informatiques d'une société de maintenance informatique33°, etc. Bref, si l'impératif de sécurité peut parfois exister, il est d'autres fois faible, et la CNIL n'évoque que rarement cette raison, admettant même des installations qu'on pourrait qualifier de « confort », par exemple dans le cas suivant: « Le dispositif doit permettre de sécuriser l'accès aux locaux professionnels. Le choix d'un dispositif biométrique répond à la nécessité de prévenir les risques liés à la perte et aux vols des badges et des clés. »331 L'autorisation unique n°019332, comme les autres AU, exclut les mineurs de son application, ainsi que le contrôle des horaires, et n'autorise que l'enregistrement du gabarit et non d'une photographie ou d'une image du réseau veineux. B. LES DISPOSITIFS DE RECONNAISSANCE FACIALE, UN STATUT AMBIGU La CNIL n'a eu à examiner que très récemment des dispositifs de reconnaissance faciale. Si elle ne les a pas explicitement qualifié de technologie « à trace », elle a indiqué les problèmes que cette technologie soulève actuellement: «D'une manière générale, la Commission observe qu'une donnée biométrique constitue un élément d'identification dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. Elle souligne que ce risque est d'autant plus grand en matière de reconnaissance faciale que l'image du visage peut être aisément captée et utilisée à l'insu de la personne concernée. »333 327 Délib.n°2009-220 du 7 mai 2009 32$ Délib. n°2009-191 du 26 mars 2009 329 Délib. n°2009-193 du 26 mars 2009 33° Délib. n°2007-339 du 8 novembre 2007 ( Hitachi Data Systems ; réseau veineux des doigts de la main ; contrôle de l'accès au système d'information) 331 Délib. n°2oo7-338 du 8 novembre 2007 (Etudes et Développement en Electronique Numérique (EDEN); réseau veineux des doigts de la main ; contrôle de l'accès aux locaux) 332 Délib. n°2oo9-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail. 333 Délib.n°2oo9-315 du 7 mai 2009 (refus; GMB Electronique; reconnaissance visages; contrôle accès) Chapitre III:La CNIL, texte réglementaire et doctrine p. 133 Dès lors, elle interprète ici le principe de proportionnalité comme requérant un « impératif de sécurité », en raison de deux risques tenant à l'utilisation de la photographie numérisée pour:
Ayant refusé en l'espèce son autorisation, elle l'a accordée dans un autre cas, où il s'agissait de « contrôler l'accès d'un nombre limité de personnes à certaines parties » des locaux de Novadis335. Elle a motivé son autorisation en soulignant trois facteurs :
Chapitre III:La CNIL, texte réglementaire et doctrine p. 146
3.La biométrie dans l'entreprise
D/ LA BIOMÉTRIE HORS LA LOI: ENTREILLÉGALITÉ ET RÉGULARISATION
CHAPITRE IV: L'INTÉGRITÉ DUCORPS HUMAIN
A/ L'IDENTIFICATION GÉNÉTIQUE
B/ LA BIOMÉTRIE DANS L'ENTREPRISE ET LA DIGNITÉ DE LA PERSONNE
1. Analyse du jugement du TGI d'avril 2005
De cette description concise du dispositif, il est évident qu'il inclut un badge comportant les gabarits biométriques des empreintes digitales. Mais la référence, à deux reprises, à l'existence d'un « lecteur biométrique », qui vient redoubler le contrôle de vérification effectué à l'aide du badge, via l' « application du doigt sur un lecteur », permet d'inférer l'existence probable d'un système central. Le dispositif en question aurait donc stocké les données à la fois sur un badge individuel, numéroté, et dans une base centrale (le lecteur biométrique). La même ambiguïté est présente dans le commentaire de D. Touchent, qui note bien l'existence du lecteur, tout en 455 M.-L. Laffaire et T. Elm, « Biométrie, la première décision d'une longue série », Expertises, août-septembre 2005, p.299 sq. (en part. p.302), cité par Agathe Lepage, « La biométrie refoulée de l'entreprise », Corn. Corn. Elec. N°10, octobre 2005, comm. 164. 456 Nous soulignons. Chapitre N:L'intégrité du corps humain p. 175 considérant qu'il s'agit d'un système sur support individuel. Il en conclut, à tort estimons-nous, que le jugement contredit les exigences de la CNIL 457. On peut inférer de ces commentaires soit que la doctrine a présumé que le stockage sur un « lecteur biométrique » s'identifiait au stockage sur badge (ce que le jugement réfute explicitement), et ne constituait de toute façon pas un stockage sur système central. Or, le guide de la CNIL de 2007 sur l'usage des empreintes digitales inclut explicitement le stockage sur lecteur comme forme de stockage sur support centra1458. Soit « la doctrine » - les deux explications pouvant se combiner -- a tout simplement omis l'existence du lecteur biométrique sur lequel les empreintes digitales étaient aussi stockées. La formulation du jugement, qui insiste sur le système du badgeage, l'a ainsi induit en erreur, puisqu'il résulte clairement de la lettre envoyée aux employés que les empreintes digitales étaient stockées à la fois sur les badges individuels et sur le lecteur individuel : « le courrier individuel adressé aux salariés le 25 novembre 2004 qui présente le nouveau mode de gestion et contrôle des temps de présence par badgeage (...) précise que « l'empreinte partielle est stockée uniquement dans la mémoire du lecteur. »459 La société Effia utilisait donc simultanément un système stockant les données sur support individuel (badge) et dans une base de données centrales (lecteur biométrique), contrairement à ce que semble avoir inféré la doctrine. Du reste, seule cette interprétation de la description du dispositif en cause permet de comprendre l'allusion des juges, par la suite, à la « constitution d'une base de données d'empreintes digitales ». 457 La CNIL, dit-il, « estime que si l'empreinte digitale est stockée uniquement dans un support personnel comme la carte à puce, le dispositif ne pose pas de difficultés au regard de la loi « informatique et libertés ». / La société EFFIA semble répondre aux exigences de la CNIL puisque l'empreinte partielle ainsi relevée est stockée uniquement dans la mémoire du lecteur. » (Dahmène Touchent, « La mise en oeuvre d'un système de badgeage par empreintes digitales dans l'entreprise », La Semaine juridique, Entreprise et Affaires n°37, 15 septembre 21305, 1337). 458 « C'est pourquoi (...) la Commission estime nécessaire de rappeler et de préciser les principaux critères sur lesquels elle se fonde pour examiner les demandes d'autorisation des dispositifs biométriques reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur. » (« Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007 -- les italiques sont les nôtres). 459 Nous soulignons. Chapitre N:L'intégrité du corps humain p. 176 Dès lors, ce jugement ne permet pas d'inférer qu'un tribunal condamnerait probablement une entreprise mettant en place un dispositif à finalité semblable mais ne comportant pas de stockage central. Les seuls éléments pouvant guider la doctrine à cet égard résident dans les délibérations de la CNIL, qui limite explicitement l'usage de dispositifs fonctionnant à l'aide d'empreintes digitales (quel qu'en soit le support) à des finalités de contrôle d'accès. Néanmoins, nous avons vu que la CNIL avait pu autoriser des dispositifs stockant les empreintes digitales sur support individuel à des fins mixtes de contrôle d'accès et de contrôle des horaires46o Sur le fond du jugement, les commentateurs se sont plus ou moins divisés en deux camps, les « pros » et les « anti ». Ceux-là ont relevé d'une part que, dans cette décision, le TGI fait incomber la charge de la preuve à l'entreprise: c'est elle qui doit montrer que le dispositif est adéquat et proportionné461 Interprétation qui repose sur la phrase « il n'est pas prétendu par la société Effia Services que la seule mise en place d'un système de badge ne serait pas de nature à permettre de contrôler efficacement les horaires des salariés sans avoir recours à un procédé d'identification comportant des dangers d'atteintes aux libertés individuelles dont la nécessité n'est pas démontrée. » En d'autres termes, l'entreprise devrait démontrer que les autres dispositifs sont insuffisants; la validité de cette démonstration dépend bien entendu d'une perception préalable du risque, perception sujette à évoluer en fonction de la conjoncture sociale et politique. Rappelant les réserves de la CNIL à l'égard des dispositifs fonctionnant à l'aide d'empreintes digitales, en particulier sur support central, tout en soulignant ses autorisations lorsqu'il s'agit de répondre à des finalités sécuritaires, A. Lepage conclut ainsi par une exhortation à l'égard des juges: « Espérons que la jurisprudence saura à son tour envisager les systèmes biométriques par reconnaissance des empreintes digitales avec suffisamment de souplesse et de nuances afin de ne pas entraver de façon excessive le développement de pratiques qui, maniées avec la prudence qui s'impose, peuvent se révéler d'une grande utilité. »462 Etant donné le contexte de la décision commentée et le contenu du commentaire, on peut interpréter cela comme 46o Délib. n02006-069 du 16 mars 2006 (Brisach SAS ; empreintes digitales ; contrôle des horaires et le contrôle de l'accès aux locaux) 461 Lepage, Agathe (2005), « La biométrie refoulée de l'entreprise », Corn. Corn. Elec. N°1o, octobre 2005, comm. 164. 462 Ibid. Chapitre N:L'intégrité du corps humain p. 177 un appel discret à l'autorisation de dispositifs biométriques utilisant les empreintes digitales sur support individuel dans des contextes autres que le simple contrôle d'accès à finalité sécuritaire. Bref, une partie de la doctrine se montre sans aucun doute critique à l'égard de la CNIL, considérée comme trop frileuse à l'égard des « nouvelles technologies »463. 2.Le contrôle d'accès biométrique met-il en jeu l'intégrité du corps ou la dignité ?Au pôle opposé, on a la critique de D. Touchent464, qui souligne une autre ambiguïté alléguée du jugement : tout en admettant que l'utilisation biométrique de l'empreinte digitale « met en cause le corps humain et porte ainsi atteinte aux libertés individuelles », le TGI admet cette remise en cause lorsqu'il s'agit d'une « finalité sécuritaire ou protectrice de l'activité exercée dans des locaux identifiés. » Or, selon D. Touchent, « l'intégrité du corps humain et la manière dont il est utilisé par la biométrie constitue un aspect de la dignité humaine. » Dès lors, « la mise en place du badgeage par empreintes digitales ou tout autre système basé sur des éléments mettant en cause le corps humain doit être interdit. Si on autorise ce genre de procédé, rien ne permet de dire que, dans les années à venir, l'employeur ne pourra pas invoquer l'usage d'une puce sous-cutanée pour des impératifs de sécurité et de compétitivité de l'entreprise », ce qui ne relève pas, comme le remarquait la CNCDH, de la science-fiction465. « Les seules atteintes possibles [à la dignité humaine], poursuit-il, sont celles opérées par l'autorité administrative ou judiciaire et qui sont justifiées par la protection de l'ordre public ou de la sécurité des personnes. »466 Si ce dernier point concorde avec la jurisprudence précitée du Conseil constitutionnel, il n'en va probablement pas de même du prélèvement des empreintes digitales: on peut présumer que celui-ci ne serait pas considéré comme douloureux, invasif ou « attentatoire » à la dignité, et telle semble être la position adoptée par la jurisprudence. 463 Barbry, E. (2005) « La biométrie dans l'entreprise: quand l'innovation se heurte à la culture de l'interdit », Gazette du Palais, 20-21 juillet 2005, p.7 464 Dahmène Touchent, « La mise en oeuvre d'un système de badgeage par empreintes digitales dans l'entreprise », La Semaine juridique, Entreprise et Affaires, n°37, 15 septembre 2005,1337. 465 CNCDH, avis du ler juin 2006 précité. 466 Ibid. Chapitre N:L'intégrité du corps humain p. 178 On voit que la position de Touchent s'oppose frontalement à celle des soutiens de l'usage de la biométrie utilisant les empreintes digitales dans le cadre de l'entreprise. D'une « mise en cause du corps humain » admise par le TGI, Touchent dérive une « atteinte à la dignité humaine », laquelle est constitutionnellement protégée. La dignité du travailleur est en outre spécifiquement protégée par la Charte des droits fondamentaux proclamée lors du sommet de Nice (art. 31), laquelle, certes, ne possède pas de statut contraignant en droit (ni communautaire, ni français)467 Toutefois, la Cour de cassation a reconnu au salarié le droit à la dignité sur le fondement de l'art. L12o-2 du Code du travai1468 Précisons que la « mise en cause du corps humain » ne correspond, à strictement parler, à aucun texte juridique explicite, contrairement à l' « atteinte à l'intégrité du corps humain » (art. 16-3 du Code civil). La Cour se serait ainsi montrée prudente. On considère d'ordinaire qu'il y a violation de l'intégrité physique du corps quand on outre-passe ses frontières (s'il y a « intrusion » ou « intervention corporelle interne », pour reprendre les termes du Conseil constitutionnel). Toutefois, certains dispositifs biométriques, en opérant à distance pour sonder l'intimité des personnes (on pense surtout à des applications futures de celles-ci, mêlant vidéosurveillance, reconnaissance faciale et contrôle des paramètres physiologiques de la personne, ou encore au « scanner corporel »469), pourraient conduire à interroger cette notion de « frontières du corps ». En effet, il devient de plus en plus envisageable de traverser celles-ci à distance, sans contact physique: de fait, sinon en droit, l'atteinte à l'intégrité du corps ne se réduit pas à une « intervention corporelle interne ». On peut invoquer un certain nombre de textes à l'appui de la position de Touchent, qui ne vise pas seulement à qualifier le dispositif biométrique en question d' « atteinte à l'intégrité du corps humain », mais de violation de la dignité de la personne. Ainsi, le rapport du Conseil de l'Europe relatif à la Convention 108 sur la protection des données personnelles souligne que certaines personnes « éprouveront une résistance psychologique à l'idée que le corps humain soit utilisé comme une 467 *La Charte européenne des droits fondamentaux est entrée en vigueur conjointement avec le traité de Lisbonne, le 167' décembre 2009 (art. 6 du Traité sur l'UE). Elle concerne le droit communautaire (y compris lorsque des Etats membres de l'UE applique celui-ci). 468 Cass. Soc., 25 février 2003, pourvoi n°oo-42301: Juris-Data n°2003-017934; JCP E2003, 612, cité par D. Touchent, art. cit. 469 Utilisé dans les aéroports, celui-ci « déshabille » la personne, équivalant, selon le Parlement européen, à une « fouille au corps corporelle ». Cf. Résolution du Parlement européen du 23 octobre 2008 sur l'impact des mesures de sûreté de l'aviation et des scanners corporels sur les droits de l'homme, la vie privée, la dignité personnelle et la protection des données Chapitre N:L'intégrité du corps humain p. 179 source d'information. D'autres encore n'accepteront pas qu'une partie de leur corps, ne serait-ce qu'un doigt, soit « analysée » par une machine. D'autres, peuvent exprimer leur inquiétude face à la banalisation sans considération du corps humain. La résistance peut dépendre de facteurs socioculturels, religieux ou propres à chaque individu. » Quoiqu'un tel constat puisse aisément être estimé véridique, un tel rapport n'a cependant pas de statut juridiquement contraignant. De plus, par le caractère subjectif de l'appréhension, on peut supposer que cela n'induirait qu'une obligation de recueillir le consentement de la personne concernée, ce qui est déjà le cas actuellement , bien que la nature des relations de travail puisse faire douter de l'entière liberté de ce consentement. La CNIL, tout comme le G2947° et l'Autorité grecque de protection des données 471, ont d'ailleurs souligné le caractère de dépendance propre aux relations de travail. L'Autorité grecque a indiqué à plusieurs reprises que le consentement n'était pas un critère de jugement vis-à-vis de la légalité d'un dispositif biométrique lorsque celui-ci ne répondait pas aux critères de proportionnalité et de finalité472 . En effet, dans un cas analogue, celui du refus des Témoins de Jéhovah opposé aux transfusions sanguines, leur consentement vis-à-vis de celles-ci est nécessaire, au vu de la loi du 4 mars 2002 sur les droits des patients, du moins tant que leur vie n'est pas en jeu. Il en va de même pour la vaccination obligatoire, considérée par la Cour européenne des droits de l'homme comme une atteinte à la vie privée473. Cependant, s'il s'agit réellement de « dignité de la personne », le principe de consentement, comme le remarque à plusieurs reprises l'Autorité grecque (HDPA), n'est pas suffisant ni même requiem. Or, plusieurs autorités morales considèrent que la biométrie engage la dignité de l'homme. Ainsi, la Commission nationale consultative des droits de l'homme affirme que la « collecte de ces éléments représentatifs de l'être touche la dignité humaine en ce qu'elle réduit chacun à 47° G29, avis n°8/2001.; Debet, Anne (2007), « Mesure de la diversité et protection des données personnelles », rapport de la CNIL, 15 mai 2007, p.14. 471 Autorité grecque de protection des données (2001), directive n°115/2001 concernant la protection des données personnelles des travailleurs (« workers »). 472 HDPA, décision n°245/9 du 20 mars 2000 concernant un dispositif de reconnaissance d'empreintes digitales utilisé à des fins de contrôle de la présence des employés. 473 CEDH, Salvetti u. Italie, 9 juillet 2002. 474 Cf. l'arrêt célèbre du Conseil d'Etat, Morsang-sur-Orge, 27 oct. 1995, sur le « lancer de nains ». Cf. infra pour l'HDPA. Chapitre N:L'intégrité du corps humain p. 180 l'extraction de son patrimoine biologique », doté d'une « vie propre » à travers la constitution d'un double numérique de la personne475. Selon Touchent, l'interdiction des dispositifs biométriques faisant appel aux empreintes digitales dans l'entreprise se justifierait donc au regard de la dignité humaine, et de la dignité du salarié, laquelle ne peut être limitée par les finalités de l'entreprise, contrairement aux libertés individuelles et collectives du salarié: il s'agit d'un « minimum incompressible ». Aussi, ce commentateur ne regrette pas qu'une décision timide du TGI, mais met en cause la position de la CNIL, qui admet l'usage des dispositifs faisant appel aux empreintes digitales, principalement à des finalités de contrôle d'accès. En faisant intervenir le concept de dignité, il cherche une limite maximale et une protection garantie, ce qui concorde mal avec le pragmatisme affiché de la CNIL. Certains qualifieraient sans doute la position de Touchent, visant à interdire catégoriquement tout dispositif biométrique portant atteinte à l'intégrité du corps humain, en tant qu'il constituerait une atteinte à la dignité, comme radicale. En effet, ce passage impliquerait non seulement que le consentement lui-même ne soit plus pris en compte, mais aucune finalité de l'entreprise ne permettrait de passer outre de cette interdiction. De plus, si la biométrie était considérée comme constituant effectivement une atteinte à la dignité, c'est-à-dire si la loi ou la jurisprudence admettaient ce jugement de valeur comme fondé en droit, comment expliquer que la dignité puisse être respectée dans le cadre de l'entreprise, où la biométrie serait interdite, et bafouée par l'Etat, au prétexte qu'il s'agirait d'impératifs souverains, d'ordre public ou de sûreté de l'Etat? Il semble donc plus cohérent de défendre l'interdiction de la biométrie dans l'entreprise à l'aide du concept d'intégrité du corps humain, plutôt qu'avec celui de dignité. 475 CNCDH, avis du ier juin 2006 précité. Chapitre N:L'intégrité du corps humain p. 181 3.La position de l'Autorité grecque de protection des donnéesNonobstant l'équivocité du concept de dignité, l'argumentation de Touchent rejoint néanmoins une position récurrente de l'Autorité grecque de protection des données personnelles (HDPA), qui invoque souvent l'appel à la dignité humaine et au droit de la personnalité pour justifier son refus de mise en place de dispositifs biométriques, y compris lorsque le consentement des personnes (en l'espèce, des employés) est, ou serait, acquis. Sa directive n°115/2001 sur la protection des données personnelles des travailleurs indique ainsi que tout traitement de données effectué dans le cadre d'une relation professionnelle doit respecter la vie privée, la personnalité et la dignité de la personne. Le consentement éventuel de l'employé n'annule en aucun cas l'illégalité éventuelle au regard de l'inadéquation du dispositif au principe de finalité, d'autant plus que le consentement, dans le cadre des relations professionnelles, peut être mis en doute. Selon l'Autorité grecque, certaines méthodes biométriques « offensent de manière flagrante la dignité humaine et la personnalité »476, par exemple le fait d'utiliser les dispositifs de reconnaissance d'empreintes digitales à des finalités de contrôle d'horaires477. Non seulement l'Autorité grecque n'autorise ces dispositifs qu'en cas de contrôle d'accès sécurisé, mais les exemples qu'elle donne dans cette directive visant à expliquer sa doctrine sont beaucoup plus limités que l'interprétation de la CNIL de la notion de « fort impératif de sécurité »: il s'agit en effet d'installations militaires ou de laboratoires à haut-risque. Même s'agissant de dispositifs de reconnaissance de la main, l'Autorité grecque se montre plus stricte que la CNIL: elle n'a autorisé un tel dispositif installé par Attiko Metro qu'après un audit de sécurité, et à la seule condition que celui-ci n'enregistre pas le gabarit de la main sur support central et que le nom de l'employé ne soit pas non plus enregistré478. Les précautions prises sont donc plus larges que celle de la CNIL, qui autorise régulièrement l'utilisation de dispositifs de reconnaissance de la main, les gabarits étant stockés sur des supports centraux et souvent associés aux noms des sujets, sans compter qu'elle permet l'utilisation de ceux-ci dans des objectifs autres que celui de la sécurisation des locaux. 476 HDPA (2001), directive n°115/2001 (art. cit.), section E, §3. 477 HDPA (2000), décision n°245/9 du 20 mars 2000. 478 HDPA (2003), décision n°9/2003 du 31 mars 2003. Outre ces décisions prises dans le cadre de la protection des données personnelles d'employés, nous avons déjà évoqué le refus de l'Autorité grecque vis-à-vis du dispositif expérimental que l'aéroport d'Athènes voulait mettre en oeuvre479. On peut aussi évoquer la décision courageuse, qui lui a valu une forte opposition de la part de l'Eglise orthodoxe, visant à éliminer non seulement la mention de la religion des cartes d'identité, mais aussi l'enregistrement sur celles-ci des empreintes digitales. Ses motifs méritent d'être cités, au regard de la politique européenne actuelle concernant les documents de voyage et d'identité: « [Les empreintes digitales] ne sont pas nécessaire pour la vérification de l'identité du sujet [data subject] puisque celle-ci est, en principe, évidente à partir de la photographie. De plus, selon la perception ordinaire, l'empreinte digitale (« fichier ») est associée avec le soupçon ou l'assurance [ascertainment] d'une activité criminelle (« branded criminals »). Attribuer un tel caractère [i.e. criminel] à la population grecque entière, même en tant que potentialité, excède les mesures nécessaires et offense la dignité humaine protégée par la Constitution. »480 Chapitre N:L'intégrité du corps humain p. 182 479 HDPA (2003), décision n°52/2003 du 5 novembre 2003 (cf. supra, chap. III, 2). 48o HDPA (2000), décision n°510/17 du 15 mai 2000; Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 183 CHAPITRE V: LA SÉCURISATIONBIOMÉTRIQUE DES DOCUMENTSDE VOYAGE ET D'IDENTITÉ« Accumuler les bases de données sans disposer d'une vision globale des résultats concrets et des lacunes:
Avis du contrôleur européen de la protection des données sur le projet de proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record -- PNR) à des fms répressives (2008), II, §35481 L'usage des technologies biométriques dans la sécurisation des documents de voyage et d'identité (passeports et cartes d'identité) est l'un des plus prometteurs sur le plan économique, puisqu'il engage à chaque fois des dizaines de millions de citoyens. La Commission européenne observait que, l'Europe étant la première destination touristique mondiale, plus de 300 millions de personnes, citoyens de l'UE et ressortissants de pays tiers confondus, traversent chaque année ses frontières extérieures, ce qui donne une idée de l'échelle des systèmes biométriques qui sont en cours d'instauration4$2. Depuis le ii septembre 2001, catalyseur d'une politique déjà impulsée auparavant, de nombreux Etats, dont ceux de l'Union européenne, ont amorcé une procédure de transition vers la biométrisation des documents de voyage et d'identité. Si les usages privés de ces technologies se multiplient, son usage administratif demeure très important, à la fois sur le plan économique et sur le plan 481 JO (Ur.) n° C 110 du 01/05/2008 p. 0001- 0015 ler mai 2008. Document n°52008XX0501(01). 4$2 Commission européenne (2009), « Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne », Bruxelles, le 13.2.2008, COM(2008) 69 final Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 184 sociétal, puisqu'il contribue à son acceptation, de gré ou de force, par les populations, et donc à une banalisation de ces techniques d'identification. Au niveau juridique, il bénéficie d'un statut spécifique tenant d'une part aux impératifs de souveraineté liés à l'usage de ces documents, d'autre part au caractère international de sa mise en oeuvre. Enfin, sur le plan de l'argumentation philosophique concernant la légitimité de ces instruments d'identification, la sécurisation des documents d'identité et de voyage permet de faire entrer d'autres arguments intéressants, notamment celui selon lequel la sécurisation de ces documents, loin de menacer le droit à la vie privée, permettrait au contraire de renforcer ce dernier en garantissant le « droit à l'identité » et en empêchant les usurpations d'identité483. On met alors l'accent sur l' « authentification », ou plutôt la vérification de l'identité, en passant sous silence le second aspect de ces nouveaux dispositifs, c'est-à-dire l'identification biométrique, qui permet de classer les individus dans certaines catégories (« recherché », « inconnu », « ayant droit », « électeur », etc.) voire d'instaurer un profilage des groupes et des individus. A l'opposé de l'argument de sécurisation de l'identité mis en avant par les promoteurs de ces techniques, l'accent mis sur les passeports conduit ainsi à accentuer l'influence que la biométrie exerce non plus à l'égard de la vie privée, mais sur la liberté d'aller-et-venir et la liberté de circulation, et, plus largement, sur un ensemble de droits sociaux, civils et politiques. La modernisation technologique des passeports, via la biométrie, permet en effet une « étreinte » supérieure de la société par l'Etat, pour reprendre le concept de John Torpey utilisé dans son histoire des passeports. L'identification biométrique s'applique d'abord aux migrants (la France créé ainsi le fichier dactyloscopique de l'OFPRA, ancêtre d'Eurodac, dès 1989, tandis que le Système d'information Schengen II doit classer parmi les « étrangers indésirables » ceux qui ont outrepassé leur durée de séjour autorisée484). Elle se généralise ensuite à l'ensemble de la population, avec l'établissement du passeport biométrique ou/et de cartes d'identité électroniques, qui permettent de différencier plusieurs catégories de citoyens et/ou de « non-citoyens », selon les droits dont ils disposent. 483 Pour un tel argument qui renverse celui qui considère la biométrie sous l'angle des menaces à la vie privée, cf. par ex. A. Etzioni, The Limits of Privacy, Basic Books, 1999, 280 p. (en part. p. 103-139, chapitre IV, intitulé « Big Brother or Big Benefits? ID cards and Biometric identifiers »). Etzioni était conseiller à la Maison Blanche de 1979 à 1980. 484 Cf. Van Buuren, Jelle (2003), « Les tentacules du système Schengen », Le Monde diplomatique, mars 2003. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 185 L'avènement de ces nouvelles technologies marque sans nul doute une nouvelle étape dans l'histoire de l'état civil et des « identités de papier », non seulement en raison du caractère biologique et physiologique des caractéristiques retenues, qui font l'objet désormais de mesures très précises et non plus simplement de signalements approximatifs, mais aussi par l'établissement concomitant de bases de données. Les contrôles d'identité, désormais, ne consistent plus en une simple comparaison entre le papier présenté et l'apparence physique du sujet contrôlé, mais peuvent impliquer soit une comparaison des données biométriques enregistrées sur la puce du document d'identité et la base de données qui y est attachée (vérification ou identification), soit une comparaison des caractéristiques biométriques du sujet à la base de données biométriques (système utilisé pour les demandes d'asile; identification). A terme, il se pourrait que le contrôle d'identité biométrique48 , consistant en une comparaison entre les caractéristiques biométriques du sujet, son document d'identité biométrique, et une base de données, et mêlant donc dans un même acte identification et vérification d'identité, puisse être instauré, ce qui affecterait l'ensemble de la population. Pour ces raisons, il convient davantage de parler, comme le suggère D. Lyon486, d'un « système de documents d'identité biométrique » plutôt que de simples « cartes » ou « passeports biométriques »: la liaison avec des bases de données informatisées d'une part, et avec les caractéristiques biométriques d'autre part, indique le caractère de cette véritable révolution de l'état civil, dont la première étape a été entamée avec l'informatisation des registres de l'état civil, effectuée sous l'égide de la Commission internationale de l'état civil (CIEC), qui recommandait notamment l'interopérabilité des systèmes de traitement des données d'état civi1487. Cette révolution de l'état civil conduit aussi à une redéfinition des frontières, celles-ci entrant dans un processus de déterritorialisation par rapport aux frontières géographiques fixes des Etats-nations, et se reterritorialisant de façon différenciée sur chaque individu. On pourrait dire aujourd'hui, malgré l'omniprésence des murs et barrières de sécurité aux 488 Voir le projet de recherches VINSI («Vérification d'Identité Numérique Sécurisée Itinérante ») développé par Thales Security Systems (CNIL, délib. n°2008-084 du 27 mars 2008 ; Thales Security Systems ; traitement automatisé ; données biométriques nécessaires au contrôle de l'identité). 486 Lyon, David, Rule, James B. et Combet, Etienne (2004), « Identity Cards: Social Sorting by Database », ier novembre 2004, Oxford Internet Institute Internet Issue Brief No. 3. 487 Recommandation n°8 du CIEC, relative à l'informatisation de l'état civil, adoptée par l'Assemblée générale de Strasbourg le 21 mars 1991. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 186 frontières488, que ce ne sont plus les individus qui franchissent les frontières, mais les frontières qui collent aux individus. Avant d'examiner l'instauration des documents d'identité biométrique d'abord aux Etats-Unis, puis, sous leur influence, dans l'Union européenne, nous allons nous interroger sur la « fraude documentaire » qui justifierait la mise en place de ces mesures. Cela nous donne l'occasion de nous arrêter sur la « chaîne de sécurité » dans laquelle se place les documents d'identité, de leur délivrance au contrôle d'identité, que nous examinons à la fin du chapitre afin d'en tirer quelques conclusions relativement à l'imbrication entre la reconnaissance par le face-à-face, l'identification par l'écrit et l'instauration des systèmes biométriques. Or, en France, le besoin ressenti de sécuriser cette « chaîne de l'identité » a conduit à la réforme de l'article 47 du Code civil sur les actes d'état civil effectués à l'étranger, suivi peu après par l' « amendement Mariani » ayant mis en place les tests ADN dans le cadre du regroupement familial. Outre montrer que la suspicion à l'égard des étrangers est l'un des mobiles décisifs de la mise en oeuvre de l'identification biométrique, ce que l'examen du contexte américain confirme, l'analyse de cette « chaîne d'identité » permet aussi de mettre à jour comment s'établit une échelle des statuts, ou un continuum d'exclusion ou d'inclusion, allant de la citoyenneté pleine et entière aux « déboutés du droit d'asile », en parcourant sur cet axe toutes les situations intermédiaires. Pour conclure, nous analysons l'arrêt de la Cour européenne des droits de l'homme de décembre 2008, S. et Marper contre Royaume-Uni: si à première vue celui-ci ne concerne pas les documents d'identité en tant que tels, puisqu'ils concernent deux individus réclamant aux autorités judiciaires l'effacement de leurs empreintes digitales et de leur échantillon ADN des bases de données britanniques relatives aux infractions pénales, il jette toutefois une étrange lumière sur l'ensemble du chapitre, qui lui-même donne à voir cet arrêt sous un éclairage équivoque. Si en effet la conservation de données biométriques, dans un fichier judiciaire, d'individus un temps mis en examen, mais finalement non condamnés, ne se justifie pas aux yeux de la Cour dans une « société démocratique », que penser de l'enrôlement des caractéristiques biométriques de l'ensemble de la population dans le cadre des documents d'identité et de voyage? Et étant donné cette tendance réelle à 488 Cf. Brown, Wendy (2009), « Souveraineté poreuse, démocratie murée », in Revue internationale des livres et des idées, n°i2, juillet-août 2009, p.3o-36. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 187 l'oeuvre, que penser d'un arrêt qui ne condamne pas tant le fichage biométrique, que le fait de ne pas discriminer entre « innocents » et « condamnés »? Y a-t-il une place pour l' « innocence » lorsque tout sujet, qu'il soit demandeur d'asile ou de titre de séjour, étranger en situation irrégulière ou citoyen européen, est « interpellé » dès qu'il demande un document d'identité ou de voyage, ses caractéristiques biométriques étant enregistrées dès le plus jeune âge? L'interpellation, au sens althussérien d'assujettissement ou d'assignation de l'identité, opère ici avant même le contrôle d'identité. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 188 A/ LA FRAUDE ET LA « CHAÎNE DEL'IDENTITÉ »: ÉTAT CIVIL ET NATIONALITÉLa « fraude documentaire à l'identité » est l'un des motifs majeurs utilisés pour justifier la mise en place de la biométrie. Celle-ci prend diverses formes: identité fictive, usurpation d'identité, échange d'identité, ou encore utilisation de l'identité d'une personne décédée489. Elle serait liée de près, selon les ministères de l'Intérieur et de la Justice, aux activités terroristes ou au crime organisé (en particulier en ce qui concerne les passeports ou cartes d'identité), mais aussi aux escroqueries ou abus de confiance; les faux permis de conduire49° seraient aussi utilisés pour « bénéficier des droits liés à la nationalité française », etc. Présentée comme indispensable pour ceux qui projettent des activités terroristes491, la fraude documentaire est aussi l'une des catégories d' « infraction terroriste » les plus retenues dans les enquêtes judiciaires françaises492. Cela suffit à attester de l'importance qu'attache l'Etat à la sécurisation de l'identité des personnes; s'y dérober, c'est à tout le moins préparer la voie à d'autres délits, et au pire projeter un attentat. La « lutte contre la fraude » a d'ailleurs été reconnue par le Conseil constitutionnel comme une composante de l' « ordre public »493. Néanmoins, malgré son importance alléguée, le coût exact de la fraude est inconnu et aucune estimation réelle de son importance quantitative n'a été faite494, ce qui permet de douter du bienfondé de cet argument quant à l'instauration de procédés biométriques. Dans ce contexte d'incertitude à l'égard des chiffres, on peut aussi présumer que la plus grande partie des fraudes, qui ne sont pas nécessairement enregistrées, aurait rapport non pas avec le terrorisme, mais plutôt avec la conduite automobile ou encore le séjour des étrangers en situation irrégulière. 489 Rapport Lecerf (2005), p.13-28. 49° Selon les assureurs, 3% des conducteurs conduiraient sans permis ou avec un faux permis. Ibid. 491 Ce qui paraît une affirmation de bon sens doit être relativisée. Nombre des personnes accusées d'avoir commis des attentats islamistes ces dernières années avaient des papiers parfaitement en règle. 492 Ibid. 493 Conseil constitutionnel, décision n° 2007-557 DC du 15 novembre 2007, §11 494 Ibid. Le rapport Lecerf (2005) rapporte à cet égard les critiques d'Alain Bauer et de Pierre Piazza concernant ce manque d'évaluation réel de la « fraude documentaire ». Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 189 1. Sécuriser la « chaîne de l'identité »: de la suspicion à l'égard des actes d'état civil faits à l'étranger aux tests ADNL'affaire Antonio Jaimes Antunes Pinto c. CPAM 93 (arrêt de la Cour d'appel de Paris, 18` Chambre, 11 décembre 2008) En 1970, un jeune Portugais de 14 ans usurpe l'identité de son cousin, Antonio Rosa Antunes, afin de pouvoir travailler légalement en France. Victime d'un accident du travail en 1972 et rémunéré par la CPAM sous son « vrai-faux nom », il retourne au Portugal. En 1992, la CPAM lui demande une preuve de vie. Antonio Jaimes Antunes Pinto demande alors une carte d'identité aux autorités portugaises, se présentant sous l'identité de son cousin. Il fournit sa propre photographie et ses propres empreintes digitales. L'usurpation n'a été découverte qu'en 1999: suite à l'annulation du versement de l'indemnité par la CPAM en 1995, en raison de l'absence d'une preuve de vie d'Antonio Jaimes Antunes Pinto, celui-ci donne une preuve de vie en 1997, mais cette fois-ci sous son vrai nom. La CPAM découvre donc la supercherie, qu'elle n'aurait probablement pas découverte sans l'erreur d'Antonio Jaimes Antunes Pinto, qui avait réussi à attacher ses propres caractéristiques biométriques à l'état civil de son cousin, usurpant donc avec succès l'identité de celui-ci. L'affaire A.J.A. Pinto illustre à la fois l'importance de la « chaîne de sécurité » nécessaire à l'établissement d'un état civil fiable, y compris en la présence de dispositifs biométriques, et l'un des motifs principaux de la « lutte contre la fraude documentaire 0: empêcher les étrangers, ou les non- « ayant droits », bref, ceux qui n'ont pas le droit d'entrer sur le territoire; d'y travailler légalement; ou de bénéficier de certaines prestations sociales; c'est-à-dire de jouir « indûment » de ces droits. Les essais de « sécuriser l'identité » et de prévenir les « usurpations d'identité » n'ont en effet pas de sens s'ils reposent uniquement sur l'utilisation de technologies sophistiquées, fût-elles biométriques. En tant qu'assureur de l'identité des citoyens, l'Etat, via l'état civil, fait appel à une longue « chaîne de sécurité », selon l'expression du Contrôleur européen de la protection des données495, qui implique la présence d'agents sur le terrain à tous les stades, ou encore d'une « chaîne de l'identité », selon 495 CEPD, avis du 26 mars 2008, art. 26, op. cit. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 190 l'expression du rapport Lecerf (2005), au Sénat, sur « l'identité intelligente »496. Autrement, les sujets peuvent obtenir des « vrais faux » documents: l'erreur, l'équivoque ou la dissimulation s'est logée au coeur même de la certitude juridique. Les conditions de délivrance d'actes de l'état civil, requis pour l'obtention d'une carte nationale d'identité ou d'un passeport, sont décisives, puisqu'un faux acte d'état civil, s'il est accepté par l'administration, permet la délivrance d'un vrai titre d'identité. De telles fraudes seraient, selon l'administration, principalement effectuées aux fins de se prévaloir de la nationalité française, bien que le souci de prévenir la fraude aux prestations sociales soit aussi très présent. L'affaire Pinto représenterait d'ailleurs bien ce souci -- si le mobile premier de l'usurpation d'identité n'avait pas été, bien sûr, le besoin de travailler légalement en France. Sans surprise, la suspicion s'est donc abattue sur les étrangers, et notamment sur les actes de l'état civil effectués à l'étranger (catégorie qui comprend, en droit, les actes effectués dans des territoires anciennement sous administration française), pour lequel est compétent le Service central d'état civil (créé par un décret de 1965497) 498, Ceux-ci, qui étaient acceptés de bonne foi en vertu de l'art. 47 du Code civi1499, sont désormais soupçonnables depuis la réforme de cet article par la loi du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité, dite « loi Sarkozy »500 Désormais, l'article 47 dispose que « tout acte de l'état civil des Français et des étrangers fait en pays étranger et rédigé dans les formes usitées dans ce pays fait foi, sauf si d'autres actes ou pièces détenus, des données extérieures ou des éléments tirés de l'acte lui-même établissent que cet acte est irrégulier, falsifié ou que les faits qui y sont déclarés ne correspondent pas à la réalité. » En cas de doute, l'administration peut saisir le procureur de la République de Nantes pour procéder à la vérification de l'authenticité de l'acte en question. Sylvie Sagnes rapporte à cet égard qu' « en procédant à cette 496 Rapport Lecerf (2005), op. cit., p.28-41. 497 Décret n°65-422 du ier juin 1965 « portant création d'un service central d'état civil au ministère des Affaires étrangères ». 498 Cf. l'enquête de l'ethnologue Sylvie Sagnes et le témoignage de l'avocate Flor Tercero à cet égard in Etats civils en questions. Papiers, identités, sentiment de soi, dir. Agnès Fine, éd. du CHTS, 2008: Sagnes, Sylvie, « Aux marges de l'état civil: les « Français de l'étranger » (p.55-77) et Tercero, Flor, « L'état civil des étrangers, des Français nés à l'étranger et politique migratoire. Le point de vue de l'avocat » (p.77-93). 499 Avant 2003, l'art. 47 du Code civil disposait que « tout acte de l'état civil des français et des étrangers, fait en pays étranger, fera foi, s'il est rédigé dans les formes usitées dans ledit pays. » 5°° Loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 191 modification de l'article 47 du Code civil, le gouvernement et le législateur ont légalisé a posteriori une pratique illégale de l'administration... pour le tracas des étrangers et des Français d'origine étrangère », ceux-ci pouvant désormais « attendre plus d'un an pour qu'on se prononce sur la validité de leurs actes d'état civil. »5O1 Auparavant, en cas de doute, le procureur devait engager une action publique pour faux et usage de faux à l'encontre de l'étranger. La norme est donc devenue le soupçon -- notamment en matière de mariage mixte effectué à l'étranger (art. 170.1 du Code civil)502, pouvant conduire à des situations dramatiques où des personnes de longue date française se voient d'un coup rejetées hors de la communauté nationale, à l'occasion du renouvellement d'un titre d'identité, pour lequel on leur demande un certificat de nationalité qui leur est refusé5°3. Sylvie Sagnes a pu montrer le lien compliqué entre état civil et nationalité, catégories juridiques distinctes, qui se noue en particulier au Service central de l'état civil, qui mêle « état civil colonial » (Français originaires de pays devenus étrangers), « état civil consulaire » (Français à l'étranger) et « état civil des naturalisés ». D'un côté, la nationalité « fait » ou « génère » de l'état civil (voir par ex. l'art. 98 du Code civil); de l'autre, l'état civil « fait » la nationalité, les actes d'état civil pouvant être produits comme preuves de la nationalité française, nonobstant la francisation des noms que l'administration tente, sans grand succès, d'imposer5°4. Toutefois, l'art. 98 admet des exceptions, et la Sous-direction des naturalisations (SDN) ne peut refuser la nationalité au motif que l'état civil n'est pas justifié. L'état civil, possédant une 5O1 Sagnes, Sylvie (2008), op.cit., p.78 5O2 Selon Sylvie Sagnes, « l'administration française suspecte tous -- ou presque -- les mariages mixtes célébrés au Maroc, en Tunisie, Turquie et Algérie d'être des mariages de complaisance. En conséquence, elle surseoit à la transcription et soumet les conjoints à une procédure visant à établir la réalité des intentions matrimoniales et partant la validité du mariage. Bien que les cas d'annulation s'avèrent rares (3o sur 1 300 en 2004), il n'en demeure pas moins que les retards pris dans l'instruction des validités peut causer des séparations plus ou moins longues (de six mois à un an) et préjudiciables pour les intéressés. » (Sagnes, Sylvie, 2008, art. cit., p.69). 5°3 Tercero, for (2008), op.cit. Voir aussi Maschino, Maurice T. (2002), « Etes-vous sûrs d'être Français? », Le Monde diplomatique, juin 2002; ou le témoignage personnel du journaliste Hugues Serraf (2007), « Génétique administrative : de Courteline à Orwell »,19 septembre 2007 , http://hugues.blogs.com/commvat/2007/o9/gntique-adminis.html ; * Selon Catherine Corroler, « selon le ministère de la Justice, sur les 172110 personnes ayant demandé [le certificat de nationalité] en 2002, 5% (8 331) ont essuyé un refus. En 2007, ce pourcentage est passé a12%,18 572 des 145 965 requêtes ayant été rejetées. » (« Nationalité: preuves par l'absurde », Libération, ii janvier 2010); cf. aussi Catherine Corroler, «A un moment, je me suis senti apatride », entretien avec Olivier Guichardaz, et « Cela peut être un véritable drame », entretien avec Daniel Karlin, Libération, 11 janvier 2010; C. Corroler, « Appel pour les Français rejetés », Libération, 18 janvier 2010, et « Vous êtes Français? Prouvez-le », appel de la LDH publié dans Libération,18 janvier 2010. 5°4 Masure, François (2008), « Des noms français? Naturalisation et changement de nom » in Fine, Agnès (dir.), op.cit., p.245- 275. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 192 finalité d'identification, est ainsi de plus en plus « instrumentalisé » dans le cadre de la « politique de l'immigration »5°5. La politique de l'immigration et le doute jeté à l'égard des « Français de l'étranger » (qu'ils soient Français nés dans d'anciennes colonies, Français nés en France de parents étrangers, ou/et Français naturalisés) explique ainsi largement l'insistance portée sur la sécurisation des titres d'identité et de la chaîne qui y correspond, notamment à travers l'instauration de la biométrie. Selon Sylvie Sagnes, la ligne de partage passerait de plus en plus non pas entre les Français et les étrangers, mais entre les « ayant droits » et les « sans-papiers »506 En venant s'instaurer dans cette chaîne, la biométrie vient creuser ce partage. Elle s'y insère non seulement via la biométrisation des titres d'identité, qui concerne tous les Français -- bien que rien ne permette d'écarter définitivement l'hypothèse selon laquelle elle en viserait certains plus que d'autres --; mais aussi via la possibilité, lorsque les actes d'état civil sont défectueux, c'est-à-dire suspects aux yeux de l'administration, et que la possession d'état (art. 311-i du Code civil) ne peut être invoquée, de faire appel aux prélèvements ADN pour prouver la filiation maternelle lors des procédures de regroupement familial (CESEDA, L-iii-6, art. introduit par l' « amendement Mariani » de la loi du 20 novembre 2007, dite « loi Hortefeux », qui a aussi modifié l'art. 226-28 du Code pénal relatif à l'identification génétique 507). Cette procédure existe, à divers degrés, dans onze autres Etats européens, où il s'agit presque toujours d'une pratique administrative non encadrée juridiquement5°8. Seul le Danemark, l'Italie et la Norvège l'exerce dans un cadre juridique5°9. En France, dès 1987 un tel procédé avait été envisagé51O 5°5 Sagnes, Sylvie (2008), art. cit. 506 Sagnes, Syvlie (2008), art. cit. 5°' Loi n°2007-1631 du 20 novembre 2007 relative à la maîtrise de l'immigration, à l'intégration et à l'asile (art. 13, V). 5o8 Il s'agit de l'Allemagne, de l'Autriche, de la Belgique, du Danemark, de la Finlande, de l'Italie, de la Lituanie, de la Norvège, des Pays-Bas, du Royaume-Uni et de la Suède. Voir le rapport parlementaire de Th. Mariani (« Rapport fait au nom de la commission des lois constitutionnelles, de la législation et de l'administration générale de la République sur le projet de loi (n°57) relatif à la maîtrise de l'immigration, à l'intégration et à l'asile (urgence déclarée) », enregistré à la présidence de l'Assemblée nationale le 12 septembre 2007: http://www.assemblee-nationale.fr/13/rapports/rol6o.asp ) 5°9 Leneveu, Guillemette (2007), « Tests génétiques : le passage en force », Esprit, nov. 2007 51O Libération, 7 janvier 1987 (cité par Catherine Labrusse-Riou, « La vérité dans le droit des personnes », in L'homme, la nature, le droit, Christian Bourgois, 1988, dir. B. Edelmann et M.-A. Hermitte, p.161) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 193 Non sans mauvaise foi, le gouvernement faisait observer dans ses observations au Conseil constitutionnel, saisi par l'opposition, que l'art. 13, loin d'être une « atteinte au droit au regroupement familial, au droit à la vie privée et au droit de mener une vie familiale normale », comme celle-ci le prétendait, visait au contraire à « faciliter (...) le regroupement familial par l'ouverture du recours à un nouveau mode de preuve à la discrétion des demandeurs de visa »511 Les considérants 16 à 18 de la décision du Conseil constitutionne1512 à cet égard ont cependant donné raison à l'argumentation du gouvernement, de façon qui mérite d'être citée in extenso: « 16. Considérant, d'une part, que les dispositions de l'article 13 de la loi déférée ne modifient pas les conditions du regroupement familial et, en particulier, la défmition des enfants pouvant en bénéficier telle qu'elle résulte des articles L. 314-11 et L. 411-4 du code de l'entrée et du séjour des étrangers et du droit d'asile ; qu'elles ont pour seul objet d'autoriser le demandeur de visa à apporter par d'autres moyens un élément de preuve du lien de filiation lorsque ce dernier conditionne le bénéfice de ce regroupement et que l'acte de l'état civil dont la production est exigée pour prouver le lien de filiation est inexistant ou a été écarté par les autorités diplomatiques ou consulaires ; qu'elles ne modifient pas davantage les dispositions de l'article 47 du code civil qui réglementent la force probante des actes de l'état civil établis à l'étranger et auquel renvoie le premier alinéa de l'article L. 111-6 précité du code de l'entrée et du séjour des étrangers et du droit d'asile ; que l'application de ce nouveau dispositif dans les États désignés par décret en Conseil d'État ne saurait avoir pour effet de dispenser les autorités diplomatiques ou consulaires de vérifier, au cas par cas, sous le contrôle du juge, la validité et l'authenticité des actes de l'état civil produits ; que, sous cette réserve, ces dispositions ne portent atteinte ni directement ni indirectement au droit de mener une vie familiale normale garanti par le dixième alinéa du Préambule de 1946 ; 17. Considérant, d'autre part, que la mise en oeuvre de ce dispositif est subordonnée à une demande de l'intéressé ; qu'en outre, le législateur a entendu ne pas autoriser le traitement des données à caractère personnel recueillies à l'occasion de la mise en oeuvre de ce dispositif et n'a pas dérogé aux dispositions protectrices de la vie privée prévues par la loi du 6 janvier 1978 susvisée ; que, dans ces conditions, les requérants ne peuvent utilement soutenir que les dispositions précitées porteraient atteinte au respect de la vie privée qu'implique l'article 2 de la Déclaration de 1789 ; 511 Observations du Gouvernement sur les recours dirigés contre la loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile, JORF n°270 du 21 novembre 2007 page 19012 . NOR: CSCL0711007X 512 Conseil constitutionnel, décision n°2007-557 DC du 15 novembre 2007. Nous soulignons. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 194 18. Considérant, enfin, que, contrairement à ce que soutiennent les requérants, en autorisant ce mode supplétif de preuve d'un lien de filiation, le dispositif critiqué n'instaure pas une mesure de police administrative ; qu'en outre, la loi n'autorise pas l'examen des caractéristiques génétiques du demandeur de visa mais permet, à la demande de ce dernier ou de son représentant légal, son identification par ses seules empreintes génétiques dans des conditions proches de celles qui sont prévues par le deuxième alinéa de l'article 16-11 du code civil ; qu'il s'ensuit que le grief tiré de l'atteinte au principe du respect de la dignité de la personne humaine consacré par le Préambule de 1946 manque en fait; » De cette décision transparaît en effet l'adhésion du Conseil constitutionnel à l'argumentation gouvernementale, présentant l'identification génétique comme un « mode de preuve supplétif », qui, loin de limiter le droit au regroupement familial et à l'égalité, ainsi que de heurter le principe du respect de la dignité de la personne, favoriserait le regroupement familial. C'est passer sous silence que si cette loi ne modifie effectivement pas l'art. 47 du Code civil, c'est parce que celui-ci avait déjà été modifié par la loi du 26 novembre 2003, et que l'instauration de ce nouveau mode de preuve n'a de sens que parce que la suspicion à l'égard des modes traditionnels d'établissement de filiation a été légitimée par la réforme de l'art. 47. Saisi à cette occasion, le Comité consultatif national d'éthique s'est ainsi dit « préoccupé par la charge anormale de preuves qui pèsent sur le demandeur », rappelant que « la protection et l'intérêt de l'enfant doivent être une priorité quand il s'agit de décisions concernant la famille. Le doute devrait jouer a priori au bénéfice de l'enfant. »513 Dès lors, parler de « consentement » de la personne, et donc d'accord avec l'art. 16-ii du Code civil, n'est qu'une manière de parler: de quelle forme de consentement parle-t-on lorsque, une fois le doute levé, en droit et en fait, par l'administration sur les actes d'état civil du mineur, celui-ci doit choisir entre se soumettre à cette procédure ou abandonner ses droits au regroupement familial? Cependant, certains commentateurs ont pu affirmer que les réserves du Conseil constitutionnel, notamment aux considérants 9 et 16, auraient rendu la loi inapplicable514. Le considérant 9 rappelle en effet que la loi n'impose pas aux 513 CCNE (2007), avis n° loo, « Migration, filiation et identification par empreintes génétiques », 4 octobre 2007. 514 Cf. par ex. Alexandre Viala, selon qui « par le renvoi à cette législation ainsi opéré dans le silence de l'amendement Mariani, le juge constitutionnel élargit au profit des étrangers, et au-delà des seules traces écrites de l'état civil, la gamme des preuves pour établir leur filiation. Dans des pays où la Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 195 étrangers le droit français de la filiation5~5, en accord avec l'art. 311-14 du Code civi1516. Est-ce pour autant que l'art. 13 aurait été vidé de sa substance, comme l'affirme certains? Que la loi est inapplicable? Le recours aux tests génétiques en tant que « mode de preuve supplétif » demeure réel, et quand bien même « tous les modes de preuve reconnus par la loi personnelle de la mère étrangère pourront donc être utilisés »517, le soupçon de l'administration française érigé en norme par l'art. 47 du Code civil ne peut-il conduire à écarter ces preuves, jugées comme non probantes? L'art. Liai-6 du CESEDA établit en effet une échelle des preuves5l8: l'état civil est d'abord examiné; si l'administration soupçonne la véracité de ce dernier, on tentera d'établir la filiation par la « possession d'état » (art. 311-1 du Code civi15~9); si, enfin, la « réunion suffisante de faits » permettant d'établir la possession d'état n'est pas réunie, le recours aux tests ADN interviendra52O. Nous laissons cette question juridique en suspens; les juges auront en toute probabilité à trancher la question et à famille ne se réduit pas au cercle restreint de la cellule nucléaire occidentale, voilà une gamme qui peut s'avérer large et dispenser l'étranger, chemin faisant, de recourir à l'usage si contesté de la preuve par la génétique. » (Viala, Alexandre, 2007, « Quand les réserves du Conseil constitutionnel censurent la loi sans le dire », 27 novembre 2007 , http://cercop.over-blog.com/article-7275498.html) 515 Voir aussi l'interprétation faite par le Conseil constitutionnel lui-même de sa décision dans un communiqué de presse: http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/depuis-1958/decisions-par-date/2007/2007-557-dc/communique-de-presse.17181.html 5i6 « La filiation est régie par la loi personnelle de la mère au jour de la naissance de l'enfant ; si la mère n'est pas connue, par la loi personnelle de l'enfant. » (art. 311-14 du Code civil) 517 Conseil constitutionnel (2007), communiqué de presse, art. cit. 518 Tel que modifié par la « loi Hortefeux », l'art. Lin-6 du CESEDA dispose : « La vérification de tout acte d'état civil étranger est effectuée dans les conditions définies par l'article 47 du code civil. Le demandeur d'un visa pour un séjour d'une durée supérieure à trois mois, ou son représentant légal, ressortissant d'un pays dans lequel l'état civil présente des carences, qui souhaite rejoindre ou accompagner l'un de ses parents mentionné aux articles L. 411-1 et L. 411-2 ou ayant obtenu le statut de réfugié ou le bénéfice de la protection subsidiaire, peut, en cas d'inexistence de l'acte de l'état civil ou lorsqu'il a été informé par les agents diplomatiques ou consulaires de l'existence d'un doute sérieux sur l'authenticité de celui-ci qui n'a pu être levé par la possession d'état telle que définie à l'article 311-1 du code civil, demander que l'identification du demandeur de visa par ses empreintes génétiques soit recherchée afin d'apporter un élément de preuve d'une filiation déclarée avec la mère du demandeur de visa. Le consentement des personnes dont l'identification est ainsi recherchée doit être préalablement et expressément recueilli. Une information appropriée quant à la portée et aux conséquences d'une telle mesure leur est délivrée. » 519 L'art. 311-1 du Code civil dispose (nous soulignons) : « La possession d'état s'établit par une réunion suffisante de faits qui révèlent le lien de filiation et de parenté entre une personne et la famille à laquelle elle est dite appartenir. Les principaux de ces faits sont : 1° Que cette personne a été traitée par celui ou ceux dont on la dit issue comme leur enfant et qu'elle-même les a traités comme son ou ses parents ; 2° Que ceux-ci ont, en cette qualité, pourvu à son éducation, à son entretien ou à son installation ; 3° Que cette personne est reconnue comme leur enfant, dans la société et par la famille ; 4° Qu'elle est considérée comme telle par l'autorité publique ; 5° Qu'elle porte le nom de celui ou ceux dont on la dit issue. » 52° C'est bien l'avis de Guillemette Leneveu : « Présentée sous la forme du volontariat et de la liberté, elle devrait dans les faits devenir une condition pour entrer sur le territoire, un refus de recourir au test donnant peu de chances au demandeur de bénéficier du titre de séjour. » (Leneveu, G., 2007, art. cit.) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 196 déterminer ce qui constitue « une réunion suffisante de faits » pour établir la filiation et donc la possession d'état, en cas d'insuffisance déclarée de l'état civil, si le décret d'application est promulgué521 Saisie par le GISTI, la Haute autorité de lutte contre les discriminations (HALDE) a d'ailleurs considéré l'art. 13 de cette loi établissant ce « mode de preuve supplétif » comme « discriminatoire »522. Notant tout d'abord le caractère discriminatoire de la loi au regard des conventions internationales, notamment de la Convention sur les droits de l'enfant5~3, la HALDE a en effet d'abord souligné que 8o% des demandes de regroupement familial étant effectuées par les pères, et non les mères, l'établissement de la preuve biologique de la filiation maternelle, en cas de doute sur l'état civil, ne suffira pas à ôter le doute concernant la fiabilité des actes de mariage. La HALDE a ainsi déclaré: «En d'autres termes, une fois que la filiation de la mère sera établie, le doute sur le lien entre le père et la mère demeurera. De plus, cette procédure ne pourra être mise en oeuvre, en cas de décès de la mère, par un père, résidant régulièrement en France et cherchant à faire venir son enfant sur le territoire français. Cette mesure, concrètement peu utile, stigmatise très fortement les candidats au regroupement familial, droit fondamental, et revêt une portée discriminatoire. La mise en oeuvre de cette procédure, porte une atteinte aux droits fondamentaux tels que le droit au respect de la vie privée de l'article 8 de la CEDH, les tests d'identification par empreintes génétiques étant réservés en France à des cas très spécifiques, notamment en matière de lutte contre le terrorisme et de délinquance sexuelle. » 521 Grivel Cardon, Peggy « Quand l'ADN divise », Blog Dalloz, 19 octobre 2007 ; « Immigration : Besson enterre les tests ADN », Le Monde, 13 septembre 2009. Voir néanmoins « Besson relance les tests ADN », Le Journal du dimanche, 12 février 2009. 522 HALDE (2007), Délib. n°21307-370 du 17 décembre 2007 523 La HALDE déclare ainsi: « la décision de conformité de la loi à la constitution ne retire en rien la légitimité de la haute autorité à se prononcer sur le texte de loi, notamment au regard des conventions internationales. En effet, le Conseil constitutionnel ne contrôle pas la conformité des lois aux conventions internationale. Parmi les dispositions de cette loi, plusieurs sont donc susceptibles de revêtir un caractère discriminatoire au regard des conventions internationales, alors même qu'elles ne sont pas contraires à la Constitution » (délib. n°21307-370) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 197 2.Sans papiers et ayant-droits: l'identification biométrique et l'échelle des statutsLes récents débats à propos de l' « amendement Mariani » se sont focalisés sur le risque de favoriser la « filiation biologique » au détriment d'autres types de filiation, désormais courants (avis n°100 du CCNE), et sur la tonalité de la politique d'immigration mise en oeuvre par le gouvernement. A la lumière de la réforme de l'art. 47 du Code civil d'une part, d'autre part de la volonté de prévention de la
524 Au sujet de ce continuum d'exclusion-inclusion, voir King, Mike (1997), « Le contrôle des différences en Europe: l'inclusion et l'exclusion comme logiques sécuritaires et économiques », in Cultures & Conflits n°26/27, été-automne 1997, Paris, éd. L'Harmattan, p.35-51. 525 Cf. par ex. Noiriel, Gérard (1993) et Piazza, Pierre (2007). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 198 ressemble à bien des égards au « visage du Christ », ou de « l'homme blanc », tel que décrit par Deleuze et Guattari: il n'y a pas d'exclusion entre le dehors et le dedans, mais plutôt « détermination des écarts de déviance »526, ce qui constitue, très exactement, la définition deleuzienne du « racisme », dont Foucault a pu décrire la généalogie à partir du « biopouvoir »527. A cet égard, la biométrie viendrait renforcer les procédures étatiques, mais aussi économiques et sociales, d'assignation de l'identité, selon ce continuum opérant par série de coupures binaires et d'écarts de déviance. Serait-ce la nécessité d'opérer sans cesse de nouvelles coupures qui permettrait de comprendre la généralisation de la biométrie, au titre de la lutte contre les « fraudes documentaires »? Le motif, ou prétexte, de la lutte anti-terroriste, s'efface en effet vite devant la lutte contre l'immigration irrégulière, elle-même relayée par la lutte contre les fraudes à la Sécurité sociale, sans compter les fraudes à l' « identité électronique » et surtout au commerce et à la finance en ligne... Tout devient alors prétexte à l'instauration de titres sécurisés, via la biométrie, les fraudes étant chaque fois dépeintes comme périlleuses, risques massifs affectant l' « identité nationale », la « solidarité nationale », la « stabilité économique », etc., malgré l'absence d'évaluations fiables concernant leur ampleur alléguée. Et à chaque fois, la multiplicité de ces « fraudes », qui se situent parfois dans les zones grises du droit, constitue des statuts distincts, plus ou moins légitimes ou légaux, véridiques ou falsifiés... En effet, la « fraude documentaire », permettant d'introduire le faux au coeur de la vérité juridique et civile, ne concerne pas que l'acquisition de cartes nationales d'identité ou de passeports afin de se prévaloir de la nationalité française. Des statuts plus équivoques encore ont pu être constitués, par les diverses ruses opposées par les étrangers aux politiques les ayant confinés à l'irrégularité et à l'illégalité -- le terme de « clandestins » ne leur étant que très peu approprié, comme a pu le remarquer J. Derrida, ceux-ci ayant « vécu et travaillé au grand jour pendant des années »528. Le 526 Deleuze, Gilles et Guattari, Félix (1980), Mille plateaux, Paris, éd. de Minuit, p.218 (« plateau 7: Année zéro - Visagéité »). 527 Foucault, Michel (1976), La volonté de savoir (dernier chapitre) 528 « C'est l'iniquité de la répression gouvernementale à l'égard des « sans-papiers » qui souvent crée de la clandestinité là où il n'y en avait pas » déclarait-il alors: Derrida, Jacques; Guillaume, Marc et Vincent, Jean-Pierre, Marx en jeu, Descartes & Cie, 1997, p.73-91 (en part. p.87) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 199 grand public a ainsi découvert, avec surprise, que nombre d'étrangers en situation irrégulière travaillaient de façon « légale », leurs employeurs ignorant leur situation ou ayant préféré ne pas la connaître, nombre d'entre eux payant leurs impôts. Relayant les préoccupations de la Préfecture de police de Paris, le Figaro pouvait ainsi expliquer comment d'une fiche de paie un étranger pouvait obtenir une carte Vitale, qui permet non seulement de bénéficier d'un peu plus que du minimum santé pourvu par l'Aide médicale d'Etat, mais qui serait le « sésame à un mode d'existence quasi légal », permettant « d'établir des chèques-emploi, des salaires et même une déclaration d'impôt »5~9. S'il faut bien entendu relativiser ce « mode d'existence quasi légal », une carte Vitale ne valant pas permis de séjour à l'occasion d'un contrôle d'identité, il montre bien ce que peut signifier un statut intermédiaire entre l'irrégularité complète et l' « ayant droit » « légitime » au titre de l'appartenance nationale. Par ailleurs, cette « traque aux fraudes » met en évidence l'aspect de chaîne qui caractérise l'identité. Certes, le Code de sécurité sociale prévoit (art. L115-2 et 1157) des vérifications du statut juridique de l'étranger, ce qui implique des échanges d'information et des recoupements de fichiers administratifs. Celles-ci toutefois sont rarement effectuées par la Cnam, son président du conseil, Michel Régereau, considérant à la fois que la mission de la Cnam n'est pas de « dénoncer » les personnes en situation irrégulière, et que celles-ci ne représentent qu'une infime partie des fraudes à la Sécurité sociale53°. Cet exemple, qui prend place dans le contexte d'une part d'un contrôle accru des récipiendaires des prestations sociales, d'autre part dans la « criminalisation » d'une partie des étrangers, met en lumière à la fois les défauts de la biométrie et les raisons qui peuvent motiver son utilisation. En effet, d'une part, toute sécurisation des documents d'identité ne peut reposer uniquement sur des technologies biométriques, l'ensemble de la « chaîne » étant décisive; d'autre part, face aux réticences de certaines organisations ou administrations, notamment dans le secteur social, à dénoncer certaines personnes jugées « indésirables » par les services de police, l'utilisation de la biométrie peut être utilisée afin d'automatiser les procédures de vérification et ainsi court-circuiter ces réticences humaines. Il s'agit, une fois encore, de mettre la subjectivité humaine hors jeu, mais cette fois-ci non pas seulement dans un souci d'exactitude, mais dans le but inavoué de contourner certaines résistances 529 Gabizon, Cécile (2009), « Carte Vitale: la traque aux fraudes est engagée », Le Figaro, 5 mai 2009 53° Gabizon, Cécile (2009), art. cit. 200 politiques et sociales. Le rôle de l'agent humain, ou de la subjectivité, n'est toutefois pas éliminé: il est plutôt déplacé, transféré des agents travaillant dans le domaine social aux techniciens devant interpréter les décisions des machines biométriques. Les mêmes personnes peuvent d'ailleurs faire ce travail: c'est alors la nature même de leur emploi, et donc leur subjectivité, qui évolue531. 531 Voir, au sujet de la Police aux frontières (PAF), Gérard Dubey, « Le grand décrochage. Le cas des systèmes d'identification biométriques », http://www.creis.sgdg.org/colloques creis/2oo7/Dubey.pdf Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 201 B/ L'IMPULSION DES ETATS-UNIS ET LESSTANDARDS DE L'OACI« The further away from the borders of the United States that screening occurs, the more security benefits the United States will gain. » Intelligence Reform and Terrorism Prevention Act (2004), § 7 210, « Exchange of terrorist information and increased preinspection at foreign airports ». 1. Documents d'identité et biométrie avant le ii septembreAvant d'examiner la mise en oeuvre des standards de l'OACI concernant les passeports biométriques dans l'Union européenne, il convient de souligner, tout d'abord, la situation spécifique des Etats-Unis vis-à-vis des documents d'identité, qui tranche avec l'approche française. En effet, si la politique américaine a influencé, de facto, l'évolution de la réglementation européenne, ces procédures d'identification sont peut-être davantage inédites outre-atlantique qu'en Europe continentale. En effet, à l'instar du Royaume-Uni, qui a abandonné en 1952 la carte d'identité mise en place durant la Seconde guerre mondiale, et de l'ensemble des pays de common law532, les Etats-Unis sont porteurs d'une tradition d'aversion à l'égard de la carte nationale d'identité et des contrôles y afférant. Aux Etats-Unis, de nombreuses voix considéraient l'émission même d'une carte d'identité fédérale comme le premier pas, glissant, vers un régime « totalitaire »533. En 2008, la Cour suprême a même dû statuer sur la constitutionnalité de lois imposant la présentation de documents d'identité dotés de photographies lors d'un vote électoral, les plaignants affirmant 532 Miguel Pimentel, Carlos (2006), « L'exception britannique, l'identité non écrite », in Xavier Crettiez & Pierre Piazza (dir.), Du papier à la biométrie, identifier les individus, Presses de Sciences-Po, Paris, 2006 (p.189-21o). 533 Voir à ce sujet Amitai Etzioni, qui cite aussi bien, parmi les porteurs de telles critiques, l'ACLU (American Civil Liberties Union), que des libertariens (Parti libertarien ou Cato Institute) ou l'ex-sénateur démocrate de Californie, Alan Cranston, ou encore le candidat au poste de gouverneur du Nevada Aaron Russo. que ces obligations restreignaient de façon indue le droit de vote534. Dans la pratique, c'est le numéro de sécurité sociale, ainsi que le permis de conduire, qui servent d'identifiants nationaux aux Etats-Unis, ce qui n'est pas sans poser un certain nombre de problèmes afférant à la protection des données personnelles et à l'usurpation d'identité, dans la mesure où l'usage du numéro de sécurité sociale est extrêmement répandu, et donc extrêmement facile d'accès. A. LE VOL Soo TWA ET LA BIOMÉTRISATION DE LA FRONTIÈREAMÉRICANO-CANADIENNECe n'est qu'après le crash du vol 800 TWA, le 17 juillet 1996, que les inquiétudes américaines au sujet d'une éventuelle menace terroriste ont été telles que l'administration fédérale de l'aviation (Federal Aviation Administration) a exigé des passagers de vols internes un document d'identité incluant une photographie lors des check-in (permis de conduire, etc.) 535. En l'absence de ce document, les voyageurs faisaient alors l'objet d'un examen secondaire particulier de la part de l'Administration de la sécurité des transports (Transportation Security Administration), tandis qu'une « no-fly list » était créée, qui incluait en août 1998 un million de noms différents, représentant les identités et les alias de 400 000 personnes; ces mesures faisaient déjà l'objet de critiques importantes concernant à la fois leur efficacité et leur légitimité (Islam Yusuf, alias le musicien Cat Stevens, avait ainsi été inscrit sur cette liste pour des raisons inconnues) 536. En matière même de contrôle des frontières, la biométrie était utilisée par l'agence fédérale de l'immigration (Immigration and Naturalization Service, INS) dès 1993, dans le cadre des programmes PortPass (Port Passenger Accelerated Service System) d'automatisation des contrôles aux frontières. A la frontière nord du Montana, un de 534 Cour suprême des Etats-Unis (2008), Crawford et. al. u. Marion County Election Board et al., arrêt du 28 avril 2008. En l'espèce, la Cour statuait de la constitutionnalité d'une loi de l'Etat d'Indiana, et a déclaré cette obligation conforme à la Constitution. 535 Michael Conlon, « Photo ID Requirement May Be Permanent For Air Travelers », Los Angeles Times, 11 septembre 1996. R. Jeffrey Smith, « New Devices May Foil Airline Security », Washington Post, 21 juillet 1996, page Ao1. 536 Bruce Schneier, « No-fly lists and photo IDs are supposed to help protect the flying public from terrorists. Except they don't work », Los Angeles Times, 28 août 1998. 202 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. ces programmes utilisait ainsi la reconnaissance vocale, permettant le passage frontalier à des horaires où les employés des douanes ne travaillaient pas. Un de ces programmes (PortPass étant un terme générique), dénommé INSPASS (Passenger Accelerated Service System), permettait aux volontaires d'accélérer les procédures d'identification, à l'aide de systèmes utilisant la géométrie de la main ou les empreintes digitales537. Celui-ci a été remplacé en 2003-2004 par le programme USPASS (U.S. Passenger Accelerated Service System), tandis que le Canada et les Etats-Unis partagent aussi le programme NEXUS, permettant aux voyageurs fréquents d'accélérer les formalités en échange de l'enregistrement des caractéristiques biométriques de leur iris. Dès le 9 septembre 2002, le Premier ministre Jean Chrétien et le président George Bush publiaient une déclaration commune, la « Smart Border Declaration » (« déclaration sur une frontière intelligente »), et un plan d'action, le « 30-Point Action Plan », qui prévoyait le développement de standards communs pour les technologies de reconnaissance d'iris et d'empreintes digitales qui seraient utilisés sur les frontières communes538. Les deux Etats prévoyaient aussi de constituer des « bases de données compatibles sur l'immigration » et d'échanger les Passenger Name Records et l'Advanced Passenger Information (API-PNR) concernant les « voyageurs à risque », tandis que le Canada annonçait la création d'une carte biométrique de résident permanent539. Le commissaire canadien à la protection des données personnelles a pu critiquer sévèrement le programme API-PNRM°. 203 537 Stephen Coleman (2000), « Biometrics »,The FBI Law Enforcement Bulletin, ler juin 2000, accessible sur The Free Library, http://www.thefreelibrary.com/Biometrics-ao63649260 538 Zureik, Elia et Hindle, Karen (2004), « Governance, Security and Technology: The Case of Biometrics », Studies in Political Economy n°73, printemps/été 2004, p.113-137. 539 Ibid. 54° Ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. B. LA BIOMÉTRIE, OUTIL DE LA LUTTE CONTRE L'IMMIGRATION ILLÉGALEA la frontière mexicano-étasunienne, qui fait l'objet d'un contrôle accru depuis la fin de la guerre froide, le centre douanier d'Otay Mesa (Californie) a institué, dès 1995, le programme SENTRI (Secure Electronic Network for Travelers Rapid Inspection), un système qui contrôle de façon automatique l'identité d'un véhicule et de ses occupants, en comparant celles-ci à une base de données contenant les photographies numérisées des occupants541. Enfin, toujours à cette époque, les migrants traversant de façon irrégulière la frontière sud des Etats-Unis, en provenance du Mexique, se voyaient recueillir leurs empreintes digitales, stockées sur une base de données, en cas d'arrestation. L'Illegal Immigrant Reform and Immigrant Responsibity Act de 1996 mentionne expressément l'usage de la biométrie, tandis que deux autres lois, le Personal Responsibility and Work Opportunity Act de 1995 et l'Immigration Control and Financial Responsibility Act de 1996, sans citer explicitement les technologies biométriques, prévoyaient des contrôles accrus afin de vérifier le statut des immigrés et l'éligibilité aux prestations sociales542. Ayse Ceyhan a mis en valeur le caractère essentiellement symbolique de cet effort de contrôle, qui vise une frontière longue de 3 200 km: il faudrait environ 4,8 milliards de dollars pour obtenir la « borderpatrolisation » complète de la frontière américano-mexicaine 543. Il établit un rapport étroit entre ce contrôle des frontières extérieures, en particulier de la « tortilla border », avec la construction du sentiment identitaire étasunien et WASP, qui va de pair avec la transformation des centres d'assistance sociale en centres de contrôle, vérifiant l'identité des bénéficiaires des prestations sociales et contrôlant l'attribution des droits sociaux, ce qui introduit ainsi plusieurs seuils ou catégories de citoyenneté sociales". Ceci nous intéresse particulièrement, dans la mesure où l'utilisation des technologies biométriques aux 541 Voir le site http://www.globalsecurity.org pour une description succincte des divers programmes PortPass. 542 Zureik, Elia et Hindle, Karen (2004), art. cit. 543 Ceyhan, Ayse (1997), « Etats-Unis: frontière sécurisée, identité(s) contrôlée(s)? », Cultures & Conflits n°26-27, été-automne 1997, éd. L'Harmattan, Paris, p.235-254; cf. aussi Brown, Wendy (2009), « Souveraineté poreuse, démocratie murée » (art. cit.) 544 Art. cit. 204 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.frontières externes, techniques qui mettent l'accent sur la matérialité du corps physique, entre d'une part en résonance avec la définition de l'identité culturelle de la nation américaine, d'autre part se lie étroitement avec l'usage de la biométrie en tant que technique de vérification d'identité dans le cadre de l'attribution des prestations sociales par le « welfare state ». Or, la détermination de l'identité culturelle et des différents grades de citoyenneté sociale passent par un ensemble de frontières internes, qui déterminent la place et le rang de chaque individu et son appartenance à une catégorie spécifique de la population, constituée en norme idéale et majoritaire ou au contraire dépréciée voire stigmatisée. Ceci est d'autant plus vrai que les systèmes biométriques s'insèrent dans des « systèmes de management des bases de données » pré-existants, qui ont pour but de rassembler des données personnelles éparses et récoltées par les différents organismes locaux et, après les avoir réduit à des dénominateurs communs, ou « universal data elements », d'établir des statistiques et des « populations » au sens biopolitique du terme. Comme l'a montré C. Willse en analysant le programme du Homeless Management Information Systems (« système de management de l'information sur les sans-abris »)545, ces « universal data elements » servent d'abord à comparer les données produites par telle agence locale d'assistance sociale et telle autre, dans tel autre Etat, afin de savoir si c'est le même sans-abri qui a eu recours aux services sociaux dans plusieurs Etats ou plusieurs sans-abri différents. Cette procédure de standardisation au niveau fédéral permet en retour d'établir une estimation fiable de la population réelle de sans-abris. Mais ce procédé, qui requiert des procédures d'identification et de vérification de l'identité -- procédures qui pour l'instant ne sont pas encore biométrisées --, poursuit d'autres fonctions. En effet, les applications de données permettent aussi de centraliser celles-ci à un niveau fédéral, après avoir pris la précaution de les anonymiser afin de répondre aux objections concernant le droit à la vie privée, et ainsi de constituer toutes sortes de statistiques et de catégories de « populations » (plutôt que de simple « data doubles », expression qui dénote encore l'individu). A partir de celles-ci, l'administration peut évaluer l' « efficacité » du réseau décentralisé des agences de welfare et de chacune d'entre elles. Ces « populations » de données, qui sont produites par le système informatique, 545 Willse, Craig (2008), « « Universal Data Elements, » or the Biopolitical Life of Homeless Populations », Surveillance &Society, 5 (3), 2008, p.227-251 205 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. celui-ci pouvant créer de nouvelles données en calculant les données brutes et en les mettant en réseau, données qui à leur tour deviennent des données brutes prêtes à être reconfigurées, etc., permettent ainsi une série de décisions, qui affectent en retour la vie singulière des individus. En effet, « cette population ne fait pas que représenter une image juste du phénomène des sans-abris [homelessness] aux Etats-Unis, mais plutôt re-fabrique ce phénomène en reconfigurant quels besoins ont le droit de s'enregistrer [dans les agences locales], et quels services peuvent répondre à ces besoins. »546 Ainsi, le contrôle accru sur l'identification des personnes, qui passe par l'instauration de procédés biométriques mais aussi par l'instauration, inédite aux Etats-Unis, de documents d'identité sécurisés, s'effectue d'abord et surtout dans le contexte des discours sur l'immigration illégale, mais aussi dans le cadre d'une politique néolibérale de reconfiguration des dispositifs de protection sociale. Ce sont en effet les discours sur l'immigration qui relient les peurs xénophobes d'une « invasion » exogène aux craintes concernant les dispositifs de protection sociale, et qui favorisent ainsi l'avènement des technologies biométriques. La même logique est à l'oeuvre dans la sécurisation de la frontière américano-mexicaine via le déploiement policier et militaire et l'utilisation de technologies sophistiquées, dont la biométrie, et dans l'identification biométrique des prétendants aux prestations sociales, qui vise à les empêcher de postuler sous des noms différents aux aides publiques 547. Mais l'analyse de C. Willse, bien qu'elle n'évoque pas la biométrie, permet d'aller plus loin: les caractéristiques biométriques sont, en effet, les identifiants universels par excellence qui permettent de relier différentes bases de données ensemble. Et par cette interconnexion, fût-elle simplement momentanée, nul besoin de créer une base de données centrale: de multiples bases de données peuvent être reliées via l'identifiant biométrique, comme l'a remarqué le CEPD, qui note que les caractéristiques biométriques permettent ainsi l' « agrégation de bases de données » 546 Willse, C. (2008), art. cit. 547 Certains hommes politiques qui prônent l'instauration de systèmes d'identification sûrs, afin de vérifier qu'une personne a bien le droit de travailler et de bénéficier des prestations sociales, peuvent toutefois s'opposer aux expulsions des undocumented aliens, comme c'était le cas, par exemple, du sénateur républicain (de 1969 à 1997) Alan Simpson. Voir Willoughby, Randy (1997), « Immigration, race et sécurité à la frontière mexicano-californienne », Cultures & Conflits n°26-27, été-automne 1997, éd. L'Harmattan, Paris, p.2o3-234 (en part. p.217) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 206 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 207 augmentant le risque de « détournement d'usage »M8 Une fois les données anonymisées afin de répondre aux objections des défenseurs du droit à la vie privée, cela permet à des algorithmes de construire de nouvelles catégories « virtuelles » de populations, qui servent ensuite à classer les individus selon ces différentes catégories et à décider, en conséquence, de quelles sortes de droits ils auront le droit de se prévaloir; les « exclus » formant la dernière catégorie, celle de ceux qui n'ont pas le droit d'avoir des droits, c'est-à-dire des « sans-droits ». Cette logique générale n'est toutefois pas la seule à l'oeuvre, bien qu'elle soit très puissante. D'une part, elle est à distinguer de celle qui a présidé à l'établissement de la « biométrie de confort », dès les années 199o, à la frontière américano-canadienne, où la biométrie visait aussi bien à faciliter les déplacements des voyageurs fréquents qu'à permettre de réduire le nombre de fonctionnaires attachés à la surveillance des frontières. D'autre part, l'instauration même des documents d'identité peut servir d'autres fins, radicalement opposées. Tout comme en Europe, l'immigration, qui dépend des autorités fédérales, est en effet un enjeu de débats importants. Or, certaines villes aux Etats-Unis (dont San Francisco, Oakland et New Haven, dans le Connecticut), certes rares, qui se sont déclarées « villes-sanctuaires » pour les « undocumented aliens »549, ont délivré des cartes d'identité à ces derniers, afin qu'ils puissent accéder aux services locaux55°. La carte d'identité municipale551 devient ainsi un moyen, pour ces immigrés en situation irrégulière, d'obtenir certains droits et statuts (ouvrir un compte en banque, aller à l'hôpital, emprunter des livres dans une bibliothèque, voire bénéficier de certaines prestations sociales locales, etc.), sans toutefois être régularisésss2. Il s'agit là, bien sûr, d'un aspect marginal dans 548 Evoquant le traité de Prüm, le CEPD écrit : « Cette agrégation de bases de données augmente par ailleurs le risque de "détournement d'usage". En effet, l'interconnexion de deux bases de données ayant deux finalités distinctes débouchera sur une troisième finalité pour laquelle ces deux bases de données n'ont pas été conçues. Or, ce résultat est tout à fait contraire à l'esprit du principe de limitation des finalités. » (CEPD, 2006, « Observations relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes », 10 mars 2006.) 549 Certaines municipalités interdisent ainsi à la police municipale de contrôler la situation régulière ou non des immigrants, affirmant notamment que cela les aide dans la prévention du crime (cf. par ex. Hopkins, Kerrian, « Hartford Bars Police from Asking Status of Illegal Aliens », CNS News.com, 14 août 2008). 55° Christie, Jim (2007), « San Francisco to give illegal aliens ID cards », Reuters, 21 novembre 2007. 551 A New Haven, elle s'appelle « Elm City Resident Card ». 552 Christoffersen, John (2007), « New Haven Gives ID Cards To Illegal Aliens », Associated Press, 25 novembre 2007. l'utilisation des documents d'identité aux Etats-Unis, mais qui suffit à montrer l'hétérogénéité des logiques à l'oeuvre. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 208 209 C. ENCADRÉE PAR LE DROIT, LA BIOMÉTRIE PEUT-ELLE MENER À LA PERVERSION DES NORMES JURIDIQUES? Enfin, les contrôles s'orientent vers ceux qui auraient l'apparence d'étrangers, constitués en menace pour la sécurité et l'identité nationale: si les facteurs sociaux, économiques et politiques ont une importance décisive dans cette réorientation du contrôle, qui se fait indépendamment du statut juridique réel de la personne, l'usage de technologies biométriques telles que la reconnaissance faciale automatisée ou les échantillons ADN (classés, aux Etats-Unis, selon des critères ethniques et raciaux, ce qui contribue à la construction sociale des catégories de « race »553) ne peut que favoriser ces biais discriminants. Ici, bien qu'encadré par les normes juridiques, l'usage de la biométrie contribue à leur perversion, en mettant l'accent sur l'apparence extérieure et l'appartenance ethnique et/ou raciale des individus au détriment de leur statut juridique réel, de leur nationalité et de leur citoyenneté effective. En se focalisant sur l'identité matérielle, physique et biologique, la biométrie se montre ici héritière des dérives de l'anthropométrie au XIXe siècle, en contribuant à la construction d'identités culturelles, sociales et raciales, processus qui heurte de front la logique juridique de l'Etat-nation contemporain, pour lequel la nationalité est un marqueur invisible et bureaucratique, une « identité de papier » qui échappe, par essence, à l'examen optique, qu'il soit mené avec l'oeil nu du douanier, ou grâce aux machines de vision mises en place par l'administration fédérale. La biométrie dépasse ici le simple rôle d'outil technologique au service des normes juridiques édictées dans le cadre du droit des étrangers: elle inverse au contraire ce rapport de subordination de la technologie au droit, en pervertissant les normes impersonnelles et égalitaires de l'Etat de droit, à travers une focalisation de l'attention de l'opinion publique et des forces de maintien de l'ordre sur les sujets physiquement différents, quoiqu'ils puissent être par ailleurs juridiquement égaux (et d'abord en étant sur le papier, et de plein droit, des citoyens des Etats-Unis, et non des « latinos » potentiellement « dangereux »). 553 Duster, Troy (2005), « Race and Reification in Science », Science, 18 février 2005: Vol. 307. no. 5712, pp. 105o - 1051 ; DOI:1o.1126/science.111o303 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 210 2. Du Patriot Act au Real ID ActSuite à la décision américaine d'exiger des étrangers des passeports biométriques pour entrer sur le territoire sans visa, le G8 a décidé, en mai 2003, de choisir le procédé le plus adéquat en matière de sécurisation biométrique des passeports554. Le Patriot Act (26 octobre 2001), qui avait été élaboré avec une présence insistante des représentants de l'industrie biométrique555, prévoyait en effet des études de faisabilité d'un système de scan des empreintes digitales, avec accès à la base de données du FBI (l'Integrated Automatic Fingerprint Identification System556), qui serait utilisé dans les consulats et les points d'entrée sur le territoire des Etats-Unis afin « d'identifier les étrangers (aliens) qui pourraient être recherchés en connexion avec des enquêtes criminelles ou terroristes aux Etats-Unis ou à l'étranger préalablement à l'émission de visas ou de l'entrée aux Etats-Unis. »557 Comme l'ont souligné D. Bigo, E. Guild et D. Lyon, l'obligation faite aux consulats de prélever les empreintes des demandeurs de visa modifie la nature même des frontières, en déplaçant celles-ci du sol américain aux consulats à l'étranger. De plus, cette procédure ne permet pas seulement l'authentification ultérieure de l'identité du voyageur, mais aussi son identification, via la comparaison avec les bases de données biométriques des différents services de sécurité américains. En cas d'identification positive, c'est-à-dire si la personne est déjà fichée, l'administration prend ainsi les mesures appropriées (refus de visa voire arrestation). Quelques jours plus tard, l'Aviation and Transportation Security Act du 19 novembre 2001 prévoyait l'utilisation des technologies biométriques dans les aéroports, tandis que l'Enhanced Border Security and Visa Entry Reform Act du 14 554 Guerrier, Claudine (2004), « Les cartes d'identité et la biométrie: l'enjeu sécuritaire », Corn. Corn. Elec., n°5, mai 2004, étude 13 555 Feder, Barnaby J. (2001), « Technology & Media; A Surge in Demand To Use Biometrics », New York Times, 17 décembre 2001. Elia Zureik détaille ce point : cf. Zureik, Elia et Hindle, Karen (2004), « Governance, Security and Technology: The Case of Biometrics », Studies in Political Economy n°73, printemps/été 2004, p.113-137. Dès le 21 septembre 2001, l'International Biometrics Industry Association (IBIA) publie un communiqué prônant l'usage des technologies biométriques pour sécuriser les Etats-Unis. 556 Le FBI est en train de moderniser cette base, en y incluant notamment le contour de la main et l'iris: c'est le programme Next Generation Identification. 557 Titre X, Section 1008 du Patriot Act, traduction personnelle. Voir aussi section 414, « Visa Integrity and Security ». Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 211 mai 2002 (section 303) a ensuite exigé des gouvernements participants au « visa waiver program » de certifier, au plus tard le 26 octobre 2004, de la mise en oeuvre d'un programme délivrant à ses ressortissants des « machine-readable passports » (passeports lisibles à la machine) fiables qui incorporeraient des « identifiants biométriques et authentifiant les documents558 » conformes aux standards établis par l'OACI (ICAO en anglais, International Civil Aviation Organization). Le programme US-VISIT Prévu par l'Enhanced Border Security and Visa Entry Reform Act de 2002, le programme US-VISIT (United States Visitor and Immigrant Status Indicator Technology) a commencé à être mis en oeuvre la même année. Etendu aux voyageurs bénéficiant du Visa Waiver Program le 31 août 2004, il a été une nouvelle fois étendu, en janvier 2009, cette fois-ci aux étrangers résidant de façon légale et permanente sur le territoire états-unien". Il compare, en moins de dix secondes, deux empreintes digitales de chaque personne à une base de données de plus de 2,5 millions d'entrées560. Son efficacité demeure néanmoins débattue; le CEPD (2008) a souligné qu'en quatre ans, le Département de la sécurité intérieure avait dépensé 1,3 milliard de dollars pour mettre en place la moitié du dispositif, et que celui-ci n'avait permis d'agir, en comptant les refus d'entrée, que sur environ 1 500 personnes561 De plus, ce programme VISIT privilégie les « faux positifs » par rapport aux « faux négatifs », c'est-à-dire la possibilité que le système reconnaisse, de façon erronée, les empreintes biométriques d'un individu. Il privilégie ainsi la sécurité, et le risque d'identifier à tort un voyageur comme personne recherchée, au confort des voyageurs, faisant ainsi le choix opposé d'un système commercial comme celui mis en oeuvre par le Walt Disney World Resort (Disneyland) à Orlando (Floride) -- ce dernier est un système de vérification, couplant une empreinte digitale au ticket afm de s'assurer que le même ticket est utilisé par le même client 562. Or, si Anil Jain soutenait, dans Nature (2007), la fiabilité du système utilisé par le programme US-Visit, son article suscita deux réponses publiées en octobre 2007 par la même revue nuançant fortement son 558 [biometric and document authentification identifiers] 559 « US-VISIT Final Rule: Enrollment of Additional Aliens, Additional Biometric Data and Expansion to More Land Ports », Homeland Department Security, 22 décembre 2008. http://www.dhs.gov/xprevprot/laws/gc 1229618480915.shtm (accès URL le ii février 2009). 56oJain, Anil K., « Biometric recognition », Nature, vol. 449, 6 septembre 2007, p.38-40. 56i CEPD (2008), « Preliminary comments on three Communications from the Commission on border management (COM (2008) 69, COM (2008)68 and COM (2008)67), 3 mars 2008 562 Jain, Anil K., 2007 (art. cit.). Disneyland (Floride) avait auparavant déjà installé un système biométrique reposant sur la géométrie de la main (Craipeau et al., 2004, p.5). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 212 enthousiasme'''. David Moss soulignait ainsi qu'en moyenne, 118 000 personnes font l'objet chaque jour de ce programme; 22 350 d'entre elles font l'objet d'inspections secondaires, après avoir été repérées par le programme biométrique de reconnaissance négative; enfin, sur ces 22 350 personnes, 1 811 se voient l'accès au territoire national refusé. En d'autres termes, 92% de ceux qui font l'objet d'inspections secondaires (humaines) sont acceptés, alors que les systèmes biométriques les avaient rejetés, « ce qui suscite des doutes à propos de la fiabilité des systèmes biométriques utilisés pour les inspections primaires » (Moss, 2007564) L'Intelligence Reform and Terrorism Prevention Act de décembre 2004 a ensuite prévu l'instauration d'un système d'entrée et de sortie biométrique, géré par le Département de la Sécurité intérieure, visant tous les étrangers entrant et sortant du territoire national (§7 208). La loi prévoit notamment d'utiliser les caractéristiques biométriques comme clé universelle afin de permettre l'interopérabilité des différentes bases de données, ainsi que la compatibilité de la nouvelle base de données biométriques avec les fichiers des agences fédérales de maintien de l'ordre et les agences de renseignement, aux fins d'appuyer sur ces renseignements les décisions d'émissions de visa, d'admissibilité sur le territoire ou d'expulsion des étrangers. Prévoyant aussi la mise en place de standards concernant les dispositifs biométriques dans les aéroports (§4 o11), dont le dispositif de sécurité était passé de la responsabilité des compagnies aériennes au gouvernement fédéral par la loi du 19 novembre 2001, la section 7 210 dispose aussi que le Congrès considère que le « gouvernement fédéral devrait travailler avec les autres pays pour améliorer les standards des passeports et accorder de l'aide étrangère aux pays qui ont besoin d'aide pour opérer la transition vers les standards globaux d'identification », tandis que la section 7 218 prévoit plusieurs dispositions pour aider les autres Etats à lutter contre la fraude documentaire. La loi prévoit aussi plusieurs dispositions pour améliorer la sécurité de divers documents (certificats de naissance, permis de conduire, qui doivent être dotés d'une photographie numérique, carte de sécurité sociale, etc.) (§7 211 sq.). Ces dispositions ont été renforcées par le Real ID Act de 2005, acronyme signifiant en soi et pour l'expression qu'il abrège, « Rearing and Empowering 563 Moss, David, « Biometrics: still much too unreliable for everyday use », Nature, vol. 449, issue 7 162, 4 octobre 2007, p.535; Watson, Andrew, « Biometrics: easy to steal, hard to regain identity », ibid. 564 Moss, David (2007), art. cit. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 213 America for Longevity against acts of International Destruction ». Cette loi impose des standards fédéraux pour toutes sortes de documents d'identité, dont en particulier les permis de conduire et les cartes d'identité émises par chaque Etat. Le règlement édicté en 2007 par le Département de la Sécurité intérieure, pour l'application du Real ID Act, n'oblige pas les Etats à mettre en place des documents biométriques, mais le leur permet (certains le font déjà) et demande des retours sur ces mesures565. Par ailleurs, le Sénat est en cours d'examen de procédures visant à créer une carte biométrique de sécurité sociale, qui permettrait notamment de contrôler les migrants afin de s'assurer qu'ils sont bien autorisés à travailler566 Par ces lois, les Etats-Unis ont ainsi largement impulsé au niveau mondial l'usage de la biométrie pour la sécurisation des passeports, le rejet de celle-ci conduisant à abandonner le bénéfice de l'admission sur le territoire états-unien sans visa. De plus, ils ont confié à l'OACI, agence spécialisée de l'ONU fondée par la Convention relative à l'aviation civile internationale, dite Convention de Chicago (1944), le soin d'élaborer les standards techniques approuvés. Celle-là édicte donc des normes contraignantes en matière des « formalités de douane et d'immigration » et de sécurité aérienne567 L'OACI définit ainsi le « passeport électronique » : « un passeport lisible à la machine (Machine Readable Passport ou MRP) contenant une puce avec circuit intégré (IC) sans contact à l'intérieur de laquelle sont stockées les données de la page de données du MRP, une mesure biométrique du détenteur du passeport et un objet de sécurité afm de protéger les données avec des technologies cryptographiques PKI (Public Key Infrastructure), et conforme aux spécifications du Doc. 9303, Partie 1. »568 Bien que les passeports soient une marque de la souveraineté des Etats, un tel processus met en valeur l'importance du champ des relations internationales et son 565 Dept. Of Homeland Security (2007), « Notice of Proposed Rulemaking », rer mars 2007. Voir http://www.biometrics.gov/ReferenceRoom/FederalPrograms.aspx pour un résumé des dispositions fédérales des Etats-Unis concernant la biométrie. 566 Martin, Zack (2009), « Smart card, biometrics on the way for Social Security card? », Secure ID News, 22 juillet 2009. 567 Art. 22, 23 et 37 de la Convention de Chicago. 568 Traduction personnelle. Définition en anglais: « A Machine Readable Passport (MRP) containing a contactless integrated circuit (IC) chip within which is stored data from the MRP data page, a biometric measure of the passport holder and a security object to protect the data with Public Key Infrastructure (PKI) cryptographic technology, and which conforms to the specifications of Doc. 9303, Parti. » Citation extraite de ICAO MRTD Report, vol. 4, n°1(2009), accessible sur http://www2.icao.int/en/mrtd/Pages/default.aspx influence sur la législation intérieure de chaque Etat. La puissance politique et économique des Etats-Unis leur permet ainsi d'imposer certaines règles, laissant à l'agence spécialisée de l'ONU le soin d'élaborer les standards techniques, normes qui prennent par la suite valeur juridique dans chaque ordre juridique national. En juillet 2005, suite aux attentats de Londres (dans le métro), l'OACI prend la décision de rendre obligatoire l'inclusion des caractéristiques biométriques dans les documents de voyage. Les 188 Etats membres de l'agence acceptent alors d'émettre de tels passeports MRP au plus tard à partir du ler avril 2010569. Ceux-ci, qui imposent comme caractéristique biométrique fondamentale la photographie numérisée du porteur, laissent le choix optionnel aux Etats d'ajouter, en tant que caractéristique biométrique secondaire, soit l'enregistrement des caractéristiques de l'iris, soit celui des empreintes digitales. Ces caractéristiques doivent être enregistrées sur une puce RFID. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 214 569 « UN aviation agency's format for biometric passports enters into force », UN News Center, 12 juillet 2005. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 215 3. De l'immigration au terrorisme: l'influence américaine dans l'ordre juridique international et les enjeux sociaux de la biométrieCes exemples montrent d'une part que l'attention à la sécurisation des procédures d'identification était antérieure aux attentats de 2001, bien que ce n'est qu'avec le Enhanced Border Security and Visa Entry Reform Act du 14 mai 2002 que la biométrie est véritablement venue à l'ordre du jour en matière de documents de voyage, en devenant non plus facultative et utilisée, encore de façon expérimentale, en tant que « technologie de confort », mais obligatoire. D'autre part, ils montrent que le contrôle accru vis-à-vis de l'identité des personnes, leur imposant un réel devoir d'identification vis-à-vis de l'Etat et des organismes (décentralisés aux Etats-Unis) du welfare state, n'a pu s'imposer aux Etats-Unis, à contre-courant d'une tradition dominante considérant que l'identité ressortait de la vie privée des individus, qu'à la faveur conjointe des discours prônant un contrôle accru des flux d'immigration, discours qui deviennent populaires à partir de la fin des années 1980 et du début des années 1990, et de la peur engendrée parmi la population après la tragédie du 11 septembre 2001. Sur le plan institutionnel et géopolitique, l'initiative américaine qui délègue à l'OACI le soin d'élaborer les standards techniques pour la sécurisation des titres de transport, standards devant intégrer, selon les lois passées suite au 11 septembre, des techniques biométriques, démontre la capacité d'influence de la puissance américaine et son rôle dans la généralisation de la biométrie au XXIe siècle. Outre l'obligation faite aux autres Etats de se mettre en conformité avec les standards de l'OACI s'ils veulent pouvoir permettre à leurs ressortissants d'entrer facilement sur le territoire des Etats-Unis, le processus menant à l'instauration de dispositifs biométriques dans les documents de voyage a une conséquence évidente d'une part sur le marché de ces technologies, offrant un soutien non négligeable aux entreprises concernées, d'autre part sur l'accoutumance des populations à ces techniques. Une fois habitué à se soumettre à la biométrie pour ce qui concerne les procédures de contrôle aux Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 216 frontières, il devient en effet plus facile d'accepter l'usage de celle-ci dans d'autres domaines et pour des finalités de moindre importance (tel que les contrôles dans les cantines, etc.). D'autre part, sur le plan des identités culturelles, l'usage de la biométrie dans le champ sécuritaire du contrôle aux frontières a des incidences sociales et culturelles sur la construction des identités, en accentuant l'importance de l'apparence physique, qui seule est prise en compte par la biométrie, au détriment du statut juridique réel de la personne. Les craintes du Comité consultatif national d'éthique57°, selon lesquelles la biométrie pourrait avoir une incidence sur la perception sociale des identités, réduisant celles-ci à la « mêmeté » ou, plutôt, aux caractères physiques et biologiques de la personne, au détriment de l' « ipséité » ou, plutôt, aux caractères sociaux et culturels du sentiment de soi, apparaissent ici comme pleinement légitimes. Mais la biométrie exerce ici son influence au-delà de la simple « perception sociale des identités »: en façonnant le regard même des agents des forces de l'ordre, qui utilisent désormais ces techniques quotidiennement, elle agit sur l'application des règles de droit, quitte non seulement à avoir un effet de distorsion à l'égard de celles-ci, mais même à les pervertir, dans la mesure où la nationalité et le caractère régulier de la présence d'un étranger sur le territoire national est, en droit et en principe, totalement disjoint de l'apparence physique (y compris et surtout de la couleur de peau) du sujet. De façon qui pourrait sembler paradoxale, l'identification biométrique opère ainsi un retour aux procédures de reconnaissance par le face-à-face, sautant par-dessus les identités de papier, lesquelles sont, sinon ignorées, du moins minorées. 57° Comité consultatif national d'éthique, avis n°98, « Biométrie, données identifiantes et droits de l'homme », publié le 20 juin 2007 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 217 C/ LA SÉCURISATION DES DOCUMENTS DEVOYAGE DANS L'UNION EUROPÉENNE«L'usage de la biométrie, comme technologie permettant de gérer des grands flux aux frontières sans failles de sécurité, devient le ferment d'une biométrie mondiale interopérable. » Représentant de SAGEM57 L'Enhanced Border Security and Visa Entry Reform Act de 2002 avait donc fixé comme date limite le 26 octobre 2004 pour la sécurisation biométrique des documents de voyage, en accord avec les standards de l'OACI, afin de continuer à bénéficier des modalités d'exemption de visa (Visa Waiver Program). Mais le standard de l'OACI n'est lui-même entré en vigueur, en tant que standard contraignant accepté par les 188 Etats-membres, qu'en juillet 2005. Elaboré en conjonction avec l'ISO (Organisation internationale de normalisation), les standards de l'OACI, formulé dans le doc. 9303, prévoient l'interopérabilité des dispositifs utilisés dans les aéroports, en normalisant les « documents de voyage lisibles à la machine » (MRTD). Les Etats membres de l'Union européenne et la Commission européenne ont néanmoins devancé l'aboutissement des négociations au sein de l'OACI afin de pouvoir continuer à bénéficier du Visa Waiver Program, bien que tous n'y ont pas réussi572. Aussi, dès le 19-20 juin 2003, le Conseil européen de Thessalonique exige « une approche cohérente en ce qui concerne les identificateurs ou les données 571 Cité par Sylvia Preuss-Laussinotte, « L'Union européenne et les technologies de sécurité », Cultures & Conflits, 64, hiver 2006 572 En janvier 2006, la Commission européenne notait que, outre la Grèce, les dix nouveaux Etats membres de l'UE, entrés le ier mai 2004 dans l'Union, à l'exception notable de la Slovénie, ne bénéficiaient pas de ces exemptions de visa. Les Etats de l'UE ne bénéficiant pas de ce programme étaient alors les suivants: République tchèque, Grèce, Estonie, Chypre, Lettonie, Lituanie, Hongrie, Malte, Pologne et Slovaquie. Cf. Rapport de la Commission au Conseil concernant la réciprocité à l'égard de certains pays tiers en matière d'exemption de visa conformément à l'article 2 du règlement (CE) n° 851/2005 du Conseil du 2 juin 2005 modifiant le règlement (CE) n° 539/2001 fixant la liste des pays tiers dont les ressortissants sont soumis à l'obligation de visa pour franchir les frontières extérieures des États membres et la liste de ceux dont les ressortissants sont exemptés de cette obligation en ce qui concerne le mécanisme de réciprocité /* COM/2006/0003 final */ Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 218 biométriques qui permettrait d'appliquer des solutions harmonisées pour les documents des ressortissants de pays tiers, les passeports des citoyens de l'UE et les systèmes d'information VIS et SIS II ». Derechef, trois initiatives distinctes, touchant toutes à la circulation internationale des personnes mais ayant des « finalités, des natures et des caractéristiques distinctes », comme le souligne le G29573, sont prises, devant toutes converger vers la sécurisation biométrique de ces documents d'identité et de voyage. Malgré le calendrier, il ne faut pas croire toutefois que le ii septembre ait été l'unique cause de cette évolution: un rapport commandé par la Commission européenne précise ainsi que « les événements du ii septembre peuvent être regardés comme l'occasion plutôt que la cause de l'introduction d'un nouveau paradigme de sécurité. »574 La Commission européenne concrétise rapidement ces initiatives, en proposant fin septembre 2003 un projet de règlement du Conseil modifiant les règlements n°1683/95 et 1030/2002 relatifs, respectivement, aux modèles type de visa575 et aux modèles types de titre de séjour pour les ressortissants de pays tiers. En ce qui concerne les citoyens de l'UE, elle propose le 18 février 2004 un projet de règlement qui sera adopté en décembre 2004, sous le nom de règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 « établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ». Celui-ci intègre notamment l'obligation de collecter et enregistrer les empreintes digitales, alors que les Etats-Unis se satisfaisaient de la seule photographie numérisée. En dépit de leurs finalités différentes, ces diverses propositions doivent être appréhendées ensemble, dans la mesure où d'une part elles tendent toutes à la 573 G29, avis n°7/2004 sur l'insertion d'éléments biométriques dans les visas et les titres de séjour en tenant compte de la création du système d'information Visas (VIS), 11 août 2004. 574 IPTS, JRC Commission européenne (2003), « Security and Privacy for the Citizen in the Post-September 11 Digital Age: A Prospective Overview », EUR 20823 . Executive summary (14 p.) : http://cybersecurity jrc.ec.europa.eu/docs/LIBE%20STUDY/20823-ExeSummEN.pdf 575 La liste négative de 101 « pays tiers » soumis à l'obligation de visa dans tous les Etats de l'UE a été établie par le règlement n°574/1999 . Le règlement n°539/2001, adopté le 15 mars 2001 sur le fondement de l'article 62 du traité d'Amsterdam, fixe deux listes exhaustives de pays tiers : ceux dont les ressortissants sont soumis à l'obligation de visa et ceux dont les ressortissants sont exemptés de cette obligation, effaçant la « zone grise » qui demeurait présente en 1999 (cf. Beaudu, Gérard (2003) « La politique européenne des visas de court séjour », Cultures & Conflits, 50, été 2003). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 219 biométrisation de documents soit de voyage, soit d'identité, soit encore remplissant ces deux fonctions simultanément, et d'autre part parce que leur mode d'élaboration n'est pas indépendant. Dès mars 2004, à l'issue d'une déclaration sur le terrorisme, le Conseil européen envisage la synergie des systèmes biométriques d'information SIS II, VIS et EURODAC576. Fin juin 2009, la Commission propose de coiffer ces trois systèmes d'une agence de régulation (organisme européen indépendant) chargée de la « gestion opérationnelle » de ces systèmes, sous le nom d' « Agence pour la gestion opérationnelle des système d'information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice »577. Ainsi, le projet de règlement concernant les visas et les titres de séjour, proposé en septembre 2003 par la Commission, n'aboutit qu'en avril 2008578, soit après le règlement du 13 décembre 2004 sur les documents de voyage délivrés par les Etats membres (qui provient lui, d'un projet un peu plus tardif, datant de février 2004). Le règlement de 2004 a toutefois été modifié le 28 mai 2009 par le règlement n°444/2009579. Il faut enfin ajouter à ces textes réglementaires le règlement « Dublin II » relatif à l'harmonisation des procédures d'asiles$°, qui fournit le cadre global de la base de données EURODAC, qui recueille les empreintes digitales des demandeurs d'asile, créée par le règlement (CE) n°2725/2000 et opérationnelle depuis le 15 janvier 2003. Après avoir indiqué les changements apportés par la réforme en 2004 de la loi Informatique et libertés concernant les traitements de souveraineté et l'approche juridique européenne des données policières et judiciaires, nous examinerons d'abord le règlement du 13 décembre 2004 sur les passeports, tel que modifié par le règlement du 28 mai 2009, avant de passer à celui d'avril 2008 relatif aux titres de 576 G29, avis n°7/2004 (précité) 577 Proposition de décision du Conseil confiant à l'agence créée par le règlement XX les tâches relatives à la gestion opérationnelle du SIS II et du VIS en application du titre VI du traité UE (COM(2009) 294 final). Cf. aussi « La Commission propose la création d'une agence pour la gestion opérationnelle des systèmes d'information à grande échelle », IP/09/991, 24 juin 2009 578 Règlement (CE) n°380/2008 du 18 avril 2008 modif. le règlement (CE) n°1030/2002 établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers. JO L 115 du 29 avril 2008. 579 Règlement (CE) n° 444/2009 du 28 mai 2009 modif. le règlement (CE) n° 2252/2004 580 Règlement (CE) n°343/2003 du 18 février 2003 établissant les critères et mécanismes de détermination de l'Etat membre responsable de l'examen d'une demande d'asile présentée dans l'un des Etats membres par un ressortissant d'un pays tiers. séjour, en analysant à chaque fois la transposition française de ces règlements. Nous considérerons enfin la base de données d'empreintes digitales des demandeurs d'asile, dite EURODAC, en établissant sa continuité avec la base dactyloscopique de l'OFPRA, et les problèmes juridiques, techniques et éthiques soulevés par celle-ci. 220 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 221 Tableau récapitulatif des différents documents d'identité
5$1 CNIL, délib. n°95-126: autorise à augmenter la durée de conservation de 5 à 10 ans, mais précise que le décret ne devrait pas publier cette information. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 222Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 223 1. Les traitements de souveraineté et les traitements policiers et judiciairesA. EN FRANCE : UN CONTRÔLE AMOINDRI APRÈS 2004Si le contrôle de la CNIL en matière de biométrie a augmenté vis-à-vis du secteur privé après la réforme de 2004, il a au contraire diminué en ce qui concerne les traitements dits « de souveraineté », concernant la sûreté de l'Etat, la défense et la sécurité publique. Ayant été exclus de la directive 95/46/CE (13e considérant et art. 3), ces traitements relevaient exclusivement de la législation nationale, du moins jusqu'à la décision-cadre du Conseil européen de novembre 2008 « relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale »582. Tout comme ceux concernant les infractions, condamnations et mesures de sûreté, les traitements de souveraineté sont mis en oeuvre après autorisation par arrêté du ou des ministre(s) compétent(s), qui ne peut avoir lieu qu'après avis motivé et public de la CNIL (L. 1978, art. 26, I). Toutefois, cet avis n'a de valeur que politique; le ministre peut autoriser le traitement par arrêté même en cas d'avis négatif. Cela a été entériné par le Conseil constitutionne1883. Le gouvernement a par exemple usé de ce pouvoir de passer outre l'avis de la CNIL pour le traitement TES des passeports58 . Auparavant, les fichiers de police étaient assujettis à l'autorisation préalable de la CNIL, le gouvernement ne pouvant passer outre que par un décret pris en Conseil d'Etat, procédure qu'il n'a jamais utilisée (art. 15 de la loi n°78-17). Si ce type de traitement comporte des « données sensibles », définies à l'art. 8, il doit faire l'objet d'une autorisation par décret pris en Conseil d'Etat, avec avis (positif 5$2 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, Journal officiel n° L 3,5o du 30/12/2008 p. 0060 -- 0071. Le Conseil de l'Europe avait toutefois définit quelques principes en 1987, par la recommandation (87) 15 du Comité des ministres aux Etats membres visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, adoptée le 17 septembre 1987. 583 Décision n°2004-499 DC du 29 juillet 2004. 584 Cf. infra, chap. V sur les documents de voyage. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 224 ou négatif) de la CNIL (art. 26, II). Dans la mesure où les données sensibles incluent « les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (art. 8), les systèmes de traitement de données génétiques en font partie. Toutefois, l'avis du Conseil d'Etat n'est pas non plus juridiquement contraignant. On pourrait légitimement s'interroger sur la nécessité d'inclure d'autres dispositifs biométriques parmi ces « données sensibles », tels que ceux opérant à l'aide de techniques de reconnaissance faciale, dont on pourrait argumenter qu'ils permettent de faire apparaître les « origines raciales ou ethniques » (la couleur de la peau) voire d'autres informations (s'ils sont utilisés, par exemple, dans le cadre de manifestations). La CNIL n'ignore pas tout à fait cet aspect585, bien qu'elle n'ait pas, à ce jour, officiellement inclus les photographies parmi les données sensibles. Selon IRIS et la Ligue des droits de l'homme, les photographies devraient pourtant être considérées comme des données sensibles, puisqu'elles font apparaître la couleur de la peau586. De même, les empreintes digitales pourraient aussi être considérées comme délivrant des informations de santé. Toutefois, jusqu'à présent, seules les données génétiques sont considérées comme formant des « données sensibles ». La loi de 1978 prévoyait par ailleurs la possibilité, après promulgation d'un décret en Conseil d'Etat, d'une dispense de publication des « actes réglementaires relatifs à certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique »587, disposition étendue en 2004 aux fichiers « qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté. »588 Le cas échéant, 585 « Il doit toutefois être relevé que le développement de la photographie numérique facilite de fait tout type de traitement possible de données sur les apparences physiques des personnes » (Debet, Anne (2007), « Mesure de la diversité et protection des données personnelles », rapport de la CNIL, 15 mai 2007, p.10) 586 IRIS et LDH, requête en annulation devant le Conseil d'Etat contre le décret n°2008-426 du 30 avril 2008 relatif aux passeports. 587 Art. 20 de la loi de 1978. 588 Art. 26 de la loi modifiée en 2004 de 1978. L'art. 13 de la loi n°2006-64 « relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers » modifie en outre l'article 3o de la loi n° 78-17 , qui concernent les informations adressées à la CNIL, en ajoutant l'alinéa suivant : « Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 225 seul « le sens de l'avis émis » par la CNIL est publié589. Ces traitements de données peuvent aussi faire l'objet d'une autorisation unique. De fait, cette dispense de publication n'a été mise en oeuvre, jusqu'à présent, que pour les fichiers de la DST, de la DGSE, de la DRM et de la DPSD59°. Les RG n'en ont pas été exempté, et suite à la réforme des services de renseignement, aboutissant à la fusion des RG et de la DST au sein de la DCRI (Direction centrale du renseignement intérieur591), la CNIL a eu à examiner deux projets de décrets, visant à créer les fichiers EDVIGE et CRISTINA, qui ont suscité un large débat public. Nonobstant les autres dispositions prévues par ces projets de décrets, la CNIL a d'abord pris acte que ces fichiers bénéficiaient d'une dispense de publication de l'acte réglementaire les instaurant, mais que « le ministère de l'intérieur [s'était] toutefois engagé à publier l'acte réglementaire considéré et à autoriser le contrôle du traitement »592. Elle a ensuite pris acte qu'une simple photographie, non numérisée, était enregistrée, ainsi que de la modification du projet de décret afin de préciser qu'aucun dispositif de reconnaissance faciale ne serait mis en oeuvre593. Le gouvernement a ensuite publié le ier juillet 2008 deux décrets modifiant le décret n°91-1051 relatif aux fichiers des renseignements généraux et établissant le fichier EDVIGE594, qui précisaient que le « traitement ne [comportait] pas de dispositif de reconnaissance faciale à partir de la photographie »595, conformément aux recommandations de la CNIL, tandis qu'il dispensait de publication le décret instaurant CRISTINA. Toutefois, suite au tollé suscité par ce décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum. » 589 Ibid. et art. 83 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n°78-17. 59° C'est le cas notamment du traitement automatisé d'informations nominatives de personnes étrangères mis en oeuvre par la DRM (direction du renseignement militaire). Cf. décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de l'article 3o de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui abroge le décret précédent n° 86-326 . 591 Décret n° 2008-609 du 27 juin 2008 (relatif aux missions de la DCRI) 592 Délib. n° 2008-175 du 16 juin 2008 (projet de décret portant modif. du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des RG et du décret n° 2007-914) 593 Délib. n° 2008-174 du 16 juin 2008 (projet de décret en Conseil d'Etat ; EDVIGE) publié au JO le ler juillet 2008. 594 Décret n° 2008-631 du 27 juin 2008, qui dispose notamment que « le décret n°91-1051 du 14 octobre 1991 susvisé est abrogé à la date du 31 décembre 2009. »; décret n° 2008-632 du 27 juin 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé « EDVIGE » 595 Art. 2 du décret n°2008-623. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 226 fichier 596, le décret établissant EDVIGE a été retiré le 19 novembre 2008597. D'autre part, le collectif « non à EDVIGE » a déposé le 29 juillet 2008 un recours contre le décret non publié instaurant EDVIGE, au motif qu'il ne serait pas conforme à l'avis du Conseil d'Etat concernant le projet de décret, avis nécessaire dans la mesure où il s'agit de « données sensibles ». La Cour a ordonné le 31 juillet 2009 que le décret lui soit communiqué afin qu'elle puisse se prononcer sur le fond598. Pour ces raisons, il est difficile d'apprécier de façon directe l'attitude de la CNIL à l'égard d'un usage éventuel et spécifique des technologies biométriques par les services de renseignement. Toutefois, il est possible d'apprécier cet usage au regard des autorisations concernant d'autres systèmes de traitement de données biométriques, notamment les fichiers policiers et judiciaire (L.1978, art. 26, I-2°). Traitements sensibles, ceux-là requièrent l'autorisation publique de la CNIL et doivent être établis par décret en Conseil d'Etat (L.1978, art. 26, II). Cette catégorie inclut notamment le FNAED (Fichier national automatisé des empreintes digitales, qui enregistre aussi les empreintes palmaires)599, mis en oeuvre par la direction centrale de la police judiciaire; le FNAEG (Fichier national automatisé des empreintes génétiques), régulé par les articles 706-54 et suivants du Code pénal; et le SIS (système d'information Schengen), qui comporte notamment photographies et empreintes digitales. A ces fichiers, il faut ajouter ceux concernant les étrangers. 596 La Ligue des droits de l'homme s'indigne alors d'un fichier mélangeant « les personnes considérées comme « susceptibles de porter atteinte à l'ordre public » avec les militants associatifs, syndicaux ou politiques et en général tout citoyen sur lequel le pouvoir souhaite en savoir davantage » (J.-C. Vitran, « Surveiller les citoyens, partout et toujours », Une société de surveillance? L'état des droits de l'homme en France, édition 2009, p.32.) Un collectif « Non à Edvige » s'était constitué, rassemblant 250 000 signatures en près de deux mois, tandis que 13 organisations membres du collectif, dont la LDH, déposaient le 2 septembre 2008 un recours devant le Conseil d'Etat contre le décret n°2008-63. 597 Décret n° 2008-1199 du 19 novembre 2008 portant retrait du décret n° 2008-632 du 27 juin 2008 . Un projet de décret EDVIRSP devait toutefois le remplacer, tandis que le fichier CRISTINA devait bénéficier de la dérogation en matière de publication d'acte réglementaire. 598 CE (section du contentieux), 31 juillet 2009, n°320196 (décision devant être publiée au recueil Lebon). 599 Régi par le décret n°87-249 du 8 avril 1987. B. LA COOPÉRATION POLICIÈRE ET JUDICIAIRE DANS LOUE ET LE Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 227 « PRINCIPE DE DISPONIBILITÉ » Au niveau communautaire, les fichiers relatifs à la prévention ou la répression des infractions pénales concernent le 3e pilier de l'UE, dit de la « coopération policière et judiciaire en matière pénale » (titre VI du traité CE, ou traité instituant la Communauté européenne), qui fonctionne selon un modèle à dominante intergouvernementale et qui ne relève pas de la directive 95/46/CE, ni de l'art. 16 du traité de fonctionnement de l'UE (qui, établi par le traité de Lisbonne, institue une base juridique unique concernant le « droit à la protection des données personnelles »). Jusqu'à 2008, ils ne relevaient ainsi que de la Convention n°108: aucune harmonisation réelle de la protection des données personnelles dans ce secteur n'avait donc été mise en oeuvre. Cela posait problème concernant l'échange des données, les autorités y ayant un accès différent selon les pays6o° Ainsi, la politique européenne concernant les fichiers relatifs aux infractions pénales, y compris les systèmes d'information biométriques, a d'abord favorisé l'échange des données avant de mettre en oeuvre un cadre juridique entourant leur protection: le traité de Prüm (2005) instaurant l'obligation d'établir des bases de données ADN et dactyloscopiques à des fins pénales a ainsi été intégré au cadre juridique européen en juin 2008, la décision-cadre relative à la protection des données personnelles dans le cadre du 3e pilier n'ayant été promulguée qu'en novembre 2008. Comme le rappelle le CEPD, dans le cadre du 3e pilier, « l'intervention du législateur européen est subordonnée à des limitations clairement définies: limitation des compétences législatives de l'Union aux domaines visés aux articles 3o et 31; limitations concernant la procédure législative, à laquelle le Parlement européen ne participe pas pleinement; limitations en termes de contrôle juridictionnel puisque, en vertu de l'article 35 du TUE, les compétences de la Cour européenne de justice sont 6O0 Didier Bigo notait ainsi qu' « en Allemagne (...) les services de renseignement interne ont le droit d'alimenter en données le système d'information Schengen. Aux Pays-Bas, un certain nombre de services de renseignement font appel aux services de police pour obtenir leurs informations. » (Bigo, D., audition devant la CNIL, 11 mars 2005). limitées »6°1 Alors que le premier pilier est régulé par des règlements (titre IV du traité CE), le 3e pilier fait l'objet de décisions du Conseil. Or, le 3e pilier intéresse directement la biométrie, puisqu'on trouve dans son cadre les fichiers dactyloscopiques ainsi que les bases de données ADN utilisées dans le cadre d'enquêtes judiciaires et de la coopération des services de police. Le hiatus entre la protection apportée par le droit français à ces fichiers et l'absence de régulation au niveau communautaire était préoccupant dans la mesure où l'échange des données stockées dans des bases nationales était déjà prévu, tandis que des bases, des systèmes ou des réseaux européens d'information étaient construits (Eurodac, SIS II, utilisé pour signaler les personnes non-admises ou interdites du territoire, VIS ou système d'information sur les visas). En ce qui concerne la France, celle-ci autorise l'échange de ces données lorsque l'Etat tiers dispose de « garanties équivalentes » concernant leur protection (art. 24 de la loi de 2003 sur la sécurité intérieure, appliqué par ex. au FNAED).
S'agissant des bases de données ADN constituées à des fins de procédure pénale, le Conseil de l'UE demandait depuis 1997 aux Etats de veiller à leur « compatibilité », envisageant en tant que seconde étape la « création d'une base de données ADN européenne »6o3. Ces dispositions ont été reprises en 2001, le Conseil établissant une liste des marqueurs ADN à utiliser à des fins d'interopérabilité des systèmes; prenant en compte les possibilités d'évolution du savoir et des techniques, et donc le caractère temporaire de la notion d'ADN « non codant », il recommandait toutefois « aux États 6°1 CEPD (2005), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475 final), publié au JOUE le 25 février 2006 6°2 CNIL (2001), 21e rapport d'activité 2000, p.12 6o3 Résolution du Conseil du 9 juin 1997 relative à l'échange des résultats des analyses d'ADN (97/C 193/02) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 228 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 229 membres d'être prêts à détruire les résultats d'analyses d'ADN qu'ils ont reçus, s'il s'avère que ces résultats comportent des informations sur des caractéristiques héréditaires spécifiques. »6o4 Par ailleurs, la Commission européenne poussait depuis 2005 à l'interopérabilité des différentes bases de données de ce secteur, ce qui permettrait l'interconnexion de ces systèmes de traitement, même si celle-ci ne se fait qu'à titre temporaire et momentané (consultations croisées)6o5. La Commission indiquait alors que les autorités chargées de la sécurité intérieure pourraient avoir accès, dans le futur, à EURODAC: quatre ans plus tard, elle propose en effet une modification du règlement EURODAC visant à permettre celui-ci6°6. Elle préconisait à cet égard l'utilisation des caractéristiques biométriques en tant que « clé primaire » autour desquelles seraient organisées les données: l'identifiant biométrique est alors utilisé comme « identifiant universel », selon la terminologie de la CNIL utilisée à propos du NIR. A ce sujet, le CEPD, qui déplore que le concept d'interopérabilité ne soit considéré par la Commission que sous l'angle technique, et non juridique ou politique, remarque que « les données biométriques, qui sont basées sur des probabilités, ne peuvent fournir la clé exempte de toute ambiguïté qui, par définition, est requise pour les clés primaires des bases de données », ce qui peut entraîner une « violation du principe de la qualité des données »6°7 La formalisation du principe de disponibilité en 2005 L'échange des données au sein de l'UE a été formalisé par le « principe de disponibilité », défini dans le programme de La Haye en tant que possibilité pour « les services répressifs d'un État membre qui a besoins de certaines informations (préalablement à l'engagement d'une poursuite) dans l'exercice de ses fonctions de les obtenir d'un autre État membre qui les détient, en mettant ces informations à sa 6o4 Résolution du Conseil du 25 juin 2001 relative à l'échange des résultats des analyses d'ADN (2001/C 187/01) 6ô5 Communication de la Commission du 24 novembre 2005 sur « le renforcement de l'efficacité et de l'interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergie entre ces bases ». 606 Cf. infra. 6°7 CEPD (2006), « Observations relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes »,10 mars 2006. disposition »608. Celui-ci conduit donc à étendre l'accès aux données biométriques détenues par un Etat membre à tous les Etats membres de l'UE, ainsi qu'à Europol, tout en évitant la constitution d'une base centrale. Formulé dans la « proposition de décision-cadre du Conseil du 12 octobre 2005 relative à l'échange d'informations en vertu du principe de disponibilité », le principe de disponibilité va bien au-delà de la convention d'application de l'accord de Schengen, dont l'art. 39 prévoyait la possibilité d'échange d'information sans rendre celui-ci obligatoire. L'annexe II de la proposition détaille les informations qui peuvent être échangées, lesquelles incluent notamment les « profils ADN, c'est-à-dire les codes alphanumériques composés à partir des sept marqueurs d'ADN de l'ensemble européen de référence (European Standard Set) définis dans la résolution du Conseil 2001/C 187/01 du 25 juin 2001 relative à l'échange des résultats des analyses d'ADN. Ces marqueurs ne peuvent contenir aucune information sur des caractéristiques héréditaires spécifiques »; les « empreintes digitales » et les « données minimums en vue de l'identification des personnes figurant dans les registres de l'état civil. »609 Il est heureux que la proposition de décision-cadre n'instaure « aucune obligation de recueillir les informations en recourant à des mesures coercitives ». L'intégration du traité de Prüm au cadre juridique de l'UE: l'échange des données dactyloscopiques et des profils ADN Par contraste, le traité de Prüm (2005), signé par sept Etats membres (dont la France), et prévoyant l'échange des données dactyloscopiques et des profils ADN, impose l'obligation de constituer de telles bases de données. Cela a d'ailleurs été critiqué par le CEPD, de même que le processus d'adoption du traité lui-même, exercé en-dehors du cadre institutionnel de l'UE61°. 6°8 « Le principe de disponibilité », synthèses de la législation de l'UE sur http://europa.eu/legislation summaries/justice freedom security/police customs cooperation/133 257 fr.htm ; CNIL (2006), « Echange d'informations selon le principe de disponibilité: une approche nouvelle de la coopération entre services répressifs en Europe », fiche de synthèse du ier août 2006: http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Principe de disponibili te.pdf 609 Proposition de décision-cadre du Conseil du 12 octobre 2005 relative à l'échange d'informations en vertu du principe de disponibilité (/* COM/2005/0490 final - CNS 2005/0207 */): http://eur-lex.europa.eu/smartapi/cgi/sga doc?smartapi!celexplus!prod! DocNumber&lg=fr&type doc=COMfinal&an doc=2005&nu doc=490 61° CEPD (2006), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité (COM (2005) 490 final) (§48 et 61). 230 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 231 Le traité de Prüm a été
intégré en juin 2008 au cadre juridique de l'UE par la
décision 2008/615/JAI du Conseil, qui équilibre le principe de
disponibilité avec un « principe de responsabilité »,
qui concerne l'exactitude et la sécurité des données
échangées611 Cette décision institutionnalise
donc la standardisation et l'échange des données ADN et
dactyloscopiques (empreintes digitales et palmaires) au sein de l'UE, via la
constitution d'un « réseau des bases de données nationales
des États membres » (cons. 13), les Etats étant
appelés à constituer ces bases ADN et dactyloscopiques aux fins
des enquêtes relatives aux infractions pénales (art. 2
et 9). Les profils ADN et les données dactyloscopiques
correspondent aux standards européens ainsi qu'aux normes
utilisées par Interpol. Ces données sont échangées
au travers du réseau de communication « Services
télématiques transeuropéens sécurisés entre
administrations (TESTA II) »612 Les garanties concernant la protection des données personnelles (chap. VI), mis à part les principes généraux habituels (principe de finalité, d'exactitude, conservation des données, droit d'accès, sécurité des données, etc.), consistent essentiellement en une comparaison « anonyme » et transnationale des profils ADN et dactyloscopiques (entre celui recueilli lors d'une enquête et ceux qui sont enregistrés), les données personnelles permettant de rattacher les profils à un individu déterminé n'étant transmises que s'il y a concordance entre les profils comparés, et conformément au droit national de l'Etat membre requis (art. 2-5 et art. 8 sq.). La décision prévoit par ailleurs l'échange des données concernant l'immatriculation des véhicules (art. 12), ainsi que des données personnelles « aux fins de la prévention des infractions pénales et du maintien de l'ordre et de la sécurité publics lors de manifestations majeures à dimension transfrontalière, notamment dans le domaine sportif ou en rapport avec des réunions du Conseil européen » (art. 13) et à des fins d'anti-terrorisme (art. 16). 611 Décision 2oo8/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière et décision 2oo8/616/JAI du Conseil du 23 juin 2008 concernant la mise en oeuvre de la décision 2oo8/615/JAI, publiées au JOUE le 6 août 2008. 612 Décision 2oo8/616/JAI précitée. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 232 La décision-cadre de novembre 2008 sur la protection des données dans le cadre du 3e pilier En raison de l'institutionnalisation de ce « principe de disponibilité », le Conseil européen a ressenti la nécessité de préparer une décision-cadre sur la protection des données personnelles dans le domaine de la coopération policière et judiciaire, afin d'harmoniser la législation dans ce domaine et d'assurer le respect des droits énoncés dans la Charte européenne des droits de l'homme (art. 7 et 8 sur la vie privée et les données personnelles). La protection des données utilisées et conservées par Europol est quant à elle assurée par une autorité de contrôle ad hoc, prévue par la Convention de 1995 sur Europol. La proposition du Conseil de décision-cadre concernant la protection des données personnelles d'octobre 200556~3 était donc censée répondre à cette exigence, et prévoyait en outre de restreindre le transfert à des pays tiers et aux instances internationales des données personnelles à la condition que ces derniers puissent garantir un niveau adéquat de protection. L'article 1.2 fixe explicitement son objectif: « Les États membres veillent à ce que la divulgation de données à caractère personnel aux autorités compétentes des autres États membres ne soit ni restreinte, ni interdite pour des motifs liés à la protection des données à caractère personnel telle que prévue par la présente décision-cadre. » Ces éléments de garantie et de protection vont donc de pair avec un « marché » mondial des données personnelles, du moins entre les « nations civilisées » qui accordent un niveau de protection suffisant. Ceci n'est bien entendu pas sans poser de problèmes, quoique cela permette aussi d'influencer les Etats tiers, en premier lieu desquels les Etats-Unis614, afin qu'ils implémentent des dispositions davantage protectrices s'ils veulent pouvoir bénéficier des données traitées dans l'UE. Cette proposition du Conseil, qui institue un nouveau groupe de contrôle (art. 31 sq.), a été soumise à l'avis du CEPD (Contrôleur européen de la protection des 613 Proposition du Conseil de décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, COM(2005) 475 final : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005: o475:FIN:FR:PDF 614 Voir par ex. CEPD (2008), Avis du ii novembre 2008 concernant le rapport final du Groupe de contact à haut niveau UE/Etats-Unis sur le partage d'informations et la protection de la vie privée et des données à caractère personnel, JO C 128, 06.06.2009, p. 1 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 233 données) en décembre 2005, avis qui n'a été publié qu'en février 2006615. Le CEPD insistait d'abord sur le fait qu'un tel instrument de protection des données est nécessaire, indépendamment du fait de la mise en oeuvre du « principe de disponibilité » (§ 14). Il réitère aussi la nécessité de distinguer plus précisément entre les « différentes catégories de personnes » (suspects, condamnés, témoins, victimes, etc.), en demandant qu'une « attention particulière soit accordée aux données relatives aux personnes non suspectes » (§89) en renforçant les garanties à leur sujet, ainsi d'ailleurs qu'en ce qui concerne les personnes condamnées, dont l'échange des casiers judiciaires est prévu616 (§91). La Conférence des autorités européennes de protection des données a aussi publié un avis critique617 sur le sujet, proposant plusieurs modifications, à commencer par celles du préambule, où l'expression « citoyen européen » doit être remplacée par « quiconque » (everyone), la protection des données personnelles étant « le droit de tout être humain », et qui devrait inclure une section au sujet des données biométriques. Elle affirme aussi que les dispositions de l'art. 1.2 concernant l'échange des données n'a de sens que s'il y a harmonisation complète des règles de protection dans l'UE. La décision-cadre visant à l'harmonisation de la protection des données dans ce secteur a finalement été adoptée le 27 novembre 2008618, formulant les principes 615 CEPD (2005), Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475 final), publié au JOUE le 25 février 2006: http://www.edps.europa. eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opini ons/2oo5/05-12-19 data protection FR.pdf . Voir aussi :
616 Décision 2005/876/JAI du Conseil relative à l'échange d'informations extraites du casier judiciaire, en vigueur depuis le 9 décembre 2005, et décision-cadre 2009/315/JAI du Conseil du 26 février 2009 617 Conférence des autorités européennes de protection des données (2006), «Avis sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale », 24 janvier 2006: http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Avis decision cadre E N.pdf 618 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 234 généraux de protection des données6~9 (licéité, proportionnalité, finalité, exactitude, protection des données sensibles, information, droit d'accès, droit à réparation...). Celle-ci laisse ouverte la possibilité de « traitement ultérieur » des données à « fins historiques, statistiques ou scientifiques » (cons. 6 et 13). Elle vise aussi à harmoniser les conditions de transmission des données à des entités privées (banques, sociétés d'assurances, etc.) (cons. 17) et prévoit la possibilité de transférer les données à des Etats tiers ou à des organisations internationales (cons. 22-25). La décision-cadre prévoit la consultation des autorités nationales de protection des données s'agissant des fichiers présentant des risques particuliers, autorités qui devraient être dotées de « pouvoirs d'investigation et d'intervention » suffisants (cons. 32-35). Journal officiel n° L 350 du 30/12/2008 p. oo6o - 0071 619 L'art. 7 n'écarte pas complètement les « décisions individuelles automatisées », mais ne les permet que si « que si la sauvegarde des intérêts légitimes de la personne concernée est assurée par la loi », reprenant ainsi la dérogation permise par l'art. 15 de la directive 95/46/CE Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 235 2.Passeports biométriques et automatisation du contrôle aux frontièresL'instauration des passeports biométriques dans l'UE, ou plutôt dans les Etats parties prenantes de part entière aux accords de Schengen (l'Irlande et le Royaume-Uni sont notamment exclus de ces règlements, mais ils mettent en place des dispositions similaires de leur côté)620, s'est faite en deux temps: en premier lieu, le règlement n°2252/2004, amendé par le règlement n°444/2009, a imposé aux Etats membres la délivrance, à partir de 2006, de passeports dotés de photographie numérique, en se conformant aux standards de l'OACI (doc. 9303). En un second temps, la décision C (2006) 2909 de la Commission a imposé l'ajout des empreintes digitales sur ces passeports, effective à partir du 28 juin 2009. Ce dispositif est appelé à être couplé à une procédure d'automatisation du contrôle aux frontières, notamment par l'instauration de dispositifs biométriques de contrôle d'accès (sur le modèle du système RAPID de reconnaissance faciale, utilisé à l'aéroport de Lisbonne et d'Helsinki621). Pour l'instant, ces dispositifs sont volontaires, ce qui pourrait changer à terme, lorsque l'ensemble de la population sera équipée de passeports biométriques622. Ce contrôle automatisé aux frontières est destiné à compenser l'alourdissement des contrôles pour certaines catégories de personne; il pourrait être étendu aux « voyageurs de bonne foi », ou « voyageurs enregistrés », ressortissants d'Etat tiers, soumis ou non à l'obligation de visa 623. 62° Selon la décision C (2006) 2009 de la Commission, ces Etats incluent: la Belgique, la République tchèque, l'Allemagne, l'Autriche, l'Estonie, la Lettonie et la Lituanie, la Grèce, l'Espagne, la France, l'Italie, Chypre et Malte, le Luxembourg, la Hongrie, les Pays-Bas, la Pologne, le Portugal, la Slovénie, la Slovaquie, la Finlande et la Suède. 621 Percept, Adeline (2008), « Passeports : le système Rapid des Portugais », France 24, 14 juillet 2008. Voir la communication de la Commission européenne COM (2008) 69 final: « Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne », 13 février 2008 (p.7-8). 622 COM (2008) 69 final, op. cit. 623 Ibid. A. RÈGLEMENTS SUR LES PASSEPORTS ET DOCUMENTS DE VOYAGE Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 236 Le règlement n°2252/2004 « se limite à l'harmonisation des éléments de sécurité, y compris les identificateurs biométriques, des passeports et des documents de voyage délivrés par les Etats membres »624. Développant les acquis de Schengen6~5, ce règlement traite donc essentiellement de la biométrie, en s'appuyant sur les standards de l'OACI (doc. 9303)626 Les dispositions principales du règlement, qui possède une force juridique contraignante à l'égard des Etats parties de l'accord de Schengen, et qui se place sous l'égide de la directive 95/46/CE627, sont les suivantes:
-- a) l'authenticité du document; 624 Considérant 4, exposé des motifs du règlement (CE) n°2252/2004. 625 Le traité d'Amsterdam a intégré la convention d'application des accords de Schengen, initialement passés en 1985 entre le Benelux, la France et l'Allemagne, au droit communautaire. L'espace Schengen inclut donc, aujourd'hui, tous les Etats membres de l'UE, à l'exception du Royaume-Uni et de l'Irlande (liés entre eux par un accord bilatéral spécifique), la Suisse, la Norvège et l'Islande. Les pays des Balkans occidentaux devraient prochainement intégrer l'espace Schengen, la Commission européenne ayant récemment fait une proposition en ce sens pour la Macédoine, le Monténégro et la Serbie, qui ont mis en place des passeports biométriques, n'excluant pas une proposition similaire, d'ici à la mi-2010, pour l'Albanie et la Bosnie-et-Herzégovine (« La Commission propose un régime de déplacement sans obligation de visa pour les citoyens des pays des Balkans occidentaux », IP/o9/1138, Bruxelles, le 15 juillet 2009, communiqué publié sur http://europa.eu/rapid/pressReleasesAction.do? reference=IP/o9/1138&format=HTML&aged=o&langage=FR&guiLangage=fr ). 626 Cons. 3 de l'exposé des motifs, ibid. 627 Cons. 8 de l'exposé des motifs, ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 237 -- b) l'identité du titulaire grâce à des éléments comparables directement disponibles lorsque la loi exige la production du passeport ou d'autres documents de voyage. » (art. 4, §3). En d'autres termes, ce règlement donne à la biométrisation des documents de voyage une fonction de vérification (comparaison « un-à-un »), et non d'identification (comparaison « un-à-plusieurs »). Dans cette mesure, les données biométriques conçues n'ont besoin que d'être stockées sur support individuel (puce sans contact), et non sur une base de données centrales. Il exclut en particulier les « cartes d'identité » ainsi que les « passeports » ou « documents de voyage temporaires ayant une validité inférieure ou égale à douze mois ». Dans la mesure où les cartes d'identité sont reconnues par l'Accord européen sur le régime de la circulation des personnes entre les pays membres du Conseil de l'Europe (1957) ainsi que par les accords de Schengen en tant que documents de voyage, ces accord limitent pour l'instant la portée effective de ce règlement, bien que l'accord du Conseil de l'Europe soit sujet à de nombreuses restrictions (par exemple en ce qui concerne les ressortissants turcs, soumis à des obligations de visas628 ; à l'inverse, les Français peuvent aller en Turquie avec une simple carte d'identité). De plus, la directive 2OO4/38/CE « relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres » met sur le même plan passeport et carte d'identité pour ce qui concerne la libre-circulation et le droit au séjour (d'une durée inférieure à trois mois) à l'intérieur des Etats de l'UE. En d'autres termes, seuls les citoyens de l'UE souhaitant se rendre dans des pays n'étant ni membres de l'UE, ni contractants des accords Schengen, ni membres du Conseil de l'Europe (ou imposant des restrictions à l'accord de 1957), doivent nécessairement se doter d'un passeport, ainsi que ceux qui souhaitent obtenir une carte de séjour, lorsqu'ils dépassent une durée de séjour de trois mois, dans un autre Etat de l'UE que le leur (art. 14). Le règlement n°2225/2004 sur les passeports a été amendé cinq ans plus tard, via le règlement n°444/2009, adopté le 28 mai 2009. Aboutissement d'une proposition 628 Cf. l'arrêt Soysal de la CJCE du 19 février 2009; Observatoire de la vie politique turque: « L'arrêt Soysal: un pas vers la libre circulation des ressortissants turcs dans l'Union européenne? », 21-04-09 soumise par la Commission européenne le 18 octobre 20076~9, ce nouveau règlement précise notamment que les enfants de moins de douze ans sont exemptés de la prise d'empreintes, celles-ci n'étant pas stables à cet âge, de même pour les personnes se révélant « temporairement » physiquement incapable de délivrer leurs empreintes, pour qui un passeport provisoire, d'une durée maximale d'un an, est délivré. Pour les Etats ayant adopté, par législation promulguée avant le 26 juin 2009, un âge limite inférieur à 12 ans (cas de la France), une période transitoire de quatre ans est prévue, l'âge limite ne pouvant toutefois être inférieur à 6 ans. En outre, le principe « un passeport, un individu » est instauré, les enfants devant donc être dotés de leur propre passeport. Le CEPD s'est auto-saisi en mars 2008 de ce projet de règlement, déplorant non seulement le fait de ne pas avoir été consulté, mais aussi de l'absence d'études fiables concernant l'âge à partir duquel les empreintes peuvent être fiables63o. S'il a apprécié les mesures concernant l'exemption des enfants de moins de douze ans et des personnes physiquement incapables, il note que US-VISIT et EURODAC se limitent aux enfants de plus de quatorze ans -- tout en soulignant que s'agissant uniquement de vérification, et non d'identification, l'âge limite pourrait être abaissé. Il demandait aussi une limite d'âge maximale, proposition non retenue (US-VISIT retient le seuil de 79 ans). Concernant le principe « un passeport, un individu », il note que si cela est censé contribuer à la lutte contre la traite des enfants, d'autres mécanismes sont prévus à cet effet, et que délivrer des passeports biométriques à des enfants constitue un puissant incitatif à prélever de facto leurs empreintes ou à modifier la législation afin de l'adapter à l'état de la technologie. Dès lors, il recommandait de restreindre ce principe aux enfants non exemptés de la prise d'empreintes, proposition qui n'a pas été retenue. 629 Cf. CEPD (2008), avis du 26 mars 2008 concernant la proposition de règlement modifiant le règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, JO C 200, 06.08.2008, p. 1 63° CEPD, avis du 26 mars 2008, art. cit. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 238 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 239 Il note par ailleurs qu'aucune harmonisation concernant les « documents sources » nécessaires à l'obtention des passeports n'est prévue. S'agissant des bases de données centrale, il remarque que si le règlement limite l'usage des données biométriques à des fins de vérification, la possibilité d'identification, de détournement de finalités, voire d'une « pêche aux informations » dans la base de données apparaît dès lors qu'on instaure un tel système central. Il conseillait dès lors que le règlement propose « de nouvelles mesures d'harmonisation afin que les données biométriques collectées pour être intégrées dans les passeports délivrés par les États membres de l'UE ne puissent être stockées que sur un support décentralisé (sur la puce sans contact du passeport) » (§28). Le règlement n°444/2009 s'est contenté d'affirmer que le « règlement (CE) n° 2252/2004 ne saurait constituer une base juridique pour établir ou maintenir, dans les États membres, des bases de données stockant ces informations, puisque cet aspect relève de la compétence exclusive des législations nationales. » (cons. 5) Le CEPD ajoute que la proposition n'a prévu aucune harmonisation concernant le taux de faux rejets injustifiés ainsi que la procédure à suivre lorsqu'une personne a été indûment rejetée (§3o). B. DÉCRET N°2008-426 SUR LE PASSEPORT ÉLECTRONIQUE ETL'APPLICATION DELPHINE (TES)Avec le décret n°2008-426 du 3o avril 2008631, le gouvernement créé, selon les mots de la CNIL, la « première base automatisée et centralisée de données biométriques à finalité administrative, portant sur des ressortissants français. »632 Dans cette mesure, il fait davantage que transposer le règlement (CE) n°2252/2004, qui exigeait l'insertion de deux empreintes digitales dans les passeports, aux côtés de la photographie numérique, déjà prévue par le décret n°2005-1726 du 3o décembre 631 Décret n° 2008-426 du 3o avril 2008 modifiant le décret n° 2005-1726 du 3o décembre 2005 relatif aux passeports électroniques, JORF n°0105 du 4 mai 2008 page 7446 632 Délib. n°2007-368 du ii déc. 2007. , publié au JO le 10 mai 2008. 2005 relatif aux passeports « électroniques »633. Le décret a été publié au JO le 4 mai 2008, soit six jours avant la publication de l'avis de la CNIL, ce qui lui a valu un recours en annulation déposé conjointement par la LDH et IRIS, qui s'étaient déjà mobilisés sur le projet de carte d'identité biométrique (INES), les associations affirmant qu'il y avait eu violation de l'art. 26 de la loi de 1978 concernant les procédures d'avis de la CNIL634. En outre, on peut considérer, avec la CNIL, que ce projet, en raison de « l'ampleur de la réforme », aurait justifié de saisir le Parlement d'un projet de loi635. Tout comme le règlement européen concernant les passeports, qui s'intègre à une logique générale de biométrisation des différentes titres et documents, le décret n°2008-426 n'est qu'une pièce d'une stratégie plus générale, visant à sécuriser et à biométriser l'ensemble des documents d'identification. Ainsi, parallèlement, le gouvernement a créé en 2007 une Agence nationale des titres sécurisés, chargée notamment d'établir les normes techniques et de mettre à disposition des administrations le matériel nécessaire (station d'enregistrement, etc.) 636. Celle-ci est chargée de la « carte nationale d'identité électronique », du « passeport électronique », du « passeport biométrique », du « titre de séjour électronique » ainsi que du « visa biométrique »637. De plus, le gouvernement ne se cache pas de préparer une carte d'identité biométrique, malgré l'échec du projet INES (« Identité nationale électronique sécurisée »). Ainsi, une circulaire du ministre de l'Intérieur du 7 mai 2008 déclare: «Comme dans beaucoup de pays européens, la carte nationale d'identité est appelée, elle aussi, à connaitre la même évolution dans un souci de protection de l'identité du citoyen, 633 Terme qui disparaît en 2008, le décret ne parlant plus que de « passeport ». Toutefois, le terme « passeport biométrique » reste utilisé par certains textes règlementaires (arrêté du 3o mai 2007 fixant la date à partir de laquelle l'Agence nationale des titres sécurisés exerce ses missions concernant le passeport biométrique) ainsi que sur le site Internet du ministère de l'Intérieur. 634 IRIS et LDH, requête en annulation devant le Conseil d'Etat contre le décret n°2008-426 du 3o avril 2008 relatif aux passeports. 635 Délib. n°2007-368 du H. décembre 2007 ; cf. aussi Byk, Christian (2008), « Biométrie et Constitution: est-il déjà trop tard pour les libertés publiques? », La Semaine juridique, n°25, 18 juin 2008, I 154 636 Décret n° 2007-240 du 22 février 2007 portant création de l'Agence nationale des titres sécurisés. 637 Décret n° 2007-255 du 27 février 2007 fixant la liste des titres sécurisés relevant de l'Agence nationale des titres sécurisés, publié au JO le 28 février 2007; arrêté du 3o mai 2007 fixant la date à partir de laquelle l'Agence nationale des titres sécurisés exerce ses missions concernant le passeport biométrique . 240 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 241 de simplification des démarches administratives et de lutte contre la fraude en matière de titres d'identité et de voyage. Le Parlement en sera prochainement saisi dans le cadre du projet de loi relatif à la protection de l'identité. La nouvelle carte nationale d'identité relèvera alors du même traitement informatique que le nouveau passeport. »638 Description du passeport biométrique Selon le décret de 2008, les passeports « certifient l'identité de leur titulaire » (art. 1639) et sont délivrés, « sans condition d'âge, à tout Français qui en fait la demande » (art. 4). Ils contiennent désormais, outre les mentions habituelles64°, l'image numérisée du visage641, ainsi que celle de deux empreintes digitales, stockées sur une « puce sans contact » (art. 2). Les enfants de moins de 6 ans sont exemptés; comme le rappelle IRIS et la LDH, qui considèrent qu'il y a là une violation du principe de proportionnalité et des droits de l'enfant642, le règlement européen n'imposait aucunement un âge aussi bas, puisqu'il faut attendre le règlement n°444/2009 pour qu'un seuil concernant l'âge soit fixé (12 ans). Les associations considèrent aussi que la photographie devrait être considérée comme une « donnée sensible », obligeant le décret à être pris sur le fondement de l'art. 27 de la loi de 1978643. 638 Circulaire du ministère de l'Intérieur du 7 mai 2008, relative aux choix des 2 000 communes appelées à recevoir des stations d'enregistrement des données personnelles pour le nouveau passeport, NOR : INTAo8001o5C 639 En l'absence de précision, il s'agit des articles du décret n°2005-1726 modifié par le décret n°2008426. Le décret de 2005 avait été modifié antérieurement par le décret n°2007-86 du 23 janvier 2007 , portant application de l'art. 9 de la loi n°2006-64 sur le terrorisme: cf. infra. 640 Nom(s), prénom(s), lieu et date de naissance, taille et couleur des yeux, domicile ou « commune de rattachement de l'intéressé ou l'adresse de l'organisme d'accueil auprès duquel il est domicilié », date de délivrance et d'expiration du passeport et autorité l'ayant délivré, numéro du passeport, signature manuscrite (art. 1). 641 Le décret de 2008, qui prévoit la possibilité d'effectuer les photographies sur place, précise que celles-ci sont « conformes aux spécifications arrêtées sur le fondement de l'article 2 (c) du règlement n°2225/2004 », ce qui n'était pas précisé dans le décret de 2005. Le fait d'effectuer les photographies sur place a suscité l'opposition de la profession, un recours ayant été déposé, sans succès, par des représentants des photographes professionnels. Les photographies répondent notamment à la norme ISO/IEC 19794-5 : 2005 « Technologies de l'information. - Formats d'échange de données biométriques. - Partie 5 : données d'image de la face », qui s'impose désormais pour tous les documents d'identité et de voyage, les permis de conduire et les titres de séjour. Les cabines photographiques reçoivent des attestations de laboratoires désignés par le ministère de l'Intérieur (cf. arrêté du 10 avril 2007 relatif à l'apposition de photographies d'identité sur les documents d'identité et de voyage, les permis de conduire et les titres de séjour, JO 10 mai 2007; arrêté du 5 février 2009 relatif à la production de photographies d'identité dans le cadre de la délivrance du passeport , JO du 13 février 2009). 642 IRIS et LDH, requête en annulation devant le Conseil d'Etat contre le décret n°2008-426 du 30 avril 2008 relatif aux passeports. 643 Ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 242 Lisible à la machine, le passeport comporte par ailleurs une bande de lecture optique sur laquelle est enregistrée « le nom de famille, le ou les prénoms, le sexe, la date de naissance et la nationalité du titulaire, le type de document, l'Etat émetteur, le numéro du titre et sa date d'expiration »: ce sont les données API644, qui visent à « faciliter l'identification du détenteur » ainsi que « l'authentification » des documents (art. 3). Système de gestion des passeports (TES) et l'avis de la CNIL Par ailleurs, le décret de 2008 introduit le recueil de huit empreintes digitales lors de la demande de passeport; ces données sont conservées dans un système de gestion des passeports appelé « TES645 » pour une durée de quinze ans (dix ans pour les mineurs)646. Consultée pour avis647, la CNIL a légitimé ce recours au recueil des caractéristiques biométriques, considérant qu'il se justifiait dans la mesure où celles-ci étaient conservées sur support individuel (en l'espèce, le passeport). Elle s'est toutefois opposée à une mesure non prévue par le règlement du Conseil, qui permet la conservation des données biométriques et des documents justificatifs apportés dans le cadre de la demande du passeport dans le TES, exploité par le ministère de l'Intérieur. En effet, le règlement européen prévoyait simplement comme finalité de la biométrisation du passeport la vérification de l'identité du passeport, c'est-à-dire de la solidité du lien entre le document et son porteur: en créant ce traitement de données, la France ouvre la voie à une autre finalité non prévue, celle d'identifier soit une personne contrôlée, soit un échantillon recueilli, et non plus simplement de vérifier l'identité d'une personne, c'est-à-dire la correspondance entre un corps physique et un état civil déterminé. Le décret de 2008 précise certes que « le traitement ne comporte ni dispositif de reconnaissance faciale à partir de l'image numérisée du visage ni dispositif de recherche permettant 644 Cf. infra. concernant les échanges de données API/PNR. 645 Le traitement de données devait à l'origine s'appeler DELPHINE (cf. délib. n°2007-368). 646 Art. 18 et 24 du décret modifié n°2005-1726. 647 CNIL, délib. n°2007-368, 11 décembre 2007. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 243 l'identification à partir de l'image numérisée des empreintes digitales enregistrées dans ce traitement. » (art. 8). La possibilité technique est cependant là: lors de l'examen d'INES, la CNCDH avait évoqué la possibilité que d'autres Etats puissent profiter de cette possibilité648. Si la CNIL n'a pas évoqué cet argument, ni, non plus, celui d'une exploitation à venir par l'Etat français de cette possibilité, elle a toutefois considéré que même avec cette précision, la conservation sur une base centrale des données biométriques «[semblait] disproportionnée ». L'IRIS et la LDH ont aussi soulevé ce point lors de leur recours devant le Conseil d'Etat, affirmant notamment qu'il n'était « pas inutile de s'interroger sur le fait que le décret contesté puisse s'inscrire dans un projet plus global d'élaboration et de délivrance de tels titres, y compris la carte nationale d'identité. La seule justification de la collecte des empreintes digitales de huit doigts résiderait alors non pas dans les finalités énoncées du décret contesté, mais dans des finalités extérieures à ce décret »649. En vertu de la loi n° 2006-64 du 23 janvier 2006 sur le terrorisme (art. 9 et 33), l'accès au TES a été étendu en janvier 2007 aux divers agents en charge de la lutte contre le terrorisme65°, qui ont aussi accès au fichier des empreintes digitales des étrangers ayant demandé un visa (L611-6 CESEDA) ou un titre de séjour ou étant en situation irrégulière (L611-3 CESEDA). Applicables jusqu'au 31 décembre 2008, ces dispositions ont été prorogées jusqu'au 31 décembre 2012651. Le TES est interconnecté avec le SIS et EUROPOL, tandis que le FPR (fichier des personnes recherchées) et le Système de fabrication et de gestion informatisée des cartes nationales d'identité sont consultés lors de la délivrance du passeport, afin de vérifier respectivement « qu'aucune décision judiciaire ni aucune circonstance particulière ne s'oppose à sa délivrance » et « si des titres ont déjà été sollicités ou délivrés sous l'identité du demandeur. »652 648 CNCDH, avis du ier juin 2006, précité. 649 IRIS et LDH, requête en annulation devant le Conseil d'Etat contre le décret n°2008-426 du 3o avril 2008 relatif aux passeports. 65° Décret n°2007-86 du 23 janvier 2007 relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, dont l'art. 4 créé l'art. 21-1 du décret n°2005-1726 sur les passeports. 651 Loin° 2008-1245 du ier décembre 2008 visant à prolonger l'application des articles 3, 6 et 9 de la loi n° 2006-64 du 23 janvier 2006 ; décret n° 2008-1456 du 3o décembre 2008, publié au JO le 31 déc. 2008. Cf. aussi délib. n° 2008-575 du 18 décembre 2008 portant avis sur le projet de décret en Conseil d'Etat relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 ... (système de gestion des passeports - TES ; système de délivrance des visas des ressortissants étrangers - VISABIO ; fichier national des non-admis -- FNAD), JO 31 déc. 2008 652 Art. 22 et 23 du décret n°2005-1726 (dispositions prévues dès 2005). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 244 Pièces requises pour la délivrance ou le renouvellement du passeport Les actes d'état civil requis pour obtenir ou renouveler un passeport sont fixés par arrêté (art. 5). Ceux-ci établissent non seulement l'identité du demandeur, mais sa qualité de Français (le cas échéant par les mentions portées en marge de ces actes, art. 28 du Code civil, ou par présentation de la déclaration de nationalité, du décret de naturalisation ou de réintégration, voire par une attestation demandée aux autorités ou un certificat de nationalité653). Par ailleurs, l'art. 4 remplace la « copie intégrale » de l'acte d'état civil requis par le décret de 2005 par l'acte lui-même654. Le décret ne prévoit pas de télétransmission des actes d'état civil des communes aux Préfectures et sous-préfectures, mesure qui permettrait de sécuriser la « chaîne de l'identité » et préconisée par la CNIL depuis 20 ans655. Le demandeur doit par ailleurs justifier de son domicile (art. 6) ou produire un carnet ou livret de circulation en cours de validité. Ceux ne disposant d'aucune de ces pièces (cela vise en particulier les SDF) fournissent une attestation d'élection de domicile656. Il s'agit d'un domicile réel: l'administration ne peut refuser de fournir un passeport (ou une carte d'identité) au motif que le domicile est précaire657. 653 L'art. 5 du décret renvoie en effet au décret n°93-1362 du 3o décembre 1993 (art. 34 et 52). Cf. aussi art. 30-31 du Code civil; et, supra, chap. V, section « la chaîne de l'identité ». 654 Cf. Arrêté du 31 mars 2006 relatif aux actes de l'état civil requis pour la délivrance du passeport électronique, JO 4 avril 2006; « sous réserve de la preuve de l'impossibilité de produire l'acte de naissance précité : la copie intégrale de l'acte de mariage. Cf. aussi, pour les extraits d'acte de naissance, le décret n°62-921 du 3 août 1962 modifiant certaines règles relatives aux actes de l'état civil (modifié), art. 10 et 12; Chemin, Anne (2006), « Le passeport qui en dit trop», Le Monde, 27 septembre 2006; Boeton, Marie (2006), « Pas de passeport pour les « nés sous X » », La Croix, 8 octobre 2006. L'instruction générale relative à l'état civil exigeait des personnes adoptées avant 1966 qu'elles mentionnent clairement ce fait lorsqu'elles demandaient une copie intégrale de leur acte de naissance; celles qui ne le savaient pas ne pouvaient donc recevoir celles-ci. CE (10e et 9e sous-sections réunies), 5 mai 2008, n°2939334, inédit (recours du GISTI contre l'arrêté); Arrêté du 26 mai 2008 relatif aux actes de l'état civil requis pour la délivrance ou le renouvellement du passeport, abrogeant et remplaçant l'arrêté du 30 juillet 2001 relatif aux pièces d'état civil requises pour la délivrance du passeport et l'arrêté du 31 mars 2006 (précité) 655 Délib. n°2007-368; cf. aussi CNCDH, avis du ler juin 2006 précité. 656 Celle-ci est fournie par les Centres communaux ou intercommunaux d'action sociale (L264-2 sq. du Code de l'action sociale et des familles). Cette procédure a été établie par le décret n° 2007-893 du 15 mai 2007 relatif à la domiciliation des personnes sans domicile stable . 657 Cf. circulaire du 27 nov. 2008, précité. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 245 Institués par la loi de 1969658, le livret et le carnet de circulation sont des justificatifs obligatoires de domicile, permettant le rattachement à une commune, pour toute personne, âgée de plus de 16 ans, sans domicile ni résidence fixe depuis six mois. Tout comme les autres «papiers », les livrets font l'objet d'un traitement informatique spécifique659 Sans en être les équivalents, ils comportent les mêmes annotations qu'une carte d'identité, avec en sus le « signalement du titulaire », ainsi que la profession ou l'activité exercée660. De même, le fichier administratif contient, selon les mots de la CNIL, « les signes particuliers qui permettent de distinguer clairement un individu en cas d'usurpation de titre ou d'identité, à l'exclusion de tous les éléments de signalement susceptibles de faire apparaître directement ou indirectement les origines raciales »; l'arrêté parle lui des « signes particuliers des personnes concernées, à l'exclusion de tous les éléments de signalement pouvant faire apparaître les origines raciales ». Il convient de remarquer que le décret n°91-1051 concernant les fichiers des Renseignements généraux utilisait l'expression « signes physiques particuliers, objectifs et inaltérables » afin de parer à l'objection de discriminations ethniques661; cette expression a été largement reprise par la suite, y compris au niveau communautaire662, mis à part pour ce « fichier des nomades », qui hérite ainsi de certains traits du carnet anthropométrique. La discrimination à l'égard des porteurs de ce livret a été rappelé plusieurs fois par la HALDE663. L'un de ses avis a conduit le ministère de l'Intérieur à préciser, par circulaire, le caractère « neutre » de la carte d'identité (et donc la proscription d'inscrire les termes « commune de rattachement ») ainsi que le fait que, pour celle-ci comme pour le passeport, « la circonstance selon laquelle l'intéressé ne dispose que d'un logement précaire ne peut justifier une décision de rejet de la demande », toute pièce justificative (facture, etc.) devant être reçue comme suffisante'. 658 Loi n°69-3 du 3 janvier 1969 relative à l'exercice des activités ambulantes et au régime applicable aux personnes circulant en France sans domicile ni résidence fixe 659 Arrêté du 23 mars 1993 relatif à la mise en ouvre par la gendarmerie nationale d'un traitement automatisé d'informations nominatives concernant le suivi des titres de circulation délivrés aux personnes circulant en France sans domicile ni résidence fixe, abrogé par l'arrêté du 22 mars 1994 relatif à la mise en oeuvre par la gendarmerie nationale d'un traitement automatisé d'informations nominatives concernant le suivi des titres de circulation délivrés aux personnes circulant en France sans domicile ni résidence fixe (JO, 22-06-94), pris après délib. CNIL (n°93-018 du 02 mars 1993) 660 Décret n°70-708 du 31 juillet 1970 661 La première version du décret mentionnait « l'origine ethnique [des personnes fichées] en tant qu'élément de signalement » (cf. Lochak, D., 1992, « La race: une catégorie juridique? », Mots, décembre 1992, N°33. «Sans distinction de ... race ». pp. 291-303. ) 662 Cf. CNIL, délib. n°95-047 sur le SIS (« les signes physiques particuliers, à la condition qu'ils soient objectifs et inaltérables »), ainsi que l'art. 20 du règlement (CE) n°1987/2006 du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) 663 HALDE, délib. n° 2009-242 du 15/06/2009 relative aux difficultés rencontrées par des gens du voyage pour obtenir une carte vitale; délib. n° 2008-157 du 07/07/2008 relative à l'obtention de la carte nationale d'identité par des gens du voyage domiciliés sur un terrain non constructible ; délib. n°2007-372 du 17 /12/2007. 664 Circulaire du 27 novembre 2008 relative aux conditions de délivrance de la carte nationale d'identité et du passeport aux personnes en possession d'un titre de circulation; NOR : INTD0800179C (nous soulignons) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 246 Le cas du passeport temporaire et la question de l'impossibilité physique de délivrer ses empreintes L'art. 17-1 du décret n°2oo8-426 a introduit le « passeport temporaire », qui n'était pas prévu par le décret de 2005. Celui-là dispose: « A titre exceptionnel et pour des motifs de nécessité impérieuse ou d'urgence dûment justifiée, il peut être délivré un passeport d'une durée de validité d'un an ne comportant pas de composant électronique lorsque les conditions ci-dessus ne permettent pas de délivrer le titre dans les conditions prévues aux chapitres Ir à N. (...) Les dispositions des articles Ir, 3 et 6-1 sont applicables au passeport temporaire. » Ces passeports, ne disposant donc pas de la puce sans contact stockant les données biométriques, mais étant pour le reste à tous égards identiques aux passeports réguliers, ne sont donc valables qu'un an. Nonobstant le motif « d'urgence », le motif de « nécessité impérieuse » semblerait indiquer que si une personne est dans l'incapacité physique de délivrer ses empreintes digitales, elle peut toutefois recevoir un passeport temporaire. Toutefois, l'art. 6-i demeure applicable, signifiant que les caractéristiques biométriques du porteur sont recueillies. Le titre II, relatif au système TES, est intitulé « dispositions relatives au traitement automatisé des données à caractère personnel relatif à la délivrance du passeport, du passeport de service665 et du passeport de mission »: il ne mentionne donc pas le passeport 665 Arrêté du 24 juin 2009 relatif à la mise en application de dispositions relatives aux passeports de service, publié au JO le 26 juin 2009. Le passeport diplomatique, quant à lui, fait l'objet d'une procédure spécifique, bien que la « la majorité des passeports diplomatiques entrent dans le champ d'application du règlement n° 2252/2004 (...) concernant les passeports biométriques (...) La Commission rappelle que l'acte autorisant le traitement de données relatives aux futurs passeports diplomatiques biométriques devra lui être soumis pour avis, dans la mesure où sa mise en oeuvre est envisagée en 2009. Enfin, la Commission prend acte de la volonté du ministère des affaires étrangères et européennes de maintenir après cette mise en oeuvre les deux catégories de passeport diplomatique, les passeports diplomatiques biométriques d'une durée de validité supérieure à douze mois et les passeports diplomatiques d'urgence d'une durée de validité inférieure à douze mois. Elle considère dès lors que la demande d'avis relative aux passeports diplomatiques biométriques à venir, devrait préciser le régime juridique s'appliquant à l'ensemble des passeports diplomatiques. » (CNIL, délib. n°2008-104 du 29 avril 2008 : projet d'arrêté molli£ l'arrêté du 21 mars 2006 ; système informatisé de fabrication et de gestion des titres de voyage (PHILEAS); modif. l'arrêté du 3o mars 2005 ; système informatique de traitement des données relatives aux Français établis hors de France); Cf. décret n°2008-543 du 9 juin 2008 relatif au passeport diplomatique et l'arrêté du ii février 2009 relatif au passeport diplomatique, publié le 18 février 2009 (qui abroge l'arrêté du 25 juin 1945 modifié relatif au passeport diplomatique). La demande d'avis concernant les passeports diplomatiques biométriques n'a pas encore été déposée. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 247 temporaire. Toutefois, l'art. 18 du titre II précise bien que le TES est mis en oeuvre pour la gestion des « passeports mentionnés aux articles ier et 17-1 », incluant donc le passeport temporaire. Les dispositions concernant le passeport temporaire semblent donc ambiguës, dans la mesure où l'impossibilité physique de délivrer ses empreintes relèverait sans doute d'une « nécessité impérieuse » (celle-ci incluant, a minima, les raisons professionnelles666), mais que rien ne fait explicitement allusion à ce motif et que le décret, qui plus est, prévoit tout de même le relèvement des huit empreintes digitales et leur enregistrement dans le TES. La délibération de la CNIL éclaire à la fois ce point sans répondre au problème de l'accès au passeport des personnes n'ayant pas d'empreintes digitales667. En effet, elle affirme que ce passeport vise aussi bien à satisfaire « les demandeurs confrontés à une situation relevant de l'urgence, que les personnes ou les agents civils et militaires nécessitant d'être mis en possession d'un titre de voyage dépourvu de composantes électronique », agents recherchant « une relative discrétion ». A contrario, ce passeport ne semble donc pas s'appliquer aux personnes dont les empreintes ne sont pas assez claires et distinctes. En raison du caractère temporaire du passeport, la CNIL considérait « qu'il paraît peu pertinent de procéder au recueil des empreintes digitales du demandeur, à leur conservation ainsi qu'à celle de l'image numérisée de son visage en base centrale. » Elle prenait acte toutefois de ce que le ministère envisageait de « ramener à six ans la durée de conservation » de ces données prélevées lors de la délivrance du passeport temporaire. Le ministère n'a fait guère plus qu'envisager ceci, puisque l'art. 24 du décret mentionne seulement que la durée de conservation est de dix ans pour le passeport de service et de mission, mais ne précise rien quant au passeport temporaire, qui relève donc du régime général (quinze ans pour un majeur, dix ans pour un mineur). 666 Circulaire du préfet du Puy-de-Dôme et d'Auvergne du 18 mai 2009, http://www.auvergne.pref.gouv.fr/pdf/circulaires/passeport biometrique.pdf 667 Cf. supra et image, qui montre quatre tentatives d'enrôler les empreintes d'un utilisateur, rendues impossibles en raison d'empreintes trop sèches. Image extraite de Jain, Anil K., Ross, Arun et Prabhakar, Salil (2004), art. cit. On peut s'interroger sur le silence de la CNIL à ce sujet (de même que sur les études montrant que les empreintes digitales peuvent révéler des informations sur la santé). Certes, aucune disposition n'était prévue dans le règlement n°2225/2004 concernant l'impossibilité physique de délivrer ses empreintes, mais ce problème est toutefois identifié depuis longtemps par les études traitant de la biométrie. Le règlement n°444/2009 prévoit désormais que dans ce cas (plus précisément, dans le cas d'une impossibilité « temporaire »), un passeport d'une durée maximale d'un an doit être délivré. S'il prévoit une période de transition concernant l'âge minimal, qui a été établi à douze ans, pour les Etats ayant légiféré sur le sujet avant juin 2009, il n'en prévoit pas pour ce qui relève de l'impossibilité physique de délivrer ses empreintes. En tout état de cause, ce point pourrait non seulement susciter des contentieux, mais conduit à questionner l'égalité de traitement vis-à-vis des personnes sujettes à ces problèmes, qui peuvent être récurrents et non seulement temporaires. On doit relever, toutefois, que le prélèvement de huit empreintes, et non simplement de deux, vise aussi à maximaliser les chances qu'au moins certaines de ces empreintes soient lisibles: s'il peut arriver que les empreintes des index soient effacées, le fait d'avoir l'ensemble de ses empreintes illisibles est sans doute beaucoup plus rare668 668 « « Lors du dépôt de la demande de passeport, il sera procédé au recueil des empreintes digitales de 8 doigts (doigts des deux mains sauf pouce), car certaines personnes ont des empreintes altérées. Les enfants de moins de 6 ans, qui n'ont pas encore leurs empreintes définitives, ne sont pas concernés. » (circulaire du préfet du Puy-de-Dôme et d'Auvergne du 18 mai 2009, art. cit. ) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 248 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 249 3. Visas, titres de séjour et données des passagers dans l'Union européenneLa biométrisation des titres de séjour est complémentaire de l'instauration du système d'information sur les visas (VIS, Visa information system), qui enregistre les empreintes digitales de toute personne demandant un visa, ce qui conduit ainsi à la formation d'un système biométrique visant les ressortissants des Etats tiers. Si par définition le VIS ne s'applique qu'aux étrangers soumis à l'obligation de visas, l'UE marquant ainsi la différence entre les Etats en qui elle accorde une confiance relative et les Etats sujets au soupçon (à l'égard du caractère « à risque » des populations, de l'insuffisance de l'état civil, etc.), l'instauration prévue par la Commission européenne d'un système biométrique d'entrée et de sortie enregistrant les passages aux frontières, sur le modèle de l'US-VISIT669, conduirait à étendre ce dispositif à tous les étrangers extra-communautaires". Ce d'autant plus qu'elle envisage aussi des synergies entre le VIS, le système d'entrée et de sortie, et le programme de « voyageurs enregistrés », voire la fusion entre le VIS et le système d'entrée et de sortie671. La Commission présente ces dispositifs comme des moyens nécessaires à la lutte contre l'immigration illégale d'une part, et d'autre part contre le terrorisme. L'amalgame entre ces deux dimensions -- qui date, en France, depuis le début des années 1990672 -- a été relevé par le CEPD, qui souligne qu'elle reconnaît elle-même que la majorité des personnes non autorisées à entrer sur le territoire de l'UE ne sont ni des criminels ni des terroristes, mais simplement des personnes manquant des documents nécessaires: on ne peut donc présenter un dispositif tel que le système 669 Cf infra concernant les débats et critiques au sujet du programme US-VISIT. 67O Sur le système d'entrée et de sortie, cf. COM (2008) 69 final, op. cit. Cf. critiques du CEPD qui doute fortement de l'utilité d'un système d'entrée et de sortie pour lutter contre le terrorisme: CEPD (2008), « Preliminary comments on three Communications from the Commission on border management (COM (2008) 69, COM (2008)68 and COM (2008)67), 3 mars 2008 671 Ceci est considéré comme prématuré et inapproprié par le CEPD en raison des finalités différentes des dispositifs, et par conséquent des protections accordées et des accès permis aux différentes autorités : le VIS est censé prévenir le « visa shopping », tandis que le système d'entrée et de sortie est censé empêcher les étrangers de demeurer sur le territoire de l'UE au-delà de la durée autorisée. A l'heure actuelle, ces derniers peuvent être enregistrés au SIS (art. 96 de la Convention de Schengen), et donc par la suite se voir refusé un visa d'entrée. Cf. CEPD (2008), ibid. 672 Comme en témoigne la délib. n°94-099 du o6 décembre 1994, « portant avis sur le projet d'arrêté relatif à l'informatisation de la gestion des archives relatives au terrorisme mise en oeuvre par les services de la direction départementale du contrôle de l'immigration et de la lutte contre l'emploi des clandestins des Pyrénées-Atlantiques ». Nous n'avons pas trouvé trace de l'arrêté en question, soit qu'il n'ait finalement pas été promulgué, soit qu'il n'ait pas été publié (le traitement « intéressant la sûreté de l'Etat, la défense et la sécurité publique »). d'entrée et de sortie comme efficace dans la lutte antiterroriste673. Paris a instauré en mai 2009 un tel système, dénommé « Gestion informatisée des entrées et des sorties des étrangers de La Réunion » (GIDESE), à « titre expérimental »674. Entre autres finalités, le VIS, dont la création a été décidée en 2004, vise principalement à permettre d'opérer à partir des consulats installés à l'étranger la sélection des personnes autorisées à entrer sur le territoire des Etats membres de l'UE, ainsi qu'à repérer, à terme, tout étranger ayant dépassé la durée légale de son séjour dans l'UE675. D. Bigo et E. Guild qualifient ce dispositif de « banoptique » et de « police à distance », la notion de « police » étant ici à prendre au sens large: il s'agit d'une « délocalisation des contrôles » de la frontière physique aux consulats, où sont délivrés les visas, qui conditionnent l'entrée sur le territoire, délocalisation qui implique à son tour un déplacement de la responsabilité des contrôles des autorités policières et douanières aux autorités consulaires et aux ministères des Affaires étrangères676 Prenant place dans une politique globale de « gestion intégrée des frontières »677, le VIS s'installe non seulement aux côtés du SIS, systématiquement consulté lors des demandes de visa678, et d'EURODAC, mais s'intègre aussi à la transmission aux services de contrôle des frontières des données API (Advanced Passenger Information ou « renseignements préalables concernant les passagers ») et PNR (Passenger name record) concernant les passagers aériens afin de repérer les 678 CEPD (2008), ibid. 674 Décret n° 2009-505 du 4 mai 2009 « portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatif à l'entrée et à la sortie des ressortissants étrangers en court séjour à La Réunion », JO 6 mai 2009. Cf. délib. n°2008-074 du 18 mars 2008. GIDESE enregistre les données API présentes sur la bande optique du passeport, ainsi que la photographie numérisée et d'autres données recueillies manuellement (la profession, l'adresse de séjour, le numéro de téléphone de l'hébergeant, etc.); l'art. 3 du décret précise qu'il ne comporte pas de dispositif de reconnaissance faciale. 675 COM (2008) 69 final: « Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne », 13 février 2008. 676 Cf. Elspeth Guild et Didier Bigo (2003), « La logique du visa Schengen », Cultures & Conflits, 49, printemps 2003. 677 COM(2008) 69 final, op.cit. 678 Cf. Agence des droits fondamentaux de l'Union européenne (2009), rapport annuel, en part. « Les visas et les contrôles aux frontières », p.70-71 et Saas, Claire (2003) « Les refus de délivrance de visas fondés sur une inscription au Système Information Schengen », Cultures & Conflits, 5o, été 2003, pp. 63-83. 250 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 251 « passagers à risque »679, ainsi qu'au programme américain ESTA (système électronique d'autorisation de voyage) qui, selon le G29 lui-même, conduit les « Etats-Unis à bouger leurs frontières en-dehors des Etats-Unis (...) créant de nouveaux risques pour l'individu. »680 Les données API sont principalement des données biographies ou d'état civil, provenant des passeports et qui peuvent être comparées au SIS681, tandis que les données PNR, déjà enregistrées par les transporteurs aériens pour des raisons commerciales, incluent les préférences des passagers lors des transports (dont les repas mangés, etc.)682. Tandis que le VIS s'installe dans une logique d'externalisation des frontières, la transmission des données API-PNR vise à concentrer les contrôles aux frontières sur 6" Ibid. Cf. aussi la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, qui est promulguée peu de temps avant l'accord du 17 mai 2004 entre l'Union européenne et les Etats-Unis concernant la transmission des données PNR aux autorités fédérales des Etats-Unis (Décision de la Commission du 14 mai 2004 relative au niveau de protection adéquat des données à caractère personnel contenues dans les documents des passagers aériens transférés au Bureau des Douanes et de la Protection des frontières des États-Unis d'Amérique (C(2004) 1914),
JO L 235, 6.7.2004, p. En vertu de la directive 680 Lettre datée du 24 Juillet 2008, du Président du Groupe de travail «Article 29» à Jonathan Faull, Directeur général de la DG JLS sur la mise en place du système électronique des États- Unis d'autorisation de Voyage (ESTA) 681 Le Conseil de l'UE les présente ainsi dans sa « Proposition de Décision-cadre relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives »: « Parmi ces renseignements figurent le numéro et le type du document de voyage utilisé, la nationalité, le nom complet, la date de naissance, le point de passage frontalier d'entrée, le code de transport, les heures de départ et d'arrivée du transport, le nombre total des passagers transportés sur le transport concerné et le point d'embarquement initial. Les renseignements contenus dans les données API peuvent aussi permettre d'identifier des terroristes et des criminels connus en vérifiant si leur nom apparaît dans un système d'alerte telle SIS. » 682 Dans la même proposition de décision-cadre, le Conseil les présentent ainsi: « Depuis le ii septembre 2001, les autorités répressives dans le monde entier ont pu se rendre compte de la valeur ajoutée apportée par la collecte et l'analyse des données PNR (données des dossiers passagers) dans la lutte contre le terrorisme et la criminalité organisée. Les données PNR concernent les déplacements, habituellement par voie aérienne, et comprennent les données du passeport, le nom, l'adresse, les numéros de téléphone, l'agence de voyage, le numéro de la carte de crédit, l'historique des modifications du plan de vol, les préférences de siège et d'autres informations. En général, tous les champs ne sont pas remplis; seules y figurent les données PNR fournies par un passager au moment de la réservation ou lors du check-in et de l'embarquement. Il convient de noter que les transporteurs aériens enregistrent déjà les données des dossiers passagers pour leur propre usage commercial, mais que les autres transporteurs ne le font pas. La collecte et l'analyse des données PNR permet l'identification des passagers à haut risque par les autorités répressives, qui peuvent ainsi prendre les mesures appropriées. » Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 252 certaines catégories de personnes, jugées « à risque »: ce projet s'intègre dans celui du renforcement du contrôle des frontières (projet EUROSUR ou « système européen de surveillance des frontières »683) et de projets généraux de « profilage ». A terme, l'objectif est d'obtenir un traitement différencié des personnes, en instituant notamment deux catégories opposées, les « passagers à risque » et les « passagers de bonne foi », lesquels pourraient obtenir le statut de « voyageur enregistré », leur permettant de bénéficier d'un allègement des contrôles, statut subordonné à la détention d'un passeport biométrique684. Cela se ferait parallèlement à l'automatisation des contrôles aux frontières (barrières automatiques, contrôle d'accès biométrique)683. 683 Commission européenne (2008), « Examen de la création d'un système européen de surveillance des frontières (EUROSUR) », 13 février 2008, COM (2008) 68 final. 684 COM (2008) 69 final, op.cit. (notamment p.5-7). 685 Ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 253 A. PROFILAGE ET BIOMÉTRIE : LA DIRECTIVE 2004/82/CECONCERNANT LES DONNÉES DES PASSAGERS (PNR) ET L'UTILISATION À DES FINS RÉPRESSIVES DES DOSSIERS PNR La directive 2004/82/CE sur les données PNR complète en effet les dispositions de la Convention de Schengen, puisqu'elle vise également à lutter contre l'immigration irrégulière686. Elle prolonge une tendance, présente dans l'accord de Schengen, à externaliser une partie du contrôle des étrangers aux transporteurs 687, et prévoit explicitement la prise en compte, « dès que l'occasion se présente, de toute innovation technologique, surtout pour ce qui est de l'intégration et de l'utilisation des caractéristiques biométriques dans les informations qu'il incombe aux transporteurs de transmettre. »688 Bien que cette disposition n'ait pas été mise en oeuvre par la France (qui traite cependant, depuis décembre 2006, les données API, conservées dans le Fichier des passagers aériens689), il convient de s'arrêter sur l'utilisation de ces données, non seulement parce que les caractéristiques biométriques pourraient, à terme, y être intégrées, mais parce qu'en l'état actuel, elles permettent déjà, comme nous allons le voir, un « profilage » des individus « à risque »: ce faisant, données API-PNR et éléments biométriques convergent vers des pratiques communes de profilage ou d'analyse comportementale des individus69°. 686 G29 (2006), avis 9/2006 (directive 2004/82/CE du Conseil; données relatives aux passagers), adopté le 28 septembre 2006. 687 Art 26 de la Convention de Schengen, qui fait obligation aux Etats d'instaurer des sanctions aux transporteurs acheminant des passagers dépourvus des documents requis pour l'entrée sur le territoire commun. Cf. à ce sujet le dossier composé par Amnesty International et France Terre d'Asile, « Le droit d'asile en France: état des lieux », in Cultures & Conflits n°26/27, été-automne 1997, p.123-203, en part. p.130-134. 688 Cons. 9 de la directive 2004/82/CE. 689 Le Fichier des passagers aériens (FPA) poursuit à la fois des fins de lutte contre l'immigration illégale et contre le terrorisme (art. 7 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et arrêté du 19 décembre 2006 « pris pour l'application de l'article 7 de la loi n° 2006-64 portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens »; cf. délib. n°2006-198 du 14 septembre 2006, publiés au JO le 21 décembre 2006 (conformément à la demande de la CNIL) ; arrêté du 28 janvier 2009 ; cf. délib. n° 2008-576 du 18 décembre 2008. L'arrêté du 31 mars 2006 (pris pour l'application de l'article 33 de la loi n° 2006-64) fixe la liste des organismes considérés comme participant à la « lutte contre le terrorisme » au sens de la loi de 2006, lesquels comprennent, entre autres, l'Office central pour la répression de l'immigration irrégulière et de l'emploi d'étrangers sans titre.. Le FPA est interconnecté au SIS et au FPR. 69° Sur l'utilisation de la biométrie à des fins de « profiling » et de réduction de « l'incertitude radicale » à un « risque » calculable, cf. Ceyhan, Ayse (2006), « Enjeux d'identification et de surveillance à l'heure de la biométrie », Cultures & Conflits, n°64, hiver 2006, p.33-47. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 254 Examinant cette directive, le G29 a tenu d'abord à affirmer que « la protection des données » est « un droit fondamental appartenant à toutes les personnes sur l'ensemble du territoire de l'Union européenne »691, non réservé, par conséquent, aux citoyens de l'UE.692 Il s'est ensuite inquiété de la dérogation accordée par l'art. 6 afin d'utiliser les données pour les « besoins des services répressifs », notion non définie par la directive, ainsi que par la possibilité d'utiliser les caractéristiques biométriques: non seulement cette notion n'est pas définie mais encore la directive « laisse aux autorités requérantes le soin de déterminer celles qui doivent être transférées et quand elles l'estiment techniquement réalisable », ce qui est inquiétant considérant « l'absence de spécifications précises concernant d'une part les finalités pour lesquelles elles doivent être recueillies et traitées et d'autre part les caractéristiques biométriques considérées comme à la fois nécessaires et proportionnées à cet effet »693. La Conférence européenne de l'aviation civile (2006)694 a défini les « données RPCV [systèmes de renseignements préalables concernant les voyageurs, ou données API] » comme étant celles « se trouvant sur la zone de lecture optique du document de voyage». Or, le G29 considère d'une part que les données PNR ne sont pas nécessaires au contrôle aux frontières, d'autre part qu'elles excèdent largement ce qui est contenu dans les lignes directrices et normes internationales695. En conclusion, il affirme soutenir « sans réserve l'objectif de maîtrise de l'immigration clandestine par l'amélioration des contrôles effectués sur les vols à destination de l'UE » tout en mettant en garde contre une transposition désordonnée de cette directive. En novembre 2007, la Commission a présenté une proposition de décision-cadre relative à l'utilisation des données API/PNR à des fins répressives696, concrétisant et généralisant la possibilité offerte par l'art. 6 de la directive 2004/82/CE. S'inscrivant 691 G29 (2006), avis 9/2006. 692 Sur la notion de « citoyenneté européenne », cf. Pataut, Etienne (2009), « L'invention du citoyen européen », La vie des idées, 2 juin 2009. 693 G29, ibid., 2 b), p.4. 694 Conférence européenne de l'aviation civile (2006), déclaration de principe du 8 avril 2006 sur les systèmes RPCV (systèmes de renseignements préalables concernant les voyageurs - systèmes API), citée par le G29, avis n°9/2006. 695 G29, avis n°9/2006. 696 Conseil de l'UE (2007), Proposition de Décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives (COM (2007) 654) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 255 clairement dans un contexte de lutte contre le « terrorisme » et le « crime organisé », et non plus de contrôle de l'immigration, celle-ci vise principalement à évaluer les « risques » posés par les passagers afin de concentrer les contrôles aux frontières sur les « passagers à risque ». La proposition a un caractère incantatoire, vantant les mérites de l'utilisation de ces données dans la lutte anti-terroriste, utilité qui, selon le CEPD et l'Agence européenne des droits fondamentaux, n'a pas été démontrée697. Examinant cette proposition, le CEPD a noté qu'elle constituait « une étape supplémentaire vers une collecte systématique des données concernant des personnes qui, en principe, ne sont soupçonnées d'aucune infraction. »698 Il souligne ensuite que « contrairement aux données API (informations préalables sur les passagers), censées permettre l'identification des personnes, les données PNR visées dans la proposition contribueraient à procéder à une évaluation des risques présentés par certaines personnes, à recueillir des informations et à établir des liens entre des personnes connues et d'autres qui ne le sont pas »699, c'est-à-dire à installer un procédure de profilage s'inscrivant dans une logique « proactive » ou d'anticipation des risques. Le profilage (profiling) peut être défini comme le fait d'élaborer un type ou modèle abstrait à partir d'analyses probabilitaires de données personnelles ou/et anonymisées, et ensuite d'appliquer ce modèle aux individus ou groupes d'individus7°°. La proposition affirme en effet la nécessité de conserver les données 697 CEPD (2008), §26-29 de l'avis du 20 décembre 2007 (projet de proposition de décision-cadre ; PNR; fins répressives). Publié au JO 1cT mai 2008 ; Agence européenne des droits fondamentaux (2008), « Opinion of the European Union Agency for Fundamental Rights on the Proposal for a Council Framework Decision on the use of Passenger Name Record (PNR) data for law enforcement purposes », 28 octobre 2008. 698 CEPD (2008), avis du 20 décembre 2007 . 699 CEPD (2008), avis du 20 décembre 2007 . 70° Le CEPD propose la définition suivante, tirée d'une étude du Conseil de l'Europe: « une méthode informatisée ayant recours à des procédés de data mining (fouille de données) sur des entrepôts de données (data warehouse) permettant ou devant permettre de classer avec une certaine probabilité et donc avec un certain taux d'erreur induit un individu dans une catégorie particulière afin de prendre des décisions individuelles à son égard», ainsi qu'une définition de Lee Bygrave (2001) que nous traduisons: « Généralement parlant, le profilage est le processus d'inférence d'un ensemble de caractéristiques (typiquement comportementales) d'une personne individuelle ou d'une entité collective et ensuite de traiter cette personne ou entité (ou d'autres personnes ou entités) à la lumière de ces caractéristiques. Ainsi, le processus de profilage a deux composants principaux: (1) la génération de profil -- le procès d'inférer un profil; et (2) l'application du profil -- le procès de traiter les personnes ou entités à la lumière de ce profil. Le premier composant consiste typiquement à analyser des données personnelles à la recherche de « patterns » [schémas], séquences et relations [relationships] afin d'arriver à un ensemble d'assomptions (le profil) fondé sur un raisonnement probabilitaire. Le second composant implique d'utiliser le profil généré pour aider à effectuer à recherche pour, et/ou une décision sur, une personne ou une entité. La ligne entre ces deux composants peut devenir floue en pratique, et la régulation d'une des composantes peut affecter l'autre. » (CEPD, 2008, avis du 20 déc. 2007) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 256 « pour une période assez longue afin de permettre l'élaboration d'indicateurs de risques et l'esquisse de modèles de déplacement et de comportement » (cons. 9). L'élaboration de modèles abstraits à l'aide de logiciels permet ainsi de construire des catégories ou des « populations », sujettes par la suite à un traitement différencié, l'objectif ultime étant de favoriser au maximum les facilités de circulation pour les passagers jugés « sans risques » et « profitables », qualifiés de « voyageurs de bonne foi »701, tout en augmentant au contraire au maximum le coût, économique, social et vital, de la circulation pour les « indésirables », qualifiés de « passagers à risque ». Le CEPD note en effet que les « suspects » seront « sélectionnés » à la fois « sur la base d'éléments concrets » et sur celle de « schémas types et des profils abstraits », sous-entendant à peine que cela pourrait conduire à des problèmes de discrimination, notamment en fonction de la religion des passagers, donnée pouvant être déduite des préférences alimentaires, inscrites dans les PNR7O2. De même, l'Agence européenne des droits fondamentaux s'inquiète des possibilités de discriminations ouvertes par le « profiling » opéré à partir de l'analyse des données API-PNR et conteste l'efficacité de celui-ci703. Certes, le projet proscrit toute discrimination (art. 3 et cons. 20). °1 Cf. comm. de la Commission du 13 février 2008 (COM (69) final): « En imposant une vérification approfondie de toutes les personnes, le cadre juridique actuel empêche ainsi de moderniser les modalités du contrôle aux frontières, alors que les nouvelles technologies permettraient d'automatiser, et donc d'accélérer considérablement, les vérifications pour les voyageurs de bonne foi. » (p.5) L'accord franco-sénégalais de 2006 de « gestion concertée des flux migratoires » est à cet égard symptomatique: « La France et le Sénégal poursuivront leurs efforts tendant à faciliter la délivrance de visas de circulation aux ressortissants de l'autre Partie, notamment hommes d'affaires, intellectuels, universitaires, scientifiques, commerçants, avocats, sportifs de haut niveau, artistes, qui participent activement aux relations économiques, commerciales, professionnelles, scientifiques, universitaires, culturelles et sportives entre les deux pays. Ces personnes qui doivent pouvoir circuler sans formalités entre le Sénégal et la France ont vocation à se voir délivrer un visa uniforme permettant des séjours ne pouvant excéder trois mois par semestre et valable de un à cinq ans en fonction de la qualité du dossier présenté, de la durée des activités prévues en France et de celle de la validité du passeport. » (décret n° 2009-1073 du 26 août 2009 portant publication de l'accord entre le Gouvernement de la République française et le Gouvernement de la République du Sénégal relatif à la gestion concertée des flux migratoires..., publié au JO le ler septembre 2009). 7°2 CEPD (2008), avis du 20 décembre 2007, §18-19: « Les suspects pourraient aussi bien être sélectionnés sur la base d'éléments concrets figurant dans les données PNR les concernant (par exemple un contact avec une agence de voyage suspecte ou encore une référence de carte de crédit volée), que sur la base de «modèles» ou d'un profil abstrait. Bien qu'on ne puisse pas partir du principe que les passagers seront ciblés en fonction de leur religion ou de toute autre donnée sensible, il apparaît néanmoins qu'ils pourraient faire l'objet d'une enquête fondée sur un ensemble d'informations concrètes et d'informations abstraites, notamment des schémas types et des profils abstraits.» 7°3 Agence
européenne des droits fondamentaux (2008), opinion citée, section
E. « Prohibition of discrimination (Article 21 of the
Charter of Fundamental Rights of the EU)»,
§34-47 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 257 Toutefois, le CEPD « note cependant que sa portée est limitée à l'action répressive des unités de renseignements passagers ou des autorités compétentes. Dans son libellé actuel, le texte n'exclut pas le filtrage automatisé des personnes selon des profils types et n'empêche pas non plus la constitution automatisée de listes de suspects et l'instauration de mesures telles qu'une surveillance accrue, tant que ces mesures ne sont pas considérées comme des actions répressives. » (§92) Un tel profilage serait en contradiction avec l'art. 15 de la directive 95/46/CE, qui reprend partiellement un trait de la loi française de 1978, interdisant la prise de décisions sur le seul fondement d'un traitement automatisé. En effet, les décisions concernant un individu risquent d'être prises à partir d'un modèle abstrait et général fondé à partir de données collectives et statistiques, ne concernant pas nécessairement cet individu. Selon le projet de décision-cadre, les « unités de renseignement passager » seront chargées de ce profilage. Ces unités, indique le CEPD, pourront être aussi bien les services de douane que les services de renseignement, « voire [à] tout type de sous-traitant », la directive n'apportant aucune précision à ce sujet, pas plus qu'à la « qualité des destinataires des données »7°4. Par ailleurs, le CEPD, comme d'ailleurs le Sénat français (qui a proposé une durée maximale de 6 ans'°5), considère la durée de conservation des données PNR, fixée au total à 13 ans, comme disproportionnée. Le CEPD attire notamment l'attention sur l'accumulation de bases de données faite sans étude d'impact, conduisant à une politique législative irrationnelle et ouvrant la voie vers une « société de surveillance totale » (§ii6). Soulignant le caractère disproportionné de la proposition, le G29 parle quant à lui de « société européenne de la surveillance » et soulève la question de l'applicabilité de la décision-cadre 2008/977/JAI « puisque ladite décision-cadre ne régit que le transfert des données à caractère personnel entre les services répressifs des États 7°4 CEPD (2008), avis du 20 déc. 2008, §68-71 '°5 Sénat (2009), Résolution européenne sur la proposition de décision-cadre relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives (E 3697) devenue résolution du Sénat le 20 mai 2009. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 258 membres de l'UE et non leur transfert par les transporteurs aériens aux unités de renseignements passagers dans l'UE »706 Enfin, l'Agence européenne des droits fondamentaux a aussi critiqué la proposition, notant qu'elle vise entre autres les « associés » des personnes qui sont ou peuvent être impliquées dans le terrorisme ou le crime organisé, notion très large qui pourrait inclure toute connaissance de ces personnes'°7. B. LE RÈGLEMENT N°380/2008 INSTAURANT LA BIOMÉTRISATION DESTITRES DE SÉJOURAprès une période d' « harmonisation » de la politique européenne en matière de visas, le Conseil de l'UE a adopté en 2002 le règlement (CE) n°1030/2002 « établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers », qui envisage l'introduction d'éléments biométriques afin de prévenir la contrefaçon des titres de séjour"°8. La décision d'introduire ces éléments a été entérinée par le règlement n°380/2008 7°9, modifiant le règlement de 2002, et qui s'inspire des standards de l'OACI (doc. 9303). Ce nouveau règlement prévoit « l'insertion d'identificateurs biométriques », présentée comme « un pas important vers l'utilisation de nouveaux éléments établissant un lien plus fiable entre le titre de séjour et son titulaire afin de contribuer sensiblement à la protection du titre de séjour contre une utilisation frauduleuse. »71° L'utilisation à des fins d'administration électronique de ces documents biométriques est également envisagée7n, tandis que l'interopérabilité du système est de mise"12. y°6 G29 (2007), Avis commun sur la proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007, adopté le 5 décembre 2007 par le groupe de travail «Article 29»; adopté le 18 décembre 2007 par le groupe de travail sur la police et la justice 707 Agence européenne des droits fondamentaux (2008), « Opinion of the European Union Agency for Fundamental Rights on the Proposal for a Council Framework Decision on the use of Passenger Name Record (PNR) data for law enforcement purposes », 28 octobre 2008. '08 Cons.6 du Règlement (CE) n°1030/2002 du Conseil du 13 juin 2002 (modèle uniforme de titre de séjour pour les ressortissants de pays tiers) 7°9 Règlement (CE) n° 380/2008 du Conseil du 18 avril 2008 modifiant le règlement (CE) n° 1030/2002 , Journal officiel n° L 115 du 29/04/2008 p. 0001- 0007 710 Cons. 3 du règlement (CE) n°380/2008. 711 Cons. 6, ibid. 712 Cons. 10, ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 259 L'art. 4 modifié du règlement n°1030/2002 dispose: « aux fins du présent règlement, les éléments biométriques intégrés dans les titres de séjour ne sont utilisés que pour vérifier:
La finalité de l'insertion de ces éléments («image faciale et deux images d'empreintes digitales », et non simplement les gabarits numériques) est donc de vérification d'identité, et non d'identification, sauf en cas de contrôle du titre de séjour. La même formulation sera utilisée pour le règlement n°2252/2004 concernant les passeports et documents de voyage. Les caractéristiques biométriques sont stockées sur une puce RFID. Enfin, au moment de la demande du titre de séjour, les Etats relèvent empreintes digitales et photographies du demandeur, la saisie des empreintes digitales étant « obligatoire à partir de l'âge de six ans ». Une clause prévoit que « les personnes dont il est physiquement impossible de relever les empreintes digitales [soient] exemptées de l'obligation de les donner. »713 C. LE SYSTÈME D'INFORMATION SUR LES VISASLa création du système d'information sur les visas (VIS, Visa Information System), a été décidée par le Conseil en juin 2004714. Celui-ci comprend une interface centrale et une interface nationale dans chaque Etat, et vise à l'échange des données concernant les demandes de visas. Selon le règlement n°767 de 2008715, le VIS entrant dans le cadre du ler pilier, il vise notamment à « prévenir le « visa 713 Art. 4 ter du règlement n°1030/2002 modifié. 714 Décision du Conseil du 8 juin 2004 portant création du système d'information sur les visas (VIS) (2004/512/CE) 715 Règlement (CE) n°767/2008 du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (art. 2) shopping » », « faciliter la lutte contre la fraude » et « faciliter les contrôles aux points de passage aux frontières extérieures et sur le territoire des États membres. » Enfin, il vise aussi à mettre en oeuvre de façon efficace le règlement Dublin II de 2003716, pour lequel le fichier d'empreintes digitales Eurodac a aussi été créé7~7, ainsi qu'à permettre « l'identification de toute personne qui ne remplit pas ou ne remplit plus les conditions d'entrée, de présence ou de séjour » et à « contribuer à la prévention des menaces pesant sur la sécurité intérieure de l'un des États membres. »718 L'accès est ainsi étendu aux autorités administratives compétentes en matière de visa; aux autorités chargées du contrôle des frontières; aux autorités chargées du contrôle de l'identité du détenteur de visa et de la régularité de son séjour; aux autorités compétentes en matière d'asile et enfin aux autorités compétentes en matière d'anti-terrorisme et de prévention et de répression des « infractions pénales graves ». L'accès dans le cadre de l'anti-terrorisme et de la prévention des « infractions pénales graves » Cette dernière finalité est mise en oeuvre par l'art. 3, qui permet aux autorités nationales et à Europol la consultation du fichier « aux fins de la prévention, de la détection et de l'investigation des infractions terroristes et autres infractions pénales graves », lui-même concrétisé par la décision 2008/633/JAI du 23 juin 20087~9, cet aspect relevant du 3e pilier. L'accès, qui peut se faire par les données d'état civil, les empreintes digitales, etc., est conditionné à trois conditions (art. 4-1) : -- il doit être « nécessaire à la prévention, à la détection d'infractions terroristes ou d'autres infractions pénales graves, ou aux enquêtes en la matière »; 716 Règlement (CE) n°343/2003 concernant les « critères et mécanismes de détermination de l'Etat membre responsable d'une demande d'asile ». 717 Cf. infra. Règlement (CE) n° 2725/2000 du Conseil du ii décembre 2000 (création «Eurodac» ; comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin) et Règlement (CE) n°407/2002 du Conseil du 28 février 2002 (modalités d'application du règlement (CE) n° 2725/2000) 718 Règlement (CE) n°767/2008 (art. 2) 719 Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 260 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 261
Les « infractions pénales graves » sont celles définies à l'art. 2-2 de la décision-cadre de 2002 relative au mandat d'arrêt européen72O. Concept large, celles-ci recouvrent donc, pêle-mêle, la « participation à une organisation criminelle », la
Notons qu'en cas d'inscription préalable au SIS II, notamment pour des infractions semblables, ce qui se peut faire lorsqu'il y a des « indices réels laissant supposer qu'une personne a l'intention de commettre ou commet une infraction pénale grave » ou « lorsque l'appréciation globale portée sur une personne, en particulier sur la base des infractions pénales commises jusqu'alors, laisse supposer qu'elle commettra également à l'avenir des infractions pénales graves »721, le visa peut être refusé : le VIS enregistre alors le motif du refus, à savoir que le demandeur était inscrit au SIS (art. 12 du règlement n°767/2008). Toutefois, pour l'instant, la consultation automatique du SIS II n'est pas encore effective: les services utilisant le SIS le consultent en cas de demande de visa, mais n'en informent pas les consulats722. Bien qu'en principe exclu, les données peuvent aussi être transmises, à titre exceptionnel à d'autres Etats ou organisations internationales lorsque ces finalités H2O Décision-cadre du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres (2002/584/JAI) 721 Art. 36 de la décision n°2007/533/JAI du Conseil du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) 722 Conclusions du Conseil relatives à la mise en oeuvre d'un mécanisme de détection précoce de la menace liée au terrorisme et à la criminalité organisée, 2908e réunion du Conseil JAI, 27-28 nov. 2008 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 262 sont en jeu. De manière générale, le VIS est le pendant européen au système US-VISIT, qui lui enregistre par ailleurs toutes les entrées et sorties des étrangers, ce qui permet notamment de repérer ceux qui ont dépassé la durée de leur autorisation de séjour. Collecte et conservation des données Relevées dans les consulats, voire par des prestataires de service extérieurs, les données personnelles, y compris les dix empreintes digitales et la photographie, sont conservées pour une durée de cinq ans, sauf si le sujet est naturalisé avant ce délai 7~3. Suite à un compromis négocié par le Parlement avec le Conseil, les enfants de moins de douze ans sont exemptés de la prise d'empreintes digitales7~4; une proposition de règlement de 2006 avait en effet retenu l'âge de six ans7~5. Les personnes physiquement incapables de délivrer leurs empreintes digitales sont aussi exemptées726, bien que s'il est possible d'enregistrer quelques-unes seulement de leurs empreintes, cela sera fait7~7. Sur 20 millions de demandeurs de visa attendus, cela concernerait une population d'un million de personnes728. Ajoutons que pour les consulats, le matériel de recueil des données biométriques sera mis en commun par les Etats membres et le recours à l'externalisation vers des prestataires de services doit intervenir en dernier ressort7~9. Le G29 s'était opposé à cette externalisation, notant le « paradoxe » consistant à renforcer la sécurité du document à l'aide de la biométrie et à l'affaiblir en utilisant des prestataires de service ne bénéficiant pas de la même protection qu'un consulat ou une ambassade73°. Il soulignait aussi les risques de favoriser une usurpation d'identité biométrique si 723 Cons. 14 du règlement n°767/2008 et chap. IV, « Conservation et modification des données ». Les spécifications techniques des normes avaient été précisées par la décision de la Commission 2006/648/CE. 724 Parlement européen (2009), « Visas biométriques : pas d'empreintes digitales pour les enfants de moins de douze ans », communiqué de presse du 25 mars 2009. 725 Proposition de règlement modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa, 31 mai 2006 (COM(2oo6) 269 final) 26 COM (2006) 269 final, art. cit.. 727 Ibid. 728 G29, avis n° 3/2007 sur la proposition de règlement (...) modif. les instructions consulaires communes (COM(2oo6)269 final) 729 Parlement européen (2009), ibid. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 263 l'identité civile du demandeur n'était pas suffisamment vérifiée lors du prélevé des caractéristiques biométriques731. Les avis du G29 Saisi du projet de règlement, le G29 (avis n°7/2004) avait noté que le Conseil européen avait envisagé, par sa déclaration de lutte contre le terrorisme du 25 mars 2004, la synergie des systèmes d'information (SIS II, VIS et EURODAC)732. Il remarquait que ce projet impliquait « tout étranger demandant un visa, soit plusieurs dizaines de millions de personnes »733 et préconisait donc la prise en compte de la directive 95/46/CE et de l'art. 8 de la Charte européenne des droits fondamentaux, points sur lesquels il a été suivi. En revanche, ses « plus grandes réserves » concernant l'instauration de bases de données comprenant des données « à trace » n'ont pas été suivies734. Il était prévu, à l'origine, d'enregistrer les données biométriques à la fois sur le VIS et sur une puce sans contact insérée sur le visa, mais cette dernière proposition avait été abandonnée en juin 2005 pour des raisons techniques735. 73° Lettre datée du 27 mai 2008 du Président du Groupe de Travail «Article 29» à la baronne Sarah Ludford, concernant l'externalisation de la collecte des données biométriques dans le cadre des demandes de visa. 731 G29, avis n°3/2007 précité. 732 G29, avis n°7/2004 sur l'insertion d'éléments biométriques dans les visas et titres de séjour en tenant compte de la création du système d'information Visas (VIS), adopté le 11 août 2004. 11224/04/FR WP 96. 733 Ibid. Le règlement adopté (n°767/2008) entend par « visa » non seulement les « visas de court séjour », mais les « visas de transit », les « visas de transit aéroportuaire », les « visas à validité territoriale limitée », ainsi que les « visas national de long séjour ayant valeur concomitante de visas de court séjour », de même que les « vignettes visas », qui sont respectivement définis par la convention de Schengen (art. 11, 14, 16 et 18), les instructions consulaires communes, et le règlement (CE) n°168395 établissant un modèle type de visa. 734 Le G29 note qu' « en particulier, le risque n'est pas négligeable qu'un individu dont les empreintes digitales auraient été collectées ne communique par ailleurs pas sa véritable identité, en particulier si les circonstances de la collecte des empreintes digitales ne garantissent pas une parfaite fiabilité; l'identité usurpée serait alors associée de manière permanente aux empreintes digitales en question. » (avis n°7/2004). 735 Au-delà de quatre vignettes-visas biométriques, des problèmes d'interférence intervenaient. Cf. COM (2006) 269 final, précité. Il note en outre qu'avec une durée de conservation de cinq ans, le VIS enregistrerait environ 100 millions de demande de visas: la masse numérique des caractéristiques biométriques pose ici un problème de fiabilité souligné par le G29. Le G29 considère aussi que la question de l'âge, minimum et maximum, ne devrait pas être traité comme « une question purement technique », et que, « pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure », des seuils devraient être fixés; la littérature scientifique n'a pas démontré de façon « irréfutable que la technologie dactyloscopique est suffisamment fiable en ce qui concerne soit les enfants, soit les personnes âgées. »736 Il préconisait d'aligner cet âge sur celui retenu par EURODAC (qui fixe les seuils à 14 et 8o ans)737. Au regard des finalités, de vérification et d'identification, le G29 admet la première, mais considère que la seconde n'est pas assez définie et soulève « d'importantes difficultés au regard du principe de proportionnalité ». En effet, la vérification n'implique pas la constitution d'une base centrale, au contraire de l'identification biométrique. Il souligne par ailleurs le risque de confusion des finalités, avéré puisque la lutte contre le « visa shopping » et la fraude est mêlée à l'identification des personnes en situation irrégulière, ainsi qu'à la lutte contre le terrorisme. D'évidence, il n'a été guère suivi sur ces points. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 264 T36 G29, avis n° 3/2007 précité. 737 Ibid. D. L'IDENTIFICATION DES ÉTRANGERS EN FRANCE: DE LA LOI DEBRÉ A Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 265 VISABIO ET ELOI Le pendant français du VIS, dénommé VISABIO, est prévu par l'art. L611-6 du CESEDA738 et a été établi par décret en novembre 2007739 (R611-8 à 611-15 du CESEDA), la CNIL ayant examiné le projet de décret l'instaurant en juillet74°. De nouveau, cette mesure s'inscrit dans une tendance longue, qui fait de l'identification des étrangers une mesure de contrôle nécessaire à leur éloignement du territoire, et, de façon générale, à l'établissement des dispositifs de contrôle des flux de circulation. En effet, c'est la « loi Debré » de 1997 qui introduit la possibilité d'enregistrer les empreintes de certains étrangers, procédure étendue aux demandeurs de visa par la « loi Sarkozy » de 2003. Toutefois, ce n'est qu'en 2004 que BIODEV, précurseur de VISABIO ainsi que du VIS, permet d'enregistrer les empreintes des demandeurs de visa. L'identification biométrique n'est ici que le moyen de la régulation et du contrôle de la liberté de circulation. On remarque, au passage, que ce contrôle a pu s'appliquer aussi bien à l'entrée et au séjour des étrangers, qu'à la sortie des étrangers du territoire, la France étant l'un des rares pays à avoir rétabli, un temps, un visa de sortie pour les étrangers741 T38 L'art. L611-6 du CESEDA dispose: « Afin de mieux garantir le droit au séjour des personnes en situation régulière et de lutter contre l'entrée et le séjour irréguliers des étrangers en France, les empreintes digitales ainsi qu'une photographie des ressortissants étrangers qui sollicitent la délivrance, auprès d'un consulat ou à la frontière extérieure des Etats parties à la convention signée à Schengen le 19 juin 1990, d'un visa afin de séjourner en France ou sur le territoire d'un autre Etat partie à ladite convention peuvent être relevées, mémorisées et faire l'objet d'un traitement automatisé dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ces empreintes et cette photographie sont obligatoirement relevées en cas de délivrance d'un visa. » T39 Décret n°2007-1560 du 2 novembre 2007 74° Délib. n°2007-195 du 10 juillet 2007. 741 Cela a été fait par la circulaire non publié du 28 nov. 1986, après les attentats de 1986. Cette circulaire fut annulée par le Conseil d'Etat, suite à un recours du GISTI, le 22 mai 1992 (cf. « Illégalité totale des visas sortie-retour », Plein Droit, n°53-54, mars 2002, et Conseil d'Etat statuant au contentieux , n° 87043, mentionné dans les tables du recueil Lebon). Les visas de sortie sont en général appliqués aux nationaux, par des Etats autoritaires ou/et voulant éviter la « fuite des cerveaux » (cf. Torpey, John (200o), op.cit., p.202 sq.). * Cf. aussi le témoignage de la magistrate Evelyne Sire-Marin concernant les arrestations de travailleurs marocains placés en rétention alors qu'ils quittent la France (« Le témoignage d'un juge », Mediapart, 22 novembre 2009). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 266 De la loi Debré de 1997 à BIODEV I et II La « loi Debré »742 de 1997 avait modifié l'ordonnance du 2 novembre 1945743 en insérant un art. 8-3 permettant de relever et de traiter les empreintes digitales des étrangers extra-communautaires demandant un titre de séjour, ainsi que des étrangers « en situation irrégulière en France ou qui font l'objet d'une mesure d'éloignement du territoire français ». Le gouvernement justifiait cette mesure non seulement par la « fraude documentaire sur les cartes de séjour », qui « valent aussi justification de l'identité », mais aussi en affirmant que cela donnerait « une valeur opérationnelle réelle aux mesures d'éloignement dont elles feront éventuellement l'objet. »744 Quatre ans après l'établissement de l'ADGREF, « système informatisé de gestion des dossiers des ressortissants étrangers en France » qui enregistre leur situation juridique, leur état civil et leur attribue un « numéro national d'identification »745 (il est aujourd'hui envisagé d'y inclure des caractéristiques biométriques, en le rebaptisant GREGOIRE746), le problème de l'identification et de la « fraude » était en effet un thème majeur de cette loi et des débats parlementaires qui l'ont accompagné, tel sénateur affirmant ainsi que « l'anonymat est devenu une véritable filière d'immigration clandestine » et qu' « il suffit de paraître sourd et muet pour être remis en liberté »747. Ainsi, le Conseil d'Etat n'ayant pas reconnu l'utilisation de multiples identités, qui constituait déjà une « fraude délibérée », parmi les motifs de refus de demande d'asile748, la loi Debré (art.11749) qualifie désormais cet acte de « recours 742 Loi n°97-396 du 24 avril 1997 portant diverses dispositions relatives à l'immigration, JO 25-04-97. 743 Ordonnance n°45-2658 du 2 novembre 1945 relative aux conditions d'entrée et de séjour des étrangers en France. L'art. 8-4 de l'ordonnance a été transféré à l'art. L611-3 du CESEDA. 744 Obs.du gouvernement en réponse aux saisines du Conseil constit., 27 -03-97, JO n°97 du 25-04-97. 745 Décret du 29 mars 1993 (création système informatisé de gestion des dossiers des ressortissants étrangers en France), JO 29 mars 1993, pris après avis sous réserves de la CNIL, délib. n°91-033 du 07 mai 1991 746 Ligue des droits de l'homme (2009), « Grégoire, petit frère d'Edvige », 9 mars 2009. 747 Sénateur Marquès (groupe centriste) des Pyrénées orientales, cité in Lessana, Charlotte (1998), « Loi Debré: la fabrique de l'immigré », Cultures & Conflits, n°31-32, automne-hiver 1998, p.125-159. 748 CE, 12 décembre 1986 et 9 février 1994 749 Art. 11 de la loi n°97-396: « Constitue, en particulier, un recours abusif aux procédures d'asile la présentation frauduleuse de plusieurs demandes d'admission au séjour au titre de l'asile sous des identités différentes. ». L'Assemblée nationale avait supprimé l'adjectif « frauduleux », qui a été rétabli ensuite par le Sénat. En effet, selon le rapporteur du Sénat Paul Masson, « cette modification a des conséquences sur le fond du dispositif proposé. » Supprimer l'adjectif implique « en effet que la preuve soit apportée que la présentation de plusieurs demandes sous des identités différentes était bien Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 267 abusif ». De même, la loi consacre la sécurisation des certificats d'hébergement (art. i), requis pour obtenir un visa, et permet la « retenue » du passeport de l'étranger en situation irrégulière (art. 3), afin d'empêcher que celui-ci ne le fasse disparaître, ce document étant « la clé de son éloignement » selon les mots du gouvernement75°. Elle étend aussi le champ des contrôles d'identité (art. 19), dans des objectifs de lutte contre le travail illégal, ainsi que la durée possible de la rétention (art. 13). La rétention judiciaire, instituée en 1993 pour parer aux exigences du Conseil constitutionnel en matière de rétention administrative, permet en outre une incarcération de trois mois aux seules fins de l'identification, disposition peu appliquée jusqu'à une circulaire de 1995751. Dès 1994, une autre circulaire demandait aux préfectures de repérer dans les prisons les étrangers en situation irrégulière ou susceptibles d'une mesure d'expulsion, en favorisant notamment les contact avec les greffes de la prison afin d'identifier ces derniers, à l'aide de différents indices (permis de conduire, cartes de sécurité sociale, et même audition des étrangers par des spécialistes des dialectes)752. Des « cellules régionales de coordination et de suivi des étrangers incarcérés » furent créées en 1995 à cette fil-1753. Cette politique a été réaffirmée par des circulaires de 2003 et 2004754. motivée par un détournement de la procédure d'asile. » Il est donc « souhaitable » de rétablir celui-ci, « afin de prendre en compte les cas où l'utilisation d'identités différentes peut ne pas constituer une fraude mais résulter par exemple des caractéristiques de l'état civil du pays d'origine du demandeur. » (Masson, Paul (1997), « Rapport 200: L'immigration », Commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale - Rapport 200 -1996 / 1997 ) 750 Observations du gouvernement (1997), ibid. Le gouvernement rétorque aux auteurs de la saisine que la retenue du passeport « ne prive en aucune façon l'étranger concerné de la possibilité de choisir (...) son pays de destination »; celle-ci est cependant largement restreinte par les accords de réadmission, qui contraignent les Etats à admettre sur leur territoire des étrangers refoulés (qui peut être d'une nationalité autre que celle de l'Etat en question, selon la nature de l'accord). Cf. sur cette question Spire, Alexis (2004), « Le poids des consulats », Plein Droit, n°62, octobre 2004. 751 Circulaire du ministre de la justice du 26 septembre 1995 adressée aux parquets, « concernant l'autorité judiciaire et la lutte contre l'immigration clandestine ». Cf. Lessana, Ch. (1998), art. cit., qui cite M. Debré dans les débats à l'Assemblée nationale: « cette rétention judiciaire de trois mois serait un atout maître pour engager la procédure d'identification » (17 déc. 1996), et Lochak, D. (2004), « Éloigner, une tâche comme une autre », Plein droit, n°62, octobre 2004. 752 Circulaire du ministre de l'intérieur du 10 mars 1994 relative à l'éloignement des étrangers en situation irrégulière, citée par Lochak, D. (2004), art. cit. 753 Circulaire interministérielle du 27 octobre 1995, citée par Lochak, D. (2004), art. cit. 754 Circulaire du ministre de l'intérieur du 22 octobre 2003 : « Amélioration de l'exécution des mesures de reconduite à la frontière » et Circulaire du ministre de la justice du 21 janvier 2004 : « Amélioration de la coordination entre les établissements pénitentiaires et les services du ministère de l'intérieur pour la mise en ouvre des mesures d'éloignement des étrangers du territoire français ». Citées par Lochak, D. (2004), art. cit. Les mesures prévues par la loi Debré, concernant le relevé des empreintes digitales, ne furent toutefois pas appliquées jusqu'à 2004. La CNIL le remarque à l'occasion de son examen du projet de « loi Sarkozy »755, qui vise à étendre cette procédure aux demandeurs de visa et aux étrangers entrant sur le territoire de façon irrégulière. Jusqu'à présent, seul le FNAED pouvait être utilisé à des fins d'identification des étrangers en situation irrégulière. La CNIL ne s'oppose pas franchement au projet de loi, considérant qu'il en va bien d' « exigences impérieuses en matière de sécurité ou d'ordre public ». Rappelant que le Conseil européen de Laeken (décembre 2001) avait prévu l'instauration d'une base biométrique pour les demandeurs de visa, elle déclare simplement que l'accès à la base de données biométriques devrait être restreint et sécurisé, un décret en Conseil d'Etat pris après avis de la CNIL devant préciser les organismes y ayant accès, et prend acte de ce que le projet prévoit de créer deux bases distinctes, l'une pour les empreintes des demandeurs de visa, l'autre pour la seconde catégorie (demandeurs de titres de séjour, entrée ou séjour irrégulier, ou faisant l'objet d'une mesure d'éloignement). L'art. 11 et 12 de la nouvelle loi réforment donc l'ordonnance de 1945 en conséquence, en généralisant à tous les étrangers le prélèvement d'empreintes et en ajoutant qu'ils doivent être photographiés. Seuls les ressortissants d'Etats de l'UE, de l'Espace économique européen ou de la Confédération helvétique sont exceptés de cette mesure. L'introduction de cette clause d'exception, qui fait écho à ce qu'E. Balibar considère comme le développement d'un « racisme spécifiquement « européen » »756, montre que ce « racisme » institutionnel distingue non seulement entre ressortissants extra-communautaires et nationaux des Etats membres, mais, plus finement, entre ces derniers et les ressortissants d'Etat tiers non membres de l'EEE (à savoir l'Islande, la Norvège et le Liechtenstein) ou de la Suisse, ces derniers étant dotés d'un statut ambigu entre étranger extra-communautaire et citoyen européen. Cela va dans le droit fil de ce que les règlements européens considèrent désormais comme « ressortissant d'un pays tiers », c'est-à-dire les personnes qui ne sont ni ressortissantes d'un Etat de l'UE, ni « ressortissant d'un pays tiers jouissant, 755 Délib. n°03-015 du 24 avril 2003 ; loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité 756 Balibar, Etienne (1999), « Le droit de cité ou l'apartheid? », in Etienne Balibar, Jacqueline Costa-Lascoux, Monique Chemillier-Gendreau, Emmanuel Terray, Sans papiers : l'archaïsme fatal . Paris : Editions La Découverte, 1999. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 268 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 269 en vertu d'accords entre la Communauté et ses Etats membres, d'une part, et le pays en question, d'autre part, de droits de libre circulation équivalents à ceux des citoyens de l'Union européenne. »757 Toutefois, la catégorie des demandeurs de visa est distinguée de la catégorie introduite par la « loi Debré », faisant l'objet de l'art. 8-4 de l'ordonnance de 1945 (désormais L611-6 et L611-3 du CESEDA). Se référant à l'avis n°7 (2004) du G29, la CNIL examine donc en octobre 2004 le projet de décret instituant, « à titre expérimental », un visa biométrique, assorti de la seconde base biométrique, après le fichier de l'OFPRA, visant des étrangers. Elle précise que la finalité doit être bien déterminée, à savoir « l'amélioration du contrôle de la validité des visas présentés aux personnels de la police de l'air et des frontières et de l'identité de leurs détenteurs, lors du passage aux frontières »758. Dans cette mesure, elle préconise de limiter l'enregistrement des données biométriques aux étrangers ayant obtenu un visa: il s'agit de vérifier l'identité de l'étranger ayant le droit d'entrer sur le territoire, donc détenteur d'un visa, et non pas d'enregistrer les empreintes de tous les étrangers souhaitant entrer sur le territoire. D'évidence, le contrôle aux frontières fait désormais partie des « exigences impérieuses en matière de sécurité ou d'ordre public », ce que le Conseil constitutionnel avait admis dès 1997. Le décret de novembre 2004759 reprend ainsi les finalités de la loi de 1997 (prévenir les « fraudes documentaires et les usurpations d'identité ») et celle suggérée par la CNIL. Il créé un traitement automatisé, BIODEV, enregistrant les dix empreintes digitales et la photographie des demandeurs de visa (qu'ils l'aient, ou non, obtenu), une vignette visa pouvant, en sus, stocker ces caractéristiques biométriques. Le traitement enregistre en outre toutes les informations stockées sur le Réseau mondial visas 2, créé en 1989 (données d'état civil, caractéristiques du visa). La durée de conservation dépasse celle de deux ans préconisée par la CNIL pour les visas long séjour et les refus de visa, qui est fixée à cinq ans. L'accès, enfin, est limité aux « agents du ministère de l'intérieur, individuellement désignés et spécialement habilités par le directeur central de la police aux frontières. » L'avis de la CNIL, déjà 757 Définition utilisée dans le règlement n°1987/2005 établissant SIS II (art. 3). 758 Délib. n°04-075 du 05 octobre 2004 759 Décret n° 2004-1266 du 25 novembre 2004 (...) (création à titre expérimental ; traitement automatisé des données à caractère personnel relatives aux ressortissants étrangers sollicitant la délivrance d'un visa), JO 26/11/04. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 270 en retrait par rapport au G29 franchement opposé à tout stockage sur support central des empreintes digitales, n'a donc été que très partiellement suivie. L'année d'après, les maires ont été autorisés à mettre en place des traitements automatisés « relatifs aux demandes de validation des attestations d'accueil »760, disposition prévue par la loi de 2003 (art. 7). En décembre 2005, la CNIL examine un nouveau projet de décret, visant à étendre la zone d'application de l'expérimentation BIODEV, ainsi qu'à mutualiser les ressources avec les consulats d'autres Etats membres de l'UE, préfigurant ainsi l'établissement du VIS. Désormais, la finalité dépasse le contrôle aux frontières, pour inclure tout contrôle sur le territoire national, le gouvernement s'appuyant notamment sur les procédures de « vérification d'identité » prévu dans le Code de procédure pénale (art. 78-3) pour légitimer la prise d'empreintes des récalcitrants. Les empreintes prises lors du contrôle d'identité seraient alors comparées avec BIODEV puis détruites. La CNIL s'oppose à cette innovation, non prévue par la loi de 1997 (qui n'autorise l'accès qu'au FNAED) et qui tend à confondre les missions de police administrative et de police judiciaire, et déclare ainsi que « d'autres solutions peuvent être étudiées voire expérimentées » 761 Le gouvernement Villepin ne suit guère l'avis négatif de la CNIL, étendant en avril 2006 la finalité du dispositif aux « vérifications d'identité » (art. 78-3 CPP) et l'accès à certains « agents des chancelleries consulaires et des consulats français (...) individuellement désignés et spécialement habilités » et aux « officiers de police judiciaire des services de la police nationale mentionnés à l'annexe 5762, individuellement désignés et spécialement habilités par le préfet de police ou le commissaire central concerné, pour des missions de vérification d'identité prévues par les articles 78-2 et 78-3 du code de procédure pénale » 763. BIODEV II abandonne en outre le visa biométrique. 76° Délib. n°2005-052 et décret n° 2005-937 du 2 août 2005 pris pour l'application de l'article L. 211-7 du CESEDA et portant sur le traitement automatisé de données à caractère personnel relatif aux demandes de validation des attestations d'accueil 761 Délib. n°2005-313 du 20 décembre 2005 762 Préfet de police, commissariats centraux de Lille, Lyon et Marseille. 763 Art. 4 du décret n° 2006-470 du 25 avril 2006 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 271 VISABIO: du contrôle aux frontières au contrôle des étrangers En juillet 2007, la CNIL est appelée de nouveau à examiner le projet pérennisant BIODEV, et regrette alors le peu d'études et la faiblesse de l'expérimentation en cours (la base centrale ne contenait, en décembre 2006, que 2,8% de l'ensemble des visas émis)764. Elle prend acte, sans guère plus de résistances, du nouvel élargissement de l'accès au traitement aux « agents des préfectures compétents pour la délivrance et la prorogation des visas », aux douanes ainsi qu'aux différents services chargés de la lutte anti-terroriste, conformément à la loi du 23 janvier 2006 relative à la lutte contre le terrorisme765. Muette au sujet de cette confusion des finalités, entre contrôle de l'immigration et antiterrorisme, certes voulue par le législateur, elle relève toutefois que le dispositif prévoit d'enregistrer les entrées et sorties, mesure non prévue par le règlement, ainsi qu'une procédure prévue par le projet de décret pour ceux qui sont dans l'impossibilité physique de délivrer leurs empreintes. Elle suggère aussi l'introduction d'une mesure de destruction du fichier, dont la finalité de contrôle de l'immigration en fait autre chose, dit-elle, qu' « un fichier d'identification des étrangers consultable en toutes circonstances »766 Le décret n°2007-1560 créant VISABIO767, sur le fondement de l'art. L611-6 du CESEDA, autorisant l'enregistrement des empreintes des demandeurs de visa, étend à nouveau les finalités, puisqu'il sert non seulement à détecter les demandes multiples sous des identités différentes, ainsi qu'à des fins de contrôle des frontières, mais aussi à « faciliter » les vérifications d'identité (art. 78-3 CPP) ainsi que les vérifications de « l'authenticité des visas et de la régularité du séjour » (en ce cas, la consultation des empreintes digitales est exclue768). D'une expérimentation visant officiellement à vérifier le lien entre le visa et son porteur lors du contrôle aux frontières, on passe ainsi explicitement à une base visant à permettre l'identification 764 Délib. n° 2007-195 du io juillet 2007 (projet de décret; application de l'article L. 611-6 CESEDA) 765 Art. 9 et 3o de la loi n°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. La saisine du Conseil constitutionnel n'a porté que sur les art. 6 et 8 (décision n° 2005-532 DC du 19 janvier 2006).
767 Décret n°2007-1560 du 2 novembre 2007 (création traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d'un visa ; application de l'article L. 611-6 du CESEDA) 768 Art. 2 du décret n°2007-1560 et R611-10 sq. du CESEDA. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 272 des étrangers dans les consulats, aux frontières, et sur le territoire national. Certes, VISABIO n'enregistre les empreintes que des demandeurs de visa; les contrôles d'identité et de titres de séjour, et les rapprochements autorisés avec VISABIO, touchent toutefois tous les étrangers, ou présumés tels. De plus, VISABIO fonctionne comme FNAED bis, ou FNAED réservé aux étrangers, pour tout ce qui concerne les vérifications d'identité opérées sous l'art. 78-3 du CPP, la finalité du FNAED s'étant quant à elle étendue à l'identification des étrangers en situation irrégulière depuis la loi Debré (L611-4 CESEDA). Une extension des finalités de VISABIO à laquelle la CNIL, peut-être refroidie par l'issue malheureuse donnée à sa fin de non-recevoir en décembre 2005, n'a guère opposé de résistance. VISABIO relève conjointement du Ministère des Affaires étrangères et du Ministère de l'Immigration, et intègre « les images numérisées de la photographie et des empreintes digitales des dix doigts des demandeurs de visas », seuls les enfants de moins de six ans étant exclus. Les données sont conservées cinq ans, tandis que le décret précise que le traitement ne comprend pas de dispositif de reconnaissance faciale. Lors de l'entrée sur le territoire, l'étranger doté d'un visa peut être soumis à un contrôle de ses empreintes digitales (R211-1 CESEDA). VISABIO enregistre par ailleurs les différentes données rassemblées dans l'application informatique RMV 2, utilisée par les consulats et qui interroge « de façon systématique » le « fichier d'opposition du système d'information Schengen » 769 Contrairement à ce que préconisait la CNIL, aucune « procédure de destruction en urgence des fichiers » n'a été prévue par le décret, procédure qui permettrait « d'éviter qu'il puisse être utilisé comme un fichier des étrangers pour des fins non voulues par les autorités nationales. »77° 769 L'application Réseau Mondial Visas 2 met en lien le fichier des demandes, délivrances et refus de visas, le fichier central d'attention, le fichier consulaire d'attention, le fichier des répondants signalés, le fichier des titres de voyage répertoriés, le fichier des demandes de carte de commerçant, le fichier des interventions et le fichier du suivi du contentieux. Il consulte par ailleurs le SIS (arrêté du 22 août 2001 portant création d'un traitement informatisé d'informations nominatives relatif à la délivrance des visas dans les postes diplomatiques et consulaires, JO du 14 septembre 2001). 77° Délib. n°2007-195 du 10 juillet 2007. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 273 FNAD et ELOI et l'annulation pour excès de pouvoir de l'arrêté de 2006 Qu'en est-il des « étrangers sollicitant un titre de séjour, ou en infraction relativement au normes régulant l'entrée et du séjour des étrangers, ainsi qu'aux « bénéficiaires de l'aide au retour »71, dont la loi Debré avait permis le recueil d'empreintes? Un arrêté du 3o juillet 2006 réalise cette possibilité, en instaurant avec l'aval de la CNIL le fichier ELOI, visant à « faciliter l'éloignement des étrangers »772. Entre autres mesures, le fichier enregistre la « photographie numérique » de « l'étranger en situation irrégulière » ainsi que sa « filiation complète » (en particulier le « nom, prénom et date de naissance des enfants », pourtant inexpulsables773). Cet arrêté fut toutefois annulé pour excès de pouvoir par le Conseil d'Etat en février 2007, seul un décret en Conseil d'Etat pouvant établir un tel fichier74. La Cour relevait notamment que le fichier comportait « une photographie d'identité des intéressés », l'arrêté n'ayant d'ailleurs pas suivi l'avis de la CNIL qui préconisait de préciser qu'aucun « dispositif de reconnaissance faciale » ne serait instauré. Dans son communiqué de presse, la Cour précisa qu' « aux termes du code, dans la rédaction que lui a donnée la loi du 26 novembre 2003, un tel décret est en effet nécessaire pour définir les modalités de fonctionnement des traitements automatisés comprenant à la fois des empreintes digitales et des photos d'identité, mais aussi pour des traitements ne comportant que l'une ou l'autre de ces deux données. »75 Tel qu'interprété par la Cour, les art. L611-3 et 5 du CESEDA accordent aux fichiers contenant les photographies d'identité des étrangers le même statut que la loi de 1978 accorde aux traitements biométriques ou aux traitements opérés pour le 771 Extension introduite par la loi n° 2007-1631 du 20 novembre 2007 (art. 62) 772 La CNIL (délib. n°2007-110 du 24 mai 2007) ne s'oppose guère à l'enregistrement non seulement des étrangers en situation irrégulière, mais aussi de l'hébergeant lorsque celui-ci est assigné à résidence, ainsi que des « visiteurs d'une personne étrangère placée en centre de rétention administrative », mesure qui suscite l'indignation des associations de défense de droits des étrangers et des droits de l'homme. Les hébergeants étaient par ailleurs fichés en vertu de l'art. L211-7 du CESEDA et du décret n°2005-937 du 2 août 2005 (le Conseil d'Etat ayant rejeté le recours déposé contre ce décret le 26 juillet 2006, décision n°285714 publiée au recueil Lebon). Pour ELOI, cf. arrêté du 30 juillet 2006 relatif à l'informatisation de la procédure d'éloignement par la création d'un traitement de données à caractère personnel au sein du ministère de l'intérieur, publié au JO le vendredi 18 août 2006 (la date n'étant pas innocente) 773 La « filiation », définie par le Code civil, désigne pourtant un rapport familial ascendant, et non descendant. Cf. par ailleurs Perrotet, Serge, « Le fichage des étrangers faisant l'objet d'une mesure d'éloignement a été institué », Le Village de la justice, 8 janvier 2008. T74 CE (2007), Section du contentieux sur le rapport de la 10 ème sous-section, Séance du 7 février 2007 - Lecture du 13 mars 2007 , n°297888,297896,298085 - (GISTI) et autres - SOS RACISME - SYNDICAT DE LA MAGISTRATURE 775 CE (2007), « Le Conseil d'État annule l'arrêté créant le fichier Eloi », communiqué de presse. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 274 compte de l'Etat contenant des « données sensibles ». En raison de la formulation du CESEDA, on ne saurait dire que cette protection s'accorde à tout fichier contenant des photographies d'identité; elle n'en demeure pas moins intéressante. Le fichier ELOI est donc re-créé par le décret du 26 décembre 2007, qui lui ajoute une finalité statistiquen6, notamment afin d'évaluer l'effectivité des mesures d'éloignement, mais se restreint aux « étrangers faisant l'objet d'une mesure d'éloignement ». Contrairement à l'avis de la CNIL, le décret ne mentionne pas que « les résultats issus des requêtes statistiques ne doivent pas permettre d'identifier les personnes »777. Les données, qui comportent notamment la photographie d'identité, le numéro ADGREF et les données concernant les enfants, sont en principe conservées trois mois après l'éloignement effectif, sinon trois ans. Toutefois, certaines d'entre elles « peuvent être conservées jusqu'à l'expiration d'une période de trois ans » (R611-28 CESEDA): il s'agit notamment de la plupart des données « relatives à l'étranger » permettant son identification (nom, prénom, ainsi que ceux des parents et des enfants, numéro ADGREF, photographie d'identité, etc.), des données « relatives à la mesure d'éloignement », des données concernant une éventuelle « soustraction à l'exécution d'une mesure d'éloignement » ainsi que d'éventuels recours contentieux, et des données relatives à la demande de laisser-passer consulaire. Il est précisé qu'aucun dispositif de reconnaissance faciale ne sera établi. Les visiteurs des CRA ne sont plus fichés: la CNIL ne s'y était pourtant pas opposée, l'opposition des associations de défense des étrangers et des droits de l'homme ayant sans doute été plus déterminante dans la suppression de cette mesure du projet de décret. Tout comme pour ce qui regarde la biométrie à l'école, on note ici que des organisations politiques, ici associatives, « doublent » parfois la CNIL sur son propre terrain. 776 Décret n° 2007-1890 du 26 décembre 2007 portant création d'un traitement automatisé de données à caractère personnel relatives aux étrangers faisant l'objet d'une mesure d'éloignement et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile, publié le 30 décembre 2007, à nouveau à une date stratégique. 777 Délib. n°2007-110 du 24 mai 2007 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 275 La Cimade, le GISTI, IRIS et la LDH déposèrent un nouveau recours contre ce décret le 28 février 2008778. Ils soutenaient notamment que le décret aurait du être pris en consultation avec le Conseil national de l'information statistique (CNIS), en vertu de la loi de 1951 et du décret n°2005-533 relatif au CNIS779 et affirmaient aussi que la nationalité devrait être comptée au rang des « données sensibles ». Au contraire, la CNIL considère aujourd'hui qu'il s'agit d'une « donnée objective » ne relevant donc pas de cette catégorie'$°; elle a pu cependant, dans le passé, considérer que « l'information relative à la nationalité des personnes peut indirectement faire apparaître leur origine raciale »781. De plus, les requérants remarquaient que « le décret ne spécifie aucune mesure relative à ces statistiques, à leur établissement, à leur encadrement, ni à leur utilisation »782 et que cette nouvelle fonction conduit à une confusion, « voire à un détournement de finalité », le CESEDA n'ayant nullement prévu l'établissement de statistiques à partir d'un tel fichier. L'inclusion du numéro ADGREF permet aussi, soulignaient-ils, une interconnexion des fichiers, non prévue par le décret, et qui, le cas échéant, soumettrait le décret à l'autorisation de la CNIL. D'autre part, l'inclusion d'une mention concernant la « nécessité d'une surveillance particulière au regard de l'ordre public » ne serait pas justifiée selon les requérants, non plus que l'inclusion des données concernant les enfants, qui risquerait de stigmatiser ceux-ci en tant qu'enfants de « sans-papiers » et d'hypothéquer leurs chances d'obtenir plus tard un titre de séjour783. 778 Deuxième recours conjoint de la CIMADE, du GISTI, d'IRIS et de la LDH pour l'annulation du fichier ELOI et Mémoire en réplique des associations au mémoire du ministère de l'Intérieur (15 septembre 2008): cf. http://www.iris.sgdg.org/actions/fichiers/index.html T79 Loi n°51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques et décret n° 2005-333 du 7 avril 2005 780 « L'adresse, la nationalité et le lieu de naissance ne sont pas considérés par la CNIL comme des données « sensibles » au sens de l'article 8. En effet, l'information sur le lieu de naissance de la personne fait partie de l'état civil et est considérée comme une donnée « objective ». La Commission porte cependant une attention particulière au traitement des données relatives à la nationalité et au lieu de naissance dans les fichiers, la pertinence de leur collecte devant être dûment justifiée, au cas par cas, par le responsable du traitement. »(Debet, Anne (2007), « Mesure de la diversité et protection des données personnelles », rapport de la CNIL, p.12). 781 Délib. n°88-120 du 8 nov. 1988 (Fichier des personnes recherchées) 7$2 Souligné dans le recours. 783* Le Conseil d'Etat a depuis statué sur ce recours, rejetant la majorité des requêtes des associations; seules l'inscription du numéro ADGREF et la durée de conservation de trois ans de certaines données ont été jugées contraires aux principes d'adéquation, de pertinence et de proportionnalité. Cf. CE, 30 décembre 2009, n°312 031, 313 760, SOS Racisme, GISTI & al., et commentaire de Serge Slama, « Eloi du plus fort: invalidation très partielle du fichier des étrangers en instance d'éloignement (CE, 3o décembre 2009, SOS Racisme, Gisti et a.) », http://combatsdroitshomme.blog.lemonde.. r/2olo/01/o4/eloi-du plus fort-invalidation-tres-partielle-dufichier-des-etrangers-en-instance-deloignement-ce-3o-decembre-2009-sos-racisme-gisti-et-a/ Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 276 Par ailleurs, dans la continuité de l'arrêté de juillet 2006, un décret du 25 juillet 2007 créé un fichier relatif aux étrangers arrêtés aux frontières, dit « Fichier des non-admis » (FNAD) qui enregistre les « images numérisées de la photographie et des empreintes digitales des dix doigts » ainsi que « l'image numérisée de la page du document d'identité ou de voyage supportant la photographie du titulaire », couplées aux informations d'état civil, « complétée par l'identité des mineurs dont il est accompagné », du titre du voyage, du motif du refus d'entrée et de la « suite réservée à la procédure de non-admission »784. Pour les « besoins exclusifs des procédures administratives ou juridictionnelles de refus d'entrée sur le territoire et, le cas échéant, de maintien en zone d'attente des ressortissants étrangers mentionnés à l'article R. 611-18 », à savoir les demandeurs de visa par ailleurs fichés au VISABIO, d'autres données sont conservées pour une durée de 32 jours, en particulier les données de santé résultant « des examens médicaux relatifs à la compatibilité du maintien en zone d'attente ou à la détermination de l'âge de l'étranger »; données de santé non évoquées par l'avis de la CNIL délivré six mois plus tôt78 . Ecartant l'adjonction d'un dispositif de reconnaissance faciale, le décret n°20071136 précise par ailleurs qu'il vise à lutter contre l'immigration irrégulière « en facilitant l'identification des étranger qui, lors de leur contrôle à l'occasion du franchissement de la frontière à l'aéroport Roissy - Charles-de-Gaulle, en provenance d'un pays tiers aux Etats parties » à la convention de Schengen « ne remplissent pas les conditions » d'entrée. En vertu de la loi de 2006 sur le terrorisme, les services concernés ont accès à ces données. 784 Décret n° 2007-1136 du 25 juillet 2007 portant création d'un traitement automatisé de données à caractère personnel des ressortissants étrangers qui, ayant été contrôlés à l'occasion du franchissement de la frontière, ne remplissent pas les conditions d'entrée requises et modifiant la partie réglementaire du code de l'entrée et du séjour des étrangers et du droit d'asile (pris en Conseil d'Etat); * ce décret a été modifié par le décret n°2009-1483 du f décembre 2009, qui proroge l' « expérimentation » pour une durée de quatre ans et oblige à inscrire, le cas échéant, sur le fichier la mention de l'impossibilité de collecte des empreintes digitales. 785 Délib. n°2007-008 du 18 janvier 2007 portant avis sur le projet de décret pris pour l'application des articles L. 611-3 à L. 611-5 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant création du fichier des non-admis (FNAD) Il s'agit là d'une finalité fantasmatique, comme le remarque en termes plus mesurés la CNIL, puisque par définition, l'identification ne peut jouer que pour des personnes déjà fichées. Selon elle, « le principal intérêt du fichier résiderait donc dans la prévention et la détection des personnes commettant de nouveau une infraction aux règles d'entrée et de séjour des étrangers. En outre, l'identification de la personne requiert que les données d'identité associées aux empreintes relevées la première fois soient exactes. »786 Pour autant, la CNIL ne s'oppose pas au décret, et ne requiert aucun seuil d'âge minimum. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 277 786 Dé1ib. n°2007-008 du 18 janvier 2007 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 278 4.Du fichier dactyloscopique des demandeurs d'asile a la base de données Eurodac Le fichier dactyloscopique des demandeurs d'asile, dépendant de l'OFPRA (Office français de protection des réfugiés et des apatrides), créé par arrêté en 1989787, est, avec le FNAED, l'un des premiers systèmes biométriques autorisés par la CNIL. Enregistrant les empreintes digitales des deux médius, le fichier de l'OFPRA vise à prévenir ce qu'on appellera plus tard, dans le cadre de la Convention de Dublin, l' « asylum shopping », ou le fait de présenter plusieurs demandes d'asile sous des identités civile distinctes. Ce fichier est ainsi l'ancêtre d'EURODAC, qui poursuit la même finalité au niveau européen. A. LA MISE EN PLACE PROGRESSIVE DU FICHIER DACTYLOSCOPIQUE DE L'OFPRA: DE 1987 A LA CONVENTION DE DUBLIN EN PASSANT PAR LA LOI DEBRÉ En 1987, la CNIL avait émis un avis favorable avec réserves à la mise en place du fichier de l'OFPRA, « à titre expérimental », pour une durée de deux ans, expérience prolongé à nouveau pour deux ans en octobre 1989788. Elle notait en particulier le caractère anonyme du fichier, une table de concordance entre l'identité du demandeur d'asile et un numéro aléatoire permettant de relier l'empreinte au requérant. De plus, elle considérait que, puisqu'en cas de coïncidence entre les empreintes digitales prélevées lors de demandes distinctes, la personne serait simplement convoquée par l'OFPRA, le projet ne contredisait pas l'art. 2 de la loi de 1978, qui dispose qu' « aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé. » Enfin, elle émettait la réserve selon laquelle « en cas de circonstances exceptionnelles » la « destruction du système » devait être prévue 787 Arrêté du 28 juin 1989 (JO du ii juillet 1989, NOR: MAEF8910013A) et arrêté du 21 décembre 1989 (JO 8 janvier 1990, NOR: MAEF8910053A ). 788 CNIL, délib. n°87-106 du 3 novembre 1987 ; délib. n°89-110 du 10 octobre 1989 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 279 « sous forme d'instruction », réserve qui n'a pas été reprise par l'arrêté. Celui-ci fixait la durée de conservation à 5 ans, ce qui avait été exigé par la CNIL, et précisait la finalité du dispositif, limitée à la « détection des tentatives d'obtention frauduleuse du statut de réfugié » (art. 2), l'OFPRA en étant le seul destinataire (art. 5). L'arrêté précisait aussi que le « fichier ne [ferait] l'objet d'aucune cession ni d'aucune interconnexion » (art. 6). Sollicitée en 1991 par le directeur de l'OFPRA qui souhaitait obtenir une autorisation de mise en oeuvre définitive du fichier, la CNIL décida de procéder à une vérification sur place pour s'assurer que ses recommandations, émises lors des délibérations pré-citées, avaient bien été suivies789. A l'issue de cette visite, elle donna son aval à la mise en place permanente du fichier79°. Elle pris alors acte du fait que, le dispositif visant à la destruction du fichier en cas de circonstances exceptionnelles n'ayant pas été instauré lors de sa visite, le directeur de l'OFPRA lui avait transmis un « exemplaire de l'instruction interne de sécurité » visant à organiser cette procédure. Elle précisa aussi que « la durée de conservation ne [devrait] plus faire l'objet de publicité dans l'arrêté » afin de ne pas « fournir des indications aux auteurs de demandes multiples ». Aucun arrêté ne fut cependant publié. En 1995, elle autorisa l'augmentation de la durée de conservation des données de cinq à dix ans791. Un arrêté fut alors publié, abrogeant l'arrêté de 1989 tout en reprenant l'essentiel des dispositions antérieures, mais sans préciser, conformément aux indications de la CNIL, la durée de conservation des données792. En 1997, le projet de « loi Debré » prévoyait d'étendre l'accès au fichier de l'OFPRA et au FNAED, géré par le ministère de l'Intérieur, aux « agents expressément habilités des services du ministère de l'intérieur et de la gendarmerie nationale. »793 Le Conseil constitutionnel a cependant censuré la disposition permettant l'accès des forces de l'ordre, dans le cadre d'une mission de police administrative, au fichier détenu par l'OFPRA, lequel avait enregistré, depuis sa 789 CNIL, délib. n°92-o27 du 17 mars 1992 (vérification sur place ; fichier dactyloscopique des demandeurs du statut de réfugiés ; OFPRA) 79° Délib. n°92-052 du 26 mai 1992 791 CNIL, délib. n°95-126 du 24 octobre 1995 (demande modificative présentée par l'OFPRA relative à la durée de conservation des informations enregistrées dans le fichier dactyloscopique...) 792 Arrêté du 6 novembre 1995 portant création permanente d'un fichier informatisé des empreintes digitales des demandeurs du statut de réfugié, publié au JO du 14 novembre 1995. 793 Projet de loi portant diverses dispositions relatives à l'immigration, texte définitif adopté par le Sénat le 26 mars 1997 création, 200 00o profils794. Le Conseil a en effet considéré que « la confidentialité des éléments d'information détenus » par l'OFPRA « est une garantie essentielle du droit d'asile, principe de valeur constitutionnelle qui implique notamment que les demandeurs du statut de réfugié bénéficient d'une protection particulière ; qu'il en résulte que seuls les agents habilités à mettre en ouvre le droit d'asile, notamment par l'octroi du statut de réfugié, peuvent avoir accès à ces informations, en particulier aux empreintes digitales des demandeurs du statut de réfugié »795. Cette décision est intéressante en ce qu'elle répond clairement à un argument alors invoqué par le gouvernement, qui affirmait que l'inviolabilité des documents détenus par l'OFPRA, en vertu de la loi de 1952, ne s'appliquait qu' « aux récits des demandeurs d'asile et [à] tous les documents relatifs aux personnes dotées du statut de réfugié », mais non aux « empreintes des personnes ayant demandé le statut de réfugié et ne l'ayant pas obtenu. »796 Cela sous-entend que le gouvernement voulait imposer une distinction non seulement entre les réfugiés et les déboutés du droit d'asile, mais aussi entre les empreintes digitales et les récits biographiques. Le Conseil ne s'est pas prononcé sur cette distinction implicite entre empreintes et récits, mais uniquement sur le caractère inviolable des documents détenus par l'OFPRA, assimilant toutefois implicitement les empreintes enregistrées dans le fichier à des « documents ». Nonobstant la décision du Conseil, on remarque que dès 1991, le GISTI signalait l'utilisation illégale du fichier de l'OFPRA, indiquant ainsi qu'« au centre d'accueil des demandeurs d'asile de Réaumur Sébastopol, des interpellations au guichet sont pratiquées lorsque l'individu figure sur le fichier des personnes recherchées ou s'il a déposé plusieurs demandes d'asile sous des noms différents, mais qui s'avèrent -- grâce à la comparaison des empreintes digitales recensées dans un fichier informatique autorisé par la CNIL depuis 1990 -- correspondre au même individu. »797 Saisie d'un projet d'arrêté visant à mettre en oeuvre la Convention de Dublin de 1990 qui réglemente les critères utilisés pour déterminer l'Etat responsable d'une demande d'asile, notamment l'art. 15.2 concernant « l'identité du demandeur », la 794 Observations du gouvernement en réponse aux saisines du Conseil constitutionnel en date du 27 mars 1997, JO n°97 du 25 avril 1997. 795 Décision n° 97-389 DC du 22 avril 1997 (« loi Debré ») 796 Observations du gouvernement (1997), ibid. 7"7 GISTI, « Portes ouvertes dans quelques préfectures », Plein Droit n°15-16, novembre 1991. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 28o Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 281 CNIL autorise en 1998, un an après le traité d'Amsterdam prévoyant l'intégration des accords d'application de la Convention de Schengen au droit communautaire, l'échange inter-étatique des données dactyloscopiques concernant les exilés798. La procédure prévoit que les données envoyées par un Etat-tiers soient adressées à la DLPAJ (Direction des libertés publiques et des affaires juridiques) du ministère de l'Intérieur, qui les transmet immédiatement, sans les enregistrer, à l'OFPRA, lequel les compare à son fichier, sans les enregistrer, et informe la DLPAJ du résultat obtenu (« connu » ou non). Ce dispositif vise à la confidentialité de ces informations, reconnue par le Conseil constitutionnel comme une garantie essentielle du droit d'asile. Le ler janvier 2000, l'arrêté du 9 décembre 1999 mettant en oeuvre ces dispositions est publié, reprenant pour le reste les dispositions antérieures, en particulier concernant la finalité du fichier et la non-connexion de celui-ci à d'autres. L'art. ler dispose désormais que les « empreintes digitales ne peuvent être utilisées qu'en vue de la détection des tentatives d'obtention frauduleuse du statut de réfugié ou de la détermination de l'Etat responsable du traitement d'une demande d'asile. »799 Ainsi, les informations détenues par l'OFPRA sont désormais partagées avec l'ensemble des Etats parties prenantes à la Convention de Dublin. 798 Dé1ib. n°98-o33 du 31 mars 1998 (projet d'arrêté ; OFPRA - empreintes digitales ; réfugié) 799 Arrêté du 9 décembre 1999 modif. l'arrêté du 6 novembre 1995 portant création permanente d'un fichier informatisé des empreintes digitales des demandeurs du statut de réfugié (JO, 01-01-00) B. LA MISE EN PLACE D'EURODAC « Depuis le 5 mai, 170 personnes ont été reçues aux permanences de la sous-préfectures, à raison de deux jours par semaine. Cinquante et une ont été identifiées par leurs empreintes digitales comme étant passées par les bornes Eurodac en Grèce et en Italie. Cinquante sept ont des empreintes effacées (les migrants se brûlent ou se coupent la peau des doigts en espérant ne pas être identifiés, ndlr). Trente et un ont reçu une autorisation provisoire de séjour, 29 sont déjà en Centre d'accueil pour demandeur d'asile. » Gérard Gavory, sous-préfet de Calais, 20 juillet 2009800. Le 11 décembre 2000, le Conseil européen décide par le règlement (CE) n°2725/2000 la création d'EURODAC qui vise à comparer les empreintes digitales des exilés en vue de « l'application efficace de la convention de Dublin »$O1 Officiellement, EURODAC, qui est le premier système automatisé d'identification des empreintes digitales (AFIS, Automated Fingerprint Identification System$O2) à être mis en place au niveau de l'Europe (l'UE ainsi que la Norvège, l'Islande et la Suisse), vise à prévenir la procédure de l'« asylum shopping », qui désigne le fait pour un demandeur d'asile de déposer une demande dans plusieurs Etats-membres de l'UE, afin d'augmenter les chances (infimes$°3) d'être admis. Il s'agit donc d'un système à finalité identificatrice, fonctionnant comme une « watch list », chaque empreinte d'un demandeur d'asile étant comparée avec le système central, pour s'assurer qu'une demande sous un autre nom ou dans un autre Etat n'ait pas été déposée auparavant par le demandeur. En cela, EURODAC, qui est opérationnel depuis 2003, ne fait que généraliser à l'échelle européenne le système mis en place par l'OFPRA dès 19871989. Toutefois, à la différence du fichier de l'OFPRA, EURODAC intègre aussi les empreintes des personnes appréhendées et non refoulées lors du franchissement 80° Reuters, « A Calais, les Afghans menacés de «retours forcés» », publié sur Libé-Lille, 20 juillet 2009: http://www.libelille.fr/saberan/2009/07/interview-souspr%C3%A9fet-de-calais.html 801 Règlement (CE) n°2725/2000 du Conseil du ii décembre 2000 concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin, publié au JOCF le 15 décembre 2000. 8°2 Le FBI possède une base similaire, IAFIS, et prévoit d'intégrer d'autres caractéristiques biométriques dedans (iris, tatouages, etc.). 803 73% des 193 690 demandes d'asile déposées en 2008 dans l'UE-27 ont été rejetées en première instance; 13% (soit moins de 25 000 demandes) ont été acceptées; 10% ont bénéficié de la protection subsidiaire, et 5% d'une autorisation de séjour pour des raisons humanitaires (EUROSTAT, « Demandes d'asile dans l'UE en 2008; Environ 20 000 demandeurs d'asile enregistrés chaque mois dans l'UE27 », communiqué de presse 66/2009, 8 mai 2009) . Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 282 irrégulier d'une frontière, et permet aussi la comparaison des empreintes d'étrangers interpellés en situation irrégulière. Si ces derniers sont identifiés, ils sont renvoyés dans l'Etat où ils ont effectué leur demande d'asile. De même, les personnes déposant une demande d'asile mais ayant été préalablement fichées lors d'une interpellation à la frontière sont renvoyées vers l'Etat les ayant interceptées, sans les avoir refoulées. Prévu par la Convention de Dublin, ce mécanisme vise à inciter l'ensemble des Etats à contrôler de près leurs frontières. Le système poursuit aussi une finalité statistique quant aux demandes d'asile, ce qui permet d'élaborer des rapports annuels chiffrant et localisant les demandes d'asile effectuées, les « demandes multiples », ainsi que le nombre de personnes interpellées lors d'un franchissement illégal de frontières (art. 3). Comme bien d'autres indicateurs de la « délinquance », il fonctionne ainsi comme un thermomètre de l'activité policière tout autant que des « tendances en matière de demandes d'asile et d'entrées illégales », comme le présente la Commission européenne. Enfin, la Commission a proposé en septembre 2009 d'étendre l'accès à EURODAC aux autorités en charge de la lutte contre le terrorisme et les « infractions pénales graves »8°4. La proposition de modification du règlement EURODAC affirme ainsi: «Lorsqu'une personne soupçonnée d'avoir commis un acte de terrorisme ou une autre infraction pénale grave a été enregistrée dans le passé comme demandeur d'asile, mais qu'on ne trouve, dans aucune autre base de données, des données la concernant, ou bien seulement des données de caractère alphanumérique (lesquelles peuvent être inexactes, par exemple si la personne en question s'est présentée sous une fausse identité ou qu'elle a produit des documents falsifiés), les informations biométriques contenues dans EURODAC constituent peut-être les seules informations disponibles pour l'identifier. »805 Ainsi, lorsque les échanges de données dactyloscopiques prévues par le traité de Prilm n'ont rien donné, il pourrait être fait appel au système EURODAC (art. 3). La nouvelle proposition de règlement indique expressément que ces données ne 8o4 « La Commission entend renforcer la lutte contre le terrorisme et autres infractions pénales graves en autorisant les services répressifs à consulter les empreintes digitales des demandeurs de protection internationale », Bruxelles, 10 sept. 2009, IP/o9/ 1295 8o5 Proposition modifiée de règlement du Parlement européen et du Conseil concernant la création du système EURODAC pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) n° [.../...] (COM(2oo9) 344, accessible sur http://www.statewatch.org/news/2oo9/sep/eu-com-eurodac-lea-access-fr.pdf) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 283 devraient pas être échangées avec des Etats tiers, afin de parer aux craintes des demandeurs d'asile que l'Etat qu'ils fuient puisse y avoir accès, et que des statistiques devraient être élaborées concernant le « nombre de comparaisons effectuées à des fins répressives » ainsi que le « nombre de résultats positifs » (cons. 21 et art. 3 et 6): en d'autres termes, afin de savoir si les demandeurs d'asile constituent « une population à risque ». Par ailleurs, elle devrait remplacer le terme « demandeur d'asile » par « demandeur de protection internationale », incluant ainsi les demandes de protection subsidiaire et non seulement celles visant à obtenir le statut de réfugié. EURODAC est constitué d'une unité centrale, hébergée par la Commission européenne, dont les frais de fonctionnement se sont élevés en 2008 à plus de 600 00o euros8o6. Les autorités nationales en charge des procédures d'asile disposent d'un point d'accès national à cette unité centrale, dans laquelle sont stockées les empreintes digitales. Le système n'enregistre que les empreintes digitales, associées à un numéro de dossier, ainsi qu'au sexe de la personne: les noms ne sont pas enregistrés. Il est divisé en trois sous-systèmes, correspondant chacun à une catégorie d'étrangers, la durée de conservation des données et l'usage de celles-ci différant. Dans tous les cas, l'âge minimal pour la prise d'empreintes est fixé à 14 ans. 8°6 Publication du rapport annuel de 2008 sur EURODAC, Bruxelles, 25 sept. 2009, MEMO/o9/414 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 284 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 285 Tableau des catégories d'étrangers utilisées par EURODAC
Les empreintes des étrangers interpellés alors qu'ils sont en situation irrégulière sur le territoire (catégorie 3) sont comparées aux empreintes des personnes ayant déposé une demande d'asile (catégorie i) mais ne sont pas enregistrées. S'il est identifié, il est alors renvoyé dans l'Etat où il a effectué sa demande d'asile. Cette comparaison s'effectue en particulier si le sans-papier « n'indique pas l'Etat membre » dans lequel il a effectué sa demande d'asile ; s'il s'oppose « à son renvoi en faisant valoir qu'il s'y trouverait en danger » ; « s'il fait en sorte d'empêcher d'une autre manière son éloignement en refusant de coopérer à l'établissement de son identité, notamment en ne présentant aucun document d'identité ou en présentant de 8°7 Une proposition amendée par le Parlement européen en mai 2009 vise à inclure l'acquisition d'un permis de séjour de longue durée parmi les circonstances permettant l'effacement des données des demandeurs d'asile (Résolution législative du Parlement européen du 7 mai 2009 sur la proposition de règlement du Parlement européen et du Conseil concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) n° [.../...] [établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride] (refonte) (COM(2oo8)0825 -- C6-o475/2008 -- 2008/0242(COD)) . 8°8 La nouvelle proposition de règlement prévoit de réduire cette durée à un an. faux documents d'identité » (art. ii). En 2008, cette fonction a été utilisée 75 919 fois, soit 17,6% de fois plus qu'en 2007, selon le rapport Eurodac 20088°9. L'application des mesures concernant EURODAC a été précisée, en France, par la circulaire du ministère de l'Intérieur du 31 décembre 2002$10. Désormais, les empreintes digitales de tous les doigts sont prises, et non plus simplement de deux doigts. Ceci est rendu nécessaire afin d'éviter les « fiches inexploitables » en raison de l'agrandissement de la base de données, et donc de la population concernée. Le même système de relevé d'empreintes est pratiqué par tous les Etats membres afin de faciliter les comparaisons, la Commission européenne proposant un modèle de fiche décadactylaire (cf. image ci-contre$11). Des bornes numériques de relevé d'empreintes, coûtant chacune 5o 000 euros, ont été mises en place dans les préfectures faisant face à un grand nombre de demandes d'asile. Ainsi, EURODAC concerne tout autant les demandeurs d'asile que toute personne dans les Etats ayant commis une infraction constatée à la législation sur les étrangers participant à la Convention de Dublin (c'est- Projet de fiche Eurodac à-dire, au 31 décembre 2008, tous les Etats d'empreintes digitales K EMPREINTES ROULÉES 1. Pouce dr.t 2. Index d'oit 3. medws drort Annulaire droit membres de l'UE, plus l'Islande, la Norvège et la
Suisse$12). La jonction de ces deux, finalités (faciliter
l'harmonisation des procédures d'asile et lutter contre l'immigration
irrégulière) est considérée par nombre d'auteurs et
d'associations comme AIN .GALCHE l'immigration irrégulière, elle-même EMPREINTES DE CONTRÔLE GALICH DROIT 8°9 Publication du rapport annuel de 2008 sur EURO] 81° Circulaire du 31 décembre 2002, NOR/INT/D/o2/ Accessible sur http://www.interieur.gouv.fr/sections/a votre service/lois decrets et circulaires/2002/INTDo200 219C.pdf/downloadFile/file/INTD0200219C.pdf?nocache=1159264324.19 811 Annexe 2 du Règlement (CE) n°407/2002 du Conseil du 28 février 2002 fixant certaines modalités d'application du règlement (CE) n°2725/2000. 812 Ou Dublin II, selon le Règlement (CE) n°343/2003 du Conseil du 18 février 2003 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres par un ressortissant d'un pays tiers. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 286 assimilée dans nombre de textes officiels aux dangers représentés par le « terrorisme ». Cela seul justifierait de s'arrêter un moment sur l'utilisation, dans ce cadre, de la biométrie. En effet, ces technologies s'appliquent ici à des personnes qui affirment fuir les persécutions dont elles sont victimes dans leur pays, et revendiquant donc le droit aux protections accordées aux réfugiés. Il s'agit par conséquent de personnes privées de la protection juridique accordée par leur Etat, et qui, pour bénéficier du statut de sujet de droit, doivent s'en remettre soit à des organismes internationaux tels le HCR (Haut-Commissariat de l'ONU pour les réfugiés8l3), soit, en l'espèce, aux autorités des Etats signataires de la Convention de Dublin. Le droit international et communautaire accorde à ces personnes un certain nombre de droits, mais, du fait de leur fragilité et de leur histoire, celles-ci se trouvent dans un état de faiblesse tel qu'il est difficile de faire valoir ces droits. Conjuguée à leur appréhension en tant que possibles « fraudeurs » et amalgamés aux « immigrés clandestins », c'est-à-dire aux personnes soupçonnées ou jugées responsables d'une infraction au droit des étrangers, qui eux-même sont amalgamés aux dangers du « terrorisme », ceci fait de ces personnes en état de faiblesse extrême (après H. Arendt, G. Agamben parle de « vie nue ») des personnes potentiellement très « dangereuses ». La conjonction de ces deux facteurs, « faiblesse » et « dangerosité », d'autant plus que la lutte contre le terrorisme représente un enjeu de sécurité nationale légitimant un certain nombre d'exceptions au regard du droit commun, transforme ces personnes en cibles idéales d'expérimentation de procédures d'identification, de la même façon que les nomades, en France, puis les étrangers, ont été les premiers assujettis au port de la carte d'identité obligatoire (du carnet anthropométrique pour ces derniers). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 287 813 Cf. Michel Agier et Jérôme Valluy, « Le HCR dans la logique des camps », in Olivier Le Cour Grandmaison, Gilles Lhuilier, Jérôme Valluy (dir.), Le retour des camps ? Sangatte, Lampedusa, Guantanamo..., Paris : Autrement, 2007, p. 153-163 C. LA QUESTION DE L'ÂGE: ÉTAT CIVIL ET CONTRÔLES MÉDICAUX Comme les autres systèmes biométriques, EURODAC pose un problème juridique et éthique, concernant l'âge des personnes contraintes de se faire prélever les empreintes digitales. Toutefois, s'agissant d'exilés pouvant être dénués de papiers, et donc de tout document d'état civil prouvant leur âge, EURODAC est impliqué dans une boucle identificatrice: il faut pouvoir déterminer l'âge de la personne, souvent dénuée de tout document d'identité en raison de son statut, avant de pouvoir légalement prélever ses empreintes, qui serviront à son identification ultérieure. A défaut de déterminer l'état civil du sujet, il faut d'abord déterminer son âge, ce qui n'est pas sans poser de problèmes. Le second rapport du Contrôleur européen de la protection des données (CEPD) concernant EURODAC, de juin 2009, met précisément l'accent sur ce point$14. Il s'intéresse aussi à la mise en oeuvre du droit d'information et du droit d'accès et de rectification aux données, prévus par l'art. 18 du règlement (CE) n°2275/2000 (« règlement EURODAC») ainsi que par la directive 95/46/CE, qui, citée par le règlement, intervient en tant que lex generalis. Nous nous intéresserons ici cependant davantage à la question de la détermination de l'âge. Les articles 4, 8 et 11 du règlement EURODAC disposent en effet que les empreintes digitales des mineurs de plus de 14 ans, appartenant aux catégories de personnes sus-mentionnées, doivent être prélevées et enregistrées dans l'unité centrale. Pour appliquer cette règle, les autorités nationales doivent donc estimer l'âge des personnes interpellées. Qu'elles soient dépourvues, pour la majorité, de papiers d'identité émis par leurs autorités, ou que les autorités nationales parties prenantes à Dublin jugent leur fiabilité trop faible, les agents en charge de cette estimation ne peuvent donc s'appuyer sur l'état civil des personnes. Les moyens les plus souvent utilisés sont donc, en premier lieu, des examens médicaux divers, et, en second lieu, les déclarations elles-mêmes des personnes. Dans certains Etats membres (non majoritaires), la déclaration prévaut sur les autres modes d'estimation de l'âge815, et, en cas de doute, peut être considérée comme vraie (in dubio pro). 814 Eurodac Supervision Coordination Group Second Inspection Report, 24 juin 2009. 815 Ibid., p.18 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p.288 Seuls 5 Etats membres n'utilisent pas d'examens médicaux dans cette procédure8i6. Deux de ces Etats s'appuient uniquement sur les estimations faites par l'officiel en charge de la demande (le plus souvent un agent des forces de l'ordre). Ces examens peuvent inclure des entretiens avec des docteurs et des psychiatres, un examen visuel par des spécialistes, des examens dentaires, sanguins, radiologiques ou encore des « tests de développement sexuel ». Ils sont souvent combinés à d'autres modes d'estimation, tels que le recueil de données de recensement ou d'autres documents pertinents$17. Techniquement, les examens médicaux ne parviennent qu'à donner une estimation approximative de l'âge, avec des marges d'erreur de plusieurs années (pour les rayons X, une marge d'erreur de deux ans)818. Juridiquement, la procédure du relevé d'empreintes pour ces mineurs est assujettie à la Convention européenne des droits de l'homme et à la Convention des Nations Unies sur les droits de l'enfant (dont l'art. 3 mentionne « l'intérêt supérieur de l'enfant »; l'art. 16 défend le droit à la vie privée (« privacy ») de l'enfant, et l'art. 22 traite des dispositions spécifiques s'appliquant aux mineurs requérant le statut de réfugié). S'ajoutent à ces deux conventions les « guidelines » du manuel du HCR sur les procédures et les critères pour déterminer le statut de réfugié sous la Convention de 1951 et le Protocole de 1967 relatif au statut des réfugiés, qui, bien que n'ayant pas « force de loi », sont d'importantes « sources de droit »819. L'art. 197 de ce manuel souligne la difficulté pour les demandeurs d'asile d'apporter des preuves de leur situation réelle et de leurs besoins; l'art. 203 leur accorde le « bénéfice du doute » en cas de preuves insuffisantes; et l'art. 214 insiste sur le « degré de développement mental et de maturité » en tant que critère permettant de considérer qu'un mineur puisse jouir du statut de réfugié. En d'autres termes, cet article s'oppose à la détermination d'un âge objectif fixe, au profit d'une « maturité » plus flexible selon les personnes, dépendant, selon l'art. 216 de ce manuel, du « contexte personnel, familial et culturel ». Dans le cadre de l'examen de l' « amendement Mariani » à la loi Hortefeux, le Comité consultatif national d'éthique a pu également insister sur l'importance de la prise en compte de la « maturité » de l'enfant, plutôt que de s'arrêter au simple « âge biologique », « physiologique » ou « juridique ». Pour le CCNE, l' « âge réel » ne se réduit en effet ni à la fiction juridique établissant celui-ci 816Ibid., p.17 817Ibid., p.18 818 Ibid., p.21 819Ibid., p.16 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 289 d'autorité, ni « à une image, une mensuration ou une manifestation d'un développement pubertaire »820. En outre, la directive du Conseil n°2005/85 du ler décembre 2005, concernant les standards minimums des procédures dans les Etats-membres pour accorder et retirer le statut de réfugié, énonçait plusieurs dispositions spécifiques pour les mineurs. Si cette directive ne s'applique pas directement à EURODAC, puisqu'elle concerne d'abord l'ensemble du cadre juridique relatif à l'examen des demandes d'asile, elle peut être considérée, selon le rapport conjoint du CEPD et des autorités nationales de protection de données personnelles, comme une « source d'inspiration ». Ce rapport insiste sur le fait que l'art. 17 de cette directive permet, sans obliger, l'examen médical à des fins de détermination de l'âge. Celui-ci est assujetti à une information du sujet, à son consentement, à « l'intérêt » de l'enfant et au fait que le refus de consentir à un tel examen ne doit pas forclore l'examen de la demande d'asile. Ces examens peuvent représenter une intrusion dans la vie privée et contre l'intégrité des personnes, et doivent donc être réglementés de façon claire et accessible, selon la jurisprudence de la Cour européennes des droits de l'homme au sujet de l'art. 8 protégeant la vie privée$21. Les médecins, en particulier, soulignent non seulement l'inexactitude relative de ces examens, mais aussi leur caractère potentiellement traumatisant pour ces mineurs en situation de vulnérabilité, les manquements possibles à l'éthique médicale dans le fait d'utiliser à des fins administratives des procédures médicales, et leur effet potentiellement nocif. Ces deux derniers points concernent en particulier les examens radiologiques, producteurs de radiations plus graves que l'échographie ou l'IRM$22. Nonobstant la variété des examens utilisés selon les Etats, et donc la disparité de traitement des demandeurs d'asile mineurs selon les Etats, le rapport préconise ainsi l'abandon pur et simple de ce seuil de 14 ans utilisé pour le relevé des empreintes digitales dans EURODAC, d'autant plus que, pour ce qui concerne les procédures générales d'asile, le seuil de 18 ans est utilisé. Etant donné que le règlement Eurodac vise à l'implémentation du règlement Dublin II, « il n'y a pas de lien entre l'objectif de 82° CCNE, avis n°88 « sur les méthodes de détermination de l'âge à des fins juridiques », 23 juin 2005. 821 Ibid., p.20 822 Ibid. , p.22 290 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. faciliter l'application des règles de Dublin et le prélèvement des empreintes digitales d'enfants de moins de 18 ans. »$~3 Ces prises d'empreintes ne correspondent ni au principe de nécessité, ni au principe de proportionnalité, selon le CEPD et les autorités nationales de protection des données. Si cette mesure n'était pas suivie, le rapport préconise a minima la prohibition des examens médicaux « invasifs », c'est-à-dire contrevenant au droit à la vie privée. La détermination de ce qui constitue un examen non invasif reste ouverte; du moins, les examens radiologiques sont considérés par un Etat-membre comme contrevenant au droit à l'intégrité$24. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 291 823 Ibid., p.22 824 Ibid., p.18 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 292 5. L'identité biométrique, des étrangers aux citoyensDe l'expérimentation concernant le Fichier automatisé des empreintes digitales (FNAED) et le fichier dactyloscopique de l'OFPRA à la constitution de bases de données européennes visant l'ensemble des étrangers, à des fins de contrôle de l'immigration mais aussi dans une optique de lutte contre le terrorisme, thème sécuritaire qui justifie aussi l'encartement biométrique de l'ensemble des citoyens demandant un passeport et, bientôt, probablement, une carte d'identité, le chemin parcouru depuis 1984, date à laquelle la CNIL autorisa l'expérimentation concernant le FNAED, suffit amplement à accréditer la méfiance des organisations de défense des droits de l'homme à l'égard des fichiers, mettant en avant le risque important de « détournement de finalité » (function creep). La règle, en effet, veut qu'un fichier créé pour un usage précis, encadré par la législation, soit progressivement, à la faveur des réformes, étendu à d'autres usages. Ainsi, en un peu plus d'une décennie, sous l'effet à la fois du durcissement de la politique nationale d'immigration et de l'établissement d'une politique européenne concernant l'immigration et le droit d'asile, menée dans le cadre d'abord de la Justice et des Affaires intérieures (JAI), puis de la « coopération judiciaire et pénale », le fichier de l'OFPRA a vu la durée de conservation de ses données doubler, en 1995, puis être utilisé à des fins de comparaison avec les données recueillies par d'autres Etats membres de la Convention de Dublin (arrêté du 9 décembre 1999), procédure systématisée par la mise en place du système EURODAC, qui inclut désormais, aux côtés des demandeurs d'asile, tous les étrangers de plus de 14 ans appréhendés à l'occasion du franchissement illégal d'une frontière, tandis que les empreintes digitales de tout étranger en situation irrégulière peuvent être comparées aux demandes d'asiles déjà effectuées. Symbolique, parce que révélateur d'une tendance à englober le droit d'asile dans une politique générale de l'immigration, la mise en place progressive du fichier de l'OFPRA et d'EURODAC dévoile aussi le rôle ambigu des instances juridiques ou « para juridiques », du Conseil constitutionnel, lors de l'examen de la « loi Debré », aux autorités de protection des données: tout comme la CNIL en ce qui concerne les dispositifs biométriques de contrôle d'accès, ces Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 293 instances régulent et encadrent l'usage de ces systèmes biométriques tout en légitimant, sur le fond, leur existence. Aussi les questions principales abordées par les autorités de protection des données, G29, CEPD, CNIL, etc., sont-elles celles du respect de certaines garanties: droit d'accès, notamment, mais aussi durée de conservation des données, degré d'interconnexion possible, seuils d'âge, mesures à prendre concernant les personnes qui ne peuvent, par incapacité physique, avoir leurs caractéristiques biométriques enrôlées par le système, etc. Le respect des instruments juridiques de protection des données personnelles, fondés sur quelques grands principes (proportionnalité, finalité, etc.) dont l'interprétation est partagée entre ces autorités de protection et les instances dirigeantes (qui diffèrent, dans l'Union européenne, selon que l'on est dans le cadre du ier pilier ou du 3e pilier), conduit ainsi à l'éclatement de ces systèmes d'information (ainsi, en France, VISABIO, FNAD, ELOI, fichier de l'OFPRA, FNAED, TES pour les passeports biométriques, etc.). Des passerelles sont toutefois aménagées entre ces systèmes (le SIS II, tout comme, en France, le Fichier des personnes recherchées, étant consulté dans nombre de cas), tandis que le thème de la sécurité a conduit à accorder un accès de plus en plus large à l'ensemble de ces fichiers non seulement aux autorités en charge de la lutte contre le terrorisme, mais aussi à celles en charge de la prévention et de la répression des « infractions pénales graves », catégorie élastique incluant aussi bien le « terrorisme » et les prises d'otage que le « trafic de stupéfiants » et l' « aide à l'entrée et au séjour irrégulier ». Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 294 D/ L'IDENTIFICATION PAR LE FACE-À-FACE,PAR L'ÉCRIT, ET PAR LA BIOMÉTRIE:L'APORIE DES CONTRÔLES D'IDENTITÉBien que facultative en France, la plupart des Français disposent d'une carte nationale d'identité. En effet, celle-ci se révèle quasi-indispensable lors de nombre de démarches administratives; elle constitue en outre un quasi-sésame lors d'un contrôle d'identité, procédure qui s'est largement banalisé depuis la loi « Sécurité et libertés » du 2 février 1981. En effet, le cadre juridique des contrôles d'identité, qui relevaient auparavant exclusivement d'une opération de police administrative$~5, s'est progressivement étendu, à la fois au sens d'une judiciarisation de l'interpellation, qu'elle relève de la police judiciaire ou administrative, et au sens d'une extension des possibilités d'effectuer des contrôles judiciaires et administratifs. Le jour n'est peut-être pas si loin où le contrôle d'identité se fera biométrique (projet VINSI826); à certains égards, il l'est déjà, comme le montre la procédure de vérification d'identité. Analyser la biométrie sous cet angle conduit à insister non pas sur les conséquences qu'elle aurait au regard du droit à la vie privée, mais plutôt envers la liberté d'aller et de venir, principe de valeur constitutionnelle827. Il convient donc d'analyser maintenant le cadre juridique de ces contrôles, non seulement eu égard aux systèmes biométriques qui ont progressivement été instaurés, mais aussi en les mettant en perspective par rapport à la logique de reconnaissance par le face-à-face, qui dominait les rapports sociaux avant l'encartement généralisé de la population. Il deviendra ainsi clair que non seulement l'identification par l'écrit ne s'est pas substituée à la reconnaissance visuelle, mais l'a 825 Cf. l'arrêt Friedel du 5 jan. 1973, qui place les contrôles d'identité, alors exclusivement considéré comme des opérations de police administrative, « sous contrôle » des juges judiciaires (Cass., crim., n°72-90278 , Bulletin Crim., Cour de Cass., Chambre crim. N. 7 P. 15), et qui précède ainsi la loi « Sécurité et libertés » qui « légalise » les contrôles. 826 « Vérification d'identité numérique sécurisée itinérante », programme de recherche mis en oeuvre par Thales (délib. n°2008-084 du 27 mars 2008, cf. supra, chap. III) 827 Conseil constitutionnel, arrêt du 12 juillet 1979 (Rec. 1979, p.31), cité in Concl. de l'avocat général Dontenwille, recueil Dalloz Sirey, 1985, 24e cahier (Cour cass., crim., 25 avril 1985, arrêt Bogdan et Vuckovic). Voir aussi Conseil d'Etat statuant au contentieux , 22 mai 1992, n° 87043, mentionné dans les tables du recueil Lebon (annulation circulaire du 28 nov. 1986 imposant un visa de sortie à certains étrangers) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 295 recouverte, de même que l'identification à distance s'est superposée aux relations sociales de proximité, mais que l'identification biométrique elle-même ne fait pas disparaître ces registres anciens de l'identification policière et administrative. Ce faisant, nous verrons que l'interpellation, moment sur lequel peut dépendre l'ensemble de la procédure judiciaire, mais aussi phase par excellence de l'activité de police, qu'elle soit judiciaire ou administrative, se double d'une interpellation première, effectuée dès la demande d'un «certificat d'identité » dans les locaux administratifs. Si Althusser avait pu utiliser, avec humour, l'interjection policière du « hé, vous, là-bas ! » comme scène théâtrale du processus d'interpellation constitutif du sujet$28, celui-ci sortant de son anonymat lorsqu'il se retourne pour obéir à l'injonction, ne pouvons-nous pas déplacer le « lieu » de cette interpellation (qui en vérité a toujours « déjà eu lieu », les individus étant « toujours-déjà des sujets ») pour la situer dès la phase d'enrôlement des caractéristiques biométriques, phase qui permet toutes les interpellations ultérieures, la personne étant alors, sinon « signalée », du moins « connue » de l'administration? La juxtaposition des logiques de face-à-face et d'identification par l'écrit, qui implique une superposition de l'identité physique, corporelle, médiatisée par son appréhension subjective ou sa description, et l'identité civile et juridique, médiatisée par les papiers, s'expose particulièrement dans ce qui apparaît comme une double contrainte contradictoire (« double bind »), selon laquelle le contrôle d'identité doit reposer « exclusivement sur des critères objectifs », sans « discrimination » et en excluant les critères d'apparence physique$29. Bien qu'elle ne soit pas nouvelle, ayant fait l'objet de débats lors de la Révolution française83°, l'intensité potentiellement aga Althusser, Louis (1970) « Idéologie et appareils idéologiques d'État. (Notes pour une recherche). », La Pensée, n°151, juin 1970. Republié in Positions (1964-1975), pp. 67-125. Paris : Les Éditions sociales, 1976, 172 pp. 829 Cf. Tchen, Vincent (2006) « Encartement et contrôles d'identité » in Xavier Crettiez & Pierre Piazza (dir.), Du papier à la biométrie, identifier les individus, Presses de Sciences-Po, p.139-168. 83O Ainsi, selon G. Noiriel, « Ducastel met parfaitement en valeur le « talon d'Achille » de la technologie des identités de papier telle qu'elle s'est développée jusqu'aujourd'hui. Puisque les éléments qui définissent l'identité légale d'une personne ne se voient pas, comment empêcher la police de se livrer au « délit de faciès » (...) sans imposer les contrôles d'identité à tous les citoyens (...) ? (...) cette question nous rappelle que, si la technologie des papiers d'identité a permis une immense économie du travail de surveillance policière, elle n'a pas supprimé le moment de l'interaction, du face-à-face, qui met aux prises l'individu soumis à ces entreprises identificatrices et le représentant de l'Etat qui est chargé de les appliquer. » (Noiriel, G., 1998 ; p.464 éd. Belin, 2001). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 296 explosive de cette tension entre deux logiques contradictoires, l'écrit et l'apparence, augmente en fonction de l'extension du cadre des contrôles d'identité, du durcissement de la politique de l'immigration831, ainsi que de l'intégration régionale de l'Europe, perçue comme un continent « blanc »832. Un magistrat a ainsi obtenu, non sans peine, le droit d'écrire que « les contrôles d'identité au faciès sont non seulement monnaie courante, mais se multiplient »833. Enjeu stratégique en ce qui concerne la politique de l'immigration, puisque 94 % des étrangers placés en rétention administrative le sont à la suite de contrôles d'identité834, ces derniers doivent en effet obéir aux logiques contradictoires de la « politique du chiffre » tout en respectant les normes encadrant les contrôles d'identité. Or, celles-ci tentent elles-mêmes de respecter la contradiction entre le principe républicain de la citoyenneté, qui fait abstraction de toute origine ethnique, et le fait de relever des « signes extérieurs d'extranéité », seule façon d'introduire le critère de l'apparence et du signalement dans le droit sans pour autant conduire à des discriminations fondées sur le physique ou le corporel. Le droit tente ainsi de concilier l'interdiction de « toute discrimination » d'une part, et des contrôles d'identité généralisés et discrétionnaires d'autre part, à la possibilité de contrôler la régularité de la présence d'immigrés sur le sol national, mesure qui relève de la police administrative, le droit des étrangers ressortissant des mesures de police835. Le juge judiciaire est toutefois compétent pour statuer sur l'irrégularité, invoquée par l'étranger, de l'interpellation ou de la garde à vue836. Seuls « des critères objectifs » doivent donc guider la pratique des vérifications des titres de séjour, vérification qui 831 En particulier à partir de la loi « Sécurité et Liberté » du 2 février 1981, qui introduit le « contrôle d'identité administratif». Les contrôles de titre de séjour étaient effectués en vertu du décret de 1946 (cf. entre autres Joulin, 011iver (2009), « Contrôles d'identité et chasse à l'étranger », Plein droit, n°81, juillet 2009). 832 Torpey, John (2000), op. cit.,, p.194: « l'un des effets les plus importants de l'intégration régionale en Europe a consisté à inciter les personnes chargées de la surveillance des frontières nationales à renforcer l'attention portée aux différences raciales ». 833 Syndicat de la magistrature (2009), « L'affaire « vos papiers ! » : un marathon judiciaire pour la liberté d'expression », 17 juin 2009 (lien vers les arrêts et l'avis du procureur général de la Cour de cassation). 834 Statistiques du Ministère de la Justice citées par Joulin, 011ivier (2009), art. cit. 835 L'art. 6-1 de la Convention européenne des droits de l'homme (droit à un procès équitable) ne s'applique pas en matière de contentieux des mesures d"éloignement des étrangers (C.E.D.H., Gde. Ch., 5 oct. 2000, Maaouia c/ France, Bull. inf. C. cass. 2000, n° 1256.). 836 Cour cass., arrêts Bechta, Mpinga, et Massamba du 28 juin 1995 (cf. S. Trassoudaine, « L'intervention judiciaire dans le maintien des étrangers en rétention administrative et en zone d'attente », BICC, n°hors-série, juin 2001) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 297 peut conduire à une identification de la personne837. Soulignons au passage qu'en droit, un dépositaire de l'autorité publique ne peut, à strictement parler, commettre de « discrimination » lors d'un contrôle d'identité, mais tout au plus une « irrégularité »838. Il faut donc d'abord établir de façon objective le statut étranger de la personne avant de pouvoir établir de manière également objective qu'elle est en infraction eu égard au droit des étrangers. C'est cette « double détermination » qui suscite des contentieux: selon la Cour de cassation, « la seule question véritablement posée par la notion de discrimination concerne-t-elle l'interpellation, et donc l'identification préalable de l'étranger par les forces de police »839. Il existe en droit deux manières d'établir « objectivement » l'extranéité de la personne: s'attacher à des « signes extérieurs d'extranéité », lorsqu'il s'agit d'un « contrôle de réglementation », ou bien la découvrir de façon fortuite et accidentelle à la suite d'un « contrôle de sécurité », judiciaire ou administratif, poursuivant une autre finalité84o Toutefois, cette deuxième solution se heurte à une aporie : comment déterminer qu'une personne est étrangère et donc procéder à un contrôle de la régularité de sa 837 DC n°93-325 du 13 août 1993, à propos de l'art. 5 de la « loi Pasqua » (n°93-1027). Selon le Conseil constitutionnel, « la mise en oeuvre des vérifications [des titres de séjour] ainsi confiées par la loi à des autorités de police judiciaire doit s'opérer en se fondant exclusivement sur des critères objectifs et en excluant, dans le strict respect des principes et règles de valeur constitutionnelle, toute discrimination de quelque nature qu'elle soit entre les personnes. » 838 Ceci a été rappelé par le procureur général de la Cour de cassation lors de l' « affaire Schouler », du nom du magistrat ayant écrit Vos papiers! Que faire face à la police? et poursuivi pour diffamation. Cf. Syndicat de la magistrature, art. cit., et art. 432-7 du Code pénal: « La discrimination définie à l'article 225-1, commise (...) par une personne dépositaire de l'autorité publique (...) est punie (...) lorsqu'elle consiste : 1° A refuser le bénéfice d'un droit accordé par la loi ; 2° A entraver l'exercice normal d'une activité économique quelconque. » Dès lors, a priori, seul des contrôles d'identité répétitifs entravant l'exercice normal d'une activité économique pourraient être doté d'un caractère discriminatoire. 839 « Alors que l'État s'est, de tout temps, reconnu des prérogatives de haute police sur les étrangers, dictées par des considérations d'ordre public, et plus récemment, de maîtrise des flux migratoires, en vue d'assurer le cas échéant le contrôle et l'éloignement du territoire national de ces ressortissants, ainsi que leur rétention temporaire pour l'exécution de cette mesure, l'examen de la situation administrative et/ou pénale des étrangers en situation irrégulière sur le territoire national postule la nécessité d'une double détermination, tenant d'une part, à la qualité d'étranger -- et non de citoyen ressortissant de l'État -- de l'intéressé, et d'autre part, au caractère irrégulier de l'entrée ou du séjour de l'étranger sur le territoire national. Aussi, dans les contentieux civils ou répressifs auxquels cela donne lieu, la seule question véritablement posée par la notion de discrimination concerne-t-elle l'interpellation, et donc l'identification préalable de l'étranger par les forces de police. Et, à cet égard, le juge judiciaire doit nécessairement se prononcer sur toute irrégularité, invoquée par l'étranger, de la vérification ou du contrôle d'identité dont il a été l'objet, car tout vice l'affectant retentit sur l'ensemble des actes subséquents. » (rapport 2008 de la Cour de cassation -- nous soulignons). 84o Nous utilisons ici la distinction adoptée par Vincent Tchen (2006). présence alors même qu'elle a prouvé son identité sans pour autant exposer sa nationalité, puisque tout justificatif d'identité peut être présenté ? Une telle aporie n'a cependant pas suscité, semble-t-il, de contentieux, ceux-ci portant sur le moment de l'interpellation lui-même, et non sur le passage du contrôle d'identité effectué en vertu de l'art. 78-2 du Code de procédure pénale au contrôle du titre de réglementation. Par ailleurs, la distinction entre « contrôle de réglementation », régi pour ce qui nous concerne par le CESEDA, et les contrôles de sécurité, régis par le Code de procédure pénale, tend à s'estomper841. On peut même considérer qu'il est « vain » de « tenter une trop subtile distinction » à cet égard, puisque ces deux actes consistent « bien à « interpeller », au sens étymologique du terme, une personne jusque-là anonyme, en un lieu public », conduisant ainsi à son identification et à une restriction de sa liberté d'aller et de venir842. Ces contrôles obéissent à une « logique en cascade »: en cas de contentieux, la Cour peut examiner d'abord, selon les arguments invoqués par les parties, si le contrôle pouvait avoir été effectué dans le cadre du contrôle de réglementation, donc s'il y avait des « signes extérieurs d'extranéité » autorisant celui-ci. Si ce n'est pas le cas, elle examinera alors s'il eut pu être effectué dans le cadre du contrôle judiciaire, qui requiert des « indices » ou « raisons plausibles » de soupçonner une infraction imminente (art. 78-2 al.i). Si ce n'est pas le cas, elle examinera alors s'il eut pu être effectué dans le cadre administratif de la prévention d'une « atteinte à l'ordre public » (art. 78-2 al. 3)843. Le contrôle sur réquisition du procureur de la République (art. 78-2 al. 2) obéit à une autre logique, puisqu'il dépend de l'autorité judiciaire et couvre une zone déterminée. Nous examinerons donc les contrôles dans cet ordre, en laissant pour la fin la question de la vérification de l'identité. 841 Cf. Tchen, V. (2006) 842 Conclusions de l'avocat général Dontenwille, recueil Dalloz Sirey,1985, 24e cahier. Jurisprudence (Cour cass., crim., 25 avril 1985). 843 Cf., pour un exemple d'une telle argumentation à double détente, Cour d'appel Lyon, 4e ch. A, 19 avril 1994, Min. pub. c/ M...: « l'interpellation était dès lors légalement fondée sur les dispositions de l'art. 78-2, al. 1 (...) Attendu au surplus, que la rédaction de l'art. 3 de cet article, résultant de la loi n°93-992 du 10 août 1993, permet le contrôle de toute personne, quel que soit son comportement, pour prévenir une atteinte à l'ordre public (...) Que dès lors, les motifs justifiant le contrôle sont réels et pertinents, au sens d la décision du Conseil constitutionnel du 5 août 1993 » (et note de Gérard Blanc, Jurisclasseur, « procédure pénale. Art. 78-1 à 78-5 », fasc. 10, par Jacques Buisson). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 298 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 299 1. Les contrôles de réglementationLes contrôles des titres de séjour, auparavant permis par les décrets du 18 mars 1946 et du 3o juin 1946, et aujourd'hui effectués en vertu de l'art. L611-1 du CESEDA, sont des contrôles de réglementation, à l'instar des contrôles des titres de transport, du permis de chasse ou de conduire, ou encore des livrets de circulation. Si la personne contrôlée est en infraction à la législation sur les étrangers (ILE), le contrôle peut se prolonger en vérification de son identité. Inversement, un contrôle d'identité « classique », effectué en vertu du Code de procédure pénal, peut, depuis 1986, se prolonger en contrôle de réglementation: tout étranger peut être tenu de présenter, en sus d'une preuve de son identité, ses titres de séjour. Ceci révèle, selon N. Ferré, « la finalité première des contrôles d'identité »844: la répression de l'immigration illégale. Contrairement aux autres contrôles de réglementation, les contrôles de titre de séjour visent une catégorie spécifique d'individus, les étrangers, en principe non détectable à l'oeil nu (contrairement à un automobiliste ; relevons que la catégorie des personnes devant porter sur soi un livret de circulation n'est pas non plus détectable à l'oeil nu845). Cela pose un problème évident de discrimination, qui a conduit la Cour de cassation, par une création prétorienne de 1985, à affirmer que le contrôle du titre de séjour effectué en-dehors du « contrôle de sécurité » prévu par le Code de procédure pénale ne pouvait s'effectuer que « lorsque des éléments objectifs déduits de circonstances extérieures à la personne même de l'intéressé sont de nature à faire apparaître celui-ci comme étranger »846. Suivant les conclusions de l'avocat général Dontenwille, qui considérait que « dissocier le contrôle reviendrait à faire éclater la 844 Ferré, Nathalie (1997), « Une obsessionnelle présomption de clandestinité », Plein droit, n°35, septembre 1997 845 Elle concerne les individus n'ayant pas de domicile fixe depuis plus de six mois: il faut donc départager les individus entre ceux ayant un domicile fixe et les autres, et ensuite entre les « S.D.F. » l'étant depuis moins de six mois et les autres. Il s'agit-là, encore, d'une double détermination qui ouvre la porte à une discrimination possible. 846 Cour cass., crim., 25 avril 1985 (arrêts Bogdan et Vuckovic). Cf. Trassoudaine (2001). 300 notion unitaire des droits de l'homme », et qui soulignait déjà que l'interpellation était le « soutien lui-même de toute l'action publique engagée », en étant son « point de départ »847, l'arrêt de la Cour place donc les contrôles de titres de séjour et le choix opéré par les agents entre contrôle réglementaire et contrôle de sécurité sous l'appréciation du juge judiciaire -- qui apprécie non la nature du contrôle effectué en fait, mais sa description faite dans le procès-verbal (l'art. 78-2 al.7 du CPP impose au policier de mentionner les motifs du contrôle), qui fait foi jusqu'à preuve du contraire. Qu'est-ce donc qu'un « signe extérieur d'extranéité » ? En l'espèce, la Cour avait considéré qu'être passager d'un véhicule immatriculé à l'étranger constituait un tel élément objectif et extérieur (arrêt Bogdan). Plus tard, comme l'a souligné la circulaire du 21 février 2006848, la Cour de cassation a pu exclure l'usage d'une langue étrangère des « critères objectifs »849, En revanche, le contrôle d'étrangers revendiquant publiquement leur statut de « sans-papiers » a été jugé régulier85°. 847 Ibid. 848 Circulaire du 21 février 2006 relative à aux conditions de l'interpellation d'un étranger en situation irrégulière, garde à vue de l'étranger en situation irrégulière, réponses pénales. CRIM 2006 05 E1/2102-2006. NOR : JUSD0630020C (Bulletin officiel du ministère de la justice, n° 101 (ier janvier au 31 mars 2006) 849 Civ. 14 déc. 2000, req. N° 99-20089 (citée par la circulaire du 21 fév. 2006); cf. aussi Civ. 2, 25 nov. 1999, pourvoi n° 98-50.045, M. Demingha c/ préfet de la Moselle (inédit) (cité par Trassoudaine, 2001). 85° Civ. 2e, 12 nov. 1997 , req. N°96-50070, bull. ciu. II, n° 269, p. 158 (il s'agit d'un arrêt donné à l'occasion de l'évacuation de l'Eglise Saint-Bernard) ; Civ. 2e, 14 juin 2005 ; req. n° 04-50068 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 301 2.Les contrôles de sécuritéDe même, la police peut procéder à un contrôle d'identité d'un étranger dont elle a auparavant reçu la photographie, annexée à la copie de la décision préfectorale l'obligeant à quitter le territoire: la personne est alors considérée « connue »851 La reconnaissance visuelle, ici, ne procède pas d'une relation d'interconnaissance, mais du relevé photographique de la personne préalablement effectué. La photographie permet alors d'identifier la personne, identification préalable nécessaire à l'acte d'interpellation. La numérisation des photographies d'identité, qui permet leur conservation et leur transmission rapide, permet ainsi d'étendre les circonstances dans lesquelles le contrôle d'identité est jugé régulier. Dans le cadre du contrôle de sécurité (art. 78-2 CPP), le contrôle ne vise en principe que l'identification de la personne. Il peut relever soit de la police administrative (il vise alors à « prévenir » une menace à l'ordre public852), soit de la police judiciaire (il vise alors à poursuivre les auteurs d'un trouble ou d'une infraction ou qui se préparaient à commettre une infraction). Un contrôle de police administrative peut toutefois se transformer en contrôle de police judiciaire (si une infraction est relevée lors d'un contrôle institué à titre préventif, la personne sera poursuivie). L'art. 78-2 distingue quatre types de contrôles: le contrôle faisant suite à un indice ou « une ou plusieurs raisons plausibles » accréditant l'imminence d'une infraction 851 Civ. 2, 25 nov. 1999, pourvoi n° 98-50.045, M. Demingha cl préfet de la Moselle (inédit). Le requérant affirmait non seulement que le contrôle était irrégulier au regard de l'art. 8 de l'ordonnance du 2 nov. 1945, mais aussi que les juges n'avaient pas « répondu à ses conclusions faisant valoir que les informations ayant servi de base au contrôle d'identité provenaient d'un fichier illégal. » La Cour d'appel a considéré qu'en étant « destinataires d'une copie de la décision préfectorale invitant M. Y... à quitter le territoire national, à laquelle était annexée une photographie de celui-ci connaissaient l'intéressé comme étant susceptible d'être en infraction au regard de la législation » sur les étrangers, et que donc la « procédure d'interpellation était régulière sur le fondement tant de l'article 78-2, alinéa ier, du Code de procédure pénale que de l'article 8, alinéa 3, de l'ordonnance du 2 novembre 1945 modifiée ». La Cour de cassation a donc rejeté le pourvoi, sans examiner l'argument du « fichier illégal ». 852 Disposition introduite par la loi « Sécurité et liberté » du 2 février 1981. (al. 1); le contrôle sur réquisition du procureur de la République (al. 2); le contrôle préventif (al. 3); et le contrôle aux frontières (al. 4 et 5). A. LES CONTRÔLES ADMINISTRATIFS (OU PRÉVENTIFS)Depuis la loi du 10 août 1993, les contrôles administratifs, introduits par la loi de 1981, visant à « prévenir une atteinte à l'ordre public » (art. 78-2 al.3), peuvent être effectué sur toute personne, « quel que soit son comportement »853, et même si la personne contrôlée n'a aucun lien avec les infractions précédemment relevées dans le secteur854. Mais selon la réserve d'interprétation du Conseil constitutionnel, « l'autorité concernée doit justifier, dans tous les cas, des circonstances particulières établissant le risque d'atteinte à l'ordre public qui a motivé le contrôle » (DC n°93323). Le juge judiciaire est de plus appelé à contrôler cette appréciation des circonstances, ainsi que, « s'il y a lieu, le comportement des personnes »855. De manière générale, il considère le contrôle régulier s'il s'effectue dans un périmètre restreint, et que suffisamment d'éléments sérieux et concrets, recensés dans cette zone, sont mentionnés dans le procès-verbal: le métro en général ne constitue pas un tel périmètre restreint, pas plus que la place du Capitole, à Toulouse à 14h30856. 853 « L' identité de toute personne, quel que soit son comportement, peut également être contrôlée, selon les modalités prévues au premier alinéa, pour prévenir une atteinte à l'ordre public, notamment à la sécurité des personnes ou des biens. » Cf. note de Gérard Blanc, JCP 1995 II 22494 (au sujet de l'arrêt de la Cour d'appel de Lyon, 19 avril 1994). 854 Cour cass., 2e chambre civile, 26 avril 2001, préfet de police de Paris c. Hamdi. 855 « qu'ainsi il revient à l'autorité judiciaire gardienne de la liberté individuelle de contrôler en particulier les conditions relatives à la légalité, à la réalité et à la pertinence des raisons ayant motivé les opérations de contrôle et de vérification d'identité ; qu'à cette fin il lui appartient d'apprécier, s'il y a lieu, le comportement des personnes concernées » (DC n°93-323) 856 Cf. Cour cass., crim., 4 oct. 1984, et conc. de l'avocat général Dontenwille et note de M. Roujou de Boubée (Dalloz, 1985): l'ensemble du métro n'est pas un « lieu déterminé » où la sûreté des personnes est constamment menacée. Un procès-verbal ne mentionnait que... le plan Vigipirate, ce qui a conduit à la nullité du contrôle (Civ. 2,18 mars 1998, Bull. n° 94, p. 57, M. Zhou c/ préfet de Police de Paris). Cf. aussi Crim., 17 déc. 1996, n°96-82-829, Bull. crim. 1996 N° 470 p. 1366 : la Cour d'appel a justifié sa décision en constatant l'irrégularité du contrôle d'identité d'un prévenu (par la suite déféré pour comparution immédiate pour entrée ou séjour irrégulier), le procès-verbal se bornant à une référence abstraite à de « nombreuses infractions » commises sur le lieu de l'interpellation (place du Capitole, Toulouse, 14h30) sans invoquer aucune circonstance particulière à l'espèce pouvant établir la réalité du risque d'atteinte à l'ordre public. 302 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. B. LES CONTRÔLES SUR RÉQUISITION DU PROCUREUR 303 Le contrôle sur réquisition du procureur de la République est autorisé sur « toute personne, dans les lieux et pour une période de temps déterminée » par ce dernier, dispensant ainsi la police de motiver les contrôles (art. 78-2-2). L'autorité judiciaire vérifie alors que le contrôle a bien été opéré dans les lieux définis857.
Un « contrôle judiciaire » (78-2 al. i) peut être effectué s'il y a « une ou plusieurs raisons plausibles de soupçonner » que la personne se préparait à commettre une infraction, délit ou crime, « ou qu'elle est susceptible de fournir des renseignements utiles à l'enquête » ou qu'elle « fait l'objet de recherches ordonnées 857 Cf. par ex. Civ. 2, 4 fév. 1998, Bull. N°43, p.27: la Cour de cassation considère qu'un contrôle effectué dans le métro alors que la réquisition du procureur ne visait qu'un terrain en surface était effectivement irrégulier. 858 Civ. 1, 25 mars 2009, n°08-11587, Bull. 2009, I, n° 68 859 Cass., crim., 3 mai 2007, req. N°07-81331, Bulletin criminel 2007, N° 117 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. par l'autorité judiciaire ». C'est donc sur cette notion de « raisons plausibles » que se concentre les contentieux866 Interprétant la notion d' « indices » (avant qu'elle ne soit remplacée en 2003 par celle de « raisons plausibles »861), une circulaire évoquait alors comme exemples « le comportement anormal de la personne » (en particulier le fait de fuir862); « la présence de la personne sur le lieu de l'infraction au moment où elle a été commise (...) »; « le fait qu'il existe contre une personne des éléments positifs montrant qu'elle a eu la possibilité matérielle de commettre l'infraction (...), alors qu'elle a déjà dans le passé été mise en cause, poursuivie ou condamnée pour des faits similaires »; ou encore « le fait que la personne avait des raisons plausibles de commettre l'infraction (par exemple elle vivait en mauvaise intelligence avec la victime (...)). »863 Nous avons là, déjà, une interférence entre le registre social du face-à-face et de la connaissance de proximité et le registre de l'identification par l'écrit: comment savoir qu'une personne a déjà été « mise en cause » dans le passé, notion s'approchant de l'expression « connue des services de police », sans l'avoir préalablement reconnue et identifiée? L'identification par l'écrit vise ici, de toute évidence, à confirmer l'opération de re-connaissance déjà effectuée sur le fondement de relations sociales. Or, celles-ci viennent parasiter l'ordre juridique du contrôle: si celui-ci vise à identifier une personne susceptible d'avoir commis ou tenté de commettre une infraction, les indices permettant de considérer qu'il y a effectivement des « raisons plausibles » de soupçonner tel individu incluent le fait qu'il soit « déjà connu » et 86° Contentieux nombreux. Le contrôle d'identité du passager d'un véhicule gênant la circulation est, entre mille exemples, régulier (Cass., civ. 1, 15 mai 2008, req. N°07-15361, non publié). 861 C'est la loi n°2003-239 sur la sécurité intérieure (« loi Sarkozy ») qui a remplacé la notion d' « indice » par celle de « raisons plausibles ». Cela avait provoqué de vives débats en raison du caractère large de la notion de « raisons plausibles », le sénateur R. Badinter déclarant par exemple: « C'est parce qu'il y a des indices qu'on a des raisons, mais si on fait disparaître les « indices », il ne reste plus que la subjectivité. Donc, je ne vois vraiment pas pourquoi nous devrions changer un concept connu de notre droit. » (séance au Sénat du 7 fév. 2002 - la modification avait alors été supprimée, avant d'être ré-introduite plus tard), ou Dreyfus-Schmidt (PS) : « Car des « raisons plausibles », cela peut être n'importe quoi, par exemple le délit de sale gueule . » (séance au Sénat du 14 nov. 2002) 862 Cependant, la Cour de Casssation a pu jugé que faire demi-tour, à la vue d'une patrouille anti-criminalité, pour rentrer dans une voiture garée devant la gare de Trappes, ne constituait pas un « indice » suffisant (Civ. 2,18 mars 1998, Bull. n° 93, p. 56, M. Ghouli c/ préfet des Yvelines). 863 Circulaire du 10 janvier 2002, « application des dispositions relatives à la garde à vue résultant de la loi du 15 juin 2000 renforçant la protection de la présomption d'innocence et les droits des victimes », Bulletin officiel du Ministère de la justice (BOMJ), n°85, janvier-mars 2002. 304 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. identifié: la reconnaissance visuelle n'est possible que parce que le sujet a antérieurement été identifié par son état civil. L'opération de contrôle tourne en boucle sur elle-même, les personnes déjà identifiées, c'est-à-dire ayant antérieurement été contrôlées, étant d'autant plus suspectes, parce que reconnaissables, et donc susceptibles d'être contrôlées. Il ne s'agit toutefois là pas seulement d'un fait sociologique, celui du contrôle des individus « connus des services de police », mais d'un phénomène propre à l'ordre juridique lui-même, qui inclut le registre de l'identification par le face-à-face, l'opération de reconnaissance visuelle, à l'intérieur du champ de l'identification écrite et du cadre du contrôle d'identité. La Cour de cassation a d'ailleurs confirmé un arrêt qui avait rejeté l'invocation de l'irrégularité du contrôle d'identité, au cours duquel les policiers avaient arrêté un étranger qu'ils « connaissaient » pour avoir diligenté à son encontre, antérieurement, une procédure ayant abouti à une reconduite à la frontière864. Elle juge aussi que les contrôles effectués en vertu de l'art. 78-2, lorsque la police avait reçue de la préfecture une photographie d'une personne en infraction à la législation sur les étrangers, étaient réguliers865. De même, elle a pu admettre les contrôles effectués en vertu d'un « signalement » préalable du « suspect », même si ce signalement provient d'une dénonciation anonyme866; des arrêts plus récents exigent toutefois que ces dénonciations soient corroborées867. Elle juge aussi « non 864 Crim., 7 févr. 1996, pourvoi n° 95-84.884, M. Arfaoui (inédit). Cf. aussi Cass., crim., 17 mai 1995 N° de pourvoi: 94-85231, Bulletin criminel 1995 N° 177 p. 492. S. Trassoudaine (2001) rapproche l'arrêt de 1996 précité de l'arrêt Demingha du 25 nov. 1999 (précité), ainsi que de celui où la Cour casse un « un arrêt qui avait prononcé la nullité du procès-verbal d'interpellation et de toute la procédure subséquente, alors que les agents de police judiciaire ayant procédé au contrôle d' identité de l'intéressé -défavorablement connu de leurs services, faisant l'objet d'une fiche de recherches et dont ils avaient constaté, à l'occasion de cette vérification, que, de nationalité italienne, il était recherché en exécution d'un arrêté d' expulsion du ministre de l'Intérieur- connaissaient celui-ci et pouvaient présumer qu'il commettait une infraction à la législation relative aux étrangers. » (Crim., 16 juill. 1996, Bull. crim. n° 298, p. 905, Procureur général près la cour d'appel de Grenoble c/ M. Pagano). 865 Cf. arrêt Demingha du 25 nov. 1999 précité. Cf. aussi Cass., civ. 1, 6 juillet 2005, req. N°04-50094, Bulletin 2005 I N° 310 p. 259 866 Outre les arrêts précités, cf. Cour cass., crim., 3o juin 1993 ,n°: 93-81923 (non publié): le pourvoi, rejeté, de Gambela Cardozo mettait pourtant en avant que le signalement (individu de « race noire » qui « "essayait de pénétrer dans les véhicules en stationnement ») provenait d'une dénonciation anonyme à la police. 867 Cass., civ. 1, 31 mai 2005, req. N°04-50033 , Bulletin 2005 I N° 234 p. 197 : une femme est dénoncée anonymement, par téléphone, pour infraction à la législation sur les étrangers, la dénonciation fournissant son état civil et son adresse; l'OPJ se rend à domicile, et effectue un contrôle d'identité, la personne lui donnant son passeport, sans visa, à la suite de laquelle une vérification au fichier national des étrangers confirme son irrégularité. « Mais attendu qu'une dénonciation anonyme non corroborée par d'autres éléments d'information ni confortée par des vérifications apportant des éléments précis et concordants ne constitue pas une raison plausible de soupçonner qu'une personne a commis ou tenté de commettre une infraction (...) Que c'est, en conséquence à bon droit, que, pour 305 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. déloyale » l'interpellation d'un étranger, sous le coup d'un arrêté d'expulsion, qui se présente « spontanément » (sans être convoqué) dans une préfecture pour obtenir un récépissé de titre de séjour; la Cour d'appel soulignant que l'homme était en l'espèce « parfaitement connu des services préfectoraux qui pouvaient facilement l'identifier » puisqu'il « avait coutume de se présenter spontanément tous les trois mois depuis l'expiration de son titre de séjour le 14 janvier 2004 pour obtenir la remise de récépissés », et que donc « l'agent préfectoral avait reconnu Monsieur X... et a pu le désigner aux services de police comme étant une personne en train de commettre une infraction ; que de ce point de vue, le contrôle d'identité est donc régulier de la part des policiers à qui Monsieur X... avait été présenté par un fonctionnaire de la Préfecture comme étant en infraction à un arrêté d'expulsion »868. prononcer la nullité du contrôle d'identité de Mlle X..., l'ordonnance retient que sur une dénonciation anonyme de sa présence à l'adresse indiquée, les fonctionnaires de police ont effectué un contrôle d'identité sur la personne qui leur a ouvert la porte, sans procéder à la recherche préalable de renseignements administratifs concernant l'identité de la personne dénoncée et que dans ces conditions, il n'existait pas, en l'état de la seule dénonciation anonyme et les premières vérifications administratives étant seulement postérieures au contrôle d'identité, des raisons plausibles de soupçonner que Mlle X... commettait le délit de séjour irrégulier en France » (nous soulignons). Cf. aussi Cass., crim., 20 juin 2007, req. N°06-89208, non publié; Cass., crim., 8 avril 2008, req. N°0787718 , non publié. 868 Civ. 1, 11 mars 2009, n° de pourvoi 07-21961, Bull. 2009, I, n° 51 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 306 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 307 3.La directive du 21 février 2006: l'orientation des contrôles sur des zones et l'effectivité du droit et des mesures de policeBien que tout étranger puisse être interpellé, à tout moment, afin de justifier la régularité de son séjour, le contrôle a posteriori des tribunaux s'effectuant à partir de la notion de « signe extérieur d'extranéité », les contrôles des titres de séjour (qu'ils soient menés en vertu de l'art. L6ii-i du CESEDA ou selon le Code de procédure pénale) ont tendance à se concentrer sur des zones déterminées, à l'instar des contrôles préventifs (art. 78-2-3), davantage que sur des individus. Ainsi, la circulaire du 21 février 2006, qui rappelait l'importance de la régularité dans l'interpellation afin de ne pas encourir le risque d'annulation de la procédure, conseillait de cibler les contrôles non pas sur des individus déterminés, ce qui obligerait à faire appel à l'appréciation subjective des forces de l'ordre du caractère « manifestement » étranger d'un individu, mais sur des zones ciblées: « les procureurs de la République feront procéder (...) aux interpellations aux guichets de la préfecture, au domicile ou dans les logements foyers et les centres d'hébergement ». Elle conseille aussi de profiter de la zone d'indétermination entre contrôle de sécurité et contrôle de réglementation: « les parquets devront [participer à la lutte contre l'immigration irrégulière] (...) notamment lorsque la procédure administrative ne sera mise en oeuvre qu'à l'issue d'une procédure judiciaire permettant le recours à la coercition et à la garde à vue, ou qu'il aura été fait application des dispositions » de l'art. 78-2-2 « pour organiser des opérations de contrôle ciblées, par exemple à proximité des logements foyers et des centres d'hébergement ou dans des quartiers connus pour abriter des personnes en situation irrégulière. »869 Ou encore, s'appuyant sur l'arrêt de la Cour de cassation concernant l'évacuation de l'église Saint-Bernard87° : « deux opérations de police, l'une de nature judiciaire préalable à l'expulsion locative, l'autre de nature administrative relative au contrôle des occupants des locaux au titre de la législation sur le séjour des étrangers, peuvent se poursuivre parallèlement. » 869 Nous soulignons. 870 Civ. 2e, 12 nov. 1997 (précité). Enfin, pour maximaliser le taux d' « exécution des décisions de reconduite à la frontière, il est recommandé de n'exercer l'action publique pour entrée et séjour irréguliers qu'envers les étrangers ayant aussi commis une autre infraction (...) justifiant l'engagement de poursuites ou à l'encontre de ceux faisant l'objet de recherches judiciaires ou de convocations en justice pour autres causes (...) le recours à des poursuites peut aussi être envisagé lorsqu'il est établi que la personne d'origine (sic) étrangère a pénétré sur le territoire national après avoir fait l'objet d'une procédure administrative de reconduite à la frontière. » De nouveau, le contrôle réglementaire se prolonge en contrôle judiciaire, non pas tellement afin d'identifier l'auteur d'une infraction, mais pour permettre son expulsion. Si la personne est revenue sur le territoire moins de trois ans après avoir fait l'objet d'une reconduite à la frontière, la plupart de ses données (état civil et numéro ADGREF, mesure d'éloignement, etc.) ont pu être conservées au fichier EL018711. L'accès à ELOI est certes, en principe, subordonné aux « besoins exclusifs des missions relatives aux procédures d'éloignement » (R611-31 CESEDA): la formulation de cette finalité ainsi que la durée de conservation des données indique cependant qu'il peut être utilisé après l'éloignement effectif si l'étranger revient sur le territoire, ce que la circulaire affirme clairement puisque comment établir, sinon, qu'il ait fait antérieurement l'objet d'une procédure de reconduite à la frontière? Derrière ce jargon administratif, qui ne parvient pas toujours à cacher la nature véritable de la politique engagée (on note le lapsus assimilant la « personne d'origine étrangère » à l'étranger), se révèle la tension entre les mesures de police visant les étrangers et le droit interdisant toute discrimination sur des critères physiques (ou d'origine ethnique). Cette tension est inhérente d'une part à une contradiction interne du droit, ce que soulignent les juristes, et en particulier à l'existence de deux régimes distincts de contrôle d'identité, l'un visant toute personne, l'autre visant les étrangers, l'un judiciaire, l'autre administratif. Toutefois, cette distinction ne saurait expliquer à elle seule la possibilité des discriminations; de plus, elle tend fortement à s'estomper, les deux registres étant utilisés indifféremment aux mêmes fins, comme le montre de façon éclatante cette circulaire du 21 février 2006 qui exige des procureurs de la 871 Cf. supra, chap. V, sec. 3, d. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 308 République qu'ils mettent en oeuvre leurs pouvoirs d'ordonner des contrôles d'identité en vue de la recherche d'infractions à la législation sur les étrangers. Une autre tension, ancienne, explique cette violence persistante et irréductible au droit: c'est celle qui oppose la reconnaissance visuelle, par le face-à-face, à l'identification par l'écrit, procédure administrative qui passe par l'encartement des citoyens, mais aussi des étrangers. Pour tenter de résoudre cette contradiction, c'est-à-dire poursuivre la même politique tout en satisfaisant les conditions juridiques sous-tendant les opérations, deux solutions sont retenues. D'une part, les contrôles d'identité ont été amenés à se concentrer sur des zones, c'est-à-dire des populations, plutôt que sur des individus. D'autre part, la possibilité de faire appel à des contrôles judiciaires est progressivement étendue (ainsi avec la loi de 1993 qui évacue le critère du « comportement », bien que la jurisprudence ait contrainte les agents à motiver l'interpellation, ou l'utilisation des contrôles sur réquisitions du procureur visant des infractions à la législation sur les étrangers). Toutefois, loin de réduire la tension contradictoire, cette tentative incroyable de viser les « étrangers en situation irrégulière » sans faire appel à leur apparence physique conduit au contraire à faire porter la charge politiquement explosive de ce « double bind » sur des quartiers entiers, quels qu'en soit la population. En tentant de respecter, pour des raisons cyniques, les règles de l'Etat de droit, les directives données à la police conduisent celle-ci à opérer ce que de nombreuses associations ont qualifiées de « rafles »872, en ciblant les contrôles sur des zones « suspectes », quitte à attiser la tension sociale873. L'effectivité des mesures de police est ici subordonnée au respect formel des règles régissant les contrôles d'identité, toute violation de celles-ci pouvant conduire à l'annulation de la procédure administrative. Il ne s'agit que de respect formel, en premier lieu parce que le contrôle de l'autorité judiciaire ne s'exerce pas sur l'acte lui-même, mais sur le compte-rendu qui en est fait par procès-verbal. Cela ne signifie pas qu'il ne s'agisse que de règles formelles n'ayant aucune effectivité réelle: au 872 Sur la polémique suscitée à l'égard de l'usage de ce terme, cf., entre autres, Blanchard, Emmanuel (2009), « Ce que rafler veut dire », Plein droit, n°81, juillet 2009; Terray, Emmanuel (2007), « 1942,2006, réflexions sur un parallèle contesté », site de la LDH-Toulon, 23 janvier 2007; 873 CNDS, avis n°2008-60, à propos de Montreuil: « La Commission estime que les contrôles qui se sont multipliés récemment tout en se rapprochant des nombreux foyers où résident des étrangers font peser une pression quotidienne en premier lieu sur tous les étrangers quelle que soit leur situation au regard de la loi, mais aussi sur des habitants de Montreuil qui en sont les témoins. » 309 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 310 contraire, non seulement elles peuvent mener à l'annulation de la procédure, mais de plus, elles ré-orientent les contrôles d'identité vers des zones déterminées, des espaces, plutôt que vers des individus. Le langage du droit n'est pas, ici, une pure fiction recouvrant l'arbitraire des mesures de police, mais affecte directement la nature des ordres donnés par circulaire874. Il conduit à ré-orienter l'action policière vers des zones, des « quartiers connus pour abriter des personnes en situation irrégulière ». Ce faisant, ce sont bien des « contrôles généralisés et discrétionnaires » qui se mettent en place, nonobstant les « garanties » judiciaires, et ce en toute légalité, puisqu'ils sont effectués sous l'autorité du procureur de la République ; mais ces contrôles, au lieu d'affecter la population entière, visent des espaces déterminés, où vivent certaines catégories de la population. Mais même à l'intérieur des zones visées par les réquisitions du procureur, les contrôles ciblent nécessairement certaines personnes plutôt que d'autres; cependant, ils n'ont plus à justifier de ce ciblage, la réquisition permettant le contrôle de toute personne (ce qui est aussi valable pour le contrôle administratif, où la personne contrôlée peut n'avoir aucun lien avec les infractions antérieurement commises sur le lieu, bien que l'autorité judiciaire contrôle néanmoins le motif de l'interpellation). 874 Sur l'importance des circulaires dans l'élaboration de la politique de l'immigration et de leur rapport au droit, cf. Israël, Liora (2003), « Faire émerger le droit des étrangers en le contestant, ou l'histoire paradoxale des premières années du GISTI », Politix. Vol. 16, N°62. 2E trimestre 2003. pp. 115-143. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 311 4. Une vérification biométrique de l'identité?Que ce soit dans le cadre du contrôle judiciaire ou administratif, le sujet contrôlé est tenu de faire la preuve de son identité « par tout moyen » (art. 78-2, al. 1), ce qui inclut tout justificatif d'identité, au sens large, que ce soit par un document comportant, ou non, une photographie (carte d'identité, passeport, permis de conduire, de chasse, carte d'étudiant, mais aussi carte Vitale, carte d'électeur, carte de donneur de sang, etc.) ainsi que la possibilité de faire appel à des témoins extérieurs. Certes, en cas d'insuffisance des preuves, une « vérification d'identité » peut être effectuée, sur place ou au commissariat. La carte d'identité n'étant pas obligatoire, l'appréciation de la nécessité de cette vérification est laissée à l'appréciation des forces de l'ordre. En droit, la possibilité même du contrôle pouvant être conditionnée au fait qu'il soit « déjà connu », circonstance qui fournit une « raison plausible », la procédure d'identification, a fortiori celle de vérification d'identité, peut être largement fictive. Depuis 1983, et surtout 1986, cette procédure peut inclure la prise d'une photographie de la personne et le relevé des empreintes digitale « après autorisation du procureur de la République ou du juge d'instruction », et ce « si la personne interpellée maintient son refus de justifier de son identité ou fournit des éléments d'identité manifestement inexacts (...) lorsque [ce relevé] constitue l'unique moyen d'établir l'identité de l'intéressé8 » (art. 78-3 CPP). 875 Nous soulignons. Ce faisant, la loi n°86-1004 « relative aux contrôles et vérification d'identité » alourdit notamment les procédures prévues par la loi n°83-466 du 10 juin 1983, qui avait posé comme principe général : « Les opérations de vérification d'identité ne peuvent donner lieu à la prise d'empreintes digitales ou de photographies. » La loi de 1983 avait admis comme seule exception à ce principe les cas où ce relevé anthropométrique était « impérativement nécessaire à l'établissement de l'identité de la personne interpellée » et était pratiqué « dans le cadre d'une enquête pour crime ou délit flagrant ou d'une enquête préliminaire ou d'une commission rogatoire ou de l'exécution d'un ordre de recherche délivré par une autorité judiciaire », et la soumettait à l'autorisation du procureur de la République ou du juge d'instruction (selon le cadre). La loi de 1986 a été entérinée par le Conseil constitutionnel, qui a précisé qu'elle n'était pas « contraire à la conciliation qui doit être opérée entre l'exercice des libertés constitutionnellement reconnue et les besoins de la recherche des auteurs d'infraction et de la prévention d'atteintes à l'ordre public, nécessaires, l'une et l'autre, à la sauvegarde de droits de valeur constitutionnelle. » (décision n°86-211 DC du 26 août 1986) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 312 A quoi ces empreintes sont-elles donc comparées? Depuis 1987876, avec le FNAED (Fichier automatique des empreintes digitales), où sont enregistrées les traces, et les empreintes dans certaines circonstances, lors d'enquêtes877, ainsi que les empreintes des prisonniers; depuis 2005, le FNAED comporte aussi empreintes palmaires et clichés anthropométriques$'$. Les officiers de police judiciaire (OPJ) ou l'autorité judiciaire doivent pour cela se référer au service d'identité judiciaire879. Par ailleurs, les empreintes relevées depuis 1987 lors d'une demande de carte d'identité peuvent aussi être comparées à celles relevées lors du contrôle s'il s'agit d'un contrôle judiciaire88°. Toutefois, lors de l'établissement de ce relevé en 1987, aucun fichier n'avait été constitué: ces empreintes sont donc conservées dans les dossiers individuels des demandeurs, ce qui complique leur utilisation à des fins d'identification judiciaire. Par ailleurs, la loi Debré a introduit la possibilité, en cas de contrôle réglementaire, de comparer les empreintes de l'étranger appréhendé au FNAED (L611-4 CESEDA). A partir de 2006, l'accès de BIODEV II, qui enregistre les empreintes de toute personne ayant demandé un visa (qu'elle l'ait reçu ou non), est aussi étendu aux OPJ des services de la Préfecture de police, des commissariats centraux de Lille, Lyon et Marseille, « individuellement désignés et spécialement habilités (...) pour des missions de vérification d'identité » dans le cadre de l'art. 78-2 876 Décret n°87-249 du 8 avril 1987 (FNAED). 877 Les traces sont relevées dans le cadre d'enquêtes pour « crime ou délit flagrant »; « enquête préliminaire »; « commission rogatoire » ou « exécution d'un ordre de recherche délivré par une autorité judiciaire » (art. 1); pour le relevé d'empreintes, pris dans un cadre identique, il faut des « indices graves et concordants » de « nature à motiver l'inculpation » ou celui-ci doit concerner une personne mise en cause dans une procédure pénale « dont l'identification certaine s'avère nécessaire »; le relevé des empreintes des détenus est aussi effectué pour « s'assurer » de leur « identité certaine » et « établir les cas de récidive » (art. 3). Depuis le décret n°21305-585, le FNAED comprend aussi les « empreintes palmaires ». De plus, l'art. 1 a été élargi aux enquêtes ou instructions pour « disparition inquiétante ou suspecte », tandis que l'art. 3 a été modifié pour autoriser, dans le cadre d'enquêtes précité, le relevé d'empreintes de personnes « à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteur ou comme complice, à la commission d'un crime ou d'un délit ». Conformément à l'art. 24 de la loi de sécurité intérieure de 2003, le FNAED comprend aussi « les traces et les empreintes digitales et palmaires transmises par des organismes de coopération internationale en matière de police judiciaire ou des services de police étrangers en application d'engagements internationaux. » 878 Décret n°21305-585 précité. Conservées 25 ans, les empreintes relevées lors d'enquêtes « peuvent être effacées à la demande de l'intéressé, lorsque leur conservation n'apparaît plus nécessaire compte tenu de la finalité du fichier. » (art. 8) 879 Décret n°87-249, art. 8. 88° Décret n°87-179, art. 2-al. 2 (transféré à l'art. 6 du décret n°55-1397 instituant une carte d'identité, par le décret n°99-973) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 313 et 78-3$$1. Rebaptisé VISABIO en 2007, l'accès à ce fichier est permis afin de
881 Décret n°2006-470 du 25 avril 2006 (art. 4) 882 Décret n°2007-1560 du 2 nov. 2007 883 Avant la loi n°2002-307 du 4 mars 2002, cela n'était possible que s' « il existe des indices faisant présumer qu'elle a commis ou tenté de commettre une infraction. » a84 Civ. 2, 28 juin 1995, Bull. n° 212, p.122, Mme Mpinga Mesu c/ préfet du Calvados. 88 S'il est contrôlé aux frontières avec des documents falsifiés ou usurpés. 886 Trassoudaine (2001): arrêt Mpinga précité; et, transposé à la zone d'attente, Civ. 2, 24 févr. 2000, pourvoi n° 99-50.002, M. Kamyntankeu Peteiam c/ ministre de l'Intérieur ; 24 févr. 2000, pourvoi n° 99-50.001, Mlle Akueson c/ ministre de l'Intérieur (inédits). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 314 5. Le « double bind » du contrôle d'identitéLe statut de l'étranger et du national se distinguent ainsi par l'injonction obligatoire faite à celui-là de prouver la régularité de son séjour, tandis que celui-ci peut, en droit, ne pas être titulaire d'une carte d'identité. En l'absence de celle-ci, il est pour le moins difficile de distinguer à l'aide de critères « objectifs » le national du non-national. Paradoxalement au regard des principes républicains, c'est donc, en partie, le droit français lui-même qui explique la possibilité de discriminations lors des contrôles, tout en n'évoquant l'apparence que pour la proscrire en tant que norme de référence88 . En d'autres termes, ce sont des stipulations juridiques contradictoires qui sont à l'origine de ce double bind ; mais celles-ci ne trouvent pas seulement leurs origines dans une incohérence juridique : plus profondément, elles révèlent la tension entre deux procédures d'identification distinctes, celle du face-à-face de celle de l'écrit. La directive européenne du 29 avril 2004 (art. 26888) subordonne d'ailleurs le caractère obligatoire du port du titre de séjour à celui du port de la carte d'identité: c'est peut-être à ce prix que pourrait se dissiper le « double bind »: l'identification obligatoire des étrangers ne peut être acquise, sans discrimination réelle, que par l'identification obligatoire des nationaux. Une telle mesure pourrait conduire, à son tour, à subordonner le contrôle réglementaire du titre de séjour au contrôle de sécurité. Or, non seulement les contrôles de réglementation sont plus facilement institués que les contrôles de sécurité, mais ces derniers reposent sur les principes constitutionnels de défense de la sécurité et de l'ordre public, lesquels doivent être équilibrés par le respect des libertés publiques (décision du Conseil constitutionnel du 25 janvier 1985). Les contrôles réglementaires de titres de séjour passeraient ainsi, indirectement, sous l'égide des principes constitutionnels de sauvegarde de l'ordre 887 Kouni, Geneviève (2004), « « Au regard des lois », le regard hors les lois », Communications, 2004, 75, 1. 888 Directive 2004/38/CE du 29 avril 2004 relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres: « Les États membres peuvent effectuer des contrôles quant au respect de toute disposition de la législation nationale imposant aux ressortissants étrangers d'être toujours en possession de l'attestation d'enregistrement ou de la carte de séjour, à condition d'imposer la même obligation à leurs propres ressortissants en ce qui concerne la carte d'identité. En cas de non-respect de cette obligation, les États membres peuvent imposer les mêmes sanctions que celles qu'ils appliquent à leurs propres ressortissants lorsqu'ils omettent de porter une carte d'identité. » Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 315 public et de défense des libertés publiques, les mettant sous le même statut que les contrôles de sécurité visant les individus circulant sur le territoire, indépendamment de leur nationalité. Cela conduirait-il à protéger davantage les individus contre les discriminations, comme semble le penser Tchen? En tout état de cause, cette mesure renouerait avec la logique classique de l'identification en négatif décrite par V. Denis889, logique portée à une nouvelle puissance par l'utilisation de la biométrie: tout le monde serait contrôlé afin d'isoler les personnes en infraction relativement à la législation sur les étrangers. De fait, la circulaire du 21 février 2006 montre que la politique actuelle pousse bien vers un « contrôle généralisé et discrétionnaire », seulement celui-ci, loin de s'appliquer à tout le territoire, s'effectue dans des zones précises, après autorisation du procureur de la République. En ce sens, il n'est pas « discrétionnaire », puisque relevant tout de même d'une autorisation préalable. Pourtant, au sein même des zones visées, les agents opèrent nécessairement une discrimination, au sens de distinction, des individus qu'ils contrôlent. Subordonnées au respect formel des règles de droit, les mesures de police s'orientent ainsi vers des zones « connues » pour abriter des populations étrangères, puis visent certains individus plutôt que d'autres. L'effectivité de la règle de droit conduit ainsi à l'orientation de la mesure de police en premier lieu vers des espaces: plutôt que d'opérer une double détermination entre étranger et national, puis entre étranger en situation irrégulière et étranger doté d'un titre de séjour, double détermination qui se heurte à l'aporie produite par la tension entre l'identité civile et juridique, matérialisée par un document écrit, et l'identité physique, re-connue à l'oeil, l'action policière opère, sous le contrôle a posteriori des juges, une double détermination entre zones « connues » pour leur forte présence d'étrangers, puis entre les étrangers en situation régulière et les autres. Comment s'insère alors l'identification biométrique dans ce contexte mêlant identification administrative et reconnaissance visuelle? L'essor des différents fichiers biométriques permet non seulement de vérifier de façon certaine l'identité de l'individu appréhendé lors d'une interpellation, mais permet aussi d'augmenter le champ des contrôles réguliers: l'administration disposant de photographies d'identité de tout un chacun, il lui suffit de joindre celles- 889 L'identification par le négatif, telle que décrite par V. Denis, consiste à attribuer des papiers à l'ensemble d'une population (par ex. des soldats) afin d'identifier les éléments, au sein de cette population, qui sont en infraction (par ex. les déserteurs). ci à un ordre de recherche ou à un arrêté de reconduite à la frontière pour que la personne puisse être « identifiée » par les forces de l'ordre, qui peuvent ainsi cibler de façon légale leur contrôle sans devoir justifier d'un « signe extérieur d'extranéité ». La photographie demeure donc un ressort important de l'action policière, en dépit de l'intervention des nouvelles technologies, de même que le fait d'être « connu des services de police » permet aussi d'orienter les contrôles de façon justifiée. Ainsi, les registres anciens d'identification conservent toute leur force, les nouveaux dispositifs, notamment d'empreintes digitales, intervenant lors de la phase de vérification d'identité. Toutefois, même l'usage de la photographie a évolué, non seulement sous l'effet de la numérisation et de l'usage conjoint de l'informatique et de la télématique, mais aussi par la multiplication des fichiers ou des « systèmes d'information » utilisant celle-ci. Le temps où la CNIL s'alarmait que l'Etat puisse recourir au « stockage de la photographie des Français »89O est bien révolu. En analysant maintenant les conséquences de l'arrêt S. et Marper contre Royaume-Uni de décembre 2008, nous allons voir dans quelle mesure le stockage des données biométriques peut être considéré comme légitime par la Cour européenne des droits de l'homme. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 316 890 Délib. n°8o-19 du 3 juin 198o précité (cf. chap. IV, section A) Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 317 E/ S. ET MARPER C. LE ROYAUME-UNI (2008) :LE COUP D'ARRÊT DE LA COUREUROPÉENNE DES DROITS DE L'HOMMEL'arrêt de la Cour de Strasbourg du 4 décembre 2008891, premier de ce genre, pourrait marquer un changement d'attitude parmi les juges qui ont, jusque-là et dans un climat sécuritaire, fait preuve d'une tolérance plutôt grande pour les bases de données biométriques892. La Cour a alors conclu à l'unanimité à la violation de l'art. 8 (droit au respect de la vie privée et familiale) par le Royaume-Uni en jugeant que la conservation des empreintes digitales, des profils ADN et des échantillons, qualifiées de « données personnelles » au sens de la Convention n°io8893, lorsqu'elle est générale et indifférenciée, constitue une atteinte disproportionnée au droit à la vie privée et contraire aux principes démocratiques. Le Royaume-Uni, qui a transposé la directive 95/46/CE par le Data Protection Act de 1998, détient non seulement la base de profils ADN la plus importante d'Europe, mais est aussi « le seul Etat membre à autoriser expressément la conservation systématique et illimitée des profils ADN et des échantillons cellulaires de personnes qui ont été acquittés ou pour qui les procédures judiciaires ont été suspendues » (§47) ainsi que le seul « à autoriser expressément la conservation systématique et illimitée à la fois des profils et des échantillons relatifs aux personnes condamnées » (§48) -- l'Ecosse ayant à ce sujet des règles plus strictes8 . Au ler septembre 2005, la base nationale d'ADN du Royaume-Uni contenait 181000 profils génétiques d'individus qui auraient eu droit à la destruction de leurs profils 891 CEDH, arrêt du 4 décembre 2008, S. et Marper c. Royaume-Uni, n° 30562/04 et 30566/04 (le jugement, dont nous traduisons quelques extraits, est en anglais). 892 Eric Posner et Adrian Vermeule, qui défendent un impératif de déférence et de soumission des juges vis-à-vis des décisions de l'exécutif en temps d'urgence et de crise, soulignent qu'une fois l'urgence passée, les juges reprennent souvent de leur aplomb et s'opposent alors à certains actes décidés par l'exécutif, rétablissant ainsi l'équilibre entre sécurité et liberté. Cf. Posner, Eric A. et Vermeule, Adrian, Terror in the Balance. Security, liberty and the courts, Oxford University Press, 2007. 893 Convention sur la protection des données du Conseil de l'Europe STE 108 de 1981. 894 Selon le Criminal Procedure Act de 1995, les échantillons ADN et les profils génétiques doivent être détruits en Ecosse en cas d'acquittement. Une loi de 2006 autorise néanmoins la conservation des échantillons biologiques et des profils pour une durée de trois ans si la personne est soupçonnée de certaines infractions sexuelles ou violentes, même si elle n'est pas condamnée. Le chief constable peut ensuite demander une prolongation de la durée de conservation de ces données pour une durée de deux ans. antérieurement aux réformes législatives de 2001 (§92). Le gouvernement s'est défendu lors de ce procès en affirmant que la conservation des données personnelles provenant des requérants ne dépendait pas de « leur innocence ou de leur culpabilité », mais avait pour « seule raison (...) d'augmenter la taille et, par conséquent, l'utilisation de la base de données pour l'identification des personnes en infraction dans le futur » (§123). Selon la Cour, la « vie privée » est « une notion large, non susceptible d'une définition exhaustive, qui recouvre l'intégrité physique et morale de la personne (..) Elle peut donc englober de multiples aspects de l'identité physique et sociale d'un individu.(..)Le simple fait de mémoriser des données relatives à la vie privée d'un individu constitue une ingérence au sens de l'article 8 » (§66-67). Elle avait déjà jugé que la simple mémorisation de données personnelles, qu'elles soient utilisées ou non, constituait une atteinte à l'art. 8 de la Convention européenne des droits de l'homme protégeant la vie privée895. En revanche, la CEDH avait admis en 2006 que l'Etat pouvait imposer un prélèvement ADN aux personnes condamnées pour des infractions d'une certaine gravité896 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 318 895 Voir CEDH, arrêt du 29 juin 2006, Panteleyenko c. Ukraine, n° 11901/02 896 CEDH, décision du 7 décembre 2006, Van der Velden c. Pays-Bas, n° 29514/05. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 319 1. Les faits et la procédure judiciaire au Royaume-UniNé en 1989, S., âgé de onze ans, fut arrêté en janvier 2001 pour tentative de vol, et on lui préleva ses empreintes digitales et des échantillons ADN. Il fut acquitté en juin 2001. L'autre requérant, Michael Marper, avait été arrêté en mars 2001 pour harcèlement à l'égard de sa compagne, et on lui préleva également ses empreintes digitales et des échantillons ADN. Mais en juin 2001, l'affaire fut classée sans suite, Marper s'étant réconcilié avec son amie. Les deux requérants demandèrent alors la destruction de leurs échantillons ADN et de leurs empreintes digitales, ce qui fut refusé par la police, puis par le tribunal administratif, dont la décision fut maintenue en appel en septembre 2002, par une majorité de deux voix contre une. La loi britannique permet en effet la conservation des échantillons sans limite de durée. Lors du procès à Strasbourg, les requérants ont souligné que pas moins de 56 agences non policières ont accès au Police National Computer (PNC), lié au SIS (système d'information Schengen), sur lequel leurs données ont été enregistrées, dont des groupes privés tels que British Telecom, l'Association des Assureurs britanniques et certains employeurs (§87). Dans son jugement, Lord Waller justifiait la conservation des échantillons biométriques, et non des simple gabarits. Soulignant les craintes de certains qu'à l'avenir ces échantillons puissent révéler des informations sur la « propension d'un individu à commettre certains crimes », qu'ils puissent être utilisés pour d'autres finalités suite à une réforme législative, ou encore qu'ils soient utilisés dans un cadre extra judiciaire, il précisait que les risques encourus étaient inférieurs à l'utilité publique de la conservation des échantillons, qui permet notamment des analyses ultérieures à des fins judiciaires de prévention des crimes. Il rappelle que tout changement législatif devrait être conforme à la CEDH, et qu'on ne « peut présumer de l'illégalité » (unlawfullness must not be assumed); une position « naïve », dirait la CNCDH897. Au contraire, Lord Sedley affirmait dans son opinion dissidente que les 897 « Or compte tenu de l'efficacité de ces procédés, il est naïf de raisonner comme si tous les utilisateurs potentiels allaient s'en tenir aux limites de leur mandat. » (CNCDH, avis du ier juin 2006 sur l'insertion d'éléments biométriques dans la carte nationale d'identité, précité). Il s'agit-là, bien commissaires de police devraient systématiquement détruire les échantillons biométriques dès lors qu'ils étaient assurés de l'innocence de la personne. La Chambre des Lords rejeta la demande d'appel des requérants en juillet 2004, au motif que la section 64 de la loi de 1984 (Police and Criminal Evidence Act), modifiée par le Criminal and Justice Act de 2001, avait était votée suite au scandale provoqué dans l'opinion publique par l'impossibilité d'utiliser des preuves génétiques contre des suspects de meurtre et de viol, puisque ceux-ci avaient déjà été acquittés au moment de leur identification génétique. La section 64, telle que modifiée en 2001, permet la conservation des empreintes digitales et des échantillons, prélevés lors d'une enquête judiciaire, y compris après qu'ils aient remplis la fonction pour laquelle ils avaient été prélevés (§97). Lord Steyn, qui rédigea la décision de la Chambre des Lords, donna l'exemple d'une affaire en 1999 où une personne avait été condamnée pour viol suite à son identification génétique alors que l'échantillon prélevé (et marqué « I ») aurait du être détruit -- on note au passage que l'argument de Lord Steyn contredit l'optimisme de Waller selon lequel on ne peut « présumer de l'illégalité ». La Chambre des Lords avait alors considéré qu'un échantillon conservé illégalement en vue d'enquêtes judiciaires pouvait néanmoins être admis comme preuve lors d'un procès, la question de son admissibilité étant déléguée au juge concerné8 8. Les requérants, quant à eux, affirmaient que la conservation de leurs données biométriques créait un climat de suspicion à leur égard, ce à quoi le conseil du secrétaire du Home Office déclara que « pareille conservation n'avait rien à voir avec le passé, c'est-à-dire avec l'infraction dont la personne avait été acquittée, mais visait à faciliter les enquêtes sur des infractions futures »899. Lord Steyn (de la Chambre des Lords) cita ainsi quatre raisons pour lesquelles on ne pouvait considérer disproportionné la conservation des échantillons: -- les empreintes digitales et échantillons ADN n'étaient conservées que pour des finalités limitées d'enquête judiciaire; entendu, d'un point clé du débat sur les fichiers de police -- et sur les « mesures de police » en général. 898 Attorney General's Reference (n°3 de 1999), [2001], 2 AC 91, cité au §29 de l'arrêt de la CEDH. 89911 s'agit ici d'une citation indirecte du secrétaire du Home Office présente dans le jugement. 320 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 321
Il affirma ensuite qu'il valait mieux que la conservation de ces données soit de caractère général, et non fondée sur des décisions au cas par cas, car cela amènerait ceux dont les caractéristiques biométriques étaient conservées à se sentir stigmatisé. La conservation des échantillons de toute personne arrêtée était simplement, selon lui, dans l'intérêt public. Il soutint en outre que la différence entre échantillons et gabarits n'affectait en rien cette argumentation. La Chambre des Lords rejeta aussi la plainte selon laquelle cette conservation des données serait à caractère discriminant, en vertu de l'art. 14 de la CEDH, puisque la différence de traitement avec les personnes qui n'ont jamais subi de telles procédures ne tenait pas à leur statut personnel, mais au simple « fait historique » de l'enregistrement de ces données personnelles. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 322 2. La position de la CEDHRappelant les diverses dispositions législatives, la CEDH cite aussi le rapport du Conseil de bioéthique de Nuffield: celui-ci soulignait non seulement la différence entre les échantillons et les profils, distinction déjà admise en 2oo69°° par la Cour (§69), mais se souciait aussi de l'utilisation grandissante des données génétiques à des fins de recherche familiale9O1 ou de détermination de l'appartenance ethnique du sujet, ce qui pourrait conduire à renforcer les conceptions racistes. La Cour a d'ailleurs pris en compte les observations du Conseil de Nuffield, selon lesquelles les politiques en vigueur ont conduit à une sur-représentation des jeunes personnes et des membres minorités ethniques, non condamnés, dans la base de données (§124). La Cour a admis la validité du souci des requérants concernant « l'utilisation future possible de l'information privée détenue par les autorités » et considère que celui-ci est pertinent au regard de la détermination d'une ingérence effective vis-à-vis de la vie privée, notamment en raison des développements technologiques 071). La simple conservation des échantillons cellulaires constitue une ingérence en raison de la quantité et de la nature de l'information personnelle qui y est contenue, et qui implique non seulement le sujet mais aussi sa famille (§72-73). Les profils ADN eux-mêmes constituent des « données personnelles uniques », qui peuvent être utilisés dans le cadre de recherches familiales et qui peuvent aussi être utilisés à des fins de détermination de l'appartenance ethnique, ce qui les rend d'autant plus « sensibles ». Pour cette raison, leur simple conservation constitue aussi une ingérence vis-à-vis de la vie privée (§75-76). 9O° CEDH (2006), Van der Velden c. Pays-Bas, n°29514/05 9O1 La recherche familiale consiste à comparer un profil génétique obtenu d'une scène de crime avec les profils enregistrés sur la base de données et de les ranger par ordre de degré d'adéquation, ce qui permet éventuellement d'affirmer que tel échantillon recueilli sur une scène de crime provient non pas de la personne fichée, mais d'un membre de sa famille (cela a par exemple permis de retrouver et de condamner Craig Harman; cf. « Killer caught by relative's DNA », BBC, 19 avril 2004, http://news.bbc.co.uk/2/hi/uk news/england/364o199.stm ). Depuis 2005, la police britannique aurait utilisée à 7 o reprises cette technique de recherche, menant à 18 identifications et à 13 condamnations; le taux de succès est estimé à 10% (cf. Rosen, Jeffrey, professeur de droit à l'Univ. de George Washington, « Genetic Surveillance for All », Slate, 17 mars 2009). Le procédé commence à être mis en oeuvre, de manière controversée, aux Etats-Unis, où l'application californienne de la base fédérale de Codis (qui classe les résultats en catégories raciales -- au R-U., les échantillons sont classés selon des critères d' « apparence ethnique ») est la première base de données génétiques du monde, en vertu de la Proposition 69 (Rosen, J., 2009, art.cit.). Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 323 Au sujet des empreintes digitales, la Cour note qu'elles constituent des données personnelles à l'instar de photographies ou d'échantillons vocaux (§8i). La conservation de celles-ci constitue aussi « une ingérence au droit au respect à la vie privée » (§86). Cependant, la Cour admet la légitimité de la conservation des empreintes digitales et d'information génétique prélevées à l'occasion d'une enquête judiciaire et conservées à des fins ultérieures de prévention des crimes (§ioo). Elle note que « l'intérêt légitime à la prévention du crime peut l'emporter sur l'intérêt des sujets [data subjects] et de la communauté dans son ensemble à protéger les données personnelles » (§1o4). Mais le « caractère intrinsèquement privé » de cette information (en particulier des empreintes digitales et des échantillons génétiques) exige de la Cour qu'elle examine attentivement les dispositions étatiques autorisant leur conservation et leur usage sans le consentement des sujets (§1o4). La Cour ne remet pas en cause l'utilité de l'usage de ces techniques modernes, admises depuis longtemps, mais se contente d'examiner si la rétention des données personnelles en question, provenant de personnes qui ont été soupçonnées mais non condamnées d'infractions criminelles, est justifiée selon les termes de l'art. 8 (§io6). Or « l'Angleterre, le Pays de Galles et l'Irlande du Nord sont les seules juridictions au sein du Conseil de l'Europe autorisant la conservation sans limites des empreintes digitales et de matériel génétique de toute personne de n'importe quel âge soupçonné d'une infraction» (§iio), y compris d'infractions mineures ou qui ne sont pas passibles de prison (§119). Bien que le Royaume-Uni se dise à « l'avant-guarde » concernant l'usage de ces technologies, la Cour « observe que la protection accordée par l'art. 8 (...) serait affaiblie de façon inacceptable si l'utilisation de techniques scientifiques modernes dans le système judiciaire pénal était autorisée à n'importe quel coût (...) tout Etat prétendant à un rôle pionnier dans le développement des nouvelles technologies porte une responsabilité spécifique (...) à cet égard » (§112). La Cour prêta particulièrement attention au caractère non-discriminé de la conservation des données, et du « risque de stigmatisation » venant du fait que des personnes non condamnées et ayant droit à la présomption d'innocence soient traités de façon identique à des personnes condamnées : « Il est vrai que la conservation des Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 324 données privées des requérants ne peut être considérée comme équivalente au fait d'émettre des soupçons. Néanmoins, leur perception selon laquelle ils ne sont pas traités comme des innocents est renforcée par le fait que leurs données sont conservées indéfiniment, de la même façon que les données des personnes condamnées, alors la destruction des données de ceux qui n'ont jamais été soupçonnés d'une infraction est requise » (§122). En conclusion, la Cour considère que la conservation non discriminée des empreintes digitales, des échantillons cellulaires et des profils ADN de personnes soupçonnées mais non condamnées constitue une « ingérence disproportionnée » à l'égard du droit à la vie privée et « ne peut être regardée comme nécessaire dans une société démocratique » 0125). Jugeant que cette conservation violait l'art. 8, « la Cour considère qu'il n'est pas nécessaire d'examiner séparément la plainte des requérants sous l'art. 14 » (principe de non-discrimination), pas plus qu'il n'est nécessaire d'examiner la question de l'accès étendu aux données. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 325 3. Conséquences et interprétation de l'arrêt S. et Marper v. Royaume-UniSans nul doute, l'arrêt de la CEDH de décembre 2008 a des conséquences importantes, en particulier concernant la législation britannique, qui autorisait jusqu'alors la conservation sans durée de limites des échantillons et empreintes prélevées lors d'enquêtes judiciaires, visant toutes sortes d'infractions, y compris des infractions non passibles de peines de prison, et quels que soit les résultats du processus judiciaire (acquittement, non-lieu, condamnation, suspension des poursuites, etc.). Ce faisant, la Cour va plus loin: elle condamne comme fondamentalement anti-démocratique le projet de constituer une base de données biométriques exhaustive, fût-ce à des fins de prévention du crime. Etant donné la conjoncture actuelle, qui conduit à un accroissement considérable du nombre de ces bases de données, de leur taille, et des personnes qui sont susceptibles d'y figurer, sans doute cet arrêt marque-t-il une position de principe importante, en érigeant une limite au « tout fichage »902. Cette prise de parti de la Cour vaut pour davantage que le Royaume-Uni, puisque cette tendance est à l'oeuvre au sein de l'Union européenne et de la France (traité de Prüm, EURODAC, SIS II, passeport biométrique, extension du FNAEG, etc.). S. Preuss-Laussinotte rappelle qu' « en France, les profils ADN peuvent être conservés pendant vingt-cinq ans après un acquittement ou l'abandon des poursuites. Si le procureur de la République peut ordonner leur suppression avant l'expiration de ce délai, «soit d'office soit sur demande si la conservation n'est plus nécessaire à des fins d'identification dans le cadre de poursuites pénales », force est de constater que cette suppression est extrêmement rare : outre le fait que la procédure ouverte aux personnes est peu connue, la notion de nécessité de conservation à des fins d'identification est conçue de manière très extensive. »9°3 9O2 Preuss-Laussinotte, Sylvia (2008), « Données biométriques et libertés (CEDH, GC 4 déc. 2008, S. et Marper c. Royaume-Uni », Combat pour les droits de l'homme, blog hébergé sur le site du Monde: http://combatsdroitshomme.blog.lemonde.fr/2oo8/12/o8/donnees-biometriques-et-libertes-cedh-gc-4-dec-2oo8-s-et-marper-c-royaume-uni-par-s-preuss-laussinotte/ 9°3 Ibid. Cf. chap. V, section A, pour des détails concernant le FNAEG. Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 326 Néanmoins, la Cour n'a statué que sur un cas spécifique et presque caricatural: celui de la conservation sans limites de données biométriques, incluant non seulement les gabarits mais les échantillons cellulaires et les images des empreintes digitales, pour des sujets non condamnés, l'un d'entre eux étant, de surcroît, mineur au moment des faits. En retenant l'argument de la discrimination et de la présomption d'innocence, elle retient le fait que différentes catégories de personnes sont assujetties à des conditions différentes en ce qui concerne le traitement des données personnelles, de même qu'on ne peut traiter de la même façon les différentes catégories de données (§43-44, 11o, 119-120, 125). Elle cite pour cela (§42-44) la recommandation R (87) 15 du Conseil de l'Europe, « visant à réglementer l'utilisation des données à caractère personnel dans le secteur de la police », ainsi que la recommandation R(92)1 du Conseil de l'Europe sur l'utilisation des analyses de l'ADN dans le cadre judiciaire, ainsi que le mémorandum explicatif, qui affirment notamment que les échantillons et les résultats des analyses ADN doivent être supprimés une fois leur fonction remplie, acceptant comme exception les individus condamnés pour des violations graves contre « la vie, l'intégrité ou la sécurité des personnes » (art. 8 de la recommandation R(92)19°4). Elle admet la conservation de ces données même si la personne n'a pas été condamnée ni inculpée lorsque la « sûreté de l'Etat est en cause ». Le mémorandum explicatif, cité par la Cour, admet enfin la conservation des données y compris après que la fonction pour laquelle elles ont été prélevées ait été dépassé, dans les cas où il y a eu condamnation pour une violation grave contre la vie, l'intégrité ou la sécurité des personnes, si la durée de conservation est « strictement limitée », définie par la loi, et que la base de données est sujette au contrôle parlementaire ou au contrôle d'un organisme indépendant. Ainsi, si le projet de constituer une base de données biométriques couvrant l'ensemble de la population, sans distinction, s'est heurté à l'opposition de la CEDH, il n'en demeure pas moins que d'une part, celle-ci distingue entre les différentes caractéristiques biométriques, certaines étant plus sensibles que d'autres, et que d'autre part la conservation de données biométriques demeure légitime lorsqu'il en va 9°4 « Il faut veiller à effacer les données des analyses de l'ADN et les informations obtenues au moyen de ces analyses dès lors qu'il n'est plus nécessaire de les conserver aux fins en vue desquelles elles ont été utilisées. Les données des analyses de l'ADN et les informations ainsi recueillies peuvent toutefois être conservées lorsque l'intéressé a été reconnu coupable d'infractions graves portant atteinte à la vie, à l'intégrité ou à la sécurité des personnes. En prévision de tels cas, la législation nationale devrait fixer des délais précis de conservation. » (art. 8 R(92)1 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité p. 327 de la « sûreté de l'Etat ». Pour important qu'il soit, l'arrêt du 4 décembre 2008 montre surtout la nécessité juridique d'opérer des différenciations et des catégorisations spécifiques: les données personnelles d'individus disculpés ne sauraient, sans justificatif suffisant, être conservées dans des fichiers à finalité judiciaire. Mais si la CEDH s'oppose à la constitution d'un « méga-fichier biométrique » couvrant la totalité de la population, il n'en demeure pas moins que de tels fichiers soient en cours d'instauration dans le cadre de l'émission des passeports biométriques. Certes, ils poursuivent alors, en principe, une fonction administrative, mais l'accès des autorités policières et judiciaires à ces fichiers ne cesse de s'étendre. Si le prélèvement d'échantillon ADN demeure restreint au cadre de la recherche et de la prévention d'infractions pénales graves, à quelques exceptions près, qui pourraient, à l'avenir, s'étendre, la collecte des empreintes digitales fait désormais partie de l'instrument ordinaire de l'émission des documents d'identité et de voyage. En outre, la photographie, dont l'importance est peut-être sous-estimée, conserve un rôle important dans le cadre du contrôle d'identité. Les possibilités étendues de stocker celles-ci dans différents fichiers conduisent à élargir les cas où une personne « signalée » peut être « reconnue » par les forces de l'ordre, et donc soumises à une procédure d'interpellation et, le cas échéant, de vérification d'identité, procès qui peut alors faire appel aux différents systèmes d'information enregistrant les caractéristiques dactyloscopiques. CONCLUSIONSi l' « identité biométrique », au sens d'une « identité biologique » déterminée, est une expression peut-être dépourvue de sens, aucune caractéristique biométrique ne pouvant être utilisée comme critère certain et univoque de l'identité numérique d'un individu, l'identification biométrique est, elle, une réalité indubitable, marquée d'une part par la progression importante des systèmes biométriques d'identification administrative, et d'autre part par l'essor des systèmes de contrôle d'accès biométrique. Bien que ces deux types de systèmes puissent poursuivre des finalités différentes, étant utilisés dans des contextes variés, ceux-là étant en particulier l'apanage de l'Etat, tandis que ceux-ci sont aussi utilisés par des entreprises et des particuliers, ce n'est que par un artifice de l'analyse juridique qu'on peut réellement les distinguer. En effet, l'usage à des fins souveraines de la technologie biométrique n'est pas indépendant de l'usage à des fins commerciales et privées, quoique ces deux formes d'utilisation de la biométrie soient soumises à des normes distinctes. L'un des risques soulignés à maintes reprises par les autorités de protection des données personnelles et les associations de défense des droits de l'homme, à savoir l'instauration d'une « société de surveillance », dépend particulièrement de l'articulation de ces deux modes d'usage de ces technologies, qu'elles soient nouvelles ou plus anciennes. Les organismes en charge de la mise en oeuvre de ces technologies, qu'ils soient politiques ou économiques, en sont d'ailleurs parfaitement conscients: les populations s'accoutumeront d'autant plus à ces nouvelles formes d'identification qu'elles seront omniprésentes dans tous les domaines de la vie sociale, au travail comme à l'aéroport, dans les restaurants scolaires ou d'entreprises comme aux guichets des préfectures... L'un des risques soulignés, par exemple, par la Commission nationale consultative des droits de l'homme, lors de son examen du projet de carte d'identité INES, consistait à étendre, sous le motif légitime de l'identification administrative, les cas où des organismes privés exigeraient des preuves biométriques de l'identité. Le « devoir d'identification » tend à devenir omniprésent9°5. 9°5 CCNE, avis n°98 précité. Conclusion p. 328 Conclusion p. 329 Ceci justifie donc qu'on ait pu étudier la mise en oeuvre des technologies biométriques dans ces différents secteurs. Pour autant, l'interaction entre ces différentes logiques ne doit pas conduire à leur confusion. Outre un régime juridique distinct, matérialisé en France en particulier par l'autorisation préalable de la CNIL à laquelle sont soumis les dispositifs biométriques ne répondant pas à des impératifs souverains, ceux-ci ne faisant l'objet que d'un avis consultatif, les dispositifs de contrôle d'accès visent le plus souvent à s'assurer de l'identité d'une personne, fonctionnant ainsi davantage sur une logique de vérification de l'identité, tandis que les systèmes d'information biométriques mis en place par l'Etat, aussi bien dans le cadre administratif des documents d'identité et de voyage que dans le cadre policier et judiciaire des fichiers relatifs aux infractions pénales, poursuivent aussi, voire principalement, une finalité d'identification. Les discours promouvant l'usage de la biométrie jouent souvent de cette ambiguïté entre vérification et identification, en affirmant que la biométrie, loin de constituer un risque à l'égard de la vie privée, permettrait de protéger celle-ci en nous garantissant contre l'usurpation d'identité. Or, de fait, la constitution de bases de données biométriques permet un autre usage que la simple vérification de l'identité, laquelle ne requiert de conserver les données que sur des supports individuels. Outre le fait de sécuriser le lien entre le document d'identité et son porteur, ces systèmes d'information biométriques permettent aussi d'identifier, à leur insu, des individus, soit en mettant en place des dispositifs de reconnaissance faciale, soit en identifiant des traces prélevées lors d'enquêtes judiciaires. Ils peuvent aussi être utilisés à des fins de traçabilité des individus, ainsi qu'à des fins de profilage visant à établir des schémas abstraits et statistiques de comportements individuels, qui permettent de constituer des catégories « à risque ». Prolongeant ainsi, d'une certaine manière, les dispositifs d'administration institués au XVIIIe et au XIXe siècle, étudiés par V. Denis et M. Foucault, la biométrie permet ainsi simultanément de suivre au plus près l'individu tout en constituant des « populations » distinctes, sujettes à des traitements différenciés. Les fonctions statistiques et de traçabilité individuelle sont étroitement liées, et revêtent toutes deux une importance majeure, bien qu'on ait tendance à accentuer l'aspect individuel en raison des risques pressentis à l'égard des libertés individuelles et de la vie privée. Toutes deux sont mises en oeuvre à la fois par l'instauration de systèmes 330 d'information biométriques, et par les contrôles d'identité qui seuls rendent véritablement opérants ces systèmes: les visas biométriques illustrent par exemple ce point906 La fonction affichée de vérification mise en oeuvre par les dispositifs biométriques ne doit donc pas, malgré son importance réelle, être surestimée, non plus que la différence entre celle-ci et la fonction d'identification. D'une part, toutes deux procèdent d'un « devoir d'identification », nonobstant ni les risques accrus que soulève la conservation des données sur un support central, ni la réelle valeur ajoutée de la vérification biométrique qui peut avantageusement remplacer des codes lors d'opérations quotidiennes, notamment commerciales. D'autre part, pour constituer techniquement deux opérations distinctes, vérification et identification biométrique sont socialement conjointes: si les autorités de protection de données personnelles font à juste titre la distinction entre ces opérations, il n'en demeure pas moins que toutes deux conduisent à l'accoutumance progressive de la population aux dispositifs biométriques. Enfin, les dispositifs biométriques poursuivent d'autres fonctions, notamment de gestion des flux et d'élaboration de statistiques, et donc de politiques publiques, qui peuvent, ou non, être mis en oeuvre, selon les caractéristiques techniques du dispositif, mais aussi selon qu'ils sont liés à d'autres opérations, tels les contrôles d'identité. Examiner la biométrisation des documents d'identité et de voyage sans s'intéresser d'une part aux systèmes d'information auxquels ils sont reliés, d'autre part aux contrôles et aux vérifications d'identité qu'ils permettent, n'a pas de sens: c'est bien la liaison entre les « data doubles », ou, plus précisément, les « universal data elements » (C. Willse) qui permettent le profilage des populations, et la dimension singulière du contrôle d'identité qui vise toujours un individu déterminé, bien que ce dernier soit toujours pris dans une catégorisation préalable -- ne serait-ce que parce qu'il habite dans une zone « connue » pour abriter de nombreux étrangers -- qui donne toute sa force à la biométrisation des documents 906 Voir par ex. le 5° rapport au Parlement sur « les orientations de la politique de l'immigration » effectué par le Secrétariat général du comité interministériel de l'immigration (déc. 2008, La Documentation française, p.36), qui cite plusieurs avantages du visa biométrique: « prévention de la fraude »; « certitudes sur l'identité des demandeurs de visa »; « traçabilité des demandeurs de visa biométrique: la comparaison des empreintes digitales à différents moments et dans des lieux différents permet d'assurer le suivi de certains demandeurs ayant attiré l'attention des services intéressés »; « meilleur contrôle des retours dans le pays d'origine : les contrôles d'identité sur et à la sortie du territoire permettent de mieux connaître les mouvements de population, notamment ceux des étrangers en situation irrégulière, et de faciliter ainsi leur éloignement vers leur pays d'origine. » Conclusion p Conclusion P. 331 d'identité et de voyage. De même, les contrôles d'accès utilisés aussi bien dans les restaurants scolaires que dans les aéroports, à des fins d'automatisation des frontières (programme PEGASE, etc.), relèvent tout autant, voire plus, d'une logique de gestion des flux, appréhendée à travers les techniques modernes de management, que d'une logique de sécurisation de l'identité. L'identification, visée première de la biométrie, peut ainsi être subordonnée à d'autres impératifs, tels le contrôle de la liberté de circulation et d'aller-et-venir. En ceci, l'identification biométrique ne fait qu'hériter des dispositifs antérieurs d'identification administrative, qui ont été instaurés dans une double finalité de distinction entre les citoyens et les étrangers, les « ayant droits » et les « sans droits », et de contrôle à la fois de l'immigration et de l'émigration, comme ont pu le montrer aussi bien J. Torpey que G. Noiriel. Ce faisant, le rôle de la photographie, qui peut représenter d'une certaine manière l'âge d'or de l' « objectivité mécanique », telle que décrite par P. Galison, qui vise à se passer de la subjectivité humaine, conserve ses fonctions antérieures de « signalement » tout en étant portée à une nouvelle puissance sous l'effet de la numérisation et de son stockage par maintes administrations. Hier comme aujourd'hui, elle demeure le média principal permettant aussi bien l'authentification du lien entre un document et son porteur et l'identification de personnes recherchées, qui peuvent ainsi être régulièrement interpellés. Bien entendu, la subjectivité n'est jamais complètement évacuée: si le signalement par photographie est plus objectif qu'un dessin, et plus parlant qu'une description écrite d'un individu, il n'en demeure pas moins que c'est toujours le contrôleur lui-même qui effectue l'opération de re-connaissance, en comparant la photographie au visage qu'il regarde. L'apparence et le regard, qui doivent être pris en compte, tant bien que mal, par le droit, lequel constitue à cet égard des concepts étranges tels que les « signes extérieurs d'extranéité », demeurent une composante irréductible de l'identification, à laquelle ni l'identification par l'écrit, ni l'identification biométrique, ne permettent de se passer. Ces trois registres d'identification sont entremêlés, tant et si bien que s'il y a un sens à parler d'identification biométrique, ce n'est qu'en plaçant celle-ci dans la continuité, diachronique mais aussi synchronique, des autres modes d'identification. Conclusion P. 332 S'il y a donc continuité entre l'identification biométrique et l'identification administrative, les ruptures n'en sont pas moins présentes. D'une part, en attachant l'identité civile et juridique à des caractéristiques biométriques, et notamment à des technologies « à trace », telles que les empreintes digitales et génétiques, mais aussi, potentiellement, les photographies numérisées, les empreintes palmaires, etc., lesquelles sont stockées sur des supports centraux, il y a sans nul doute autonomisation d'un « corps virtuel » qui permet ensuite de retrouver des traces de la personne sur les lieux qu'il a pu traverser. Au lieu de ne s'incarner que dans des papiers d'identité, l'identité juridique, c'est-à-dire la personnalité civile, se matérialise dans des traces biométriques qui peuvent être relevées à son insu: c'est bien la trace du nom dans le corps, et dans l'espace, que l'on peut déceler grâce à la biométrie, qui hérite en ceci de l'anthropométrie judiciaire. Diverses autorités morales, dont en particulier le Comité consultatif national d'éthique, ont pu voir là une réduction de l'ipséité de la personne à la mêmeté. Cependant, nous avons vu que cela pouvait aussi bien conduire à une redéfinition de l'ipséité, c'est-à-dire de la conscience de soi, laquelle n'est pas une forme universelle mais historique. Si la conscience de soi est liée intimement au sentiment de responsabilité, à la capacité de répondre de soi-même, la biométrie pourrait aussi bien conduire à réduire le champ d'importance de l'attestation autobiographique, au profit d'un critère technique et biologique de vérification, qu'à modifier le champ même des actes dont une personne acceptera de se reconnaître comme responsable et auteur : qu'elle en ait eu conscience ou non, qu'elle s'en souvienne ou non, preuve sera faite qu'elle a été présente en tel lieu. Sans que la possibilité fantastique de changer de corps n'intervienne, il se pourrait bien qu'une personne se retrouve dans une situation similaire à celle de Daniel Gray dans la nouvelle de Greg Egan: regardant son propre corps comme celui d'un autre; contrairement à ce nouvel avatar de Dorian Gray, il ne pourrait toutefois prétendre qu'il s'agisse réellement d'un autre: il s'agit bien de soi-même comme un autre. D'autre part, comme ont pu le remarquer D. Bigo et E. Guild, les nouveaux procédés d'automatisation des frontières et de « contrôle à distance », via l'instauration de documents de voyage biométriques, mais aussi par d'autres procédés tels le système électronique d'autorisation de voyage (ESTA) mis en oeuvre par les Etats-Unis, et actuellement à l'étude par la Commission européenne, conduisent à Conclusion p une modification de la notion même de frontière: celle-ci n'est plus attachée au territoire, mais devient mobile, suivant l'individu dans ses mouvements, et dotée d'une puissance plus ou moins restrictive selon la catégorie à laquelle appartient l'individu. Les frontières collent désormais aux corps qui se heurtent à celles-ci avant même d'être entrés sur le territoire national. L'identification biométrique s'intègre alors à une politique générale de l'immigration, de l'asile, et de l'anti-terrorisme, conceptualisée au sein de l'Union européenne sous le nom d' « espace de liberté, de sécurité et de justice », et marquée par l'accès croissant des services chargés de la sécurité intérieure aux différentes bases de données biométriques, elles-mêmes mises en réseau au niveau européen. On peut s'interroger sur l'efficacité réelle de ces dispositifs biométriques concernant le contrôle des frontières. En effet, si l'évolution technique de la biométrie, ces dernières années, demeurait inimaginable dans les dernières années du XXe siècle9°7, il n'en demeure pas moins que les critiques diverses émises envers la simple possibilité du contrôle efficace et absolu des frontières, tel que prôné par les différents discours sur l'immigration, restent de mise: aujourd'hui comme hier, la conjonction entre le caractère massif des « flux de migration », ou encore de l'exode généralisé de catégories entières de populations soumises à différentes crises (politiques, économiques, alimentaires, environnementales, etc.), et le caractère particulier de chaque décision individuelle à l'origine de l'exil de chacun, conduit à faire de l'idéal de maîtrise complète des frontières un idéal utopique, prenant chaque jour davantage des allures dystopiques. S'ajoutant à une batterie 9O' Les remarques de Didier Bigo, en 1996, sont ainsi à la fois lucides et éclairantes: s'il n'imaginait pas, alors, et ce pour des raisons budgétaires, la possibilité d'un système d'enregistrement des empreintes digitales des demandeurs d'asile, ce qui est le principe même du système EURODAC en vigueur depuis 2003, il ajoute que, quand bien même les progrès techniques permettraient de telles évolutions, le caractère à la fois massif et singulier des exils et des exodes hypothèque, par essence, les discours de maîtrise complète de l'immigration. « Entait, écrivait-il, le contrôle aux frontières terrestres n'est plus réalisable techniquement. Le durcissement des textes diminue le nombre de légaux et renforce celui des clandestins, mais il ne les empêche pas de passer. La « forteresse » ne peut pas être construite. Les moyens en hommes et en matériel ne suivront jamais les rhétoriques, sauf à changer de régime politique. Ainsi, le projet de saisie des empreintes digitales des étrangers déposant des demandes de séjour coûterait plusieurs centaines de millions de francs. Il en va de même des projets visant à créer des papiers d'identité à puce, qui enregistreraient tous les déplacements des personnes, ou des technologies militaires de surveillance des frontières. Des milliards seraient dépensés souvent en pure perte pour recréer un système rappelant le mur de Berlin. (...) Augmenter les moyens technologiques, même en multipliant par cent, voire par mille, les effectifs, ne suffirait pas. De même, menacer de sanctions pénales les personnels de la Sécurité sociale, les médecins, les enseignants, les prêtres qui ne dénonceraient pas les personnes en situation irrégulière qu'ils connaissent, risque certes de transformer la société en instaurant la suspicion, mais n'arrêtera pas l'immigration. » (Bigo, Didier (1996), art. cit.) Conclusion p d'autres décisions politiques et juridiques (durcissement des lois régissant la nationalité et l'entrée et le séjour des étrangers sur le territoire national, que ce soit aux Etats-Unis ou dans les Etats de l'Union européenne, augmentation de la présence militaire aux frontières, externalisation de l'asile, etc.), les technologies biométriques contribuent inévitablement à élever le coût humain des migrations, sans pouvoir réellement les bloquer. Leurs promoteurs ont beau jeu de promettre une « sécurité complète » en louant les merveilles apportées par le « progrès » technologique; les migrants et, de façon générale, les sujets du contrôle biométrique peuvent toujours exploiter les failles de ces systèmes techniques (ce qui peut aller, dans le cadre des migrants, jusqu'à l'automutilation visant à s'effacer les empreintes digitales). En assurant une « sécurité absolue », les défenseurs à outrance des techniques biométriques ne font pas que suivre un discours général, positiviste et technophile; de façon symétrique et inverse, en craignant l'avènement d'une société totalitaire, les critiques de la « société de contrôle » vont au-delà de la simple technophobie. Ces adversaires se rejoignent en effet sur le point même de l'illusion de la possibilité même du contrôle absolu et total, phantasme orwellien qui s'est doublé de l'élaboration et de la popularisation du concept de « totalitarisme », entendu comme possibilité d'une emprise totale de l'Etat sur les individus. Les opinions critiques et défensives de la biométrie s'intègrent alors au continuum d'un discours récurrent, depuis la chute du mur de Berlin, sur la possibilité d'une maîtrise parfaite, et illusoire, des frontières et des « flux migratoires ». D'un autre côté, l'utilisation croissante, dans le secteur privé, de dispositifs de contrôle d'accès, conduisent aussi à mettre en question le « monopole légitime des moyens de circulation » que l'Etat-nation s'était attribué. De plus en plus d'espaces, privatisés, peuvent se soustraire à ce monopole légitime, qui matérialise à la fois un contrôle sur les flux de circulation et un contrôle sur l'accès à certains droits ou services, tandis que certaines entreprises ou personnes morales privées peuvent se constituer, pour leurs propres usages, des bases de données biométriques permettant de distinguer entre leurs clients légitimes et les autres. Les technologies utilisées à des fins souveraines sont ainsi réinvesties dans le secteur privé, comme le montre l'exemple du Graduate Management Admission Test. Conclusion p En outre, l'identification administrative et biométrique moderne se distingue profondément des modes antérieurs d'identification, en ce qu'elle ne vise plus seulement les citoyens, mais aussi les étrangers. Si, auparavant, les Etats faisaient confiance aux passeports émis par d'autres Etats, ainsi qu'aux actes d'état civil effectués à l'étranger, désormais chacun veut s'assurer, à des fins simultanément administratives et judiciaires (le cas des Etats-Unis étant alors le plus représentatif de cette confusion des finalités, mais l'Union européenne n'est pas en reste), de l'identité des étrangers, non seulement dès lors qu'ils entrent sur le territoire national, mais dès le moment où ils émettent le souhait de s'y rendre, en effectuant une demande de visa. Cela marque sans doute une mutation importante de l'état civil, qui non seulement s'est fait numérique et se lie de plus en plus aux technologies biométriques, mais couvre désormais étrangers et nationaux. L'Etat-nation contemporain cherche à s'assurer directement de l'identité de la population mondiale, dès lors que des éléments de celle-ci entrent en contact, ne serait-ce que de manière fugace, à l'occasion d'une demande (rejetée) de visa, ou d'un changement d'avion, et cela sans en référer aux dispositifs étatiques étrangers. Si l'identification biométrique est un processus général, s'incarnant sous de multiples facettes et poursuivant différentes fonctions, il n'en demeure pas moins que, sous l'effet des autorités de protections de données personnelles, ainsi que des autorités judiciaires, sa mise en oeuvre concrète obéisse à des distinctions fines, plus ou moins solides. Ainsi, nous avons étudié en détail les délibérations de la CNIL, qui montrent que, par-delà une doctrine générale codifiée dans des guides et accréditant une stabilité de l'attitude de la CNIL, qui fait appel aux principes généraux de proportionnalité, de finalité, de sécurité des données, d'information, etc., cette doctrine est mouvante et parfois ambiguë. Outre les divergences d'interprétation possible des principes généraux de protection des données personnelles, incarnées par les différentes approches retenues par les diverses autorités de protection de données personnelles, les finalités retenues ne sont pas forcément les finalités réelles des dispositifs biométriques, comme peuvent l'illustrer aussi bien les dispositifs de contrôle d'accès dans la restauration, qui visent davantage une efficacité gestionnaire qu'un impératif de sécurité, que ceux utilisés dans les entreprises lorsque les données sont stockées sur support individuel, qui visent alors davantage la confidentialité de l'information protégée plutôt qu'une réelle finalité sécuritaire, ou encore que le Conclusion P. 336 passage automatisé aux frontières. De même, la distinction entre technologie « à trace » et technologies « sans trace », ou l'extension du concept de « données sensibles », n'est pas univoque: quid des photographies, faisant apparaître la couleur de la peau? Quid des empreintes digitales, pouvant parfois délivrer des informations concernant la santé des individus? Quid des empreintes palmaires, ou encore, de nouveau, des photographies et des dispositifs de reconnaissance faciale? Par ailleurs, l'autorité de la CNIL, bien que simplement morale, depuis la réforme de 2004, en ce qui concerne les « traitements de souveraineté » ou relatifs aux infractions pénales, n'en demeure pas moins réelle. Contrairement à d'autres pays, tels les Philippines, nous n'avons pas, ainsi, ou faut-il dire encore?..., de bases de données dactyloscopiques visant à distinguer les « ayant-droits » à des prestations sociales et les autres. Tout comme ses homologues à l'échelle européenne, elle conduit les autorités politiques et administratives à éclater les fichiers suivant des finalités diverses, et, au sein même des fichiers, à constituer des « sous-fichiers », comme le montre l'exemple d'EURODAC. De même, dans le secteur privé, la CNIL utilise largement de son pouvoir pour prohiber l'utilisation de certaines techniques au profit d'autres technologies, jugées moins dangereuses. Dans ces deux cas, cependant, les finalités ne sont pas remises en cause: ce qui est apprécié, c'est le caractère proportionnel des mesures envisagées, ainsi que les risques éventuels de détournement de finalité. Et pourtant, l'évolution de la conjoncture aidant, il est difficile à ces autorités de s'opposer aux détournements de finalité bien réels des bases de données biométriques, comme le montre l'accès étendu des services de police et des services de renseignement, accès qui ne cesse de s'étendre, la proposition de modification du règlement EURODAC effectuée par la Commission en septembre 2009 n'en étant que le dernier exemple en date. Les fichiers à finalité administrative sont ainsi de plus en plus utilisés à des fins judiciaires de recherche de suspects, ou à des fins préventives, voire « prospectives », d'identification des catégories « à risque », ce qui est apparent dans l'usage omniprésent des statistiques. Les autorités de protection des données poursuivent ainsi une fonction d'aiguillonage, favorisant certaines techniques aux dépens d'autres dispositifs, encadrant tant bien que mal l'usage des bases de données, et certifiant la sécurité des systèmes, ce qui leur donne une fonction économique importante. Elles jouent ainsi ce rôle ambigu, qui consiste tout à la fois à garantir certains droits et à légitimer l'usage de certaines techniques ou systèmes d'information biométriques. Cela conduit Conclusion p certains à critiquer leur caractère « frileux » à l'égard des « nouvelles technologies », tandis que d'autres au contraire remettent en cause leur existence même, préférant s'appuyer sur des relais politiques (associatifs, municipaux, régionaux, etc.) plutôt que juridiques pour garantir la protection des données personnelles. Au regard du droit, les bases de données biométriques poursuivent différentes fonctions et soulèvent des enjeux complexes. On peut dire, d'abord, que la constitution de ces fichiers, et leur fragmentation, conduit à matérialiser les catégories juridiques, lesquelles prennent véritablement corps dans ces systèmes d'information. Ainsi, la catégorie des étrangers non-admis est-elle matérialisée dans le Fichier national des non-admis; celle des réfugiés dans EURODAC; celle des demandeurs de visa dans VISABIO, etc. Ces catégories peuvent bien entendu se recouvrir: un citoyen français ayant demandé un passeport sera enregistré dans le système TES, mais, si d'aventure il faisait l'objet d'une procédure judiciaire, il pourrait être fiché dans le FNAED, voire le FNAEG. En matérialisant ces catégories juridiques dans des systèmes d'information, l'administration peut ensuite élaborer des statistiques la guidant dans l'élaboration des politiques publiques: c'est là, par exemple, l'une des fonctions importantes d'EURODAC ou d'ELOI. Ensuite, en permettant l'encartement biométrique généralisé, mais différencié, de la population, ces bases de données permettent de donner une effectivité croissante aux normes juridiques: elles assurent le suivi des populations et la traçabilité des individus, qui sont d'autant plus facilement interpellés le cas échéant. Etre « signalé » ou « connu des services de police » n'est pas un vain mot; en permettant l'encartement biométrique des individus, les normes juridiques préparent le terrain à l'effectivité des mesures de police, tout autant qu'elles orientent les contrôles d'identité vers des zones déterminées et des espaces localisés, afin d'obéir au « double bind » contradictoire opposant logique de reconnaissance par le face-à-face à la logique d'identification administrative, et mesures de police obéissant aux ordres formulés par les circulaires ministérielles aux normes constitutionnelles interdisant la discrimination et les restrictions injustifiées de la liberté d'aller et de venir. Mais on peut aussi s'interroger sur la façon dont la biométrie rend effectif les normes juridiques: n'y a-t-il pas, en effet, un risque de perversion de ces normes dans leur application même, dans la mesure où la biométrie peut conduire à mettre l'accent sur l'apparence physique ou l'appartenance ethnique? Enfin, comme l'ont souligné diverses personnes et organismes à l'occasion du débat sur la carte d'identité INES (dont D. Bigo, la CNCDH, etc.), l'identification biométrique pose un véritable problème au regard non pas de l'effectivité des normes, mais de leur trop grande effectivité. En effet, les faux papiers, pour dangereuse que soit la fraude documentaire à l'égard des impératifs d'ordre public, qui englobent souvent des aspects relatifs à la politique de l'immigration ou à la distinction des ayant-droits, sont aussi des sauf-conduits indispensables en cas d'installation de régimes autoritaires. C'est là le sens de l'instauration de dispositifs de destruction des fichiers prescrits par la CNIL, qui tendent à être de moins en moins installés. Il se pourrait bien que la condition d'un régime démocratique soit tout autant l'ineffectivité relative de ses normes que leur efficacité permanente. Seul ce hiatus entre la norme et son application pourrait préserver un espace marginal de liberté individuelle, indispensable si le caractère démocratique du régime aboutissait à être mis en cause. Si le concept de totalitarisme a une valeur heuristique, et pas seulement polémique, ne pourrait-on pas proposer de le définir, de façon qu'apparemment provocante, comme adéquation parfaite et complète de la norme au réel? La crainte, justifiée, de l'impossibilité d'échapper à l'identification administrative doit toutefois être relativisée: comme nous avons pu le montrer, la possibilité de l'usurpation d'identité, et donc de sa falsification, ne disparaît pas dans un régime d'identification biométrique, qui certes rend possible une traçabilité accrue des individus. S'il se fait plus rare, la confiance parfois excessive accordée aux technologies biométriques, et la transmutation du caractère seulement vraisemblable de l'identification opérée en certitude juridique irréfragable, conduit à porter à une nouvelle puissance le phénomène des « vrais-faux papiers », qu'ils soient obtenus grâce à une ruse effectuée lors de la demande des « documents sources », ou par un dispositif mettant en échec les dispositifs de reconnaissance biométrique, ou encore par l'utilisation des failles de la « chaîne de l'identité », qui peuvent permettre d'obtenir, par des effets d'illégalismes tolérés, certains documents qui donnent ensuite le droit d'obtenir d'autres documents, conduisant ainsi à l'élaboration de statuts juridiques distincts et gradués. D'une part, la ligne de partage ne s'arrête pas à la simple distinction, grossière, entre étranger et national, ayant-droit et sans-droits: elle conduit au contraire à l'élaboration d'identités multiples, qui peuvent combiner toutes ces caractéristiques à des niveaux différents, le citoyen pouvant se trouver sans-droits Conclusion p. 338 Conclusion P lorsque l'impératif de « dignité de la personne » conduit à lui dénier toute liberté de choix, tandis que l'étranger sans-papiers peut acquérir, progressivement, certains droits, et certains papiers validant ces droits. D'autre part, l'effectivité « trop grande » des normes régissant l'identité civile risque de se transformer en « hyper-effectivité », le faux et l'incertitude s'insérant au coeur même de la vérité et de la certitude juridique. Plus la conviction que les identités civiles sont garanties de façon certaine par des dispositifs techniques complexes grandit, plus le péril représenté par la falsification de l'identité croît, celle-ci devenant de plus en plus inimaginable. Ainsi, en apposant le sceau de la validité juridique aux dispositifs techniques de reconnaissance biométrique, le droit court le risque de renforcer d'autant les simulacres d'identité, qui n'obéissent plus au simple critère binaire discriminant entre le vrai et le faux, l'identité vérace et l'identité fictive, l'identité citoyenne et l'identité étrangère ou dépourvue de droits, mais occupent tout un continuum d'identités bénéficiant de statuts intermédiaires entre l'illégalité totale et la citoyenneté « n'ayant rien à se reprocher ». 340 ANNEXESDélibérations de la CNIL concernant la biométrie avant 2004 (sauf traitements de souveraineté) Délibération n°97-044 du 10 juin 1997 relatif au dispositif de reconnaissance par empreintes digitales mis en oeuvre par la Banque de France. Délibération n°98-012 du o3 mars 1998. Délibération portant avis sur projet d'arrêté relatif au traitement automatisé d'informations nominatives de gestion électronique de documents ED) mis en oeuvre par le ministère de l'intérieur français au sein du bureau national SIRENE Délibération n°oo-o15 du 21 mars 2000 portant adoption du formulaire de déclaration des traitements de données personnelles mis en oeuvre dans le cadre d'un site Internet (collège Jean Rostand de Nice). Délibération n°00-056 du 16 novembre 2000 portant avis sur le projet d'arrêté présenté par le ministre de l'Education nationale concernant un traitement automatisé d'informations nominatives ayant pour finalité le contrôle d'accès, par la reconnaissance des empreintes digitales de certains personnels de l'Education nationale, pour certains locaux de la cité académique de Lille Délibération n°00-057 du 16 novembre 2000 portant avis sur un projet d'arrêté prévu par le préfet de l'Hérault concernant un traitement automatisé d'informations nominatives ayant pour finalité la gestion du temps de travail des agents de la préfecture. Récépissé de déclaration du 17 novembre 2000. Avis favorable à un dispositif biométrique utilisant les empreintes digitales, stockées sur une base centrale, à des fins de contrôle d'accès de zones sécurisées dans des bâtiments de stockage du plutonium9°8 Autres délibérations de l'année 2000 (citée dans le 21e rapport d'activité): Avis défavorable (pour défaut de proportionnalité) concernant l'instauration d'une bases de données faisant appel aux empreintes digitales, dans une finalité de contrôle des horaires d'employés travaillant sur le site de l'aéroport de Roissy-Charles-de-Gaulle. Avis favorable pour l'instauration d'un dispositif de lecteurs d'empreintes digitales visant à contrôler l'accès de locaux du site nucléaire de la Hague de la Cogema, dont certaines zones sont sous secret défense. Le système d'empreintes digitales était totalement déconnecté du système de gestion des horaires de présence, effectué par pointage via un badge. Délibération n° 01-006 du 25 janvier 2001 portant avis sur un projet de décision présenté par l'établissement public du Musée du Louvre concernant un traitement de contrôle des accès et des horaires de certains personnels par la reconnaissance du contour de la main. Avis favorable. Récépissé de déclaration du 12 février 2001. Avis favorable concernant l'usage d'un dispositif fondé sur la géométrie de la main, installé par une bijouterie pour le contrôle d'accès. Récépissé de déclaration du 12 février 2001. Avis favorable concernant l'usage d'un dispositif fondé sur la géométrie de la main, utilisé pour le contrôle des horaires du personnel soignant à domicile des personnes handicapées9°9. Récépissé de déclaration du 25 avril 2001. Avis favorable à un dispositif biométrique utilisant les empreintes digitales, stockées sur une base centrale, à des fins de contrôle d'accès de zones sécurisées dans les locaux du groupement carte bleue"). Récépissé de déclaration de 2002. Avis favorable concernant l'usage d'un dispositif fondé sur la géométrie de la main, utilisé aux fins de contrôle des horaires du personnel de nettoyage d'un centre commercial à La Défense911 908 CNIL (2001), 22e rapport d'activité, p.170 9°9 Ibid. 91O CNIL (2001), 22e rapport d'activité, p.170 911 Ibid. Annexes P. Annexes P. 341 Délibération 02-008 du 07 mars 2002. Délibération portant avis sur un projet de décret modifiant le code de procédure pénale et relatif au fichier national des empreintes génétiques Délibération n°02-015 du 14 mars 2002 portant avis sur un projet d'arrêté présenté par la mairie de Mérignac concernant l'expérimentation d'un dispositif de vote électronique reposant sur l'utilisation de cartes à microprocesseur comportant les empreintes digitales des électeurs. Délibération 02-022 du 02 avril 2002. Délibération relative à la demande d'avis présentée par la mairie de Vandoeuvre-les-Nancy concernant l'expérimentation d'un dispositif de vote électronique par internet à l'élection présidentielle Délibération n°02-033 du 23 avril 2002 relative à la demande d'avis présentée par la mairie de Goussainville concernant la mise en oeuvre d'un dispositif de reconnaissance de l'empreinte digitale ayant pour finalité la gestion des horaires de travail des personnels communaux912. Délibération n°02-034 du 23 avril 2002 portant avis sur un projet de décision du directeur général de l'établissement public aéroports de Paris relative à une expérimentation de trois dispositifs biométriques de contrôle des accès aux zones réservées de sûreté des aéroports d'Orly et de Roissy. Récépissé de déclaration du 25 avril 2002. Avis favorable à un dispositif biométrique utilisant les empreintes digitales, stockées sur une base centrale, à des fins de contrôle d'accès de zones sécurisées dans des zones de fabrication de cartes à puce de la SAGEM913. Délibération n°02-045 du 18 juin 2002 portant avis sur un projet de décision du directeur de l'URSSAF de la Corse relatif à la mise en oeuvre d'un dispositif de reconnaissance de l'empreinte digitale destinée à contrôler les accès aux locaux professionnels de l'URSAFF. Délibération n°02-070 du 15 octobre 2002 portant avis sur le traitement automatisé d'informations nominatives, mis en oeuvre par le collège Joliot Curie de Carqueiranne, destiné à contrôler l'accès au restaurant scolaire par la reconnaissance de la géométrie de la main. Délibération n°03-027 du 22 mai 2003 portant avis sur le projet d'arrêté du ministre de la justice portant avis sur le projet d'arrêté du ministre de la justice portant création d'une application informatique destinée à vérifier l'identité des détenus en établissement par reconnaissance de la morphologie de la main Délibération n°o3-o15 du 24 avril 2003 portant avis sur les articles 4 et 5 d'un projet de loi relatif à l'immigration Délibération n° 03-032 du 5 juin 2003 portant avis sur le projet d'arrêté du ministre de la Justice portant création dans certains établissements pénitentiaires d'un traitement automatisé de données nominatives ayant pour objet la gestion des personnes placées sous surveillance électronique Délibération n°03-043 du 7 octobre 2003 portant avis sur un projet de décret modifiant le Code de procédure pénale et relatif au fichier national automatisé des empreintes génétiques Délibération n°03-065 du 16 décembre 2003 portant avis sur le traitement automatisé d'informations nominatives, mis en oeuvre par la mairie de Levallois-Perret, destiné à contrôler l'accès au Roller-Parc par la reconnaissance des empreintes digitales. Délibération n°04-006 du 04 mars 2004. Délibération relative à une demande d'avis présentée par l'université Joseph Fourier de Grenoble concernant la mise en place par le laboratoire de génétique d'une base de données génétiques anonymisées accessible sur internet. Délibération n°04-017 du 8 avril 2004 relative à une demande d'avis de l'Etablissement public Aéroports de Paris concernant la mise en oeuvre d'un contrôle d'accès biométrique aux zones réservées de sûreté des aéroports d'Orly et de Roissy: avis favorable (stockage sur support individuel). Délibération n°04-018 du 8 avril 2004 : avis négatif suite à demande présentée par le Centre hospitalier de Hyères concernant la mise en oeuvre d'un dispositif de reconnaissance de l'empreinte digitale ayant pour finalité la gestion du temps de travail de son personnel (stockage sur lecteur central). Délibération n°04-068 du 24 juin 2004. Délibération portant avis sur le projet de décret du ministre de l'intérieur modifiant le décret du 8 avril 1987 relatif au fichier automatisé des empreintes digitales. 912 Citée dans le 23e rapport d'activité (2002). 913 CNIL (2001), 22e rapport d'activité, p.170 Bibliographie p. 342 BIBLIOGRAPHIEDOCUMENTS RÉGLEMENTAIRES Textes internationaux et communautaires Commission européenne (2008), communication du 13 février 2008, « Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne »; COM (2008) 69 final. Commission européenne (2008), communication du 13 février 2008 sur l'« examen de la création d'un système européen de surveillance des frontières (EUROSUR) »; COM (2008) 68 final. Commission européenne (2005), communication du 24 novembre 2005 sur « le renforcement de l'efficacité et de l'interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergie entre ces bases » CEPD (2006), « Observations relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes », 10 mars 2006. Commission internationale de l'état civil (1991), recommandation n°8, relative à l'informatisation de l'état civil, adoptée par l'Assemblée générale de Strasbourg le 21 mars 1991. Conseil de l'Europe, Convention 108, ou Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données de janvier 1981 Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers Directive 2004/38/CE du 29 avril 2004 relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) Directive 95/46 CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données OACI (Organisation de l'aviation civile internationale), document 9303 sur les MRP (Machine Readable Passports) Proposition de Décision-cadre du Conseil (2007) relative à l'utilisation des données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives ; COM (2007) 654 G29 (2007), Avis commun sur la proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007, adopté le 5 décembre 2007 par le groupe de travail «Article 29»; adopté le 18 décembre 2007 par le groupe de travail sur la police et la justice (02422/07/EN WP145) CEPD (2008), avis du 20 décembre 2007 sur le projet de proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record -- PNR) à des fins répressives. Publié au JO le ler mai 2008, 52008XX0501(01) ....Agence européenne des droits fondamentaux (2008), « Opinion of the European Union Agency for Fundamental Rights on the Proposal for a Council Framework Decision on the use of Passenger Name Record (PNR) data for law enforcement purposes », 28 octobre 2008. Bibliographie p Sénat français (2009), Résolution européenne sur la proposition de décision-cadre relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives (E 3697) devenue résolution du Sénat le 20 mai 2009. http://www.senat.fr/leg/taso8-o84.html Règlement (CE) n°444/2009 du Parlement européen et du Conseil du 28 mai 2009 modifiant le règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres. JO L 142 6 juin 2009. CEPD, avis du 26 mars 2008 concernant la proposition de règlement modifiant le règlement (CE) n° 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, JO C 200, 06.08.2008, p. 1 Règlement (CE) n°767/2008 du 9 juillet 2008 concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (art. Règlement (CE) n°380/2008 du Conseil du 18 avril 2008 modifiant le règlement (CE) n°1030/2002 établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers. JO L 115 du 29 avril 2008. Règlement (CE) n°1987/2006 du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) Proposition de règlement (2006) du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa, 31 mai 2006 (COM(2006) 269 final) Règlement (CE) n° 851/2005 du Conseil du 2 juin 2005 modifiant le règlement (CE) n° 539/2001 fixant la liste des pays tiers dont les ressortissants sont soumis à l'obligation de visa pour franchir les frontières extérieures des États membres et la liste de ceux dont les ressortissants sont exemptés de cette obligation en ce qui concerne le mécanisme de réciprocité /* COM/2006/0003 final */ Règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres. ....CEPD (Contrôleur européen de la protection des données), avis du 26 mars 2008 concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n°2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres. (2008/C 200/01, publié au Journal officiel de l'Union européenne le 6 août 2008). Règlement (CE) n°343/2003 du 18 février 2003 établissant les critères et mécanismes de détermination de l'Etat membre responsable de l'examen d'une demande d'asile présentée dans l'un des Etats membres par un ressortissant d'un pays tiers. Règlement (CE) n° 2320/2002 du Parlement européen et du Conseil du 16 décembre 2002 relatif à l'instauration de règles communes dans le domaine de la sûreté de l'aviation civile (Texte présentant de l'intérêt pour l'EEE) - Déclaration interinstitutionnelle , Journal officiel n° L 355 du 30/12/2002 p. 0001 - 0022 Règlement (CE) n°1030/2002 du Conseil du 13 juin 2002 (modèle uniforme de titre de séjour pour les ressortissants de pays tiers) Règlement (CE) n°45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données Règlement (CE) n°2725/2000 du Conseil du 11 décembre 2000 concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin, publié au JOCF le 15 décembre 2000. Résolution du Conseil du 25 juin 2001 relative à l'échange des résultats des analyses d'ADN (2001/C 187/01) Bibliographie p Résolution du Conseil, du 9 juin 1997, relative à l'échange des résultats des analyses d'ADN, publié au JO C 193, 24.06.1997 (97/C 193/02) Parlement européen (2009), « Visas biométriques : pas d'empreintes digitales pour les enfants de moins de douze ans », communiqué de presse du 25 mars 2009, http://www.europarl.europa.eu/news/expert/infopress page/023-52493-082-03-13-902-20090324IPR52485-23-03-2009-2009-false/default fr.htm Textes français Décret n° 2009-786 du 23 juin 2009 (SALVAC) Décret n°2009-505 du 4 mai 2009 portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatif à l'entrée et à la sortie des ressortissants étrangers en court séjour à La Réunion, publié au JO le 6 mai 2009, conjointement à la délib. n°2008-074 du 18 mars 2008. Circulaire du 27 novembre 2008 relative aux conditions de délivrance de la carte nationale d'identité et du passeport aux personnes en possession d'un titre de circulation; NOR : INTD0800179C (BOMI,n° 2008-11 (110V. 2008), publié en ligne le 3o mars 2009) Décret n° 2008-631 du 27 juin 2008, qui dispose notamment que « le décret n°91-1051 du 14 octobre 1991 susvisé est abrogé à la date du 31 décembre 2009. »; Décret n° 2008-632 du 27 juin 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé « EDVIGE » Arrêté du 26 mai 2008 relatif aux actes de l'état civil requis pour la délivrance ou le renouvellement du passeport, abrogeant et remplaçant l'arrêté du 30 juillet 2001 relatif aux pièces d'état civil requises pour la délivrance du passeport et l'arrêté du 31 mars 2006 relatif aux actes de l'état civil requis pour la délivrance du passeport électronique Décret n°2008-426 du 3o avril 2008, modifiant le décret n°2005-1726 du 3o décembre 2005 relatif aux passeports électroniques Décret n° 2007-1182 du 3 août 2007 portant création d'un traitement automatisé de données à caractère personnel relatives à des passagers des aéroports français franchissant les frontières extérieures des Etats parties à la convention signée à Schengen le 19 juin 1990 (JO, 7 août 2007.) Circulaire du 7 mai 2008 du ministère de l'Intérieur, relative aux choix des 2 000 communes appelées à recevoir des stations d'enregistrement des données personnelles pour le nouveau passeport, NOR : INTAo8001o5C (Bulletin officiel du Ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, n°2008-05 (mai 2008), publié en ligne le 5 octobre 2008914) Décret n° 2007-240 du 22 février 2007 portant création de l'Agence nationale des titres sécurisés. Décret n° 2007-255 du 27 février 2007 fixant la liste des titres sécurisés relevant de l'Agence nationale des titres sécurisés, publié au JO le 28 février 2007; arrêté du 3o mai 2007 fixant la date à partir de laquelle l'Agence nationale des titres sécurisés exerce ses missions concernant le passeport biométrique . Décret n°2007-86 du 23 janvier 2007 relatif à l'accès à certains traitements automatisés mentionnés à l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Décret n° 2007-893 du 15 mai 2007 relatif à la domiciliation des personnes sans domicile stable . Arrêté du 31 mars 2006 relatif aux actes de l'état civil requis pour la délivrance du passeport électronique, JO 4 avril 2006. 914 http://www.interieur.gouv.fr/sections/a votre service/publications/circulaires/bomi/n-2008-05/downloadFile/file/boi 20080005 0000 p000.pdf Bibliographie p Loi n°2007-1631 du 20 novembre 2007 relative à la maîtrise de l'immigration, à l'intégration et à l'asile (notamment art. 13-V) Observations du Gouvernement sur les recours dirigés contre la loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile, JORF n°270 du 21 novembre 2007 page 19012 . NOR: CSCL0711007X Conseil constitutionnel, décision n°2007-557 DC du 15 novembre 2007 HALDE (2007), délib. n°2007-370 du 17 décembre 2007 CCNE (2007), avis n° 100, « Migration, filiation et identification par empreintes génétiques », 4 octobre 2007. Décret n°2006-587 du 24 mai 2006 modifiant le décret n° 2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy - Charles-de-Gaulle. Circulaire du 21 février 2006 relative à aux conditions de l'interpellation d'un étranger en situation irrégulière, garde à vue de l'étranger en situation irrégulière, réponses pénales. CRIM 2006 05 E1/21-02-2006. NOR : JUSD0630020C (Bulletin officiel du ministère de la justice, n° 101 (1er janvier au 31 mars 2006) Décret n°2005-585 du 27 mai 2005 modifiant le décret n° 87-249 du 8 avril 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l'intérieur915(JO n°124 du 29 mai 2005). Pris après avis favorable (sous réserves) de la CNIL, « Délibération n° 2004-068 du 24 juin 2004 portant avis sur le projet de décret du ministre de l'intérieur modifiant le décret du 8 avril 1987 relatif au fichier automatisé des empreintes digitales (demande d'avis n° 104023) » (JO n°124 du 29 mai 2005 ) Loi n° 2003-1119 du 26 novembre 2003 relative à la maîtrise de l'immigration, au séjour des étrangers en France et à la nationalité (modifie notamment l'art. 47 du Code civil relatif aux actes d'état civil faits à l'étranger) Loi n°2003-239 sur la sécurité intérieure (« loi Sarkozy ») 7 )916 Arrêté du 10 juin 2003 portant création d'un système de reconnaissance biométrique de l'identité des détenus (publié au JORF n°146 du 26 juin 2003 page 1071 Décret n°2005-556 du 27 mai 2005 portant création à titre expérimental d'un traitement automatisé de données à caractère personnel relatives à des passagers de l'aéroport Roissy-Charles-de-Gaulle (JO n°123 du 28 mai 2005, p.9353, 2 p.) - traitement Pégase Décret n°2002-697 du 3o avril 2002 modif. le code de procédure pénale (...) et relatif au FNAEG Décret n° 2001-583 du 5 juillet 2001. (STIC) Loi n°97-396 du 24 avril 1997 portant diverses dispositions relatives à l'immigration, dite « loi Debré », publiée au JO le 25 avril 1997. Décision n° 97-389 DC du 22 avril 1997_ Observations du gouvernement en réponse aux saisines du Conseil constitutionnel en date du 27 mars 1997, JO n°97 du 25 avril 1997. NOR: CSCL97O1993X ....Projet de loi portant diverses dispositions relatives à l'immigration, texte définitif adopté par le Sénat le 26 mars 1997: http://www.senat.fr/leg/tas96-o9o.html Masson, Paul (1997), « Rapport 200: L'immigration », Commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale - Rapport 200 -1996 / 1997. http://www.senat.fr/rap/196-200/196-200 toc.html 915 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=SAFFDoEC59649E3DCB243EoA39AE4o 9o.tpdjol3v 3? cidTexte=JORFTEXTo 0000025913 o&fastPos=1&fastRegId=211917912&categorieLien=id&oldAction =rechTexte 9i6 http://www.legifrance.gouv.fr/affichTexte.do;j sessionid=C6834o5CB59845BAC1E811A7426Doo7o. tpdjoiov 1?cidTexte=JORFTEXT000000421996&categorieLien=id Bibliographie p Loi n°95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité (1) (en part. le chapitre II) et décret n°96-926 du 17 octobre 1996 relatif à la vidéosurveillance pris pour l'application des articles 10 et 10-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité Décret n°87-249 du 8 avril 1987 (FNAED); CNIL, délib. n°86-102 du 14 octobre 1986 Décret n°87-178 (« système de fabrication et de gestion informatisée des cartes nationales d'identité ») et décret n°87-179 du 19 mars 1987 publié au JO du 20 mars 1987. Décret n°80-609 du 31 juillet 1980 « portant création d'un système de fabrication des cartes nationales d'identité » Loi n°69-3 du 3 janvier 1969 relative à l'exercice des activités ambulantes et au régime applicable aux personnes circulant en France sans domicile ni résidence fixe; décret n°70-708 du 31 juillet 1970 Décret n°65-422 du ler juin 1965 « portant création d'un service central d'état civil au ministère des Affaires étrangères ». Organes consultatifs ou « autorités administratives indépendantes » CNIL Pour des raisons de présentation, mais aussi en raison de l'ambiguïté des textes de la CNIL, nous incluons ici tout ce qui est publié par la CNIL, quel que soit le statut exact à accorder à ces textes. Textes réglementant la CNIL Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 Décret n°78-774 du 17 juillet 1978 pris pour l'application des chapitres Ier à IV et VII de la loi n° 7817 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, abrogé par le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 CNIL, délib. n°82-28 du 16 mars 1982 portant recommandation en matière d'essais et d'expériences. CNIL, délib. n°2005-049 du 24 mars 2005, portant avis sur un projet de décret en Conseil d'Etat pris pour l'application de la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. CNIL, délib. n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés Autres CNIL (2009), « La CNIL autorise le recours à la biométrie pour lutter contre la fraude à un «concours mondial» organisé par des grandes écoles de commerce », 15 juillet 2009, http://www.cnil.fr/dossiers/scolarité-mineurs/actualités/article/288/la-cnil-autorise-le-recours-a-la-biometrie-pour-lutter-contre-la-fraude-a-un-concours-mondial/ Bibliographie p CNIL (2009), 29e rapport 2008 (en part. p.13-15 sur le fichier Edvige, p.23-26 sur la vidéosurveillance, p.27-31 sur la constitutionnalisation du droit à la protection des données personnelles, et p.5o sq., sur la vie privée, la biométrie, la coopération policière et judiciaire, etc.), La Documentation française. CIVIL (2008), 28e rapport d'activité 2007, « Encadrer la biométrie », p.18-22, La Documentation française, 2008. CNIL (2008), L'Echo des séances, 25 septembre 2008. « La CNIL dit non aux empreintes digitales pour la biométrie dans les écoles », http://www.cnil.fr/index.php? id=2524&news[uid] =583&cHash=4b9d4obo67 Debet, Anne (2007), « Mesure de la diversité et protection des données personnelles », rapport de la CNIL, 15 mai 2007. CNIL (2007), « Biométrie : la CNIL encadre et limite l'usage de l'empreinte digitale », communiqué du 28 décembre 2007. http://www.cnil.fr/index.php?id=2363 CNIL (2007) « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf CNIL (2007), « La Biométrie à l'oeil et à la tête du ... volontaire »,10 février 2007: http://www.cnil.fr/la-cnil/actu-cnil/article/article//la-biometrie-a-loeil-et-a-la-tete-du-volontaire/ CNIL (2007), 27e rapport d'activité 2006 (en part. p.13-16 sur la « convergence des technologies » et p.19-20 sur le VIS et la coopération policière et judiciaire) CNIL (2006), AU-009 du 27 avril 2006 relative aux traitements de données à caractère personnel reposant sur l'identification d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire CNIL (2006), AU-008: « Délibération n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail (décision d'autorisation unique n° AU- 0o8) »917. CNIL (2006), AU-007 du 27 avril 2006 relative aux dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail; CNIL (2006), 26e rapport 2005 (p.49-50 sur la biométrie, p.51-53 sur l'antiterrorisme, etc.) CNIL (2005), « La carte d'identité électronique en Europe: Belgique, Italie, Espagne, Pays-Bas, Grande-Bretagne, Allemagne », accessible sur http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/identite-electronique-EUROPE.pdf CNIL (2005), « La biométrie », ter juin 2005, accessible sur http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/LA BIOMETRIEmai2005.pdf CNIL (2004), Délib. n° 2004-068 du 24 juin 2004 portant avis sur le projet de décret du ministre de l'intérieur modifiant le décret du 8 avril 1987 relatif au fichier automatisé des empreintes digitales (demande d'avis n° 104023) (JO n°124 du 29 mai 2005) CNIL (2004), 24e rapport d'activité 2003 (en part. p.82-83 sur la carte nationale d'identité électronique, et le recensement des délibérations de 2003 concernant la biométrie p.251-263) Bouchet, Hubert (2004), La cybersurveillance sur les lieux de travail, rapport de la CNIL, La Documentation française, 2004. CIVIL (2003), 23e rapport d'activité 2002 CNIL (2003), Délib. n°o3-027 du 22 mai 2003, portant avis sur le projet d'arrêté du ministre de la justice portant création d'une application informatique destinée à vérifier l'identité des détenus en établissement par reconnaissance de la morphologie de la main 917 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000639921&dateTexte= CNIL (2002), 22e rapport d'activité 2001 (en part. tout le chap. III, notamment la section 4, « Un siècle de biométrie? », p.157-172) CNIL (2001), 21e rapport d'activité 2000 CNIL (2000), 20e rapport d'activité 1999 (en part. pp.29-42 sur l'ADN et le FNAEG et chap. II, p.61-99, « le MR, un numéro pas comme les autres »). G29 (GROUPE DE TRAVAIL SUR LA PROTECTION DES PERSONNES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL) Groupe de travail établi en vertu de l'article 29 de la directive 95/46/CE, missions définies à l'art. 3o de la directive 95/45/CE et à l'art.15 de la directive 2002/58/CE. Avis n°2/2009 sur la protection des données à caractère personnel de l'enfant (Principes généraux et cas particulier des écoles), adopté le 11 février 2009 (22 p.) (398/o9/FR WP 16o) Avis n° 3/2007 sur la proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa (COM(2oo6)269 final) Avis commun sur la proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007 Avis n°9/2006 sur la mise en oeuvre de la directive 2004/82/CE du Conseil concernant l'obligation pour les transporteurs de communiquer au préalable les données relatives aux passagers, adopté le 28 septembre 2006 (01613/136/FR WP 127). Avis n°8/2004 sur l'information pour les passagers concernant le transfert des données PNR sur les vols entre l'Union européenne et les Etats-Unis d'Amérique Avis n°7/2004 sur l'insertion d'éléments biométriques dans les visas et les titres de séjour en tenant compte de la création du système d'information Visas (VIS), adopté le 11 août 2004 (11224/o4/FR WP 96) « Document de travail sur la biométrie », adopté le ler août 2003.12168/02/FR WP 80. Avis n°8/2001 sur le traitement de données personnels dans le milieu du travail WP 48 CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES Institué par le règlement (CE) n°45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. Avis du 11 novembre 2008 concernant le rapport final du Groupe de contact à haut niveau UE/Etats-Unis sur le partage d'informations et la protection de la vie privée et des données à caractère personnel, JO C 128, 06.06.2009, p. 1 Avis du 26 mars 2008 concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n°2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres. (2008/C 200/01, publié au Journal officiel de l'Union européenne le 6 août 2008). Bibliographie p. 348 Bibliographie p Avis du 20 décembre 2007 sur le projet de proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record -- PNR) à des fins répressives. Publié au JO ier mai 2008, 52008) X0501(01) Avis du 13 octobre 2006 sur le projet de règlement du Conseil (CE) portant fixation de la forme des laissez-passer délivrés aux membres et aux agents des institutions (2006/C 313/13, publié au Journal officiel le 20 décembre 2006) Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité (COM (2005) 490 final) (§48 et 61). Avis du contrôleur européen de la protection des données sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475 final), publié au JOUE le 25 février 2006 COMITÉ CONSULTATIF NATIONAL D'ÉTHIQUE Avis n°i7 « relatif à la diffusion des techniques d'identification par analyse de l'ADN (technique des empreintes génétiques) », publié le 15 décembre 1989. Avis n°88, « Sur les méthodes de détermination de l'âge à des fins juridiques », publié le 23 juin 2005. Avis n°98, « Biométrie, données identifiantes et droits de l'homme », publié le 20 juin 2007 Avis n°100, « Migration, filiation et identification par empreintes génétiques », 4 octobre 2007. AUTRES AAI ET AUTORITÉS DE PROTECTION DES DONNÉES Autorité grecque de protection des données personnelles (HDPA) 91$, décision n°62/2007, citée dans le 11e rapport annuel du G29, p.58 HDPA, décision n°245/9 du 20 mars 2000 (concernant un dispositif de reconnaissance d'empreintes digitales utilisé à des fins de contrôle de la présence des employés) HDPA, décision n°510/17 du 15 mai 2000 (sur la carte nationale d'identité) HDPA (2001), directive n°115/2001 ( concernant la protection des données personnelles des travailleurs) HDPA, décision n°9/2003 du 31 mars 2003 (concernant Attiko Metro et le dispositif de reconnaissance géométrique de la main à des fins de contrôle d'accès) HDPA, décision n°52/2003 du 5 novembre 2003 (concernant le programme expérimental à l'aéroport d'Athènes) Becta (2007), « Becta guidance on biometric technologies in schools », ler juillet 2007: http://schools.becta.org.uk/upload- dir/downloads/becta_guidance on_biometric technologies in schools.pdf . Commission nationale consultative des Droits de l'homme (CNCDH), avis du ler juin 2006, « Problèmes posés par l'inclusion d'éléments biométriques dans la carte nationale d'identité: contribution de la CNCDH au débat. » Commission nationale de déontologie de la sécurité, avis n°2008-60 918 Les décisions citées de l'Autorité grecque de protection des données personnelles ont été lues dans leur traduction anglaise: http://www.dpa.gr/portal/page? pageid=33,4359o& dad=portal& schema=PORTAL HALDE, délib. n° 2009-242 du 15 juin 2009 relative aux difficultés rencontrées par des gens du voyage pour obtenir une carte vitale HALDE, délib. n° 2008-157 du 07 juillet 2008 relative à l'obtention de la carte nationale d'identité par des gens du voyage domiciliés sur un terrain non constructible HALDE, délib. n°2007-372 du 17 décembre 2007, « recommandations sur les discriminations subies par les gens du voyage » Information Commissionner Office (UK), 2008, « The use of biometrics in schools », http://www.ico.gov.uk/upload/documents/library/data protection/detailed specialist guides/finger printing final view.pdf ). Jurisprudence Conseil constitutionnel (2008), décision n°2008-562 DC du 21 février 2008 (loi relative à la rétention de sûreté et à la déclaration d'irresponsabilité pénale pour cause de trouble mental) Conseil constitutionnel (2007), décision n° 2007-557 DC du 15 novembre 2007 (loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile) Conseil constitutionnel (2007), communiqué de presse au sujet de la décision n°2007-557 DC : http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/depuis-1958/decisions-par-date/2007/2007-557-dc/communique-de-presse.17181.html Conseil constitutionnel (1994), décision n° 94-343/344 DC du 27 juillet 1994 (loi relative au respect du corps humain et loi relative au don et à l'utilisation des éléments et produits du corps humain, à l'assistance médicale à la procréation et au diagnostic prénatal) Conseil constitutionnel (1986), décision n°86-211 DC du 26 août 1986 (loi relative aux contrôles et vérifications d'identité, qui modifie Fart. 78-3 du Code de procédure pénale concernant la prise d'empreintes digitales et de photographies lors des vérifications d'identité) Conseil d'Etat (section du contentieux), 31 juillet 2009, n°320196 (décision devant être publiée au recueil Lebon). http://nonaedvige.ras.eu.org/IMG/pdf/CRISTINA-ArretCE31o7o9.pdf Conseil d'Etat statuant au contentieux , 22 mai 1992, n° 87043, mentionné dans les tables du recueil Lebon (annulation circulaire du 28 nov. 1986 imposant un visa de sortie à certains étrangers) Cour d'appel de Paris, 18e chambre, arrêt du 11 décembre 2008, Antonio Jaimes Antunes Pinto c. CAPM 93 (Juris Classeur). CA Versailles, 27 avril 2006, Milka B. c/ Kraft Foods Schweiz Holding AG (accessible sur www.juriscom.net) Cour de cassation., chambre commerciale, 12 mars 1985, n°84-17.163, Bulletin 1985 IV N.95, p.84 (un patronyme inséré dans les statuts d'une société signés par le titulaire de ce patronyme devient un signe distinctif qui s'attache à la personne morale) Cour de cassation, Corn., ler décembre 1987, Bull. civ. IV, n°256 (arrêt Romanée Prodi) CEDH (1994), Affaire Burghartz C. Suisse, (Requête n°16213/90), 22 février 1994 Cour suprême des Etats-Unis (2008), Crawford et. al. y. Marion County Election Board et al., arrêt du 28 avril 2008 (concernant la constitutionnalité de lois imposant la présentation de documents d'identité comportant une photographie afin d'avoir le droit de voter). TGI Marseille du 23 mars 1995, « Claude R. contre Ministre de la Justice », accessible sur http://www.legalis.net/jurisprudence-decision.php3?id_article=1120# 350 Bibliographie p. Bibliographie p. 351 Autres (rapports et communiqués officiels, etc.) AFCP (Asssociation francophone de la communication parlée), (2003), « Person Authentication by Voice: A Need for Caution » (par Jean-François Bonastre, Frédéric Bimbot, Louis-Jean Boë, Joseph P. Campbell, Douglas A. Reynolds, Ivan Magrin-Chagnolleau). Voir la page « Débat sur l'expertise vocale dans le cadre de l'identification judiciaire » sur http://www.afcp-parole.org/spip.php?article441 Agence des droits fondamentaux de l'Union européenne (2009), rapport annuel de l'année 2008, 24 juin 2009. Bauer, Alain (dir., 2008),« Groupe de contrôle des fichiers de police et de gendarmerie. Mieux contrôler la mise en oeuvre des dispositifs pour mieux protéger les libertés. Rapport remis au ministre de l'Intérieur, de l'Outre-mer et des collectivités territoriales », décembre 2008. Charandin, Yuri (2008), « Videosurveillance of public areas », rapport du Comité des affaires juridiques et des droits de l'homme du Conseil de l'Europe, doc. 11478, 4 janvier 2008. http://assembly.coe.int/Main£asp?link=/Documents/WorkingDocs/Doco8/EDOC11478.htm Commission européenne (2008), « Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au comité des régions. Préparer les prochaines évolutions de la gestion des frontières dans l'Union européenne », Bruxelles, le 13.2.2008, C0M(2008) 69 final (11 p.) http://ec.europa.eu/justice home/news/information dossiers/borders o8/docs/com 2008 6 9 fr.pdf CEPD (2008) , « Preliminary comments on three Communications from the Commission on border management (COM (2008) 69, COM (2008)68 and COM (2008)67) », 3 mars 2008 Commission européenne (2006), Rapport au Conseil concernant la réciprocité à l'égard de certains pays tiers en matière d'exemption de visa conformément à l'article 2 du règlement (CE) n° 851/2005 du Conseil du 2 juin 2005 modifiant le règlement (CE) n° 539/2001 fixant la liste des pays tiers dont les ressortissants sont soumis à l'obligation de visa pour franchir les frontières extérieures des États membres et la liste de ceux dont les ressortissants sont exemptés de cette obligation en ce qui concerne le mécanisme de réciprocité /* COM/2006/0003 final */ Accessible sur http://eur-lex.europa.eu/smartapi/cgi/sga doc?smartapi!celexplus!prod! DocNumber&lg=fr&type doc=COMfinal&ran doc=20068mu doc=3 Commission européenne, Institute for Prospective Technological Studies (IPTS), JRC (2005), Rapport « Biometrics at the Frontiers: Assessing the Impact on Society » (2005), EUR 21585 EN, 166 p. Accessible sur http://cybersecurity jrc.ec.europa.eu/pages/ProjectlibestudyBiometrics.htm. Résumé exécutif en français (15 p.): http://cybersecurity.jrc.ec.europa.eu/docs/LIBE %2oBiometrics%2oMarch%2005/Biometrics exec summ FR.pdf Résumé critique de Statewatch: "EU: Report on biometrics dodges the real issues", Statewatch news online, mars 2005: http://www.statewatch.org/news/2005/mar/17eu-biometric- report.htm Commission européenne, IPTS, JRC (2003), « Security and Privacy for the Citizen in the Post-September 11 Digital Age: A Prospective Overview », EUR 20823. 187 p. En part. chap. III « The Future of identity in Europe's Information Society », pp.39-53, avec section spécifique à la biométrie p.45-48, et chap. VI « Balancing Security and Privacy in the Information Society », p.89-107. Accessible sur http://cybersecurity.jrc.ec.europa.eu/pages/LIBE%2ostudy.htm Executive summary (14 p.) : http://cybersecurity.jrc.ec.europa.eu/docs/LIBE%20STUDY/20823-ExeSummEN.pdf (résumé également traduit en français). Eurodac Supervision Coordination Group Second Inspection Report, 24 juin 2009. Forum Internet (2004), La Biométrie: usage et représentations (Sylvie Craipeau, Gérard Dubey et Xavier Guchet, février 2004, rapport final, projet incitatif GET 2003, http://www.foruminternet.org/telechargement/forum/biometrieint.pdf )* Bibliographie p Homeland Department Security, « US-VISIT Final Rule: Enrollment of Additional Aliens, Additional Biometric Data and Expansion to More Land Ports », 22 décembre 2008. http://www.dhs.gov/xprevprot/laws/gc 1229618480915.shtm (accès URL le ii février 2009). ICAO (OACI) MRTD Report, vol. 4, n°1 (2009), accessible sur http://www2.icao.int/en/mrtd/Pages/default.aspx ISO (2007), « Harmonized Biometrics Vocabulary » Lecerf, Jean-René (dir.) (2005), « Rapport d'information au nom de la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale par la mission d'information sur la nouvelle génération de documents d'identité et la fraude documentaire » déposé au Sénat le 29 juin 2005 Mariani, Thierry (2007), « Rapport fait au nom de la commission des lois constitutionnelles, de la législation et de l'administration générale de la République sur le projet de loi (n°57) relatif à la maîtrise de l'immigration, à l'intégration et à l'asile (urgence déclarée) », enregistré à la présidence de l'Assemblée nationale le 12 septembre 2007: http://www.assemblee-nationale.fr/13/rapports/roi6o.asp Masson, Paul (1997), « Rapport 200: L'immigration », Commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale - Rapport 200 1996 / 1997 Office parlementaire d'évaluation des choix scientifiques et technologiques (2003), rapport sur « les méthodes scientifiques d'identification des personnes à partir de données biométriques et les techniques de mise en oeuvre », dirigé par Christian Cabal UE, Direction générale des entreprises et de l'industrie, recherche sécurité, « Preparatory Action for Security Research » (PASR, 2006), « BIOTesting Europe: towards a network for testing and certification of biometric components and systems », accessible sur http://ec.europa.eu/enterprise/security/doc/project flyers 2oo7/BIOTesting%2oEUROPE.pdf UE, Direction générale des entreprises et de l'industrie, recherche sécurité, « Preparatory Action for Security Research » (PASR, 2005), « PROBANT: People Real-Time Observation in Buildings: Assessment of New Technologies in Support of Surveillance and Intervention Operations. » http://ec.europa.eu/enterprise/security/doc/project flyers 2oo7/PROBANT.pdf UN News Center, « UN aviation agency's format for biometric passports enters into force », 12 juillet 2005. UNISYS Africa (2008), « Unisys secures $22 Million contract to help develop citizen ID card and criminal registry system for Angolan Ministry of Justice », communiqué du 2 septembre 2008. Accessible sur http://www.itweb.co.za/office/unisys/o8o9o2oo12.htm UNISYS ( dir. Schmitz, P.-E.) (2007), Biometrics in Europe. Trend Report, 2007, Bruxelles, janvier 2007 (copyright Commission européenne). Trassoudaine, Serge (2001) « L'intervention judiciaire dans le maintien des étrangers en rétention administrative et en zone d'attente », Bulletin d'information de la Cour de cassation, n°hors-série, juin 2001 Bibliographie p OUVRAGES ET ARTICLES DE REVUES Abraham, Anne-Laure et Duffé, Julien (2006), « La biométrie fait peur au collège », Le Parisien, 4 décembre 2006 ACLU (American Civil Liberties Union) (2002), « Drawing a Blank: The failure of facial recognition technology in Tampa, Florida » rapport rédigé par Jay Stanley et Barris Steinhardt, 3 janvier 2002.10 p. Accessible sur http://www.aclu.org/FilesPDFs/drawing_blank.pdf Agamben, Giorgio (2004), « Non au tatouage biopolitique », Le Monde, 11-12 janvier 2004 Agier, Michel et Valluy, Jérôme (2007), « Le HCR dans la logique des camps », in Olivier Le Cour Grandmaison, Gilles Lhuilier, Jérôme Valluy (dir.), Le retour des camps ? Sangatte, Lampedusa, Guantanamo..., Paris, Autrement, 2007, p. 153-163 Allouche, Sylvie (2003) « Identité, ipséité et corps propre en science-fiction, une discussion à partir de Paul Ricoeur, Derek Parfit et Greg Egan », Alliances n°60, 2003 http://www.tribunes.com/tribune/alliage/6o/Allouche.html Andréani, Frédérique (2008), « La biométrie dès la crèche », Le Point n°1871, 24 juillet 2008. Balibar, Etienne (1999), « Le droit de cité ou l'apartheid? », in Etienne Balibar, Jacqueline Costa-Lascoux, Monique Chemillier-Gendreau, Emmanuel Terray, Sans papiers : l'archaïsme fatal . Paris : Editions La Découverte, 1999. Beaudu, Gérard (2003) « La politique européenne des visas de court séjour », Cultures & Conflits, 50, été 2003 Bensoussan, Alain (2008), Informatique et libertés, éd. Francis Lefebvre, 2008 (préface d'Alex Turk) Big Brothers Awards (Privacy International), (2006), « Livre Bleu du Gixel, les BBA republient la version originale (et non censurée) », 1eT février 2006: http://bigbrotherawards.eu.org/Livre-Bleu-du-Gixel-les-BBA-republient-la.html Bigo, Didier (2005), audition devant la CNIL, 11 mars 2005: http: // www. cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/CRAUDITIONBIGO.pdf Bigo, Didier (1996), « L'illusoire maîtrise des frontières », Le Monde diplomatique, octobre 1996 Blanchard, Emmanuel (2009), « Ce que rafler veut dire », Plein droit, n°81, juillet 2009 Boeton, Marie (2006), « Pas de passeport pour les « nés sous X » », La Croix, 8 octobre 2006. Bourdieu, Pierre (1977), « Remarques provisoires sur la perception du corps », Actes de la Recherche en Sciences Sociales, 1977, vol. 14, n°1, p.51-54. Broache, Anne (2008), « Real ID worries domestic violence
groups », CNet, 8 février 2008.
http://news.cnet.com/8301-10784
3-9867257-7 Brown, Wendy (2009), « Souveraineté poreuse, démocratie murée », in Revue internationale des livres et des idées, n°12, juillet-août 2009, p.3o-36 (version amendée d'une conférence donnée à l'Ecole normale supérieure le 16 nov. 2008). Bygrave, Lee (2000), « Minding the machine: art. 15 of the EC Data Protection Directive and automated profiling », Privacy Law and Policy Reporter. Http://www.austlii.edu.au/au/journals/PLPR/2000/4o.html Byk, Christian (2008), « Biométrie et Constitution: est-il déjà trop tard pour les libertés publiques? », La Semaine juridique, n°25, 18 juin 2008, I 154 Caplan, Jane et Torpey, John (ed.) (2001), Documenting Individual Identity: The Development of State Practices in the Modern World, Princeton & Oxford, 2001. Ceyhan, Ayse (2006), « Enjeux d'identification et de surveillance à l'heure de la biométrie », Cultures & Conflits, n°64, hiver 2006, p.33-47. Bibliographie p Ceyhan, Ayse (1997), « Etats-Unis: frontière sécurisée, identité(s) contrôlée(s)? », Cultures & Conflits n°26-27, été-automne 1997, éd. L'Harmattan, Paris, p.235-254 Chandler, Arris (2008), "Biometrics Stems Driver's License Fraud", Government technology's Public CIO, 25 juin 2008, http://www.govtech.com/pcio/articles/374147 Chemin, Anne (2006), « Le passeport qui en dit trop», Le Monde, 27 septembre 2006 Christie, Jim (2007), « San Francisco to give illegal aliens ID cards », Reuters, 21 novembre 2007. Christoffersen, John (2007), « New Haven Gives ID Cards To Illegal Aliens », Associated Press, 25 novembre 2007. Cole, Simon (2005), « More than Zero: Accounting for Error in Latent Fingerprint Identification », Journal of Criminal Law and Criminology, vol. 95, n°3, 2005 (95 p.) Cole, Simon (2001), « The Way We Live Now: 5-13-01; The Myth of Fingerprints », The New York Times, 13 mai 2001 Coleman, Stephen (2000), « Biometrics »,The FBI Law Enforcement Bulletin, ler juin 2000, accessible sur The Free Library, http://www.thefreelibrary.com/Biometrics-a063649260 Conlon, Michael (1996) « Photo ID Requirement May Be Permanent For Air Travelers », Los Angeles Times, 11 septembre 1996. Cordillot, Gilles (2007), « Vidéosurveillance et biométrie illégales », Le Parisien, 9 novembre 2007. Cousin, Capucine (2006), « La Cnil inquiète du développement futur de la biométrie et de la géolocalisation », Les Echos Judiciaires Girondins, Journal n°5 247 du 21 avril 2006. http://www.echos judiciaires.com/economie/la-cnil-inquiete-du-developpement-futur-de-la-biometrie-et-de-la-geolocalisation-a3695.html Crettiez, Xavier et Piazza, Pierre (dir.), Du papier à la biométrie, identifier les individus, Presses de Sciences-Po, Paris, 2006, 331 p. Da Silva, Isabelle (2004), (commissaire de gouvernement), « Le changement de nom devant le Conseil d'Etat: le relèvement du patronyme menacé d'extinction (conclusion sous CE n°236470 du 19 mai 2004) », in Revue du droit public, n°4, 2004, p.1153-1171. Deleuze, Gilles et Guattari, Félix (1980), Mille plateaux, Paris, éd. de Minuit, 645 p. Delseny, Damien (2006), « Roissy et Orly se mobilisent », Le Parisien, 11 août 2006. Delseny, Damien (2004), « Empreinte biométrique pour le personnel d'Orly et de Roissy », Le Parisien, 30 avril 2004. Denis, Vincent, (2008) Une histoire de l'identité - France,1715-1815, Champ Vallon, Seyssel, 465 p. Denis, Vincent, (2006) , « L'encartement, de l'Ancien Régime à l'Empire » in Crettiez & Piazza, op.cit. Derrida, Jacques (2003), Voyous, éd. Galilée, Paris. Derrida, Jacques; Guillaume, Marc et Vincent, Jean-Pierre (1997), Marx en jeu, Descartes & Cie, 1997, p.73-91 (transcription d'une intervention improvisée de J. Derrida, le 21 décembre 1996, au Théâtre des Amandiers lors d'une manifestation de soutien aux étrangers en situation irrégulière). Descombes, Vincent (1991), « Le pouvoir d'être soi. Paul Ricoeur. Soi-même comme un autre », in Critique, Paris, Revue générale des publications françaises et étrangères, tome 47, n°529-530, juin juillet 1991, pp. 545-576. Desgens-Pasanau, Guillaume et Freyssinet, Eric (2009), L'identité à l'ère numérique, Dalloz, institut Presaje, 170 p. Dreyfus, Jean-David (2008), « Le SAFARI des élèves du premier degré », Blog Dalloz, 7 nov. 2008. Dupont, Thierry (2003), « La biométrie légalisée dans les prisons françaises », ler juillet 2003, http://www.transfert.net/a9o58 Bibliographie p Dupont, Thierry (2003), « Chine: la future carte d'identité portera l'empreinte génétique de son détenteur », Transfert.net, publié le ier septembre 2003 par ZDNet, accessible sur http://www.zdnet.fr/actualites/informatique/o,39040745,39116206,00.htm Duster, Troy (2005), « Race and Reification in Science », Science, 18 février 2005: Vol. 307. no. 5712, pp. 1050 - 1051 ; DOI: 10.1126/science.111o303 Egan, Greg (1990), The Extra, publié dans Eidolon, vol. 1/2, hiver 1990. Traduit par Francis Lustman et Quarante-Deux. Première publication en français: http://www.quarante-deux.org/recits/egan/nouvelles/reserviste.html Etzioni, Amitai (1999), The Limits of Privacy, Basic Books, New York, 280 p. Feder, Barnaby J. (2001), « Technology & Media; A Surge in Demand To Use Biometrics », New York Times, 17 décembre 2001. Ferré, Nathalie (1997), « Une obsessionnelle présomption de clandestinité », Plein droit, n°35, septembre 1997 Ferret, Stéphane ( prés. et intro.), (1998), L'identité, Flammarion (GF Corpus), Paris, 239 p. Fertin, Nicolas (2007), « Pour entrer, les profs devaient donner leurs empreintes », Le Parisien, 26 janvier 2007. Filhol, Emmanuel (2007), « La loi de 1912 sur la circulation des « nomades » (Tsiganes) en France » in Revue Européenne des Migrations Internationales, 2007, 2, p. 135-158 Find Biometrics (2009), « Biometric ID Card Program for Mexico », 29 juillet 2009. http://www.findbiometrics.com/articles/i/7182/ Fine, Agnès (dir.) (2008), Etats civils en questions. Papiers, identités, sentiment de soi, CHTS, Le regard de l'ethnologue n°19, Editions du comité des travaux historiques et scientifiques, Paris, 2008 Forest, David (2008), « A 3o ans, la Cnil est déjà à bout de souffle », Libération, 4 janvier 2008. http://www.ecrans.fr/A-30-ans-la-Cnil-est-deja-a-bout,2924.html Foucault, Michel (1984), « Face aux gouvernements, les droits de l'homme », texte n°355 des Dits et écrits, éd. Gallimard, Paris. Foucault, Michel (1976), La volonté de savoir, Paris, éd. Gallimard Foucault, Michel (1975), Surveiller et punir, Paris, éd. Gallimard Gabizon, Cécile (2009), « Carte Vitale: la traque aux fraudes est engagée », Le Figaro, 5 mai 2009 Galison, Peter (1999), « Objectivity is Romantic », in American Council of Learned Societies, Occasional Paper n°47, « The Humanities and The Sciences »,1999. Accessible sur http://archives.acls.org/op/op47-3.htm Ginzburg, Carlo (1980), « Signes, traces, pistes - Racines d'un paradigme de l'indice » in Le Débat n°6,1980, pp.2-44 GISTI, « Portes ouvertes dans quelques préfectures », Plein Droit n°15-16, novembre 1991. Grivel Cardon, Peggy « Quand l'ADN divise », Blog Dalloz, 19 octobre 2007, http://blog.dalloz.fr/blogdalloz/2007/10/quand-ladn-divi.html Guchet, Xavier (2004), « Manger sous surveillance. L'usage d'une technique biométrique pour le contrôle d'accès à la cantine scolaire. » (7 p.), actes du 13e colloque de CREIS/Terminal, « Société de l'information, société du contrôle? ». http://www.creis.sgdg.org/colloques%2ocreis/2004/Guchet.htm Guchet, X. (2006), « Le pouvoir biométrique », Ecorev n°25, hiver 2006-07, http://ecorev.org/spip.php?article611 Guédon, Marie-José (1991), Les autorités administratives indépendantes, Paris, LGDJ, 142 p. Gueunier, Noël Jean, M'Trengoueni Mohamed et Soilihi Mouhktar (1999), « « Nom, prénom », une étape vers l'uniformisation culturelle? Identité et statut juridique à Mayotte », Revue des sciences sociales de la France de l'Est, 1999, 26, p.45-53. Guerrier, Claudine (2004), « Les cartes d'identité et la biométrie: l'enjeu sécuritaire », Com. Com. Elec., n°5, mai 2004, étude 13 Bibliographie p. 356 Guild, Elspeth et Bigo, Didier (2003), « La logique du visa Schengen», Cultures & Conflits, 49, printemps 2003 . Gutwirth, Serge (2007), « Biometrics between opacity and transparence » in Annali dell'Istituto Superiore di Sanità 2007, vol. 43, n°1:61-65 Hermitte, Marie-Angèle (2003), « La traçabilité des personnes et des choses. Précaution, pouvoirs et maîtrises », in Pedrot, Philippe (dir.), Traçabilité et responsabilité, Economica, 2003, 323 p. Hincker, Laurent (1999), « Droit du nom et droit au nom », Revue des sciences sociales de la France de l'Est, 1999, 26, p.67-69. Hopkins, Kerrian (2008), « Hartford Bars Police from Asking Status of Illegal Aliens », CNS News.com, 14 août 2008. Hopkins, Richard (1999), « An Introduction to Biometrics and Large Scale Identification », International Review of Law Computers & Technology, vol. 13, n°3, p.337-363, 1999. Hubert, Marie-Christine (1999), « Les réglementations anti-tsiganes en France et en Allemagne, avant et pendant l'occupation », N° 167 (sept.-déc. 1999), Les tsiganes dans l'Europe allemande, de la Revue d'histoire de la Shoah. http://www.memorialdelashoah.org/upload/medias/en/Ai seltextes 167 hubert.pdf Iacub, Marcela (1999), « La construction de la mort en droit français », p.39-55 in Enquête n°7 (« Les objets du droit »), second semestre 1998, éd. Parenthèses, 1999. Ihl, Olivier et Kaluszynski, Martine (2002) « Pour une sociologie historique des sciences de gouvernement », Revue française d'administration publique, 2002/2, n°102, p.229-243 Image and Vision Computing (2009), vol. 27, n°3, numéro spécial sur la biométrie multimodale (accès en ligne sur la base de données sciencedirect.com) Introna, Lucas D. et Nissenbaum, Helen (2009), « Facial Recognition Technology: A Survey of Policy and Implementation Issues », Center for Catastrophe Preparedness and Response, New York University. 6o p. http://www.nyu.edu/ccpr/pubs/Niss 04.08.09.pdf Israel, Liora (2003), « Faire émerger le droit des étrangers en le contestant, ou l'histoire paradoxale des premières années du GISTI », Politix. Vol. 16, N°62. 2E trimestre 2003. pp. 115- 143. Jacquard, Nicolas (2006), « La biométrie doit être encadrée » (entretien avec Louis Joinet, premier directeur de la CNIL, à l'occasion du procès d'Evry concernant le lycée Gif-sur-Yvette), Le Parisien, 22 janvier 2006 Jain, Anil K. (2007), « Biometric recognition », Nature, vol. 449, 6 septembre 2007, p.38-40. Jain, Anil K., Ross, Arun et Prabhakar, Salil (2004), « An Introduction to Biometric Recognition », IEEE Transactions on Circuits and Systems for Video Technology, vol. 14, n° 1, janvier 2004. Jeffrey Smith, R. (1996) « New Devices May Foil Airline Security », Washington Post, 21 juillet 1996, page Ao1. Joh, Elizabeth (2006) « Reclaming « abandoned » DNA : The Fourth Amendment and Genetic Privacy », Northwestern University Law Review, vol. 100, n°2 Joulin, 011iver (2009), « Contrôles d'identité et chasse à l'étranger », Plein droit, n°81, juillet 2009. King, Mike (1997), « Le contrôle des différences en Europe: l'inclusion et l'exclusion comme logiques sécuritaires et économiques », in Cultures & Conflits n°26/27, été-automne 1997, Paris, éd. L'Harmattan, 263 p., p.35-51. Kouni, Geneviève (2004), « « Au regard des lois », le regard hors les lois », Communications, 2004, 75, 1. Labrusse-Riou, Catherine (1988), « La vérité dans le droit des personnes », in L'homme, la nature, le droit (dir. B. Edelmann et M.-A. Hermitte), Christian Bourgois, Paris, 1988. Laniel, L. et Piazza, P. (2006) « L'encartement, réponse au terrorisme (France/Grande-Bretagne) ? », in Crettiez et Piazza (dir.), op.cit., p.211-235. Bibliographie p Ledieu, Marc-Antoine (2008), « Passeports électroniques », veille, Corn. Corn. Elec. N°6, juin 2008, alerte 66. Leneveu, Guillemette (2007), « Tests génétiques : le passage en force », Esprit, nov. 2007 Lepage, Agathe (2005), « La biométrie refoulée de l'entreprise », Corn. Corn. Elec. N°10, octobre 2005, comm. 164. Leprince, Chloé (2008), « Cnil : trente ans contre la « tyrannie de l'ordinateur » », Rue 89, 6 janvier 2008. Lessana, Charlotte (1998), « Loi Debré: la fabrique de l'immigré », Cultures & Conflits, n°31-32, automne-hiver 1998, p.125-159. Ligue des droits de l'homme (2009), Une société de surveillance? L'état des droits de l'homme en France, édition 2009 (dir. Jean-Pierre Dubois et Agnès Tricoire), éd. La Découverte, Paris, 2009, 125 p. Ligue des droits de l'homme (2009), « Grégoire, petit frère d'Edvige », 9 mars 2009. http://www.ldh-toulon.net/spip.php?articleli65 Lochak, Danièle (2004), « Éloigner, une tâche comme une autre », Plein droit, n°62, octobre 2004. Lochak, Danièle (1992), « La race: une catégorie juridique? », Mots, décembre 1992, N°33. «Sans distinction de ... race ». pp. 291-303. Lodge, Juliet et Sprokkereef, Annemarie (2009), « Accountability and transparent e-security -- the case of British (in)security, borders, and biometrics », publié le 22 avril 2009 sur http://www.libertysecurity.org/article2488.html Longman, Timothy « Identity Cards, Ethnic Self-Perception and Genocide in Rwanda » in J. Caplan & J. Torpey (eds), op.cit., pp. 345-58. Louis, Cyrille (2008), « ADN: la justice envisage de rouvrir l'affaire Grégory » et « Près de 200 énigmes judiciaires pourraient être élucidées grâce à la génétique », Le Figaro, 22 octobre 2008. Louis, Cyrille (2008), « Le nouvel arsenal de la police scientifique », Le Figaro, 11 novembre 2008 Lyon, David (2007), « National ID Cards: Crime-Control, Citizenship and Social Sorting », Policing 2007 1(1):111-118; doi:1o.1093/police/pamol5 . http://policing.oxfordjournals.org/cgi/content/full/1/1/111 Lyon, David, Rule, James B. et Combet, Etienne (2004), « Identity Cards: Social Sorting by Database », ler novembre 2004, Oxford Internet Institute, Internet Issue Brief No. 3: http://ssrn.com/abstract=1325259 Martin, Zack (2009), « Smart card, biometrics on the way for Social Security card? », Secure ID News, 22 juillet 2009. http://www.secureidnews.com/2009/07/22/smart-card-biometrics-on-the-way-for-social-security-card?tag=Logical Security Maschino, Maurice T. (2002), « Etes-vous sûrs d'être Français? », Le Monde diplomatique, juin 2002. Masure, François (2008), « Des noms français? Naturalisation et changement de nom » in Fine, Agnès (dir.), op.cit., p.245- 275. Miguel Pimentel, Carlos (2006), « L'exception britannique, l'identité non écrite », in Crettiez & Piazza (dir.), op.cit., p.189-210. Minano, Leila (2007), « Biométrie à la cantine : progrès technologique ou régression éthique ? », Educ Info, 31 août 2007. http://www.educinfo.info/article/Gestion/2675-Biom%C3%A9trie-%C3%Ao-la-cantine-progr%C3%A8s-technologique-ou-r%C3%Aggression-%C3%A9thique.html Mordini, Emilio et Petrini, Carlo (2007) « Ethical and social implications of biometric identification technology », inAnnali dell'Istituto Superior di Sanità 2007, vol.43, n°1: 5-11. Mordini, Emilio et Ottolini, Corinna (2007), « Body identification, biometrics and medicine: ethical and social considerations », in Annali dell'Istituto Superiore di Sanità 2007, vol. 43, n°1, p.51-60 Bibliographie p Mordini, Emilio et Massari, Sonia (2008), « Body, Biometrics and Identity », Bioethics Volume 22 Number 9 2008 pp 488-498 ISSN 0269-9702 (print); 1467-8519 (online) doi:1o.1111/j.1467-8519.2008.00700.x. Accessible sur http://www.hideproject.org/downloads/Mordini Massari-Body Biometrics Identity.pdf Moss, David (2007), « Biometrics: still much too unreliable for everyday use », Nature, vol. 449, issue 7162, 4 octobre 2007, p.535 Mullins, Justin (2007), « Digit-saving biometrics », New Scientist, 13 juin 2007. Accessible sur http://www.newscientist.com/blog/invention/2oo7/o6/digit-saving-biometrics.html Noiriel, Gérard (2006), « L'identification des personnes » in Crettiez & Piazza, op.cit., p.29-37. Noiriel, Gérard (1998), « Surveiller les déplacements ou identifier les personnes ? Contribution à l'histoire du passeport en France de la Iere à la IIIe République », Genèses. Sciences sociales et histoire, 30, mars 1998, p.77-10o. Republié dans Etat, nation et immigration. Vers une histoire du pouvoir, Belin, 2001 (éd. poche, p.448-479) Noiriel, Gérard (1993), « L'identification des citoyens. Naissance de l'état civil républicain », Genèses. Sciences sociales et histoire, Année 1993, Volume 13, Numéro 1, p. 3 - 28. Republié dans Etat, nation et immigration. Vers une histoire du pouvoir, Belin, 2001, p.233-257 (éd. in-cuarto). Nuttall, Chris (1998), « Watching Big Brother », BBC, 27 octobre 1998. http://news.bbc.co.uk/2/hi/science/nature/2o2o24.stm Observatoire de la vie politique turque (2009)« L'arrêt Soysal: un pas vers la libre circulation des ressortissants turcs dans l'Union européenne? », 21 avril 2009. http://ovipot.blogspot.com/20 09/04/larret-soysal-un-pas-vers-la-libre.html Pataut, Etienne (2009), « L'invention du citoyen européen », La vie des idées, 2 juin 2009. http: // www.laviedesidees.fr/L-invention-du-citoyen-europeen.html Pedrot, Philippe (dir.), Traçabilité et responsabilité, Economica, 2003, 323 p. Pelé, Laure (2006), « La biométrie rate son entrée au collège », Le Parisien, 24 mai 2006. Percept, Adeline (2008), « Passeports : le système Rapid des Portugais », France 24,14 juillet 2008. Perrotet, Serge (2008), « Le fichage des étrangers faisant l'objet d'une mesure d'éloignement a été institué », Le Village de la justice, 8 janvier 2008. Persidat, Marie (2008), « Le premier passeport biométrique », Le Parisien, lei novembre 2008 Piazza, Pierre (2007), « Logiques et enjeux de la mise en carte policière des nationaux », in Identités nationales d'Etat, hors-série du Journal des anthropologues, AFA-Fondation MSF, Paris, 2007, 241 p. (p.105-131) Piazza, Pierre (2006), « « La « carte d'identité de français » sous Vichy », in Crettiez et Piazza, op.cit., p.51-69 Piazza, Pierre (2002),« Sociogenèse du carnet anthropométrique des nomades », Les Cahiers de la sécurité intérieure, n° 48, 2ème trimestre 2002, pp. 207-227. Une version légèrement différente est accessible en ligne sur http://laniel.free.fr/INDEXES/PapersIndex/ID CARDS/P PIAZZA/Piazza Carnet Anthropo.htm Pièces et Main-d'oeuvre (2007), « L'invention du contrôle ou les complots du pouvoir », publié en ligne le 3 juillet 2007: http://www.piecesetmaindoeuvre.com/spip.php?page=resume&id article=107 Pièces et Main-d'oeuvre (2007), « Pour l'abolition de la carte d'identité », publié par le « Mouvement pour l'abolition de la carte d'identité » le 14 novembre 2007 : http://www.piecesetmaindoeuvre.com/spip.php?page=resume&id article=122 Pierson, Jacques (2007), La biométrie, l'identification par le corps, Paris, Lavoisier Pigalle, Fabien (2008), « La biométrie s'installe illégalement dans les écoles », Nice Matin, 27 novembre 2008. Posner, Eric A. et Vermeule, Adrian (2007), Terror in the Balance. Security, liberty and the courts, Oxford University Press. Preuss-Laussinotte, Sylvia (2008), « Données biométriques et libertés (CEDH, GC 4 déc. 2008, S. et Marper c. Royaume-Uni », 8 décembre 2008, Combat pour les droits de l'homme, blog Bibliographie p hébergé sur le site du Monde: Preuss-Laussinotte, Sylvia (2006), « L'Union européenne et les technologies de sécurité », Cultures & Conflits, 64, hiver 2006 Renaut, Alain et L. Sosoé (1991), Philosophie du droit, PUF, Paris Ricoeur, Paul (1990), Soi-même comme un autre (voir en particulier la 5e étude, « L'identité personnelle et l'identité narrative »), Le Seuil, Paris. Roberts, Bob (2006), « Exclusive: Fingerprint Scandal of 700 000 Kids », The Mirror, 3 juillet 2006. http://www.mirror.co.uk/news/top-stories/2006/07/03/exclusive-fingerprint-scandal-of-700-000-kids-115875-17324161/ Rosen, Jeffrey (2009), « Genetic Surveillance for All », Slate, 17 mars 2009: http://www.slate.com/id/2213958/pagenum/a11/ Saas, Claire (2003) « Les refus de délivrance de visas fondés sur une inscription au Système Information Schengen », Cultures & Conflits, 50, été 2003, pp. 63-83. Sagnes, Sylvie, « Aux marges de l'état civil: les « Français de l'étranger » in Etats civils en questions. Papiers, identités, sentiment de soi (dir. Agnès Fine), éd. du CHTS(p.55-77) Sainati, Gilles (2008), « Biométrie: entre nouveau projet pédagogique et idéologie », Mediapart, 13 novembre 2008. Sainati, Gilles (2008), « La biométrie au collège, l'éducation à la surveillance du citoyen », Mediapart, 16 septembre 2008. Salas, Denis (2005), La volonté de punir. Essai sur le populisme pénal, Hachette Littératures, Paris, 2005. 287 p. Sankar, Pamela (2001), « DNA-Typing: Galton's Eugenic Dream Realized? » in Caplan & Torpey, op.cit., p.273-291 Schneier, Bruce (1998), « No-fly lists and photo IDs are supposed to help protect the flying public from terrorists. Except they don't work », Los Angeles Times, 28 août 1998. Serraf, Hugues (2007), « Génétique administrative : de Courteline à Orwell »,19 septembre 2007 , http://hugues.blogs.com/commvat/2007/o9/gntique-adminis.html Spire, Alexis (2004), « Le poids des consulats », Plein Droit, n°62, octobre 2004. Sharkey, Joe (2002), « The Nation; Class Consciousness Comes to Airport Security », The New York Times, 6 janvier 2002 Statewatch: "EU: Report on biometrics dodges the real issues", Statewatch news online, mars 2005: http://www.statewatch.org/news/2005/mar/17eu-biometric-report.htm SUD (2007), « Attention où tu mets les mains! », journal de Sud Education, décembre 2006-janvier 2007, p.2. http://sudeducationo4.chez-alice.fr/mapage/page-2-7.pdf Tchen, Vincent (2006) « Encartement et contrôles d'identité » in Crettiez & Piazza (dir.), op.cit., p.139-168. Tercero, Flor (2008), « L'état civil des étrangers, des Français nés à l'étranger et politique migratoire. Le point de vue de l'avocat » in Etats civils en questions. Papiers, identités, sentiment de soi (dir. Agnès Fine), éd. du CHTS(p.77-93) Terray, Emmanuel (2007), « 1942,2006, réflexions sur un parallèle contesté », site de la LDH-Toulon, 23 janvier 2007 Testard-Vaillant, Philippe (2008), « Souriez, vous êtes identifiés », Le Journal du CNRS, n°225, octobre 2008. Accessible sur http://www2.cnrs.fr/presse/journal/4o74.htm Tistarelli, Massimo; Bicego, Manuele; Grosso, Enrico (2007), « Dynamic face recognition: From human to machine vision », Image and Vision Computing 27 (2009) 222-232 (en-ligne sur http://www.sciencedirect.com et librement accessible sur http://profs.sci.univr.it/--bicego/papers/2009 IVC.pdf ). Torpey, John (2000), L'invention du passeport, Belin, Paris, 2005, 256 p. Vadrot, Claude-Marie (2007), « La CNIL occupée » (encadré de l'article « Plaidoyer contre le fichage »), Politis, 14 décembre 2007 http://www.politis.fr/Plaidoyer-contre-le-fichage,2564.html Valicourt de Séranvillers, Héliane de (2009), La preuve par l'ADN et l'erreur judiciaire, L'Harmattan, 258 p. (préface d'Yves Schuliar) Van Buuren, Jelle (2003), « Les tentacules du système Schengen », Le Monde diplomatique, mars 2003 Van Renterghem, Marion (2006), « La tentation du fichage génétique de masse », Le Monde, 26 septembre 2006. Viala, Alexandre (2007), « Quand les réserves du Conseil constitutionnel censurent la loi sans le dire », 27 novembre 2007 , http://cercop.over-blog.com/article-7275498.html) Watson, Andrew (2007), « Biometrics: easy to steal, hard to regain identity », Nature, vol. 449, issue 7162, 4 octobre 2007, p.535. Willoughby, Randy (1997), « Immigration, race et sécurité à la frontière mexicano-californienne », Cultures & Conflits n°26-27, été-automne 1997, éd. L'Harmattan, Paris, p.203- 234 Willse, Craig (2008), « « Universal Data Elements, » or the Biopolitical Life of Homeless Populations », Surveillance & Society, 5 (3), 2008, p.227-251 Yvorel, Jean-Jacques (2009), « Le plus grand danger social, c'est le bandit imberbe ». La justice des mineurs à la Belle Epoque, 16 juin 2009, http://www.laviedesidees.fr/Le-plus-grand-danger-social-c-est.html Zemon Davis, Natalie (1982, 1983), Le retour de Martin Guerre, éd. Tallandier, 2008 (préface de Carlo Ginzburg) Zureik, Elia et Hindle, Karen (2004), « Governance, Security and Technology: The Case of Biometrics », Studies in Political Economy n°73, printemps/été 2004, p.113-137. p. 36o Bibliographie
Index p. 367 Index des tableaux Tableau comparatif des caractéristiques biométriques 83 Statistiques de la CNIL concernant les autorisations d'usage de technologies biométriques 106 biométriques 106 Tableau récapitulatif des différents documents d'identité 221 Demandes d'accès au fichier d'information Schengen 228 Tableau des catégories d'étrangers utilisées par EURODAC 285 368 Table des matièresIntroduction 4 A/Encadrer ou réguler la biométrie? 8 B/Définition: statistiques et identification 13 C/Les fonctions des technologies biométriques : identification et vérification 16 D/La biométrie, un objet juridique cohérent ? 20 1.Libertés individuelles: vie privée et liberté de mouvement 21 2.Les techniques biométriques au croisement de logiques juridiques hétérogènes 24 Chapitre I: L'identité, un concept ambigu 29 A/ Le nom et l'état civil, critères de l'identité numérique 31 B/ L'identité, physique et civile, entre l'identité numérique et l'identité qualitative 36 C/ La biométrie entre mêmeté et ipséité 41 Chapitre II:Le rêve biométrique confronté aux défis technologiques 51 A/Une science du probable 52 1.Le principe de similitude: taux de faux rejets et de fausses acceptations 53 2.La masse, un problème d'échelle 55
B/Les différentes technologies biométriques 65 1.Biométries physiologiques et biométries comportementales 67 2.L'anthropométrie judiciaire, des empreintes digitales aux empreintes génétiques 69 3.Empreinte ADN 75 4.Reconnaissance vocale 77 5.Reconnaissance faciale 78 6.Reconnaissance de l'iris et de la rétine 81 7.Reconnaissance du réseau vasculaire 81 8.Récapitulatif comparatif des différentes technologies 83 Chapitre III:La CNIL, texte réglementaire et doctrine 85 A/La CNIL et la biométrie de 1984 à 2004 90 B/La réforme de 2004: quelles conséquences vis-à-vis de la biométrie? 97 1.Le régime des déclarations et l'autorisation unique 98 2.La conservation des données à des fins d'établissement de statistiques : la biométrie, outil du pouvoir biopolitique? 101 Index p C/La CNIL et la biométrie depuis les lois du 6 août 2004 105 i.Classer les technologies biométriques: une opération juridique? 107 2.Biométries à trace et sans traces: une distinction solide? 111 3.La biométrie dans l'entreprise 156 D/La biométrie hors la loi: entre illégalité et régularisation 163 Chapitre IV:L'intégrité du corps humain 166 A/L'identification génétique 167 B/La biométrie dans l'entreprise et la dignité de la personne 172 1.Analyse du jugement du TGI d'avril 2005 172 2.Le contrôle d'accès biométrique met-il en jeu l'intégrité du corps ou la dignité ? 177 3.La position de l'Autorité grecque de protection des données 181 Chapitre V:La sécurisation biométrique des documents de voyage et d'identité 183 A/La fraude et la « chaîne de l'identité »: état civil et nationalité 188 1. Sécuriser la « chaîne de l'identité »: de la suspicion à l'égard des actes d'état civil faits à l'étranger aux tests ADN
189 statuts 197 B/L'impulsion des Etats-Unis et les standards de l'OACI 201 i.Documents d'identité et biométrie avant le 11 septembre 201 2.Du Patriot Act au Real ID Act 210 3.De l'immigration au terrorisme: l'influence américaine dans l'ordre juridique international et les enjeux sociaux de la biométrie 215 C/La sécurisation des documents de voyage dans l'Union européenne 217 i.Les traitements de souveraineté et les traitements policiers et judiciaires 223 2.Passeports biométriques et automatisation du contrôle aux frontières 235 3.Visas, titres de séjour et données des passagers dans l'Union européenne 249 4.Du fichier dactyloscopique des demandeurs d'asile a la base de données Eurodac 278 5.L'identité biométrique, des étrangers aux citoyens 292 D/L'identification par le face-à-face, par l'écrit, et par la biométrie: l'aporie des
Index p E/S. et Marper c. le Royaume-Uni (2008) : le coup d'arrêt de la Cour européennedes droits de l'homme 317 i.Les faits et la procédure judiciaire au Royaume-Uni 319 2.La position de la CEDH 322 3.Conséquences et interprétation de l'arrêt S. et Marper v. Royaume-Uni 325 Conclusion 328 Annexes 340 Bibliographie 342 Documents réglementaires 342 Textes internationaux et communautaires 342 Textes français 344 Organes consultatifs ou « autorités administratives indépendantes » 346 Jurisprudence 350 Autres (rapports et communiqués officiels, etc.) 351 Ouvrages et articles de revues 353 Index 361
|
"Les esprits médiocres condamnent d'ordinaire tout ce qui passe leur portée" | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
