L'article 25 de la loi (modifiée) de 1978, qui
détaille l'ensemble des « traitements automatisés de
données » soumis au régime de l'autorisation, inclut en
effet « les traitements automatisés comportant des données
biométriques nécessaires au contrôle de l'identité
des personnes. » (art. 25, I-8°). Les « traitements
automatisés portant sur des données génétiques
», hors cadre médical, sont soumis au même régime
(art. 25, I-2°). Le domaine de la recherche scientifique et de l'examen
des caractéristiques génétiques à des fins
médicales est traité à part, de manière
spécifique, par l'art. 56 ainsi que par la loi de bioéthique
promulguée le même jour.
De même, l'article 27 soumet « les traitements de
données à caractère personnel mis en oeuvre pour le compte
de l'Etat qui portent sur des données biométriques
nécessaires à l'authentification ou au contrôle de
l'identité des personnes » à une autorisation « par
décret en Conseil d'Etat, pris après avis motivé et
publié » de la CNIL (art. 27, I-2°). Le critère de
« l'authentification », absent pour le régime
général régi par l'art. 25, est ici introduit. On verra
que c'est au nom de ce critère que la CNIL avalise l'usage de
dispositifs biométriques reposant sur les empreintes digitales,
stockées sur support individuel, pour les passeports; dans le
privé, de tels dispositifs ne sont autorisés que pour le
contrôle d'accès des personnes, justifié eu égard
d'impératifs de sécurité.
On pourrait penser que la loi du 6 août 2004, par ses
ajouts importants à la loi de 1978 ainsi que par l'introduction de la
mention expresse des « données biométriques » dans
celle-ci, aurait modifié de façon importante l'attitude de la
CNIL. C'est bien ce que laisse entendre son 29e
rapport d'activité, qui affirme que la loi de 2004 « lui a
confié le soin d'autoriser, préalablement à leur mise en
oeuvre, la création des fichiers les plus sensibles (biométrie,
profilage, interconnexion ou transferts internationaux hors de l'Union
européenne) » et que « la loi de 2004 a donc
profondément modifié les missions de notre Commission »
232.
232 CNIL, 29e rapport
d'activité 2008, p.9 (La Documentation française, 2009)
Chapitre III:La CNIL, texte réglementaire et doctrine
P
· 99
Cependant, la loi de 1978, préalablement à sa
modification en 2004, assujettissait tous les traitements de données
personnelles mis en oeuvre par des organismes publics ou des organismes
privés remplissant une mission de service public au régime de
l'autorisation préalable de la Commission, tandis que seuls les
traitements de données relevant du secteur privé relevaient du
régime de la simple déclaration233. Aussi, en
matière de données biométriques, la loi de 2004 n'a
augmenté le contrôle de la CNIL que vis-à-vis du secteur
privé, et l'a au contraire diminué en ce qui concerne les
fichiers de « souveraineté », l'avis de la CNIL n'étant
plus que consultatif (cf. chap. V).
De plus une disposition particulière de la
réforme de 2004 permet à la CNIL de rétablir un
régime simplifié, le responsable du traitement se contentant d'un
simple « engagement de conformité ». Prévue à
l'art. 25 (II) de la loi de 1978, ce dispositif d'« autorisation unique
» vise en particulier à éviter un « engorgement »
de la CNIL, mais il permet aussi de rétablir le régime simple de
déclaration qui régissait auparavant les utilisations
privées de la biométrie. Une autorisation unique ne peut
concerner que des traitements poursuivant la même finalité, ayant
trait à des catégories de données identiques, et
s'adressant à des destinataires ou catégories de destinataires
identiques. La CNIL a ainsi émis quatre autorisations uniques concernant
la biométrie, l'AU-oo7 et o09 concernant des dispositifs de
reconnaissance du contour de la main; l'AU-oo8 concernant des dispositifs de
reconnaissance de l'empreinte digitale enregistrée sur support
individuel ; et l'AU-019 concernant des dispositifs de reconnaissance du
réseau veineux de la main. Il va de soi que, ce faisant, la CNIL
délègue au « correspondant informatique et libertés
» (art. 22) et au responsable du traitement le soin d'évaluer le
bien-fondé de l'installation du système, et en particulier
l'évaluation concrète de la proportionnalité des mesures
de sécurité à prendre. Ces autorisations uniques excluent
à chaque fois les traitements visant des mineurs, ainsi que ceux
menés « pour le compte de l'Etat »,
233 Bensoussan (2008), §800. La loi de 1978, avant la
réforme de 2004, prévoyait deux procédures pour le secteur
public. La première permettait de passer outre à un avis
défavorable de la CNIL, par décret pris après avis
conforme du Conseil d'Etat. La seconde prévoyait l'avis conforme de la
CNIL lorsque, pour des motifs d'intérêt public, un traitement de
données faisait apparaître des données sensibles (origines
raciales, opinions politiques, philosophiques ou religieuses, appartenances
syndicales ou encore les moeurs des personnes). En pratique, la CNIL
n'émettait en général pas d'avis non conforme, mais des
avis conformes, assortis de réserves. Le législateur devait alors
soit intégrer ces réserves au texte, soit les refuser et susciter
un avis conforme du Conseil d'Etat (arrêt du CE du 26 juillet 1996). Cf.
Herbert Maisl, « Changer la CNIL? Pourquoi faire? », in
Expertises n°2oo (décembre 1996).
Chapitre III:La CNIL, texte réglementaire et doctrine p.
100
c'est-à-dire « qui intéressent la
sûreté de l'Etat, la défense ou la sécurité
publique » « ou qui ont pour objet la prévention, la
recherche, la constatation ou la poursuite des infractions pénales ou
l'exécution des condamnations pénales ou des mesures de
sûreté. » (L. 1978, art. 26).
Ce régime simplifié demeure toutefois
exposé à d'éventuels contrôles a posteriori
de la CNIL, qui peuvent conduire à un avertissement234,
une mise en demeure voire à d'éventuelles sanctions
pécuniaires ou encore à une dénonciation au parquet (art.
11, et art. 43 et sq.235). La CNIL a ainsi effectué 45
contrôles en 2004, 96 en 2005 et 127 en
2006236
234 Voir par
ex. la délib. n°2009-002 du
20 janvier 2009 de la formation restreinte prononçant
un avertissement à l'encontre de la société KEOLIS RENNES,
au sujet notamment du passe Korrigo (similaire au passe Navigo).
235 Cf. aussi décret n°2005-1309 du 20
octobre 2005 pris pour l'application de la loi n°78-17 du 6
janvier 1978, titre IV « Des pouvoirs de la commission ».
236 CNIL, 27e rapport d'activité, p.32. *
Et environ 270 contrôles physiques en 2009. Le Conseil d'Etat a
d'ailleurs restreint ces pouvoirs de contrôle , qui doivent
désormais être « préalablement autorisés par un
juge » à moins que le responsable de l'entreprise ait
été « préalablement informé de son droit de
s'opposer. » (cf. « Le Conseil d'Etat limite les pouvoirs de
contrôle de la CNIL », Le Monde, 3 décembre 2009, et
communiqué de la CNIL, « Annulation de deux sanctions par le
Conseil d'Etat : la CNIL prend acte et réaffirme son ambition en
matière de contrôle sur place », 2 décembre 2009, et
décisions n°304 300 et 304 301 du Conseil d'Etat du 6
novembre 2009).
