Des identités de papier à  l'identité biométrique

Introduction p. 20

D/ LA BIOMÉTRIE, UN OBJET JURIDIQUE

COHÉRENT ?

Au regard du droit, la biométrie n'est pas un objet évident à saisir. Si, depuis peu, elle fait l'objet d'un intérêt marqué, en raison de sa généralisation, le cadre juridique qui l'enveloppe est à la fois relativement simple, se résumant principalement à quelques grands principes établis par la CNIL, qui s'appuie pour cela sur les dispositions générales de la loi de 1978 dite « Informatique et libertés », et mal aisé à saisir. Plusieurs raisons expliquent ces difficultés.

D'une part, la nature même du risque juridique que poserait les technologies biométriques n'est pas évidente (section D, 1). Le plus souvent, les termes du débat opposent d'un côté le droit à la vie privée, de l'autre la sécurité des personnes: la biométrie s'inscrit ici dans le thème général « sécurité et libertés », en occultant cependant d'autres enjeux juridiques, tels que les conséquences que la biométrie peut avoir sur la liberté d'aller et venir et la liberté de circulation, en particulier à l'égard des étrangers, ou encore la question de l'intégrité du corps humain voire de la dignité de la personne.

D'autre part, sur le plan formel, la biométrie ne forme pas un objet juridique unifié (section D, 2). Technique elle-même diverse, aux contours flous (faut-il inclure, ou non, l'analyse ADN? la vidéo-surveillance ?), ses usages sont aussi hétérogènes, et sont assujettis à des ordres juridiques spécifiques distincts: droit pénal et procédure pénale, droit civil et droit des personnes, droit du travail, droits fondamentaux, libertés politiques, droits de l'homme applicables aux migrants et demandeurs d'asile, etc. Il faut donc essayer d'appréhender l'objet technologique « biométrie » dans ses diverses facettes juridiques, et s'interroger sur l'existence, ou non, d'une approche commune par-delà la diversité des champs.

En outre, les technologies biométriques posent un autre problème à l'analyse juridique, qui réside dans le caractère quantitativement, voire qualitativement, pauvre du corpus réglementaire analysable. Si certaines dispositions législatives

régulent en effet celles-ci, la majorité des réglementations juridiques qui les concernent ressortent en effet du « soft law » généré par la CNIL ou par des organismes homologues. D'autres acteurs juridiques, nationaux, communautaires, et internationaux, interviennent cependant dans la régulation de la biométrie.

1. Libertés individuelles: vie privée et liberté de mouvement

Le risque le plus souvent cité au sujet des technologies biométriques concerne les libertés individuelles : la biométrie favoriserait une « société de surveillance »39, s'insérant dans un continuum dessiné par l'informatisation de la société en général et des bases de données en particulier, l'omniprésence de la vidéo-surveillance, l'usage de la télémétrie et de puces permettant l'identification à distance (RFID), etc. En 2003, le G29 (« groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel », qui réunit les autorités nationales de protection des données personnelles de l'Union européenne, établi par l'art. 29 de la directive _95/46/CE) notait par exemple que la généralisation des technologies biométriques, y compris dans la vie quotidienne, pourrait conduire à une « désensibilisation du public », prenant comme exemple « le recours à la biométrie dans les bibliothèques scolaires », qui « peut rendre les enfants moins conscients des risques qui sont liés à la protection des données et qui peuvent avoir des conséquences pour eux plus tard dans la vie. »⁴° Un tel avertissement concernant la désensibilisation du public n'a rien d'anodin. Un an plus tard, le GIXEL (Groupement des industries de l'interconnexion des composants et des sous-ensembles électroniques), publiait un Livre Bleu, qui fut par la suite souvent cité par les opposants aux technologies biométriques. En effet, celui-ci reformulait la stratégie formulée dans le rapport précité « Biometrics at the Frontiers » visant à susciter l'adhésion des populations à la biométrie :

39 Ligue des droits de l'homme (2009), Une société de surveillance? L'état des droits de l'homme en France, édition 2009 (dir. Jean-Pierre Dubois et AgnèsTricoire), éd. La Découverte, Paris, 2009, 125

P.

40 G29, « Document de travail sur la biométrie », adopté le l^er août 2003.

Introduction p.21

Introduction p. 22

« la sécurité est très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles. Il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéo-surveillance et les contrôles. Plusieurs méthodes devront être utilisées par les pouvoirs publics et les industriels pour faire accepter la biométrie. Elles devront être accompagnées d'un effort de convivialité par une reconnaissance de la personne et par l'apport de fonctionnalités attrayantes... l'éducation dès l'école maternelle, pour [que] que les enfants utilisent cette technologie pour rentrer dans l'école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s'identifieront pour aller chercher les enfants. »⁴¹

La plupart des dispositions prises pour encadrer l'usage des technologies biométriques s'appuient donc sur la notion de respect de la vie privée, ou privacy dans le droit anglo-saxon. Couvert par l'article 8 de la Convention européenne des droits de l'homme et cité par la Charte européenne des droits de l'homme, qui contient de surcroît un article spécifique consacré à la protection des données personnelles, le droit à la vie privée a en outre été inclus en tant que composante de la liberté individuelle, érigée en droit fondamental par le Conseil constitutionne1⁴².

Les conflits d'intérêt et les luttes sociales et politiques concernant ces enjeux vont alors se focaliser principalement sur le degré de protection accordé à la vie privée et au « droit à l'anonymat », qui entre en tension avec ce qui devient de plus en plus, selon le Comité consultatif national d'éthique (CCNE), un « devoir d'identification 043. Depuis la loi française de 1978, différents dispositifs juridiques ont été créés à cet effet, tandis que la CNIL a progressivement élaboré une doctrine, suivant certains « principes » généraux, qui ont été repris par la plupart des autorités de protection de données, dont le G29 et le CEPD (contrôleur européen à la protection des données, institué par le règlement n°45/2001). Par exemple, si la CNIL soumet ses autorisations au principe de proportionnalité, principe repris par le

⁴¹ Voir site des « Big Brothers Awards », « Livre Bleu du Gixel, les BBA republient la version originale (et non censurée) », i^°r février 2006: http://bigbrotherawards.eu.org/Livre-Bleu-du-Gixel-les-BBA-republient-la.html

42 Décision n° _76-75 DC du 12 janvier 1977 , au sujet de la loi autorisant la visite des véhicules en vue de la recherche et de la prévention des infractions pénales (cf. aussi Cour de Cassation, 2e Chambre civile, préfet de la région Midi-Pyrénées, préfet de la Haute-Garonne c/ Bechta, 28 juin _1995, conclusions de M. Jerry Saint-Rose, avocat général).

43 « Chaque personne doit être tatouée, marquée, au nom d'un intérêt collectif. On passe insensiblement d'une identité-droit de l'individu à une identification-obligation ou devoir social. La sécurité dite collective dicte ses exigences au nom des libertés. », avis n°98 du Comité consultatif national d'éthique, « Biométrie, données identifiantes et droits de l'homme ».

Introduction p. 23

G29⁴⁴, l'enjeu principal va être de déterminer, concrètement et dans tel cas particulier, si l'usage de telle ou telle technologie biométrie est justifié. La CNIL joue ici un rôle indubitable de légitimation, en traçant la frontière entre ce qui est acceptable et ce qui ne l'est pas. Elle se pose ainsi en arbitre neutre et modéré. Refuser le principe de proportionnalité conduirait en effet à des prises de position considérées, à tort ou à raison, comme intenables (politiquement et/ou moralement). On considère ainsi qu'il y a un équilibre à tenir entre les impératifs de sécurité et ceux de liberté, équilibre qui justifierait la mise en place généralisée de procédés biométriques d'identification.

Nonobstant l'opposition entre « technophiles » et « technophobes », qui adoptent des positions radicalement contraires, pro ou contra, et dénuées de nuances -- positions extrêmes dont il ne faut pas conclure qu'elles soient nécessairement non argumentées⁴⁵ --, le débat concernant les menaces que ferait peser la biométrie sur la vie privée a eu tendance à effacer d'autres risques suscités par la biométrie. Outre l'usage de dispositifs biométriques à des fins de contrôle d'accès, voire d'automatisation des frontières, l'identification des personnes a en effet été l'un des moyens privilégiés utilisés par les Etats pour s'approprier le « monopole légitime des moyens de circulation »⁴⁶. Or, pour les exilés, demandeurs d'asile et déboutés du droit d'asile, les technologies biométriques pourraient ne représenter pas tant une menace pour la vie privée qu'une menace sur la vie tout court.

D'autre part, sur le plan social et culturel, s'il est vrai que l'établissement des « identités de papier » a profondément modifié la perception sociale de l'identité, et qu'elle a conduit à une « colonisation du monde vécu » des individus, il serait

44 G29, ibid.

45 Outre les promoteurs à tout crin de la biométrie, on trouve parmi les opposants les plus radicaux à ces technologies le groupe Pièces et Mains-d'oeuvre (PMO), qui critique (en s'appuyant, entre autres, sur les travaux de Pierre Piazza), la CNIL, la généralisation de la biométrie, les puces RFID, les nanotechnologies, etc. Voir entre autres « L'invention du contrôle ou les complots du pouvoir », publié en ligne le 3 juillet 2007, et « Pour l'abolition de la carte d'identité », publié par le « Mouvement pour l'abolition de la carte d'identité » sur le site de PMO le 14 novembre 2007.

Voir aussi les thèses de Serge Gutwirth concernant le binôme « instruments d'opacité » (interdictions et limites posées à l'interférence de l'Etat ou des autres dans la sphère de la vie privée) et « instruments de transparence » (régulations placées sur l'action de l'Etat ou d'autrui lorsqu'il interfère dans la vie privée) et l'insuffisance actuelle des « instruments d'opacité », les Etats démocratiques et la Cour européenne des droits de l'homme privilégiant les moyens de régulation de l'activité étatique plutôt que les limites franches imposées à certaines activités (Gutwirth, Serge, 2007, « Biometrics between opacity and transparence » in Ann. Ist. Super Sanità 2007, vol. 43, n°1:61-65, op.cit.)

⁴⁶ Torpey, John (2000), L'invention du passeport.

Introduction p. 24

étonnant qu'on n'assiste pas, aujourd'hui, à une nouvelle mutation dans la perception des identités. A la fois de manière conceptuelle et de par sa généralisation, les technologies biométriques conduisent à nous ré-interroger sur ce qui fait de quelqu'un un individu, c'est-à-dire à nous interroger à propos des concepts d'individu, de personne, et de sujet. Si le sujet individuel est le produit d'une histoire, d'un certain processus disciplinaire, comme l'affirmait Foucault, ne faut-il pas envisager la possibilité que les technologies biométriques donneraient naissance à d'autres types d' « individus » ou de « sujets » ? Ce risque socio-culturel, ou anthropologique, a été davantage soulevé par le CCNE que par la CNIL. Le fait que ce soit principalement cette dernière qui se soit emparée de la biométrie en tant qu'objet de régulations et de normes a sans doute participé à la formation du prisme juridique par lequel on appréhende la biométrie, à savoir à travers la notion de vie privée et de protection des données personnelles. Cependant, il serait réducteur de s'arrêter à cette perspective, y compris du point de vue juridique. C'est pourquoi nous nous intéresserons, par exemple, au cadre juridique des contrôles d'identité, et aux conséquences prévisibles de la biométrie eu égard à ces derniers.

2.Les techniques biométriques au croisement de logiques juridiques hétérogènes

Par ailleurs, tout encadrement juridique de la technologie biométrique se heurte à la pluralité de ses usages, ce qui conduit à une différenciation juridique établie en fonction de ceux-ci. La biométrie est ainsi appréhendée de façon différente selon l'usage qui en est fait, usage qui permet de la subsumer sous un ordre juridique particulier. Des logiques propres à chaque ordre ont ainsi été prises en compte afin de réguler ces technologies; mais, d'un autre côté, la généralisation de ces technologies dans les champs les plus divers amène à se poser la question de leur régulation d'un point de vue général et unifié. C'est cette fragmentation de la biométrie en tant qu'objet juridique qui nous a conduit à traiter séparément la biométrie dans le cadre du contrôle d'accès et du contrôle des horaires (chapitre IV) et dans le contexte judiciaire et administratif (chapitre VI). En effet, si dans les deux cas la biométrie peut soulever des enjeux similaires, notamment au regard de la vie privée voire de

Introduction p. 25

l'intégrité du corps humain et de la dignité de la personne (chapitre V), les réponses apportées diffèrent selon ces contextes.

Parmi ces différents ordres juridiques, c'est bien entendu la sphère du droit pénal qui la première a été concernée par l'usage des techniques biométriques, qui entrent ainsi en continuité avec l'anthropométrie judiciaire classique. Deux facteurs vont profondément modifier l'usage policier et judiciaire fait de l'anthropométrie: l'informatisation et la télématique d'une part, qui permettent de passer d'une biométrie analogique et manuelle, liée à des techniques telles que le bertillonnage, à une biométrie numérique, permettant d'édifier des bases de données d'une échelle quantitativement incomparable; d'autre part, l'utilisation de l'ADN en tant qu'empreinte génétique permettant l'identification des individus. Cependant, l'anthropométrie a très tôt été appliquée hors du droit pénal: on s'en est ainsi servi en matière d'état civil, notamment dans le cadre colonial, mais aussi, avec la loi de 1912, pour surveiller les « nomades », c'est-à-dire les Tsiganes. Etant donné cette histoire, il n'est pas surprenant que l'usage de la génétique ait été élargi au-delà du cadre pénal.

L'informatisation a été prise en compte relativement tôt par la société et les autorités françaises, le projet SAFARI d'interconnexion des bases de données administratives à l'aide de l'identifiant NIR (connu sous le nom de numéro de Sécurité sociale) étant à l'origine du vote de la loi Informatique et libertés de 1978, qui elle-même a créé la CNIL, juridiquement qualifiée du titre d'autorité administrative indépendante (AAI). Dès lors, la CNIL se verra accorder un rôle à la fois de conseil et de régulation en ce qui concerne les données personnelles, définies comme toute donnée permettant l'identification, et les bases ou « traitements de données » (informatiques ou mécanographiques). L'identité dans la « société de l'information » est alors assimilée aux données personnelles⁴⁷, ce qui est exprimé dans l'art. 2 de la directive 95/46/CE:

« est réputée identifiable une personne qui peut être identifiée, directement ou indirectement,
notamment par référence à un numéro d'identification ou à un ou plusieurs éléments

⁴⁷ Institute for Prospective Technological Studies (IPTS), JRC Commission européenne (2003),

« Security and Privacy for the Citizen in the Post-September 11 Digital Age: A Prospective Overview », EUR 20823. 187 p. (p.39)

Introduction p. 26

spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »

Malgré des régimes distincts selon la nature et les responsables des traitements de données, la CNIL a adopté une vue d'ensemble sur le développement des technologies biométriques. Elle a pu ainsi émettre des avis aussi bien en ce qui concerne l'usage de la biométrie par le secteur privé que par le secteur public, et dans des domaines aussi variés que le champ policier et judiciaire, le champ médical ou le secteur du travail. Cette autorité administrative indépendante est ainsi l'une des sources principales du droit concernant la biométrie, et ses décisions obéissent à des principes généraux qu'on énumèrera rapidement par la suite. On peut s'interroger sur les raisons qui ont conduit l'objet « biométrie » à être placé sous l'autorité de la CNIL, et sur les conséquences de ce qui apparaît davantage comme une évolution « naturelle », du moins spontanée, plutôt que comme un choix délibéré.

Sur le plan national, d'autres organismes ont néanmoins eu à s'intéresser à la biométrie, dont le Comité consultatif national d'éthique (CCNE), « conseil de sages » sans pouvoir de sanction. Par ailleurs, les juges eux-mêmes ont eu à statuer sur cet objet, bien que de façon très épisodique et le plus souvent de façon indirecte. De plus, à une exception près, les arrêts de tribunaux concernés, de loin ou de près avec des technologies biométriques, n'envisageaient que ce qui peut concerner les empreintes digitales et génétiques: le reste des technologies biométriques demeure largement en-dehors de la sphère juridictionnelle, restant principalement du ressort de la CNIL.

Au niveau international, l'Organisation civile de l'aviation internationale (OACI), qui dépend de l'ONU, a eu un rôle central dans l'édification des standards internationaux concernant les passeports biométriques. L'OCDE, la Cour européenne des droits de l'homme, ainsi que le Conseil de l'Europe ont aussi joué un rôle, notamment avec la Convention n°108 de janvier 1981 (Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données).

Introduction p. 27

Au niveau communautaire, le Parlement et la Commission européenne sont des sources importantes de production de normes juridiques concernant la biométrie, en particulier en ce qui concerne les documents de voyage et d'identité. Les réunions intergouvernementales jouent aussi un rôle important, en particulier le Conseil de l'Europe des ministres de la Justice et des Affaires intérieures, pour ce qui concerne la biométrie dans le cadre judiciaire d'une part, et d'autre part relativement aux étrangers. La CNIL connaît aussi des homologues au niveau européen, dont en particulier le G29, ou groupe de travail « article 29 » sur la protection des données, institué par la directive 95/46/CE, « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données », et le Contrôleur européen de la protection des données (CEPD), établi par le règlement (CE) n°45/2001⁴⁸, qui est compétent pour ce qui a trait à la protection des données personnelles lorsque celles-ci sont traitées par les autorités communautaires.

Dès lors, les technologies biométriques font intervenir, sur le plan juridique, des acteurs hétérogènes appartenant à des champs variés, à la fois de façon verticale (plan national, européen, international) et horizontale ou transversale : on peut distinguer principalement les pouvoirs législatifs et exécutifs d'une part, d'autre part les autorités de protection des données personnelles, ainsi que les structures intergouvernementales -- conseil des ministres JAI (Justice et Affaires intérieures) dans le cadre du « Conseil de l'Europe » -- et, enfin, les pouvoirs judiciaires, nationaux ou européens.

Objet unifié du point de vue d'une définition technique générale, la biométrie est ainsi fragmentée du point de vue juridique, à la fois en ce qui concerne les sphères juridiques sous lesquelles les applications biométriques peuvent tomber, et en ce qui concerne les acteurs juridiques et politiques. Malgré cette fragmentation, on peut repérer une certaine unification des approches, qui ne doit cependant pas masquer l'hétérogénéité réelle des pratiques, l'application des principes et leur ordre de priorité variant de façon importante selon le domaine concerné. Pour ne prendre que deux exemples, le principe du consentement, qui est un principe général, revêt une

⁴⁸ Règlement (CE) n°45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données

Introduction p. 28

importance particulière en ce qui concerne le droit de la santé ou le prélèvement des empreintes génétiques dans le cadre du droit de la santé, mais s'efface en ce qui concerne la procédure judiciaire. De même, la CNIL accorde depuis 2006 une importance à l'existence d'une « clause d'opt-out » à l'égard des dispositifs biométriques utilisés dans les restaurants scolaires, ce qu'elle ne fait pas pour les entreprises. Ou encore, le principe de proportionnalité, lui aussi élevé par la CNIL au rang de principe d'ordre général, a un effet visiblement important en ce qui concerne le secteur privé, mais s'efface dès lors qu'on entre dans le domaine de la sécurité nationale et du terrorisme.

Avant d'examiner en détail les délibérations de la CNIL et la différence de traitement vis-à-vis des dispositifs biométriques selon le contexte juridique dans lequel ils s'inscrivent, nous allons maintenant nous interroger sur le contexte historique qui a présidé à l'émergence des techniques administratives d'identification, dont la biométrie ne paraît être qu'un des avatars les plus récents. Plutôt que de répéter l'histoire des « identités de papier » telle qu'elle a été faite par Gérard Noiriel, Vincent Denis, etc., nous abordons cette perspective historique en la croisant avec un questionnement au sujet du concept d'identité lui-même: pourquoi l'identification administrative est-elle nécessaire du point de vue conceptuel? A quelles limites se heurte-t-elle? Comment la biométrie vise-t-elle à apporter une réponse à ces points faibles? Enfin, peut-on affirmer, avec le CCNE, que la biométrie risque d'appauvrir notre conception de l'identité sociale et juridique, et, le cas échéant, dans quel sens?