L'Exécutif devrait remercier Mohamed Merah d'avoir relégué au second plan le nouveau camouflet que lui a infligé le Conseil constitutionnel dans sa décision du 22 mars 2012, censurant une large partie de la loi relative à la protection de l'identité.
Des précautions avaient pourtant été prises pour que le texte semble parfaitement anodin. On avait choisi la forme d'une proposition de loi déposée en juillet 2010 par deux sénateurs UMP, Messieurs Jean-René Lecerf (Nord) et Michel Houel (Seine et Marne), procédure en apparence moins directement rattachée à la politique sécuritaire du gouvernement. On avait également trouvé un titre parfaitement rassurant. Comment pourrait-on porter atteinte aux libertés individuelles en se proposant de protéger les citoyens contre les usurpations d'identité ? Hélas, il faut parfois se méfier ceux qui veulent à toute force nous protéger.
Lien fort et lien faible
Les soixante députés et soixante sénateurs requérants invoquaient l'inconstitutionnalité des articles 5 à 10, ceux qui créent le fameux "fichier des honnêtes gens", dont le nom officiel est Titres Electroniques Sécurisés (TES). Son objet est de regrouper les données stockées sur toutes les personnes titulaires d'une carte d'identité ou un passeport biométriques. Ce n'est donc pas l'existence du titre d'identité biométrique qui était contesté, mais les informations collectées et stockées dans le fichier.
Le Sénat, comme la CNIL, prônaient un "lien faible" qui permet de constater l'éventuelle usurpation d'identité, mais pas toujours d'identifier immédiatement l'usurpateur. Tel est le cas, en particulier, lorsque celui-ci a pris l'identité d'une personne qui n'a pas de pièce d'identité et qui ne figure donc pas dans le TES, un cas extrêmement rare (1 % des cas selon les experts de la CNIL). L'Assemblée nationale, sous l'impulsion déterminante du ministre de l'intérieur, a imposé un "lien fort" entre les données figurant sur le titre d'identité et celles conservées dans le TES. Ce lien fort autorise des vérifications très approfondies et permet de remonter de manière automatique à l'usurpateur de l'identité, notamment en utilisant le fichage des empreintes digitales. Le seul problème est que pour identifier quelques usurpateurs d'identité, le TES collecte et conserve les données biométriques de l'ensemble de la population.
C'est précisément ce lien fort que sanctionne le Conseil constitutionnel. Il s'appuie pour cela sur deux motifs.
La vie d'un honnête homme. Sacha Guitry. 1953 |
Le droit au respect de la vie privée
Le premier est l'atteinte disproportionnée à la vie privée des personnes. Le Conseil affirme certes que la lutte contre la fraude par la sécurisation de la délivrance des titres d'identité est, en soi, un motif d'intérêt général justifiant la création d'un traitement de données à caractère personnel. Mais il ajoute que les données biométriques sont particulièrement sensibles au regard du droit au respect de la vie privée, dès lors par exemple que la conservation des empreintes digitales peut donner lieu à des rapprochements avec des traces physiques laissées involontairement par les personnes ou collectées à leur insu.
Dans ces conditions, le Conseil estime que la conservation de données biométriques porte une atteinte disproportionnée à la vie privée. En effet, d'autres moyens peuvent être utilisés pour lutter contre l'usurpation d'identité, notamment en sécurisant les "documents sources" à produire pour obtenir un titre, ou en mettant en oeuvre ce "lien faible" voulu par les sénateurs et la CNIL.
Le principe de finalité
Le second motif développé par le Conseil constitutionnel est la violation du principe de finalité, dont on sait qu'il constitue le socle sur lequel s'est construit notre droit de la protection des données. L'article 6 al. 2 de la loi du 6 janvier 1978 énonce ainsi que les données "sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités". A propos de ce même TES, le Conseil d'Etat avait d'ailleurs estimé dans un arrêt d'assemblée du 26 octobre 2011 que les données recueillies pour la mise en oeuvre du passeport biométrique devaient être celles qui étaient strictement nécessaires aux finalités du traitement. Il avait donc censuré l'exigence d'empreintes digitales supplémentaires.
C'est précisément sur ce point que se concentraient toutes les inquiétudes à l'égard de la loi récente. Dès lors que le lien faible permettait de découvrir 99 % des usurpateurs, on ne voyait pas réellement l'intérêt du lien fort impliquant la conservation de ces données biométriques concernant l'ensemble de la population... sauf à les stocker en vue d'une éventuellement autre utilisation. C'est évidemment ce que sanctionne le Conseil constitutionnel, lorsqu'il affirme que "les caractéristiques techniques de ce fichier (...) permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne", particulièrement "à des fins de police administrative ou judiciaire".
C'est là une accusation très grave, car le Conseil constitutionnel reproche au législateur d'opérer un véritable détournement de finalité, action qui, si elle est commise par une personne privée, constitue une infraction pénale passible de cinq années d'emprisonnement et de 300 000 € d'amende (art. 226-21 c. pén.). Et le législateur est tout de même censé donner le bon exemple.
Enfin, le Conseil constitutionnel s'offre le luxe de se saisir d'office de l'article 3 de la loi, et annule ses dispositions portant sur la possibilité offerte au titulaire de la carte d'identité biométrique d'y adjoindre une application de signature électronique. Le Conseil observe en effet que le législateur a méconnu l'étendue de sa compétence en ne précisant pas les garanties assurant l'intégrité et la confidentialité de ces données, ni d'ailleurs les conditions dans lesquelles s'opère l'authentification des personnes mettant en oeuvre ces fonctions.
Le texte sort donc étrillé du Conseil constitutionnel, au point qu'il paraît impossible de le promulguer en l'état.
Intéressant, cette notion de finalité, qui revient à quasi-constitutionnaliser la loi de 78, ce qui en retour pose un problème de hiérarchie des normes.
RépondreSupprimerLa solution est à mon sens de rajouter à la Constitution, une déclaration des droits dans une société numérique, qui traite des limites constitutionnelles à apporter aux moyens modernes de surveillance, fichiers, biométrie, vidéo-surveillance, RFID, etc. Mais dans l'ambiance actuelle, c'est de la science-fiction.