N° 3599
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
TREIZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 29 juin 2011.
RAPPORT
FAIT
AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE SUR LA PROPOSITION DE LOI (N° 3471), ADOPTÉE PAR LE SÉNAT, relative à la protection de l’identité,
PAR M. Philippe GOUJON,
Député.
——
Voir les numéros :
Sénat : 682 (2009-2010), 432, 433 et T.A. 126 (2010-2011).
A. UNE DÉLINQUANCE QUI SE DÉVELOPPE, MÊME SI SON AMPLEUR EXACTE DEMEURE MAL CONNUE 6
B. DES OUTILS DÉJÀ MIS EN PLACE 7
1. Le passeport biométrique 7
2. Le développement des titres électroniques en Europe 8
3. La création d’une infraction spécifique à l’usurpation d’identité 8
II. LES APPORTS DE LA PROPOSITION DE LOI 9
A. LA FACILITATION DES DÉMARCHES POUR LES USAGERS 9
1. Un titre d’identité ou de voyage en cours de validité suffira à justifier de son identité 9
2. La possibilité d’activer une puce de « services » encourageant le développement et la sécurisation de l’économie numérique 9
B. LE RENFORCEMENT DE LA LUTTE CONTRE LA FRAUDE 10
1. La création d’un fichier central 10
2. Les modalités de la justification d’identité 10
3. La mention de l’usurpation d’identité dans les rectifications d’actes d’état civil 11
III. LA POSITION DE VOTRE COMMISSION DES LOIS 11
A. L’ARCHITECTURE DU FICHIER CENTRAL 11
1. Le Sénat a fait le choix d’une base de données à « lien faible » 11
2. Votre commission estime que la base de données doit permettre d’identifier les fraudeurs 12
3. Un enjeu industriel majeur 13
B. LES AUTRES GARANTIES APPORTÉES PAR VOTRE COMMISSION DES LOIS 14
1. L’encadrement de la durée de conservation des données personnelles 14
2. L’assurance qu’aucune donnée personnelle ne peut être consultée à l’occasion d’une vérification de la validité d’un titre d’identité 14
Article 1er : Preuve de l’identité 21
Article 2 : Données inscrites sur la puce électronique des cartes nationales d’identité et des passeports 22
Article 3 : Utilisation optionnelle de la carte nationale d’identité à des fins d’identification sur les réseaux de communication électronique et de signature électronique 23
Article 4 : Contrôle des documents d’état civil fournis à l’appui d’une demande de délivrance de carte nationale d’identité ou de passeport 26
Article 5 : Fichier central biométrique des cartes nationales d’identité et des passeports 27
Article 5 bis : Modalités du contrôle d’identité à partir du titre d’identité 30
Article 5 ter : Information sur la validité des titres d’identité présentés 31
Article 6 : Modalités réglementaires d’application 33
Article 7 : (art 323-1, 323-2 et 323-3 du code pénal) Dispositions pénales 34
Article 7 bis A : (art 9 de la loi n° 2006-64 du 23 janvier 2006) Consultation du fichier central biométrique des cartes nationales d’identité et des passeports en matière de lutte contre le terrorisme 35
Article 7 bis : Mention de l’usurpation d’identité dans les rectifications d’actes d’état civil 36
Article 8 : Application de la loi 37
Article 9 : Gage financier 37
TABLEAU COMPARATIF 39
ANNEXE AU TABLEAU COMPARATIF 47
AMENDEMENTS EXAMINÉS PAR LA COMMISSION 49
PERSONNES ENTENDUES PAR LE RAPPORTEUR 53
L’Assemblée nationale est saisie, en première lecture, de la proposition de loi relative à la protection de l’identité, que le Sénat a adoptée le 31 mai dernier.
Cette proposition de loi vise à assurer une fiabilité maximale aux cartes nationales d’identité au moyen d’une puce « régalienne » qu’elles comporteraient, dans le but de lutter efficacement contre l’usurpation d’identité. Elle vise également à sécuriser les échanges électroniques administratifs et commerciaux en proposant – pour les citoyens qui le souhaitent – une puce de « services électroniques » sur le même titre d’identité. Afin d’assurer pleinement la protection des libertés, le dispositif envisagé reposerait sur un décret pris en Conseil d’État après avis motivé et publié de la CNIL, conformément à la loi du 6 janvier 1978. Comme pour le passeport biométrique, l’accès aux données recueillies serait strictement encadré.
Le phénomène de l’usurpation d’identité, même si les statistiques le concernant sont sujettes à caution, se développe. Les conséquences pour la victime sont souvent dramatiques.
Aujourd’hui, les passeports biométriques et les cartes nationales d’identité sont délivrés à partir de deux bases distinctes. La proposition de loi prévoit d’utiliser une seule et même base pour la carte nationale d’identité et pour les passeports. La mise en œuvre d’une base unique centralisée permettra de vérifier la concordance entre les données inscrites sur le titre et celles enregistrées sur la base, rendant ainsi vaine la falsification du titre.
Les conditions d’accès aux données contenues sur la puce et aux données contenues dans le fichier central seront très strictement encadrées : seuls sont autorisés à procéder à une vérification d’identité à partir des empreintes digitales, les « agents chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques ». De même, l’accès au fichier central sera réservé à des agents s’identifiant au moyen d’une clé électronique et justifiant leur demande. Ces consultations feront l’objet d’une traçabilité complète.
Le texte adopté par le Sénat est satisfaisant sur de nombreux articles. En revanche, la commission des Lois ne partage pas l’avis du Sénat sur l’article 5, qui traite de la création du fichier central. Alors que le Sénat souhaite qu’il ne soit pas possible de faire correspondre des empreintes à une seule identité – mais plutôt à un ensemble d’identités –, votre Commission a préféré adopter un dispositif associant une identité à des éléments biométriques afin de traiter de manière efficace et systématique le problème de l’usurpation d’identité.
I. L’USURPATION D’IDENTITÉ : UN PHÉNOMÈNE EN DÉVELOPPEMENT
La connaissance des délits d’usurpation d’identité en France est peu développée car les outils statistiques, fondés notamment sur « l’état 4001 » (1) ne les identifient pas en tant que tels. Ce document ne comporte que les infractions relatives aux faux documents d’identité, aux faux certificats d’immatriculation ou aux autres faux documents administratifs (notamment les titres de séjour) qui servent surtout à commettre les fraudes au travail illégal ou au séjour illégal. De plus, aucune enquête de victimisation n’existe sur ce sujet.
Pourtant, l’exposé des motifs de la proposition de loi mentionne le chiffre de 200 000 usurpations d’identité chaque année en France. Il apparaît que cette enquête du centre de recherche pour l’étude et l’observation des conditions de vie (CREDOC), qui fait apparaître ce chiffre, a été commandée par une entreprise directement concernée par le phénomène. Même si ce chiffre doit donc être pris avec précaution, il donne un ordre de grandeur de l’ampleur de la fraude à l’identité en France.
Plus généralement, l’usurpation d’identité est un phénomène polymorphe, difficile à mesurer : il peut s’agir d’une fraude à la carte de crédit, d’une fraude à l’ouverture d’une ligne téléphonique, d’un vol commis par une personne qui a usurpé l’identité, d’un emprunt contracté au nom de la victime de l’usurpation, d’un délit routier commis sous une identité usurpée, etc.
La direction des affaires criminelles et des grâces du ministère de la Justice recense 11 621 condamnations en 2009 pour l’une des infractions correspondant à la fraude documentaire à l’identité et le délit de recel qui peut y être associé. Ce chiffre est certes beaucoup plus faible que l’estimation du CREDOC, mais il ne concerne, par définition, que des affaires pour lesquelles l’auteur des faits a été identifié.
La sécurisation de l’identité est aujourd’hui une nécessité, notamment parce que le préjudice subi par les victimes est particulièrement grave.
Nos concitoyens victimes d’une usurpation de leur identité peuvent se trouver dans des situations inextricables, sans qu’aucune solution prompte et satisfaisante puisse être trouvée.
Le phénomène de l’usurpation d’identité, même si les statistiques le concernant sont sujettes à caution, se développe. Les conséquences pour la victime sont dramatiques :
— elle peut être accusée d’avoir commis une infraction, car son identité a été usurpée par un délinquant,
— elle peut se retrouver redevable d’un crédit pris en son nom et devenir interdite bancaire ;
— puisque son état civil est incertain, et tant que l’enquête de police n’a pas abouti, elle ne peut pas reconnaître une paternité, adopter, ou se marier. Elle ne peut pas non plus se faire délivrer de titre de voyage.
Votre rapporteur a été informé d’une affaire dans laquelle un crédit à la consommation a été souscrit frauduleusement à l’aide d’une carte nationale d’identité falsifiée en octobre 2009. Alors même que le titulaire légitime du titre d’identité a immédiatement contesté les prélèvements bancaires correspondant, le parquet a classé l’affaire. Le parquet général compétent a demandé, en juillet 2010, la révision de la décision de classement. À ce jour, soit près de deux ans après la commission des faits, l’affaire n’est toujours pas réglée et le titulaire légitime du titre d’identité est toujours dans l’expectative.
Le passeport électronique délivré par la France depuis le 28 juin 2009 inclut des données biométriques et une puce, en application du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports. Ce dernier a été modifié par le décret n° 2008-426 du 30 avril 2008 instaurant le passeport biométrique qui a prévu :
— la création d’un fichier central, le fichier des titres électroniques sécurisés « TES », regroupant l’ensemble des données recueillies pour la confection du titre, notamment les empreintes digitales ;
— le recueil de huit empreintes digitales, enregistrées dans la base. Toutefois seules deux empreintes sont inscrites dans la puce électronique du passeport.
Parmi les pays européens ayant instauré un passeport biométrique, 22 disposent d’un fichier central où sont conservées des données relatives aux documents de voyage. L’Allemagne a opté pour un fichier décentralisé et l’Autriche pour un système mixte.
S’agissant de la carte d’identité électronique, votre rapporteur relève que douze pays l’ont déployée à ce jour. Il s’agit de la Finlande, de la Belgique, de la Lituanie, de la Suède, de la Norvège, de l’Autriche, des Pays-Bas, du Portugal, de l’Estonie, de l’Espagne, de l’Italie et de l’Allemagne. Hors de l’Union européenne, la Serbie dispose d’une telle carte depuis 2008 (carte à contact avec authentification et signature électronique) ainsi que Monaco depuis 2009 (carte hybride contact sans contact avec authentification et signature).
Parmi ces pays, les Pays-Bas, la Finlande et l’Espagne disposent d’une base centrale commune pour les passeports et la carte nationale d’identité.
De plus, selon les informations recueillies par votre rapporteur, la Hongrie, la Lituanie, la Norvège, la Pologne, la République tchèque, la Slovaquie et la Slovénie envisagent de mettre en place très prochainement une carte nationale d’identité électronique.
La LOPPSI (2) a inséré un nouvel article 226-4-1 dans le code pénal afin de prévoir que le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende.
La LOPPSI a donc entendu réprimer l’usurpation d’identité, quelle qu’en soit la forme. En effet, le législateur a retenu une définition très large puisque toute usurpation d’identité est de nature à « troubler la tranquillité » de la personne dont l’identité est usurpée. Votre rapporteur souligne que, pour être caractérisée, cette infraction ne requiert pas nécessairement l’existence d’un préjudice, direct ou indirect, subi par la victime.
En outre, le législateur a entendu prévoir le cas de l’usurpation d’identité sur internet et a prévu que cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.
II. LES APPORTS DE LA PROPOSITION DE LOI
L’article premier de la proposition de loi, qui rappelle que l’identité d’une personne se prouve par tout moyen – ce principe figure déjà à l’article 78-2 du code de procédure pénale –tend à faire de la carte nationale d’identité ou du passeport français « en cours de validité » le moyen privilégié pour prouver son identité.
Cette rédaction poserait clairement cette règle, de telle sorte qu’aucun opérateur économique ne pourrait exiger d’un de ses clients autre chose que l’un de ces deux documents pour prouver son identité. À l’inverse, la seule production de l’un de ces deux documents suffirait à prouver l’identité de la personne. Soulignons par exemple que la présentation du permis de conduire n’est pas acceptée par de nombreuses entreprises qui souhaitent s’assurer de l’identité de leurs clients.
Il convient de souligner que cette carte d’identité électronique ne permettra en aucun cas la géolocalisation de son titulaire, contrairement au téléphone portable. Sa puce « régalienne », comportant les données biographiques et biométriques de la personne, bien que sans contact, ne pourra être lue qu’à un centimètre de distance, par un lecteur spécifique lui impulsant une charge électrique activant la visibilité des données stockées. De plus, les données transmises au lecteur seront cryptées, ne pouvant être décryptées qu’au moyen d’une clé électronique régalienne. Il sera donc impossible à un individu malveillant d’intercepter ces données, sachant que pour les intercepter à une distance de 10 mètres, outre le fait de posséder la clé de décryptage des données ainsi qu’un moyen d’activer la lisibilité des données par transmission d’une chargé électrique à la puce, il lui faudrait disposer d’une antenne de 10 mètres de hauteur.
2. La possibilité d’activer une puce de « services » encourageant le développement et la sécurisation de l’économie numérique
L’article 3 rend possible l’enregistrement, sur la carte nationale d’identité électronique, de données permettant à son titulaire de s’identifier sur les réseaux de communication électroniques et de mettre en œuvre sa signature électronique.
Cette fonctionnalité ne pourrait être mise en place qu’à la demande du titulaire de la carte. Afin d’assurer la sécurité des données du titre d’identité, cette fonctionnalité fera l’objet d’une puce distincte, indépendante de celle contenant les données d’état civil : ces données seront « conservées séparément ». C’est donc une procédure d’authentification de l’identité électronique qui est proposée, à titre optionnel, au titulaire de la carte, à travers une puce « services électroniques ».
La carte nationale d’identité électronique contiendra, en effet, deux puces : l’une qualifiée de puce « régalienne », l’autre de puce « services électroniques ».
Il est important de noter que la puce « services électroniques » est tout à fait distincte de la possibilité, pour les opérateurs administratifs et économiques, de vérifier la validité du titre d’identité présenté. Cette dernière possibilité, prévue à l’article 5 ter de la proposition de loi, s’apparente en effet au système existant actuellement pour la vérification de la validité des chèques présentés. Un amendement de votre rapporteur, adopté par la commission des Lois, a d’ailleurs explicitement prévu que cette vérification de validité du titre ne donnerait aucun accès à tout autre type de données, qu’elles soient biographiques ou biométriques.
L’article 5 prévoit la création d’un fichier central contenant l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité.
Ce fichier aurait deux fonctions : il permettrait de conserver – et donc de garantir l’intégrité – des données requises pour la délivrance des passeports et des cartes nationales d’identité et il permettrait de servir de base de référence pour permettre la vérification des titres, dans des conditions garantissant l’intégrité et la confidentialité des données personnelles des demandeurs de titre d’identité.
Votre rapporteur souligne tout particulièrement que le fichier central dont traite cette proposition de loi ne constitue pas un fichier de police mais bien un fichier administratif (3).
À l’article 5 bis, un amendement de votre rapporteur, adopté par la Commission, a précisé que la présentation d’une carte nationale d’identité ou d’un passeport par une personne lui permet de justifier de son identité et que les agents chargés des missions de recherche et de contrôle de l’identité des personnes peuvent effectuer leur contrôle à partir des éléments visibles du titre ou de la consultation du composant électronique qu’il comporte.
Sauf « doute sérieux » sur l’identité de la personne ou si le titre est défectueux ou endommagé, le contrôle d’identité ne s’effectuerait qu’à partir des données imprimées sur la carte ou inscrites dans la puce électronique.
Le dernier alinéa de l’article 5 bis prévoit cependant la possibilité, pour les agents chargés d’effectuer le contrôle d’identité, de consulter le fichier central, en cas de doute sérieux sur l’identité alléguée ou s’ils constatent que le titre est susceptible d’avoir été falsifié, contrefait ou altéré.
Son deuxième alinéa prévoit, à l’instar du dispositif retenu pour le passeport biométrique que seuls sont autorisés à procéder à une vérification à partir des empreintes digitales, les « agents chargés des missions de recherche et de contrôle de l’identité des personnes, de justification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques ».
Gage supplémentaire de sécurisation, ces agents seront identifiés par une carte professionnelle électronique permettant de disposer d’un traçage complet des consultations de la base de données, aussi bien en terme d’identification de l’agent qui a effectué la consultation que d’identification des motifs de la consultation. Le déploiement de cette carte professionnelle, qui devrait concerner à terme tous les agents de la police nationale, de la gendarmerie nationale et de la justice chargés des missions précitées, débutera dès 2012 pour les agents de la gendarmerie nationale.
L’article 7 bis apporte une solution juridique à la difficulté à laquelle les personnes victimes d’usurpation d’identité se trouvent confrontées lorsqu’elles obtiennent, par jugement, l’annulation des actes d’état civil passés par l’usurpateur sous leur identité et la mention de cette annulation en marge de leur acte de naissance.
Il est donc proposé que lorsqu’un acte est annulé par le juge sur le fondement d’une usurpation d’identité, la rectification apportée à l’état civil de la personne concernée doit faire mention de l’usurpation d’identité.
III. LA POSITION DE VOTRE COMMISSION DES LOIS
Alors que la proposition de loi initiale précisait que l’identification du demandeur s’effectuait au moyen de toutes les données contenues dans le titre d’identité à l’exception de la photographie, la commission des Lois du Sénat a préféré, sur l’initiative de son rapporteur, substituer à ce dispositif des dispositions plus complexes consistant à ne pas faire correspondre des empreintes à une identité mais plutôt à un ensemble d’identités.
Son rapporteur a estimé qu’il convenait de limiter les utilisations possibles du fichier central biométrique au seul objet de sécuriser l’identité des citoyens français et de lutter contre l’usurpation d’identité. Il a ainsi indiqué que la technique des bases biométriques dites « à lien faible » constituait à cet égard, une garantie matérielle solide, puisqu’elle interdit qu’un lien univoque soit établi entre une identité civile et les empreintes digitales de l’intéressé.
Dans ce système, plusieurs dizaines ou centaines de milliers d’empreintes sont associées à plusieurs dizaines ou centaines de milliers d’identités sans qu’un lien soit établi entre une de ces empreintes et l’une de ces identités. Nul ne peut en conséquence être identifié à partir de ses seules empreintes digitales, ce qui interdit l’utilisation du fichier à des fins de recherche criminelle, en l’absence d’autres indices impliquant l’intéressé.
Le rapporteur de la commission des Lois du Sénat estime que cette technologie permet de s’assurer de l’identité d’un individu, par la comparaison entre l’identité qu’il allègue et les données associées à cette identité. Les chances qu’un individu qui souhaiterait usurper l’identité d’une autre personne possède des empreintes biométriques correspondant à celles susceptibles d’être associées à l’identité en cause sont en effet très faibles et inférieures à 1 %. Il a estimé, en conséquence, que l’usurpation d’identité devenait impossible, car trop risquée.
Votre rapporteur ne partage pas l’analyse de son homologue du Sénat. Seul un dispositif associant une identité à des éléments biométriques permet de traiter de manière efficace et systématique le problème de l’usurpation d’identité. La rédaction retenue par le Sénat nécessite une construction technique de la base centrale d’un type nouveau séparant les données (identité et empreintes). Le croisement des données ne s’effectuerait qu’à la délivrance du titre ou lors de son renouvellement, mais ne se conserverait pas de manière univoque dans la base. Dans ce contexte, en cas d’usurpation d’identité, il serait impossible d’identifier l’usurpateur sauf à engager une enquête longue et coûteuse (4). Ce serait notamment le cas lorsqu’un usurpateur d’identité tenterait de faire établir un titre d’identité avant la personne titulaire légitime de ce document. Dans ce cas, puisqu’à l’empreinte de l’usurpateur correspondraient plusieurs centaines – voire plusieurs milliers – d’identités, les enquêteurs devraient alors convoquer chacune de ces personnes pour démasquer le fraudeur.
Des centaines – ou des milliers – de citoyens feraient donc l’objet d’une enquête, ce qui constituerait une atteinte à la vie privée bien plus importante que le recours à une identification directe du fraudeur.
En outre, l’architecture du fichier central proposée par le Sénat implique qu’il ne pourrait pas être utilisé en matière de recherche criminelle. Votre rapporteur estime qu’une telle recherche doit être possible et souligne qu’elle ne pourrait intervenir que sur réquisition judiciaire, comme c’est le cas pour n’importe quel fichier, et dans le respect du cadre protecteur de la loi Informatique et Libertés du 6 janvier 1978.
De même, il devrait être possible, à l’occasion de catastrophes naturelles, de procéder à l’identification des corps, dans l’intérêt des familles. Dans le texte retenu par le Sénat, une telle identification nécessite une longue enquête, alors que le texte initial de la proposition de loi permettrait une reconnaissance certaine des corps.
Comme les industriels du secteur, regroupés au sein du groupement professionnel des industries de composants et de systèmes électroniques (GIXEL), l’ont souligné au cours de leur audition, l’industrie française est particulièrement performante en la matière. Les principales entreprises mondiales du secteur sont françaises, dont 3 des 5 leaders mondiaux des technologies de la carte à puce, emploient plusieurs dizaines de milliers de salariés très qualifiés et réalisent 90 % de leur chiffre d’affaires à l’exportation.
Dans ce contexte, le choix de la France d’une carte nationale d’identité électronique serait un signal fort en faveur de notre industrie. De surcroît, les titres d’identité font l’objet de concurrence de normes et de procédés techniques : il importe que nos entreprises puissent valoriser leur technologie dans le contexte de cette « bataille » de normalisation, sur le plan européen comme sur le plan mondial.
L’industrie française, qui a d’ailleurs inventé la technologie de la carte à puce, dispose de tous les atouts pour remporter les nombreux marchés de sécurisation des titres d’identité et de voyage qui sont appelés à connaître une formidable croissance pour répondre aux enjeux de sécurité globale qui s’imposent à nos sociétés. Disposer en France d’un tel titre donnerait un argument supplémentaire de crédibilité à notre industrie et lui permettrait notamment de s’imposer dans la bataille de normalisation qui a actuellement lieu au niveau européen avec l’industrie allemande, pour proposer au niveau mondial une solution industrielle européenne face à une solution américaine qui ne tardera pas à voir le jour, comme l’a annoncé récemment le président Barack Obama.
L’article 6 de la proposition de loi prévoit qu’un décret en Conseil d’État, pris après avis motivé et publié de la CNIL, précisera les modalités de création du fichier central, conformément à l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui prévoit que les fichiers portant sur l’identification ou l’authentification d’une personne à partir de données biométriques doivent être autorisés par décret en Conseil d’État pris après avis de la CNIL.
Sur proposition de votre rapporteur, la commission a souhaité préciser que ce décret fixera la durée de conservation des données du fichier central. L’arrêt « S. et Marper c/ Royaume-Uni » (5) de la Cour européenne des droits de l’Homme implique que la conservation de données biométriques fasse l’objet d’une limitation de durée pour ne pas risquer de constituer une atteinte au droit au respect de la vie privée. La durée de conservation devrait être fixée à 15 ans.
2. L’assurance qu’aucune donnée personnelle ne peut être consultée à l’occasion d’une vérification de la validité d’un titre d’identité
Le dispositif de l’article 5 ter permet la consultation, par les administrations publiques et les opérateurs économiques, du fichier central, pour s’assurer de la validité ou non du titre d’identité qui leur est présenté.
Ce dispositif s’inspire du fichier national des chèques irréguliers (FNCI), qui concerne les chèques perdus et volés. L’article L. 131-86 du code monétaire et financier, issu de la loi n° 91-1382 du 30 décembre 1991 relative à la sécurité des chèques et des cartes de paiement, confie à la Banque de France le soin d’informer toute personne sur la régularité de l’émission des chèques qu’elle est susceptible d’accepter pour le paiement d’un bien ou d’un service.
Cette fonctionnalité est bien distincte de la puce électronique consacrée à la sécurisation des échanges administratifs et commerciaux sur Internet, prévue à l’article 3. Il s’agit ici d’une simple interrogation sur le mode binaire (oui/non) permettant aux opérateurs de s’assurer de la validité de l’identité présentée par le titulaire de la carte. Bien évidemment, en aucun cas cette consultation ne permettra l’accès aux données contenues dans le fichier. Elle permettra seulement de savoir si le titre d’identité présenté est valide ou non. Un amendement de votre rapporteur, adopté par la Commission, le précise donc explicitement.
La Commission examine la présente proposition de loi lors de sa séance du mercredi 29 juin 2011.
Après l’exposé du rapporteur, une discussion générale a lieu.
M. Serge Blisko. Tout d’abord, je regrette que l’examen de ce texte commence à une heure si avancée. Cela va nous obliger à aller très vite !
M. le président Jean-Luc Warsmann. Si nous avons commencé si tard, c’est que deux commissions mixtes paritaires devaient se réunir au préalable.
M. Serge Blisko. Permettez-moi de le déplorer.
Nous ne nous opposons pas à la lutte contre l’usurpation d’identité, qui est à l’origine de drames à la fois humains, économiques et professionnels. Le traumatisme psychologique est souvent profond. Or, cette délinquance semble en plein essor, même si les statistiques sont imprécises – le nombre de 200 000, cité par le rapporteur, a été avancé par des industriels dont l’intérêt est d’amplifier la perception du phénomène. De ce point de vue, une aggravation des sanctions – reprenant une disposition de la LOPPSI – nous paraît bienvenue.
Le problème, c’est que le dispositif retenu n’est pas anodin. Il s’agit de créer une base de données gigantesque, qui concernera 45 à 50 millions de personnes, voire, à terme, l’ensemble de la population résidant sur notre territoire, outre-mer compris. À notre sens, une telle mesure, qui touche directement aux libertés publiques, ne peut pas être prise dans le cadre d’une proposition de loi : nous ne disposons pas d’étude d’impact, l’avis du Conseil d’État n’a pas été demandé et la CNIL n’a pas été consultée – ses responsables ont été auditionnés la semaine dernière, mais cela ne remplace pas un avis circonstancié. De surcroît, il s’agit du recyclage d’un ancien projet, et le nombre de contentieux toujours pendants au Conseil d’État depuis la mise en place du passeport biométrique en 2005 montre combien ces matières sont délicates.
Sur le fond, nous ne sommes pas opposés à la création d’une puce électronique « régalienne » pour les données biométriques ; cela est d’ailleurs expérimenté, sans grand problème, depuis 2005. En revanche, nous ne comprenons pas la création d’une seconde puce, « commerciale », qui permettrait, sous réserve de volontariat, de réaliser des transactions avec des opérateurs économiques dont la liste serait définie en Conseil d’État. Tout cela manque de précision et n’a rien à faire dans une carte d’identité ! Il existe aujourd’hui suffisamment de solutions de paiement sécurisé, comme l’envoi d’un SMS de confirmation pour les achats électroniques, pour ne pas avoir besoin de faire appel à la carte d’identité. On nous promet que le commerçant n’aura pas accès aux données biométriques et aux empreintes digitales, mais on sait bien ce que valent les promesses en matière de technologie informatique ! Cette proposition de loi nous fait entrer dans un monde orwellien.
Par ailleurs, la protection de l’identité ne doit pas glisser vers la recherche criminelle. Nous savons les difficultés rencontrées par les services de police, mais la construction d’une base de données centralisée ne peut être décidée dans le cadre d’une proposition de loi. Si la CNIL a plutôt donné sa préférence à un système technologiquement plus complexe, c’est que la technique du lien sécurisé, ou « lien fort », permettrait de ficher toute la population, avec un accès direct aux données personnelles, ce qui est redoutable. Il suffirait qu’un assureur, ou un commerçant chez qui vous désirez faire un achat de valeur, ait besoin de vérifier votre identité, pour qu’il ait accès à vos caractéristiques génétiques ! C’est pourquoi nous sommes opposés à la création d’une base biométrique à « lien fort », sauf à repousser la décision à une date ultérieure, dans l’attente d’une étude plus approfondie.
Je reconnais que les enjeux économiques et industriels sont très importants, puisque les entreprises françaises sont les leaders mondiaux du secteur, mais ce n’est pas une raison pour se précipiter. En matière policière, le fichier des empreintes digitales permet déjà de belles réussites. Et puisque vous êtes si attachés à assurer la protection de l’identité des personnes qui iront voter aux primaires du parti socialiste, vous devriez appliquer le même principe de précaution avant de ficher 50 millions de personnes !
Enfin, nombreuses sont les victimes de systèmes de contrôle-sanction automatisés qui, bien que reconnues de bonne foi par les tribunaux et par les autorités policières, n’arrivent pas à rétablir leurs droits. Il conviendrait de remédier aussi à cette situation.
Mme Delphine Batho. Avec cette proposition de loi, on voit combien est fallacieuse la campagne actuelle de l’UMP contre le fichage. Le parti majoritaire ferait mieux de balayer devant sa porte !
Ce texte propose la création d’un gigantesque fichier à des fins sans aucun rapport entre elles. Il n’y a eu aucune étude d’impact ; comme l’a noté Serge Blisko, il s’agit en réalité de contourner l’avis du Conseil d’État et de s’affranchir de l’avis de la CNIL.
Par ailleurs, on va introduire, dans un fichier d’État, la possibilité pour un titre d’identité de servir à la fois d’outil d’identification et d’instrument de transaction commerciale. Cela est sans précédent ! Permettez-moi de rappeler l’avis émis en 2007 par la CNIL sur l’intégration des empreintes digitales dans le passeport biométrique : « La Commission considère que les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle ». Nous nous trouvons précisément dans ce cas de figure.
L’usurpation d’identité est un vrai problème, qui fait déjà l’objet d’une série d’articles du Code pénal. Il existe un fichier permettant d’identifier les fraudeurs : le fichier automatisé des empreintes digitales (FAED), qui recense 3 millions d’individus, soit 5 % de la population, et qui a permis de détecter 61 273 usurpations d’identité. Cet outil me semble suffisant.
Les auteurs de cette proposition de loi estiment, pour résumer, que pour détecter un fraudeur, il faut ficher tout le monde. Dans ce cas, allez jusqu’au bout du raisonnement et inscrivez l’ensemble de la population française dans le fichier des empreintes génétiques, de manière à pouvoir comparer les indices trouvés sur la scène d’un crime avec les données personnelles ! Le véritable objectif de ce texte, c’est le fichage biométrique de la totalité de la population à des fins de lutte contre la délinquance. Cela me fait penser à la philosophie du projet SAFARI en 1974, qui, fort heureusement, avait été retiré par le ministre de l’intérieur de l’époque – un certain Jacques Chirac. La création de la CNIL s’en était suivie.
Mme Sandrine Mazetier. Il faut assumer ses choix politiques ! Certains pays se sont munis de puces donnant, à partir d’un seul numéro, un tas d’informations sur un tas de gens. Cela ne fait pas partie de la culture française et de notre identité nationale, mais si c’est ce que vous voulez, pourquoi ne prenez-vous pas vos responsabilités ? Pourquoi instaurer ce fichage généralisé par une simple proposition de loi ? Le ministre de l’intérieur devrait être présent pour répondre aux questions de la représentation nationale !
L’usurpation de l’identité est certes un vrai problème, mais la loi LOPPSI vient d’aggraver les peines encourues. Pourquoi créer un fichier au lieu d’engager une réflexion sur l’efficacité des peines ?
Il ressort de la discussion au Sénat et de l’intervention du rapporteur que ce texte a clairement un objectif policier. Reconnaissez-le, et engageons le débat sur l’efficacité des outils proposés !
Il semble totalement disproportionné de mettre en place un fichage généralisé de la population française pour lutter contre 15 000 faits d’usurpation d’identité constatés par la police. Que faites-vous du principe de finalité et de proportionnalité, pierre angulaire de la loi « Informatique et libertés » de 1978 ?
Par ailleurs, vous n’apportez aucune garantie aux personnes fichées. Si un usurpateur enregistre ses données biométriques avant le titulaire légitime de la carte d’identité, celui-ci se trouvera en difficulté durant toute sa vie !
Cette PPL pose donc énormément de problèmes. Des associations ayant d’ores et déjà alerté le Conseil d’État, vous semblez vouloir contourner la difficulté. Dévoilez vos véritables objectifs ! En ce qui nous concerne, nous nous opposerons à ce texte.
M. le rapporteur. Vos préventions ne sont pas fondées : vous faites dire au texte ce qu’il ne dit pas. Je constate d’ailleurs des différences d’approche entre M. Blisko, qui s’est déclaré favorable à la puce biométrique, et ses deux collègues.
Il ne s’agit en aucun cas de créer un nouveau fichier de police. D’ailleurs, le groupe socialiste du Sénat n’a pas voté contre : il s’est abstenu. Il me semble que sa vigilance aurait été alertée si les risques en termes de libertés publiques étaient aussi grands que vous le dites !
Le nouveau fichier aura une finalité exclusivement administrative ; il sera fondé sur le modèle du fichier TES, celui qui est utilisé pour la délivrance des passeports ; simplement, le nombre d’entrées passera de moins de 10 millions à 45 millions. Les données collectées ont d’ailleurs été jugées adéquates au regard des finalités du traitement.
Le fichier aura, par ailleurs, un objectif de prévention et de détection de la falsification et de la contrefaçon des titres, de manière à s’assurer que l’on délivre le titre à la bonne personne.
Si ce texte a pris la forme d’une proposition de loi, c’est parce qu’il découle d’une mission d’information parlementaire du Sénat de 2004, dont MM. Lecerf et Houel faisaient partie. Il est faux de prétendre que l’objectif serait d’échapper au contrôle du Conseil d’État ; bien au contraire, le dispositif prévoit qu’un décret en Conseil d’État, pris après avis publié et motivé de la CNIL, précisera le contenu et les modalités de fonctionnement de la base de données.
Je ne comprends pas les préventions de M. Blisko sur la signature électronique : il s’agit simplement de proposer, à titre facultatif, un service de sécurisation des échanges administratifs et économiques – qui ne sera pas exclusif, puisque les opérateurs n’auront pas le droit de refuser une démonstration de l’identité par d’autres moyens. L’activation de la puce ne sera pas automatique, mais devra être commandée par le détenteur du titre. Les données personnelles, cryptées, ne pourront pas être exploitées par les opérateurs commerciaux. La puce ne servira qu’à garantir l’authenticité de la signature électronique. Si vous refusez la solution proposée, des entreprises comme Google ou Amazon prendront l’initiative et verrouilleront le marché.
Le recours à la signature électronique est prévu par le Code civil, avec un certain nombre de conditions et de garanties. Le Sénat a fait en sorte que l’utilisateur maîtrise les données d’identification qu’il souhaite communiquer. Par ailleurs, le fait qu’un titre ne dispose pas de cette fonctionnalité facultative ne pourra pas constituer un motif légitime de refus de vente ou de prestation de service.
S’agissant du fichier central, il existe 22 pays qui disposent d’un fichier central des titres de voyage et plusieurs pays européens, dont les Pays-Bas, la Finlande et l’Espagne disposent d’un fichier central des titres d’identité.
De nombreuses garanties ont été apportées pour protéger les libertés individuelles : la nouvelle carte d’identité demeurera facultative et gratuite ; un décret en Conseil d’État sera pris après avis public de la CNIL ; la traçabilité totale des consultations sera garantie ; la durée de conservation sera limitée ; le droit européen s’appliquera, puisque le fichier ne concernera pas les mineurs de moins de douze ans. Surtout, le choix d’une base à lien fort permettra d’éviter que la vie administrative d’une centaine de citoyens suspectés ne soit bloquée pour les besoins de l’enquête. Il s’agit par conséquent d’un texte très protecteur pour la vie privée des victimes de la fraude documentaire.
*
* *
La Commission passe ensuite à l’examen des articles.
Article 1er
Preuve de l’identité
Le présent article propose de faire de la carte nationale d’identité ou du passeport français le moyen privilégié pour prouver son identité.
Il rappelle en premier lieu que l’identité d’une personne se prouve par tout moyen. Ce principe figure déjà à l’article 78-2 du code de procédure pénale, que le présent article n’entend pas modifier.
En second lieu, le présent article tend à faire de la carte nationale d’identité ou du passeport français « en cours de validité » le moyen privilégié pour prouver son identité.
Selon les informations recueillies par votre rapporteur auprès du ministère de l’intérieur, cette précision aurait un double intérêt :
— d’une part, elle poserait clairement ce principe, de telle sorte qu’aucun opérateur économique ne pourrait exiger autre chose que l’un de ces deux documents d’un de ses clients pour prouver son identité. À l’inverse, la seule production de l’un de ces deux documents suffirait à prouver l’identité de la personne. Soulignons par exemple que la présentation du permis de conduire n’est pas acceptée par de nombreuses entreprises qui souhaitent s’assurer de l’identité de leurs clients.
— d’autre part, elle permettait de s’assurer de la fiabilité du titre d’identité puisque l’État s’engage, durant toute la validité du document sur son authenticité. En revanche, quelques années après sa péremption, l’État n’est pas toujours en mesure d’apporter la même garantie. Par exemple, il est tenu de supprimer les données à caractère personnel après un délai de quinze ans.
Bien que le présent article ne prévoit pas qu’une carte nationale d’identité périmée ne permette pas de prouver son identité, le fait que la présentation de ce document en cours de validité apparaisse comme un moyen privilégié de la prouver implique qu’a contrario la production d’une carte périmée pourrait de moins en moins être acceptée aux mêmes fins.
Rappelons qu’aujourd’hui le ministère de l’intérieur précise, sur son site internet, que la CNI périmée « permet à son titulaire de certifier de son identité, même lorsqu’elle est périmée, sous réserve dans ce cas que la photo soit ressemblante ». Ceci est d’ailleurs confirmé par une communication de la CNIL du 18 février 2005 qui précise que la carte nationale d’identité « est valable dix ans, mais, même périmée, elle permet de justifier de son identité tant que la photo est ressemblante ».
À titre d’exemple, si un passager aérien d’un vol intérieur est tenu de justifier de son identité, il peut le faire au moyen d’une carte nationale d’identité périmée. Cette possibilité est confirmée par l’autorité administrative comme en témoigne la réponse du ministère de l’intérieur du 2 août 2008 à la question n°02572 (Sénat) :
« En effet, même pour accomplir un simple vol intérieur, ces passagers sont strictement tenus d’être en mesure de présenter un document attestant de leur identité. De même, s’agissant des vols directs entre la métropole et les collectivités d’outre-mer, et dès lors que ce type de trajet emporte nécessairement le franchissement d’une frontière extérieure de l’espace Schengen, la carte nationale d’identité (même périmée) peut être exigée afin de justifier de sa qualité de citoyen de l’Union européenne et du droit communautaire à la libre circulation qui s’y rattache. »
Il est vrai que l’article premier du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité prévoit qu’il est « institué une carte nationale certifiant l’identité de son titulaire ». De même, l’article premier du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports précise que les passeports « certifient l’identité de leur titulaire ».
Aucun de ces deux textes, de valeur réglementaire, ne réservait un effet juridique particulier à ces titres d’identité en cours de validité.
Cet article n’a pas été modifié au cours de l’examen de la proposition de loi par le Sénat.
*
* *
La Commission adopte l’article 1er sans modification.
Article 2
Données inscrites sur la puce électronique des cartes nationales d’identité et des passeports
Le présent article précise quelles données peuvent être enregistrées sur la puce électronique de la carte nationale d’identité et du passeport sécurisé.
Il s’agit des données d’état civil du titulaire du titre : nom de famille et d’usage, prénoms, sexe, date et lieu de naissance. Il sera également fait mention de son domicile.
L’article premier du décret n° 55-1357 du 22 octobre 1955 précité est actuellement beaucoup plus précis puisqu’il prévoit qu’il peut être fait mention de « la résidence de l’intéressé » ou, « le cas échéant, sa commune de rattachement ».
En outre, le présent article prévoit que la puce contenue dans la carte nationale d’identité ou le passeport français comportera des données relatives à la taille et la couleur des yeux, aux empreintes digitales et sa photographie d’identité.
Selon les informations recueillies par votre rapporteur, les empreintes de huit doigts pourraient être relevées. Le règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres impose deux empreintes au minimum et le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports, se limite à ce nombre. Cependant, huit empreintes au total sont enregistrées dans la base centrale. En effet, le taux d’erreur, à l’échelle de la population française est de 4 % avec 2 doigts et de seulement 0,16 % avec 8 doigts.
Enfin, le présent article précise que ces dispositions ne s’appliquent pas au passeport délivré selon une procédure d’urgence. Le passeport peut être délivré en urgence pour des motifs d’ordre professionnels ou familiaux. La demande doit être faite auprès des services préfectoraux qui décident de la délivrance en fonction de la situation. Ce passeport n’est valide que pour une durée d’un an.
Cet article n’a pas été modifié au cours de l’examen de la proposition de loi par le Sénat.
*
* *
La Commission adopte l’article 2 sans modification.
Article 3
Utilisation optionnelle de la carte nationale d’identité à des fins d’identification sur les réseaux de communication électronique et de signature électronique
Le présent article rend possible l’enregistrement, sur la carte nationale d’identité électronique, de données permettant à son titulaire de s’identifier sur les réseaux de communication électroniques et de mettre en œuvre sa signature électronique.
Cette fonctionnalité ne pourrait être mise en place qu’à la demande du titulaire de la carte. Afin d’assurer la sécurité des données du titre d’identité, cette fonctionnalité fera l’objet d’une puce distincte, indépendante de celle contenant les données d’état-civil. L’alinéa 2 du présent article précise ainsi que ces données seront « conservées séparément ».
La carte nationale d’identité électronique contiendra donc deux puces : l’une qualifiée de puce « régalienne », l’autre de puce « services ».
La signature électronique est prévue à l’article 1316-4 du code civil, qui a été inséré par l’article 4 de la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
Lorsque la signature est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État.
Le décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique précise que ce procédé est présumé fiable si la signature électronique est sécurisée, ce qui suppose :
— qu’elle soit créée par un dispositif sécurisé de création de signature, c’est-à-dire par un dispositif certifié conforme aux exigences de l’article 3 de ce décret conformément à la procédure de « certification de conformité des dispositifs de création de signature électronique » ;
— et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Les certificats délivrés par des « prestataires de services de certification électronique qualifiés » sont présumés qualifiés.
La fonctionnalité proposée par le présent article se substituerait, pour ceux qui l’utiliseraient, aux dispositifs existants (certification électronique, données personnelles de connexion, etc.). L’authentification électronique par la carte nationale d’identité bénéficiera d’un fort degré de confiance, tout en étant très commode d’usage : un simple lecteur de carte suffira pour bénéficier de cette fonctionnalité.
Cependant, cette puce « services » qui, par définition, ne donnera pas accès à des données biométriques, n’offrira donc pas le même niveau de certitude sur la concordance entre la personne qui utilise la carte et son titulaire que la puce « régalienne ».
En commission, le Sénat a modifié le présent article, sur l’initiative de son rapporteur, pour préciser que :
— le titulaire de la carte d’identité qui l’utilisera pour s’identifier sur des réseaux de communication électronique ou pour mettre en œuvre sa signature électronique doit rester maître des données d’identification qu’il communique à cette occasion.
— le fait de ne pas disposer de cette fonctionnalité ne constitue pas un motif légitime susceptible de fonder un refus de vente ou de prestation de service au sens de l’article L. 122-1 du code de la consommation ni un refus d’accès aux opérations de banque mentionnées à l’article L. 311-1 du code monétaire et financier.
En outre, la commission des Lois du Sénat a précisé que l’accès aux services d’administration électronique mis en place par l’État, les collectivités territoriales ou leurs groupements ne peut être limité aux seuls titulaires d’une carte nationale d’identité présentant la fonctionnalité décrite au premier alinéa.
Par ces amendements, le rapporteur de la commission des Lois du Sénat a souhaité que la fonctionnalité d’identification électronique de la carte nationale d’identité puisse rester « pleinement optionnelle ». Nul ne doit être interdit d’accéder à un service électronique parce qu’il n’y a pas recours, d’autres moyens de certification de l’identité – déjà existant ou à venir – pouvant être employés, notamment grâce à des certificats électroniques ou des codes personnels de connexion.
Le présent article n’a, ensuite, pas été modifié en séance publique.
*
* *
Suivant l’avis défavorable du rapporteur, la Commission rejette l’amendement CL 1 de M. Serge Blisko, visant à supprimer l’article.
Elle examine ensuite l’amendement CL 2 de M. Serge Blisko.
Mme Sandrine Mazetier. Il s’agit d’un amendement de repli, visant à limiter l’usage de la deuxième puce aux relations avec l’administration.
M. Serge Blisko. Cela permettrait notamment d’authentifier la signature électronique de la déclaration de revenus.
M. le rapporteur. La création de la deuxième puce vise à permettre à l’État de garantir l’authenticité de la signature et de sécuriser la transaction commerciale. Si elle ne peut être utilisée que pour les relations avec l’administration, les entreprises privées développeront un système concurrent, qui sera autrement plus intrusif. Par ailleurs, tout citoyen pourra décider d’utiliser la puce pour ce seul usage. Enfin, le nouveau dispositif permettra de limiter les données personnelles transmises aux opérateurs économiques. Avis défavorable, donc.
Mme Delphine Batho. L’État n’a pas vocation à encadrer l’utilisation de la carte bleue !
M. Serge Blisko. Quelle que soit la loi, les commerçants font ce qu’ils veulent de toute façon : certains refusent les chèques, d’autres réclament la présentation de deux pièces d’identité à compter d’une certaine somme. En outre, les commerçants devront s’abonner au nouveau système, ce qui favorisera les gros par rapport aux petits.
M. le rapporteur. Je le répète : la puce « e-services » sera distincte de la puce « régalienne ». Les données incluses dans la carte ne pourront pas être lues par l’opérateur, qu’il s’agisse d’une entreprise ou d’une administration, et il n’y aura plus besoin de présenter d’autre document.
La Commission rejette l’amendement.
Suivant l’avis défavorable du rapporteur, elle rejette également l’amendement CL 7 de M. Lionel Tardy.
Puis elle adopte l’article 3 sans modification.
Article 4
Contrôle des documents d’état civil fournis à l’appui d’une demande de délivrance de carte nationale d’identité ou de passeport
Le présent article précise que les agents chargés du recueil ou de la délivrance des titres d’identité procèdent, si nécessaire, à la vérification des données d’état civil apportées par le demandeur du titre.
Le demandeur est informé de cette vérification, qui s’effectue auprès des officiers d’état civil dépositaires de ces actes. Un décret en Conseil d’État préciserait les conditions dans lesquelles cette vérification s’opérerait.
L’objectif poursuivi est de mieux lutter contre la délivrance de titres d’identité basée sur la production de documents d’état civil falsifiés.
Votre rapporteur note que cette action a d’ores et déjà été engagée, comme en témoigne l’article 3 du décret n° 2011-167 du 10 février 2011 instituant une procédure de vérification sécurisée des données à caractère personnel contenues dans les actes de l’état civil, qui a modifié l’article 13-2 du décret n° 62-921 du 3 août 1962 modifiant certaines règles relatives aux actes de l’état civil.
Cet article prévoit déjà que, dans le cadre des dossiers qu’ils instruisent et dès lors qu’ils sont légalement fondés à requérir des actes de l’état civil, « les administrations, services et établissements publics de l’État ou des collectivités territoriales, les caisses et les organismes gérant des régimes de protection sociale peuvent faire procéder à la vérification des données de l’état civil fournies par l’usager, auprès des officiers de l’état civil dépositaires de ces actes ».
Le présent article précise que le demandeur est préalablement informé de cette vérification, reprenant ainsi les dispositions de l’article 13-3 du décret n° 62-921 du 3 août 1962 précité, également issu du décret n° 2011-167 du 10 février 2011 précité. Ce dernier prévoit en effet que la demande de vérification est formée par l’administration, à partir des informations recueillies auprès de l’usager, « sous réserve que celui-ci en ait été préalablement informé ».
Le présent article n’a pas été modifié au cours de l’examen de la proposition de loi par le Sénat.
*
* *
La Commission adopte successivement les amendements rédactionnels CL 8 et CL 9 du rapporteur.
Elle adopte l’article 4 ainsi modifié.
Article 5
Fichier central biométrique des cartes nationales d’identité et des passeports
Le présent article prévoit la création d’un fichier central contenant l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité.
Cœur de la réforme de la présente proposition de loi, ce fichier serait créé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En application de l’article 6 de la proposition de loi, les modalités de création de ce fichier central feront l’objet d’un décret en conseil d’État, pris après avis motivé et publié de la CNIL, conformément à l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui prévoit que les fichiers portant sur l’identification ou l’authentification d’une personne à partir de données biométriques doivent être autorisés par un tel décret.
Le fichier créé par le présent article aurait deux fonctions : il permettrait de conserver – et donc de garantir l’intégrité – des données requises pour la délivrance des passeports et des cartes nationales d’identité et il permettrait de servir de base de référence pour permettre la vérification des titres, dans des conditions garantissant l’intégrité et la confidentialité des données personnelles des demandeurs de titre d’identité.
Dans sa version initiale, le présent article ne contenait pas de précisions supplémentaires sur les modalités d’accès à ce fichier. La commission des Lois du Sénat a adopté un amendement de son rapporteur prévoyant que les conditions de mise en œuvre de ce traitement de données garantissaient « la traçabilité des consultations et des modifications effectuées par les personnes y ayant accès ». Selon le rapporteur de la commission des Lois du Sénat, cette précision constitue une garantie supplémentaire « pour éviter tout mésusage des fichiers contenant des données sensibles ».
Par ailleurs, la commission des Lois du Sénat a adopté un autre amendement de son rapporteur modifiant profondément les alinéas 3 et 4 du présent article. En effet, la proposition de loi initiale ajoutait que l’identification du demandeur ne peut s’effectuer qu’au moyen des données énumérées aux a) à e) de l’article 2 (c’est-à-dire au moyen de toutes les données contenues dans le titre d’identité à l’exception de la photographie).
La commission des Lois du Sénat a préféré, sur l’initiative de son rapporteur, substituer à ce dispositif des dispositions plus complexes consistant à ne pas faire correspondre des empreintes à une identité mais plutôt à un ensemble d’identités.
Son rapporteur a estimé qu’il convenait de limiter les utilisations possibles du fichier central biométrique au seul objet de sécuriser l’identité des citoyens français et de lutter contre l’usurpation d’identité. Il a ainsi indiqué que la technique des bases biométriques dites « à lien faible » constitue à cet égard, une garantie matérielle solide, puisqu’elle interdit qu’un lien univoque soit établi entre une identité civile et les empreintes digitales de l’intéressé.
Dans ce système, plusieurs dizaines ou centaines de milliers d’empreintes sont associées à plusieurs dizaines ou centaines de milliers d’identités sans qu’un lien soit établi entre une de ces empreintes et l’une de ces identités. Nul ne peut en conséquence être identifié à partir de ses seules empreintes digitales, ce qui interdit l’utilisation du fichier à des fins de recherche criminelle, en l’absence d’autres indices impliquant l’intéressé.
Le rapporteur de la commission des Lois du Sénat estime que cette technologie permet de s’assurer de l’identité d’un individu, par la comparaison entre l’identité qu’il allègue et les données associées à cette identité. Les chances qu’un individu qui souhaiterait usurper l’identité d’une autre personne possède des empreintes biométriques correspondant à celles susceptibles d’être associées à l’identité en cause sont en effet très faibles et inférieures à 1 %. Il a estimé, en conséquence, que l’usurpation d’identité devenait impossible, car trop risquée.
En séance publique, le Gouvernement a présenté un amendement tendant à revenir au texte initial de la proposition de loi, mais il n’a pas été adopté par le Sénat.
Votre Commission ne partage pas l’analyse du Sénat. Seul un dispositif associant une identité à des éléments biométriques permet de traiter de manière efficace et systématique le problème de l’usurpation d’identité. La rédaction retenue par le Sénat nécessite une construction technique de la base centrale d’un type nouveau séparant les données (identité et empreintes). Le croisement des données ne s’effectuerait qu’à la délivrance du titre ou lors de son renouvellement, mais ne se conserverait pas de manière univoque dans la base. Dans ce contexte, en cas d’usurpation d’identité, il serait impossible d’identifier l’usurpateur sauf à engager une enquête longue et coûteuse. Ce serait notamment le cas lorsqu’un usurpateur d’identité tenterait de faire établir un titre d’identité avant la personne qui serait pourtant le titulaire légitime de ce document. Dans ce cas, puisqu’à l’empreinte de l’usurpateur correspondrait plusieurs centaines – voire plusieurs milliers – d’identités, les enquêteurs devraient alors convoquer chacune de ces personnes pour démasquer le fraudeur. Des centaines – ou des milliers – de citoyens feraient donc l’objet d’une enquête, ce qui constituerait une atteinte à la vie privée bien plus importante que le recours à une identification directe du fraudeur.
En outre, l’architecture du fichier central proposée par le Sénat implique qu’il ne pourrait pas être utilisé en matière de recherche criminelle. Votre rapporteur estime qu’une telle recherche doit être possible et souligne qu’elle ne pourrait intervenir que sur réquisition judiciaire.
De même, il devrait être possible, à l’occasion de catastrophes naturelles, de procéder à l’identification des corps, dans l’intérêt des familles. Dans le texte retenu par le Sénat, une telle identification nécessite une longue enquête, alors que le texte initial de la proposition de loi permettrait une reconnaissance certaine des corps.
Enfin, votre rapporteur observe que le Sénat a adopté un article 7 bis A, à l’initiative du Gouvernement, relatif à la consultation du fichier central biométrique des cartes nationales d’identité et des passeports en matière de lutte contre le terrorisme. Cette mesure serait sans effet dans la rédaction du présent article proposée par le Sénat.
*
* *
Suivant l’avis défavorable du rapporteur, la Commission rejette l’amendement CL 3 de M. Serge Blisko, visant à supprimer l’article.
Puis elle adopte successivement les amendements rédactionnels CL 10 et CL 11 du rapporteur.
Elle examine ensuite l’amendement CL 12 du rapporteur.
M. le rapporteur. Il convient de revenir à l’esprit initial de la proposition de loi, en créant une base de données à lien fort plutôt qu’à lien faible.
La Commission adopte l’amendement.
Suivant l’avis défavorable du rapporteur, la Commission rejette l’amendement CL 4 de M. Serge Blisko.
Puis elle adopte l’article 5 modifié.
Article 5 bis
Modalités du contrôle d’identité à partir du titre d’identité
Le présent article est issu d’un amendement du rapporteur de la commission des Lois du Sénat, que cette dernière a adopté. Il prévoit les modalités de la justification de l’identité au moyen de la carte nationale d’identité électronique ou du passeport.
L’objectif poursuivi par la commission des Lois du Sénat est d’éviter que le fichier central ne soit consulté systématiquement pour authentifier l’identité du détenteur du titre d’identité.
Sauf « doute sérieux » sur l’identité de la personne ou si le titre est défectueux ou endommagé, la justification de l’identité ne s’effectuerait qu’à partir des données imprimées sur la carte ou inscrites dans la puce électronique. Selon le rapporteur de la commission des Lois du Sénat, cette disposition traduit une recommandation constante de la CNIL, qui considère légitime le recours à des dispositifs de reconnaissance biométrique pour s’assurer de l’identité d’une personne, dès lors que les données biométriques sont conservées sur un support dont la personne à l’usage exclusif (6).
Le dernier alinéa du présent article prévoit cependant la possibilité pour les agents chargés d’effectuer le contrôle d’identité de consulter le fichier central, en cas de doute sérieux sur l’identité alléguée ou s’ils constatent que le titre est susceptible d’avoir été falsifié, contrefait ou altéré.
Le deuxième alinéa du présent article encadre les conditions dans lesquelles une vérification d’identité à partir des empreintes digitales peut être effectuée. Dans le texte adopté par la commission des Lois du Sénat, cette faculté n’était ouverte qu’aux seuls agents « habilités » à cet effet. Cette rédaction avait pour effet d’impliquer la mise en place d’un système d’habilitation particulière pour les agents qui auront accès aux données biométriques que sont les empreintes, conservées dans la puce.
En séance publique, cet alinéa a été profondément modifié par l’adoption d’un amendement du Gouvernement adopté avec l’avis favorable de la commission des Lois. Le Gouvernement a rappelé que le principe d’une autorisation générale de communication des données de la puce du passeport biométrique a été validé par la CNIL et le Conseil d’État pour les agents chargés des « missions de recherche et de contrôle de l’identité des personnes, de vérification et de l’authenticité des passeports ». Il a en outre fait valoir que faire une différence sur le terrain entre les agents qui ont connaissance d’une partie des données de la puce et ceux qui ont accès à toute la puce n’est pas opérationnel. Il a estimé qu’une telle mesure affaiblirait considérablement la portée de l’article lui-même si la vérification de l’identité d’une personne présentant une carte nationale d’identité ou un passeport ne pouvait pas porter sur tous les éléments du titre.
Dans le texte adopté par votre Commission, le dispositif retenu est similaire à celui retenu pour le passeport biométrique : seuls sont autorisés à procéder à une vérification à partir des empreintes digitales, les « agents chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques ».
De même, un amendement de votre rapporteur, adopté par la Commission, a précisé que la présentation d’une carte nationale d’identité ou d’un passeport par une personne lui permet de justifier de son identité et que les agents chargés des missions de recherche et de contrôle de l’identité des personnes peuvent effectuer leur contrôle à partir des éléments visibles du titre ou de la consultation du composant électronique qu’il comporte.
Compte tenu de la nécessité d’un décret en Conseil d’État, pris après avis publié et motivé de la CNIL, en application de l’article 6 de la proposition de loi, les garanties apportées par le législateur aux modalités de contrôle d’identité portant sur des données personnelles semblent satisfaisantes.
*
* *
La Commission adopte l’amendement rédactionnel CL 18 du rapporteur.
Elle adopte l’article 5 bis ainsi modifié.
Article 5 ter
Information sur la validité des titres d’identité présentés
Le présent article est issu d’un amendement du rapporteur de la commission des Lois du Sénat, que cette dernière a adopté. Il permet la consultation, par les administrations publiques et certains opérateurs économiques, du fichier central, pour s’assurer de la validité ou non du titre d’identité qui leur est présenté.
Votre rapporteur souligne qu’en aucun cas cette consultation ne permettra l’accès aux données contenues dans le fichier. Elle permettra seulement de savoir si le titre d’identité présenté est valide ou non.
Ce dispositif s’inspire du fichier national des chèques irréguliers (FNCI), qui concerne les chèques perdus et volés. L’article L 131-86 du code monétaire et financier, issu de la loi n° 91-1382 du 30 décembre 1991 relative à la sécurité des chèques et des cartes de paiement, confie à la Banque de France le soin d’informer toute personne sur la régularité de l’émission des chèques qu’elle est susceptible d’accepter pour le paiement d’un bien ou d’un service.
Le présent article propose que le fichier central puisse être consulté, pour s’assurer de la validité de la carte nationale d’identité ou du passeport français présentés par son titulaire pour justifier de son identité :
— par les administrations publiques,
— des opérateurs assurant une mission de service public (il peut notamment s’agir des organismes de sécurité sociale) ;
— et par « certains opérateurs économiques ».
Cette dernière catégorie peut sembler imprécise, c’est pourquoi votre Commission l’a précisée. D’après les informations recueillies par votre rapporteur, il semble que tous les opérateurs économiques pourraient accéder au dispositif proposé par le présent article. Il convient de rappeler que les conditions d’accès à cette information feront l’objet d’un décret en Conseil d’État pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés. Cette dernière précision est issue d’un amendement du rapporteur de la commission des Lois, adopté en séance publique avec l’accord du Gouvernement.
Les représentants de la CNIL, entendus par votre rapporteur, ont précisé que ces dispositions ne posaient aucune difficulté juridique.
*
* *
La Commission est saisie de l’amendement CL 5 de M. Serge Blisko, visant à supprimer l’article.
M. Serge Blisko. Il est aberrant de donner à « certains opérateurs économiques », sans plus de précision, le droit de consulter le fichier central !
M. le rapporteur. Avis défavorable. La procédure ne permettra que de garantir la validité du titre : il ne s’agit pas d’une atteinte aux libertés individuelles, bien au contraire, puisque cela évitera d’avoir à produire un autre document. Par ailleurs, lors de l’audition de la semaine dernière, la CNIL a estimé que cette disposition ne posait pas de problème.
La Commission rejette l’amendement.
Elle adopte successivement les amendements rédactionnels CL 13 et, CL 14, et l’amendement de précision CL 15 du rapporteur.
La Commission adopte ensuite l’article 5 ter modifié.
Article 6
Modalités réglementaires d’application
Le présent article précise les modalités d’application de la proposition de loi.
Un décret en conseil d’État, pris après avis motivé et publié de la CNIL, précisera les modalités et la date de mise en œuvre de la fonctionnalité d’identification électronique prévue à l’article 3.
Les modalités de création du fichier central prévu à l’article 5 feront également l’objet d’un tel décret, conformément d’ailleurs à l’article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui prévoit que les fichiers portant sur l’identification ou l’authentification d’une personne à partir de données biométriques doivent être autorisés par décret en Conseil d’État pris après avis de la CNIL.
Le décret en Conseil d’État devra, conformément aux dispositions de l’article 29 de la même loi du 6 janvier 1978, préciser la dénomination et la finalité du traitement, le service auprès duquel s’exerce le droit d’accès de l’intéressé à ces données personnelles, les catégories de données à caractère personnel enregistrées, les destinataires ou catégories de destinataires habilités à recevoir communication de ces données et, le cas échéant, les dérogations à l’obligation d’information de l’intéressé sur la finalité et les modalités d’utilisation du fichier.
Le présent article n’a pas été modifié au cours de l’examen de la proposition de loi par le Sénat.
*
* *
La Commission adopte l’amendement de précision CL 19 du rapporteur.
Elle examine ensuite l’amendement CL 6 de M. Serge Blisko.
Mme Sandrine Mazetier. Il importe de prévoir une durée maximale de conservation des données personnelles collectées, ainsi que des possibilités d’accès et de rectification pour les personnes concernées.
M. le rapporteur. Avis défavorable : votre amendement est satisfait par l’amendement précédent.
La Commission rejette l’amendement.
Puis elle adopte l’article 6 modifié.
Article 7
(art 323-1, 323-2 et 323-3 du code pénal)
Dispositions pénales
Le présent article proposer d’aggraver la répression pénale des infractions d’accès, d’introduction, de maintien frauduleux dans un système de traitement automatisé de données à caractère personnel, d’entrave à son fonctionnement ou de modification ou de suppression frauduleuse des données qu’il contient, lorsque ces faits sont commis à l’encontre d’un système de traitement automatisé mis en œuvre par l’État.
Ces infractions sont actuellement punies de peines d’emprisonnement de deux à cinq ans et de peines d’amende de 30 000 à 75 000 euros. La proposition de loi initiale les avait portées à cinq ans et 300 000 euros d’amende. La commission des Lois du Sénat avait souhaité maintenir une cohérence entre le quantum des peines d’emprisonnement et d’amende encourues et a adopté un amendement de son rapporteur ramenant l’amende à 75 000 euros.
En séance publique, le Sénat a adopté, avec l’avis favorable de sa commission des Lois, un amendement du Gouvernement procédant à la réécriture du présent article.
Il a observé que s’il a pour objet l’aggravation de la répression des délits d’atteintes aux systèmes de traitement automatisé de données prévus par les articles 323-1 à 323-3 du code pénal lorsque ces infractions sont commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, le quantum de peine retenu par la commission des Lois est déjà prévu par les articles 323-2 et 323-3, même en l’absence de cette circonstance.
Afin d’aboutir à une aggravation effective de la répression pénale de ces agissements, il est apparu plus pertinent de distinguer selon les infractions, puisque celles-ci sont d’une gravité différente.
Pour le délit prévu par l’article 323-1, qui réprime le fait d’accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données par une peine de deux ans d’emprisonnement et de 30 000 euros d’amende, ou de 3 ans d’emprisonnement et 45 000 euros d’amende en cas de suppression ou la modification de données ou d’altération du fonctionnement du système, l’aggravation portera les peines à cinq ans et 75 000 euros d’amende, comme le prévoyait déjà le texte de la commission des Lois du Sénat.
En revanche, pour les délits prévus aux articles 323-2 et 323-3 du code pénal, qui répriment le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ou le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient, l’aggravation adoptée par le Sénat porte les peines encourues à sept ans et 100 000 euros.
Cette aggravation paraît pleinement justifiée par la gravité des faits : entraver ou fausser volontairement un fichier géré par l’État, comme par exemple le casier judiciaire, le fichier des empreintes génétiques, ou la nouvelle base centrale de délivrance de titres d’identité et de voyage, peut en effet avoir des conséquences extrêmement graves sur les libertés individuelles ou la lutte contre la criminalité.
La solution retenue maintient par ailleurs la cohérence entre les peines d’emprisonnement et les peines d’amende (à un an d’emprisonnement correspondent 15 000 euros d’amende, comme c’est la règle habituellement suivie en droit pénal).
*
* *
La Commission adopte l’article 7 sans modification.
Article 7 bis A
(art 9 de la loi n° 2006-64 du 23 janvier 2006)
Consultation du fichier central biométrique des cartes nationales d’identité et des passeports en matière de lutte contre le terrorisme
Le présent article est issu d’un amendement du Gouvernement, adopté par le Sénat en séance publique, avec l’avis favorable de la commission des Lois. Il vise permettre la consultation du fichier central biométrique des cartes nationales d’identité et des passeports en matière de lutte contre le terrorisme.
L’article 9 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme dispose que « pour les besoins de la prévention et de la répression des atteintes à l’indépendance de la nation, à l’intégrité de son territoire, à sa sécurité, à la forme républicaine de ses institutions, aux moyens de sa défense et de sa diplomatie, à la sauvegarde de sa population en France et à l’étranger et aux éléments essentiels de son potentiel scientifique et économique et des actes de terrorisme », les « agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions » peuvent « avoir accès » à plusieurs « traitements automatisés », notamment le « système de gestion des cartes nationales d’identité » et le « système de gestion des passeports ».
Cette possibilité offerte aux services spécialisés, strictement encadrée puisque ces services doivent être désignés par arrêté et que les agents doivent être individuellement habilités, est essentielle à la sécurité nationale.
D’après les informations recueillies par votre rapporteur, les autorités françaises n’ont pas été en mesure de procéder dans les délais requis aux opérations d’identification demandées par les services de police étrangers à la suite des attentats terroristes de Madrid et de Londres. Ces lacunes ont mis en évidence l’intérêt de pouvoir accéder sans délai – même en dehors des heures d’ouverture des bureaux – notamment aux fins d’identification de personnes ou de détection de fausses identités, aux données contenues dans certains fichiers administratifs.
Dans la mesure où la proposition de loi crée, dans son article 5, une base centrale réunissant les données relatives à la carte d’identité et au passeport, il convient, par coordination, de modifier l’article 9 de la loi de 2006 afin que cette nouvelle base puisse être consultée par les services spécialisés dans les mêmes conditions que les deux anciens fichiers.
*
* *
La Commission adopte l’article 7 bis A sans modification.
Article 7 bis
Mention de l’usurpation d’identité dans les rectifications d’actes d’état civil
Le présent article résulte de l’adoption par la commission des Lois du Sénat de deux amendements identiques de MM. Jean-René Lecerf et Bernard Frimat. Il propose d’apporter une solution juridique à la difficulté à laquelle les personnes victimes d’usurpation d’identité se trouvent confrontées lorsqu’elles obtiennent, par jugement, l’annulation des actes d’état civil passés par l’usurpateur sous leur identité et la transcription de cette annulation en marge de leur acte de naissance.
En effet, les règles de conservation intégrale des mentions portées à l’état civil interdisent de faire « disparaître » les mentions correspondant aux actes annulés. Certes, le dispositif du jugement décidant l’annulation est porté en marge, mais il n’est pas précisé le motif de l’annulation.
Le présent article prévoit que lorsqu’un acte est annulé par le juge sur le fondement d’une usurpation d’identité, le dispositif du jugement dont la transcription est ordonnée à l’état civil, doit faire mention de l’usurpation d’identité.
Le rapporteur de la commission des Lois du Sénat a estimé que cette mesure permettrait effectivement de distinguer entre les mentions portées en marge des registres d’état civil, celles qui ont pour cause la fraude et les autres.
La Commission adopte successivement les amendements de précision CL 16 et CL 17 du rapporteur.
Puis elle adopte l’article 7 bis ainsi modifié.
Article 8
Application de la loi
Le présent article prévoit que la loi est applicable sur l’ensemble du territoire de la République, y compris, donc, dans les collectivités d’outre-mer et en Nouvelle-Calédonie.
*
* *
La Commission adopte l’article 8 sans modification.
Le présent article proposait un gage financier destiné à assurer la recevabilité de la proposition de loi au regard des dispositions de l’article 40 de la Constitution.
Comme il en est d’usage, le Gouvernement a proposé un amendement de suppression du présent article, que le Sénat a adopté.
*
* *
La Commission maintient la suppression de l’article 9.
Elle adopte enfin l’ensemble de la proposition de loi modifiée.
*
* *
En conséquence, la commission des Lois constitutionnelles, de la législation et de l’administration générale de la République vous demande d’adopter la proposition de loi relative à la protection de l’identité dans le texte figurant dans le document joint au présent rapport.
___
Texte en vigueur ___ |
Texte adopté par le Sénat ___ |
Texte adopté par la Commission ___ |
Proposition de loi relative à la protection de l’identité |
Proposition de loi relative à la protection de l’identité | |
Article 1er |
Article 1er | |
L’identité d’une personne se prouve par tout moyen. La présentation d’une carte nationale d’identité ou d’un passeport français en cours de validité suffit à en justifier. |
(Sans modification) | |
Article 2 |
Article 2 | |
La carte nationale d’identité et le passeport comportent un composant électronique sécurisé contenant les données suivantes : |
(Sans modification) | |
a) Le nom de famille, le ou les prénoms, le sexe, la date et le lieu de naissance du demandeur ; |
||
b) Le nom dont l’usage est autorisé par la loi, si l’intéressé en a fait la demande ; |
||
c) Son domicile ; |
||
d) Sa taille et la couleur de ses yeux ; |
||
e) Ses empreintes digitales ; |
||
f) Sa photographie. |
||
Le présent article ne s’applique pas au passeport délivré selon une procédure d’urgence. |
||
Article 3 |
Article 3 | |
Si son titulaire le souhaite, la carte nationale d’identité contient en outre des données, conservées séparément, lui permettant de s’identifier sur les réseaux de communications électroniques et de mettre en œuvre sa signature électronique. L’intéressé décide, à chaque utilisation, des données d’identification transmises par voie électronique. |
(Sans modification) | |
|
Code de la consommation Art. L. 122-1. – Cf. annexe. Code monétaire et financier Art. L. 311-1. – Cf. annexe. |
Le fait de ne pas disposer de la fonctionnalité décrite au premier alinéa ne constitue pas un motif légitime de refus de vente ou de prestation de services au sens de l’article L. 122-1 du code de la consommation ni de refus d’accès aux opérations de banque mentionnées à l’article L. 311-1 du code monétaire et financier. |
|
L’accès aux services d’administration électronique mis en place par l’État, les collectivités territoriales ou leurs groupements ne peut être limité aux seuls titulaires d’une carte nationale d’identité présentant la fonctionnalité décrite au premier alinéa. |
||
Article 4 |
Article 4 | |
Les agents chargés du recueil ou de l’instruction des demandes de délivrance de la carte nationale d’identité ou du passeport font, en tant que de besoin, procéder à la vérification des données de l’état civil fournies par l’usager auprès des officiers de l’état civil dépositaires de ces actes dans des conditions fixées par décret en Conseil d’État. |
(amendements CL8 et CL9) | |
Le demandeur en est préalablement informé. |
(Alinéa sans modification) | |
Article 5 |
Article 5 | |
Afin de préserver l’intégrité des données requises pour la délivrance du passeport français et de la carte nationale d’identité, l’État crée, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, un traitement de données à caractère personnel facilitant leur recueil et leur conservation. |
(Alinéa sans modification) | |
Ce traitement, mis en œuvre par le ministère de l’intérieur, permet l’établissement et la vérification des titres dans des conditions garantissant l’intégrité et la confidentialité des données à caractère personnel ainsi que la traçabilité des consultations et des modifications effectuées par les personnes y ayant accès. |
Ce traitement de données, mis … (amendements CL10 et CL11) | |
L’enregistrement des empreintes digitales et de l’image numérisée du visage du demandeur est réalisé de manière telle qu’aucun lien univoque ne soit établi entre elles, ni avec les données mentionnées aux a à d de l’article 2, et que l’identification de l’intéressé à partir de l’un ou l’autre de ces éléments biométriques ne soit pas possible. |
Alinéa supprimé | |
La vérification de l’identité du demandeur s’opère par la mise en relation de l’identité alléguée et des autres données mentionnées aux a à f de l’article 2. |
L’identification du demandeur d’un titre d’identité ou de voyage ne peut s’y effectuer qu’au moyen des données énumérées aux ... (amendement CL12) | |
Article 5 bis (nouveau) |
Article 5 bis | |
La vérification de l’identité du possesseur de la carte nationale d’identité ou du passeport est effectuée à partir des données inscrites sur le document lui-même ou sur le composant électronique sécurisé mentionné à l’article 2. |
L’identité du possesseur de la carte nationale d’identité ou du passeport français est justifiée à partir… | |
Sont seuls autorisés à procéder à cette vérification à partir des données mentionnées au e de l’article 2 les agents chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité et de l’authenticité des passeports et des cartes nationales d’identité électroniques. |
… autorisés, dans le cadre de cette justification de l’identité, à accéder aux données … (amendement CL18) | |
En cas de doute sérieux sur l’identité de la personne, ou lorsque le titre présenté est défectueux ou paraît endommagé ou altéré, la vérification d’identité peut être effectuée en consultant les données conservées dans le traitement prévu à l’article 5. |
(Alinéa sans modification) | |
Article 5 ter (nouveau) |
Article 5 ter | |
Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, définit les conditions dans lesquelles le traitement prévu à l’article 5 peut être consulté par les administrations publiques, des opérateurs assurant une mission de service public et certains opérateurs économiques pour s’assurer de la validité de la carte nationale d’identité ou du passeport français présentés par son titulaire pour justifier de son identité. |
(amendements CL13, CL14 et CL15) | |
Article 6 |
Article 6 | |
Un décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application de la présente loi. Il définit notamment les modalités et la date de mise en œuvre des fonctions électroniques mentionnées à l’article 3. |
(amendement CL19) | |
Article 7 |
Article 7 | |
Code pénal |
Le code pénal est ainsi modifié : |
(Sans modification) |
Art. 323-1. – Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 € d’amende. |
1° L’article 323-1 est complété par un alinéa ainsi rédigé : |
|
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 € d’amende. |
||
« Lorsque les infractions prévues aux deux alinéas précédents ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. » ; |
||
Art. 323-2. – Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75 000 € d’amende. |
2° Les articles 323-2 et 323-3 sont complétés par un alinéa ainsi rédigé : |
|
« Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. » |
||
Art. 323-3. – Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 € d’amende. |
||
Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers |
Article 7 bis A (nouveau) |
Article 7 bis A |
Art. 9. – Pour les besoins de la prévention et de la répression des atteintes à l’indépendance de la Nation, à l’intégrité de son territoire, à sa sécurité, à la forme républicaine de ses institutions, aux moyens de sa défense et de sa diplomatie, à la sauvegarde de sa population en France et à l’étranger et aux éléments essentiels de son potentiel scientifique et économique et des actes de terrorisme, les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions peuvent, dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 précitée, avoir accès aux traitements automatisés suivants : |
Après le cinquième alinéa de l’article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, il est inséré un alinéa ainsi rédigé : |
(Sans modification) |
– le fichier national des immatriculations ; |
||
– le système national de gestion des permis de conduire ; |
||
– le système de gestion des cartes nationales d’identité ; |
||
– le système de gestion des passeports ; |
||
« – le système de gestion commun aux passeports et aux cartes nationales d’identité ; ». |
||
– le système informatisé de gestion des dossiers des ressortissants étrangers en France ; |
||
– les données à caractère personnel, mentionnées aux articles L. 611-3 à L. 611-5 du code de l’entrée et du séjour des étrangers et du droit d’asile, relatives aux ressortissants étrangers qui, ayant été contrôlés à l’occasion du franchissement de la frontière, ne remplissent pas les conditions d’entrée requises ; |
||
– les données à caractère personnel mentionnées à l’article L. 611-6 du même code. |
||
Pour les besoins de la prévention des actes de terrorisme, les agents des services de renseignement du ministère de la défense individuellement désignés et dûment habilités sont également autorisés, dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 précitée, à accéder aux traitements automatisés mentionnés ci-dessus. |
||
Un arrêté du ministre de l’intérieur et du ministre de la défense détermine les services de renseignement du ministère de la défense qui sont autorisés à consulter lesdits traitements automatisés. |
||
Un arrêté interministériel désigne les services de renseignement du ministère de l’intérieur spécialement chargés de la prévention des atteintes à l’indépendance de la Nation, à l’intégrité de son territoire, à sa sécurité, à la forme républicaine de ses institutions, aux moyens de sa défense et de sa diplomatie, à la sauvegarde de sa population en France et à l’étranger et aux éléments essentiels de son potentiel scientifique. |
||
Article 7 bis (nouveau) |
Article 7 bis | |
Toute décision rendue en raison de l’usurpation d’identité dont une personne a fait l’objet et dont la transcription ou la mention sur les registres de l’état civil est ordonnée doit énoncer ce motif dans son dispositif. |
… décision juridictionnelle rendue … (amendements CL16 et CL17) | |
Article 8 |
Article 8 | |
La présente loi est applicable sur l’ensemble du territoire de la République. |
(Sans modification) | |
Article 9 |
Article 9 | |
(Supprimé) |
(Suppression maintenue) |
Art. L. 122-1. – Il est interdit de refuser à un consommateur la vente d’un produit ou la prestation d’un service, sauf motif légitime, et de subordonner la vente d’un produit à l’achat d’une quantité imposée ou à l’achat concomitant d’un autre produit ou d’un autre service ainsi que de subordonner la prestation d’un service à celle d’un autre service ou à l’achat d’un produit dès lors que cette subordination constitue une pratique commerciale déloyale au sens de l’article L. 120-1.
Cette disposition s’applique à toutes les activités visées au dernier alinéa de l’article L. 113-2.
Pour les établissements de crédit, les établissements de paiement et les organismes mentionnés à l’article L. 518-1 du code monétaire et financier, les règles relatives aux ventes subordonnées sont fixées par le 1 du I de l’article L. 312-1-2 du même code.
Art. L. 311-1. – Les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que les services bancaires de paiement.
AMENDEMENTS EXAMINÉS PAR LA COMMISSION
Amendement CL1 présenté par M. Blisko, Mme Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 3
Supprimer cet article.
Amendement CL2 présenté par M. Blisko, Mmes Batho, Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 3
À la première phrase de l’alinéa 1, après le mot : « permettant », insérer les mots : « , dans ses relations avec l’administration publique, ».
Amendement CL3 présenté par M. Blisko, Mmes Batho, Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 5
Supprimer cet article.
Amendement CL4 présenté par M. Blisko, Mme Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 5
Compléter cet article par l’alinéa suivant :
« La gestion des données, conservées séparément dans la carte nationale d’identité, permettant à la personne de s’identifier sur les réseaux de communications électroniques et de mettre en œuvre sa signature électronique, prévue au premier alinéa de l’article 3, est confiée, dans des conditions fixées en Conseil d’État, à un organisme interministériel placé sous l’autorité de l’État. »
Amendement CL5 présenté par M. Blisko, Mmes Batho, Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 5 ter
Supprimer cet article.
Amendement CL6 présenté par M. Blisko, Mmes Batho, Mazetier et les commissaires membres du groupe socialiste, radical, citoyen et divers gauche :
Article 6
À la seconde phrase, après le mot : « notamment », insérer les mots : « la durée de conservation des données à caractère personnel enregistrées dans le système de traitement prévu à l’article 5 et les conditions d’accès et de rectification ainsi que ».
Amendement CL7 présenté par M. Tardy :
Article 3
À la première phrase de l’alinéa 1, substituer au mot : « réseaux » le mot : « services ».
Amendement CL8 présenté par M. Goujon, rapporteur :
Article 4
À l’alinéa 1, substituer aux mots : « font, en tant que de besoin, », les mots : « peuvent faire ».
Amendement CL9 présenté par M. Goujon, rapporteur :
Article 4
À l’alinéa 1, substituer aux mots : « de ces actes », les mots : « des actes contenant ces données ».
Amendement CL10 présenté par M. Goujon, rapporteur :
Article 5
À l’alinéa 2, après le mot : « traitement », insérer les mots : « de données ».
Amendement CL11 présenté par M. Goujon, rapporteur :
Article 5
À l’alinéa 2, après les mots : « des titres », insérer les mots : « d’identité ou de voyage ».
Amendement CL12 présenté par M. Goujon, rapporteur :
Article 5
Substituer aux alinéas 3 et 4 l’alinéa suivant :
« L’identification du demandeur d’un titre d’identité ou de voyage ne peut s’y effectuer qu’au moyen des données énumérées aux a à f de l’article 2. »
Amendement CL13 présenté par M. Goujon, rapporteur :
Article 5 ter
Substituer aux mots : « des opérateurs assurant une mission de service public et certains », les mots : « les opérateurs assurant une mission de service public et les ».
Amendement CL14 présenté par M. Goujon, rapporteur :
Article 5 ter
Substituer au mot : « présentés », le mot : « présenté ».
Amendement CL15 présenté par M. Goujon, rapporteur :
Article 5 ter
Compléter cet article par la phrase suivante :
« Cette consultation ne permet d’accéder à aucune donnée à caractère personnel. »
Amendement CL16 présenté par M. Goujon, rapporteur :
Article 7 bis
Après le mot : « décision », insérer le mot : « juridictionnelle ».
Amendement CL17 présenté par M. Goujon, rapporteur :
Article 7 bis
Supprimer les mots : « la transcription ou ».
Amendement CL18 présenté par M. Goujon, rapporteur :
Article 5 bis
I. – Rédiger ainsi le début de l’alinéa 1 :
« L’identité du possesseur de la carte nationale d’identité ou du passeport français est justifiée à partir… (le reste sans changement). »
II. – En conséquence, à l’alinéa 2, substituer aux mots : « à procéder à cette vérification à partir des », les mots : « , dans le cadre de cette justification de l’identité, à accéder aux ».
Amendement CL19 présenté par M. Goujon, rapporteur :
Article 6
À la deuxième phrase, après le mot : « notamment », insérer les mots : « la durée de conservation des données incluses dans le traitement prévu à l’article 5 et ».
PERSONNES ENTENDUES PAR LE RAPPORTEUR
• Ministère de la justice
–– Mme Amélie Duranton, conseillère du ministre de la Justice en matière civile
— Mme Valérie Delnaud, chef du bureau du droit des personnes et de la famille
• Ministère de l’Intérieur
— M. Raphaël Bartolt, préfet, directeur de l’Agence nationale de titres sécurisés
–– M. Laurent Touvet, directeur des libertés publiques et des affaires juridiques
–– Mme Chantal Ambroise, sous-directrice des libertés publiques et des affaires juridiques
–– M. Yves Le Breton, directeur adjoint de la modernisation et de l’action territoriale
–– M. Patrick Levaye, chef de la mission des titres sécurisés à la direction de la modernisation et de l’action territoriale
• Direction générale de la Police nationale
–– M. Jean Mafart, directeur adjoint du Cabinet du directeur général de la police nationale et conseiller juridique auprès du directeur
— M. Alain Winter, chargé de mission pour la technologie au cabinet du directeur général
• Préfecture de police de Paris
–– M Michel Gaudin, préfet de police de Paris
— M. Jacques Quastana, directeur de la police générale
• Commission nationale de l'informatique et des libertés (CNIL)
–– M. Christophe-Alexandre Paillard, directeur des affaires juridiques, internationales et de l'expertise
–– M. Émile Gabrie, juriste au service des affaires juridiques
–– M. Geoffroy Sigrist, attaché parlementaire
• GIE Conseil national des barreaux
— M. Alain Mikowski, avocat à la Cour, président de la commission Libertés et droits de l’Homme au Conseil national des Barreaux
–– M. Jacques Edouard Briand, conseiller au Conseil national des Barreaux
• Observatoire national de la délinquance et des réponses pénales
–– M. Cyril Rizk, responsable des statistiques
• Groupement professionnel des industries de composants et de systèmes électroniques (GIXEL)
— M. Didier Chaudun, société Morpho, président de la section carte à puce du GIXEL
–– Marie Figarella, société Gemalto
–– Xavier Fricout, société Oberthur Technologies
–– M. Jean-Claude Nataf, ST Microelectronics
–– M. Bruno Chappert, Imprimerie nationale
1 () Ce document administratif concerne exclusivement les faits faisant l’objet d’une procédure judiciaire transmise au parquet (à la suite d’une plainte ou d’une enquête de police).
2 () Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure.
3 () Ce traitement ne constituera pas un fichier de police au sens de l’article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le traitement de données à caractère personnel « titres électroniques sécurisés » existant poursuit prioritairement une finalité administrative : l’établissement, la délivrance, le renouvellement et le retrait des passeports. Il en sera de même du fichier concernant la carte d’identité électronique.
4 () Avec une marge d’erreur de 1 %, pour 10 000 individus il y aurait donc potentiellement 100 personnes suspectes car ayant le même numéro, que les services de police devraient venir déranger pour élucider une seule usurpation. Sachant qu’il faut une demi-journée pour mener une enquête, si l’on pondère ces résultats en fonction du temps d’investigation et du nombre de policiers affectés, élucider une seule affaire d’usurpation occuperait un fonctionnaire de police durant 100 demi-journées ou 10 fonctionnaires de police durant 10 demi-journées.
5 () Cour européenne des droits de l’Homme, arrêt S. et Marper c/ Royaume-Uni, 4 décembre 2008.
6 () Commission nationale de l’informatique et des libertés, délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d’État modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.