Intervention de François Pillet

La biométrie embrasse l'ensemble des procédés qui identifient un individu à partir de la mesure de l'une ou de plusieurs de ses caractéristiques physiques, physiologiques, voire comportementales : empreintes digitales, ADN, reconnaissance vocale ou iris de l'oeil, mais aussi démarche, odeur, dynamique de la signature ou de la frappe sur un clavier. Produite par le corps, la donnée biométrique le désigne ou le représente de façon immuable.

Les catégories pour classer ces techniques évoluent : la distinction entre données « à trace » ou « sans trace » est ainsi bousculée par les progrès réalisés dans le traitement des images et la multiplication des engins vidéo, qui placent désormais la reconnaissance faciale dans les techniques « traçantes ». Ces évolutions peuvent être inquiétantes. Gaëtan Gorce et le groupe socialiste nous invitent à une réflexion particulièrement opportune : il est important que le Sénat se donne une doctrine sur l'usage et la conservation des données biométriques dans la perspective de l'examen prochain du projet de loi sur les libertés numériques.

À l'initiative de la Commission nationale de l'informatique et des libertés (CNIL), le législateur a soumis, par la loi du 6 août 2004, le traitement des données biométriques à un régime d'autorisation préalable. Pour faciliter le travail de la CNIL, l'article 25 prévoit que les traitements identiques peuvent être autorisés par une décision unique : cela concerne par exemple la reconnaissance par le contour de la main pour l'accès au restaurant scolaire. La France s'est ainsi dotée de l'un des régimes les plus protecteurs en la matière, mais sans que le législateur se soit prononcé sur la pertinence des différents usages des techniques biométriques, laissant à la CNIL toute latitude pour élaborer une doctrine.

Or cette dernière est en cours d'évolution. Comme pour toute autre autorisation, l'examen par la CNIL consiste en l'analyse de la proportionnalité eu égard à la finalité envisagée. De 2005 à 2012, la CNIL a distingué les techniques biométriques « à trace », susceptibles d'être capturées à l'insu de la personne, des techniques « sans trace » : contour de la main, reconnaissance vocale, réseau veineux du doigt, iris. À partir de 2013, elle a pris conscience de la faiblesse de cette classification et engagé une réflexion envisageant trois cas : la biométrie de sécurité, indispensable pour répondre à une contrainte de sécurité physique ou logique d'un organisme, imposée à des utilisateurs qui doivent cependant être informés des conditions d'utilisation du dispositif - on peut penser à des exemples comme celui de l'Île Longue ; la biométrie de service ou de confort, reposant sur le libre consentement de l'usager auquel doit être proposé sans contrainte ni surcoût un dispositif alternatif ; les expérimentations, c'est-à-dire les travaux de recherche fondamentale menés par des laboratoires ou le test de dispositifs avant leur implémentation éventuelle. Adaptant ses exigences aux finalités de chaque traitement, la CNIL ne s'autorise pas à juger de leur pertinence.

L'utilisation de la biométrie se banalise et se répand dans tous les domaines de la vie quotidienne, par exemple pour sécuriser les transactions financières. La proposition de loi peur faire office de première pierre pour construire la réflexion du Sénat. Gaëtan Gorce considère que certains usages, comme dans les cantines scolaires, ne devraient pas être autorisés. Sécurisante par son ergonomie, la biométrie de confort n'est guère rassurante quant à la valeur du consentement des usagers : les parents ont-ils vraiment le choix ?

L'exposé des motifs invite à penser un statut spécifique pour les données biométriques qui ne peuvent bénéficier de la protection de l'article 16-1 du code civil. Le dispositif de la proposition de loi complète l'article 25 de la loi du 6 janvier 1978 qui soumet à autorisation de la CNIL les traitements non étatiques. Les traitements mis en oeuvre pour le compte de l'État seraient ainsi exclus du champ de la proposition de loi, qui n'encadrerait que le pouvoir de la CNIL, et non le pouvoir réglementaire. A ce propos, j'attire votre attention sur les nouvelles cartes d'identité, le Conseil constitutionnel n'ayant pas interdit, par sa censure partielle de la loi de 2012, l'usage de la biométrie, mais seulement certains fichiers.

La proposition de loi ne définit pas un statut de la donnée biométrique, elle conditionne l'autorisation de son traitement par la CNIL à une « stricte nécessité de sécurité ». Cette formule pose problème, nous y reviendrons.

Ne sont pas incluses dans le champ de la proposition les activités exclusivement personnelles, comme l'ouverture de sessions sur les nouveaux iPhones, par reconnaissance digitale ou du visage. Cela mérite pourtant que l'on s'interroge.

Quant aux effets de la proposition sur les dispositifs existants, la CNIL estime que toutes les autorisations délivrées jusqu'à présent ne seraient pas reconduites, et que sa nouvelle doctrine ne pourrait être conservée. Enfin, la proposition n'autorise qu'implicitement les expérimentations.

Le problème fondamental est le rôle que nous voulons jouer : le législateur n'a pas saisi en 2004 l'occasion de se prononcer sur les usages légitimes de la biométrie ; j'estime que ce rôle lui revient et qu'il ne peut le laisser à un organisme comme la CNIL, si sérieux soit-il. Or le Gouvernement devrait déposer un projet de loi sur les libertés numériques. Le Conseil de l'Europe s'apprête à réviser la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « convention 108 » : son article 6 inviterait le législateur à encadrer le traitement des données biométriques.

Je partage l'objectif de promouvoir un usage raisonné des techniques biométriques, mais avec quelques réserves. Cela peut-il s'articuler avec le règlement européen à venir sur la protection des données à caractère personnel, qui sera d'application directe ? Toute contrainte a priori serait supprimée au bénéfice d'un contrôle a posteriori renforcé. La résolution législative du Parlement européen du 12 mars 2014 interdit le traitement des données biométriques, en prévoyant des exceptions, en particulier si la personne y a consenti, à moins qu'une disposition nationale y fasse obstacle.

La notion de stricte nécessité de sécurité a semblé insuffisamment précise à de nombreuses personnes entendues lors des auditions. Je souhaiterais qu'elle soit précisée et entendue de façon ni trop large ni trop étroite, ce qui pourrait être contre-productif en incitant les acteurs à acheter des services à l'étranger échappant à la loi française. La notion d'intérêt excédant l'intérêt propre de l'organisme, introduite par une communication de la CNIL de 2007, pourrait y aider. Enfin, pour éviter que certaines dispositions se trouvent hors la loi un dispositif transitoire est nécessaire.

Cette proposition de loi ouvre un débat utile ; j'ai ainsi appris que chaque être humain est unique : ce patrimoine humain doit être protégé. Le Sénat devrait se forger une opinion sur la question et affirmer que l'on ne peut faire n'importe quel usage des données biométriques, même pour des raisons de confort.