Intervention de François Pillet

Monsieur le président, madame la secrétaire d'État, mes chers collègues, parce que la biométrie embrasse l’ensemble des procédés qui identifient un individu à partir de la mesure de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques, voire comportementales, parce que, produite par le corps, la donnée biométrique le désigne ou le représente de façon immuable, parce que ces données concernent la propriété la plus proche de l’immatérialité de chaque être, parce que les catégories classant ces techniques évoluent – la distinction entre données « à trace » et « sans trace » est ainsi bousculée par les progrès du traitement des images et la multiplication des engins vidéo, qui placent désormais la reconnaissance faciale parmi les techniques « traçantes » –, parce que ces évolutions peuvent inquiéter, la réflexion à laquelle nous invite Gaëtan Gorce est particulièrement opportune.

Le Sénat doit se donner une doctrine sur l’usage et la conservation des données biométriques, dans la perspective de l’examen prochain du projet de loi sur les libertés numériques.

Sur l’initiative de la CNIL, le législateur a soumis, par la loi du 6 août 2004, le traitement des données biométriques à un régime d’autorisation préalable. Afin de faciliter le travail de la CNIL, l’article 25 de cette loi dispose que les traitements identiques peuvent être autorisés par une décision unique : cela concerne, par exemple, la reconnaissance par le contour de la main pour l’accès à un restaurant scolaire.

La France s’est ainsi dotée de l’un des régimes les plus protecteurs en la matière, mais sans que le législateur se soit prononcé sur la pertinence des différents usages des techniques biométriques, laissant à la CNIL toute latitude pour élaborer une doctrine.

Or cette dernière est en cours d’évolution. Comme pour toute autre autorisation, l’examen par la CNIL consiste en l’analyse de la proportionnalité eu égard à la finalité envisagée. De 2005 à 2012, la CNIL a distingué les techniques biométriques « à trace » – les données sont susceptibles d’être capturées à l’insu de la personne – des techniques « sans trace », reposant par exemple sur la reconnaissance du contour de la main, de la voix, du réseau veineux du doigt ou de l’iris.

À partir de 2013, la CNIL a pris conscience de la faiblesse de cette classification et engagé une réflexion en envisageant trois cas.

Le premier cas est celui de la biométrie de sécurité, indispensable pour répondre à une contrainte de sécurité physique ou logique d’un organisme. Les personnes à qui elle est imposée doivent cependant être informées des conditions d’utilisation du dispositif : on peut penser, par exemple, à celui qui protège l’accès à l’Île-Longue.

Le deuxième cas est celui de la biométrie de service ou de confort, reposant sur le libre consentement de l’usager, qui se voit proposer, sans contrainte ni surcoût, un dispositif alternatif.

Enfin, le troisième cas a trait aux expérimentations, c’est-à-dire aux travaux de recherche fondamentale menés par des laboratoires ou au test de dispositifs avant leur mise en œuvre éventuelle.

Adaptant ses exigences aux finalités de chaque traitement, la CNIL ne s’autorise pas à juger de leur pertinence. Or l’utilisation de la biométrie se banalise et se répand dans tous les domaines de la vie quotidienne, notamment pour sécuriser les transactions financières.

La proposition de loi que nous examinons aujourd’hui peut faire office de première pierre à la construction de la réflexion sénatoriale. Gaëtan Gorce s’interroge sur la légitimité de certains usages, comme le contrôle de l’accès aux cantines scolaires. Sécurisante par son ergonomie, la biométrie de confort n’est, il est vrai, guère rassurante quant à la valeur du consentement des usagers : les parents ont-ils vraiment le choix de refuser l’application de ces techniques pour la fréquentation des cantines par leurs enfants ?

L’exposé des motifs de la proposition de loi invite à réfléchir à un statut spécifique pour les données biométriques qui ne peuvent bénéficier de la protection de l’article 16-1 du code civil. Le dispositif du texte vise à compléter l’article 25 de la loi du 6 janvier 1978, qui soumet à autorisation de la CNIL les traitements non étatiques. Les traitements mis en œuvre pour le compte de l’État seraient ainsi exclus du champ de la proposition de loi, qui n’encadrerait que le pouvoir de la CNIL, et non le pouvoir réglementaire. À ce propos, je rappelle que le Conseil constitutionnel, par sa censure partielle de la loi de 2012 relative à la protection de l’identité, n’a pas interdit l’usage de la biométrie, mais seulement restreint la portée de certains fichiers.

La proposition de loi ne définit pas un statut de la donnée biométrique, mais elle conditionne l’autorisation de son traitement par la CNIL à une « stricte nécessité de sécurité ». Cette formule pose problème ; nous y reviendrons.

Ne sont pas incluses dans le champ de la proposition de loi les activités exclusivement personnelles, comme l’ouverture de sessions sur les nouveaux iPhones par reconnaissance digitale ou faciale. Ce sujet mériterait pourtant réflexion.

Quant aux effets des mesures du texte proposé sur les dispositifs existants, la CNIL estime avec raison que toutes les autorisations ayant été délivrées jusqu’à présent ne seraient pas reconduites et que sa nouvelle doctrine ne pourrait être conservée. Enfin, la proposition de loi autorise implicitement les expérimentations.

Le problème fondamental est celui du rôle que nous voulons jouer : en 2004, le législateur n’a pas saisi l’occasion de se prononcer sur les usages légitimes de la biométrie ; j’estime que ce rôle lui revient et qu’il ne peut le laisser à un organisme comme la CNIL, si sérieux soit-il.

Or le Gouvernement devrait déposer un projet de loi sur les libertés numériques. Le Conseil de l’Europe s’apprête à réviser la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite « convention 108 » : son article 6 inviterait le législateur à encadrer le traitement des données biométriques.

Je partage l’objectif de promouvoir un usage raisonné des techniques biométriques, sous quelques réserves.

Il faut que notre décision soit cohérente avec le règlement européen à venir sur la protection des données à caractère personnel, qui sera d’application directe. Toute contrainte a priori serait supprimée au bénéfice d’un contrôle a posteriori renforcé. La résolution législative du Parlement européen du 12 mars 2014 interdit le traitement des données biométriques en prévoyant des exceptions, en particulier si la personne y a consenti, à moins qu’une disposition nationale n’y fasse obstacle.

La notion de stricte nécessité de sécurité a semblé insuffisamment précise à de nombreuses personnes entendues lors des auditions. Je suggère qu’elle soit précisée et comprise de façon ni trop large ni trop étroite, car cela pourrait être contreproductif, les acteurs se trouvant incités à acheter à l’étranger des services pour échapper à la loi française. La notion d’intérêt excédant l’intérêt propre de l’organisme, introduite par une communication de la CNIL de 2007, pourrait nous y aider. Enfin, pour éviter que certaines dispositions ne se trouvent « hors la loi », un dispositif transitoire est nécessaire.

L’examen de cette proposition de loi ouvre donc un débat utile sur un patrimoine humain qui doit être protégé. Le Sénat doit se forger une opinion sur la question et affirmer que l’on ne peut faire n’importe quel usage des données biométriques, même pour des raisons de confort.

J’en viens maintenant au texte de la commission des lois. Sur mon initiative, celle-ci a adopté deux amendements.

Je commencerai par évoquer le second, qui crée un article 2 : il n’a, semble-t-il, posé aucune difficulté. Il prévoit un dispositif transitoire afin d’accorder un délai de trois ans aux responsables de traitements de données biométriques pour se mettre en conformité avec la nouvelle législation.

En revanche, le premier amendement, qui tend à récrire l’article 1er, a suscité des interrogations et des hésitations. Une critique a été émise à l’encontre de l’imprécision des expressions « enjeu majeur dépassant l’intérêt strict de l’organisme » et « préjudice grave et irréversible ». Je m’arrêterai donc un instant sur chacune d’entre elles pour expliquer mon intention ; nous pourrons ensuite en débattre sereinement.

La première condition est donc posée par l’expression « enjeu majeur dépassant l’intérêt strict de l’organisme ».

Ce qui motive l’emploi de cette expression, c'est la volonté de proclamer la nature particulière des données biométriques et d’affirmer que leur utilisation, loin d’être anodine, doit répondre à un intérêt en quelque sorte « supérieur ». Si la société accepte que soit utilisé ce type de données, c’est à la condition qu’elle y trouve son compte, soit en tant que collectivité, soit au travers de chacun de nous. Cette expression peut recouvrir, en particulier, le cas d’usage de la biométrie dans la sécurisation des transactions financières, car, au-delà de l’intérêt de la banque et du commerçant, il y va bien de l’intérêt même du citoyen consommateur. Cela étant dit, nous verrons à l’occasion de la discussion que la rédaction de cette condition peut être amendée.

En revanche, cette expression étant, en quelque sorte, issue de la jurisprudence de la CNIL, il ne peut lui être opposé le grief d’imprécision. Comment peut-on prétendre qu’il y a ici un risque d’insécurité juridique, alors même que nous disposons du corpus des délibérations de la CNIL pour nous assister dans son interprétation ?

J’invite ceux dont le doute persisterait à consulter la communication de la CNIL en date du 28 décembre 2007. Celle-ci nous fournit de nombreux exemples de dispositifs autorisés parce qu’ils relèvent d’un « enjeu majeur dépassant l’intérêt strict de l’organisme ». C'est notamment le cas pour la protection d’installations nucléaires, de sites classés SEVESO, d’entreprises travaillant pour la défense nationale, de salles contenant des informations classées « confidentiel défense », et même de bâtiments d’un service de l’éducation nationale contenant les sujets d’examen et de concours.

La seconde condition est contenue dans l’expression « préjudice grave et irréversible », issue de l’exposé des motifs de la proposition de loi de Gaëtan Gorce.

Je rappelle que nous nous situons ici dans le cadre de la loi Informatique et libertés, qui vise à protéger les personnes en matière de traitements de données à caractère personnel. Mes chers collègues, cette expression sera maintenue si vous l’acceptez, le Gouvernement l’acceptant pour sa part.

Je ferai en outre observer que, à l’heure du numérique, toute donnée est aisément reproductible et peut être stockée à moindre coût en de multiples endroits. En cas de fuite, les conséquences sont donc effectivement irréversibles.

Pour illustrer mon propos, je prendrai l’exemple de l’accès à mon « nuage ». Si j’avais recours, demain, à une technique biométrique pour accéder à mon espace sur un cloud et si celui-ci était piraté, le hacker pourrait disposer de mon identifiant et l’utiliser pour usurper mon identité. La conséquence serait grave : je ne pourrais plus utiliser cet élément biométrique pour m’identifier à l’avenir ; autrement dit, une partie de moi-même ne m’appartiendrait plus !

Sous réserve de l’adoption d’amendements tendant pour l’essentiel à affiner la rédaction du texte, et avec l’accord unanime des membres de la commission des lois, je propose au Sénat d’adopter cette proposition de loi. §