Intervention de Axelle Lemaire

Monsieur le président, mesdames, messieurs les sénateurs, ce débat se situe à l’interface entre le passé et l’avenir. Cicéron disait que « si le visage est le miroir de l’âme, les yeux en sont les interprètes ». C’est dire que le corps a un sens et que son utilisation n’est pas anodine. Peut-être est-ce la raison pour laquelle le peuple Masaï, en Tanzanie, refuse d’être photographié, par crainte de voir son âme volée…

Le sujet que nous examinons aujourd’hui suscite une inquiétude bien réelle, répondant à un sentiment d’insécurité de nos compatriotes qu’il faut savoir entendre.

Ainsi, une étude récente du CREDOC montre que les Français sont réservés quant à l’usage de la biométrie dans la vie quotidienne. Ils acceptent que les données biométriques soient utilisées dans le cadre des fichiers de police ou pour l’établissement de pièces d’identité, car cela relève du domaine régalien, de l’institutionnel, de la sécurité nationale. En revanche, leurs réticences sont plus fortes lorsque ces données sont destinées à être utilisées dans un cadre marchand : par exemple, moins de 30 % des Français souhaitent qu’il en soit fait usage pour les transactions bancaires.

Ce constat est paradoxal, sachant que les Français sont très friands d’innovations. La présente proposition de loi a pour objet de résoudre ce paradoxe, en conciliant le choix de l’innovation et la préservation des libertés et du respect de la vie privée.

C’est la raison pour laquelle le Gouvernement considère qu’il est très opportun qu’un tel débat se tienne au Parlement. La législation française est complète et très protectrice des données personnelles, surtout si on la compare à d’autres cadres législatifs en vigueur en Europe ou ailleurs dans le monde. Néanmoins, la loi de 1978 Informatique et libertés ne précise pas quelles doivent être les finalités de la collecte et de l’usage des données biométriques.

Je remercie donc la commission des lois du Sénat, en particulier MM. Gorce et Pillet, d’avoir engagé cette réflexion. Le sujet est fondamental, car il touche à l’intégrité et à la dignité du corps humain. À cet égard, le chapitre II du titre Ier du code civil sous-tend l’ensemble du corpus réglementaire relatif aux données biométriques. On le voit bien, l’esprit du code civil doit nous inspirer dans ce débat. Cela est d’autant plus vrai que les données biométriques ont des caractéristiques particulières : elles sont irrévocables et revêtent un caractère d’unicité et de permanence.

Ce débat s’inscrit dans le contexte d’une réticence des Français quant à l’usage des données biométriques et d’un recours croissant aux applications biométriques. Le nombre des autorisations délivrées par la CNIL ne cesse d’augmenter. Les usages se développent, notamment en matière de paiement de transactions et d’utilisation de la reconnaissance faciale ou vocale pour l’ouverture de sessions sur des terminaux mobiles.

Faut-il d’emblée s’insurger ? Certaines applications concrètes nous montrent que certains usages des données biométriques peuvent être utiles. Nous comptons en France des entreprises leaders, au niveau mondial, en matière de développement de terminaux biométriques reposant par exemple sur l’usage de deux types de données, pour limiter les risques d’usurpation d’identité. La biométrie est donc utile pour répondre au sentiment d’insécurité né du progrès technologique.

On peut également citer d’autres applications, ayant vu le jour, en particulier, au sein du pôle de compétitivité de Lille. Il est notamment possible de développer des prototypes de systèmes de paiement avec authentification biométrique et stockage sécurisé sur un support détenu par les individus. En l’occurrence, il s’agit de régler une transaction commerciale au moyen d’un support autonome et individuel contenant les données biométriques d’une personne, sans stockage par une entreprise ou une tierce partie.

La France est aussi à l’avant-garde de ce que l’on appelle la « crypto-biométrie », qui permet de rendre les données biométriques révocables. En cas de vol de données, il est alors possible de rechercher et de récupérer des données biométriques.

Je me permets de vous alerter, mesdames, messieurs les sénateurs, sur le risque de bloquer la recherche et le développement dans ce secteur.

On a évoqué l’exemple du déverrouillage d’un téléphone portable par reconnaissance de l’empreinte d’un seul doigt. En réalité, le niveau de sécurité de cette technique « gadget » est assez faible. Il s’agit surtout là d’un usage qui relève de l’exception domestique au sens où l’entend la CNIL, les données étant stockées dans le téléphone et ne faisant pas l’objet d’une collecte par une tierce partie.

Les cas de figure sont donc très divers, c'est pourquoi il est important de légiférer de manière éclairée, en prenant en compte toutes les applications pratiques.

On peut également citer l’exemple des récentes élections au Mali. En l’absence d’état civil, c’est à la collecte et à la vérification d’empreintes digitales qu’il a été recouru pour organiser un scrutin démocratique, dans un pays où la guerre n’a pas permis d’effectuer un recensement fiable de la population.

Toutefois, les risques liés à l’usage de techniques biométriques sont aussi importants. Je pense notamment à l’usurpation d’identité, qui peut avoir des conséquences graves, ainsi qu’à la perte ou à la corruption des bases de données biométriques. Par exemple, les empreintes digitales qui sont recueillies au moment de l’entrée sur le sol des États-Unis, que ce soit par voie aérienne, maritime ou terrestre, sont conservées pendant soixante-quinze ans. Je dois me rendre à New York à la fin du mois de juin : cela signifie que les Américains détiendront mes empreintes digitales jusqu’en 2089. Est-ce là ce que nous souhaitons pour notre pays et nos concitoyens ? En tout cas, cela aboutit à des pratiques extrêmes, en particulier de mutilation : certaines personnes se brûlent l’extrémité des doigts pour brouiller les pistes.

En outre, il est vrai que la reconnaissance faciale, qui est notamment permise sur certains réseaux sociaux, peut induire un sentiment de dépossession. La recherche de l’identité par l’image, qui est autorisée aux États-Unis, ne l’est pas en Europe, grâce à une législation protectrice, mais pour combien de temps encore ?

Enfin, concernant tout particulièrement les mineurs, il existe sans doute un risque réel de banalisation de l’usage des données biométriques, avec le développement d’une accoutumance et d’une acceptation, lié au confort que peut procurer cette pratique.

Toutes ces questions doivent être posées, c'est pourquoi ce débat est important.

Concernant la proposition de loi, je regrette qu’elle ne soit pas accompagnée d’une étude d’impact économique. Notre pays compte des sociétés innovantes qui ont développé des technologies en lien avec la confiance numérique. Ce secteur, en plein essor, est une source d’attractivité économique pour la France, qui dispose d’une législation protectrice en matière d’utilisation des données : nos sociétés ont dû s’adapter au cadre législatif et réglementaire et développer des technologies qui sont aujourd'hui recherchées à l’étranger. Il eût fallu pouvoir analyser l’impact d’une nouvelle législation sur ce domaine économique et industriel qui emploie des dizaines de milliers de salariés en France.

Nous touchons là à l’économie des données, des data, dont on dit communément, désormais, qu’elles sont le pétrole du XXIe siècle. De fait, les services sont aujourd'hui tournés vers leur collecte, et ils le seront plus encore à l’avenir. À cet égard, il faut s’inscrire dans la tradition des valeurs fondamentales françaises sans pour autant bloquer l’innovation en ce domaine.

Je suis pleinement d’accord avec certaines des propositions formulées par le rapporteur. Par exemple, je souscris à l’idée d’utiliser la biométrie à des fins de sécurité, pour permettre l’accès à des locaux ou à des ordinateurs. D’ailleurs, cette proposition va dans le sens de la jurisprudence de la CNIL, qui autorise l’usage des données biométriques pour l’accès aux locaux ou à la cantine d’une entreprise. En revanche, le recours aux données biométriques n’est désormais plus autorisé pour le contrôle des horaires.

Le rapporteur veut aussi permettre l’utilisation de données biométriques pour l’authentification en vue d’un paiement. Il s’agit là d’une technologie d’avenir, qu’il ne faut pas exclure a priori.

En revanche, il est proposé d’interdire l’usage des données biométriques concernant les mineurs, en particulier pour l’accès aux cantines scolaires. Cela me paraît relever du bon sens. Il est également proposé d’interdire a priori le recours à la biométrie pour accéder à des équipements tels que les piscines. Sur ce point, le débat reste ouvert, mais on peut en effet s’interroger sur l’opportunité d’utiliser ces technologies pour des usages dits de confort.

La proposition de loi aurait également gagné à être accompagnée d’une analyse des risques. En matière de systèmes d’information, un tel document vise à objectiver les mesures de sécurité à prendre pour répondre à des risques identifiés en fonction de certains critères, comme le nombre de personnes concernées, le type de données collectées, l’infrastructure informatique utilisée. Or, en l’espèce, aucune analyse des risques tenant compte des cas particuliers qui peuvent se présenter n’a été conduite.

La proposition de loi n’est pas non plus assortie d’une évaluation d’impact sur la vie privée. Bien que relativement récentes dans le droit des données personnelles, de telles évaluations se répandent aujourd'hui et sont utiles tant au législateur qu’aux citoyens et aux entreprises.

Enfin, mener un travail en collaboration avec des institutions telles que la CNIL ou l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, qui a mis au point certaines méthodes de travail pour développer des processus de certification et des normes de confiance dans d’autres secteurs que celui de la confiance numérique, pourrait être utile.

Le Gouvernement salue le travail des parlementaires. L’objectif doit effectivement être de fixer, par la voie législative, des principes clairs, de nature à guider les autorités administratives indépendantes dans leur travail, sans pour autant freiner l’innovation biométrique. Par exemple, il faut permettre que la recherche et le développement se poursuivent en la matière.

Afin d’améliorer le texte, tout en maintenant l’équilibre qui a été trouvé par la commission des lois, le Gouvernement a déposé un amendement, répondant à deux objectifs précis.

Premièrement, il s’agit de clarifier la finalité pour laquelle les traitements de données pourraient être autorisés. Dans le texte de la commission, deux finalités sont citées : le contrôle d’accès et la protection des personnes, des biens et des données. Cette seconde finalité me semble être la plus pertinente.

Deuxièmement, l’amendement du Gouvernement tend à clarifier la notion d’« intérêt excédant l’intérêt propre de l’organisme ». Cette notion nous semble insuffisamment précise : si elle renvoie à la doctrine technique de la CNIL, elle ne relève pas véritablement du domaine de la loi. Je crois que nous devrions affiner la terminologie juridique en ce domaine, notamment pour continuer à permettre l’utilisation des données biométriques pour les paiements en ligne. Lors d’un paiement, la sécurité ne sert pas seulement l’intérêt du marchand : elle sert aussi celui de l’usager, du consommateur et du marché économique de manière générale, puisque la sécurité de la transaction participe de la confiance des acteurs économiques dans leur ensemble.

Pour toutes ces raisons, je propose de poursuivre la démarche engagée par le Sénat, notamment par la création, si cela vous agrée, d’un groupe de travail qui serait chargé d’affiner la réflexion sur le sujet d’ici à l’examen de la proposition de loi à l’Assemblée nationale. En fonction du calendrier législatif et du calendrier du travail gouvernemental, peut-être sera-t-il possible d’intégrer dans le projet de loi à venir certaines des dispositions qui auront été élaborées par les parlementaires.

Il existe une tradition française de protection des données. Vous l’aurez compris, notre objectif n’est pas d’aller à l’encontre de cette tradition. Au contraire, nous entendons l’affirmer et en faire une source d’attractivité sur le plan international. Pour autant, dans ce débat entre liberté et sécurité, il s’agit aussi de trouver le juste équilibre, pour ne pas freiner l’innovation en France et encourager les acteurs économiques et la puissance publique à agir en conscience. §