Intervention de François Fortassin

Monsieur le président, madame la secrétaire d’État, mes chers collègues, l’ère de la biotechnologie et de l’informatique permet désormais l’entrée des phénomènes propres à la vie de l’espèce humaine dans l’ordre du savoir et du pouvoir, et par conséquent dans le domaine du droit.

Cette nouvelle ère conduit à une mise en réseau croissante de données individuelles, parmi lesquelles certaines, notamment les données biométriques, sont identifiantes. À l’heure de l’essor de la biométrie dans de nombreux domaines de la vie courante, le recours à ces techniques soulève des questions critiques en matière de sécurité et de liberté, auxquelles le législateur se doit de répondre.

La biométrie est un dispositif qui permet d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données sont produites par le corps lui-même et le désignent de façon définitive, permettant de ce fait le « traçage » des individus et leur identification certaine.

La liste des procédés biométriques actuellement opérationnels va de l’identification de l’ADN, de l’empreinte digitale ou de l’empreinte palmaire à la reconnaissance de la rétine, de l’iris, du visage, du contour de la main, de la voix, de l’écriture manuscrite au travers de l’analyse dynamique des gestes usuels accomplis par chacun pour signer ou encore de la façon de taper sur un clavier.

Or le risque est bien aujourd’hui celui de la banalisation du recours à la biométrie, avec la tentation de substituer celle-ci à d’autres outils de sécurisation tout aussi performants, en toutes circonstances. Citons un exemple de cette diversification des usages de la biométrie : le 18 juin 2009, la CNIL a autorisé pour la première fois le recours à un système biométrique reposant sur la reconnaissance du réseau veineux pour lutter contre la fraude à un examen. Cependant, il ne faudrait pas croire que toutes les fraudes peuvent être décelées : dans ce domaine, l’imagination est très fertile…

L’identification biométrique est devenue une pratique courante dans les entreprises, notamment pour le contrôle de l’accès aux locaux, mais aussi pour le contrôle de l’accès physique aux cantines scolaires, aux équipements de loisirs, aux salles de sport, aux cercles de jeux, ainsi que pour le contrôle de l’accès logique à des services ou à des applications, pour la signature de documents électroniques, la gestion d’une carte de fidélité, l’accès à un dossier médical partagé… À ce propos, je pense que la biométrie pourrait également être utile en matière de dons d’organes : ce champ d’application n’a pas encore été totalement exploré.

Cette diversification des usages de la biométrie, qui se double de leur banalisation, est en grande partie due à la souplesse du contrôle opéré par la CNIL. La loi Informatique et libertés de 2004, qui a modifié la loi de janvier 1978, a subordonné la mise en œuvre de tous les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes à l’autorisation préalable de la CNIL, hormis ceux qui sont mis en place pour le compte de l’État : seul l’avis de cette instance est alors requis.

Toutefois, afin de faciliter la tâche de la CNIL, les dispositifs biométriques qui visent une même finalité et des catégories de données et de destinataires identiques sont autorisés par des décisions-cadres de la CNIL appelées « autorisations uniques ».

Les risques d’une généralisation de ce « biopouvoir » sont grands. Je prendrai l’exemple, déjà évoqué par Mme la secrétaire d’État, de l’usage récent de cette technique par un fabricant de téléphones qui a intégré un capteur biométrique permettant le déverrouillage du smartphone par passage du doigt de son utilisateur : ce dispositif a été récemment piraté.

L’initiative de notre collègue Gaëtan Gorce est extrêmement heureuse en ce qu’elle nous met face à nos responsabilités. Quel est l’avenir du traitement des données, notamment de ces données « individualisantes » permettant la traçabilité ?

La NSA – l’agence nationale de la sécurité américaine – a illégalement capté les secrets ou surveillé la simple vie privée des Français dans une mesure jusqu’à présent inégalée. Ainsi, sur une période de trente jours, de décembre 2012 à janvier 2013, la NSA a procédé à plus de 60 millions d’enregistrements de données téléphoniques concernant des citoyens français… L’ampleur de ces débordements est édifiante ! Il reste que le traitement de telles masses de données requiert beaucoup de temps.

La proposition de loi de notre collègue Gaëtan Gorce a le mérite de susciter un questionnement. Elle prévoit de conditionner l’autorisation de la mise en œuvre d’un traitement de données biométriques à une « stricte nécessité de sécurité », définie comme « la sécurité des personnes et des biens, ou la protection des informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible ». Eu égard à la difficulté de modifier l’état antérieur de la législation, le texte prévoit en outre un dispositif transitoire.

J’en viens maintenant aux quelques réserves que le groupe RDSE tient malgré tout à exprimer. Le texte proposé laisse de côté la construction d’une définition des données biométriques. Par ailleurs, les moyens mis à la disposition de la CNIL sont insuffisants, comme l’a fait remarquer M. le rapporteur.

En outre, il semble que le calendrier de cette proposition de loi ait joué. Étant donné l’état actuel des discussions sur le règlement européen relatif au traitement des données personnelles, le texte ne pouvait être que d’une ambition modeste, et l’on peut dire qu’il nous arrive de manière trop précoce, lançant un débat à venir… Dans un délai de deux années, en fonction de l’avancée des négociations à l’échelle européenne, il sera nécessaire de procéder à un certain nombre d’ajustements de la législation française –notamment de la loi du 6 janvier 1978 – à des fins d’harmonisation. Le règlement européen pourrait ainsi substituer à la contrainte a priori un renforcement a posteriori de la responsabilité des opérateurs. Par ailleurs, le Gouvernement doit prochainement présenter un projet de loi sur les libertés numériques, ce qui permettra un débat global sur ces questions recouvrant des enjeux nationaux et internationaux et évitera l’adoption d’une approche par trop stratifiée.

Sous ces réserves, notamment calendaires, mon groupe approuvera la proposition de loi de notre collègue Gaëtan Gorce.