Intervention de Jean-Jacques Hyest

Monsieur le président, madame la secrétaire d’État, mes chers collègues, il faut saluer l’auteur de cette proposition de loi : le travail a été bien fait !

Ce soir, il s’agira de dire que l’application du principe de précaution ne doit pas empêcher l’innovation ; cet après-midi, il s’agit plutôt de dire que l’innovation ne doit pas se faire sans précaution… §

Il a été affirmé tout à l'heure que les données étaient le pétrole du XXIe siècle et que ce secteur créerait des milliers d’emplois à l’avenir. C’est à voir ! Même si la France dispose d’une avance technologique dans ce domaine, je ne crois pas que le potentiel, en matière d’emploi, soit aussi important que l’on veut bien le dire.

Je tiens à féliciter l’auteur et le rapporteur de cette proposition de loi. Le développement des techniques biométriques doit certes beaucoup à celui de l’informatique, mais la biométrie existe en réalité depuis longtemps : que l’on pense à la photographie ou aux empreintes digitales.

Cela étant, la reconnaissance biométrique automatique ou dynamique est une véritable innovation, dont les incidences en matière de protection des droits fondamentaux, notamment du droit au respect de la vie privée, nous amènent aujourd’hui à nous interroger.

Monsieur le rapporteur, vous êtes un expert en ce domaine, comme nous avons pu le voir lors des débats sur les fichiers publics ou sur la carte d’identité biométrique.

La jurisprudence a rappelé la nécessité de protéger la vie privée et précisé quels sont les éléments pouvant s’y rattacher : le domicile, l’image, la voix, l’état de santé, les attributs du corps humain, etc.

S’agissant de la collecte, du traitement et de l’utilisation des données biométriques pour un contrôle d’identité, nous pouvons actuellement identifier trois risques d’atteinte à la vie privée : au moment de la collecte, du fait de l’absence de consentement de la personne lorsque celui-ci constitue une condition légale de la collecte d’information ; au moment du traitement des informations, si le contenu des fichiers a été usurpé ; au moment de l’utilisation, chacun laissant des traces de ses empreintes, plus ou moins exploitables, lorsqu’un dispositif de biométrie « à trace » est mis en œuvre.

La présente proposition de loi vise donc à limiter le recours à la collecte et au traitement de données biométriques aux fins de contrôle d’identité, pour renforcer la protection du droit au respect de la vie privée.

Je ne parlerai pas de l’article 2, qui vise à mettre en place une phase transitoire d’adaptation. L’article 1er, en revanche, constitue la substance du texte. Il comporte deux avancées : le renforcement de la doctrine de la CNIL, consacrée à l’encadrement des contrôles biométriques d’identité, et la suppression de la biométrie dite « de confort ».

Les conditions de recours à la biométrie pour procéder à un contrôle d’identité posées par la proposition de loi viennent en quelque sorte donner une valeur législative à la doctrine de la CNIL.

En effet, dans une fiche pratique du 17 décembre 2012 consacrée à la biométrie sur les lieux de travail, la CNIL rappelle que l’autorisation d’utiliser la biométrie dite « à trace » ne peut être délivrée qu’à plusieurs conditions, tenant notamment à la finalité du dispositif, à la proportionnalité, à la sécurité et, bien entendu, à l’information des personnes concernées.

En précisant la notion de « stricte nécessité de sécurité », la commission des lois propose très justement de procéder à droit constant, donnant ainsi une véritable force au travail engagé par la CNIL et à sa doctrine.

En ce qui concerne la biométrie dite « de confort », lorsqu’une demande d’autorisation lui est adressée, la CNIL fixe actuellement des exigences plus ou moins élevées en fonction des finalités du dispositif envisagé.

Dans le cas de la biométrie « de sécurité », la mise en œuvre d’un dispositif biométrique apparaît comme indispensable pour répondre à une contrainte de sécurité physique ou logique d’un organisme. Dès lors, l’utilisation du dispositif biométrique sera exclusive, et les personnes concernées par le contrôle devront s’y soumettre.

Dans le cas de la biométrie « de service », la finalité du dispositif envisagé est double : elle est d’assurer la sécurité d’un site ou la protection d’informations sensibles et de permettre la recherche d’une ergonomie d’utilisation.

Dans ce second cas, l’impératif de sécurité n’est pas strict ; il s’agit d’un dispositif alternatif au dispositif biométrique, qui doit donc nécessairement être proposé aux utilisateurs.

La proposition de loi tend à mettre un terme à l’utilisation de ce type de biométrie, dite « de confort », à juste titre à mon sens, car on peut douter, en l’espèce, de la valeur du consentement des usagers. En effet, dans quelle mesure peut-on refuser de se soumettre à des contrôles biométriques dont l’usage se serait généralisé dans une entreprise ?

De surcroît, on peut aisément convenir qu’en réduisant les possibilités de recours à la biométrie, nous diminuons de fait les risques de dispersion des informations personnelles.

L’ensemble de ces éléments constitue donc une véritable avancée, dont il faut se féliciter, en matière d’encadrement de la biométrie. Je souhaite saluer à nouveau le travail effectué par le rapporteur, qui attire notre attention sur les limites du texte, de telle façon qu’après avoir dégagé des éléments de nature à avancer sur cette question, il nous ouvre des perspectives de réflexion en vue de l’examen d’un projet de loi sur les libertés numériques à venir.

Je tiens à rappeler tout d’abord que la proposition de loi s’inscrit dans le cadre de la loi du 6 janvier 1978, ce qui exclut de son champ d’application les traitements de données biométriques mis en œuvre par un responsable de traitement pour l’exercice d’activités exclusivement personnelles.

Il faut donc s’attendre à ce que le législateur soit sollicité de nouveau, dès lors que la collecte d’informations, bien que réalisée avec le consentement des intéressés, soulève aujourd’hui un certain nombre de questions, notamment quant au droit à l’oubli, au droit de propriété ou, là encore, au droit au respect de la vie privée.

Il faut également rappeler que, comme le souligne très justement le rapport, l’adoption éventuelle de cette proposition de loi devrait aller en principe de pair avec un renforcement des pouvoirs de la CNIL.

En effet, dans le cadre du contrôle a priori que cette instance exerce, le rapport relève que, depuis 2006, le nombre de contrôles rapporté au nombre total d’autorisations délivrées sur la même période montre que les vérifications n’auraient porté que sur 4, 5 % des dispositifs. Il est donc sous-entendu que cet organisme aura besoin de moyens humains supplémentaires pour assumer plus largement sa mission…

Nous nous trouvons là dans un domaine plein d’incertitudes, notamment en raison du projet de règlement européen : celui-ci imposera probablement la suppression des autorisations préalables, au profit d’un contrôle a posteriori. Il faudra alors renforcer les moyens de contrôle.

Au-delà de ces remarques, je crois pouvoir dire, en conclusion, qu’il existe un large consensus en faveur de l’adoption de ce texte, grâce notamment à l’ample travail de réflexion engagé depuis longtemps par la commission des lois sur ce sujet.

Au sein tant de l’Union européenne que du Conseil de l’Europe, la France est plutôt en pointe sur la question de la protection des libertés publiques. Elle doit jouer un rôle moteur dans ce débat.

Nous souhaitons donc instaurer progressivement le cadre législatif le mieux adapté à la protection de la vie privée de nos concitoyens. Nous avons conscience qu’il restera encore à faire, mais nous convenons qu’il s’agit d’une étape indispensable, eu égard au développement exponentiel des techniques biométriques.

Le groupe UMP votera la proposition de loi, que l’amendement du Gouvernement vise à améliorer sans la dénaturer. Je crois que nous pouvons nous féliciter de l’unanimité du Sénat sur la question de la protection de la vie privée et des données personnelles. Beaucoup de sociétés aimeraient pouvoir faire aussi bien ! §