Intervention de François Pillet

La fraude à l'identité recouvre notamment le vol de documents authentiques, la falsification d'un ou de plusieurs éléments de documents authentiques, la contrefaçon c'est-à-dire la reproduction totale de documents, l'obtention frauduleuse de documents authentiques, ou l'usage frauduleux de documents empruntés ou volés à un tiers.

Les données sur l'usurpation d'identité fournies aux médias par le Credoc n'ont pas été scientifiquement établies. Le chiffre de 210 000 cas a été obtenu en suivant une méthode unanimement critiquée : les enquêteurs ont interrogé 2 000 personnes, la question portant sur dix années -« avez-vous depuis 1999 été victime d'une usurpation d'identité ou d'un usage frauduleux de vos données personnelles ? » - et la réponse a été multipliée par la population française puis divisée par dix années. Le résultat est d'une fiabilité douteuse. Même s'il ne dispose pas encore des outils statistiques nécessaires, l'Observatoire national de la délinquance et de la réponse pénale a, quant à lui, fourni une évaluation plus précise du phénomène à partir de l'état 4001 transmis par les gendarmeries et les commissariats. Cette évaluation fait apparaître, pour 2009, 13 900 faits de fraude documentaire ou d'identité. La direction des affaires criminelles et des grâces indique qu'il y a eu cette année-là 11 627 condamnations pour de tels faits.

Au plan humain et personnel, il en résulte pour les victimes des situations parfois dramatiques ; les conséquences sont graves aussi pour l'État et les opérateurs économiques. Jusqu'à présent, les réponses apportées ont été parcellaires. M. Lecerf, dans le rapport de la mission d'information sur les titres d'identité de 2005, soulignait que la fraude documentaire profite des défaillances de la chaîne de l'identité. Toutes les garanties de sécurité ne sont pas réunies. Les moyens de détection de la fraude doivent être améliorés. Notre collègue avait préconisé des solutions simples, toutes n'ont pas été mises en oeuvre.

Comment assurer une meilleure sécurité ? Qu'apporte la biométrie ? Comment protéger des données personnelles aussi sensibles que les données biométriques ? Quelle est la fiabilité des nouveaux systèmes ? La biométrie peut avoir trois usages. Elle peut servir à l'identification dans le cadre de recherches criminelles : tel est l'objet des fichiers automatisés des empreintes digitales et génétiques. Elle peut être utilisée pour contrôler l'accès à certains lieux, réservés aux personnes dont les empreintes ou le visage ont été reconnus. Enfin, elle permet de s'assurer que l'identité de celui qu'on contrôle est bien celle qu'il allègue.

Aucun des projets de loi rédigés sur le sujet par les gouvernements successifs n'ont finalement été présentés au Parlement. En particulier, le projet d'identité nationale électronique sécurisée (Ines) n'a pas abouti. Il fusionnait les procédures de délivrance et de gestion de la carte d'identité et du passeport ; un fichier central d'identité était créé. Il n'y a jamais eu de suite.

Le passeport biométrique a toutefois été mis en place, conformément à nos engagements internationaux et européens. Cependant, le décret, je le rappelle, fait l'objet de critiques. Il a été contesté devant le Conseil d'État, lequel ne s'est pas encore prononcé.

Il n'y a pas de modèle commun en Europe : la carte d'identité est facultative en Allemagne, elle n'existe pas au Royaume-Uni, elle est obligatoire en Espagne, en Belgique ; la collecte des empreintes est facultative en Allemagne, elle n'existe pas au Royaume-Uni, elle est obligatoire en Espagne, en Italie.

Le sujet engage aussi des enjeux économiques, industriels : la sécurisation des échanges électroniques est un marché ; les collectivités, les administrés paient le coût de ces titres biométriques. Les entreprises françaises, en pointe sur ce domaine, veulent investir le marché français.

Il convient de concilier les libertés individuelles et la sécurité publique. Pour la CNIL, « les données biométriques ne sont pas des données personnelles comme les autres ». Elle n'a pas émis de contre-indication à l'usage des données biométriques mais elle recommande de veiller à une proportionnalité entre les objectifs, les moyens mis en oeuvre, les atteintes possibles aux libertés individuelles.

Mes amendements sont inspirés par le rapport Lecerf de 2005. Le législateur doit encadrer la finalité du fichier pour en éviter le détournement. L'utilisation de la biométrie n'est pas contestée si l'intéressé conserve la maîtrise des données servant à son identification. L'expérience du passeport biométrique n'a pas soulevé de difficultés.

Faut-il un fichier central des identités biométriques ? Pour protéger les identités, il faut une banque de données grâce à laquelle on puisse vérifier les données sur une carte d'identité qui pourrait être falsifiée et détecter les usurpateurs. Le fichier est bien l'élément de lutte le plus efficace.

Quelle finalité assigner à ce fichier ? C'est le coeur du débat. Une base d'empreintes digitales peut être exploitée pour vérifier qu'une seule personne n'a pas deux identités ; mais aussi, pour identifier un criminel d'après les empreintes laissées sur la scène de crime. Obtenir une identité à partir d'une empreinte, grâce à un fichier général, pose cependant un problème de libertés publiques. La proposition de loi tend à créer un fichier consacré à la gestion et la sécurisation des titres et je proposerai par amendement de le limiter à cet objet.

Comment ? Les garanties juridiques, comme le respect de la loi informatique et libertés et l'autorisation d'accès au fichier délivrée par un magistrat, ne sont pas suffisantes. Le rapport Lecerf recommandait des garanties matérielles. Sur le plan informatique, une première solution est celle du lien unidirectionnel. Si le lien est unidirectionnel entre l'identité et la donnée biométrique, on ne peut interroger la base qu'à partir de l'identité. Mais le lien peut à tout moment être rendu bidirectionnel, si le législateur change d'avis. C'est pourquoi nous avons retenu une autre technique, celle du lien faible. Les données concernant une personne ne sont pas stockées dans un casier réservé à elle seule. Si chaque casier comprend 100 000 personnes, l'identification à partir d'une donnée biométrique devient impossible. Une empreinte relevée sur une scène de crime ne désignera pas une personne, mais une liste de 100 000 noms. En revanche, il est possible de confondre un usurpateur en confrontant ses empreintes et celles correspondant à l'identité usurpée.