Intervention de François Pillet

Nous sommes amenés à examiner une nouvelle fois cette proposition de loi, après le rejet par l'Assemblée nationale du texte commun auquel était parvenue la commission mixte paritaire. En nouvelle lecture, les députés en ont inversé le sens.

Certes, ils se sont rangés à notre avis en réservant le fichier à la lutte contre l'usurpation d'identité : c'est un progrès notable. Mais s'ils ont ainsi retrouvé l'esprit général du texte du Sénat, ils n'en ont pas adopté la lettre. Leur texte est en fait inconciliable avec les principes que nous avons constamment défendus. Il s'agit pourtant, fait exceptionnel, de recueillir les données biométriques de toute une population !

L'Assemblée nationale a pris en compte les risques de mésusage du fichier, mais n'a voulu les prévenir que par des garanties juridiques : l'identification d'un individu grâce aux empreintes digitales contenues dans la base ne pourra se faire que pour l'établissement de titres d'identité ou de voyage, ou dans le cadre de la poursuite d'infractions liées à l'usurpation d'identité, sur réquisition du procureur de la République. Mais la liste des infractions concernées est longue.

Ce texte n'apaise pas nos inquiétudes mais, bien au contraire, en suscite de nouvelles. Tout d'abord, je viens de le dire, il serait possible de recourir au fichier dans le cadre d'enquêtes sur des infractions dont le lien avec l'usurpation d'identité est ténu, voire inexistant : délit de révélation de l'identité d'un agent des services spécialisés de renseignement, faux en écritures publiques, même lorsque celles-ci ne portent pas sur l'identité d'une personne, escroquerie, même lorsque l'escroc ne se dissimule pas sous une fausse identité.

En outre, l'accès à la base serait possible en dehors des procédures prévues. Le texte ne s'articule pas avec les dispositions du code de procédure pénale qui accordent aux magistrats instructeurs le droit d'obtenir des documents numériques ou d'accéder à des informations contenues dans des fichiers normatifs. Le texte des députés ne semble pas interdire qu'ils aient mutuellement accès à la base centrale des données biométriques en vertu de ces dispositions. En outre, les services spécialisés - notamment ceux qui sont chargés de la lutte contre le terrorisme - pourraient y avoir accès hors de tout contrôle judiciaire, puisque le texte ne l'exclut pas ; or le choix du lien fort étend considérablement les possibilités offertes par le fichier.

Sur l'utilisation de certains éléments biométriques et notamment de l'image numérisée du visage, on relève la même ambiguïté. Dans le silence de la loi, les juges d'instruction pourraient demander qu'une personne dont le visage a été filmé par une caméra de surveillance, par exemple, soit identifiée grâce aux données du fichier, ce qui reviendrait à valider les dispositifs de reconnaissance faciale. Le progrès des techniques est tel que l'on peut identifier quelqu'un même à partir d'une image qui paraît inutilisable à des profanes.

Il ne faut pas sous-estimer non plus les risques liés au piratage : une telle éventualité serait catastrophique.

Voilà pourquoi les garanties juridiques ne suffisent pas : il faut des garanties techniques, qui rendent le fichier éternellement inutilisable à d'autres fins que celles prévues par la loi. On dit qu'en prévoyant un fichier à lien faible, le législateur en confierait l'élaboration à une entreprise déterminée, mais c'est faux : il existe des façons de mettre en oeuvre le lien faible non brevetables. On prétend aussi qu'un tel fichier serait inefficace. Au contraire, il permettrait de lutter contre l'usurpation en amont : l'usurpateur aurait 99 chances sur 100 de se faire prendre au moment où il tenterait d'obtenir de faux papiers. Mieux vaut un risque infime d'usurpation d'identité et aucun risque pour les libertés publiques, que le contraire !

Sous prétexte qu'aucun pays n'a adopté le lien faible, on le juge inefficace, mais c'est prendre les choses à l'envers : presque aucune démocratie occidentale n'a créé de fichier biométrique de sa population ! L'Allemagne s'y refuse, invoquant explicitement son passé, ainsi que le Royaume-Uni et la Belgique, pourtant très avancée dans la mise en place de cartes d'identité électroniques. Le ministre de l'intérieur des Pays-Bas a annoncé en avril que les 6 millions d'empreintes digitales recueillies pour l'établissement de passeports biométriques seraient effacées. Seul Israël a instauré un fichier à lien fort, mais le contexte est tout autre.

Je citerai pour conclure la présidente de la Cnil : « Sur la carte d'identité biométrique, nous avions considéré que la création d'une base centrale était disproportionnée au regard de l'objectif de sécurisation des titres. Si toutefois la base centrale est constituée, la meilleure garantie contre les utilisations détournées serait la garantie technique, celle du lien faible. L'Assemblée nationale et le Gouvernement semblent s'orienter vers une autre garantie, celle qui consiste à réduire, par la loi, les finalités d'accès à la base. Cependant, nous savons qu'une fois un fichier constitué, il est toujours possible d'étendre ses finalités de consultation. C'est pourquoi la Cnil est inquiète : les restrictions juridiques seront toujours moins efficaces que les restrictions techniques, qui rendent impossible l'utilisation de la base à des fins détournées. »