EXAMEN EN COMMISSION
M. François Pillet , rapporteur . - La biométrie embrasse l'ensemble des procédés qui identifient un individu à partir de la mesure de l'une ou de plusieurs de ses caractéristiques physiques, physiologiques, voire comportementales : empreintes digitales, ADN, reconnaissance vocale ou iris de l'oeil, mais aussi démarche, odeur, dynamique de la signature ou de la frappe sur un clavier. Produite par le corps, la donnée biométrique le désigne ou le représente de façon immuable.
Les catégories pour classer ces techniques évoluent : la distinction entre données « à trace » ou « sans trace » est ainsi bousculée par les progrès réalisés dans le traitement des images et la multiplication des engins vidéo, qui placent désormais la reconnaissance faciale dans les techniques « traçantes ». Ces évolutions peuvent être inquiétantes. Gaëtan Gorce et le groupe socialiste nous invitent à une réflexion particulièrement opportune : il est important que le Sénat se donne une doctrine sur l'usage et la conservation des données biométriques dans la perspective de l'examen prochain du projet de loi sur les libertés numériques.
À l'initiative de la Commission nationale de l'informatique et des libertés (CNIL), le législateur a soumis, par la loi du 6 août 2004, le traitement des données biométriques à un régime d'autorisation préalable. Pour faciliter le travail de la CNIL, l'article 25 prévoit que les traitements identiques peuvent être autorisés par une décision unique : cela concerne par exemple la reconnaissance par le contour de la main pour l'accès au restaurant scolaire. La France s'est ainsi dotée de l'un des régimes les plus protecteurs en la matière, mais sans que le législateur se soit prononcé sur la pertinence des différents usages des techniques biométriques, laissant à la CNIL toute latitude pour élaborer une doctrine.
Or cette dernière est en cours d'évolution. Comme pour toute autre autorisation, l'examen par la CNIL consiste en l'analyse de la proportionnalité eu égard à la finalité envisagée. De 2005 à 2012, la CNIL a distingué les techniques biométriques « à trace », susceptibles d'être capturées à l'insu de la personne, des techniques « sans trace » : contour de la main, reconnaissance vocale, réseau veineux du doigt, iris. À partir de 2013, elle a pris conscience de la faiblesse de cette classification et engagé une réflexion envisageant trois cas : la biométrie de sécurité, indispensable pour répondre à une contrainte de sécurité physique ou logique d'un organisme, imposée à des utilisateurs qui doivent cependant être informés des conditions d'utilisation du dispositif - on peut penser à des exemples comme celui de l'Île Longue ; la biométrie de service ou de confort, reposant sur le libre consentement de l'usager auquel doit être proposé sans contrainte ni surcoût un dispositif alternatif ; les expérimentations, c'est-à-dire les travaux de recherche fondamentale menés par des laboratoires ou le test de dispositifs avant leur implémentation éventuelle. Adaptant ses exigences aux finalités de chaque traitement, la CNIL ne s'autorise pas à juger de leur pertinence.
L'utilisation de la biométrie se banalise et se répand dans tous les domaines de la vie quotidienne, par exemple pour sécuriser les transactions financières. La proposition de loi peur faire office de première pierre pour construire la réflexion du Sénat. Gaëtan Gorce considère que certains usages, comme dans les cantines scolaires, ne devraient pas être autorisés. Sécurisante par son ergonomie, la biométrie de confort n'est guère rassurante quant à la valeur du consentement des usagers : les parents ont-ils vraiment le choix ?
L'exposé des motifs invite à penser un statut spécifique pour les données biométriques qui ne peuvent bénéficier de la protection de l'article 16-1 du code civil. Le dispositif de la proposition de loi complète l'article 25 de la loi du 6 janvier 1978 qui soumet à autorisation de la CNIL les traitements non étatiques. Les traitements mis en oeuvre pour le compte de l'État seraient ainsi exclus du champ de la proposition de loi, qui n'encadrerait que le pouvoir de la CNIL, et non le pouvoir réglementaire. A ce propos, j'attire votre attention sur les nouvelles cartes d'identité, le Conseil constitutionnel n'ayant pas interdit, par sa censure partielle de la loi de 2012, l'usage de la biométrie, mais seulement certains fichiers.
La proposition de loi ne définit pas un statut de la donnée biométrique, elle conditionne l'autorisation de son traitement par la CNIL à une « stricte nécessité de sécurité ». Cette formule pose problème, nous y reviendrons.
Ne sont pas incluses dans le champ de la proposition les activités exclusivement personnelles, comme l'ouverture de sessions sur les nouveaux iPhones, par reconnaissance digitale ou du visage. Cela mérite pourtant que l'on s'interroge.
Quant aux effets de la proposition sur les dispositifs existants, la CNIL estime que toutes les autorisations délivrées jusqu'à présent ne seraient pas reconduites, et que sa nouvelle doctrine ne pourrait être conservée. Enfin, la proposition n'autorise qu'implicitement les expérimentations.
Le problème fondamental est le rôle que nous voulons jouer : le législateur n'a pas saisi en 2004 l'occasion de se prononcer sur les usages légitimes de la biométrie ; j'estime que ce rôle lui revient et qu'il ne peut le laisser à un organisme comme la CNIL, si sérieux soit-il. Or le Gouvernement devrait déposer un projet de loi sur les libertés numériques. Le Conseil de l'Europe s'apprête à réviser la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « convention 108 » : son article 6 inviterait le législateur à encadrer le traitement des données biométriques.
Je partage l'objectif de promouvoir un usage raisonné des techniques biométriques, mais avec quelques réserves. Cela peut-il s'articuler avec le règlement européen à venir sur la protection des données à caractère personnel, qui sera d'application directe ? Toute contrainte a priori serait supprimée au bénéfice d'un contrôle a posteriori renforcé. La résolution législative du Parlement européen du 12 mars 2014 interdit le traitement des données biométriques, en prévoyant des exceptions, en particulier si la personne y a consenti, à moins qu'une disposition nationale y fasse obstacle.
La notion de stricte nécessité de sécurité a semblé insuffisamment précise à de nombreuses personnes entendues lors des auditions. Je souhaiterais qu'elle soit précisée et entendue de façon ni trop large ni trop étroite, ce qui pourrait être contre-productif en incitant les acteurs à acheter des services à l'étranger échappant à la loi française. La notion d'intérêt excédant l'intérêt propre de l'organisme, introduite par une communication de la CNIL de 2007, pourrait y aider. Enfin, pour éviter que certaines dispositions se trouvent hors la loi un dispositif transitoire est nécessaire.
Cette proposition de loi ouvre un débat utile ; j'ai ainsi appris que chaque être humain est unique : ce patrimoine humain doit être protégé. Le Sénat devrait se forger une opinion sur la question et affirmer que l'on ne peut faire n'importe quel usage des données biométriques, même pour des raisons de confort.
M. Gaëtan Gorce . - Merci pour ce rapport exhaustif ; je m'y retrouve, y compris dans les amendements. L'objectif était d'inciter le Parlement à se saisir de ce sujet. Le texte ne concerne que l'accès à des locaux ou des services, alors que l'usage des données biométriques va se développer dans les relations contractuelles : le sujet devrait être examiné en soi. Mon point de vue rejoint celui de François Pillet : tout va bien lorsque l'humain reste maître de la technologie, mais il faut s'interroger et réagir lorsqu'il en devient un rouage.
M. Yves Détraigne . - Je remercie notre rapporteur et l'auteur de cette proposition de loi qui présentent à notre examen une question de plus en plus importante et qui peut menacer la vie privée des individus. Des pays se sont-ils déjà dotés d'une législation dans ce domaine ?
Mme Virginie Klès . - Merci d'attirer notre attention sur ce sujet, et notamment sur la transformation de données « non traçantes » en données « traçantes » par la seule invasion des techniques recourant à la biométrie.
M. Jean-Pierre Sueur , président . - J'avais bien compris la rédaction de la proposition de loi, je comprends moins bien la syntaxe proustienne de votre amendement principal : qu'est-ce donc que l'« accès logique » ?
M. Jean-Jacques Hyest . - Cette proposition de loi se situe dans la continuité des travaux du Sénat sur la carte d'identité, où Virginie Klès et François Pillet s'étaient illustrés. La France a perdu l'avance qu'elle avait en 1978. Il est utile de définir la stricte nécessité de sécurité, même si le président a raison de vouloir une loi bien écrite.
M. François Pillet , rapporteur . - Pour répondre à M. Détraigne : seule la France a commencé à encadrer la biométrie, avec peut-être la Grèce. On remarque d'ailleurs l'influence de notre pays dans la rédaction des textes européens sur le sujet.
M. Yves Détraigne . - Très bien !
M. François Pillet , rapporteur . - Mon amendement, j'en ai bien conscience, reste perfectible - il est loin, en termes de rédaction, de l'article 1382 du code civil... Cependant, si nous en restons à la rédaction actuelle, nous interdisons aussi bien l'accès aux cantines ou aux dojos que, par exemple, l'utilisation de la biométrie pour les transactions financières, qui apporte pourtant de la sécurité aux consommateurs. Les conséquences seraient en outre importantes pour les industries de pointe. Je suis cependant ouvert à toute avancée ; mais ne laissons pas la CNIL seule pour juger de la pertinence d'un système.
Quant à l'objectif « logique », par opposition à l'accès physique, c'est l'accès à des applications informatiques.
M. Jean-Jacques Hyest . - Votre rédaction confond les deux en parlant d'accès physique ou logique à des locaux, équipements, applications ou services.
M. Gaëtan Gorce . - J'avais choisi une rédaction succincte en m'inspirant de la distinction opérée précédemment par la CNIL entre biométries de confort et de sécurité, et de son examen de la proportionnalité : le contrôle de l'accès ne pourrait ainsi utiliser la biométrie que si la sécurité des informations ou des biens le justifie.
Mme Virginie Klès . - Je défends la rédaction du rapporteur : l'accès à une application peut être logique ou physique, comme lorsque l'on touche au disque dur.
EXAMEN DES AMENDEMENTS
Article unique
M. Jean-Pierre Sueur . - Cet amendement est le fruit d'un effort conceptuel qui mérite d'être poursuivi.
Article additionnel après l'article unique
M. François Pillet , rapporteur . - L'amendement n° 2 crée un dispositif transitoire.
L'amendement n° 2 est adopté et devient un article additionnel.
La commission des lois adopte la proposition de loi dans la rédaction issue de ses travaux.
Le sort des amendements examinés par la commission est retracé dans le tableau suivant :
Auteur |
N° |
Objet |
Sort de l'amendement |
Article unique
|
|||
M. PILLET, rapporteur |
1 |
Précision - Finalités autorisées
|
Adopté |
Article additionnel après l'Article
unique
|
|||
M. PILLET, rapporteur |
2 |
Institution d'un dispositif transitoire |
Adopté |