Sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour

Proposition de Règlement du Conseil relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union [européenne] et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation (COM(2024) 316 final)

Pour rendre la liberté de circulation des citoyens effective au sein de l'espace Schengen, des contrôles systématiques ont été imposés à l'entrée de ce dernier, nécessitant des documents d'identité et de voyage fiables. En pratique, la directive européenne 2004/38/CE du 29 avril 2004^1(*) prévoit que les citoyens européens et les membres de leurs familles peuvent entrer et vivre dans un autre État membre et demander les titres de séjour appropriés s'ils disposent d'un passeport ou d'une carte d'identité en cours de validité.

En complément, le règlement (UE) 2019/1157 du 20 juin 2019 du Parlement européen et du Conseil relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation, est entré en vigueur le 2 août 2021. Tirant les leçons des attentats terroristes qui avaient récemment frappé l'Europe, ce texte avait pour objectif de juguler la fraude aux documents de voyage précités.

La réforme a harmonisé le format, les mentions obligatoires (et optionnelles^2(*)) et les éléments de sécurité des documents précités. En pratique, la règlement (UE) 2019/1157 a intégré, sur chacun de ces documents, le « stockage » d'une image faciale et de deux empreintes digitales de son titulaire^3(*).

Or, la Cour de justice de l'Union européenne (CJUE), saisie par une juridiction allemande, a été amenée à se prononcer sur la compatibilité de ce règlement avec les dispositions des traités, le 21 mars dernier^4(*). Elle a alors validé le règlement sur le fond, en confirmant que l'obligation d'insérer deux empreintes digitales dans le support de stockage des cartes d'identité constituait bien une limitation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des citoyens mais justifiée par les objectifs d'intérêt général de lutte contre la fabrication de fausses cartes d'identité et de nécessaire interopérabilité des systèmes de vérification des documents de voyage au sein de l'espace Schengen.

Elle a simultanément estimé que ce règlement était fondé sur une mauvaise base juridique, en l'espèce, l'article 21, paragraphe 2, du traité sur le fonctionnement de l'Union européenne (TFUE). Ce paragraphe précise que, si une action de l'Union européenne est nécessaire pour garantir à tout citoyen de l'Union le droit de circuler et de séjourner librement sur le territoire des États membres, et sauf si les traités ont prévu des pouvoirs d'action à cet effet, le Parlement et le Conseil, statuant conformément à la procédure législative ordinaire, peuvent arrêter des dispositions visant à faciliter l'exercice de ces droits.

Or, pour la Cour, le règlement aurait dû être adopté plutôt sur le fondement d'une disposition dédiée des traités, celle de l'article 77, paragraphe 3, du TFUE, qui prévoit explicitement des pouvoirs d'action spécifiques pour l'adoption de mesures relatives aux passeports, aux cartes d'identité, aux titres des séjour ou à tout autre document assimilé délivrés aux citoyens des États membres de l'Union européenne, et une procédure législative spéciale (nécessitant l'unanimité au Conseil après consultation du Parlement européen).

Toutefois, afin de ne pas pénaliser ces derniers par une invalidation du règlement (UE) 2019/1157 avec effet immédiat, la Cour a décidé de le maintenir jusqu'à l'entrée en vigueur, dans un délai raisonnable et au plus tard le 31 décembre 2026, d'un nouveau règlement fondé sur une base juridique idoine. C'est l'objet de la présente proposition de règlement COM (2024) 316 final.

*

1. Le contenu de la proposition législative de la Commission

La proposition de règlement COM (2024) 316 final n'est, pour l'essentiel, que la reprise du règlement (UE) 2019/1157, sous réserve de la rectification de la base juridique requise.

Tout comme ce dernier, elle tend donc à renforcer la sécurisation des cartes nationales d'identité, titres de séjour et cartes de séjour délivrés par les États membres au profit des citoyens de l'Union européenne et des membres de leur famille, en y imposant l'apposition d'une image faciale et de deux empreintes digitales.

Elle prévoit aussi l'insertion de considérants nouveaux pour prendre acte explicitement de la décision de la CJUE du 21 mars 2024 et de quelques mesures mineures de simplification (suppression de rapports...).

Par exception, l'une de ces modifications ne semble pas aussi « mineure » que l'affirme l'exposé des motifs de la proposition (p1) : en effet, alors que l'article 11 du règlement (UE) 2019/1157 réserve aujourd'hui « l'utilisation » des données biométriques stockées sur le support de stockage des cartes d'identité et des titres de séjour (c'est-à-dire, l'image faciale et les empreintes digitales du titulaire du document) « au personnel dûment autorisé des autorités nationales compétentes et des agences de l'Union » afin de répondre à deux objectifs (vérifier l'authenticité du document et l'identité de son titulaire dans les cas où la loi exige la présentation de ces cartes et titres), la proposition de règlement examinée assouplirait cet état du droit en ne maintenant les restrictions d'usage existantes que pour les empreintes digitales. En conséquence, le titulaire de la carte ou du titre, mais aussi un tiers, pourraient utiliser et partager l'image faciale contenue sur sa carte ou son titre, par exemple, lorsqu'il demande un prêt bancaire ou commande un billet d'avion.

*

2. Cette proposition législative est-elle nécessaire ? Apporte-t-elle une valeur ajoutée européenne ?

a) La base juridique choisie est-elle correcte ?

En l'espèce, la base juridique retenue pour justifier la proposition de règlement COM(2024) 316 final (à savoir, l'article 77, paragraphe 3, du TFUE), est non seulement correcte mais aussi nécessaire pour « purger » le vice de forme qui fragilise le règlement (UE) 2019/1157 et ses mesures de sécurisation des cartes nationales d'identité et des titres de séjour.

Elle est même imposée par la CJUE, qui a imposé aux États membres, au Parlement européen et à la Commission, d'adopter un nouveau règlement sur une base juridique correcte au plus tard le 31 décembre 2026.

b) La proposition est-elle conforme aux principes de subsidiarité et de proportionnalité ?

La proposition de règlement COM (2024) 316 final est conforme aux principes de subsidiarité et de proportionnalité, puisqu'elle reprend les dispositions déjà validées du règlement de 2019, actualise sa base juridique conformément aux demandes de la CJUE et procède à des modifications mineures.

Sur le fond du texte, la modification envisagée de l'article 11 du règlement (UE) 2019/1157 peut être considérée comme une nouvelle souplesse dont chaque citoyen pourrait bénéficier en tant que consommateur, par ailleurs cohérente avec la volonté de la Commission européenne et de nombreux États membres, dont la France, de développer les services numériques pour les consommateurs en permettant à ces derniers de s'identifier par des données biométriques.

L'Union européenne a d'ailleurs adopté récemment un cadre européen relatif à une identité numérique publique sécurisée permettant « aux personnes d'exercer un contrôle sur leur identité et leurs données en ligne et donne accès à des services numériques publics, privés et transfrontières. »^5(*).

Cependant, pour éviter toute dérive dans les utilisations « privées » de l'image faciale des titulaires des documents, la proposition pose deux « verrous » :

-d'une part, « sans préjudice du règlement (UE) 2016/679 », ou Règlement général sur la protection des données (RGPD) [qui serait donc parfaitement applicable aux cas visés], les États membres devraient veiller « à la sécurité, à l'intégrité, à l'authenticité et à la confidentialité des données recueillies et stockées aux fins du présent règlement » ;

-d'autre part, ces nouvelles utilisations de l'image faciale seraient toujours exclusivement réservées à l'authentification du document concerné et/ou à l'identification de son titulaire, et ne seraient possibles que « conformément au droit de l'Union et au droit national [des États membres] ».

*

* ¹ Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) n°1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 71/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE.

* ² Chaque État membre peut ajouter des mentions à usage national, conformément à son droit, mais l'efficacité des normes minimales de sécurité ne doit pas en être affectée.

* ³ En pratique, les enfants de moins de six ans sont exemptés de l'obligation de donner leurs empreintes digitales et ceux de moins de douze ans, peuvent l'être.

* ⁴ CJUE, 21 mars 2024, Landeshauptstadt Wiesbaden, requête n°C-61/22.

* ⁵ Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l'établissement du cadre européen relatif à une identité numérique.