Intervention de Serge Blisko

Monsieur le ministre, monsieur le rapporteur, mes chers collègues, la proposition de loi relative à la protection de l'identité a pour but affiché de lutter contre le phénomène appelé génériquement usurpation d'identité. Vous l'avez dit, monsieur le ministre, plusieurs types de fraude à l'identité coexistent : identité fictive créée de toutes pièces, échange d'identité entre deux complices, utilisation de l'identité d'une personne décédée ou d'un frère, d'une soeur, voire d'un jumeau – un article est paru il y a une quinzaine de jours à ce sujet –, ces dernières infractions, dites intrafamiliales, étant le plus souvent très difficiles à détecter.

De telles fraudes sont souvent un support pour des délits tels que l'escroquerie, la fraude aux prestations sociales ou encore la conclusion d'un contrat de travail sous une autre identité. Les conséquences sont graves pour les personnes concernées – celles-ci sont peu évoquées d'ailleurs dans la proposition de loi –, tant sur le plan humain, qu'économique et professionnel : cela va d'un refus de l'administration de délivrer des titres d'identité et de voyage, ceux-ci ayant déjà été remis à l'usurpateur, au remboursement de prêts contractés par le fraudeur, en passant par une condamnation pour des infractions commises par un autre. Ces dernières années, on a vu un certain nombre de cas, pourtant reconnus frauduleux par voie judiciaire, continuer à produire des effets administratifs graves pour les victimes, telle l'annulation du permis de conduire, qui peut causer un préjudice considérable, notamment aux professionnels du transport.

L'ampleur du phénomène est difficile à évaluer, nous l'avons tous indiqué. Le chiffre avancé de 210 000 cas d'usurpation d'identité en France est, de l'avis de tous, surestimé. Je rappelle qu'en 2009, seuls 13 900 faits constatés de fraudes documentaires et à l'identité ont été enregistrés par les services de police et de gendarmerie, et 11 621 condamnations prononcées. Remarquons qu'en 2009, 351 000 cartes d'identité ont été déclarées perdues ou volées ainsi que 79 916 passeports.

J'évoquerai d'abord le contexte de cette proposition de loi. Elle fait suite à plusieurs tentatives du Gouvernement ces dernières années. Ainsi, des avant-projets de loi ont été soumis à la CNIL : le projet INES – identité nationale électronique sécurisée – en mai 2005, et deux avant-projets « protection de l'identité » en octobre 2006 et en juillet 2008. Par ailleurs, le Sénat avait conduit, dès 2005, une mission d'information – à l'initiative déjà de M. Lecerf, qui la présidait – sur la nouvelle génération de documents d'identité et sur la fraude documentaire.

La biométrie, nous le savons, est d'ores et déjà utilisée pour les passeports depuis le décret du 30 septembre 2005. Le Conseil d'État, saisi de ce décret par la Ligue des droits de l'homme et par une autre association, n'a pas encore statué. Nous sommes donc sur un terrain qui n'est pas encore juridiquement tout à fait bordé.

Concernant plus particulièrement l'usurpation d'identité, le Parlement vient de légiférer. En effet, l'article 2 de la LOPPSI du 14 mars 2011 a créé l'infraction spécifique d'usurpation d'identité, en aggravant d'ailleurs les peines jusque-là applicables par le nouvel article 226-4-1 du code pénal. Par ailleurs, de nombreuses dispositions répressives existent déjà dans le code pénal, le code de procédure pénale, le code de la route et le code des transports.

J'en viens maintenant au concept nouveau : la création d'une carte d'identité biométrique – qui fait suite au passeport biométrique – et d'un grand fichier national.

Cette proposition de loi prévoit, dans son article 2, la création d'une carte d'identité biométrique, comprenant notamment les empreintes digitales des personnes, outre d'autres éléments tels que la taille et la couleur des yeux. L'article 3 crée une fonctionnalité supplémentaire qui pourrait être activée, de manière facultative il est vrai, par le détenteur de la carte nationale d'identité pour ses transactions commerciales sur internet et dans ses relations avec l'e-administration. Cette fonctionnalité lui permettrait de s'identifier sur internet et de mettre en oeuvre sa signature électronique. Concrètement, la personne devra tout de même disposer d'un boîtier connecté à son ordinateur, ce qui n'apparaît pas très simple. Elle sera libre de choisir les données personnelles qu'elle veut transmettre.

La création de la carte nationale d'identité biométrique s'accompagne malheureusement de celle d'un grand fichier central permettant le recueil et la conservation des données personnelles inscrites sur la carte et sur le passeport biométriques, y compris les empreintes des personnes. L'article 5 bis prévoit les modalités de justification de l'identité. Introduite par voie d'amendement au Sénat par le rapporteur, la première version de cet article évitait que le fichier central, dont je vous rappelle que nous refusons la création, ne soit consulté systématiquement pour authentifier l'identité du détenteur du titre. C'est ce qu'il est convenu d'appeler le lien faible. Certes, nous avons peu de recul puisque celui-ci a été très peu expérimenté jusqu'à présent dans les pays voisins, mais s'il doit y avoir un lien, nous le préférons au lien univoque que vous proposez, car le lien faible ne permet pas une identification judiciaire.

En effet, M. Goujon l'a fort bien expliqué, les empreintes digitales qui font partie des données biométriques ne correspondent pas alors à une identité dans le fichier mais à un ensemble d'identités, que l'on évalue à 1 % du total. Je ne rentre pas dans la démonstration algébrique et mathématique, mais nous avons beaucoup appris au cours de nos travaux en commission grâce aux industriels que nous avons auditionnés. Nous disposions d'un délai très bref, je le regrette, mais c'était tout de même extrêmement intéressant. L'objectif du lien faible, tel qu'il semble avoir été avalisé par la CNIL lors de nos auditions, est de rendre impossible le fait de remonter à une identité à partir d'une empreinte en interdisant l'utilisation du grand fichier central à des fins de recherches policières.

Cependant, et c'est une déception, le Gouvernement et le rapporteur à l'Assemblée se sont opposés à la technique du lien faible et ont rétabli le lien univoque, le lien fort, entre identité et empreintes. La finalité du fichier pourrait ainsi être élargie à des recherches en matière criminelle.

Enfin, l'article 5 ter prévoit que des personnes privées, des commerçants par exemple, pourront elles aussi consulter ce fichier, mais uniquement afin de vérifier la validité de la carte nationale d'identité ou du passeport qui leur serait présenté à l'appui d'une transaction commerciale.

Cette proposition de loi présente donc de grands dangers.

Premièrement, vous empruntez une procédure parlementaire pour le moins étrange. La création d'un grand fichier national composé des empreintes digitales est un enjeu majeur qui ne peut être relevé au détour d'une proposition de loi, aussi bien bâtie soit-elle, adoptée à la va-vite, au cours d'une session extraordinaire, dans des délais insuffisants tant pour les travaux en commission que pour la séance publique. Cette extrême contraction du temps nuit au débat public, qui va bien au-delà de cet hémicycle. Le choix même d'une proposition de loi et non d'un projet de loi, au-delà de la rapidité de son examen, nous interroge : en effet, il n'y a de la sorte pas de recueil de l'avis du Conseil d'État, pourtant indispensable en ces matières, ni obligation de fournir une étude d'impact. Vous pensez bien que la création d'un fichier qui, à terme, regroupera plusieurs dizaines de millions de personnes, ne peut pas se passer d'un avis préalable du Conseil d'État et d'une étude d'impact.

Je souligne donc la volonté de faire voter un texte en catimini, volonté qui se confirme au regard des débats importants qui avaient accompagné le précédent avant-projet de loi, dit INES, en 2005. Celui-ci était quasiment similaire, même si nous n'étions pas techniquement au même degré de progrès qu'aujourd'hui. Il est vrai que la lutte contre l'usurpation d'identité est un enjeu industriel et commercial important pour la France puisque les entreprises dont nous avons auditionné les dirigeants sont championnes du monde dans ce domaine et qu'elles travaillent à 90 % à l'exportation. Il fallait d'autant plus sécuriser nos débats pour éviter une erreur qui serait très préjudiciable demain à nos industriels. En 2005, malgré la technologie de l'époque, le débat était le même qu'aujourd'hui : la création d'une carte nationale d'identité électronique, contenant donc des données biométriques, était déjà envisagée ; elle ouvrait la possibilité de prouver son identité sur internet et de signer électroniquement. Je vous accorde volontiers que, depuis, la question s'est beaucoup amplifiée car nous sommes en présence d'un développement à deux chiffres, tous les trimestres, du commerce sur internet. Mais le débat est resté le même : il porte, hier comme aujourd'hui, sur l'équilibre entre protection des libertés individuelles et sécurité – autrement dit sécurisation – de l'identité pour éviter les usurpations. On pense au cas où une personne commanderait tel ou tel appareil coûteux et se le ferait livrer chez elle au détriment de celui qui paye en n'étant au courant de rien.

Deuxièmement, pour parvenir au but affiché, vous avez choisi la pire des solutions, monsieur le ministre : le fichage général de la population. Le rapporteur, M. Philippe Goujon, avec l'appui du Gouvernement, a abandonné le choix de la technique du lien faible adopté en commission au Sénat. C'est là vraiment ma déception, même si je reconnais que nous avions eu des discussions difficiles à ce sujet avec le syndicat des exploitants de cartes à puce. Le fait que chaque empreinte soit reliée directement à une identité revient à créer un fichier exhaustif de la population française – je mets à part les titres sécurisés pour les personnes étrangères –, et il est anormal qu'un tel fichier puisse être utilisé à d'autres fins que la lutte contre l'usurpation. Toutes les limitations apportées par la CNIL, en particulier concernant les fichiers de police, notamment le FAED – le fichier des empreintes digitales – et le FNAEG – le fichier des empreintes génétiques – n'auraient plus lieu d'être puisqu'on aurait un fichier extrêmement exhaustif. Dans ce fichier tout à fait étonnant, tous les citoyens seraient dans la base du ministère de l'intérieur, criminels et délinquants certes, mais aussi la grande masse des Français honnêtes, de loin les plus nombreux ; seuls n'y figureraient pas les mineurs jusqu'à douze ou quinze ans, du moins ceux qui n'ont pas besoin d'un titre pour voyager ou pour utiliser un scooter.

En outre, vous avez évoqué avec les industriels, monsieur le rapporteur, la possibilité de reconnaissance faciale des individus dans la rue, dans les transports en commun ou lors de manifestations. Il s'agit d'un progrès de la biométrie lourd de conséquences, car chacun pourrait être reconnu et identifié sur ses éléments biométriques. Certes, je confirme que ces éléments ne sont pas complètement précisés dans l'article 2, mais ce dispositif ouvre vers un avenir assez inquiétant et qui ne relève pas seulement de la science-fiction.

Par ailleurs, bien que la carte nationale d'identité ne soit pas obligatoire – cela a été rappelé mezza voce en commission –, en réalité, tous les citoyens seront désormais contraints de donner leurs empreintes digitales à l'une de ces 2 000 antennes de police administrative que vous avez décrites, monsieur le ministre. Il s'agira, en plus, d'empreintes très particulières. Je me réfère aux auditions des hauts fonctionnaires du ministère de l'intérieur : il faudra donner les empreintes de huit de ses doigts par la technique des empreintes roulées et non pas posées. Elle est très différente de celle de l'empreinte posée car c'est une technique criminologique. Nous ne sommes plus alors dans une démarche de reconnaissance d'identité, mais dans la logique d'un fichier de recherches criminelles. Il y a eu un glissement. Le Diable se glisse souvent dans les détails, et j'ai démontré que ce détail avait son importance.

En effet, à ce jour, la collecte d'empreintes digitales ne s'effectue que pour la délivrance d'un passeport puisqu'il n'y en a pas sur nos cartes d'identité plastifiées. Les personnes n'ayant pas besoin d'un passeport et ne souhaitant pas donner leurs empreintes – hors enquête de police – pouvaient simplement demander une carte nationale d'identité. Désormais, il n'y aura plus de choix : pour obtenir un titre d'identité ou de voyage, la collecte de données biométriques sera systématique.

Troisièmement, le principe de finalité et de proportionnalité – pierre angulaire de la loi Informatique et libertés de 1978, qui est notre credo dans ce domaine depuis plus de trente ans – n'est pas respecté. Son article 6 dispose que les données personnelles « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Elles doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Le cadre est donc fixé par la loi de 1978 et par la jurisprudence de la Cour européenne des droits de l'homme. L'interprétation par la CEDH de l'article 8 de la Convention européenne de sauvegarde des droits de l'homme – affirmant le droit au respect à la vie privée – est très stricte.

Dans un arrêt S. et Marper contre Royaume-Uni de 2008, la Cour a rappelé que « la protection des données à caractère personnel joue un rôle fondamental pour l'exercice du droit au respect de la vie privée et familiale consacré par l'article 8 de la Convention. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article. Le droit interne doit notamment assurer que ces données sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu'elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. »

Avec ce fichier dont la durée est en quelque sorte éternelle,…