Patrick Roy
Question N° 25391 au Ministère de l'Intérieur
Question soumise le 17 juin 2008
M. Patrick Roy attire l'attention de Mme la ministre de l'intérieur, de l'outre-mer et des collectivités territoriales sur la création du passeport biométrique. La commission nationale de l'information et des libertés relève que le projet du Gouvernement est allé au-delà des exigences européennes et juge que les risques d'atteintes à la vie privée et à la liberté individuelle sont disproportionnés par rapport aux bienfaits en terme de sécurité. Malgré l'avis du Cnil le Gouvernement est passé outre en créant par décret et non par voie législative, le nouveau passeport biométrique. Il souhaite avoir plus d'éléments sur les « garanties » du système de traitement central de ces données.
Réponse émise le 20 janvier 2009
Des garanties juridiques et techniques ont été mises en place non seulement pour protéger les données à caractère personnel enregistrées dans le système de traitement automatisé dénommé « Titres électroniques sécurisés » (TES) créé par l'article 18 du décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports mais également pour contrôler l'accès à ces données. Aux termes de ce décret, seuls les agents individuellement habilités peuvent, dans le cadre de la gestion des demandes de passeports, accéder aux données enregistrées dans ce fichier de données centralisé. Ils sont dotés à cet effet d'une carte à puce individuelle sécurisée leur permettant de s'identifier. L'ensemble des opérations qu'ils sont autorisés à effectuer est tracé. Cette traçabilité qui est une garantie forte en matière de protection des données biométriques a pour objet de prévenir un usage non conforme aux finalités du traitement. L'accès aux données par les services de la police et de la gendarmerie nationales, enregistrées et conservées dans les fichiers, est subordonné à l'autorisation du procureur de la République ou d'un magistrat. Par ailleurs, la Commission nationale de l'informatique et des libertés est appelée à contrôler sur place la mise en oeuvre du fichier de données centralisé, conformément à l'article 44 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Elle a également le pouvoir d'infliger des sanctions contre les manquements à la loi précitée, le montant de cette sanction pouvant atteindre 300 000 euros. Enfin, l'utilisation non autorisée des données, qu'elles soient nominatives ou biométriques, est sanctionnée, dans les conditions prévues au chapitre VII de la loi du 6 janvier 1978 susvisée et aux articles 226-16 à 226-24 du code pénal. Au plan technique, les données à caractère personnel enregistrées sont conservées dans des bases de données distinctes contenant respectivement les données d'état civil, les photographies d'identité, les empreintes digitales. Cette séparation est rendue possible par un mécanisme dit de « double-hachage » qui rend impossible l'accès direct aux données biométriques ou à l'image numérisée de la photographie du titulaire du passeport. Ce système ne comporte aucun dispositif de reconnaissance faciale et de recherche en identification. Par ailleurs, des mécanismes de sécurité sont mis en oeuvre dans le système de traitement permettant de prévenir toute intrusion malveillante (ex. : chiffrement systématique des données transmises). Ils sont définis précisément en suivant les directives de la direction centrale de la sécurité des systèmes d'information, responsable de ces questions au secrétariat général de la défense nationale.
Aucun commentaire n'a encore été formulé sur cette question.