2018
L’APD émet de nouveau un avis défavorable sur l'enregistrement des empreintes digitales sur la carte d'identité électronique
L'Autorité de protection des données (APD) formule un avis d'initiative suite à l'audition au Parlement concernant un projet de loi qui prévoit diverses dispositions relatives au Registre national et aux registres de la population. Elle confirme ainsi son avis défavorable sur l'enregistrement d'empreintes digitales sur la carte d'identité électronique pour l'ensemble de la population. L'APD demande le retrait de cette mesure afin de pouvoir réaliser avant tout une analyse d'impact relative à la protection des données. Il convient par ailleurs de démontrer que notre modèle actuel de carte d'identité est insuffisant dans la lutte contre les falsifications.
Le nouveau projet de loi discuté au Parlement n’a pas remédié aux critiques émises par l'APD dans son avis n° 19/2018 du 28 février 2018. Même s’il est prévu que les empreintes digitales ne seront conservées que sur la puce de la carte d'identité électronique, l’attention des parlementaires est spécifiquement attirée sur les points développés ci-après.
Contrairement aux affirmations du gouvernement, la Commission européenne n’a pas émis de recommandation sur l'enregistrement des empreintes digitales sur les cartes d’identité. Elle a seulement déposé une proposition de Règlement le 17 avril 2018 sur l'enregistrement de données biométriques sur les cartes d’identité européennes. Cette proposition a également fait l’objet d'un avis très critique du Contrôleur européen de la protection des données (CEPD) et doit encore suivre le processus législatif européen.
De plus, aucune réelle motivation n'a été donnée quant à la mesure envisagée, malgré la demande en ce sens de l’APD. Notre carte d’identité est déjà dotée de dispositifs de lutte contre la falsification (hologramme, …) ainsi que d’un élément biométrique (l’image faciale). Si ces éléments sont insuffisants, de quelles statistiques dispose le gouvernement pour étayer la mesure envisagée ?
Le gouvernement justifie cette mesure en assimilant les cartes d’identité avec les passeports, ce qu'on ne peut accepter : même si la carte d’identité peut également être utilisée comme titre de voyage au sein de l’Union européenne, elle n'est à l'heure actuelle pas contrôlée systématiquement vu le droit à la liberté de circulation au sein de l’Union européenne. De plus, contrairement aux passeports, la carte d’identité offre de nombreuses autres possibilités d'utilisation dans le secteur privé. Compte tenu des différences entre les cartes d’identité et les passeports, l’introduction dans les cartes d’identité d’éléments de sécurité pouvant être considérés comme appropriés dans le cas des passeports ne peut être automatique, mais exige une analyse approfondie qui ne semble pas avoir été réalisée.
Aucune analyse préalable d’impact relative à la protection des données (DPIA) au sens du RGPD ne semble avoir été réalisée au sujet de la mesure envisagée. Il est toutefois fort probable que le résultat de cette analyse conduira à ce que le caractère obligatoire de l'enregistrement de données biométriques sur les cartes d’identité soit limité à l’image faciale de son porteur et à rendre facultatif l'enregistrement des empreintes digitales.
L’APD souligne enfin le principe d’interdiction de traitement de données biométriques. Cette interdiction ne peut être levée que si le traitement est nécessaire pour un motif d’intérêt public important, si le caractère proportionné avec l’objectif poursuivi est garanti et que des mesures de sécurité appropriées et spécifiques sont prises. Celles-ci sont actuellement insuffisantes. Les risques de piratage et d'abus ne sont ainsi pas suffisamment exclus.