(Avis no 1431412)
La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère des affaires étrangères et européennes d'une demande d'avis concernant un
projet de décret en Conseil d'Etat relatif à l'authentification du titulaire d'un passeport diplomatique et à la
fabrication du titre ;
Vu la convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection
des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces
données ;
Vu le règlement (CE) no 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les
éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage
délivrés par les Etats membres, modifié par le règlement (CE) no 444/2009 du Parlement européen et du
Conseil du 28 mai 2009 ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi
no 2004-801 du 6 août 2004, et notamment son article 27 ;
Vu la loi no 2006-64 du 23 janvier 2006 modifiée relative à la lutte contre le terrorisme et portant
dispositions diverses relatives à la sécurité et aux contrôles frontaliers, et notamment son article 9 ;
Vu le décret no 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ;
Vu le décret no 2005-1309 du 20 octobre 2005 pris pour l'application de la loi no 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret no 2007-401 du 25 mars 2007 ;
Vu le décret no 2008-543 du 9 juin 2008 relatif au passeport diplomatique ;
Vu l'arrêté du 11 février 2009 relatif au passeport diplomatique ;
Vu la délibération no 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat
modifiant le décret no 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport et Mme Elisabeth Rolin,
commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, le 31 mai 2010, par le ministère des affaires étrangères et européennes, d'une
demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'authentification du titulaire d'un
passeport diplomatique et à la fabrication du titre.
Ce projet de décret vise notamment à permettre la délivrance par le ministère des affaires étrangères de
passeports diplomatiques conformes aux prescriptions du règlement (CE) no 2252/2004 susvisé. Dans la mesure
où ces passeports peuvent être d'une durée de validité de dix ans, ils entrent dans le champ d'application dudit
règlement et doivent donc être munis d'un composant électronique contenant la photographie numérisée de son
titulaire ainsi que les empreintes digitales de ses deux doigts.
Le projet de décret prévoit également la création d'un traitement automatisé de données à caractère personnel
relatives aux titulaires de ces titres, dénommé « REVOL », qui enregistre notamment les empreintes digitales
des huit doigts des titulaires de passeport diplomatique.
Ainsi, si le ministère projette de créer une application particulière dédiée aux titulaires du passeport
diplomatique, compte tenu des fortes spécificités qui s'attachent à ces titres, la commission observe que le
projet de décret qui lui est soumis pour avis comporte de très nombreuses similitudes avec le décret
no 2005-1726 modifié, pris après l'avis susvisé de la CNIL en date du 11 décembre 2007, qui a autorisé la
mise en oeuvre du traitement de données à caractère personnel dénommé « TES » relatives aux demandeurs de
passeports, de passeports de service et de passeports de mission.
Dans la mesure où le traitement REVOL fait appel à un dispositif biométrique, la commission considère
qu'il y a lieu de faire application des dispositions de l'article 27 de la loi du 6 janvier 1978 modifiée.
A titre liminaire, la commission estime que les dispositions du projet de décret qui lui est soumis pour avis
pourraient utilement être intégrées au décret no 2008-543 du 9 juin 2008 relatif au passeport diplomatique. La
lisibilité du régime juridique relatif à ces titres serait en effet favorisée si toutes les dispositions y relatives
étaient regroupées dans un même texte réglementaire.
Sur l'enregistrement de données biométriques dans le composant électronique intégré au passeport
diplomatique :
La commission rappelle que la collecte de l'image numérisée du visage du demandeur de passeport
diplomatique ainsi que celle de deux de ses empreintes digitales sont rendues nécessaires par les dispositions
du règlement (CE) no 2252/2004 du 13 décembre 2004, qui fait obligation aux Etats membres de délivrer des
passeports dotés d'un composant électronique comportant les éléments biométriques précités.
A cet égard, elle rappelle qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une
personne, à des dispositifs de reconnaissance biométrique, dès lors que les données biométriques sont
conservées sur un support dont la personne a l'usage exclusif. La commission prend donc acte de
l'enregistrement des éléments biométriques précités dans le composant électronique du passeport diplomatique.
Sur la conservation de données biométriques en base centrale :
L'article 9 du projet de décret prévoit notamment l'enregistrement dans le traitement REVOL des empreintes
digitales des huit doigts des personnes dont la demande de passeport a été acceptée par le ministère des affaires
étrangères ainsi que de l'image numérisée de leur visage. La commission relève que ledit article précise à cet
égard que le dispositif ne permet pas de procéder à des recherches en identification à partir de ces empreintes
digitales et ne comporte pas de dispositif de reconnaissance faciale.
A titre liminaire, la commission rappelle que le recueil de huit empreintes digitales, d'une part, et la
conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire,
d'autre part, ne résultent pas d'une prescription communautaire.
Elle rappelle également qu'elle a toujours considéré que le traitement, sous une forme automatisée et
centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de
l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes
graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des
exigences en matière de sécurité ou d'ordre public le justifient.
A cet égard, elle observe que le traitement REVOL poursuit les mêmes finalités que le traitement TES,
énoncées à l'article 18 du décret no 2005-1726 modifié, à savoir la mise en oeuvre des procédures
d'établissement, de délivrance, de renouvellement et de retrait des passeports diplomatiques ainsi que la
prévention et la détection de leur falsification et de leur contrefaçon. Or, dans son avis du 11 décembre 2007,
la commission avait considéré que si ces finalités apparaissaient légitimes elles ne justifiaient pas la
conservation en base centrale des empreintes digitales des demandeurs de passeport.
En outre, elle relève que le ministère des affaires étrangères n'est pas confronté, en matière de passeport
diplomatique, aux mêmes difficultés de fraude documentaire que ne l'est le ministère de l'intérieur s'agissant
des passeports ordinaires. La commission observe en effet que seules les empreintes digitales des personnes
dont la demande de passeport diplomatique a été acceptée par le ministère des affaires étrangères sont
collectées et enregistrées dans le traitement REVOL, de sorte que ces données ne sont aucunement utilisées aux
fins d'instruction des demandes de passeport diplomatique. Le ministère a précisé à cet égard que les données
biométriques conservées en base centrale ne seront utilisées que dans le cadre d'une réquisition judiciaire et
qu'aucun des destinataires du traitement ne pourra y avoir accès.
Dès lors, si la nécessité d'assurer une cohérence gouvernementale concernant les passeports biométriques
délivrés par l'Etat français ne peut être totalement écartée, la commission considère que la proportionnalité de
la conservation en base centrale des images numérisées du visage et des empreintes digitales des titulaires de
passeport biométrique, au regard des finalités du traitement REVOL, n'a pas été démontrée.
Elle relève plus particulièrement que la collecte et l'enregistrement des empreintes digitales de huit doigts ne
répondent à aucune finalité précise du traitement REVOL et que la conservation de ces éléments est
uniquement justifiée par la nécessité d'assurer une cohérence avec le dispositif du passeport biométrique
ordinaire. Dès lors, la commission estime qu'il conviendrait que, en tout état de cause, l'enregistrement des
empreintes digitales dans ce traitement soit limité aux seuls éléments nécessaires à la délivrance des passeports
diplomatiques biométriques, soit aux empreintes digitales des deux doigts du titulaire enregistrées dans le
composant électronique du passeport.
En ce qui concerne les exemptions à l'obligation de collecte des ces éléments biométriques, la commission
prend acte de ce que l'article 4 du projet de décret prévoit que les empreintes digitales des mineurs de moins
de douze ans ne sont pas recueillies. Elle relève que l'augmentation de cet âge minimal, par rapport aux
dispositions du décret no 2005-1726 modifié, est conforme aux évolutions du droit communautaire en la
matière, d'une part, et qu'elle prend en compte les réserves exprimées par la commission à de nombreuses
reprises, s'agissant de la collecte des identifiants biométriques des enfants, d'autre part. Elle prend également
acte de ce qu'un passeport d'une durée de validité maximale de douze mois, non soumis aux dispositions du
règlement communautaire précité, sera délivré aux personnes dans l'incapacité de se prêter au relevé de leurs
empreintes.
Sur les autres données à caractère personnel enregistrées dans le traitement :
L'article 9 du projet de décret prévoit en outre l'enregistrement dans le traitement REVOL de données
relatives au titulaire du passeport diplomatique, d'informations relatives au passeport diplomatique délivré, de
données relatives au fabricant du passeport et aux agents chargés de la délivrance du passeport ainsi que de
l'image numérisée des pièces du dossier de demande de passeport diplomatique.
A cet égard, la commission prend acte de ce qu'il n'est pas prévu d'enregistrer d'éléments relatifs au
domicile ou à la résidence des personnes concernées, contrairement à ce que prévoit l'article 19 du décret
no 2005-1726 modifié, qui avait fait l'objet de réserves de la part de la commission dans son avis du
11 décembre 2007.
La liste des autres informations et données à caractère personnel enregistrées dans le traitement n'appelle pas
d'observation particulière de la part de la commission.
Sur la durée de conservation des données :
Aux termes de l'article 10 du projet de décret soumis à la commission, les données à caractère personnel et
les informations enregistrées dans le traitement REVOL sont conservées pendant quinze ans à compter de la
date d'acceptation ou de refus de la demande lorsque le titre est délivré à un majeur et pendant dix ans lorsque
le titre est délivré à un mineur.
A cet égard, la commission relève que l'article 2 du décret no 2008-543 relatif au passeport diplomatique
précise que celui-ci ne peut être utilisé qu'aux fins pour lesquelles il est délivré et qu'il doit être restitué au
ministère des affaires étrangères à l'expiration de sa validité ou dès lors que son utilisation n'est plus justifiée.
Or, en vertu de l'article 1er de l'arrêté du 11 février 2009 relatif au passeport diplomatique, ces passeports
peuvent être délivrés pour la seule durée du mandat de certaines hautes fonctions de la République ou pour la
durée de certaines missions effectuées par des agents du ministère.
Dans la mesure où l'article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont conservées
« pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et
traitées », la commission considère que la durée de conservation des données enregistrées dans le traitement
REVOL devrait être dépendante de la validité exacte du passeport diplomatique délivré, par exemple de
cinq ans à compter de sa restitution au ministère des affaires étrangères.
Sur les destinataires des données et leurs modalités d'accès :
La commission relève que seuls les agents et personnels du ministère des affaires étrangères spécialement
affectés dans le service chargé de l'instruction des demandes de passeport diplomatique sont autorisés à
enregistrer les données et informations dans le traitement REVOL et à accéder directement à l'application. A
cet égard, elle estime que l'article 11 du projet de décret devrait être modifié, afin de mentionner explicitement
que ces agents sont destinataires des données enregistrées dans l'application REVOL. Dans la mesure où ces
agents n'auront pas accès aux empreintes digitales des personnes concernées, comme l'a confirmé le ministère
des affaires étrangères, la commission estime en outre que cet article devrait expressément prévoir que ces
accès se limitent aux données alphanumériques du traitement.
En ce qui concerne les modalités d'accès de ces agents au traitement, la commission prend acte de ce que
ceux-ci sont spécialement habilités à traiter les demandes de passeport diplomatique et de ce que leur accès à
l'application REVOL nécessite en outre une authentification par carte à puce et mot de passe.
Elle prend également acte de ce que le ministère des affaires étrangères a prévu de strictes mesures de
traçabilité des consultations du traitement effectuées par ces agents. L'article 16 du projet de décret prévoit
ainsi expressément que ces consultations feront l'objet d'un enregistrement comprenant l'identifiant du
consultant, la date, l'heure et l'objet de la consultation et que ces informations seront conservées pendant un an.
La traçabilité des accès au système permettant notamment à la commission, le cas échéant, de mener des
missions de contrôle, conformément à l'article 44 de la loi du 6 janvier 1978 modifiée, il conviendrait que ces
informations comprennent, non seulement les consultations du système, mais également les actions effectuées
dans l'application REVOL (modification ou suppression de données, transmission à d'autres autorités, etc.).
La commission observe que les autres destinataires du traitement REVOL, mentionnés aux articles 14 et 15
du projet de décret, ne disposent pas d'un accès direct à l'application mais doivent demander communication
de certaines données auprès des agents du ministère des affaires étrangères. Ainsi, les agents des services de la
police nationale, de la gendarmerie nationale et des douanes, chargés des missions de recherche et de contrôle
de l'identité des personnes, de vérification de la validité et de l'authenticité des passeports, ainsi que les agents
chargés des missions de prévention et de répression des actes de terrorisme peuvent être rendus destinataires, à
leur demande, des données enregistrées dans le traitement.
A cet égard, la commission considère que ces deux articles pourraient utilement être placés à la suite de
l'article 11 du projet de décret, afin de favoriser une meilleure intelligibilité des dispositions relatives aux
destinataires du traitement REVOL. Elle estime qu'il conviendrait qu'une procédure de désignation individuelle
et d'habilitation spéciale soit expressément prévue pour les agents mentionnés à l'article 14 du projet de décret
et que cet article mentionne expressément que ceux-ci ne peuvent avoir accès aux empreintes digitales
enregistrées dans la base centrale.
S'agissant de l'accès aux données du traitement par les services chargés de la lutte antiterroriste, à
l'exclusion des empreintes digitales, la commission relève que l'article 9 de la loi no 2006-64 du 23 janvier 2006
modifiée ne permet l'accès qu'au « système de gestion des passeports », qui semble désigner le traitement TES
mis en oeuvre par le ministère de l'intérieur aux fins de gestion des passeports ainsi que des passeports de
service et de mission. Elle s'interroge dès lors sur la validité du fondement juridique permettant d'étendre
l'accès de ces services au traitement REVOL.
Sur les sécurités du dispositif projeté :
En ce qui concerne les sécurités entourant la conservation des données biométriques tout d'abord, la
commission prend acte de ce que celles-ci seront stockées par l'Agence nationale des titres sécurisés (ANTS)
tout comme les données biométriques enregistrées dans le traitement TES et qu'elles seront indexées par un
index REVOL spécifique, connu du seul ministère des affaires étrangères. Cependant, elle estime qu'il serait
plus pertinent de prévoir un stockage de ces données dans une base distincte de celle contenant les empreintes
digitales des demandeurs de passeport ordinaire, qui devrait en outre faire l'objet de mesures assurant une
traçabilité complète et sécurisée des opérations. La commission recommande également que cette base soit
chiffrée et que les clés de chiffrement soient exclusivement détenues par les personnels du ministère des
affaires étrangères.
En outre, elle relève que le système REVOL s'appuie sur un réseau privé, protégé physiquement et
logiquement, et qu'il s'appuie sur une gestion des identités physiques et des habilitations des agents
garantissant que seuls les agents habilités du ministère ont accès aux données du système.
S'agissant de la sécurité des échanges entre les différents organismes impliqués dans la délivrance des
passeports diplomatiques, elle prend acte de ce que le ministère des affaires étrangères utilisera un double
chiffrement, des données et du tunnel, afin de transmettre directement les informations à l'Imprimerie
nationale, et que les clés de chiffrement sont gérées par des cartes agent du ministère.
Au regard de ces éléments et hormis les réserves exprimées s'agissant de la conservation des données
biométriques, la commission considère dès lors que les mesures de sécurité prévues par le ministère des affaires
étrangères sont conformes aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes concernées :
La commission relève que les mesures d'information des personnes concernées sont identiques à celles qui
ont été prévues par le ministère de l'intérieur concernant la délivrance des passeports biométriques ordinaires.
Ainsi, l'article 12 du projet de décret prévoit que la remise du passeport diplomatique s'accompagne d'une
copie sur papier des données enregistrées dans le composant électronique, d'une part, et d'une notice
d'information sur la nature des données à caractère personnel enregistrées dans le traitement REVOL, d'autre
part. La commission estime que ces modalités d'information sont conformes aux dispositions de l'article 32 de
la loi du 6 janvier 1978 modifiée.
Elle prend également acte des modalités d'exercice des droits d'accès et de rectification des personnes aux
données qui les concernent, prévues par ledit article 12 qui dispose que ces droits s'exercent directement auprès
du ministère des affaires étrangères, seule autorité habilitée à délivrer des passeports diplomatiques.
Cependant, la commission rappelle au ministère des affaires étrangères que, s'il n'envisage pas de permettre
aux personnes de s'opposer, pour des motifs légitimes, à ce que des données les concernant fassent l'objet d'un
traitement, il convient que l'acte réglementaire autorisant la mise en oeuvre du traitement REVOL écarte
expressément les dispositions de l'article 38 de la loi du 6 janvier 1978 modifiée.
Pour le président :
Le vice-président délégué,
E. DE GIVRY