La carte d’identité électronique et la protection des données personnelles

Le 26 septembre 2003, lors du 4e forum mondial de l’e-démocratie d’Issy-les-Moulineaux, le Ministre de l’Intérieur Nicolas Sarkozy a prononcé un discours dans lequel il annonce la mise en place de la carte d’identité électronique pour 2006.
Il convient de souligner que ce projet n’est pas nouveau puisque le gouvernement Jospin avait présenté en février 2002 la création d’une procédure baptisée « Titre fondateur » ayant pour objet de permettre la délivrance d’une carte d’identité numérique et qui autorisait ensuite dans des conditions simplifiées par rapport à la situation actuelle l’accès à d’autres titres ou à d’autres prestations administratives.
En sécurisant cette procédure, l’Etat souhaitait se donner les moyens de mieux garantir l’identité des citoyens français ; et ainsi d’éviter les usurpations partielles ou totales d’identité. …

Pour rappel, la délivrance des titres d’identité et le droit de contrôler l’identité sont des prérogatives centrales de l’Etat. C’est par la possession d’un titre d’identité qu’un citoyen détient la preuve qu’il est bien le titulaire de son identité.

La carte d’identité se distingue des autres pièces d’identité par la réunion de trois conditions :

  • elle est délivrée par l’Etat ;
  • elle vise des fins d’identification générale et non des usages spécifiques ;
  • elle contient des renseignements qui en comparaison des autres pièces d’identité en font un document privilégié pour identifier les personnes.

Le ministère de L’Intérieur envisage aujourd’hui une triple évolution de l’identité publique, à l’occasion du renouvellement des chaînes de production de la carte d’identité qui doit intervenir dans les années à venir :

  • la procédure de délivrance des titres d’identité,
  • la numérisation de la carte d’identité, et
  • à l’occasion de cette numérisation l’adjonction d’une fonction de signature électronique.

Ce projet de carte d’identité électronique s’inscrit dans la mise en place de programmes ambitieux dans la plupart des pays européens, tous articulés autour des mêmes concepts : généralisation des formalités administratives en ligne, possibilité d’y accéder via un site portail unique avec éventuellement la notion de « coffre fort électronique » gérant le suivi des démarches administratives, enfin le développement de dispositifs d’identification et d’authentification reposant sur la signature électronique et sur les cartes d’identité électroniques.
Ces projets parce qu’ils impliquent la multiplication du traitement des données personnelles, le développement d’interconnexions nouvelles voire la constitution de bases de données centralisées soulèvent des enjeux fondamentaux en terme de respect de la vie privée et de préservation des libertés individuelles et publiques.

1-Fonctionnement et données contenues dans la carte

Cette carte d’identité électronique sera une carte à puce, associant des données personnelles ordinaires dans ce type de document, et un système de certification électronique.
De plus, cette carte sera une carte dite à microcontrôleurs, c’est-à-dire une carte contenant un microprocesseur, doté d’une mémoire, capable de stocker :

  • des éléments relevant de l’identité de son titulaire
  • des éléments de sécurisation de la carte (empreintes digitales),
  • les applications nécessaires à l’authentification et à la signature électronique de son titulaire.

Ce microprocesseur sera associé à une infrastructure d’authentification numérique à clé publique. Cette technologie permet d’établir un certificat de sécurité attestant l’authentification de la personne et la confidentialité des échanges. _ Le titulaire pourrait, en utilisant un code PIN, accéder aux informations détenues dans le microprocesseur par des bornes interactives installées dans les services administratifs

Outre la photographie, la carte d’identité comprendra les principales données relatives à l’état civil de son titulaire (nom, prénom, sexe, date et lieu de naissance), sa taille, la mention de sa nationalité, son adresse, son code fiscal, les dates de délivrance et de caducité de la carte, le numéro d’identification du document et le code de la commune qui l’a délivré, ainsi que la signature numérisée du titulaire.

D’autres données pourront ultérieurement être stockées à la demande des communes dans le microprocesseur de la carte informatique : renseignements d’ordre sanitaire tel que le groupe sanguin, des informations tirées des listes électorales, empreintes digitales du titulaire de la carte…

La fonction de signature électronique pourrait alors être utilisée pour donner accès à des téléservices en ligne pour lesquels seraient exigés l’authentification. Cette fonctionnalité pourrait être utilisée dans certaines fonctions spécifiques à la gestion de l’identité pour le ministère de l’Intérieur (changement d’adresse, renouvellement de la carte…). Elle pourrait également servir au-delà de ce système d’authentification générique pour l’accès et l’utilisation des téléservices publics. C’est l’objectif de la carte d’identité électronique mise en place en Italie ou en Finlande.

2-Risques de la carte d’identité électronique

Au regard de l’égalité de traitement

En septembre 2002, un sondage du Forum des droits sur l’Internet (FDI) et de la Sofres établissait que 73 % des Français étaient favorables «  à ce que l’Etat délivre, aux personnes qui en font la demande, une carte d’identité électronique sécurisée (carte à puce) qui pourrait leur servir dans l’accomplissement de toutes leurs démarches administratives sur Internet ».

Toutefois, l’établissement de ce procédé ne se fait pas sans risques puisqu’il associe sur un même support deux fonctionnalités très différentes à savoir :

  • le contrôle de l’identité qui reste la première fonction de la carte d’identité, et
  • l’accès aux services de l’administration électronique.
    En tout état de cause, la carte d’identité n’est pas accessible aux étrangers qui pourtant doivent bénéficier d’une égalité d’accès aux services de l’administration. Ainsi, si une carte d’identité électronique était mise en place et qu’elle intégrait la fonction de signature, il conviendrait donc de prévoir une carte électronique dotée d’une fonction équivalente de signature pour les étrangers.

Au regard de la protection des données personnelles

Monsieur Sarkozy, lors de son discours du 26 septembre dernier, a assuré qu’en vertu de la Loi Informatique et Liberté du 6 juillet 1978, la carte d’identité électronique comme tout document numérisé pourra être modifié en vertu du droit de rectification. Cette loi prévoit en fait que le citoyen dispose de 4 droits concernant ses données personnelles à savoir :

  • un droit à l’information préalable
  • un droit d’accès
  • un droit de rectification
  • un droit d’opposition
    Ainsi, l’usager doit pouvoir connaître les informations le concernant qui sont présentes sur la carte (directement ou indirectement) ; ces obligations conduisent à ce que la conception technique de la carte et sa gestion soient robustes et appropriées pour empêcher l’accès non approprié aux données.

L’usage de la carte comme support de données personnelles inviolables nécessite donc des standards communs, des accords internationaux et de nouveaux instruments juridiques. Afin de répondre aux exigences légales et de s’assurer de la confiance de usagers dans cette technologie, il est important de tenir compte des aspects liés à la protection des données et de la vie privée.

En France, cette protection est assurée par la CNIL. Elle a rappéle dans son 22e rapport d’activité 2001 que le discours sur l’identité numérique ne doit pas dissimuler les enjeux liés à la concentration de certaines de nos données personnelles entre de même mains.

En effet, dans le cadre du développement de l’e-administration, la priorité est donnée à l’interopérabilité des systèmes d’information, au décloisonnement des fichiers, ce qui signifie un plus grand partage de l’information désormais accessible à un nombre d’utilisateurs de plus en plus importants. C’est l’idée d’une administration en réseaux : rassembler toute l’information disponible dans une même base commune

  • Dès lors, comment peut-on garantir la confidentialité des informations si elles deviennent accessibles à un très grand nombre d’utilisateurs ?
  • Comment peut-on éviter des détournements de finalité lorsque des informations collectées pour des fins différentes se voient rassemblées dans une base commune (qu’elles soient communiquées à des tiers qui n’ont pas à les connaître, qu’elles soient opposées de nombreuses années après).

Si aucun principe de protection des données n’interdit les interconnexions, le principe de finalité justifie les précautions particulières en matière d’interconnexion de fichiers ou de regroupement dans un même ensemble d’informations provenant de fichiers distincts. Ainsi, la législation de protection des données soumet les interconnexions entre fichiers à finalités différentes (même dans le cadre d’une même administration) à un régime d’autorisation particulier de contrôle.

La question se pose donc de savoir si le projet de carte d’identité électronique répond bien à ces exigences alors que, comme l’a souligné M. Sarkozy, les données personnelles qui seront numérisées dans la carte d’identité numérique ne sont pas encore clairement identifiées. Pour l’instant, la CNIL semble réticente à la création d’un fichier national contenant l’ensemble des empreintes digitales numérisées.
La CNIL a rendu un avis le 24 avril 2003 dans lequel elle recommandait que « la mémorisation et le traitement de données issues des empreintes digitales -soient- justifiés par des exigences impérieuses en matière de sécurité ou d’ordre public ». En fait, la création de ce dossier permettrait l’identification du citoyen, qui semble être le point le plus délicat du projet de carte d’identité électronique. _ Aujourd’hui, un relevé d’empreinte est effectué mais il ne fait pas l’objet d’un traitement numérisé et ne permet donc pas de remonter d’une empreinte digitale anonyme à l’état civil d’un individu.

Ce débat autour de la collecte et du traitement des données personnelles en vue de la création de la carte d’identité électronique rejoint celui de l’identifiant unique, au sujet duquel la position de la CNIL est la suivante : à chaque sphère son identifiant, pas d’utilisation générale d’un numéro national d’identification. Cette position est partagée par le Livre blanc (remis au gouvernement le 26 février 2002 est intitulé « Administration électronique et protection des données personnelles » qui insiste sur le fait que l’administration électronique « n’a pas pour objectif, et ne saurait avoir pour résultat, de permettre à l’administration d’augmenter le niveau de contrôle et de surveillance des citoyens ». Il ne cache pas son opposition à la création d’un identifiant unique en affirmant : « que l’identité numérique n’est pas et ne peut pas être unique, pas plus que l’identité au sens traditionnel des relations « papier » avec l’administration. De la même façon que nous disposons aujourd’hui, entre autres, d’un numéro de sécurité sociale, d’un numéro fiscal, d’une carte d’identité, d’un passeport, autant d’identifiants distincts les uns des autres, nous aurons demain plusieurs identifications électroniques ».

Des pays étrangers ont déjà commencé à adopter la carte d’identité électronique, tel est le cas, par exemple, en Belgique, mais aussi e n Chine qui devrait mettre une telle carte en circulation en 2004. Muni d’une puce, ce document contiendra de nombreuses informations personnelles ainsi que l’empreinte génétique de son titulaire. Les défenseurs des droits de l’homme en Chine redoutent que ce nouvel outil renforce la surveillance des citoyens et la répression à l’encontre des dissidents.
Dotée d’une puce électronique, la nouvelle carte contiendra le nom et prénom du titulaire, son lieu de naissance et sa nationalité, son lieu de résidence et son empreinte génétique représentée par un numéro de 18 chiffres. Ces chiffres correspondent à des informations lues sur un fragment d’ADN du titulaire. Cet échantillon d’ADN est obtenu à partir d’un prélèvement de sang, de cheveu ou de cellule. Officiellement destinée à mieux protéger l’identité des citoyens, la carte à puce devrait surtout servir au régime communiste à renforcer son contrôle sur les mouvements migratoires internes d’un pays comptant 1,3 milliard d’habitants, lui permettant ainsi de renforcer le contrôle centralisé et améliorer les capacités de réaction dans la lutte contre le crime, afin de rendre plus efficace et plus effectif le travail de la police.

Conclusion

La CNIL devra contrôler l’usage fait des données personnelles par l’Etat en cas de centralisation de celles-ci, et ce pour ne pas qu’elles servent à ’policer’ les gens. Tout ce débat autour de la carte d’identité électronique ramène quel peut au débat sur le pass Navigo délivre par la RATP. En effet, lors des premiers mois de sa mise en circulation, des utilisateurs refusaient de s’en servir, prétextant qu’il permettait à la RATP de contrôler les allées et venues de chaque porteur du pass.
Cela dit, aux vues du sondage du Forums des droits sur Internet précisant que 73% des français sont favorables à une carte d’identité électronique, il semble que la confiance mise par les français en l’Etat quant à la protection de leurs données personnelles soit plus élevées que dans la RATP.

Il apparaît donc bien que le projet de carte d’identité numérique comportant en plus des informations ordinaires contenues dans ce type de document une série de données personnelles n’est pas compatible avec notre législation sur la protection des données personnelles telle qu’elle est garantie par la CNIL. Il faudra donc concevoir la carte d’identité numérique comme l’équivalent numérisé du document papier, sans y ajouter d’autres données personnelles.

Bibiliographie :

Sites Internet :

Rapport :

  • Livre blanc sur l’administration électronique et la protection des données personnelles – Pierre TRUCHE – 26 février 2002
  • 22e rapport d’activité 2001 de la CNIL

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.