U.E et biométrie

LE ROLE DE L’U.E EN MATIERE D’ELABORATION ET DE FICHIERS RELATIFS AUX ELEMENTS BIOMETRIQUES

Dans le cadre du cours de protection des données personnelles

PLAN

I. LA MISE EN ŒUVRE DE LA BIOMETRIE A L’ECHELLE COMMUNAUTAIRE

A) Les bases juridiques fondant l’intervention de la Communauté

La CJAI (Coopération en matière de justice et d’affaires intérieures)
la PESC (Politique européenne de défense et de sécurité commune)
Communication de la Commission européenne du 24 novembre 2005, sur le renforcement de l’efficacité et de l’interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases
Les fondements accessoires et la réserve de subsidiarité

B) Les actes adoptés appréhendent des situations spécifiques

Règlement (CE) n° 1683/95 du 29 mai 1995, établissant un modèle type de visa
Règlement n°2275/2000 du 11 décembre 2000 concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace de la convention de Dublin
Règlement (CE) n° 1030/2002 du 13 juin 2002, établissant un modèle uniforme de permis de séjour pour les ressortissants de pays tiers
Règlement (CE) n° 2252/2004 du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres

II. LA MISE EN ŒUVRE DE DISPOSITIFS DE CONTROLE PAR L’UE

A) Le cadre juridique de la protection est unitaire et global

Décision 92/242/CEE du 31 mars 1992, en matière de sécurité des systèmes d’information
Directive 95/46/CEE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Règlement (CE) n°45/2001 du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et la libre circulation de ces données
Directive 2002/58/CE du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

B) Un cadre institutionnel diffus

Le contrôleur européen de protection des données, Règlement (CE) n°45/2001
Clauses contractuelles types pour le transfert de données vers des pays tiers
L’impact de du droit de l’UE sur les autorités nationales dédiées à la protection des données
Le groupe dit « G29 », en vertu de l’article 29 de la directive 95/46/CE
L’expertise et l’étique

INTRODUCTION

La biométrie désigne l’ensemble des technologies de reconnaissance physique ou biologique des individus. Elle est un moyen d’identification d’une personne permettant de mesurer et de vérifier une ou plusieurs de ses caractères physiques :
– empreintes digitales
– reconnaissance palmaire
– reconnaissance faciale
– l’iris
– la rétine
– l’ADN

Elle permet également de mesurer les caractéristiques comportementales :
– rythme cardiaque
– irrigation sanguine
– timbre de la voix
– odeurs

Ces techniques biométriques tendent à optimiser les vérifications de droit et les procédures d’authentification.

Cependant, ces technologies supposent le plus souvent l’enregistrement préalable des données biométriques qui serviront d’élément de comparaison pour permettre l’identification d’un individu.
Les informations qui résultent de ce traitement sont, à l’évidence, éminemment sensibles.
Il pourrait en résulter une surveillance généralisée des individus dans le monde réel.

Dans un tel contexte il s’agit ainsi de concilier les impératifs de sécurité et la protection des libertés fondamentales, de manière à circonscrire l’utilisation de tels procédés à d’impérieux motifs, de manière à circonscrire l’utilisation de tels procédés à d’impérieux motifs d’intérêt général.

« L’utilisation de la biométrie, en elle-même pose de nombreux problèmes philosophiques, sociologiques et politiques qui sont d’autant plus exacerbés lorsque les données biométriques sont massivement stockées dans des fichiers centralisés. Ces constatations font dès lors apparaître une confrontation entre deux intérêts divergents : d’une part la volonté de sécuriser toujours plus les rapports entre les individus, et d’autre part la nécessaire protection de la vie privée » PH. ANDRIEU et O. GAMET, Biométrie : une sécurité accrue au détriment des libertés individuelles ? DROIT-TIC, 15 août 2005.

Effectivement, la biométrie met gravement en cause le droit à la vie privée dès lors qu’elle induit une systématisation de la logique de traces et une confusion entre identification et authentification.

Fort de ce constat, et pressée par les événements internationaux, l’U.E est intervenue en ce domaine.

C’est ce cadre d’intervention qui fait l’objet de cette étude.

Cette mise en perspective de l’UE et de la question des données biométriques soulève nécessairement la problématique de la compétence, du champs d’action de la Communauté dans un domaine qui relève essentiellement de la coopération intergouvernementale.

Nous axerons notre étude selon le postulat suivant : le rôle de l’Union Européenne est transversal et sectoriel.
En effet, l’U.E va être amenée à intervenir à différends niveaux, mais dans la limite de ses compétences, en amont en aval.

D’une part, l’U.E impose aux Etats membres l’utilisation de procédés et/ou l’élaboration de fichiers comportant des données biométriques (I), et d’autre part, elle en contrôle l’organisation (II).

I. LA MISE EN ŒUVRE DE LA BIOMETRIE A L’ECHELLE COMMUNAUTAIRE

L’UE est régie par le principes de spécialité matérielle et fonctionnelle ; cela suppose qu’elle doit fonder ses interventions sur une base juridique, à peine de nullité (A). En vertu des 2èmes et 3èmes piliers, l’UE a pu adopter plusieurs actes, bien que leur portée juridique soit fortement circonscrite (B).

A) Les bases juridiques fondant l’intervention de la Communauté

Les 2èmes et 3èmes piliers du Traité CE, que sont la CJAI et la PESC, permettent à l’UE de se porter sur les problématiques liées aux dispositifs biométriques, de leur utilisation, et de l’organisation des fichiers afférents.

En conséquence, les domaines de la justice, de la sécurité, des contrôles frontaliers et douaniers, la lutte contre la criminalité … sont autant de domaines de prédilection de l’Union pour intervenir en matière de biométrie.

Il convient tout de même de remarquer que c ‘est principalement en réponse à l’exigence Américaine de documents d’identités sécurisés que l’UE a décidé d’engager une politique de coordination en matière de visas.

Par sa communication du 24 novembre 2005, sur le renforcement de l’efficacité et de l’interopérabilité des bases de données européennes dans le domaine de la justice et des affaires intérieures et sur la création de synergies entre ces bases, la Commission européenne entend répondre aux invitations successives du Conseil européen et de Conseil de l’Union européenne, réclamant des propositions visant à accroître l’efficacité et l’interopérabilité des bases de données européennes et à créer entre elle des synergies. La nécessité de renforcer le recours à la biométrie dans ce domaine est également un point crucial.

En la matière, le recours au concept de synergie par le droit communautaire est intéressant, car il semble justifier sur les plans techniques, économiques et organisationnels le recours à des bases de données croisées.
La synergie est définie par la Commission de la manière suivante : « Sur le plan technique, elle désigne une conjonction mutuellement avantageuse de plusieurs éléments. Sous l’angle économique, elle signifie un accroissement de la valeur des actifs ou une économie d’échelle. Enfin, d’un point de vue organisationnel, elle correspond à la combinaison de ressources jusque-là distinctes ou à une rationalisation de l’organisation existante pour plus d’efficacité ».

On comprend ainsi que les Institutions de l’Union Européenne peuvent s’affranchir de base juridique dès lors qu’il est question de créer une synergie dans une optique de sécurité…

En définitive il n’est pas tant question de compétence matérielle que de volonté politique…

B) Les actes adoptés appréhendent des situations spécifiques

Règlement (CE) n° 1683/95 du 29 mai 1995, établissant un modèle type de visa
Règlement n°2275/2000 du 11 décembre 2000 concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace de la convention de Dublin
Règlement (CE) n° 1030/2002 du 13 juin 2002, établissant un modèle uniforme de permis de séjour pour les ressortissants de pays tiers
Règlement (CE) n° 2252/2004 du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres
 

II. LA MISE EN ŒUVRE DE DISPOSITIFS DE CONTROLE PAR L’UE

A) Le cadre juridique de la protection est unitaire et global

Décision 92/242/CEE du 31 mars 1992, en matière de sécurité des systèmes d’information
Directive 95/46/CEE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Règlement (CE) n°45/2001 du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et la libre circulation de ces données
Directive 2002/58/CE du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Schématiquement, les critères dégagés par ces texte pour l’examen d’une demande de traitement de données biométriques sont les suivants :
Le type de donnée biométrique utilisé
Le mode de stockage
Le consentement
Au regard de ces critères, l’application du principe de proportionnalité permet aux autorités nationales de protection des données de refuser une demande de traitement reposant sur le stockage de données par comparaison dans une base donnée.
En effet, les technologies ne laissant pas de traces constituent en la matière. De fait, nombreux sont les cas ou les techniques mises en place s’avèrent disproportionnées par rapport au but recherché.

Mais en tout état de cause, il n’appartient pas aux institutions de l’UE de se substituer aux autorités nationales, en vertu du principe général d’indépendance procédurale, et dès lors que les textes communautaires sont correctement appliqués.

Exemple :

La CNIL est l’autorité indépendante qui a pour mission de protéger la vie privée ainsi que les libertés individuelles ou publiques.
La CNIL a été instituée par la loi Informatique et Liberté de 1978 puis modifiée en 2004 à la suite aux deux Directives européennes.

Elle intervient en termes de biométrie à travers 3 autorisations.
Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises.

Après une autorisation de la Cnil « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes » peuvent être mis en oeuvre.
Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie.
La première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail.
La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires.
La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail.

Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements.
Dernièrement la CNIL a rappelé le 5 janvier 2007 qu’en matière de biométrie, l’autorisation de la CNIL est obligatoire.
 

B) Un cadre institutionnel diffus

Le contrôleur européen de protection des données, Règlement (CE) n°45/2001

La création de l’institution du CEPD s’est faite tardivement par le biais du réglement (CE) 45/2001.

Il s’agit pour l’instant de MM. Peter Hustinx et Joaquin Bayo Delgado qui ont été nommés respectivement contrôleur européen de la protection des données (CEPD) et contrôleur adjoint pour un mandat de cinq ans qui a pris cours en janvier 2004.

Avec une équipe de seulement 20 personnes, le bureau du contrôleur est le plus petit des institutions européennes indépendantes.

Le CEPD est une autorité de contrôle indépendante dont l’objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l’UE.

Taches de contrôle, de conseil et de coopération :

1. Contrôler les traitements de données à caractère personnel effectués par l’administration de l’UE de façon à vérifier que ces traitements soient licites.
Il veille au respect du règlement (CE) n° 45/2001 concernant la protection des données, qui est fondé sur deux principes essentiels:
les données à caractère personnel ne peuvent être traitées que pour des finalités déterminées et légitimes, qui doivent être précisées au moment de la collecte des données / La personne dont les données sont traitées – la personne concernée – bénéficie d’un certain nombre de droits juridiquement protégés.

2. Donner des conseils sur les politiques et les textes législatifs qui touchent à la vie privée;

Le CEPD conseille la Commission européenne, le Parlement européen et le Conseil pour les propositions de nouveaux textes législatifs ayant une incidence sur la protection des données.

Cela contribue à un véritable débat d’ordre politique sur la manière dont un nouveau texte législatif peut être efficace tout en respectant comme il se doit les libertés des citoyens et en les entourant des garanties voulues.

3. Coopérer avec les autorités de même nature afin de garantir une protection des données qui soit cohérente.

Le CEPD coopère avec d’autres autorités chargées de la protection des données afin de promouvoir une protection des données qui soit cohérente dans toute l’Europe.

Le CEPD a prévenu les institutions européens qu’il aurait recours, à partir du printemps 2007, à ses pouvoirs de répression en cas de non-conformité aux normes relatives à la vie privée. En effet, il estime que la conservation des données de télécommunications étaient une priorité étant donné la pratique des Etats membres.

Un de ces objectifs pour 2007 est la création d’un réseau de responsables de la protection des données dans toutes les institutions européennes.

L’instance centrale de coopération avec les autorités nationales de contrôle est le Groupe de l’article 29/

Le groupe dit « G29 », en vertu de l’article 29 de la directive 95/46/CE

Le groupe a été établi en vertu de l’article 29 de la directive 95/46/CE. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée.
Il est composé d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.

Les principales missions du groupe "Article 29" sont de :
donner à la Commission un avis autorisé au nom des États membres sur les questions relatives à la protection des données;
promouvoir l’application uniforme des principes généraux des directives dans l’ensemble des États membres au moyen de la coopération entre les autorités de contrôle de la protection des données;
conseiller la Commission sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel et de la protection de la vie privée;
émettre des recommandations destinées au grand public et, en particulier, aux institutions communautaires sur toute question concernant la protection des personnes à l’égard du traitement des données à caractère personnel et de la protection de la vie privée dans la Communauté européenne.

L’expertise et l’étique

Exemple :

Biometric Identification Technology Ethics

Le Biometric Identification Technology Ethics est un groupe de réflexion européen financé par la Commission européenne et destiné à "promouvoir la recherche et le débat public sur les implications "bioétiques" des technologies émergentes d’identification biométrique".

Le BITE vise à inciter la recherche et à lancer une discussion publique sur la bioéthique de la technologie biométrique. Le nombre de dispositifs biométriques en service en Europe a sauté de 8.550 de1996 à plus que à 150.000 de 2004 et les revenus biométriques d’industries sont prévus de tripler d’ici les deux années à venir.
La biométrie évoquent plusieurs soucis sociaux, légaux et moraux.
Des soucis sont basés sur une variété de facteurs, y compris des craintes concernant la centralisation d’information biométrique d’identification et le potentiel pour l’abus de ces données. De 1998 à 2003 la Commission européenne a placé 28 projets de recherche sur la biométrie dans la portée de ses programmes d’ICT. La plupart d’entre eux a mentionné la nécessité de produire la recherche dans le domaine de l’éthique des implications biomédicales de la biométrie.

Bilbliographie

http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/1

http://www.libertysecurity.org/article890.html

http://www.alain-bensoussan.com/pages/367/

http://europa.eu/institutions/others/edps/index_fr.htm

http://www.ombudsman.europa.eu/release/fr/2006-10-30b.htm

http://fr.wikipedia.org/wiki/Biometric_Identification_Technology_Ethics

http://eur-lex.europa.eu/LexUriServ/site/fr/oj/2005/c_298/c_29820051129fr00010012.pdf

http://eur-lex.europa.eu/LexUriServ/site/fr/oj/2005/c_181/c_18120050723fr00130029.pdf

http://europa.eu/rapid/pressReleasesAction.do?reference=IP/06/800&format=HTML&aged=0&language=FR&guiLanguage=en

Aurore Castelnau

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.