Nouveau permis de conduire (biométrique ?) : la plus grande vigilance est de rigueur !

Alors que le débat actuel sur la proposition de loi relative à la protection de l'identité et son (problématique) fichier d'empreintes digitales centralisé est relancé à la suite du vote de l'Assemblée Nationale, le 12 janvier 2012, le nouveau permis de conduire, que certains ont vite qualifié de "biométrique", entrera en vigueur à partir du 19 janvier 2013. Or, sur ce sujet peu ou pas de discussions tandis que les informations disponibles (très peu nombreuses) ne sont pas claires, loin s'en faut. Alors qu'en est-il exactement ? Retour sur un sujet qui semble aller de soi alors qu'il mérite toute notre attention.

La directive 2006/126/CE

La révision du permis de conduire français est, selon la "Directive 2006/126/CE du Parlement européen et du Conseil du 20 décembre 2006 relative au permis de conduire (refonte)", le résultat d'une volonté de simplification et d'harmonisation au niveau européen. En instaurant un modèle européen unique, cette directive vise trois objectifs :

  • lutter contre la fraude ;
  • garantir la libre circulation au sein de l'Union Européenne (UE) ;
  • améliorer la sécurité routière.

De fait, elle décrit d'une part un modèle de document et d'autre part les différentes catégories de permis de conduire ainsi que les modalités et les conditions pour y accéder.

Le "Décret n° 2011-1475 du 9 novembre 2011 portant diverses mesures réglementaires de transposition de la directive 2006/126/CE relative au permis de conduire" transpose en droit français les dispositions de la directive relatives aux catégories de permis de conduire mais il ne donne aucun détail technique quant aux données collectées, au format du document ou au nouveau dispositif informatique (voir FAETON ci-après) mis en place dans le cadre de cette refonte du permis de conduire. Or ces éléments sont susceptibles d'avoir des impacts plus ou moins négatifs sur les libertés individuelles de tous les conducteurs.

La puce électronique

D'après la directive et un communiqué de presse du gouvernement, en date du 16 décembre 2011, fini le "petit papier rose" en trois volets. Dès le 19 janvier 2013, il sera remplacé par un document au format carte de crédit en polycarbonate. Le document comportera des informations sur ses deux faces. A minima, parmi les données imprimées figureront :

  • le nom et le prénom,
  • une photographie du titulaire,
  • date et lieu de naissance,
  • les catégories,
  • les restrictions (du fait d'inaptitudes physiques ou mentales).

Par rapport au "petit papier rose", la véritable nouveauté du futur document français vient de l'intégration d'une "puce" électronique pour le stockage de données. Cette caractéristique est une option permise par le 2) de l'article premier de la directive qui dispose que :

"...les États membres peuvent introduire dans le permis de conduire un support de mémoire (microprocesseur)..."

L'aspect optionnel de cette puce électronique est confirmé sans ambiguïté par le 2) d) de l'article 7 de la directive qui dispose que :

"La présence d'un microprocesseur conformément à l'article 1er n'est pas une condition de validité d'un permis de conduire. La perte ou l'illisibilité d'un microprocesseur, ou tout autre dommage subi par celui-ci, n'a aucun effet sur la validité du document."

À quoi cette puce servira t-elle ? Le communiqué de presse précédemment cité propose un embryon de réponse :

"[l]a puce permettra aux forces de l’ordre d’accéder à l’historique des infractions, après connexion au fichier central."

Quelles données y seront vraiment inscrites ? Où est la biométrie annoncée ? Quels seront les fichiers impliqués avec quelle(s) interconnexion(s) ?

Retour en arrière

C'est l'article du Figaro du 31 janvier 2011 intitulé "L'État prépare 40 millions de permis électroniques" qui le premier révèle le projet de nouveau permis de conduire et évoque la possibilité d'une puce électronique qui, outre l'état civil du titulaire et sa photo d'identité, pourrait aussi contenir ses empreintes digitales sous forme numérique :

"[Les permis de conduire] prendront la forme de cartes à puce semblables à des cartes bancaires, avec photo du titulaire gravée dans la masse, mais aussi enregistrée dans la puce, tout comme sa signature électronique. Éventuellement, pourront figurer ses empreintes digitales, ..."

Et l'article propose même une [illustration d'artiste](http://www.lefigaro.fr/assets/images/nouveaux-permis.jpg] sans équivoque à l'appui de son texte qui est immédiatement largement repris. Le caractère "biométrique" passe alors très vite du statut de possibilité à celui de quasi certitude. Florilège :

Plus récemment, le 10 novembre 2011, après la publication du décret n° 2011-1475, cité ci-dessus, et à la suite d'une conférence de presse du Ministère de l'intérieur consacrée au nouveau permis de conduire, le Figaro remet ça dans un nouvel article "Tout ce qui va changer avec le nouveau permis de conduire" dans lequel figure une nouvelle description de la forme du document :

"Le permis de conduire ne se présentera plus sous la forme d'un document papier mais d'une carte à puce biométrique, semblable à une carte bancaire. Outre les informations concernant l'identité du conducteur et ses coordonnées, il contiendra également les empreintes digitales du conducteur."

La présence d'une puce électronique, pouvant abriter l'état civil du titulaire, sa photo d'identité et (éventuellement) ses empreintes digitales fait étrangement ressembler ce nouveau permis de conduire à d'autres documents électroniques controversés comme le passeport qui, en son temps, a suscité de nombreux débats et, en octobre 2011, un avis négatif du Conseil d'État annulant la collecte de huit empreintes digitales (alors que deux seulement sont enregistrées dans la puce), ou la carte nationale d'identité dont le sort n'est pas encore complètement scellé.

Alors ce nouveau permis de conduire sera t-il vraiment "biométrique" ?

Biométrie

Pour la Commission Nationale de l'Informatique et des Libertés (la CNIL) :

"La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes."

Il s'agit principalement des empreintes digitales, du contour de la main, du réseau veineux des doigts de la main, de l'iris, de la voix, de la forme du visage.

Comme le souligne la CNIL, pour la loi dite "Informatique et libertés", les traitements qui mettent en œuvre des données biométriques appellent une vigilance particulière :

"Le caractère sensible de ces données justifie que la loi prévoie un contrôle particulier de la CNIL fondé essentiellement sur l’impératif de proportionnalité."

Dans les faits et d'une façon générale, l'utilisation de dispositifs biométriques par des organismes de droit privé est soumise au régime de l'autorisation préalable de la CNIL tandis que ceux mis en oeuvre par l'État relèvent du régime de l'avis préalable.

En permettant le stockage d'une version numérisée de la photo d'identité du titulaire et éventuellement de ses empreintes digitales, le nouveau permis entre à l'évidence dans le champ des nouvelles pièces d'identité électroniques dites "biométriques" comme le passeport dont les données enregistrées dans la puce électronique sont décrites par les articles 1 et 2 du "Décret n°2005-1726 du 30 décembre 2005 relatif aux passeports" modifié par le "Décret n° 2008-426 du 30 avril 2008", à savoir :

  • "le nom de famille, les prénoms dans l'ordre de l'état civil, la date et le lieu de naissance, le sexe et, si l'intéressé le demande, le nom dont l'usage est autorisé par la loi ;
  • la couleur des yeux, la taille ;
  • la nationalité ;
  • le domicile ou la résidence ou, le cas échéant, la commune de rattachement de l'intéressé ou l'adresse de l'organisme d'accueil auprès duquel il est domicilié ;
  • la date de délivrance et la date d'expiration du document, ainsi que l'autorité qui l'a délivré ;
  • le numéro du passeport."

"[...] Afin de faciliter l'authentification du détenteur des passeports mentionnés à l'article 1er, ces titres comportent un composant électronique contenant les données mentionnées au même article, à l'exception de la signature, ainsi que [...] l'image numérisée des empreintes digitales de deux doigts."

Le nouveau permis de conduire devrait donc faire l'objet d'une demande d'avis (certes non contraignant) à la CNIL pour que le ou les traitements associés soient légaux. Or à l'heure où cet article est publié, il n'y a trace ni d'un quelconque texte officiel précisant la nature des données collectées et celle des traitements effectués, etc. ni d'une demande d'avis à la CNIL.

Le flou autour du permis de conduire "biométrique"

Alors que le CECIL préparait cet article, il s'est étonné, à la suite d'une intéressante analyse sur le blog "Vos Papiers", de l'absence de textes officiels décrivant le dispositif technique autour du nouveau permis conduire. La réponse de l'auteur du blog se trouve ici : "Permis de conduire biométrique : une annonce sans base légale".

Ce qui surprend dans ce dossier, ce n'est pas tant l'absence de base légale (l'État a encore jusqu'au 18 janvier 2013 pour la publier !) que l'absence d'un regard critique sur un projet dont les conséquences peuvent devenir liberticides.

Comme l'indique le rapport sur la proposition de loi relative à la protection de l'identité du sénateur François PILLET, publié en avril 2011, à propos du passeport :

"Le décret n° 2008-426 du 30 avril 2008 instaurant le passeport biométrique est allé au-delà des prescriptions communautaires. Il a notamment prévu :

  • la création d’un fichier central, le fichier “TES” [Titres Électroniques Sécurisés], regroupant l’ensemble des données recueillies pour la confection du titre, notamment les empreintes digitales, qui constitue le premier fichier de ce type et de cette ampleur en France."

En intégrant une puce électronique dans son nouveau permis de conduire, la France se place déjà "au-delà" des prescriptions communautaires". A t-elle aussi l'intention de créer un autre fichier “TES” pour le permis de conduire ? Quelles en seront les finalités ? Autant de questions non posées qui restent bien évidemment sans réponse.

D'une façon générale, la CNIL, trouve disproportionnée l'introduction de la biométrie dans les nouveaux documents électroniques d'identité au seul titre de la lutte contre la fraude lorsque celle-ci est enregistrée dans une base centralisée :

"si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle."

Le nouveau permis de conduire ne devrait rien changer à cette position défendue de longue date par l'Autorité indépendante.

FAETON

"FAETON", c'est le nom de code donné au projet qui "vise à rénover profondément l'application informatique de gestion des permis de conduire (FNPC) administrée par le ministère de l'intérieur. Il traduit la mise en œuvre de la (...) directive européenne sur les permis de conduire du 20 décembre 2006". Ce projet a démarré en 2006 et comme beaucoup de projets informatiques, il a pris du retard à tel point qu'en 2009 pour le Sénat et les rapporteurs du projet 752 : "Le programme FAETON a pris plus de deux ans de retard et il sera sans doute difficile de respecter l'échéance communautaire du 19 janvier 2013.

Au-delà des questions calendaires et budgétaires, les informations sur ce projet sont plus que parcimonieuses. Néanmoins quelques indices ici et là tentent à confirmer le caractère "biométrique" du permis de conduire :

"Trois nouveaux titres sécurisés devraient être mis en place dans les mois à venir :

  • les cartes d'identité électroniques (CNIe) ;
  • les titres de séjour pour les étrangers (TSE) ;
  • le permis à points, avec le projet FAETON.

Votre commission souligne que la jurisprudence précitée du Conseil d'État encadrant le nombre d'empreintes digitales pouvant valablement être conservées sur un fichier devra être prise en compte pour l'ensemble de ces nouveaux titres."

Les indices sont là mais pourquoi tant de mystères ?

Conclusion

Alors que la France est à moins d'un an maintenant du lancement de son nouveau permis de conduire et que la directive européenne qui a conduit à sa mise en place date déjà de plus de cinq ans, le flou qui entoure ce projet est, pour le moins, difficile à comprendre et plusieurs aspects ne manquent pas d'étonner le CECIL :

  • il y a d'abord l'absence de détail sur les spécifications techniques du projet : nature des données collectées et en particulier collecte ou non d'empreintes digitales, durée de conservation, enregistrement ou non dans une base centralisée, interconnexion(s) éventuelle(s) avec d'autres systèmes, etc.
  • il y a ensuite l'absence de débat public sur ce sujet pour lequel l'éventuelle collecte d'empreintes digitales ne semble ni choquer ni surprendre personne voire même aller de soi !

Pourtant, dans la logique du zèle sécuritaire actuel de l'administration, un tel projet qui va concerner à terme près de 40 millions de conducteurs et qui va rassembler des données relatives à l'état civil, à la santé (celles liées aux inaptitudes), aux infractions et peut-être aussi des données "biométriques" stockées dans une base centralisée, devrait à tout le moins réveiller les consciences citoyennes et mettre les esprits critiques en alerte !

Bien sûr, l'absence de certitude quant au descriptif technique du projet ne facilite pas les réflexions qui restent à l'état d'hypothèses. Mais, même si "le pire n'est jamais sûr", il vaut mieux s'y préparer et sortir la tête du sable.

La France a t-elle besoin d'une nouvelle collecte de données biométriques dont la justification officielle serait (encore) la lutte contre la fraude ? La question reste entière, car avec le passeport biométrique, déjà en place, et le projet de loi sur la protection de l'identité, ce n'est plus un mais trois fichiers contenant des empreintes digitales que la France aura créé en moins d'une décennie !

Bonjour, sur le fond je ne

Submitted by Vos Papiers! (not verified) on Sun, 2012-01-29 17:41.

Bonjour,

sur le fond je ne peux que concorder avec votre insistance sur les menaces à l’égard de la vie privée - sans parler du coût faramineux d’un tel projet - & sur la nécessité d’en débattre publiquement.

A propos de vos remarques concernant l’annonce faite d’abord dans Le Figaro (31/01/11), relayée sur mon blog dans « Vers un permis de conduire biométrique », je souligne que je parlais bien, à l’époque, d’un « ballon d’essai ».

Votre commentaire a suscité la réponse publiée ce mois-ci, que vous commentez ; il est certain que l’Etat peut publier un nouveau décret entérinant le caractère biométrique du permis.

J’imagine qu’avec les élections, tout cela doit être en stand-by. Mais il ne fait aucun doute que, derrière ce grand « flou » savamment entretenu, les multiples ballons d’essai lancés par le gouvernement, tant en direction de la presse que sur son site de com’ officiel, ainsi que le décret confiant à l’ANTS la responsabilité du permis de conduire, indiquent un projet sérieux de biométriser le permis.

Il est regrettable que la presse se fasse le relai totalement acritique de ce projet, sans même expliquer qu’il s’agit encore d’un projet (d’où « une annonce sans base légale »). Sans rappeler, comme vous le faites à juste titre, que la CNIL est opposée à ce genre de programme. Que nul ne connaît l’étendue véritable de la « fraude à l’identité », comme le rappelle souvent Didier Bigo. Que rien, dans la directive, n’oblige la France à biométriser le permis. Enfin, sans évoquer, non seulement les risques sur la vie privée, mais le coût d’un tel projet, à l’heure où on est censé se « serrer la ceinture » (à tel point qu’enfin les PPP- partenariats privés-publics - sont inscrits dans les comptes... tant pis pour Bouygues & co !). Ce gouvernement a tant fait pour Bouygues, Vinci, et... Sagem & co...

Un détail : jusqu’à présent, le projet de carte d’identité biométrique est lié au fichier TES, le même que pour le passeport. Il s’agirait donc du même fichier biométrique pour la carte d’identité & le passeport, et non de deux fichiers différents. Par ailleurs, la France a créé d’autres fichiers contenant des empreintes digitales : celui de l’OFPRA pour les demandeurs d’asile (dès 1989 !), le FNAED, etc. etc. (Pour une liste & analyse, voir le mémoire "Des identités de papier aux identités biométriques. La CNIL et les autorités de protection des données personnelles face au développement de la biométrie des années 1980 à 2009"). Par contre, avec le passeport, la carte d’identité & le permis, ce qui était jusqu’alors réservé à certains groupes (les migrants, les « délinquants », etc.) est généralisé à l’ensemble de la population...