La publication du décret n°2016-1460 du 28 octobre 2016 autorisant la mise en oeuvre d’un traitement de données à caractère personnel dénommé « Titres Électroniques Sécurisés » (TES) a soulevé de nombreuses questions relatives notamment à son périmètre et aux risques auxquels il expose les personnes concernées.

Mathias Avocats a donc décidé de consacrer le conseil de cette semaine au décryptage de ce nouveau traitement.

Actualisation : Suite aux questions soulevées, par le fichier TES, Monsieur le Ministre Bernard Cazeneuve a été auditionné au Sénat le 15 novembre dernier.


Mégafichier TES : Bernard Cazeneuve s’explique… par publicsenat
Par ailleurs, après avoir lancé une consultation publique, le Conseil National du Numérique a publié la synthèses des contributions reçues et devrait prochainement publié son avis sur le fichier TES.

Le TES en bref

Le traitement TES, mis en oeuvre par le ministère de l’intérieur, a pour objet :

  • l’établissement, la délivrance, le renouvellement, l’invalidation des cartes nationales d’identité et des passeports et,
  • la prévention et la détection de la falsification et de la contrefaçon de ces titres.

Dans ce contexte, deux traitements de données à caractère personnel jusque-là mis en oeuvre devraient être supprimés, le Fichier National de Gestion relatif aux cartes nationales d’identité (FNG) et le traitement relatif à la délivrance du passeport, du passeport de service et du passeport de mission (système TES).

A la lecture de l’article 2 du décret précité, plusieurs catégories de données à caractère personnel seront traitées. Parmi les données relatives au demandeur ou au titulaire du titre, figure notamment l’image numérisée des empreintes digitales et du visage. Notons que le Règlement Général sur la Protection des Données définit les données biométriques comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. » (article 4, 14 du RGPD).

Plusieurs niveaux d’habilitation ont été définis quant à l’accès aux données traitées par le TES. A titre d’illustration, les agents des préfectures ou encore les agents diplomatiques chargés de la délivrance des passeports et des cartes nationales d’identité pourront accéder à tout ou partie des données. En revanche, les agents spécialisés du renseignement n’auront par exemple pas accès aux données biométriques. Toutes les consultations seront enregistrées. Les informations relatives à ces dernières seront conservées pendant une durée de cinq ans.

Toutefois, en dépit de la restriction d’accès, il convient de souligner que des réquisitions judiciaires pourront permettre un accès à l’ensemble des données à caractère personnel traitées dans le cadre d’enquêtes.

Quels sont les observations formulées par la CNIL ?

Tout d’abord, il convient de préciser que le TES a été autorisé par un décret pris en Conseil d’Etat après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL) sur le fondement de l’article 27, I, 2° de la loi Informatique et Libertés.

Cette procédure se justifie en l’espèce par la qualité du responsable du traitement, la nature de certaines données traitées et la finalité de leur traitement. En effet, le traitement est mis en oeuvre par le ministère de l’intérieur pour le compte de l’Etat. De plus, des données biométriques sont traitées aux fins d’authentification des personnes (image numérisée des empreintes digitales et du visage).

Précisons que dans le cadre de l’application du RGPD, il semblerait que ce type de traitement continue d’être soumis à l’avis de la CNIL.

En effet, le dernier alinéa de l’article 36 de RGPD relatif à la consultation préalable de l’autorité de contrôle suite à la réalisation d’une analyse d’impact prévoit que « 5.   Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. ». 

Cela étant précisé, l’avis de la CNIL en date du 29 septembre dernier comporte plusieurs réserves. Compte tenu de son périmètre, tout citoyen français peut s’attendre à ce que ses données à caractère personnel figurent dans le TES. Soulignons à ce titre qu’il ne sera pas possible de s’opposer au traitement mis en oeuvre, le droit d’opposition ayant été écarté (article 12 du décret précité).

Ensuite, fidèle à la doctrine qu’elle a développé sur le traitement des données biométriques, la CNIL formule le regret que la conservation desdites données sur un support individuel exclusivement détenu par la personne n’ait pas été retenue. La CNIL fait d’ailleurs référence à l’article 2 de la loi n°2012-410 du 27 mars 2012 relative à la protection de l’identité. Ce texte prévoit l’instauration d’une carte nationale d’identité dotée d’un composant électronique sécurisé comportant les données biométriques relatives au titulaire du titre. Or, cette fonctionnalité qui permet de conserver les données biométriques non dans une base centralisée mais sur un support individuel n’est pas utilisée.

Par ailleurs, compte tenu du risque pour les droits et libertés des personnes, la CNIL pointe l’absence de réalisation d’une « véritable étude d’impact« . Notons que dans le cadre de l’application du RGPD, le TES aurait vraisemblablement dû faire l’objet d’une analyse d’impact compte tenu de sa portée et du risque évoqué par la CNIL. Cependant, il est intéressant de noter que l’article 35§3 du RGPD fait une liste de cas dans lesquels l’analyse d’impact est « en particulier requise ». Parmi ces cas figure « le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 (…).« . Or, ledit l’article 9§1 du RGPD ne vise que le traitement de données biométriques aux fins d’identifier les personnes sans faire référence à la finalité d’authentification.

La CNIL formule enfin des réserves sur les mesures de sécurité mises en oeuvre lesquelles ne sont pas suffisamment adaptées à la nature de certaines données à protéger (données biométriques).