Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52008XX0806(01)

    Avis du contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n o  2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres

    JO C 200 du 6.8.2008, p. 1–5 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    6.8.2008   

    FR

    Journal officiel de l'Union européenne

    C 200/1


    Avis du contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres

    (2008/C 200/01)

    LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

    vu le traité instituant la Communauté européenne, et notamment son article 286,

    vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

    vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

    vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et notamment son article 41,

    A ADOPTÉ L'AVIS SUIVANT:

    1.   INTRODUCTION

    1.

    Le 18 octobre 2007, la Commission européenne a soumis au Parlement européen et au Conseil une proposition de règlement (ci-après dénommée «la proposition») visant à modifier le règlement (CE) no 2252/2004 (1). Le contrôleur européen de la protection des données (CEPD) n'a pas été consulté à ce sujet bien que, selon l'article 28, paragraphe 2, du règlement (CE) no 45/2001, la Commission consulte le CEPD lorsqu'elle adopte une proposition de législation relative à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

    2.

    Le CEPD déplore que la Commission n'ait pas respecté cette obligation légale et espère être consulté, à l'avenir, sur l'ensemble des propositions relevant de l'article 28, paragraphe 2. Le CEPD a décidé de délivrer un avis de sa propre initiative. Compte tenu du caractère obligatoire de l'article 28, paragraphe 2, le présent avis doit être mentionné dans le préambule de l'acte.

    3.

    La proposition a été élaborée dans les circonstances suivantes: le 13 décembre 2004, le Conseil a adopté le règlement (CE) no 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres, afin d'introduire des données biométriques dans les passeports. Avec les éléments de sécurité, les données biométriques ont pour objet de renforcer le lien entre le passeport et son titulaire. Le 28 février 2005, la Commission a adopté la première partie des spécifications techniques (2) relatives au stockage de l'image du visage du titulaire sur une puce sans contact. Le 28 juin 2006, elle a adopté une seconde décision (3), relative au stockage supplémentaire de deux empreintes digitales sur la puce du passeport.

    4.

    En vue d'harmoniser les dérogations relatives au passeport biométrique, de nouvelles mesures ont été introduites dans la proposition: les enfants âgés de moins de six ans sont dispensés de l'obligation de donner des empreintes digitales, de même que les personnes qui en sont physiquement incapables.

    5.

    Par ailleurs, la proposition introduit le principe obligatoire «une personne, un passeport», par mesure de sécurité additionnelle et afin d'offrir une protection supplémentaire pour les enfants.

    6.

    Le CEPD se félicite que la Commission ait tenu compte de l'argument relatif aux «procédures de rechange» mentionné dans ses avis précédents, comme elle l'indique dans l'exposé des motifs de la proposition.

    7.

    Le CEPD regrette néanmoins que la Commission n'ait réalisé aucune analyse d'impact pour cette proposition. On ne voit donc pas clairement comment la Commission a pu être en mesure d'évaluer adéquatement le caractère nécessaire et proportionnel de la proposition au regard des questions de protection des données sans disposer d'une analyse d'impact rigoureuse. Celle-ci ne doit pas se limiter aux coûts engendrés par les nouvelles mesures et peut s'appuyer sur des questions similaires ayant déjà été soulevées dans le cadre d'autres propositions, comme celle qui modifie les instructions consulaires communes (4). L'absence d'analyse d'impact met également en évidence la nécessité de revoir la limite d'âge mentionnée dans la proposition, ainsi qu'il est explicité au point 2.1 du présent avis.

    2.   ANALYSE DE LA PROPOSITION

    2.1.   Exemptions à l'obligation de fournir des éléments d'identification biométriques

    8.

    Si le CEPD a reconnu à plusieurs reprises les avantages présentés par l'utilisation d'éléments de biométrie, il a aussi insisté pour que celle-ci soit entourée de garanties strictes. Dans son avis sur le système SIS II (5), il a proposé une liste non exhaustive d'obligations ou d'exigences communes à respecter lorsque des données biométriques sont utilisées dans un système. Ces éléments permettront, dans une certaine mesure, d'éviter que le titulaire du passeport ne pâtisse des imperfections du système, comme les erreurs d'identification ou les impossibilités d'enrôlement.

    9.

    En conséquence, le CEPD soutient fermement la proposition de la Commission visant à introduire des exemptions à l'obligation de donner ses empreintes digitales, fondées sur l'âge de la personne ou sur son incapacité à fournir des empreintes digitales. Ces exemptions font partie des procédures de rechange à mettre en œuvre. Le CEPD salue également les efforts consentis par la Commission pour adopter une approche cohérente dans différents instruments traitant de questions similaires (une proposition d'exemption figure également dans la proposition de modification des instructions consulaires communes).

    10.

    Toutefois, le CEPD continue à juger ces exemptions insatisfaisantes, car elles ne répondent pas à l'ensemble des questions éventuelles et pertinentes induites par les imperfections inhérentes aux systèmes biométriques, et plus particulièrement à celles liées aux enfants et aux personnes âgées.

    Le cas des enfants

    11.

    Dans l'exposé des motifs de la proposition, la Commission évoque des projets pilotes, menés dans certains États membres, qui ont mis en évidence que les empreintes digitales «des enfants âgés de moins de 6 ans n'étaient pas d'une qualité suffisante pour permettre de vérifier l'identité de ces enfants sur la base d'une comparaison entre deux séries d'empreintes». Toutefois, on ne dispose d'aucune ou de peu d'informations sur ces projets pilotes et sur les circonstances dans lesquelles ils ont été réalisés; le terme «qualité suffisante» n'a été ni expliqué ni défini à ce jour.

    12.

    Le CEPD estime que l'âge en dessous duquel un enfant est dispensé de donner ses empreintes digitales doit être défini par une étude cohérente et approfondie ayant pour objet de déterminer la précision des systèmes en conditions réelles et de rendre compte de la diversité des données traitées. Les projets pilotes, en tant que tels, fournissent un volume d'informations insuffisant, qui ne permet pas au législateur communautaire de fonder les choix essentiels qu'il doit arrêter.

    13.

    Le CEPD a déjà souligné, dans son avis (6) concernant la proposition de règlement modifiant les instructions consulaires communes, la nécessité qu'une telle étude soit menée préalablement à toute définition de l'âge limite. Ni la littérature scientifique disponible, ni l'analyse d'impact précédemment menée par la Commission dans le cadre de la proposition relative au système d'information sur les visas (7) n'ont présenté de preuves concluantes sur lesquelles fonder avec certitude un âge limite pour les enfants.

    14.

    En conséquence, le CEPD recommande que l'âge limite défini dans la proposition soit considéré comme provisoire. Après trois ans, il devrait être revu sur la base d'une étude approfondie, réalisée à grande échelle. Compte tenu de la sensibilité des données biométriques et de l'aspect concurrentiel des systèmes biométriques, le CEPD suggère que cette étude soit gérée par une seule institution européenne disposant d'un savoir-faire avéré et d'installations d'essais dans ce domaine (8). Toutes les parties prenantes, qu'elles soient issues de l'industrie ou des autorités des États membres, devraient être invitées à contribuer à l'étude.

    15.

    Avant que l'âge limite ne soit clairement défini par cette étude et afin d'éviter toute mise en œuvre hasardeuse, le CEPD recommande que la limite appliquée corresponde à celles qui sont déjà adoptées pour des populations étendues dans le règlement portant création du système Eurodac (9) concernant les demandeurs d'asile (l'âge en dessous duquel un enfant ne peut donner ses empreintes digitales est de 14 ans) ou dans le programme intitulé «US visit» (10) (14 ans également). Ces limites pourraient être légèrement abaissées dans la mesure où les données biométriques sont ici exclusivement utilisées à des fins de vérification (comparaison de deux empreintes — «one to one») conformément à l'article 4, paragraphe 3, du règlement (CE) no 2252/2004. En effet, la procédure de vérification donne lieu à moins d'erreurs que celle d'identification (comparaison avec un grand nombre d'empreintes — «one to n»).

    Le cas des personnes âgées

    16.

    Les imperfections des systèmes utilisant les empreintes digitales concernent non seulement les jeunes enfants, mais aussi les personnes âgées. Il a en effet été démontré que la précision et la possibilité d'exploiter des empreintes digitales diminuent avec l'âge (11), et que les aspects d'ordre pratique et ergonomique sont aussi particulièrement importants. Dans la logique d'une limite d'âge pour les enfants, le CEPD recommande d'introduire une exemption supplémentaire pour les personnes âgées, à savoir une limite d'âge pouvant reposer sur des expériences similaires déjà en place (le programme «US Visit» prévoit un plafond de 79 ans). L'étude précédemment suggérée devra également porter sur la qualité des empreintes digitales des personnes âgées pour les procédures d'enregistrement et de concordance.

    17.

    Enfin, le CEPD rappelle que ces exemptions ne doivent en aucun cas stigmatiser les personnes dispensées ou constituer une discrimination à leur encontre, qu'elles soient exemptées en raison de leur âge, à titre de précaution, ou parce que leurs empreintes digitales sont manifestement illisibles.

    2.2.   «Une personne, un passeport»

    18.

    Ainsi qu'il est expliqué sur le site de l'Organisation de l'aviation civile internationale (OACI), le concept «une personne, un passeport» (12) a été recommandé dans le but principal d'offrir une éventuelle solution au manque d'harmonisation des passeports familiaux et de tenir compte de l'émergence des passeports à lecture optique. Le CEPD reconnaît que ce concept pourrait présenter l'avantage supplémentaire de contribuer à la lutte contre la traite des enfants. Toutefois, le passeport a pour principal objet de faciliter les déplacements des citoyens européens et non de contribuer à la lutte contre les enlèvements d'enfants, pour laquelle des mesures supplémentaires concrètes et efficaces sont actuellement mises au point.

    19.

    Selon une étude récente (13), ce sont les mineurs voyageant seuls qui sont le plus exposés au risque d'être enlevés ou de devenir victimes de la traite des enfants. Il est évident que, pour cette catégorie, être en possession d'un document de voyage personnel constitue une protection supplémentaire. Il convient de souligner néanmoins que, selon l'Association internationale du transport aérien (AITA), les enfants de moins de six ans n'ont pas le droit de voyager sans la personne qui détient l'autorité parentale à leur égard.

    20.

    Dans l'exposé des motifs de la proposition, la Commission justifie cette mesure de sécurité en donnant l'exemple d'un parent et d'enfants enregistrés sur le même passeport: les données biométriques du parent sont stockées sur la puce, mais pas celles des enfants. Il convient de souligner qu'en tout état de cause, les données biométriques des enfants qui n'ont pas atteint l'âge minimum proposé par la Commission ne seront pas stockées sur le passeport. Dans ce cas, les coûts et procédures supplémentaires qui incombent aux parents, ainsi que la collecte supplémentaire de données à caractère personnel concernant les enfants, semblent excessifs par rapport à l'éventuelle valeur ajoutée qu'offre ce principe.

    21.

    Il y a lieu de noter également que le fait de rendre techniquement possible l'accès aux données ou l'enregistrement de ces dernières (en fournissant un passeport biométrique à des enfants qui en sont exemptés) constitue, dans de nombreux cas, une puissante incitation à y accéder ou à les collecter de facto. On peut donc, sans trop s'avancer, partir du principe que les moyens techniques seront utilisés dès qu'il seront disponibles; en d'autres termes, ce sont parfois les moyens qui justifient la fin et non le contraire. Il se pourrait que l'on assiste par la suite à des demandes en faveur d'une législation moins stricte (et d'une limite d'âge moins élevée) pour pouvoir exploiter plus facilement ces possibilités techniques. Les modifications de la législation ne pourraient alors qu'entériner des pratiques déjà établies.

    22.

    Le CEPD recommande que le principe «une personne, un passeport» ne soit appliqué qu'aux enfants ayant atteint l'âge minimum fixé par la Commission ou celui qui sera revu et confirmé par l'étude susmentionnée.

    2.3.   Documents «sources»

    23.

    Au sein de l'Union européenne, les passeports sont délivrés conformément à la législation nationale des différents États membres. Celle-ci exige que soient présentés divers documents, tels que le certificat de naissance, le certificat de citoyenneté, le livret de famille, l'autorisation parentale, le permis de conduire, une facture émise par un fournisseur de services publics, etc. Ces documents sont généralement considérés comme pouvant servir à l'établissement d'un passeport (en anglais, «breeder documents», documents «sources»).

    24.

    Il existe à cet égard d'importantes divergences entre les législations des différents États membres de l'Union européenne. La manière dont les documents «sources» sont établis ainsi que les documents requis pour la délivrance d'un passeport attestent d'une grande diversité de situations et de procédures, qui ne peut que compromettre la qualité des données intégrées dans les passeports, voire accroître le risque d'usurpation d'identité.

    25.

    Les documents «sources», qui comportent généralement moins d'éléments de sécurité, risquent davantage d'être falsifiés ou contrefaits qu'un passeport amélioré comportant des données biométriques protégées par des systèmes de chiffrement a clef publique.

    26.

    Bien que le CEPD se félicite que la Commission ait pour objectif d'améliorer les mesures de sécurité liées aux passeports, il souhaite souligner que le passeport n'est qu'un maillon d'une chaîne de sécurité qui a pour point de départ les documents «sources» et se termine aux postes de contrôle aux frontières, et que la sûreté de cette chaîne est limitée à celle de son maillon le plus faible. En conséquence, le CEPD recommande que la Commission propose des mesures supplémentaires pour harmoniser le processus d'établissement des documents «sources» et définir une liste commune de ceux qui sont requis pour l'obtention d'un passeport.

    2.4.   Mise en œuvre du règlement (CE) no 2252/2004 et questions nouvelles

    Stockage des données biométriques

    27.

    Selon une étude approfondie (14) menée par le groupe de travail «Article 29» sur la protection des données à la demande de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen et axée sur les pratiques de mise en œuvre du règlement (CE) no 2252/2004, plusieurs États membres ont prévu l'utilisation d'une base de données centrale pour le stockage des données biométriques intégrées dans le passeport. Bien qu'il soit possible aux États membres de n'utiliser la base de données centralisée qu'à des fins de vérification des données biométriques, conformément aux strictes limites imposées par le règlement, cette possibilité présente des risques supplémentaires à l'égard de la protection des données à caractère personnel, comme l'apparition d'autres finalités non prévues par le règlement, voire la pratique d'une «pêche aux informations» dans la base de données, qu'il sera difficile de modérer (15).

    28.

    Le CEPD recommande à la Commission de proposer de nouvelles mesures d'harmonisation afin que les données biométriques collectées pour être intégrées dans les passeports délivrés par les États membres de l'UE ne puissent être stockées que sur un support décentralisé (sur la puce sans contact du passeport).

    Procédures d'enrôlement et de concordance

    29.

    La décision C(2006) 2909 de la Commission (16), du 28 juin 2006, ne définissait que le format et la qualité des images d'empreintes digitales devant être traitées, ainsi que les moyens de les protéger (contrôle d'accès de base). La proposition ne comporte d'indication ni sur l'éventuel taux d'enrôlement impossibles, ni sur les taux liés à la procédure de concordance. Elle prévoit certes une procédure de rechange pour les jeunes enfants (limite d'âge) mais le seuil en dessous duquel les empreintes digitales ne sont pas de qualité suffisante pour être enregistrées n'est pas défini.

    30.

    Par ailleurs, pour ce qui est de la procédure de concordance, la proposition ne définit pas non plus le taux de rejets injustifiés (FRR) devant être appliqué à la frontière, pas plus que la manière de traiter les personnes qui, selon toute apparence, ont été indûment rejetées. Cette absence d'harmonisation des taux pourrait entraîner des divergences dans les procédures de traitement des données biométriques des citoyens de l'Union européenne, en fonction de la frontière à laquelle se présente une personne pour entrer dans l'espace Schengen, et aboutir ainsi à une inégalité de traitement des citoyens européens face au risque résiduel présenté par les systèmes biométriques. La procédure utilisée étant une vérification entre deux séries d'empreintes (one to one), le CEPD reconnaît que le FRR sera inférieur à celui qui est appliqué dans le cas d'une procédure d'identification et, de ce fait, que le nombre de cas à traiter sera plus faible. Toutefois, les procédures de rechange doivent aussi être définies de manière harmonisée et satisfaisante pour les personnes concernées.

    31.

    Le CEPD recommande à la Commission de proposer, en concertation avec les autorités des États membres, des taux communs pour les procédures d'enrôlement et de concordance qui doivent être assorties de procédures de rechange.

    3.   CONCLUSION

    32.

    Les modifications qu'il est proposé d'introduire dans les règles et normes existantes en matière d'éléments de sécurité et de biométrie dans les passeports et les documents de voyage délivrés par les États membres soulèvent des questions similaires à celles qui ont été examinées dans des avis précédents; le CEPD se félicite toutefois que la nécessité de disposer de procédures de rechange soit désormais prise en compte.

    33.

    Le CEPD accueille également avec satisfaction l'introduction d'exemptions reposant sur l'âge de la personne ou sa capacité à donner des empreintes digitales, ainsi que l'effort consenti pour adopter une approche cohérente dans le cadre d'instruments différents traitant de questions similaires.

    34.

    Toutefois, le CEPD continue à juger ces exemptions insatisfaisantes car elles ne permettent pas de répondre à l'ensemble des questions éventuelles et pertinentes induites par les imperfections inhérentes aux systèmes biométriques, et plus particulièrement à celles liées aux enfants et aux personnes âgées.

    35.

    L'âge limite pour exempter les enfants doit être défini par une étude cohérente et approfondie ayant pour objet de déterminer la précision des systèmes en conditions réelles et de rendre compte de la diversité des données traitées. Cette étude doit être menée par une institution européenne disposant d'un savoir faire avéré et d'installations appropriées dans ce domaine.

    36.

    Avant que l'âge limite ne soit défini par l'étude et afin d'éviter toute mise en œuvre hasardeuse, la limite provisoire doit correspondre à celles qui ont déjà été adoptées pour des populations étendues, soit dans le système EURODAC, soit dans le programme «US Visit» (14 ans), ou être légèrement inférieure puisque seule la procédure de vérification entre ici en ligne de compte.

    37.

    Il convient d'introduire une exemption supplémentaire pour les personnes âgées, en fixant un âge limite qui peut reposer sur des expériences similaires («US Visit»: 79 ans). Ce type d'exemptions ne doit en aucun cas stigmatiser les personnes concernées ou constituer une discrimination à leur encontre.

    38.

    Le principe «une personne, un passeport» ne doit être appliqué qu'aux enfants ayant atteint l'âge minimum fixé.

    39.

    Compte tenu de l'actuelle diversité des dispositions nationales relatives aux documents requis pour la délivrance de passeports, la Commission devrait proposer des mesures supplémentaires en vue d'harmoniser l'établissement et l'utilisation de ces documents «sources».

    40.

    La Commission devrait aussi proposer de nouvelles mesures d'harmonisation afin que les données biométriques collectées pour les passeports des États membres ne puissent être stockées que sur un support décentralisé.

    41.

    Enfin, la Commission propose, en concertation avec les autorités des États membres, des taux communs pour les procédures d'enrôlement et de concordance qui doivent être assorties de procédures de rechange.

    Fait à Bruxelles, le 26 mars 2008.

    Peter HUSTINX

    Contrôleur européen de la protection des données


    (1)  COM(2007) 619 final.

    (2)  La décision C(2005) 409 peut être consultée à l'adresse suivante:

    http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc_freetravel_documents_fr.htm

    (3)  La décision C(2006) 2909 peut être consultée à l'adresse suivante:

    http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc_freetravel_documents_fr.htm

    (4)  Proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa [COM(2006) 269 final].

    (5)  Avis du 19 octobre 2005 sur trois propositions concernant le système d'information Schengen de deuxième génération (SIS II) [COM(2005) 230 final, COM(2005) 236 final et COM(2005) 237 final] (JO C 91 du 19.4.2006, p. 38).

    (6)  Avis du 27 octobre 2006 concernant la proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l'introduction d'éléments d'identification biométriques et de dispositions relatives à l'organisation de la réception et du traitement des demandes de visa (COM(2006) 269 final) — 2006/0088 (COD) (JO C 321 du 29.12.2006, p. 38).

    (7)  Proposition de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour [COM(2004) 835 final] présentée par la Commission le 28 décembre 2004.

    (8)  Selon le CEPD, cette mission pourrait être confiée au Centre commun de recherche de la Commission européenne.

    (9)  Règlement (CE) no 2725/2000 du Conseil du 11 décembre 2000 concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace de la convention de Dublin (JO L 316 du 15.12.2000, p. 1).

    (10)  Les dérogations aux exigences du programme «US visit» figurent à l'adresse suivante:

    http://www.dhs.gov/xtrvlsec/programs/editorial_0527.shtm

    (11)  Fingerprint Image Quality Evaluation: Elderly and Younger Populations (Évaluation de la qualité de l'image des empreintes digitales chez les populations âgées et jeunes), N.C. Sickler & S.J. Elliott, Ph.D., Department of Industrial Technology, School of Technology, Purdue University, West Lafayette, IN 47907;

    A. Hicklin and R. Khanna, The Role of Data Quality in Biometric Systems (Le rôle de la qualité des données dans les systèmes biométriques), MTS, 9 février 2006.

    (12)  http://www.icao.int/icao/en/atb/fal/passport_concept.htm

    (13)  L'étude peut être consultée à l'adresse suivante:

    http://www.childfocus.be/fr/activities_5_2.php?id=112

    Pour un résumé (en anglais) de cette étude:

    http://www.childfocus.be/uploads/documents/114-414-samenvatting %20eng %20definitief.doc.

    (14)  Voir lettre du 10 décembre 2007, et son annexe, du président du groupe de travail «Article 29» au président de la commission des libertés, de la justice et des affaires intérieures au sujet des passeports délivrés dans l'Union européenne, aux adresses suivantes:

    http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2007_12_10_letter_cavada_biopassports_en.pdf

    http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2007_12_10_letter_cavada_biopassports_replies_en.pdf

    (15)  Voir avis no 3/2005 du groupe de travail «Article 29» du 30 septembre 2005 (GT 112).

    (16)  Voir note de bas de page no 3.


    Top