Décision n° 2012-652 DC du 22 mars 2012 - Saisine par 60 députés
Nous avons l'honneur de vous déférer, conformément au deuxième alinéa de l'article 61 de la Constitution, la loi relative à la protection de l'identité.
Les requérants considèrent qu'en effet, la création du fichier telle qu'inscrite à l'article (5) de la loi porte non seulement une atteinte excessive au droit au respect de la vie privée, mais porte également en germe la destruction pour l'avenir des possibilités d'exercice effectif du droit fondamental de résistance à l'oppression, corollaire indispensable de la liberté individuelle elle-même.
S'ils ne mettent pas en cause l'objectif que s'est assigné le législateur de lutter contre l'usurpation d'identité, ils vous demanderont néanmoins de statuer à l'aune des mots du poète allemand Martin Niemoller :
« Quand ils sont venus chercher les communistes,
Je n'ai rien dit,
Je n'étais pas communiste.
Quand ils sont venus chercher les syndicalistes,
Je n'ai rien dit,
Je n'étais pas syndicaliste.
Quand ils sont venus chercher les juifs,
Je n'ai pas protesté,
Je n'étais pas juif.
Quand ils sont venus chercher les catholiques,
Je n'ai pas protesté,
Je n'étais pas catholique.
Puis ils sont venus me chercher,
Et il ne restait personne pour protester»
A l'instar de ce que fait la Cour européenne des droits de l'homme, les auteurs de la saisine vous demanderont en effet de procéder à l'examen de cette disposition dans le cadre juridique constitutionnel et légal existant, mais en tenant également compte de l'utilisation qui pourrait en être faite à l'avenir dans un cadre constitutionnel moins protecteur des libertés fondamentales.
C'est ainsi, d'ailleurs à propos d'une requête portant précisément sur un fichier contenant entre autres des empreintes digitales, que dans sa décision S. et Marper c. Royaume-Uni du 4 décembre 2008, la Grande Chambre de la Cour a réaffirmé « son opinion selon laquelle les préoccupations d'un individu quant aux utilisations susceptibles d'être faites à l'avenir d'informations privées conservées par les autorités sont légitimes et pertinentes pour la question de savoir s'il y a eu ou non ingérence » (1).
A cet égard, le Rapporteur de la Commission des Lois du Sénat sur le texte a été on ne peut plus éloquent en déclarant lors des débats en deuxième lecture :
« Monsieur le ministre, nous ne pouvons pas, élus et Gouvernement, en démocrates soucieux des droits protégeant les libertés publiques, laisser derrière nous - bien sûr, en cet instant, je n'ai aucune crainte, en particulier parce que c'est vous qui êtes en fonction - un fichier que d'autres, dans l'avenir, au fil d'une histoire dont nous ne serons plus les écrivains, pourraient transformer en un outil dangereux, liberticide. Nous aurions alors rendu possible, dans le futur, la métempsycose perverse d'une idée protectrice ! Et les victimes pourraient dire, en nous visant : ils avaient identifié le risque et ils ne nous en ont pas protégés. Monsieur le ministre, je ne veux pas qu'à ce fichier ces victimes puissent alors donner un nom, le vôtre, le mien ou le nôtre ».(2)
Ce n'est donc pas sans une certaine solennité que les requérants s'adressent ici à votre haute juridiction. Car c'est une certaine conception de la démocratie qui est là en cause. Cette démocratie doit-elle faire preuve d'une si grande confiance en elle qu'elle puisse se permettre d'adopter des mesures potentiellement liberticides pour l'avenir au risque de faire preuve d'une imprudente arrogance ? Ou doit-elle au contraire admettre qu'elle n'est peut-être pas éternelle, et dès lors s'assurer qu'elle ne met pas en place aujourd'hui les instruments de la répression de demain et faire ainsi preuve d'une sage humilité ?
A tous égards, que ce soit sur le principe même de sa création (I), sur ses modalités de construction (II), ou sur celles son utilisation (III), ce fichier appellera votre censure.
En outre, l'article (7 bis A) devra également être censuré (IV).
I. SUR LE PRINCIPE DE LA CREATION D'UN FICHIER NATIONAL BIOMETRIQUE
Conformément à l'article (5) de la loi, il est créé un « un traitement de données à caractère personnel facilitant leur recueil et leur conservation ». Dès lors qu'il comprend, outre le nom de famille, le ou les prénoms, le sexe, la date, le lieu de naissance, le domicile, la taille et la couleur de ses yeux du demandeur d'une carte nationale d'identité, ses empreintes digitales et sa photo, il constitue bien un fichier d'identité biométrique.
En tant que tel donc, ce fichier représente une ingérence dans l'exercice du droit de toute personne au respect de sa vie privée auquel vous avez reconnu pleine valeur constitutionnelle au regard de l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 (3)
. Comme l'a indiqué la Cour européenne des droits de l'homme dans un récent et remarqué revirement de jurisprudence : les « empreintes digitales contiennent objectivement des informations uniques sur l'individu concerné et permettent une identification précise dans un grand nombre de circonstances. Les empreintes digitales sont donc susceptibles de porter atteinte à la vie privée, et leur conservation sans le consentement de l'individu concerné ne saurait passer pour une mesure neutre ou banale » (4)
.
Dès lors, et comme il ressort de votre jurisprudence constante, il appartenait au législateur d'assurer « une conciliation qui (ne soit) pas manifestement déséquilibrée » entre le respect de la vie privée et d'autres exigences constitutionnelles liées notamment à la sauvegarde de l'ordre public (5), en l'occurrence la lutte contre l'usurpation d'identité.
Les requérants considèrent pourtant que cet équilibre n'a pas été atteint, la création du fichier n'étant en réalité ni absolument nécessaire (a), ni proportionnée à l'objectif poursuivi par le législateur (b).
Bien sur les auteurs de la saisine n'ignorent que vous n'avez « pas un pouvoir général d'appréciation et de décision de même nature que celui du Parlement », et que si vous acceptez de « rechercher si les objectifs que s'est assignés le législateur auraient pu être atteints par d'autres voies », c'est à la seule condition que les modalités retenues par la loi soient « manifestement inappropriées à l'objectif visé » (2011- 625 DC du 10 mars 2011, cons. 7).
Ainsi, deux considérations préalables et fondamentales commanderont que l'examen auquel vous allez procéder soit particulièrement strict, l'une tenant au contenu du fichier, l'autre tenant à son ampleur.
Quant au contenu biométrique du fichier d'abord, la CNIL rappelle-t-elle que « les données biométriques ne sont pas des données à caractère personnel « comme les autres ». Elles présentent en effet la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s'affranchir. A la différence de toute autre donnée à caractère personnel, la donnée biométrique n'est donc pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l'a générée et tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l'identité de celle-ci ». Elle insiste en outre sur le fait que la « nécessité de prêter une attention particulière aux données biométriques doit être renforcée lorsque la biométrie utilisée est dite « à trace », comme les empreintes digitales par exemple », celles-ci ayant en effet « la particularité de pouvoir être capturées et utilisées à l'insu des personnes concernées, comme par exemple à des fins d'usurpation d'identité » (6).
Quant à l'ampleur du fichier ensuite, contrairement aux fichiers existants, ce nouveau fichier aura le caractère ni plus ni moins que d'un Fichier National. A court terme en effet, c'est l'ensemble de la population française qui relèvera dudit fichier. Invoquer l'absence d'obligation légale de détenir une carte nationale d'identité ne saurait masquer l'existence d'une obligation de fait, et ce très tôt dans la vie d'un individu : les enfants eux-mêmes ont de plus en plus tôt besoin d'une carte nationale d'identité. Aucune démarche en effet un tant soit peu officielle ne peut s'effectuer sans avoir à justifier de son identité, ce qui implique nécessairement d'être muni d'un passeport ou d'une carte d'identité. S'il s'agit là de considérations d'ordre plus factuel que juridique, elles n'en demeurent pas moins pertinentes pour l'exercice de votre contrôle. Ainsi est-ce bien la réalité des chiffres de la garde à vue en France qui a guidé votre décision Daniel W. et autres du 30 juillet 2010. (7)
Bien que le fichier des passeports s'en rapproche, le nouveau fichier, de par son ampleur, marque pourtant non seulement un changement de degré, mais aussi et surtout un changement de nature : d'un fichage catégoriel, on passe à un fichage généralisé. C'est la raison pour laquelle il n'est pas exclu que vous considériez ce fichier non seulement sous l'angle de la vie privée, mais également sous celui de la liberté individuelle en tant que telle. (8)
Aussi, et à tout le moins, la validation du fichier TES par le Conseil d'Etat dans son arrêt n° 317827 du 26 octobre 2011 ne devrait-elle pas commander ipso facto la validation du principe même de la création du nouveau fichier qui vous est ici soumise.
a) Quant à la nécessité du fichier
La nécessité doit s'apprécier au regard de la participation des moyens que le législateur détermine à la réalisation effective des objectifs qu'il se fixe.
Or il ressort clairement des travaux de la CNIL, tout comme des expériences étrangères, que l'objectif légitime de lutte contre l'usurpation d'identité ne commande en rien la constitution d'un fichier centralisé de l'ensemble d'une population.
Comme l'a ainsi parfaitement démontré la CNIL, la lutte contre la fraude à l'identité commence par le renforcement des contrôles opérés en amont dans la chaîne de l'identité, notamment sur les extraits d'actes d'état civil fournis à l'appui de la demande.
Or cette exigence est bien satisfaite par l'article 4 de la loi qui prévoit que : « Les agents chargés du recueil ou de l'instruction des demandes de délivrance de la carte nationale d'identité ou du passeport peuvent faire procéder à la vérification des données de l'état civil fournies par l'usager auprès des officiers de l'état civil dépositaires des actes contenant ces données, dans des conditions fixées par décret en Conseil d'État. ».
Elle passe ensuite effectivement par le recours à des données biométriques. Mais la simple comparaison entre les empreintes enregistrées dans la puce de la carte d'identité et les empreintes prises par le demandeur du titre suffit à se prémunir contre toute falsification d'identité et à authentifier le titre présenté. (9)
Dans son rapport sur la Nouvelle génération de documents d'identité et la fraude documentaire, Jean René LECERF admet d'ailleurs l'efficacité de ce système d'authentification. Le seul inconvénient qu'il relève est qu'il « ne permet pas d'assurer l'unicité de l'identité lors de la délivrance du titre » (10). Mais comme le relève le Rapporteur de la Commission des Lois du Sénat sur le texte, même l'existence d'un fichier centralisé « ne prémunit pas contre l'usurpation initiale d'identité » Il. Seul le contrôle en amont le permet.
En d'autres termes, aucun des deux systèmes biométriques, puce simple ou puce couplée avec un fichier central, ne permettent d'empêcher une fraude à l'identité initiale, mais en revanche, le premier, incomparablement moins intrusif que le second dans la mesure où la personne concernée demeure la seule détentrice des données la concernant, assure une toute aussi grande efficacité contre la fraude lors du renouvellement.
Ensuite les exemples étrangers montrent bien que la lutte contre la fraude à l'identité peut parfaitement se passer d'un fichier centralisé. Au moment où Jean René LECERF rédigeait son rapport mentionné ci-dessus, il indiquait que parmi les Etats européens qui avaient recours à des cartes d'identité biométriques, deux seulement envisageaient d'instituer un fichier central, les Pays-Bas et le Royaume-Uni (12). Or depuis, ces deux pays ont renoncé à leur projet et décidé la destruction des empreintes digitales déjà enregistrées, aussi bien pour des raisons tenant à la protection de la vie privée, qu'au regard des risques d'erreur dans la constitution des fichiers (13) .
b) Quant à la proportionnalité du fichier
Pour vous convaincre de la disproportion manifeste entre l'atteinte au droit au respect de la vie privée qu'engendrera le nouveau dispositif et l'objectif poursuivi de lutte contre l'usurpation d'identité, rien n'est plus parlant ici que la mise en balance des chiffres.
Si l'on compare le chiffre avancé de la fourchette haute de l'usurpation d'identité, aussi contesté fut-il, au nombre de personnes concernées par l'inscription au fichier, on constate que pour 210 000 fraudes, ce sont 60 millions de français qui vont être fichés ! (14) Si les requérants ne contestent de nulle manière, comme d'ailleurs ils l'ont rappelé tout au long des débats, la gravité des conséquences pour les victimes et pour l'Etat de la fraude à l'identité, ils ne peuvent, et vous ne pourrez, admettre que la marginalité du phénomène puisse justifier l'institution du plus grand fichier biométrique jamais créé.
A cette disproportion manifeste, il faut ajouter les dangers engendrés par son absence d'infaillibilité (i), et le risque de fraude (ii).
i) L'absence d'infaillibilité
Deux exemples illustreront ce propos. Le premier vient d'Israël. On a en effet appris en novembre 2011 par l'Israël Law, Information and Technology Authority (ILl TA) , l'autorité de protection des données personnelles israéliennes, que le registre d'information de la population israélienne comportant les données de 9 millions de personnes vivantes et décédées avait tout simplement été volé par un employé du ministère des affaires sociales qui l'avait copié sur son ordinateur personnel, registre qui s'est ensuite retrouvé consultable en ligne de 2009 à 2011.
Michael El TAN, le Ministre israélien de l'Amélioration des services publics, a dans la foulée appelé le gouvernement à abandonner son projet de création d'une base de données biométriques des Israéliens, et déclaré :
« De fausses promesses ont été faites quant à la sécurité hermétique de la base de données. Qui pourra nous assurer que des employés mécontents ne distribueront pas nos empreintes digitales et photographies ?
Tout comme le registre de la population, ou n'importe quelle autre base de données, elle sera elle aussi piratée. Ce n'est qu'une question de temps. » (15)
Il n'existe en effet aucun système informatique impénétrable, WeakiLeaks est là pour nous le rappeler.
Le second exemple provient des multiples cas d'utilisations abusives qui ont été faites du STIC malgré les garanties juridiques qui entourent pourtant sa consultation, et notamment l'obligation de traçabilité desdites consultations (l6). Ces dérives ont été parfaitement mises en évidence dans le Rapport d'information de l'Assemblée nationale sur les fichiers de police du 24 mars 2009. (17). Les requérants se contenteront de rappeler à cet égard les cas les plus saillants : le cas d'un commandant de police Pichon qui a publié les fiches de deux célébrités précisément semble-t-il pour mettre en évidence la perméabilité du système ; le cas d'un candidat socialiste aux dernières élections régionales qui a révélé une consultation pour le moins « anormale » du fichier ; et plus récemment le cas révélé par le Canard Enchainé du 29 février 2012 révélant une utilisation du STIC à des fins marchandes.
Aussi, les auteurs de la saisine considèrent-ils que la disposition inscrite au deuxième alinéa de l'article (5) de la loi qui vous est ici différée exigeant « la traçabilité des consultations et des modifications effectuées par les personnes y ayant accès » ne constitue en rien à elle seule une garantie suffisante pour assurer la sécurisation d'un fichier de 60 millions d'individus qui fera nécessairement l'objet de toutes les convoitises.
ii) Le risque de fraude
Ce risque a été notamment mis en exergue par Alex TÜRK. Dans son ouvrage La vie privée en péril. Des citoyens sous contrôle publié chez Odile Jacob, il nous montre comment avec un budget infime, 30 euros, et un peu de latex liquide, il est possible de s'emparer de l'empreinte de quiconque et de la réutiliser pour tromper un dispositif de reconnaissance biométrique digitale (l8).
Mais le plus grave, c'est que dans cette hypothèse, et au regard de la confiance dont bénéficient ces nouveaux procédés technologiques de reconnaissance biométrique, la personne dont l'empreinte aura été récupérée frauduleusement se retrouvera dans la situation inextricable de devoir apporter la preuve que cela a beau être son empreinte qui a été utilisée, ce n'est pas elle qui était en cause.
L'absence d'infaillibilité est d'autant plus à redouter en état actuel de la technologie qu'il n'existe aucun fichier de cette importance qui soit nulle part.
Autrement dit, avec un système de fichier biométrique centralisé, non seulement l'usurpation d'identité n'est pas totalement exclue, mais de surcroit, il rend quasiment impossible à la personne dont l'identité a été usurpée via son empreinte digitale d'apporter la preuve de cette usurpation. A ce niveau de contradiction, non seulement le législateur n'atteint pas l'objectif qu'il s'était fixé, mais il lui tourne le dos ! C'est dire sans conteste combien ce dernier n'a pas su assurer une conciliation équilibrée entre la sauvegarde de la vie privée et celle de l'ordre public.
Si néanmoins vous ne jugiez pas qu'il résulte de l'institution même d'un fichier national biométrique une atteinte excessive au droit au respect de la vie privée, vous ne manquerez pas de le faire au regard des modalités de sa construction et de sa mise en oeuvre ultérieure.
II. SUR LES MODALITES DE CONSTRUCTION DU FICHIER
Comme vous ne manquerez pas de le constater, l'essentiel des débats parlementaires a porté sur la nature du dispositif à mettre en place, et opposé les tenants de ce qu'il est convenu d'appeler le « lien faible » aux partisans du « lien fort ».
En retenant finalement la technique du « lien fort », non seulement le législateur a fait un choix qui n'est ni nécessaire ni proportionné et qui porte une atteinte excessive au droit au respect de la vie privée (a), mais il prive en outre pour l'avenir tout un chacun de son droit effectif de résistance à l'oppression (b).
a) Quant à l'atteinte excessive au droit au respect de la vie privée
Dans une base de données à « lien faible », les données biographiques et biométriques d'une personne ne peuvent pas être croisées, sauf au moment de la délivrance du titre. En effet, à une empreinte correspond techniquement dans de telles bases de données non pas une identité mais un ensemble d'identités. Il n'est donc pas possible de déterminer l'identité qui correspond à une empreinte donnée.
À l'inverse, une base de données à « lien fort » permet de faire correspondre données biométriques et données biographiques de manière univoque. Ce système permet donc d'identifier, le cas échéant, un fraudeur. Mais il permet de manière générale d'identifier tout un chacun sur la base d'empreintes laissées par quiconque en n'importe quel lieu. Avec pareil système, le détenteur d'une carte d'identité sera donc non seulement fiché, mais aussi et surtout tracé et traçable.
L'avantage majeur de la technique de construction du « lien faible » qui était proposée par le Sénat, et ce sur tous ses bancs, est son irréversibilité. dans la mesure elle prémunit de manière absolue contre toute utilisation du fichier (seul) à des fins autres que celles pour lesquelles il a été institué. Pour autant, par croisement avec d'autres fichiers et/ou recoupement avec d'autres informations, sous contrôle d'un juge judiciaire dans ces cas, l'apport de ce fichier peut être sollicité dans les autres utilisations présentés comme indispensables par les tenants du lien fort (reconnaissance des personnes désorientées, identification de cadavre, enquête judiciaire . . .).
Si ces considérations sont d'apparence technique, et semblent a priori devoir relever du libre choix du législateur, elles ont en réalité des implications juridiques et constitutionnelles extrêmement importantes pour l'appréciation de la juste conciliation entre le droit au respect de la vie privé et la sauvegarde de l'ordre public.
En effet, c'est dans le choix de la technique du « lien fort » finalement retenue par l'Assemblée nationale que réside le caractère manifestement déséquilibrée de la conciliation opérée par le législateur. D'ailleurs, lorsque votre haute juridiction a validé la carte électronique de santé, la « carte vitale 2 », elle l'a fait non seulement au regard des garanties légales prévues, mais également des garanties techniques. Ainsi avez-vous jugé que « l'ensemble des garanties dont est assortie la mise en oeuvre des dispositions de l'article 36 de la loi, au nombre desquelles il convient de ranger les caractéristiques assurant la sécurité du système, sont de nature à sauvegarder le respect de la vie privée (19 ».
Or, aussi bien en termes de nécessité que de proportionnalité, les garanties offertes contre l'usurpation d'identité par un fichier à « lien faible » sont aussi importantes qu'avec le « lien fort », tout en offrant des garanties pour le droit au respect de la vie privé que ce dernier n'offre pas.
Les requérants font ainsi leur les termes du Rapporteur de la Commission des Lois du Sénat, et s'ils « comprennent l'engagement de ceux qui souhaitent le « défaut zéro » dans la lutte contre l'usurpation d'identité, ils jugent nécessaire d'ajouter à cet objectif un second : celui du « risque zéro » pour les libertés publiques. Avec la solution que le Sénat a adoptée en première lecture, le défaut zéro dans la lutte contre l'usurpation d'identité est approché à 99,9 %, et le risque zéro pour les libertés publiques est garanti par le système de la base à lien faible. » (20). Ils vous invitent à en faire de même, et ce d'autant que le risque zéro dans la lutte contre l'usurpation n'est pas non assuré avec le système à lien fort en cas notamment d'erreurs dans la saisie des données ou d'usurpation des empreintes digitales évoquées ci-dessus (21).
En outre, si comme évoqué plus haut le futur fichier à « lien fort » faisait l'objet d'un piratage, les auteurs du piratage disposeraient alors d'une base associant de manière univoque, l'état civil, le visage, les empreintes digitales et le domicile de l'ensemble de la population française (22). Pareil risque est évidemment inacceptable, et, incidemment, manifestement contraire au principe de précaution inscrit à l'article 5 de la Charte de l'environnement à laquelle vous avez reconnu pleine valeur constitutionnelle (23). En effet, il n'est pas certain (bien que hautement probable) que le risque de piratage se réalise, mais, s'il se réalise, il est certain qu'il constituera une menace grave et irréversible pour le droit au respect de la vie privée.
Tous ces éléments attestent sans aucune ambiguïté que la solution retenue par le législateur est manifestement déséquilibrée, et ce aux dépens des garanties du droit au respect de la vie privée.
b) Quant à la privation du droit de résistance à l'oppression
Les auteurs de la saisine souhaitent attirer votre particulière attention sur les risques que feraient courir pour l'exercice effectif du droit de résistance à l'oppression l'institution d'un tel fichier généralisé de la population avec la technique du « lien fort ».
Ils mesurent la singularité de leur démarche, eu égard notamment à la justiciabilité d'une notion souvent appréhendée moins comme un droit que comme une proclamation politique (24), et qui n'a en tout cas pas été étayée par votre jurisprudence.
Ils reconnaissent en outre que ce n'est pas, par elle-même - selon une formule qui vous est familière - ni dans l'immédiat, que la disposition ici disputée menace l'exercice de ce droit.
Aucun de ces deux éléments ne devrait pourtant conduire à balayer sans un examen approfondi le moyen tiré de la remise en cause de l'exercice effectif du droit de résistance à l'oppression.
D'abord parce que les incertitudes sur sa justiciabilité ne font pas moins de la résistance à l'oppression un droit, inscrit à l'article 2 de la Déclaration des droits de 1789 parmi les quatre « droits naturels et imprescriptibles de l'Homme », et même un droit positif auquel votre haute juridiction a expressément reconnu pleine valeur constitutionnelle (25).
Ensuite parce que le droit à la résistance à l'oppression est à la fois le fondement et la conséquence des autres droits de l 'homme. Comme le relève la Professeure Geneviève KOUBI : « Le paradoxe du droit de résistance à l'oppression est ainsi entièrement contenu dans cette confrontation entre l'exercice d'un droit et le système de droit. Dans cette perspective, la résistance à l'oppression est un droit de l'homme qui s'exerce contre le système de droit, - système qui, au lieu de permettre l'élaboration de lois garantissant les droits et protégeant les libertés, contribue à l'édiction de normes leur portant une atteinte caractérisée. Expression d'un droit au respect du droit énoncé par les individus à l'endroit des pouvoirs publics, le droit de résistance à l'oppression s'avère effectivement être la conséquence des autres droits de l'homme. Il en est le fondement en ce qu'il engage les gouvernements dans la voie des révisions radicale. C'est ainsi que le droit de résistance à l'oppression est un droit de l'homme. Il est un droit »hors-la loi« certes, il est un »droit hors le droit". La résistance à l'oppression a donc sa place en droit justement pour que soit assurée la cohérence du droit » (26).
D'ailleurs ce droit a reçu des consécrations dans d'autres instruments juridiques que notre Constitution, soit dans des instruments internationaux, soit dans d'autres constitutions. Ainsi la Déclaration universelle des droits de l'homme rappelle-t-elle « qu'il est essentiel que les droits de l'homme soient protégés par un régime de droit pour que l'homme ne soit pas contraint, en suprême recours, à la révolte contre la tyrannie et l'oppression ». Le quatrième paragraphe de l'article 20 de la Loi fondamentale allemande proclame lui que : « Tous les Allemands ont le droit de résister à quiconque entreprendrait de renverser cet ordre, s'il n y a pas d'autre remède possible ». De même le quatrième paragraphe de l'article 120 de la Constitution grecque dispose-t-il que : « L'observation de la Constitution est confiée au patriotisme des Hellènes, qui ont le droit et le devoir de résister par tous les moyens à quiconque entreprendrait son abolition par la violence. »
Enfin, parce qu'il est d'une évidence absolue que le respect de ce droit ne peut par définition être garanti dans le cadre d'un régime oppressif, il appartient nécessairement à un régime démocratique d'en assurer les conditions d'exercice pour l'avenir. C'est là en réalité la réponse à la question soulevée par Florence BENOIT-ROHMER et Patrick WACHSMANN quand ils écrivaient que : « on ne voit même pas dans quelle hypothèse le conseil constitutionnel pourrait déclarer une loi contraire à la Constitution, au motif qu'elle méconnaitrait la proclamation de l'article 2 de la déclaration (de 1789) » (27).
Or le dispositif dont vous êtes ici saisi constitue bien une telle hypothèse. En effet, la constitution d'un fichier le plus complet possible de leur population est le propre des régimes autoritaires. L'instauration d'une « carte d'identité de Français » fut d'ailleurs l'une des toutes premières dispositions prises par le régime de Vichy (28). Comme par exemple le rappelle Robert BADINTER à propos du sort des avocats juifs sous l'occupation, la répression dont ils firent l'objet commença précisément par l'établissement d'un fichier des avocats juifs (29) Et si l'Allemagne refuse aujourd'hui par principe tout fichier central biométrique, c'est précisément en réaction au régime nazi (30).
Comment les résistants d'hier auraient-ils pu s'opposer à l'occupant et au régime de Vichy s'il avait existé un fichier centralisé de la population française qui aurait permis de les identifier sur la seule base de leurs empreintes digitales ? Comment de même les potentiels résistants de demain feront pour résister à un éventuel gouvernement oppressif s'ils peuvent être reconnus sur cette même base, ou sur celle de l'image numérisée de leur visage qui figurera également dans le fichier ?
Comme l'indiquait avec force le Rapporteur de la Commission des Lois du Sénat, « une fois créé, le fichier central est susceptible de constituer, s'il n'est pas entouré des garanties requises, une bombe à retardement pour les libertés publiques ». C'est donc cette bombe que les requérants vous demandent de désamorcer en opposant votre censure sur le chef du manque de garanties légales pour l'exercice effectif à venir du droit de résistance à l'oppression.
III. SUR L'UTILISATION DU FICHIER
L'utilisation du fichier était initialement limitée à la sécurisation des titres d'identité et à la lutte contre l'usurpation d'identité. Au regard de cette seule finalité, qui est au coeur de la loi du 78-17 du 6 janvier 1978 « informatique et liberté » (31), les requérants ont démontré que l'institution d'un fichier avec la technique du « lien fort » était manifestement déséquilibrée.
Mais le législateur ne s'est pas contenté de cette seule finalité, et s'est orienté vers une autre finalité qui serait la répression de l'usurpation d'identité, et donc une utilisation judiciaire du fichier. Les requérants sont conscients que votre haute juridiction n'a pas jusqu'à présent reconnu un caractère constitutionnel au principe de finalité. Pour autant vous le l'ignorez pas et n'hésitez pas à vous y référer, soulignant la garantie que pouvait constituer le cantonnement de la finalité d'un traitement d'informations à ce pour quoi il est institué (32).
Vous avez par ailleurs jugé que si « aucune norme constitutionnelle ne s'oppose par principe à l'utilisation à des fins administratives de données nominatives recueillies dans le cadre d'activités de police judiciaire », cette utilisation méconnaîtrait cependant « les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées » (33) .
La question ici soulevée est inverse, puisqu'il n'est pas question d'utiliser un fichier judiciaire à des fins administratives, mais d'utiliser un fichier qui se veut administratif à des fins judiciaires. Or il ne fait pas de doute que là aussi, une utilisation excessive d'un fichier administratif, fut-ce pas les autorités judiciaires, serait susceptible de porter atteinte au droit au respect à la vie privée et à la liberté individuelle des personnes.
Conscient de cette difficulté, le législateur s'est attaché à la résoudre en tentant de circonscrire l'utilisation judiciaire du futur fichier à l'égard des seuls délits liés à la fraude à l'identité.
Ainsi est-il prévu que dans le cadre d'une enquête de flagrance, d'une enquête préliminaire, ou d'une commission rogatoire, la comparaison d'une empreinte relevée avec celles contenues dans le fichier central est possible pour les infractions suivantes :
- l'usurpation d'identité (article 226-4-1 du code pénal) ;
- l'escroquerie par fausse identité (articles 313-1 et 313-2 du même code) ;
- l'atteinte aux services spécialisés de renseignement (article 413-13 du même code) ; l'atteinte à l'état civil des personnes (article 433-19 du même code) ; l'entrave à l'exercice de la justice (article 434-23 du même code) - le faux et l'usage de faux (article 441-1 du même code), le faux commis dans un document délivré par une administration publique (article 441-2 du même code), la détention frauduleuse d'un tel document (article 441-3 du même code), le faux en écriture publique (article 441-4 du même code), le fait de se faire procurer frauduleusement un document délivré par une administration publique (article 441-6 du même code), l'établissement d'un faux certificat (article 441-7 du même code) ;
- la fraude au permis de conduire (article L. 225-8 du code de la route) ;
- la fraude aux plaques d'immatriculation (article L. 330-7 du même code) ;
- la mention d'une fausse adresse ou identité aux agents assermentés des transports (article L. 2245-5 du code des transports) ;
- la demande indue de délivrance d'un extrait du casier judiciaire d'un tiers (L. 781 du code de procédure pénale)
Vous ne manquerez pas de relever que l'encadrement judiciaire de la consultation du fichier atteste, comme les requérants l'ont soulevé plus haut, qu'elle met non seulement en cause le droit au respect à la vie privée qui selon votre jurisprudence n'appelle pas nécessairement l'intervention des magistrats, mais bien aussi la liberté individuelle en tant que telle dont l'autorité judiciaire, en vertu de l'article 66 de la Constitution, est la seule garante.
Pour autant, les précautions prises par le législateur sont insuffisantes pour prévenir l'arbitraire et une rigueur non nécessaire dans l'application de la loi.
Selon les termes de votre jurisprudence, « il incombe au législateur d'exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34 ; que le plein exercice de cette compétence, ainsi que l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration de 1789, lui imposent d'adopter des dispositions suffisamment précises et des formules non équivoques », et ce afin de prémunir « les sujets de droit contre une interprétation contraire à la Constitution ou contre le risque d'arbitraire, sans reporter sur des autorités administratives ou juridictionnelles le soin de fixer des règles dont la détermination n'a été confiée par la Constitution qu'à la loi » (35)
Ainsi venez-vous de rappeler que « législateur tient de l'article 34 de la Constitution l'obligation de fixer lui-même le champ d'application de la loi pénale », et que, « s'agissant de la procédure pénale, cette exigence s'impose notamment pour éviter une rigueur non nécessaire lors de la recherche des auteurs d'infractions » (36).
Or, malgré les dispositions adoptées pour encadrer la consultation du fichier qu'il crée, le législateur est resté en deçà de sa compétence, et a méconnu l'exigence qui lui ait faite d'adopter des dispositions précises et non équivoques.
Primo, parce que la grande majorité des crimes ou délits qui sont en principe exclus de la liste de ceux qui peuvent donner lieu à une consultation, seront in fine susceptibles d'y donner lieu, parce que connexes à un délit comportant, lui, une fraude à l'identité. Rares sont en effet de nos jours les gentlemen cambrioleurs qui à l'instar d'Arsène Lupin laissent leur carte de visite sur le lieu de leur forfait. Aussi, dès lors que sur les lieux d'un crime ou d'un délit seront trouvées des empreintes digitales, il suffira au parquet ou au juge d'instruction d'ouvrir dans son enquête préliminaire ou son information un volet fraude à l'identité. Peu importe que par la suite ce délit ne soit pas constitué, mais au moins aura-t-il permis une consultation du fichier pour identifier un suspect.
Le gouvernement ne manquera pas de rétorquer que le texte prévoit expressément aux II, III, et IV de l'article (5) que cette consultation ne pourra pas se faire sans que la personne suspectée en soit informée, ni pour identifier une personne inconnue à partir des traces qu'elle aurait laissées. L'argument ne saurait néanmoins prospérer, tout au moins dans le cadre d'une instruction, puisque le V, qui ajoute un article 99-5 au code de procédure pénale, ne prévoit aucune de ces limitations. Dès lors, l'officier de police judiciaire pourra en toute circonstance demander l'autorisation au juge d'instruction de consulter le fichier à des fins de recherche criminelle, sans lien avec l'usurpation d'identité.
Deuxio, parce que comme l'a relevé à très juste titre le Rapporteur de la Commission des Lois du Sénat, le législateur s'est abstenu de clarifier l'articulation entre les pouvoirs limités d'accès à la base centrale définis aux articles 5 du présent texte et à la nouvelle rédaction proposée pour l'article 55-1 du code de procédure pénale et les pouvoirs généraux que les magistrats chargés de l'enquête tiennent des articles 60-1, 60-2,99-3 et 99-4 du même code pour obtenir des documents numériques ou accéder à des informations contenues dans des fichiers nominatifs (37). A ces dispositions, il faut d'ailleurs ajouter celles des articles 77-1-1 et 77-1-2 du même code relatives aux pouvoirs du procureur dans le cadre d'une enquête préliminaire, qui lui permettent également de requérir tout document issu d'un système informatique ou d'un traitement de données nominatives.
Or, en n'excluant pas expressément l'application de ces dispositions, le législateur a laissé aux procureurs et aux juges d'instruction une marge de manoeuvre telle qu'ils pourront arbitrairement se soustraire aux limitations posées par les nouvelles dispositions des articles 55-1, 76-2 et 154-1 du code de procédure pénale.
Tertio, parce que comme l'a encore indiqué à bon escient le même Rapporteur (38), tel qu'il est rédigé, le texte n'exclut pas l'identification de l'auteur d'un crime ou d'un délit via un procédé de reconnaissance faciale à partir de l'image numérisé de son visage. En effet, le troisième alinéa de l'article (5) exclut uniquement l'utilisation de ce procédé par l'autorité de délivrance des titres d'identité ou de voyage. Mais il n'existe aucune exclusion expresse identique dans le cadre d'une enquête de flagrance, d'une enquête préliminaire, ou d'une information judiciaire. Il reviendra donc aux seules autorités juridictionnelles de délimiter leur domaine de compétence à cet égard, alors que c'eut été au législateur de le faire.
Quarto, parce que le législateur s'est contenté au huitième alinéa de l'article (5) de la loi de proscrire une « interconnexion au sens de l'article 30 de la loi n° 78-17 du 6 janvier 1978 » avec tout autre fichier ou recueil de données nominatives des empreintes digitales et de la photographie. Or ledit article 30 vise bien l'« interconnexion » en tant que telle, mais il vise également « les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements » (39). En d'autres termes, le législateur s'est contenté d'interdire l'interconnexion du nouveau fichier avec par exemple d'autres fichiers de police, mais il a laissé ouvert la voie à un rapprochement ponctuel dans un cadre judiciaire.
Parce qu'il n'a donc pas suffisamment prémuni ce fichier contre une utilisation généralisée de ses données biométriques à des fins d'enquêtes criminelles, le législateur encourt également votre censure.
IV. SUR L'ARTICLE (7 bis A)
L'article (7 bis A) a pour objet de conserver aux services en charge de la lutte contre le terrorisme l'accès aux actuels systèmes de gestion des cartes nationales d'identité et de passeports que leur ouvre actuellement l'article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers.
Néanmoins, comme l'a relevé le Rapporteur de la Commission des Lois, le législateur n'a pas légiféré à droit constant mais, au contraire, a étendu de manière tout à fait disproportionnée les prérogatives des services de lutte contre le terrorisme en dehors de tout contrôle de l'autorité judiciaire (40)
En effet, dans l'état actuel du droit, les services anti-terroristes n'ont pas la capacité d'identifier une personne à partir de ses traces biométriques. Soit parce c'est expressément interdit, comme c'est le cas à l'article 21-1 du décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports. Soit parce que c'est impossible, les empreintes digitales des intéressés n'étant pas enregistrées dans le fichier de gestion des cartes nationales d'identité.
Or avec technique du « lien fort » retenu par le législateur, les services de lutte contre le terrorisme vont se retrouver dans la possibilité, et hors toute contrainte légale, d'identifier quiconque sur la base de ses empreintes digitales ou par reconnaissance faciale.
S'il ressort bien d'une jurisprudence constante « qu'il est à tout moment loisible au législateur, statuant dans le domaine de sa compétence, d'adopter des dispositions nouvelles dont il lui appartient d'apprécier l'opportunité et de modifier des textes antérieurs ou d'abroger ceux-ci en leur substituant, le cas échéant, d'autres dispositions », ce n'est pourtant que si, « dans l'exercice de ce pouvoir, il ne prive pas de garanties légales des exigences constitutionnelles » (41).
Or, en ouvrant la possibilité aux services anti-terroristes d'avoir un accès illimité à l'ensemble des données du fichier, y compris à ses données biométriques, le législateur a manifestement privé de garanties légales les exigences constitutionnelles relatives au droit au respect de sa vie privée et à la liberté individuelle.
Pour tous ces motifs, et ceux que vous relèveriez d'office, les requérants vous invitent à prononcer la censure de l'ensemble de ces dispositions.
1) Requêtes n° 30562/04 et 30566/04,
70.
2) Séance du 3 novembre 2011
3) Cf. notamment votre décision n° 99-416 DC du 23 juillet 1999, cons. 45.
4) S. et Marper c. Royaume-Uni précité,
84.
5) 2003-467 DC du 13 mars 2003, cons. 27.
6) Note d'observations de la Commission nationale de l'informatique et des libertés concernant la proposition de loi relative à la protection de l'identité, 25 octobre 2011.
7) 2010-14/22 QPC, cons. 15-18. Pour une analyse générale de l'appréhension des faits dans votre jurisprudence, cf. Didier RIBES, « Le réalisme du Conseil constitutionnel », Les Cahiers du Conseil constitutionnel, Juin 2007, n° 22. Il Y rappelle par exemple que vous avez jugé que si « l'attribution d'avantages sociaux liés à l'éducation des enfants ne saurait dépendre, en principe, du sexe des parents », il fallait néanmoins « prendre en compte les inégalités de fait dont les femmes ont jusqu'à présent été l'objet » (2003-483 DC du 15 août 2003, cons. 24-25).
8) Alors que jusqu'à présent vous avez toujours considéré les fichiers sous l'angle de la vie privée, et non de la liberté individuelle. V. en ce sens Jean BOYER, « Fichiers de police judiciaire et normes constitutionnelles : quel ordre juridictionnel ? », Petites affiches, 22 mai 2003, p. 4.
9) Cf. la note de la CNIL précitée.
10) Rapport n° 439 du 29 juin 2005, p. 64.
11) Rapport n° 432 (2010-2011), p. 30.
12) V. p. 59.
13) Cf. http://bugbrother.blog.lemonde.fr/20 11111103/a-qui-profite-le-fichier-des-gens-honnetes/
14) Comme il est indiqué dans le rapport de la Commission des Lois du Sénat : « En dépit de la fortune médiatique qu'il a connue, et compte tenu des doutes sérieux que peut inspirer le chiffre de 210000 cas d'usurpation d'identité par an en France, votre rapporteur considère qu'il ne devrait pas être repris, sans réserves, dans le débat sur la nécessité de lutter contre les fraudes à l'identité. » (Rapport n°432 (2010-2011), p. 11).
15) Cf. http://bugbrother.blog.lemonde.fr/20 11/11/03/a-quiprofite-le-fichier-des-gens-honnetes/
16) V. le décret na 2001-583 du 5 juillet 2001 pris pour l'application des dispositions du troisième alinéa de l'article 31 de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et portant création du système de traitement des infractions constatées
17) Rapport n° 1548.
18) Pp. 3435.
19) 1999-416 De du 23 juillet 1999, cons. 47
20) Rapport n° 39 (2011-2012), p. 11.
21) V. supra I.b) ii). Sur les risques d'erreurs, les requérants vous renvoient à la très intéressante contribution de Bernadette DORIZZI, « Les taux d'erreurs dans le recours aux identifiants biométriques » in Ayse CEYHAN et Pierre PIAZZA (sous la dir.) L'identification biométrique. Champs, acteurs, enjeux et controverses, La Maison des Sciences de l'Homme, 2011.
22) Rapport n° 339 (2011-2012), p. 15.
23) 2008-564 DC du 19 juin 2008, cons. 18.
24) Cf. notamment Florence BENOIT-ROHMER et Patrick WACHSMANN, « La résistance à l'oppression dans la Déclaration », Droits, 1988, n° 8, pp. 91-99.
25) 81-132 DC du 16 janvier 1982, cons. 16.
26) « Penser le droit de résistance à l'oppression dans les sociétés démocratiques contemporaines », dans Pierre-Arnaud PERROUTY (éd.), Obéir et désobéir. Le citoyen face à la loi, ULB, Bruxelles, 2000. Selon les termes mêmes de l'article 33 de la Déclaration des droits du 24 juin 1793 : « La résistance à l'oppression est la conséquence des autres Droits de l'homme ».
27) Op. cit., p. 98.
28) Cf. Pierre PIAZZA, Histoire de la carte nationale d'identité, Odile Jacob, 2004, et plus particulièrement la partie intitulée « Vichy ou le désir d'identification absolue », pp. 163 et s.
29) Un antisémitisme ordinaire. Vichy et les avocats juifs (1940-1944), Fayard, 1997,256 p.
30) Cf. le Rapport de la Commission des Lois du sénat n° 339 (2011-2012), p. 20.
31) Dont l'article 6
2 prévoit que les traitements de donner doivent poursuivre « des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».
32) Jean BOYER, « Fichiers de police judiciaire et normes constitutionnelles : quel ordre juridictionnel ? », op. cit. Cf. notamment vos décisions n° 98-405 du 29 novembre, cons. 61 et n° 99- 419 du 9 novembre 1999, cons. 74.
33) 2003-467 DC du 13 mars 2003, cons. 32
34) V. supra 1.
35) 2007-557 DC du 15 novembre 2007, cons. 19.
36) 2011-223 QPC du 17 février 2012, cons. 4.
37) Rapport n° 339 (2011-2012), p. 13.
38) Ibid., p. 14.
39) Sur la distinction entre interconnexion et rapprochement, v. la fiche pratique de la CNIL du 5 avril 2011 : http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/comment-determiner-la-notiondinterconnexion/
40) Rapport n° 339 (2011-2012), p. 13.
41) Cf. notamment votre décision n° 2011-631 DC du 09 juin 2011, cons. 67.