Examen des caractéristiques génétiques d’une personne

Biométrie

Examen des caractéristiques génétiques d’une personne

Le décret du 4 avril 2008 a profondément modifié la partie réglementaire du Code la santé publique relative à l’examen des caractéristiques génétiques d’une personne ou à l’identification par empreintes génétiques à des fins médicales (nouveaux articles R.1131-1 et suivants du Code de la santé publique). Ces nouvelles dispositions du Code de la santé publique précisent notamment, les conditions de prescription, les conditions dans lesquelles doit être recueilli le consentement du patient, ainsi que les conditions d’agrément des praticiens et des laboratoires habilités à réaliser ce type d’examen. Ainsi, pour réaliser des examens sur les caractéristiques génétiques d’une personne, il convient, conformément à l’article R. 1131-6 du Code de la santé publique d’être un praticien agréé.

La demande d’agrément est formulée par le professionnel de santé concerné auprès du Directeur général de l’Agence de la biomédecine, selon un dossier préétabli sur lequel devront apparaître les justifications suivantes :

 

  • le praticien doit être un médecin ou un pharmacien ;
  • il doit avoir obtenu un diplôme d’études spécialisées en biologie médicale ou un diplôme de niveau équivalent ;
  • il doit justifier d’une formation spécialisée ainsi que d’une expérience professionnelle dans la catégorie d’analyses concernées par la demande d’agrément, et dont la valeur sera appréciée par le Conseil d’orientation de l’Agence de biomédecine ;
  • si les analyses sont pratiquées dans un laboratoire d’analyses de biologie médicale, le praticien qui en a la charge doit également être le directeur ou le directeur adjoint du laboratoire.A titre exceptionnel, le décret prévoit que le praticien non titulaire du diplôme d’études spécialisées, pourra être agréé s’il justifie de « titres ou de travaux spécifiques dans les domaines des analyses définies aux 1° et 2° de l’article R. 1131-2 du Code de la santé publique » (analyses de cytogénétique, de cytogénétique moléculaire et de génétique moléculaire).Décret n°2008-321 du 4 avril 2008 (Mise en ligne Avril 2008)

    Autres brèves

  • L’interdiction de toute recherche sur les embryons
  • (Mise en ligne Janvier 2008)

 




Autorisations uniques et techniques biométriques

Autorisations uniques en biométrieLa Cnil adopte trois autorisations uniques relatives aux techniques biométriques. L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre.

En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel.

Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil.

Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif.

Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr.

Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006
Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006
Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006

(Mise en ligne Avril 2006)




Biométrie allégée pour la reconnaissance du réseau veineux palmaire

Vidéosurveillance, géolocalisation et biométrie font désormais partie de la panoplie sécuritaire des espaces privés ou publics. Aujourd’hui, l’accès à une salle d’examen ou un bloc opératoire peut ainsi être soumis à l’obligation de scanner le réseau veineux palmaire du candidat ou du personnel médical (1). En application de la loi Informatique et libertés, modifiée en 2004, les dispositifs de reconnaissance biométrique sont, pour la plupart, soumis à une autorisation préalable de la Cnil. Or, la Cnil vient d’alléger les formalités d’autorisation, pour la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main, privilégiant ainsi les dispositifs d’identification sans contact (2). Encore faut-il que cette technique ne soit affectée qu’au contrôle d’accès des locaux sur le lieu de travail. La société qui souhaite s’équiper d’un tel dispositif dans le respect des dispositions de la décision unique n°AU-019, doit adresser à la Cnil un engagement de conformité. La biométrie regroupe les techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Ces données sont ainsi considérées comme des données à caractère personnel, permettant d’identifier une personne de manière irrévocable. Or, tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la Cnil.

Parmi les données biométriques utilisées aujourd’hui, la Cnil considère l’empreinte digitale comme une donnée à risque, dont la diffusion, non maîtrisée ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. Contrairement à tout autre identifiant (code, mot de passe), l’empreinte digitale ne peut être modifiée une fois collectée, ce qui impose d’en limiter l’usage pour éviter une usurpation d’identité presque « parfaite ». Cette « biométrie à trace » est donc particulièrement encadrée par la Cnil qui, l’an dernier, a refusé d’autoriser plusieurs dispositifs ne pouvant justifier d’un fort impératif de sécurité. Pour la Cnil, confier ses données biométriques à un tiers doit répondre à une nécessité exceptionnelle et être entourée de garanties sérieuses. Cette technologie doit, tout d’abord, présenter certaines caractéristiques techniques (chiffrage de l’enregistrement du gabarit veineux ou possibilité d’associer d’autres données d’identification – nom, prénom, photographie – au gabarit du réseau veineux du doigt). La durée de conservation des données doit être fixée (de 3 mois à 5 ans selon les cas). Le responsable du traitement doit également prendre « toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance » (3). Enfin, l’information des employés et des instances représentatives du personnel doit être effectuée avant la mise en œuvre effective du dispositif biométrique, sous peine d’une peine pouvant atteindre 300 000 euros d’amende et 5 ans de prison.

(1) Cnil, Délib. 2009-360 du 18-06-2009 et 2009-174 du 26-03-2009
(2) Cnil, Délib. 2009-316 du 07-05-2009
(3) Loi du 06-01-1978 modifiée, art 34




La biométrie sur le lieu de travail autorisée par la Cnil

Informatique et libertés

Biométrie

Biométrie sur le lieu de travail autorisée par la Cnil

La Cnil a adopté une autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieux de travail. Elle considère que la gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation, peut s’effectuer grâce à la biométrie.

Cnil, Autorisation unique AU-019 du 7-5-2009

Paru dans la JTIL n°29/2009 p.5

(Mise en ligne Septembre 2009)

 




La Cnil autorise la biométrie pour lutter contre la fraude

Informatique et libertés

Biométrie

La CNIL autorise la biométrie pour lutter contre la fraude

La Cnil vient de publier un communiqué dans lequel elle indique qu’elle a autorisé, lors de sa séance plénière du 18 juin 2009 (cette délibération n’a pas encore été publiée), le recours à un traitement de données à caractère personnel fondé sur la reconnaissance du réseau veineux de la paume de la main des candidats à un examen. Ce traitement serait destiné à lutter contre la fraude à l’examen du GMAT (Graduate Management Admission Test), un examen de gestion et de management permettant d’évaluer les compétences des candidats pour intégrer certaines grandes écoles dans le monde entier. Deux arguments principaux ont emporté l’adhésion de la Cnil à la mise en œuvre de ce système biométrique :

– la technologie utilisée qui constitue selon la Cnil une biométrie « sans trace » et présente des risques particulièrement réduits d’usurpation d’identité ;
– les particularités de l’examen concerné par ce traitement, notamment sa dimension mondiale, les enjeux qui y sont attachés et l’existence de nombreuses fraudes dans le passé.

La Cnil tempère toutefois les conséquences de cette décision, précisant qu’elle n’est pas favorable à l’utilisation systématique de dispositifs biométriques pour lutter contre la fraude aux examens d’une manière générale.

Communiqué Cnil du 15 juillet 2009.

(Mise en ligne Juillet 2009)

 




La biométrie sur le lieu de travail

Informatique et libertés

Biométrie

Biométrie sur le lieu de travail

La Cnil a adopté une autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieux de travail. Rappelons que de tels dispositifs relèvent de l’article 25-I (8°) de la loi Informatique et Libertés, qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes. La Cnil considère donc que la gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation, peuvent s’effectuer grâce à la mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du réseau veineux des doigts de la main.

Autorisation unique AU-019 du 7-5-2009, JO du 21 juin 2009

(Mise en ligne Juillet 2009)




Début du voyage pour le passeport biométrique

Informatique et libertés

Biométrie

Début du voyage pour le passeport biométrique

« Plus de rapidité, de facilité, et de sécurité » voilà résumés les avantages décrits par le Ministre de l’intérieur lors de la remise à un administré de Chantilly, le 31 octobre dernier, du premier passeport biométrique. Conformément au règlement n°2252/2004 du 13 décembre 2004 du conseil européen, la France devra être en mesure de délivrer sur son territoire des passeports biométriques contenant les empreintes digitales numérisées de leur titulaire. Le dispositif juridique mis en place notamment par le décret n°2008-426 du 30 avril 2008, qui modifie le décret n°2005-1726 du 30 décembre 2005, a été validé par la Cnil en décembre 2007 qui a demandé, d’une part, des garanties techniques pour renforcer la protection des données qui seront ainsi centralisées sur un serveur parisien et d’autre part, un encadrement par le Conseil d’Etat.

Le déploiement des machines a connu des difficultés et a pris du retard. L’Etat, qui a investi dans 4000 machines permettant de numériser la photo et quatre empreintes digitales du titulaire, doit les déployer dans près de 2000 mairies d’ici juin 2009, date butoir fixée par l’union Européenne. Egalement, le projet de loi sur la protection de l’identité, qui doit conférer aux communes une compétence spécifique à l’instruction des demandes de passeports, ne sera examiné devant le Parlement qu’en début d’année 2009. Certains élus ont fait savoir que le dispositif mis en place pose des interrogations, notamment s’agissant d’un système qui ne pourra couvrir l’ensemble du territoire ou encore sur la sécurité des liaisons informatiques concernant les données à caractères personnel.

Dans ce contexte, les informations des cinq départements pilotes (Gironde, Aube, Loire-Atlantique, Nord et Oise) devraient permettre de répondre à ces questions, d’évaluer également le temps de traitement des demandes face à de nouvelles exigences en matière biométrique qui concernent la sécurité des données. Pour les maires, il apparaît nécessaire de revoir le montant et le déclenchement de l’indemnisation des communes, fixé à 3 200 euros par machine et par an pour les frais qu’elles engageront pour les demandeurs d’un passeport qui ne résideraient pas sur leur territoire. Le directeur de l’agence nationale des titres sécurisés a, par ailleurs, précisé, le 29 octobre dernier, que des machines supplémentaires seraient mise à dispositions des communes et que serait financé des projets d’accessibilité des mairies dans la limite de 4000 euros par projet.

Communiqué du Ministère de l’intérieur du 31 octobre 2008

(Mise en ligne Novembre 2008)




Pas de contrôle biométrique à base d’empreintes digitales dans les écoles

Informatique et libertés

Biométrie

Pas de contrôles biométriques à base d’empreintes digitales dans les écoles

En juin 2008, la Cnil a refusé d’autoriser un dispositif biométrique reposant sur l’empreinte digitale pour contrôler l’accès à un établissement scolaire ainsi que la présence des élèves. C’est ce que vient d’annoncer la Cnil dans un communiqué paru le 25 septembre sur son site. Le dispositif repose sur la reconnaissance des empreintes digitales avec un stockage sur une base de données pour contrôler l’accès à un lycée et la présence des élèves. Pour justifier son refus, la Cnil considère que la mise en place d’un tel dispositif n’est pas justifiée compte tenu de l’absence d’un « fort impératif de sécurité ». Il ne s’agit pas en l’espèce de sécuriser l’accès d’un nombre limité de personnes à une zone bien déterminée, « représentant un enjeu majeur dépassant l’intérêt strict de l’organisme » (type centrale nucléaire, aéroport, etc.). La délibération de refus n’est pas encore parue au journal officiel.

Communiqué Cnil du 25 septembre 2008

(Mise en ligne Septembre 2008)




Vive le passeport biométrique !

Informatique et libertés

Biométrie

Le passeport électronique est mort, vive le passeport biométrique

Le décret nécessaire à la mise en place du passeport dit « biométrique » est paru le 30 avril 2008. Il a été validé par la CNIL en décembre 2007 qui a demandé des garanties techniques pour mieux protéger les données (désormais centralisées sur un serveur à Paris) et par le Conseil d’Etat. Le passeport biométrique succédera ainsi progressivement au passeport « électronique ». Les expérimentations vont en effet pouvoir commencer dans cinq départements tests (Nord, Oise, Aube, Gironde, Loire-Atlantique) et une petite dizaine de villes. Les tests auront lieux entre mai et septembre 2008. Les mairies seront ensuite progressivement équipées de machines permettant la fabrication de passeports biométriques avec des normes conformes à celles de l’aviation civile internationale, entre octobre 2008 et juin 2009. Cela représente 2000 mairies qui percevront par ailleurs, une indemnité forfaitaire annuelle de 3 250 euros pour cette activité de fabrication des passeports. Enfin, rappelons que les passeports biométriques français doivent être disponibles avant le 28 juin 2009 conformément à l’accord européen du 13 décembre 2004.

Décret n°2008-426, 30 avril 2008, JO 4 mai 2008

(Mise en ligne Mai 2008)




Mise en place en France de passeports électroniques biométriques

Pénal numérique

Biométrie

Mise en place en France de passeports électroniques biométriques

Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs.

Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes.

Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978.

Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport.

La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier.

Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006.

Décret n°2005-1726 du 30 décembre 2005 relatif au passeport électronique




L’usage de l’empreinte digitale encadré par la Cnil

Informatique et libertés

Biométrie

L’usage de l’empreinte digitale encadré par la Cnil

La Cnil a publié une communication le 28 décembre 2007 relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données. Il s’agit de permettre aux entreprises, administrations et collectivités locales qui envisagent de se doter de tels dispositifs de se poser « les bonnes questions informatique et libertés » avant de prendre leur décision et de déposer, auprès d’elle, une demande d’autorisation adéquate. Pour la Commission, la finalité d’un dispositif de reconnaissance des empreintes digitales doit être limitée au contrôle d’accès d’un nombre limité de personnes à une zone bien déterminée :

  • représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et
  • ayant trait à la protection de l’intégrité physique des personnes ou à celle des biens et des installations ou à celles de certaines informations.

    En ce qui concerne les biens et les installations, ce qui est en jeu, c’est le dommage grave et irréversible qui peut leur être porté, indépendamment de la valeur du bien lui-même (sauf cas exceptionnels) et sous réserve que cela dépasse l’intérêt strict de l’organisme. Il s’agit par exemple du contrôle d’accès à certaines zones d’une entreprise travaillant pour la Défense nationale, ou encore au centre de contrôle et de sécurité d’une grande entreprise de messageries. En ce qui concerne les personnes, ce qui est en jeu, c’est leur intégrité physique. Il doit par exemple s’agir de protéger des installations comportant un risque élevé d’explosion ou de diffusion de matières dangereuses ou de détournement de celles-ci par des tiers non autorisés ou d’assurer la protection de personnes exposées à des risques particuliers en raison de leurs activités. Enfin, en ce qui concerne la protection des informations, il s’agit de celles devant faire l’objet d’une protection particulière en raison des conséquences que leur divulgation, leur détournement à d’autres fins ou leur destruction auraient pour les personnes concernées par l’activité de l’entreprise (secret défense, secret industriel, secret professionnel).

    Communication de la CNIL du 28/12/2007 disponible sur le site de la Cnil

    Paru dans la JTIL n°19/2008 p.1

    (Mise en ligne Janvier/Février 2008)




  • Biométrie et sécurité des systèmes d’information

    • La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles (Mise en ligne Janvier 2007)

    • La CNIL adopte trois autorisations uniques relatives aux techniques biométriques (Mise en ligne Avril 2006)

    • 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie (Mise en ligne Mars 2006)

    • Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires (Mise en ligne Janvier 2006)



    L’encadrement des dispositifs biométriques

    Informatique et libertés

    Biométrie

    L’encadrement des dispositifs biométriques

    Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises. Sont en effet mis en œuvre après autorisation « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie. En ce qui concerne la méthodologie pratique, il suffira d’un simple engagement de conformité, qui peut être effectué en ligne, pour déclarer les traitements répondant aux normes d’autorisations uniques.

    Le première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail (1). La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires (2). La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (3). Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements peuvent procéder à la déclaration de conformité à l’aide d’un formulaire accessible sur le site de la Cnil.

    Ces normes d’utilisation unique répondent à une utilisation croissante des dispostifs biométriques. Ces autorisations permettent d’alléger considérablement les lourdeurs administratives liées aux procédures d’autorisation ; cependant, afin de garantir une protection adéquate des libertés individuelles, ces autorisations uniques ne concernent que des traitements biométriques sans dangers, puisque concernant uniquement des dispostifs sans traces.

    (1)Norme AU-007, Délibération n°2006-101 du 27 avril 2006
    (2)Norme AU-009, Délibération n°2006-103 du 27 avril 2006
    (3)Norme AU-008, Délibération n°2006-102 du 27 avril 2006

    (Mise en ligne Avril 2006)




    La Cnil commente la loi antiterrorisme

    Informatique et libertés

    Biométrie

    La Cnil commente la loi « antiterrorisme »

    La Commission nationale Informatique et libertés publie un échos des séances le 16 février 2006 dans lequel elle revient sur la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. La Cnil constate que certaines de ses propositions ont été prises en compte lors de l’adoption de cette loi mais que d’autres sont restées lettre morte. La loi « antiterroriste » prévoit ainsi la mise en place de nouveaux traitements de données à caractère personnel permettant la vidéosurveillance et la transmission aux services de police de données sur les passagers se rendant dans des pays situés hors de l’Union européenne ou en provenance de ces pays.

    Elle prévoit également la lecture des plaques minéralogiques et la photographie des occupants des véhicules, l’accès aux données de connexion internet et téléphonie conservées par les opérateurs de communications électroniques et les cybercafé et la consultation par les services antiterroristes de fichiers administratifs détenus par le Ministère de l’intérieur. Sur recommandation de la Cnil, la loi a été amendée et précise les services de police et de gendarmerie qui pourront accéder aux données collectées.

    Elle limite également dans le temps certains dispositifs de surveillance et prévoit l’élaboration d’un rapport d’évaluation annuel au Parlement. Cependant la Cnil avait exprimé des réserves, non suivies d’effe,t relatives à la prise systématique de photographies des occupants de l’ensemble des véhicules empruntant certains axes de circulation, à la multiplicité des finalités attachées au dispositif de lutte contre le terrorisme et à la constitution d’un fichier central de contrôle des déplacements en provenance ou à destination d’états hors de l’Union européenne

    La Cnil devrait être de nouveau saisie pour avis lors de l’élaboration des textes d’applications de la loi « antiterrorisme ». Elle devrait donc avoir l’occasion de repréciser les finalités que devrait avoir chacun des traitements de donnés, la nature des données traitées, leurs durées de connexion et la sécurité qui y est attachée.

    Loi n°2006-64 du 23 janvier 2006

    (Mise en ligne Janvier 2006)