Sécurité des systèmes d’information
Passeport biométrique
L’UE dit oui au passeport biométrique
Lors de sa séance du 14 janvier 2009, le Parlement européen a amendé et approuvé la proposition de règlement de la Commission des Communautés européennes modifiant le règlement (CE) n°2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres. Cette proposition de règlement avait été présentée par la Commission le 18 octobre 2007 et avait déjà donné lieu à un Avis du Contrôleur Européen de la Protection des Données en date du 26 mars 2008. C’est le règlement n°2252/2004 du 13 décembre 2004 qui avait introduit les passeports biométriques et l’obligation générale de stocker les empreintes digitales dans des supports de stockage contenus dans les passeports et documents de voyages. La France avait alors, conformément à ce règlement, adopté le décret n°2008-426 du 30 avril 2008, qui modifiait le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, afin d’intégrer « l’image numérisée des empreintes digitales de deux doigts » au sein des passeports français, tout en prévoyant une exception pour les enfants de moins de six ans.
Après avoir constaté que les empreintes digitales des enfants âgés de moins de six ans n’étaient pas d’une qualité suffisante pour permettre de vérifier l’identité de ces enfants sur la base d’une comparaison entre deux séries d’empreintes, la Commission avait proposé de modifier le règlement n°2252/2004 afin de dispenser de l’obligation de donner les empreintes digitales des enfants de moins de six ans, mais également les personnes qui en sont physiquement incapables. La commission avait également proposé d’intégrer la règle « une personne un passeport », ne permettant plus aux parents d’avoir leurs enfants sur leurs passeports. Le Contrôleur Européen de la Protection des Données avait, par la suite, émis un avis favorable aux exemptions reposant sur l’âge ou sur l’incapacité de donner ses empreintes, tout en les jugeant insuffisantes, notamment au regard de l’âge des enfants exemptés ou de l’absence de dispositions spécifiques pour les personnes âgées.
Le 14 janvier dernier, c’était donc au tour du Parlement européen de se prononcer sur cette proposition. Celui-ci a pris le soin de rappeler que « les États membres seront tenus de délivrer des passeports individuels aux mineurs et qu’il peut exister des différences significatives dans la législation des États membres en ce qui concerne le franchissement des frontières extérieures par des mineurs », avant de relever l’âge de l’exemption de donner les empreintes aux enfants de moins de douze ans. Suivant les recommandations du Contrôleur Européen de la Protection des Données, le Parlement européen précise que cet âge est fixé à titre provisoire, dans l’attente d’un rapport de la Commission relatif à la fiabilité et la faisabilité technique du recours aux empreintes digitales pour les enfants de moins de douze ans, à des fins d’identification et de vérification de l’identité.
En outre, le Parlement crée un article 1 bis relatif au personnel chargé du relevé des empreintes et à la procédure de collecte, qui devra se faire dans le respect des droits consacrés par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et par la Convention des Nations Unies relative aux droits de l’enfant. Il est également prévu que les États membres, tel que la France, qui auraient prévu un âge limite inférieur à douze ans peuvent appliquer leur limite actuellement en vigueur durant une période transitoire de quatre ans. La France devra donc revoir sa réglementation dans les années à venir, quant à l’âge de collecte des empreintes digitales des mineurs. En revanche, la règle « une personne un passeport » est déjà active, puisqu’il n’est plus possible d’inscrire un enfant mineur sur le passeport de l’un de ses parents. Globalement, le Parlement européen précise la proposition de la Commission qui s’était effectivement limitée à adopter des modifications succinctes au règlement 2252/2004, et intègre des éléments quant à la sécurité des données, le support de stockage devant être de « haute sécurité » et les spécifications techniques complémentaires visées à l’article 2 du règlement de 2004 devront désormais être « conformes aux normes internationales, notamment aux recommandations de l’Organisation de l’aviation civile internationale ».
Parlement européen, Résolution législative du 14 janvier 2009
Parlement européen, Rapport du 15 décembre 2008
(Mise en ligne Janvier 2009)