Protection des données personnelles : «Pas question d’une CIN biométrique avec des données personnelles stockées au ministère de l’Intérieur», tranche Chawki Gaddas

Pour ceux et celles qui ne le savent pas, l’encadrement juridique de la protection des données personnelles a été amorcée en Tunisie à partir de 2002. L’Instance nationale de protection des données personnelles (INDP) a été créée par la loi organique n° 2004-63 du 27 juillet 2004, non pas parce que l’ancien président Ben Ali était soucieux de préserver la vie privée de ses concitoyens, mais parce que cela coïncidait avec la tenue de la deuxième session du Sommet mondial sur la société de l’information (SMSI) en Tunisie en 2005.

La préservation des données personnelles dans notre pays est constitutionnalisée. Cela fait des années que l’on met en place les cadres juridiques en rapport avec ce droit garant de la sécurité des personnes et de leur intégrité morale, intellectuelle et même physique. 

Si l’on autorise les différents départements concernés par la sécurité nationale à mettre en place des bases de données comprenant des informations top confidentiel, le citoyen lambda risque gros et pourrait devenir à la merci de certains acteurs des pouvoirs publics. C’est ce que pensent nombre d’ONG et d’acteurs de la société civile.

Entretien à ce propos avec Chawki Gaddas, président de l’INDP depuis le 5 mai 2015 et juriste spécialisé en droit public, en droit des technologies de l’information et de la communication et en droit électoral.

WMC : La question de l’heure est cette histoire de CIN biométrique à laquelle votre instance a opposé son véto. Pourquoi ?

Chawki Gaddas: Vous devriez le savoir mais nous le répétons une fois de plus: l’Instance n’a rien contre la carte d’identité biométrique. Et en tant que président de l’INPDP, j’irais encore plus loin, nous ne pourrions pas développer l’administration électronique et le commerce électronique sans la carte d’identité biométrique. C’est-à-dire une carte qui permet d’identifier la personne à distance. Mais la question qui se pose aujourd’hui est : “comment réussir à identifier la personne sans qu’il y ait risque de violer sa vie privée ?“

Aujourd’hui, on parle d’extraits de naissance électroniques, n’importe qui arrive en possession du numéro de la CIN d’un tel peut le demander à distance et l’avoir. C’est grave.

Par contre, il y a des documents publics accessibles à tous tel le registre du commerce ou le titre de propriété. Si jamais un banquier voudrait faire une hypothèque ou une personne voudrait acheter un bien public, ls faut bien qu’ils sachent à qui appartient ladite propriété.

Comment définir les documents à portée publique de ceux à portée privée ?

Il faut les prendre au cas par cas. Nous ne pouvons pas, dans l’immédiat, établir une liste de documents publics ou privés. Si dans ma quête d’un document, il y a un droit plus important en matière de respect de la vie privée, c’est celui-là qui doit prévaloir. En fait, il s’agit d’établir un équilibre entre le respect des données privées et la protection des autres droits.

Je viens de vous dire qu’il faut que, en matière de droit à la propriété, la transparence devienne la règle. Et pourtant, le droit à la propriété est un droit constitutionnel. Mais il y a l’autre face de la médaille : quand on veut acheter une propriété, on doit savoir à qui elle appartient, c’est ce qui explique que son titre relève du domaine des informations publiques. Dans ce cas précis, la transparence prend le dessus sur la protection des données personnelles.

Par contre, si jamais vous venez me demander des informations sur un livret de santé, ma réponse serait que personne n’a le droit d’y accéder.

Par contre, si jamais vous venez me demander des informations sur un livret de santé, ma réponse serait que personne n’a le droit d’y accéder. Le médecin peut le refuser même sur injonction d’un juge. Quand les médecins me demandent ce qu’ils doivent faire dans ces cas précis, je leur réponds : jetez cette injonction à la poubelle, elle n’a aucune valeur juridique.

Un exemple concret : supposons qu’une femme qui veuille divorcer réclame le livret de santé de son mari dépressif à l’hôpital Errazi, eh bien elle n’en a tout simplement pas le droit et ce dans tous les cas de figure. Il n’y a que le juge qui puisse en disposer, et le médecin traitant est passible de poursuites judiciaires s’il ne respecte pas le principe de la confidentialité des données.

Tout est question de culture et de maîtrise de la loi et des règles de droit.

Quand les données biométriques sont subtilisées, cela peut s’avérer dangereux, d’où la nécessité d’une sécurité maximale. Est-ce cela qui explique votre insistance pour que tous les moyens soient mis en place pour une vigilance extrême les concernant ?

Les données biométriques peuvent être dangereuses, parce que nous naissons avec, et on peut nous identifier aussi aisément que sûrement. Certaines personnes malintentionnées peuvent donc s’immiscer dans la vie des gens et même usurper leur identité. Si nous évoluons dans une société digitalisée et numérisée, nous pouvons prendre l’identité de quelqu’un.

Mais depuis le lancement en 2009 de la plus grande base de données au monde en Inde, ce gigantesque projet, mal ajusté, a été piraté à maintes reprises…

Certains pays sont allés tête baissée dans les programmes de données biométriques et s’en sont mordus les doigts. Les Etats-Unis d’Amérique n’ont pas de données biométriques. Mais prenons l’exemple de l’Inde, c’est un pays qui a mis en place un fichier national des empreintes digitales, des empreintes rétiniennes de l’image, etc. Ils ont, en fait, offert une base d’un milliard 300 millions de données biométriques de leurs propres citoyens à ceux que cela peut intéresser. C’est la plus grande base de données biométrique au monde. L’ambition d’Aadhaar (la base) était d’assigner à chaque citoyen indien un numéro à douze chiffres auquel tout serait lié : carte d’identité, compte en banque, numéro de téléphone, factures, logement, réservations de train, et même paiement par empreinte digitale. Mais depuis son lancement en 2009, ce gigantesque projet, mal ajusté, a été piraté à maintes reprises, et la CIA n’a pas été du reste. Snowdon l’a déclaré. Aujourd’hui cette base se vend à 7 ou 10 euros sur le dark web.

Que faire alors ? Ne pas accompagner les progrès du numérique dans le monde ?

Bien sûr que si, mais en prenant toutes les précautions nécessaires s’agissant de la vie privée des gens. Et ce n’est pas Chawki Gaddas qui le préconise, ce sont les Cours constitutionnelles dans nombre de pays développés qui le décrètent. La Cour constitutionnelle allemande le stipule. Il est inadmissible de procéder à la mise en place d’une plateforme destinée au fichage de toute la population. Si jamais on est contraints de le faire, il faut que cela touche des catégories bien définies : des criminels récidivistes, ou des terroristes, et ce pour pouvoir les surveiller de prés.

C’est aussi le point de vue du Conseil constitutionnel de la France, de la Cour suprême de l’Ile Maurice et la Cour européenne des droits de l’Homme.

Pourquoi, d’après vous, le projet de loi pour doter les Tunisiens de CIN et passeports biométriques a été retiré par le ministère de l’Intérieur suite à votre intervention ?

En fait, nous n’avons pas, comme déjà mentionné, rejeté le principe des CIN biométriques, mais nous avons tenu à mettre en place toutes les garanties visant la protection des données personnelles de nos concitoyens. J’ai proposé qu’elles se limitent à la puce de la carte d’identité sans qu’il y ait de bases de données derrière. Le MI a refusé. Ce qu’il voulait était la constitution de la base de données sur toutes les personnes en possession des CIN. J’estime, en ce qui me concerne, qu’il va falloir délimiter le champ d’action de tout organisme public dès que nous décelons un risque sur la vie privée des uns ou des autres.

La loi fixe les modalités relatives aux droits et aux libertés qui sont garantis dans cette Constitution ainsi que les conditions de leur exercice sans porter atteinte à leur essence

Ces limites correspondent-elles ou pas à ce que stipule l’article 49 de la Constitution ? Cet article stipule ce qui suit : «La loi fixe les modalités relatives aux droits et aux libertés qui sont garantis dans cette Constitution ainsi que les conditions de leur exercice sans porter atteinte à leur essence. Ces moyens de contrôle ne sont mis en place que par la nécessité que demande un État civil démocratique et pour protéger les droits des tiers ou pour des raisons de sécurité publique, de défense nationale, de santé publique ou de morale publique et avec le respect de la proportionnalité et de la nécessité de ces contrôles. Les instances judiciaires veillent à la protection des droits et des libertés de toute violation».

L’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles

Il est inconcevable qu’un amendement touche les acquis en matière de droits de l’Homme et des libertés garanties dans la Constitution. L’article 24 de la Constitution stipule que le droit à la vie privée, par la mise en place de données biométriques entre autres, ne peut être remis en question : «L’État protège la vie privée, l’inviolabilité du domicile et le secret des correspondances, des communications et des données personnelles. Tout citoyen dispose de la liberté de choisir son lieu de résidence et de circuler à l’intérieur du territoire ainsi que du droit de le quitter».

Ces droits qui ont été décrétés par la loi ne peuvent être révisés que par une loi. Je tiens à préciser à ce propos que le gouvernement voulait promulguer un décret pour procéder à la mise en place d’une base pour les données biométriques mais j’ai exigé une loi. Quand le ministre de l’Intérieur a abordé cet important sujet au Parlement, il a dit que le projet de loi consiste à lancer les CIN biométriques et concomitamment implanter partout des caméras pour procéder à la reconnaissance faciale. Nous sommes où là ? En Chine ? Ce n’est certainement pas le meilleur modèle.

En fait, le système prévoit de collecter tous les renseignements à caractère personnel des Tunisiens, sans préciser où ces informations seraient sauvegardées, combien de temps elles seraient conservées, comment ni qui peut y accéder. On voulait passer un projet de loi ne comprenant aucune garantie. En ce qui nous concerne, nous leur disons “faites votre carte biométrique comme vous l’entendez, nous n’avons rien contre mais le stockage des données se fait uniquement sur les puces“.

Pour vous, une CIN biométrique est une menace pour la vie privée des personnes. Quelle est la solution alors dans un monde où nous n’arrivons pas à lutter contre des phénomènes aussi dangereux que la grande criminalité et le terrorisme ?

C’est simple, soyez raisonnable et n’allez pas plus loin. Créez cette carte, mettez toutes les données dans la puce, donnez le login et le mot de passe à la personne concernée pour qu’elle voie si vous n’avez pas mis quelque chose dont elle n’est pas au courant, et donnez des garanties que la puce n’a pas un lecteur à distance et qu’il faut la faire rentrer dans une machine plutôt pour la lire.

Ce qu’il faut c’est une puce à lecteur à contact, comme le passeport. Les responsables du ministère de l’Intérieur sont d’accord avec nous mais ils tiennent à leurs bases de données

Donc, ce qu’il faut c’est une puce à lecteur à contact, comme le passeport. Les responsables du ministère de l’Intérieur sont d’accord avec nous mais ils tiennent à leurs bases de données. Ils disent que sans la base de données, le projet de loi ne servira plus à rien, la carte d’identité biométrique aussi, donc ils ont retiré le projet de loi.

Le MI dit être d’accord mais je sais qu’il est en train de mettre en place une base de données biométriques. Elle n’aura pas de d’existence légale sans la loi. Mon mandat à la tête de cette instance se termine au mois de mai, ils en profiteront peut-être pour faire adopter la loi, mais attendons voir.

Avez-vous des réactions de la part de personnes avisées ou de citoyens lambda par rapport à cet état de fait ?

Certaines personnes ont réagi en disant des choses incongrues, du genre «pourquoi vous donnez vos empreintes aux ambassades pour avoir un visa Schengen». Ce qu’ils refusent de comprendre est que le visa Schengen n’est pas un fichage systématique des personnes. Ensuite, c’est nous qui sollicitons ce visa, personne ne nous l’impose et, par conséquent, nous devons nous soumettre aux règles en vigueur dans ces pays. Enfin, les données du visa Schengen sont utilisées strictement pour le visa, hautement protégées et sont séparées et fractionnées. Elles sont facilement identifiées et transparentes, donc il n’y a aucun problème. Ce ne sont pas des données biométriques.

Qu’en est-il du passeport biométrique ?

S’agissant du passeport, c’est différent. Il est aujourd’hui une nécessité internationale. Mais le process est assez simple. Quand je veux avoir un passeport pour la première fois ou le renouveler, je passe au poste de police, je mets mes empreintes, aussitôt elles doivent être effacées.

Il faut savoir que les services sécuritaires n’ont pas nos empreintes numérisées, elles se trouvent tout juste sur du papier et ne peuvent être traitées par l’informatique. Elles sont trop nombreuses : plus de 8 millions d’empreintes.

Il faut savoir que les services sécuritaires n’ont pas nos empreintes numérisées, elles se trouvent tout juste sur du papier et ne peuvent être traitées par l’informatique

Dans les systèmes démocratiques, on code les empreintes et on les stocke dans trois fichiers différents par souci de sécurité. En France, lorsqu’ils ont voulu mettre en place une banque de données biométriques -obsession de tous les ministères de l’Intérieur pour les CIN-, on leur a rétorqué : tout d’abord, il faut informer la personne et avoir son consentement explicite. Ensuite, il faut voir ce que vous allez en faire, et si elle refuse, vous gardez le système traditionnel, c’est-à-dire celui où les empreintes sont couchés sur du carton. Et puis, ce que vous devez savoir est que la carte d’identité dans la législation française, et même dans la législation européenne, n’est pas obligatoire. Dans notre pays, elle l’est. C’est une bataille importante que celle de mettre fin à l’obligation de se munir d’une CIN. Celui qui veut l’avoir est libre et celui qui ne le veut pas, l’est autant. Il y a d’autres pièces d’identité tels le permis de conduire ou le passeport.

En avez-vous discuté avec les responsables du ministère de l’Intérieur ?

A ce jour, ils refusent de me voir. J’ai sollicité à trois reprises une audience avec le ministre sans succès. Je voulais le voir pour lui dire que la solution existe, je l’ai mais pour le savoir il faut m’écouter. Nous n’inventons rien, il n’y a qu’à voir le rapport du Sénat français à propos de la carte biométrique. J’ai reçu, il y a quelques semaines, un Tunisien qui travaille en partenariat avec un Français et qui dispose de la solution informatique pour créer une base de données biométriques sans que cela ne menace la vie privée des gens ou des informations les concernant. Les solutions existent et il n’est pas question de ficher tout le monde.

J’appelle le ministère de l’Intérieur à être raisonnable. Ils peuvent mettre en place la carte d’identité biométrique en donnant le login et le mot de passe à la personne concernée pour qu’elle puisse vérifier si on n’y a pas mis des informations dont elle n’est pas au courant. Il faut aussi que nous soyons sûrs que la puce n’a pas de lecteur à distance et qu’il faut la faire rentrer dans une machine plutôt pour la lire. C’est donc une puce à lecteur à contact, comme le passeport.

Aux USA et en Europe, on a compris, qu’un homme ou une femme derrière un comptoir ne peut pas tout vérifier à partir de la photo et qu’il peut facilement y avoir usurpation d’identité

Le passeport tunisien pourrait ne plus être reconnu à l’international dans 2 ou 3 ans s’il n’est pas biométrique. Ne pensez-vous pas que cette bataille rangée entre vous et le MI et à juste titre, nous le reconnaissons, pourrait bloquer sa réalisation ?

Le passeport biométrique est une obligation légale. Si la carte d’identité est un choix national, le passeport est un choix international. Et vous avez raison, dans quelques années personne ne peut partir en Europe ou aux Etats-Unis sans passeport biométrique. Parce qu’aujourd’hui, l’identification des personnes aux postes frontières va se faire à partir du passeport biométrique. Dans ces pays, on a compris, qu’un homme ou une femme derrière un comptoir ne peut pas tout vérifier à partir de la photo et qu’il peut facilement y avoir usurpation d’identité. La seule solution est l’empreinte digitale sur la puce du passeport et la reconnaissance faciale.

C’est pour cette raison qu’on a installé des SAS. On n’est même pas obligés d’ouvrir le passeport, on le porte sur nous, et en rentrant dans le SAS, il y a une lecture automatique qui se fait et de la puce qui se trouve sur le passeport. La machine nous identifie et nous demande de mettre notre empreinte sur un lecteur d’empreinte, une caméra va prendre la photo en temps réel et les infos sont traitées en temps réel. Et si tout est en règle, la porte s’ouvre et vous rentrez sur le territoire de l’espace Schengen aussitôt, autrement vous rentrez chez vous. C’est pour toutes ces raisons que le passeport biométrique est aujourd’hui indispensable.

Entretien conduit par Amel Belhadj Ali