Après avoir entendu le rapport de M. Claude CASTELLUCCIA commissaire, et les observations de M. Damien MILIC, commissaire adjoint du Gouvernement,

Etant rappelés les éléments de contexte suivants :

Le projet de texte soumis à la Commission est relatif à la mise en place d'un dispositif de « contrôle d'existence » des personnes bénéficiaires d'une pension de retraite versée par des caisses françaises, demeurant à l'étranger.

En vertu de l'article 1983 du code civil, le paiement d'une rente viagère est subordonné à la certitude de l'existence du bénéficiaire. Cette preuve est actuellement apportée par un « certificat d'existence », document délivré par les autorités consulaires françaises à l'issue d'un entretien avec le bénéficiaire, puis envoyé par le bénéficiaire à sa caisse d'affiliation, par voie postale.

Le ministère indique que cette procédure présente certains inconvénients en ce qu'elle nécessite des déplacements contraignants pour des expatriés, dont l'âge peut compliquer l'organisation de ces déplacements, et en ce qu'elle dépend également de la fiabilité du réseau postal, variable selon le pays concerné.

Dans ce contexte, l'article 104 de la loi de financement de sécurité sociale pour l'année 2021 a introduit dans le code de la sécurité sociale, par la voie d'un amendement parlementaire, la possibilité alternative et facultative d'établir cette preuve au moyen de dispositifs techniques permettant l'usage de données biométriques, notamment via un dispositif de reconnaissance faciale.

La loi prévoit qu'un décret en Conseil d'Etat, pris après avis de CNIL, précise « les moyens pouvant être utilisés à cette fin et les garanties apportées aux personnes dans l'utilisation de ces dispositifs et l'exercice de leurs droits. Il prévoit les conditions d'utilisation par les personnes concernées des outils numériques leur permettant d'effectuer cette démarche ».

Formule les observations suivantes :

Sur le fonctionnement général du dispositif

Le nouveau dispositif consiste en un traitement de données à caractère personnel, dénommé « Contrôle dématérialisé de l'existence », utilisant un système de reconnaissance faciale statique et dynamique, sous la forme d'une application installée sur un équipement mobile du bénéficiaire. La Commission rappelle que le recours à un tel dispositif est facultatif.

Le terminal mobile sera utilisé pour acquérir les flux vidéo et photographique du bénéficiaire ainsi qu'une photographie de son titre d'identité.

Par ailleurs, les terminaux mobiles possédant la capacité technique de lecture des puces utilisant la technologie de « Communication en Champ Proche » (CCP, également connue comme « Near Field Communication » ou NFC), pourront acquérir les données stockées sur les puces des titres d'identité qui en sont équipés.

Une fois ces données acquises, l'application procédera à trois séries d'analyses, ayant respectivement pour objet la vérification de l'authenticité du titre, le calcul et la comparaison des gabarits biométriques issus des flux mentionnés précédemment et, enfin, la vérification de ce que le flux de l'utilisateur correspond à l'image d'une personne effectivement vivante. Si le résultat est concluant, la preuve que le bénéficiaire de la pension est encore vivant sera considérée comme acquise.

Sur les principes de protection des données dès la conception et protection des données par défaut

En vertu de l'article 25 du RGPD, « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées […] qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée […]. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. »

La mise en œuvre de ce principe repose sur l'étude des solutions alternatives, lorsqu'elles existent, en vue d'identifier celles qui sont les plus respectueuses des droits et intérêts des personnes, minimisent les catégories de données traitées, et assurent le niveau de sécurité adéquat.

En l'espèce, les éléments communiqués par le ministère ne permettent pas d'apprécier la réalisation de cette analyse au moment de la conception du système.

A cet égard, la Commission s'interroge sur l'opportunité de collecter de nombreuses catégories de données extraites des titres d'identité des usagers (photo et vidéo du titre, photo du titulaire du titre, son état civil, dates d'émission et de validité du titre, autorité de délivrance, type et numéro du titre, etc.) en vue de remplir les objectifs poursuivis par le traitement.

En effet, à titre d'exemple, la mise en place d'un dispositif alternatif sous la forme d'une base de données ne contenant que les gabarits des bénéficiaires souhaitant utiliser le dispositif de vérification numérique, chiffrées à l'aide d'un secret à la main des personnes concernées elles-mêmes et qui seraient comparées avec des flux photo ou vidéo acquis via un terminal mobile de l'utilisateur, semblerait permettre un niveau de fiabilité comparable ou supérieur tout en minimisant sensiblement les catégories de données traitées et en augmentant les performances opérationnelles du dispositif.

Le choix d'une telle architecture permettrait non seulement de réduire le nombre des catégories de données traitées, mais également rendre le dispositif accessible à l'ensemble des bénéficiaires de retraite, quel que soit le pays émetteur de leur titre d'identité.

Elle prend acte de l'engagement du ministère à mener une telle étude de solutions alternatives et de mettre à jour l'analyse d'impact sur la protection des données de manière à intégrer son analyse en la matière.

Sur l'accessibilité du dispositif

Selon l'Agence du numérique, sur treize millions de Français n'utilisant peu ou pas internet et éprouvant des difficultés face au développement des usages numériques, environ 8,7 millions de personnes ont plus de 65 ans. L'Institut national de la statistique et des études économiques (INSEE) quant à elle estime que le nombre total des personnes de plus de 65 ans résidant en France s'élève à environ 17,2 millions.

De ces chiffres, il ressort qu'environ une personne âgée de plus de 65 ans sur deux, pourrait être confrontée à des difficultés, voire à l'impossibilité d'utiliser de tels dispositifs.

Le nombre de retraités résidants à l'étranger s'élevant, d'après les chiffres fournis par le ministère, à environ 1.4 million de personnes, il en résulterait qu'environ sept cent milles d'utilisateurs potentiels pourraient avoir des difficultés à utiliser ce dispositif.

Dans ces conditions, la Commission appelle l'attention du ministère sur les risques de fracture numérique engendrés par le développement croissant de ce type de dispositifs dématérialisés.

Si elle ne peut qu'encourager la numérisation des services publics, ce d'autant qu'il s'agit d'une alternative qui s'ajoute aux dispositifs existants, la Commission rappelle que la transition numérique nécessite une réflexion en amont sur l'accessibilité des dispositifs innovants et ne pourra se faire sans un accompagnement d'une partie de la population en matière d'usages et d'accès aux droits.

Sur la responsabilité de traitement

Les éléments du dossier communiqués à la Commission indiquent que le traitement sera mis en œuvre sous la responsabilité conjointe de l'Etat et du groupement d'intérêt public « Union Retraite » (« GIP Union retraite »).

Interrogé sur ce point, le ministère a confirmé que le GIP Union retraite assumera seul la qualité de responsable de traitement.

La Commission prend acte de cet engagement qui n'appelle pas d'observation particulière de sa part.

Sur la sous-traitance de traitement

Le projet prévoit l'insertion, au sein du code de la sécurité sociale (CSS), d'un nouvel article R. 161-19-4, lequel prévoit la possibilité, pour le GIP Union retraites, de confier certaines opérations de traitement, ainsi que la conception de ce dernier, à un prestataire extérieur agissant en qualité de sous-traitant au sens de l'article 28 du RGPD. La Commission rappelle que, contrairement à une interdiction de recourir à la sous-traitance, la possibilité de recours à celle-ci n'a en principe pas à être rappelée dans l'acte qui prévoit la création du traitement, dans la mesure où cette possibilité résulte directement de l'article 28 du règlement européen.

La Commission prend acte du fait que la disposition a ici pour objet de confirmer la possibilité de recours à la sous-traitance au seul GIP Union retraites, et non aux deux responsables conjoints, ainsi que le permet l'article 26.1 du RGPD.

En revanche, elle relève que :

- le projet d'article 161-19-4 du CSS prévoit la possibilité, et non l'obligation, de recourir à un sous-traitant ;

- le projet d'article 161-19-6 du CSS, quant à lui, semble impliquer non pas la possibilité de recourir à la sous-traitance, mais sa réalisation obligatoire.

Dans ces conditions, la Commission prend acte de l'engagement du ministère de modifier la rédaction des deux articles projetés.

Sur les données collectées

Le projet de décret prévoit la collecte de plusieurs catégories de données :

- les données relatives aux bénéficiaires (nom, nom d'usage, prénoms, civilité, date et lieu de naissance, adresse électronique, taille, couleur des yeux, sexe, gabarits biométriques du visage, numéro d'identification de la procédure de justification de l'existence, numéro d'identification du bénéficiaire de la pension de retraite) ;

- les données permettant la vérification de l'authenticité du titre d'identité des bénéficiaires (nature et numéro du titre d'identité, dates de sa délivrance et de son expiration, désignation et signature de l'autorité compétente ayant délivré le titre, nationalité du titulaire, certificat de la puce de communication en champ proche, vidéo du titre, photographie extraite du titre d'identité (si équipé d'une puce CCP) et photographie figurant sur le titre d'identité (dans tous les cas) ;

- les données permettant d'apprécier l'existence des bénéficiaires (vidéo du titre d'identité, photographie du bénéficiaire prise avec un équipement terminal de communications électroniques pour la reconnaissance faciale statique, vidéo du bénéficiaire prise avec un équipement terminal de communications électroniques pour la reconnaissance faciale dynamique, photographie extraite du titre d'identité, photographie figurant sur le titre d'identité) ;

- les données figurant sur le document justifiant de l'existence des bénéficiaires : nom, prénoms, date de naissance, numéro d'inscription au répertoire des personnes physiques, adresse, date d'émission du document attestant l'existence.

L'ensemble de ces données sont soit acquises via l'application installée sur le terminal portable de l'utilisateur, soit générées par le dispositif lui-même.

La Commission estime que ces données sont adéquates et proportionnées à l'objectif poursuivi.

Sur l'existence des interconnexions

Les éléments transmis par le ministère semblent indiquer que le traitement projeté sera interconnecté avec d'autres systèmes d'information, lesquels pourraient notamment inclure le dispositif « Mutualisation des Contrôles d'Existence » (MCE).

Interrogé par la Commission, le ministère a toutefois indiqué qu'aucun projet d'interconnexion aux systèmes d'informations existants à des fins d'appréciation de validité des titres d'identité utilisés n'est actuellement envisagé, la vérification de l'authenticité des titres se faisant uniquement par contrôle de cohérence des données obtenues à l'aide des flux photo et vidéo des titres, ainsi que des données figurant dans les puces CCP, le cas échéant.

La Commission prend acte de ces éléments, qui n'appellent pas d'observations particulières de sa part.

Sur la base légale du traitement et le traitement de données sensibles

Le traitement repose sur le fondement de l'article 6.1 e du RGPD, à savoir l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont et investi le responsable de traitement.

Le traitement projeté reposant sur un système de reconnaissance faciale, des données sensibles au sens de l'article 9.1 du RGPD sont traitées, plus particulièrement des données biométriques utilisées à des fins d'identification unique des personnes.

Interrogé, le ministère a précisé que le traitement de ces données est nécessaire pour un motif d'intérêt public important sur la base du droit d'un Etat membre, au sens des dispositions de l'article 9.2 g du RGPD.

S'agissant des « mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée » requises par l'article 9.2 g, la Commission relève que les personnes devront avoir le choix, sur une base volontaire, ainsi que l'indique le ministère, de recourir ou non à ce mode de justification de l'existence par la voie biométrique.

Le ministère précise de plus que les personnes seront informées chaque année de l'ensemble des moyens permettant de justifier de leur existence, soit par l'application précitée, soit par les moyens alternatifs qui existent actuellement.

La Commission prend acte de ces précisions. L'article L. 161-24-1 du CSS prévoyant que le décret en Conseil d'Etat doit notamment « préciser les garanties apportées aux personnes dans l'utilisation de ces dispositifs », elle invite le ministère à faire apparaître explicitement dans le projet de décret le caractère facultatif du recours au dispositif ainsi que l'information annuelle des personnes concernées sur l'ensemble des moyens alternatifs permettant de prouver leur existence.

Sur le principe de conservation de certaines données

Le projet de décret prévoit que l'ensemble des données acquises, à l'exception des gabarits générés, sont conservées « à des fins de lutte contre la fraude ou pour les besoins des actions en paiement de rappel d'arrérages dus aux assurés ».

Si le principe de conservation de certaines données à des fins contentieuses n'est pas remis en question, la Commission observe qu'il n'est à ce jour procédé à aucun enregistrement photo ni vidéo par les autorités consulaires dans le cadre de la délivrance du certificat d'existence.

Dans ces conditions, la Commission s'interroge sur les raisons de cette asymétrie de gestion des preuves entre les deux méthodes de preuve d'existence, et s'interroge sur l'existence d'une réelle nécessité de conservation des données telle que prévue dans le projet.

Sur les durées de conservation

Le projet de décret prévoit que les données sont conservées « dans la limite de cinq ans à compter de la décision de maintien ou de suspension du versement de la pension […] sauf en cas de contentieux où elles sont conservées jusqu'à l'intervention d'une décision d'un juge devenue définitive ».

Outre cette limite générale fixée par le décret, les éléments communiqués par le ministère font apparaître deux durées de conservation distinctes :

- la première concerne la conservation des données en base active pour soixante jours « à des fins de contrôles et de suivi » ;

- la seconde correspond à un archivage intermédiaire de cinq ans en vue de lutte contre la fraude.

Selon les éléments du dossier, la conservation en base active vise à permettre « les contrôles manuels et le suivi du marché (audit, gestion des réclamations, …) ». Le délai de traitement par un opérateur humain en cas d'incertitude des analyses algorithmiques de la pièce d'identité ou du rapprochement biométrique étant d'un jour ouvrable seulement, la Commission a interrogé le ministère sur les raisons d'une conservation plus longue.

Par ailleurs, le ministère a indiqué que la conservation de données en base active répondait également à un besoin de réaliser des contrôles de performance sur les traitements et des décisions prises par les salariés du prestataire et son algorithme.

A cet égard, la Commission prend note de l'engagement du ministère de modifier le projet de décret de manière à distinguer les durées pendant lesquelles les données conservées pourront être consultées pour l'une et l'autre des deux finalités précitées.

Plus particulièrement, la Commission prend note de l'engagement du ministère de limiter l'accès aux dites données :

- à quatre-vingt-seize heures, comme recommandé par le référentiel d'exigences applicables aux prestataires de vérification d'identité à distance (PVID) publié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) 1er mars 2021, pour les agents en charge de valider les décisions de rejet générées par le dispositif ;

- à soixante jours pour les agents du GIP habilités à réaliser des contrôles de performance du dispositif et des décisions prises.

Concernant le choix de la durée d'archivage intermédiaire du dossier de preuve, le ministère indique que la durée de cinq ans correspond à celle figurant dans ce même référentiel.

Si le PVID constitue en effet un document général de référence, la Commission rappelle que la durée de conservation doit être déterminée au cas par cas, de manière proportionnée aux finalités poursuivies et au contexte du traitement. Dès lors, si la durée pendant laquelle peut survenir un contentieux est un élément à prendre en compte, cet élément ne saurait emporter, à lui seul, l'alignement systématique de la durée de conservation sur la durée de prescription. La Commission relève d'ailleurs que le référentiel PVID invite le responsable de traitement à s'appuyer sur le guide pratique de la CNIL relatif aux durées de conservation pour définir les durées et modalités de conservation de ces données.

Au cas d'espèce, la vérification ayant une fréquence annuelle, conserver l'ensemble de ces données au-delà de la date de constitution du dossier de vérification de l'année suivante paraît disproportionné, particulièrement dans la mesure où le mode de vérification alternatif (physique) n'inclut aucun dossier de preuve permettant de vérifier a posteriori la validité de la procédure.

Sur la réalisation d'une expérimentation

La Commission prend bonne note du fait que le principe même de mise en place d'un dispositif permettant d'effectuer la vérification d'existence des bénéficiaires des prestations de retraite à l'aide de la biométrie, est actuellement inscrit à l'article L. 161-24-1 du code de sécurité sociale.

Sans remettre en cause ce principe, la Commission recommande au ministère de réaliser, préalablement à la mise en place définitive du dispositif en question, une phase d'expérimentation permettant d'apprécier les modalités techniques de mise en œuvre du traitement.

En particulier, elle recommande que soient à cette occasion comparées les performances de l'architecture telle que prévue actuellement, c'est-à-dire nécessitant un traitement de données extraites d'un titre d'identité, et celles d'une architecture ne nécessitant pas de traitement de données extraites d'un tel titre, fonctionnant par exemple sur le schéma décrit précédemment.

A l'issue de cette phase d'expérimentation, la Commission invite le ministère à réaliser un rapport sur le fonctionnement des dispositifs, en y incluant des éléments statistiques chiffrés permettant notamment d'apprécier le contexte socio-démographique de son utilisation, les performances attendues et réelles du dispositif, le nombre des interventions humaines, et l'existence éventuelle de procédures contentieuses.

Enfin, elle prend acte de l'engagement du ministère à :

- préalablement à la mise en œuvre du traitement, mettre à jour l'AIPD en y faisant notamment apparaître, d'une part, les mesures de sécurité qui seront arrêtées avec l'assistance du sous-traitant et, d'autre part, des développements relatifs aux principes de protection des données dès la conception et protection des données par défaut ;

- transmettre ce document à la Commission avant la mise en production du dispositif ;

- transmettre le rapport visé précédemment à la Commission pour compléter son information sur le dossier.

Sur les mesures de sécurité

La Commission considère que la nature des données traitées impose que le dossier de preuve fasse l'objet de mesures de chiffrement conformes aux annexes B1 et B2 du référentiel général de sécurité (RGS) tant au niveau des bases de données que des sauvegardes.

S'agissant du dossier de preuve, le responsable de traitement devra mettre en place une politique de gestion des habilitations et prévoir des modalités de conservation à même de garantir que les accès à ce dossier soient effectivement limités aux seuls cas de contestation de la procédure de vérification d'existence.

La Commission recommande qu'un contrôle d'intégrité soit opéré sur les données stockées ainsi que sur les sauvegardes et archives, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du RGS.

Concernant la qualification des performances du dispositif, la Commission invite le responsable de traitement à une vigilance toute particulière concernant la phase de contrôle de l'intégrité des titres.

Dans l'hypothèse où, suite à l'expérimentation menée par le ministère, l'architecture sélectionnée nécessiterait le traitement de données extraites des titres d'identité des usagers, et étant donné que seuls certains types des titres délivrés par des autorités étrangères seront acceptés, le prestataire devra en particulier être en mesure de fournir des preuves des performances en termes de rejet des titres falsifiés pour chaque type de titre accepté par le dispositif.

La Commission invite le responsable de traitement à fixer des métriques précises en termes de performances minimales attendues pour chacun des titres acceptés en considérant différents scénarios d'attaque. Tout titre additionnellement supporté dans le cadre de l'évolution du dispositif devra répondre aux mêmes exigences.

Dans tous les cas, la Commission accueille favorablement la définition d'un taux de faux positif et de faux négatif maximum imposé pour la phase de rapprochement biométrique lors de la procédure de sélection du prestataire technique. Elle invite de plus le responsable de traitement à s'assurer que les scénarios d'attaque (notamment au regard des avancées en termes de manipulation des flux vidéo pour procéder à des remplacements de visage) sont exhaustivement couverts par les protocoles de test et que les taux de faux positifs sont fournis de manière différenciée pour chaque typologie d'attaque.