| Date de l'avis : 20 juillet 2023 | N° de la délibération : 2023-077 | |:---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:------------------------------------------------------------------------| | N° de demande d'avis : 23004769 | Texte concerné : projet de décret | | Thématiques : titre d'identité, TES, expérimentation, passeport, dématérialisation |Fondement de la saisine : article 32 de la loi du 6 janvier 1978 modifiée| |L'essentiel :
1. La CNIL relève les efforts du ministère pour garantir le un haut niveau de sécurité, comme le montre la sollicitation de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour l'accompagnement de cette expérimentation et l'engagement de recourir à un moyen d'identité électronique de niveau « substantiel ».
2. Toute pérennisation exigera la réalisation d'un bilan complet de l'expérimentation, et devrait être pour sa part conditionnée à la possibilité de recours à un moyen d'identité électronique de niveau « élevé ».| |

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'Europe et des affaires étrangères d'une demande d'avis concernant un projet de décret en Conseil d'Etat relatif à l'expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ci-après la loi « informatique et libertés », notamment son article 32 ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Contexte de la saisine

Dans le cadre d'une demande de renouvellement de passeport, le régime actuel prévoit le principe d'une double comparution personnelle afin de s'assurer de l'identité de la personne : une comparution pour la réception de la demande lors de laquelle une prise d'empreinte digitale obligatoire est réalisée, conformément aux dispositions du décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports ; une seconde comparution pour la délivrance du titre, lors de laquelle l'empreinte digitale est comparée avec celle contenue dans le passeport.
Le ministère souhaite expérimenter la dématérialisation de ces demandes de renouvellement pour les Français de l'étranger, en procédant au renouvellement du titre sans comparution personnelle physique. A l'achèvement de la procédure, le titre serait transmis par envoi postal sécurisé. Il serait donc dérogé au principe de double comparution personnelle et dès lors à une nouvelle prise d'empreinte digitale.
Le motif justifiant cette expérimentation est celui de la commodité pour les ressortissants français de l'étranger. Ils peuvent en effet résider en un lieu éloigné des implantations du réseau d'ambassades et de consulats.

B. - Objet de la saisine

La CNIL est saisie d'une demande d'avis sur le projet de décret en Conseil d'Etat relatif à l'expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport.
Le projet de décret prévoit une procédure dérogatoire afin de permettre la demande d'un renouvellement de passeport sans comparution personnelle et sans prise d'empreintes digitales du demandeur.
Cette procédure constitue une dérogation à la procédure de renouvellement des passeports. Elle déroge par là même, sur des points techniques, au décret n° 2016-1460 du 28 octobre 2016 relatif au traitement TES. La CNIL rappelle qu'elle a souligné dans ses précédents avis n° 2016-292 et n° 2021-022 les risques importants inhérents à la constitution même de cette base de données centralisée de données biométriques, qui ne peut être admise que dans la mesure où des exigences impérieuses en matière de sécurité ou d'ordre public le justifient.
Le ministère a transmis à la CNIL la mise à jour de l'analyse d'impact pour la protection des données (AIPD) de TES, valant pour l'expérimentation projetée. L'AIPD détaille les étapes du renouvellement dématérialisé :

- préalablement à sa demande de renouvellement, l'usager doit être enregistré au registre consulaire ;
- l'usager se connecte de manière sécurisée à la démarche de demande de renouvellement de passeport par l'intermédiaire de FranceConnect+, la version de FranceConnect de niveau d'identification substantiel au sens du règlement n° 910/2014/UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS). Il peut réaliser une pré-demande de renouvellement ;
- un ensemble de justificatifs sera demandé à l'usager, dont une partie à transmettre par voie postale (photographie) ;
- un rendez-vous par visioconférence sera proposé à l'usager dès la transmission de l'ensemble des justificatifs. Le rendez-vous en visioconférence utilisera l'outil « WEBCONF » fourni par la direction interministérielle du numérique. Il donnera l'occasion de réaliser une série de vérifications ;
- si ce rendez-vous est concluant, l'agent consulaire saisira la demande de de renouvellement de l'usager dans le traitement TES à partir du dispositif de recueil. Cette demande se faisant sans prise d'empreinte à la différence de la procédure normale ;
- le consulat transmettra à l'usager un récépissé, via le traitement REGISTRE, et transmettra la demande au Centre de traitement des documents sécurisés (CTDS). Le CTDS procèdera ensuite à l'instruction de la demande. En cas d'acceptation, les empreintes de l'usager seront dupliquées dans le nouveau titre ;
- sauf rejet de la demande, le passeport sera envoyé au consulat. L'agent consulaire procédera à l'expédition sécurisée du passeport à l'usager ;
- l'usager devra attester de la réception de son nouveau passeport en retournant l'attestation de remise dûment signée via un téléservice. A défaut, le nouveau passeport sera automatiquement invalidé à l'issue d'un délai de quarante jours.

Le périmètre de cette expérimentation est triplement limité :

- géographiquement, aux ressortissants français dont la résidence habituelle est fixée au Portugal ou au Canada ;
- matériellement, au renouvellement des passeports des ressortissants français majeurs inscrits au registre des Français établis hors de France. Sont, par ailleurs, exclus les cas de renouvellement suivants :
- pour perte ou vol ;
- pour changement de nom ;
- pour les cas de demande de second passeport ;
- pour les usagers ayant déjà eu recours au dispositif ;
- pour les usagers n'ayant pu fournir préalablement leurs empreintes.

- temporellement, l'expérimentation prenant fin le 1er janvier 2025.

Enfin, l'article 3 du projet de décret prévoit la réalisation d'un rapport d'évaluation au plus tard trois mois avant la fin de l'expérimentation.
Le rapport devrait contenir notamment le nombre de recours à cette procédure dérogatoire, les délais de délivrance des passeports, les difficultés rencontrées dont les tentatives de fraudes décelées, ainsi que les coûts constatés.

II. - L'avis de la CNIL
A. - Observations générales

Pour pallier l'absence de vérification physique de l'identité du demandeur, le ministère envisage une vérification d'identité reposant sur un moyen d'identification électronique (MIE).
Compte tenu de la nature du titre d'identité visé par l'expérimentation et de l'absence de toute comparution physique, la garantie d'un niveau de sécurité constant à chacune des étapes du processus apparaît essentielle. Parmi ces étapes, celle de l'authentification de l'usager par le biais d'un MIE est particulièrement critique. Ces MIE sont classés au regard du règlement n° 910/2014 du 23 juillet 2014 relatif à l'identification électronique et aux services de confiance (eIDAS) en trois niveaux de garantie, à savoir : « faible », « substantiel » et « élevé ». L'absence à ce jour d'outil qualifié au niveau « élevé » justifie le recours ponctuel et limité à un MIE de niveau « substantiel ». Ce niveau ne serait permis que par l'authentification lors de la démarche de demande de renouvellement de passeport via FranceConnect+, en cours de développement. En outre, la sécurisation de l'authentification du demandeur sera complétée par une série de vérifications (comparaison de la nouvelle photographie avec l'ancienne par exemple) et un entretien en visioconférence au cours duquel l'agent en charge de l'instruction procèdera à nouveau à une série de vérifications d'identité.
A titre liminaire, la CNIL reconnaît qu'il est légitime, pour favoriser l'accessibilité et l'efficacité des services publics, de faciliter les modalités de renouvellement des passeports des Français de l'étranger, dont certains peuvent habiter très loin du consulat dont ils dépendent, et pour qui un tel déplacement peut représenter un coût important. Elle souligne cependant que, alors qu'un déplacement est toujours possible et qu'un passeport ne se renouvelle que tous les dix ans, le fait d'instituer une procédure à distance, avec entretien par visioconférence, augmente également les risques d'usurpation d'identité au détriment des intéressés. En effet, les techniques de tromperie par visioconférence, notamment par des procédés dits de « morphing », rendent toujours plus difficile de détecter avec certitude les faux demandeurs. Il est donc crucial que la plus grande vigilance soit apportée à la sécurisation de l'expérimentation. Des usurpations d'identité, qui s'appuieraient dans ce contexte sur un passeport authentique délivré par l'administration, auraient des conséquences très lourdes pour les personnes qui en seraient victimes.
La CNIL prend acte de ce que l'expérimentation ne débutera qu'à compter du moment où l'authentification utilisée pour la démarche de demande de renouvellement de passeport reposera sur FranceConnect+ pour offrir un niveau de garantie au moins « substantiel », et de ce que ce niveau ou bien le niveau « élevé » seront utilisés à l'exclusion de tout autre pendant toute la durée de l'expérimentation.
En tout état de cause, la CNIL prend acte de l'engagement du ministère de recourir à un moyen d'identification électronique de niveau « élevé » dès lors qu'il serait disponible. Sans préjudice des prescriptions de l'ANSSI et du bilan dressé de l'expérimentation, la pérennisation de ce dispositif apparaît soumise à cette condition technique préalable.
L'absence d'une nouvelle prise d'empreinte serait, par ailleurs, compensée par la prolongation de la durée de conservation des empreintes digitales déjà détenues. La durée de conservation desdites empreintes serait portée à vingt-cinq ans par dérogation aux dispositions du décret du 28 octobre 2016 n° 2016-1460 modifié autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (« décret TES »).
Cette prolongation est la conséquence logique de l'expérimentation envisagée.

B. - Sur la vérification de l'identité du demandeur et l'exactitude des données

La vérification de l'identité du demandeur et l'exactitude des données traitées pour l'instruction de sa demande sont un enjeu clé au regard des risques potentiels pour les personnes en cas d'émission de titre frauduleux. Le ministère énonce une combinaison de mesures visant à diminuer les risques d'usurpation d'identité dans le cadre de cette expérimentation : restriction de l'éligibilité, niveau de garantie de l'authentification, visioconférence pour vérifier l'identité du demandeur et contrôles divers.
La CNIL accueille favorablement les garanties apportées, à savoir :

- l'accompagnement de l'expérimentation par l'ANSSI pour apporter son expertise en matière de visioconférence et de vérification d'identité à distance avant et pendant l'expérimentation ;
- la formation des agents consulaires à la détection de la fraude à l'identité par visioconférence ;
- la faculté des agents consulaires de rejeter la demande en cas de doute afin qu'une comparution physique ait lieu ;
- l'invalidation envisagée des nouveaux passeports en cas de non-restitution de l'ancien passeport.

La CNIL considère toutefois que la vérification d'identité à distance introduit des risques spécifiques d'attaques de présentation (altération de l'apparence de l'utilisateur par des moyens physiques ou numériques, ressemblance avec une autre personne ou encore présentation de titre virtuel) qui nécessitent l'utilisation de mesures spécifiques pour être contrées.
A cet égard, le fait que le demandeur fournisse une nouvelle photo d'identité lors de sa demande de renouvellement accroît, pour un tiers malveillant, le nombre de mesures à déjouer pour mener à bien une tentative d'usurpation d'identité. Cependant, elle est aussi susceptible d'introduire certains des risques spécifiques à la vérification d'identité à distance. Elle peut notamment être sujette à des tentatives de traitement par « morphing » (transformation d'image) visant notamment à la faire ressembler à la fois à la photo de l'ancien titre et à la personne qui se présente à l'entretien en visioconférence. Ceci est particulièrement le cas si cette personne utilise des techniques avancées d'altération de son apparence par des moyens physiques ou numériques. Ces attaques sont généralement désignées sous le vocable « d'attaques de présentation ».
En conséquence, s'agissant des conditions de mise en œuvre, la CNIL :

- estime nécessaire de se rapprocher du référentiel d'exigences concernant les prestataires de vérification d'identité (PVID) de l'ANSSI, lequel vise à prévenir les attaques par présentation en s'appuyant à la fois sur des opérateurs et des traitements automatiques. Le suivi des exigences qu'il décrit permet de s'assurer de la robustesse de la combinaison de mesures mises en œuvre. Ceci concerne en particulier le sous-ensemble des mesures correspondant aux exigences relevant des politiques et pratiques de vérification d'identité à distance pour l'acquisition (IV.3.2) et la vérification (IV3.3) du référentiel PVID de l'ANSSI ;
- préconise que le rapport bilan de l'expérimentation contienne aussi une évaluation des éléments spécifiques à la vérification d'identité à distance, concernant tant la sécurité des systèmes d'information que la fiabilité de la vérification (titres d'identité, comparaison du visage et détection du vivant) ;
- souligne l'importance qu'il y a à maintenir et mettre en œuvre rigoureusement la mesure prévue dans le projet du ministère, consistant à invalider les nouveaux passeports en cas de non-restitution des anciens ;
- propose d'envisager une restriction de l'ancienneté des justificatifs de domicile admis pour la démarche, afin de limiter le risque qu'un courrier soit intercepté à une ancienne adresse. Ceci permettra de réduire la durée pendant laquelle une tentative d'usurpation d'identité qui repose sur une ancienne adresse d'un détenteur légitime pourra être menée.

C. - Sur les droits des personnes

L'AIPD précise que les informations sur le traitement sont communiquées au demandeur au moment du recueil de sa pré-demande de renouvellement, et qu'elles figurent également sur le récépissé de confirmation d'enregistrement de la demande transmis par la démarche de demande de renouvellement de passeport.
La CNIL considère que des informations sur l'expérimentation devraient aussi être communiquées aux personnes concernées, en amont de toute démarche de renouvellement. Les personnes devraient pouvoir à cette occasion refuser par avance la faculté de renouvellement de leur passeport par cette voie expérimentale, s'ils craignent une usurpation d'identité par un tiers.
S'agissant des conditions de cette information, la CNIL estime :

- qu'une communication devrait avoir lieu envers les personnes éligibles à l'expérimentation, concernant la mise en place de celle-ci ;
- qu'il devrait être indiqué clairement aux personnes concernées, lors du parcours de renouvellement du passeport, que l'absence de comparution physique lors de la demande de renouvellement de passeport fait l'objet d'une démarche expérimentale. Ces informations pourraient apparaître par exemple sur la page d'accès au service en ligne par Service-Public.fr, sur la page web des postes consulaires ;

D. - Sur la sécurité

a. Sur l'analyse d'impact relative à la protection des données :
L'AIPD contient un tableau d'appréciation des risques relatifs à l'expérimentation, qui décrit l'ensemble des mesures à mettre en place. La CNIL estime nécessaire que ces mesures soient effectivement mises en œuvre avant le démarrage de l'expérimentation.
Par ailleurs, l'AIPD énumère les impacts des menaces prises en compte. La CNIL considère que la gravité de l'impact de la délivrance d'un titre à un demandeur non légitime, portant les informations d'état civil correctes d'un Français résidant à l'étranger, mais dont la photo correspondrait au demandeur non légitime est particulièrement critique et la considère comme maximale selon l'échelle définie.
b. Concernant l'authentification :
La CNIL accueille favorablement l'engagement du ministère de passer à un niveau de garantie « élevé » dès lors qu'un MIE de ce niveau sera proposé aux Français résidant à l'étranger.
Enfin, il est pris acte de ce que les identifiants Service-Public.fr ou la connexion par FranceConnect ne seront pas utilisés pour s'authentifier en vue d'une telle demande.
c. Concernant les communications complémentaires suite à la demande de renouvellement :
L'AIPD indique que le code sécurisé et les éventuelles demandes de documents complémentaires passent par courriel ou par téléphone. Il est aussi indiqué que le site Service-Public.fr est privilégié pour l'échange d'informations entre le demandeur et l'agent consulaire.
La CNIL considère que des moyens plus sécurisés que le courriel ou le téléphone, permettant notamment de garantir la confidentialité, l'intégrité et l'authenticité des communications, devraient être privilégiés.
Tous les échanges d'information entre le demandeur et l'agent consulaire devraient donc être effectués par un moyen d'échange sécurisé. Idéalement, le niveau d'authentification pour accéder à ces échanges devrait être celui offert par FranceConnect+, utilisé lors de la demande de renouvellement. Un courriel ou un appel téléphonique peut être utilisé pour informer de la présence d'un message en attente, mais sans en divulguer le contenu.
d. Concernant les homologations :
La CNIL note que la majorité des éléments du plan d'action lié à l'homologation de TES, identifiés dès l'automne 2020, ne sont pas encore déclarés comme réalisés et que le ministère projette une réalisation en 2023.
La CNIL accueille toutefois favorablement le fait qu'il soit prévu que la prochaine commission d'homologation RGS, prévue en janvier 2024, couvre le périmètre de l'expérimentation au même niveau que le reste du traitement TES et considère que son issue positive est un préalable au lancement de l'expérimentation.
La CNIL considère qu'une attention particulière doit être apportée au niveau de sécurité du système d'information sur lequel repose la démarche de demande de renouvellement de passeport pour qu'elle soit cohérente avec son niveau de risque associé.
e. Sur les modalités d'expérimentation de nature à renforcer les conditions de sécurité :
S'agissant des conditions de mise en œuvre, la CNIL :

- estime qu'il serait souhaitable de procéder, avant de commencer l'expérimentation, à des tests de la capacité effective de vérification de l'identité à distance (incluant les phases liées à la vérification des titres d'identité, à la comparaison du visage et à la détection du vivant) à détecter des tentatives d'usurpation d'identité (incluant les risques relatifs à la contrefaçon ou la falsification de titres, le vol d'identité, l'altération de l'apparence de l'utilisateur par des moyens physiques ou numériques, la ressemblance avec une autre personne et la présentation de titre virtuel). Une partie de ces tests devrait être menée en suivant des méthodes de test d'intrusion ;
- recommande qu'un suivi spécifique des passeports émis selon la procédure expérimentale soit mis en place pendant la durée de validité de ceux-ci ;
- souhaite que lui soit communiqué le bilan d'expérimentation émis à la fin de cette dernière.

E. - Sur les transferts

Concernant les transferts de données en dehors de l'Union européenne qu'implique l'interconnexion des traitements TES et Stolen and Lost Travel Documents (SLTD) géré par Interpol, il ne ressort pas des pièces du dossier que ces transferts reposent sur un instrument de transfert en application de l'article 46 du RGPD, comme l'avait déjà soulevé la Commission dans ses délibérations précédentes n° 2021-022 et n° 2022-079.
La CNIL considère que la clarification ou la mise en conformité de l'interconnexion entre TES et STLD devrait être ajoutée au plan d'action, avec indication d'une échéance.