| N° de demande d'avis : 25008706. |Thématiques : expérimentation, titre d'identité, passeport, dématérialisation, empreintes digitales.| |:--------------------------------------------------------------------------------------|:---------------------------------------------------------------------------------------------------| |Organisme à l'origine de la saisine : ministère de l'Europe et des affaires étrangères.| Fondement de la saisine : article 32 de la loi du 6 janvier 1978 modifiée. |

L'essentiel :

1. Le projet de décret renouvelle, pour deux ans, l'expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport pour les Français résidant à l'étranger. Il permet notamment son extension à deux nouveaux pays.
2. La CNIL estime ces évolutions légitimes.
3. Elle souligne néanmoins qu'au regard de la nature du titre d'identité visé par l'expérimentation et de l'absence de toute comparution physique, les risques de fraude et d'usurpation d'identité auraient des conséquences très lourdes pour les personnes qui en seraient victimes. Si aucune fraude ou tentative de fraude n'a été détectée lors de la première expérimentation, sa reconduction devra permettre d'évaluer les effets réels en termes de fraude et l'efficacité des mesures prises pour y pallier.

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 32 ;
Sur la proposition de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le régime du renouvellement d'un passeport prévoit, en principe, une double comparution personnelle afin de s'assurer de l'identité de la personne : une première pour la réception de la demande, lors de laquelle une prise d'empreintes digitales est réalisée ; une seconde comparution pour la délivrance du titre, lors de laquelle les empreintes digitales sont comparées avec celles contenues dans le passeport.
Par un décret du 27 octobre 2023, une expérimentation de dématérialisation du renouvellement de ce titre a été lancée pour les Français de l'étranger, et plus précisément ceux résidant au Canada et au Portugal. Cette procédure dérogatoire, qui repose sur le renouvellement du passeport sans comparution personnelle physique, est justifiée par un objectif de simplification des démarches pour les ressortissants français, notamment lorsqu'ils résident en un lieu éloigné des implantations du réseau d'ambassades et de consulats. La CNIL s'est prononcée sur cette expérimentation (CNIL, SP, 20 juillet 2023, avis sur projet de décret, n° 2023-077, publié).
En janvier 2025, un rapport établi par l'inspection générale de l'administration et l'inspection générale des affaires étrangères a dressé le bilan de l'expérimentation tenue pendant un an. Il fait état, d'une part, de la satisfaction des usagers ayant eu recours à ce dispositif, malgré le nombre modéré de demandes initiées et achevées et, d'autre part, de l'absence de fraude détectée. Il souligne qu'il est préférable, pour l'heure, d'exclure la pérennisation et la généralisation de l'expérimentation à l'ensemble des Français de l'étranger, compte tenu d'incertitudes qui ne pourront être levées qu'à plus long terme, notamment eu égard au risque de fraude.

B. - L'objet de la saisine

La CNIL a été saisie pour avis, d'un projet de décret en Conseil d'Etat relatif à l'extension de l'expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport.
Les étapes du renouvellement dématérialisé restent inchangées. Néanmoins, tenant compte des observations du rapport d'évaluation, il est notamment prévu :

- la reconduction de l'expérimentation pour deux ans ;
- l'extension du périmètre à deux nouveaux pays : l'Australie et l'Espagne ;
- la mise en œuvre d'un nouveau mode d'organisation, à savoir la centralisation du recueil des demandes dématérialisées dans un seul poste consulaire par pays.

II. - L'avis de la CNIL

A. - Sur la reconduction et les modalités de mise en œuvre de l'expérimentation

Le projet de décret prévoit une reconduction de l'expérimentation pour une durée de deux ans, ainsi que l'extension de son périmètre à deux nouveaux pays : l'Australie et l'Espagne. La CNIL prend acte de ce que ces mesures, recommandées dans le rapport d'évaluation, devraient permettre une meilleure appréciation de la pertinence et de l'efficacité du dispositif (v. supra, point 3).
Par ailleurs, une nouvelle modalité d'organisation est introduite pour améliorer la fluidité et l'efficacité de la procédure. Il est désormais prévu que cette dernière soit centralisée dans un seul consulat pour l'ensemble du pays concerné. Le ministère de l'Europe et des affaires étrangères a indiqué examiner les conditions dans lesquelles le poste centralisateur aurait accès, avec un profil consultation, aux données du registre de la circonscription consulaire où l'usager est inscrit.
La CNIL souligne qu'il conviendra de préciser les modalités d'accès à ce registre et les garanties afférentes, à l'aune des dispositions encadrant les traitements de données relatives aux Français établis hors de France et de la loi « informatique et libertés ». Le bilan établi à l'issue de cette nouvelle phase expérimentale pourrait utilement évaluer le respect des garanties projetées.

B. - Sur l'impact du dispositif sur l'exactitude des données

La CNIL rappelle que le fait d'instituer une procédure à distance, avec entretien par visioconférence, augmente les risques d'usurpation d'identité en créant des risques spécifiques, notamment en termes d'attaques par présentation (v. CNIL, SP, 20 juillet 2023, avis sur projet de décret, précité). Effectivement, la phase de vérification par visioconférence est un maillon de la chaine de renouvellement et de délivrance qui est particulièrement exposé à des attaques ayant un impact important. Elle estime donc nécessaire de se rapprocher, autant que faire se peut, du référentiel d'exigences concernant les prestataires de vérification d'identité à distance (PVID) de l'ANSSI.
De manière concordante, il ressort de l'analyse du délégué à la protection des données du ministère que le recours à une solution de visioconférence certifiée par l'ANSSI, qui a démontré sa résistance face à des attaques par présentation ou de compromission de données, est le seul moyen de diminuer les risques qui y sont associés.
La CNIL appelle à nouveau le ministère à renforcer les mesures techniques et organisationnelles liées à la vérification de l'identité à distance afin de garantir un niveau élevé d'exactitude des données traitées et accueille favorablement l'engagement du ministère à entamer la consultation des services compétents pour renforcer ces mesures.
Par ailleurs, le rapport d'évaluation souligne que l'expérimentation pourrait être l'occasion d'approfondir les vérifications complémentaires à des comparaisons physiques, par exemple, en intégrant à la fiche réflexe détaillant le déroulé d'une visioconférence des questions sur des éléments présent dans le traitement « titres électroniques sécurisés » (TES) mais qui ne figurent pas sur le précédent titre. La CNIL prend acte de l'engagement du ministère de consolider ces fiches-réflexe, en tenant compte des retours remontés par les postes centralisateurs concernés au fur et à mesure de l'expérimentation.
La CNIL partage cet avis et invite le ministère à suivre cette préconisation dans le cadre de la prolongation de l'expérimentation. Il convient cependant de noter que cette préconisation ne permet pas de faire face à tous les scénarios d'attaque, en particulier lorsqu'ils reposent sur des éléments qui peuvent être connus par croisement avec d'autres sources de données.
Enfin, si aucune fraude ou tentative de fraude n'a été détectée lors de la première phase d'expérimentation, un tel constat ne peut s'apprécier que sur un temps plus long. La reconduction de celle-ci devra permettre d'évaluer les effets réels en termes de fraude et l'efficacité des mesures prises pour y pallier.

C. - Sur la prolongation de la durée de conservation

Le projet de décret prévoit que, par dérogation aux dispositions en vigueur, les empreintes digitales des personnes recourant à la procédure de renouvellement dématérialisé seront conservées dans le traitement « TES » pour une durée de trente ans (v. décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports ; décret n° 2016-1460 du 28 octobre 2016 relatif au traitement « TES »).
La CNIL estime cette évolution justifiée. En effet, une durée de conservation de trente années correspond à la durée de validité de deux passeports successifs, dont le second a fait l'objet d'un renouvellement dans le cadre de l'expérimentation de la procédure dématérialisée et n'a donc pas donné lieu à une comparution personnelle et à une nouvelle prise d'empreintes digitales du demandeur.

D. - Sur l'information des personnes

La CNIL rappelle avoir estimé que l'information des personnes pouvait être renforcée, en amont de toute démarche, afin que ces dernières puissent refuser, par avance, la faculté de renouvellement de passeport par cette voie expérimentale (CNIL, SP, 20 juillet 2023, avis sur projet de décret, précité).
Il ressort des éléments transmis que la communication des consulats sur leur site web et leurs réseaux sociaux vise à satisfaire cette exigence. La diffusion d'une communication ad hoc sur le site Service-Public.gouv.fr, sur lequel s'effectue la pré-demande, a également participé à la bonne information du public.
La CNIL prend acte de ce que ces modalités seront réitérées dans le cadre du renouvellement de l'expérimentation.

E. - Sur la sécurité

En premier lieu, la CNIL prend acte de ce que la plupart des mesures prévues lors de la saisine précédente ont été mises en œuvre. Elle souligne l'importance de poursuivre la mise en place de la mesure de mise en œuvre de la supervision d'une part, et de la mesure associée au cloisonnement qui était prévue pour 2021 d'autre part.
En deuxième lieu, la CNIL rappelle que la gravité de l'impact de la délivrance d'un titre à un demandeur non légitime, portant les informations d'état civil correctes d'un Français résidant à l'étranger, mais dont la photo correspondrait au demandeur non légitime est particulièrement critique et qu'elle la considère donc comme maximale selon l'échelle définie (v. CNIL, SP, 20 juillet 2023, avis sur projet de décret, précité).
En troisième lieu, la CNIL accueillait favorablement l'engagement du ministère de passer à un niveau de garantie « élevé » dès lors qu'un moyen d'identification électronique (MIE) de ce niveau serait disponible. Elle observe que la carte d'identité nationale électronique permet la création de MIE de ce niveau à travers France Identité. En attendant que sa disponibilité permette de conditionner le renouvellement dématérialisé à l'utilisation de France Identité (au niveau élevé), la CNIL invite le ministère à explorer la possibilité, en vue d'une éventuelle pérennisation, de n'accepter qu'une authentification avec le MIE de niveau élevé pour les demandeurs détenant une carte d'identité électronique et ayant créé un MIE certifié en mairie. Sur ce point, la CNIL prend acte des éléments apportés par le ministère précisant qu'une fois atteinte une quantité critique suffisante d'identités numériques certifiées à l'étranger, il sera possible, dans le cadre d'une éventuelle pérennisation de l'expérimentation, de limiter le recours à la procédure dématérialisée aux seuls détenteurs d'un MIE certifié de niveau élevé.
En quatrième lieu, la CNIL prend acte de ce que les échanges entre le demandeur et l'administration ne reposent maintenant que sur la plateforme sécurisée Service-Public.gouv.fr . Elle rappelle sa préconisation selon laquelle de tels échanges devraient privilégier un niveau d'authentification au moins aussi élevé que celui ayant été utilisé lors de la demande de renouvellement. La CNIL prend acte sur ce point que le ministère va engager une réflexion afin de satisfaire cette demande.
Enfin, parmi les conditions de mise en œuvre, la CNIL estimait également qu'il serait souhaitable de procéder, avant de commencer l'expérimentation, à des tests de la capacité effective du dispositif de vérification de l'identité à distance (incluant les phases liées à la vérification des titres d'identité, à la comparaison du visage et à la détection du vivant), de détecter des tentatives d'usurpation d'identité (incluant les risques relatifs à la contrefaçon ou la falsification de titres, le vol d'identité, l'altération de l'apparence de l'utilisateur par des moyens physiques ou numériques, la ressemblance avec une autre personne et la présentation de titre virtuel). Une partie de ces tests devrait être menée en suivant des méthodes de test d'intrusion. Malgré les difficultés et contraintes que de tels tests occasionnent, la CNIL accueille positivement que le ministère ait mis en œuvre une démarche allant dans ce sens. Celle-ci devrait continuer pendant la suite de l'expérimentation car elle est toujours d'actualité et nécessaire, et devrait s'appuyer sur des compétences allant au-delà de la seule cybersécurité.