Retour à la section

Délibération n°2025-100 du 23 octobre 2025

JORF n°0301 du 24 décembre 2025

| N° de demande d'avis : 25013337. | Thématiques : titres d'identité, TES, passeport, CNI, identité numérique. | |:--------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme à l'origine de la saisine : ministère de l'intérieur.|Fondement de la saisine : article 32 de la loi du 6 janvier 1978 modifiée.|

L'essentiel :

  1. Les finalités du traitement « TES » sont modifiées, d'une part, pour étendre le périmètre du traitement à la lutte contre l'ensemble des procédés de fraude à l'identité et aux titres d'identité ; d'autre part, pour intégrer la vérification en mairie de l'identité des titulaires d'une carte nationale d'identité électronique souhaitant disposer d'un moyen d'identification électronique certifié. Pour rappel, celui-ci permet l'accès à certaines démarches nécessitant un haut niveau de garantie, telle que la procuration en ligne ;

  2. Les évolutions projetées sont légitimes ;

  3. La CNIL accueille favorablement les modifications proposées qui améliorent la lisibilité des durées de conservation, sans allonger pour autant cette durée.

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 32 ;
Sur la proposition de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le traitement dénommé « titres électroniques sécurisés » (TES) a pour principale finalité l'établissement, la délivrance, le renouvellement et l'invalidation des cartes nationales d'identité et des passeports. Il permet, en outre, de prévenir et détecter la falsification et la contrefaçon de ces titres, et de lutter contre l'usurpation d'identité. Ce traitement a pour spécificité de centraliser les données figurant sur les titres d'identité, ainsi que des données biométriques (l'image numérisée du visage et les empreintes digitales de deux doigts) pour l'ensemble des demandeurs de cartes nationales d'identité (CNI) et de passeports. Depuis le 2 août 2021, les CNI mises en circulation comportent un composant électronique hautement sécurisé contenant ces données biométriques, conformément au règlement européen 2019/1157 du 20 juin 2019.
Le traitement « TES », sous la responsabilité conjointe de France Titres et de la direction des libertés publiques et des affaires juridiques (DLPAJ) du ministère de l'intérieur, a fait l'objet de modifications sur lesquelles la CNIL s'est prononcée (v. notamment CNIL, SP, 11 février 2021, avis sur projet de décret, TES, n° 2021-022, publié ; CNIL, SP, 21 juillet 2022, avis sur projet de décret, TES, n° 2022-079, publié). Elle a souligné à plusieurs reprises que, compte tenu de la nature et du volume des données traitées, des garanties substantielles devaient entourer la mise en œuvre de ce traitement et que toute modification de ce traitement devait être étudiée avec une attention particulière.
Le besoin croissant de vérification d'identité à distance par une multitude d'acteurs a par ailleurs conduit au développement de solutions permettant la vérification d'identité selon différents degrés de fiabilité, tel que prévu par le règlement européen n° 910/2014 du 23 juillet 2014, dit « eIDAS ». Ainsi, les titulaires d'une carte nationale d'identité électronique (CNIe) souhaitant disposer d'un moyen d'identification électronique présumé fiable et certifié et d'un niveau de garantie de l'identité « élevé » peuvent faire vérifier leur identité en mairie pour qu'elle soit certifiée et ainsi accéder à des démarches nécessitant un haut niveau de garantie (telle que la procuration en ligne). Selon les informations apportées par le ministère, cette procédure est déjà couverte par 87 % des mairies.

B. - L'objet de la saisine

La CNIL est saisie d'une demande d'avis sur un projet de décret en Conseil d'Etat modifiant diverses dispositions relatives aux passeports et aux cartes nationales d'identité.
Ces modifications sont au nombre de quatre :

- trois d'entre elles concernent le traitement « TES » et portent sur les finalités, la durée de conservation des données et les accédants au traitement ;
- la dernière modifie l'article R. 114-2 du code de la sécurité intérieure (CSI) et concerne l'extension des enquêtes administratives aux agents des préfectures et sous-préfectures chargés de la délivrance des passeports et des CNI. Cette modification n'appelle pas d'observation de la part de la CNIL.

II. - L'avis de la CNIL
A. - Sur les finalités du traitement

En premier lieu, le projet de décret prévoit la réécriture de l'une des finalités du traitement « TES » visant initialement à « prévenir et détecter la falsification et la contrefaçon des titres d'identité, ainsi qu'à lutter contre l'usurpation d'identité ».
Il ressort des précisions apportées par le ministère que la rédaction actuelle ne couvre pas l'ensemble des procédés existants de fraude à l'identité et aux titres d'identité, tels que constatés par les centres d'expertise et de ressources titres (CERT) à partir du traitement « TES ». Il s'agit, par exemple, de procédés relatifs aux titres d'identité authentiques délivrés sur présentation de faux documents justifiant de la nationalité française (de faux actes de naissance, par exemple).
Dès lors, la nouvelle rédaction prévoit que le traitement « TES » est mis en œuvre pour prévenir et détecter la falsification des titres d'identité, leur contrefaçon, ainsi que « leur obtention indue par des moyens frauduleux et leur utilisation illégale ou irrégulière ».
La CNIL estime cette évolution légitime au regard des objectifs et de la nature du traitement « TES ».
En second lieu, le projet de décret prévoit l'ajout d'une nouvelle finalité relative à la vérification de l'identité des titulaires d'une CNIe souhaitant disposer d'un moyen d'identification électronique présumé fiable et certifié et d'un niveau de garantie de l'identité « élevé » (au sens du règlement (UE) n° 910/2014, dit « eIDAS »). Cette vérification s'effectue par la comparaison des empreintes recueillies de l'usager avec l'image numérisée des empreintes contenues dans le composant électronique de la CNIe.
La CNIL accueille favorablement cette évolution, dans la mesure où l'ajout de cette nouvelle finalité permet de déployer l'identité numérique régalienne au plus haut niveau de garantie.

B. - Sur les durées de conservation

La CNIL avait déjà souhaité, dans l'un de ses avis, qu'afin d'en améliorer la lisibilité, les dispositions relatives aux durées de conservation soient rerédigées. (v. CNIL, SP, 11 février 2021, précité).
Dans cette perspective, le projet de décret précise que les données enregistrées dans le traitement sont conservées cinq ans après l'expiration du titre. Cette durée correspond à celle durant laquelle le titulaire peut utiliser son titre périmé pour effectuer une demande de titre ou en obtenir le renouvellement sans avoir à justifier à nouveau de son état-civil ni de sa nationalité.
La CNIL accueille favorablement cette nouvelle rédaction qui clarifie les durées de conservation, au regard de la coexistence de différents régimes de durée de validité, sans en changer la substance.

C. - Sur les accédants au traitement

Afin de mettre en œuvre la nouvelle finalité du traitement « TES » permettant l'activation de l'identité numérique de niveau régalien, les agents des communes ainsi que les agents diplomatiques et consulaires sont autorisés à accéder aux données contenues dans le composant électronique de la CNIe.
La CNIL relève que ces agents sont d'ores et déjà autorisés à accéder à ce composant dans le cadre de leur mission de recueil et de remise des titres. Ils ne constituent donc pas une nouvelle catégorie d'accédants, mais se voient autoriser l'accès au composant électronique pour une nouvelle finalité.
La CNIL estime cette évolution légitime.

D. - Sur l'information des personnes

Il ressort du dossier de saisine qu'une absence d'affichage des mentions d'information a été constatée dans plusieurs mairies.
La CNIL rappelle avoir déjà souligné la nécessité d'assurer l'information des personnes concernées (v. not. CNIL, SP, 11 février 2021, précité ; CNIL, SP, 21 juillet 2022, précité). Elle souligne, en outre, que l'information mise à la disposition du public pourrait être améliorée, par exemple en joignant les informations au formulaire de demande en ligne du titre.
Par ailleurs, la CNIL rappelle avoir suggéré que les agents municipaux soient régulièrement sensibilisés à l'importance de fournir une information concise et aisément compréhensible aux personnes concernées, et ce, notamment, sur la possibilité de s'opposer à la conservation de l'image numérisée des empreintes digitales au-delà de quatre-vingt-dix jours (v. CNIL, SP, 21 juillet 2022, précité).

E. - Sur les transferts

Concernant les transferts de données en dehors de l'Union européenne qu'implique l'interconnexion des traitements TES et Stolen and Lost Travel Documents (SLTD) géré par Interpol, il ne ressort pas des pièces du dossier que ces transferts reposent sur un instrument de transfert en application de l'article 46 du RGPD.
La CNIL rappelle que la clarification ou la mise en conformité de l'interconnexion entre TES et STLD devrait être ajoutée au plan d'action, avec indication d'une échéance (v. CNIL, SP, 20 juillet 2023, avis sur projet de décret, expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport, n° 2023-077, publié).

F. - Sur la sécurité

La CNIL prend acte du fait que la mise en place de la mesure de supervision est toujours en cours et a progressé.

1 version

Historique des versions

Version 1

N° de demande d'avis : 25013337.

Thématiques : titres d'identité, TES, passeport, CNI, identité numérique.

Organisme à l'origine de la saisine : ministère de l'intérieur.

Fondement de la saisine : article 32 de la loi du 6 janvier 1978 modifiée.

L'essentiel :

1. Les finalités du traitement « TES » sont modifiées, d'une part, pour étendre le périmètre du traitement à la lutte contre l'ensemble des procédés de fraude à l'identité et aux titres d'identité ; d'autre part, pour intégrer la vérification en mairie de l'identité des titulaires d'une carte nationale d'identité électronique souhaitant disposer d'un moyen d'identification électronique certifié. Pour rappel, celui-ci permet l'accès à certaines démarches nécessitant un haut niveau de garantie, telle que la procuration en ligne ;

2. Les évolutions projetées sont légitimes ;

3. La CNIL accueille favorablement les modifications proposées qui améliorent la lisibilité des durées de conservation, sans allonger pour autant cette durée.

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 32 ;

Sur la proposition de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

Le traitement dénommé « titres électroniques sécurisés » (TES) a pour principale finalité l'établissement, la délivrance, le renouvellement et l'invalidation des cartes nationales d'identité et des passeports. Il permet, en outre, de prévenir et détecter la falsification et la contrefaçon de ces titres, et de lutter contre l'usurpation d'identité. Ce traitement a pour spécificité de centraliser les données figurant sur les titres d'identité, ainsi que des données biométriques (l'image numérisée du visage et les empreintes digitales de deux doigts) pour l'ensemble des demandeurs de cartes nationales d'identité (CNI) et de passeports. Depuis le 2 août 2021, les CNI mises en circulation comportent un composant électronique hautement sécurisé contenant ces données biométriques, conformément au règlement européen 2019/1157 du 20 juin 2019.

Le traitement « TES », sous la responsabilité conjointe de France Titres et de la direction des libertés publiques et des affaires juridiques (DLPAJ) du ministère de l'intérieur, a fait l'objet de modifications sur lesquelles la CNIL s'est prononcée (v. notamment CNIL, SP, 11 février 2021, avis sur projet de décret, TES, n° 2021-022, publié ; CNIL, SP, 21 juillet 2022, avis sur projet de décret, TES, n° 2022-079, publié). Elle a souligné à plusieurs reprises que, compte tenu de la nature et du volume des données traitées, des garanties substantielles devaient entourer la mise en œuvre de ce traitement et que toute modification de ce traitement devait être étudiée avec une attention particulière.

Le besoin croissant de vérification d'identité à distance par une multitude d'acteurs a par ailleurs conduit au développement de solutions permettant la vérification d'identité selon différents degrés de fiabilité, tel que prévu par le règlement européen n° 910/2014 du 23 juillet 2014, dit « eIDAS ». Ainsi, les titulaires d'une carte nationale d'identité électronique (CNIe) souhaitant disposer d'un moyen d'identification électronique présumé fiable et certifié et d'un niveau de garantie de l'identité « élevé » peuvent faire vérifier leur identité en mairie pour qu'elle soit certifiée et ainsi accéder à des démarches nécessitant un haut niveau de garantie (telle que la procuration en ligne). Selon les informations apportées par le ministère, cette procédure est déjà couverte par 87 % des mairies.

B. - L'objet de la saisine

La CNIL est saisie d'une demande d'avis sur un projet de décret en Conseil d'Etat modifiant diverses dispositions relatives aux passeports et aux cartes nationales d'identité.

Ces modifications sont au nombre de quatre :

- trois d'entre elles concernent le traitement « TES » et portent sur les finalités, la durée de conservation des données et les accédants au traitement ;

- la dernière modifie l'article R. 114-2 du code de la sécurité intérieure (CSI) et concerne l'extension des enquêtes administratives aux agents des préfectures et sous-préfectures chargés de la délivrance des passeports et des CNI. Cette modification n'appelle pas d'observation de la part de la CNIL.

II. - L'avis de la CNIL

A. - Sur les finalités du traitement

En premier lieu, le projet de décret prévoit la réécriture de l'une des finalités du traitement « TES » visant initialement à « prévenir et détecter la falsification et la contrefaçon des titres d'identité, ainsi qu'à lutter contre l'usurpation d'identité ».

Il ressort des précisions apportées par le ministère que la rédaction actuelle ne couvre pas l'ensemble des procédés existants de fraude à l'identité et aux titres d'identité, tels que constatés par les centres d'expertise et de ressources titres (CERT) à partir du traitement « TES ». Il s'agit, par exemple, de procédés relatifs aux titres d'identité authentiques délivrés sur présentation de faux documents justifiant de la nationalité française (de faux actes de naissance, par exemple).

Dès lors, la nouvelle rédaction prévoit que le traitement « TES » est mis en œuvre pour prévenir et détecter la falsification des titres d'identité, leur contrefaçon, ainsi que « leur obtention indue par des moyens frauduleux et leur utilisation illégale ou irrégulière ».

La CNIL estime cette évolution légitime au regard des objectifs et de la nature du traitement « TES ».

En second lieu, le projet de décret prévoit l'ajout d'une nouvelle finalité relative à la vérification de l'identité des titulaires d'une CNIe souhaitant disposer d'un moyen d'identification électronique présumé fiable et certifié et d'un niveau de garantie de l'identité « élevé » (au sens du règlement (UE) n° 910/2014, dit « eIDAS »). Cette vérification s'effectue par la comparaison des empreintes recueillies de l'usager avec l'image numérisée des empreintes contenues dans le composant électronique de la CNIe.

La CNIL accueille favorablement cette évolution, dans la mesure où l'ajout de cette nouvelle finalité permet de déployer l'identité numérique régalienne au plus haut niveau de garantie.

B. - Sur les durées de conservation

La CNIL avait déjà souhaité, dans l'un de ses avis, qu'afin d'en améliorer la lisibilité, les dispositions relatives aux durées de conservation soient rerédigées. (v. CNIL, SP, 11 février 2021, précité).

Dans cette perspective, le projet de décret précise que les données enregistrées dans le traitement sont conservées cinq ans après l'expiration du titre. Cette durée correspond à celle durant laquelle le titulaire peut utiliser son titre périmé pour effectuer une demande de titre ou en obtenir le renouvellement sans avoir à justifier à nouveau de son état-civil ni de sa nationalité.

La CNIL accueille favorablement cette nouvelle rédaction qui clarifie les durées de conservation, au regard de la coexistence de différents régimes de durée de validité, sans en changer la substance.

C. - Sur les accédants au traitement

Afin de mettre en œuvre la nouvelle finalité du traitement « TES » permettant l'activation de l'identité numérique de niveau régalien, les agents des communes ainsi que les agents diplomatiques et consulaires sont autorisés à accéder aux données contenues dans le composant électronique de la CNIe.

La CNIL relève que ces agents sont d'ores et déjà autorisés à accéder à ce composant dans le cadre de leur mission de recueil et de remise des titres. Ils ne constituent donc pas une nouvelle catégorie d'accédants, mais se voient autoriser l'accès au composant électronique pour une nouvelle finalité.

La CNIL estime cette évolution légitime.

D. - Sur l'information des personnes

Il ressort du dossier de saisine qu'une absence d'affichage des mentions d'information a été constatée dans plusieurs mairies.

La CNIL rappelle avoir déjà souligné la nécessité d'assurer l'information des personnes concernées (v. not. CNIL, SP, 11 février 2021, précité ; CNIL, SP, 21 juillet 2022, précité). Elle souligne, en outre, que l'information mise à la disposition du public pourrait être améliorée, par exemple en joignant les informations au formulaire de demande en ligne du titre.

Par ailleurs, la CNIL rappelle avoir suggéré que les agents municipaux soient régulièrement sensibilisés à l'importance de fournir une information concise et aisément compréhensible aux personnes concernées, et ce, notamment, sur la possibilité de s'opposer à la conservation de l'image numérisée des empreintes digitales au-delà de quatre-vingt-dix jours (v. CNIL, SP, 21 juillet 2022, précité).

E. - Sur les transferts

Concernant les transferts de données en dehors de l'Union européenne qu'implique l'interconnexion des traitements TES et Stolen and Lost Travel Documents (SLTD) géré par Interpol, il ne ressort pas des pièces du dossier que ces transferts reposent sur un instrument de transfert en application de l'article 46 du RGPD.

La CNIL rappelle que la clarification ou la mise en conformité de l'interconnexion entre TES et STLD devrait être ajoutée au plan d'action, avec indication d'une échéance (v. CNIL, SP, 20 juillet 2023, avis sur projet de décret, expérimentation de la procédure dématérialisée de demande de renouvellement d'un passeport, n° 2023-077, publié).

F. - Sur la sécurité

La CNIL prend acte du fait que la mise en place de la mesure de supervision est toujours en cours et a progressé.