Le 29 novembre 2011, par Geneviève Koubi,
Suivant les mystifications sans cesse répétées par les pouvoirs publics quant aux risques de fraude en tout genre et en tout domaine, l’édiction d’un arrêté du 9 novembre 2011 portant création d’un traitement de données à caractère personnel relatif à la lutte contre la fraude documentaire et l’usurpation d’identité ne surprend guère.
Toutefois, l’intitulé de cet arrêté laisse penser de futures extensions problématiques. Dans la mesure où le fichier correspondant ne doit concerner que les cartes nationales d’identité et les passeports, évoquer en termes généraux "la fraude documentaire et l’usurpation d’identité" suppose inévitablement des ouvertures sur d’autres types de fraude et d’autres modalités d’usurpation d’identité. Or, comme le souligne la CNIL dans sa délibération n° 2011-285 du 21 septembre 2011 : « seuls les dossiers relatifs à ces deux catégories de titre sont concernés par ce traitement ». La délimitation du domaine de l’application est d’ailleurs perceptible dans les visas de l’arrêté : y sont mentionnés le décret n° 55-1397 du 22 octobre 1955 modifié instituant la carte nationale d’identité, le décret n° 2005-1726 du 30 décembre 2005 modifié relatif aux passeports [1].
La finalité du traitement est donc « la gestion des dossiers instruits dans le cadre de la lutte contre la fraude documentaire et de l’usurpation d’identité sur les cartes nationales d’identité et les passeports » (art. 1er). Mais encore, « le traitement a pour objet de faciliter l’identification des états civils frauduleux ou usurpés et de permettre au service de décider des suites à donner » (art. 1er). Rien n’est dit sur les moyens de vérification de ces états civils alors même qu’il est précisé que « ce traitement ne fait l’objet d’aucune interconnexion ni mise en relation » (art. 2).
Une interrogation sur l’institution d’un tel traitement — qui s’ajoute à tant d’autres tout autant relatifs aux documents d’identité —, et sur les équivoques relatives à l’identification des états civils frauduleux ou usurpés se comprend par rapport aux autorités qui peuvent y avoir accès.
L’article 4 de l’arrêté du 9 novembre 2011 dispose : « Ont seuls accès à tout ou partie des données mentionnées à l’article 2 du présent arrêté [2], à raison de leurs attributions et dans la limite du besoin d’en connaître, les agents de la direction des libertés publiques et des affaires juridiques, individuellement désignés et spécialement habilités [3]. /II. - Peuvent être destinataires des données mentionnées à l’article 2 [4] : /1° Les agents chargés de la délivrance des cartes nationales d’identité et des passeports ; /2° Les agents chargés des missions de recherche et de contrôle de l’identité des personnes, de la validité et de l’authenticité des titres d’identité et de voyage au sein des services de la police et de la gendarmerie nationales ; /3° Les agents de l’administration centrale du ministère de la justice chargés de l’application de la législation relative la nationalité française. ». La dernière mention de cet article 4, ce 3° donc qui permet aux agents de l’administration centrale du ministère de la justice chargés de l’application de la législation relative la nationalité française de connaître des données à caractère personnel, mériterait des explicitations complémentaires puisqu’elle suppose d’emblée le ’suivi’ de l’affaire soulevée comme supposant une fraude ou une usurpation d’identité.
Bien que cela ne soit pas clairement exposé dans l’arrêté du 9 novembre 2011, la mise en œuvre du traitement [5] concerne principalement « les personnes dont la demande de titre a été détectée comme douteuse ». La CNIL note que, « dans la mesure où les informations enregistrées dans le traitement sont relatives aux personnes ayant déposé un dossier de demande de titre dans lequel une fraude est soupçonnée, les données d’identification mentionnées concernent nécessairement les victimes d’une fraude ou d’une usurpation d’identité », ce que l’arrêté ne laisse donc pas transparaître...
A l’ère du soupçon généralisé sur les identités comme sur les diplômes ou les maladies, ces particularités n’ont pas été intégrées dans le texte de l’arrêté. Ce silence semble alors donner aux autorités la possibilité de douter des informations données par quiconque, la présomption d’une fraude, plus que celle d’usurpation d’identité, jouant sur des considérations diversifiées à l’appréciation exclusive de l’agent — et suivant les consignes qu’il aurait reçues de ses supérieurs hiérarchiques. Or, pour que ce traitement automatisé de données à caractère personnel détienne un sens, il apparaîtrait nécessaire de dissocier la "fraude documentaire" de "l’usurpation d’identité". De toute évidence, ces deux aspects ne sont réunis que si une ’victime’ peut être repérée. Dans sa délibération du 21 septembre 2011, la CNIL précise que « ce n’est qu’au fur et à mesure des investigations conduites par les agents du BNTIV [6] que l’auteur et la victime de la fraude peuvent être différenciés. Ainsi, si l’auteur de la fraude est identifié au moyen de son véritable état civil, celui-ci fait l’objet d’un enregistrement distinct dans le traitement, ainsi que les documents ayant permis son identification. En l’absence de détermination du véritable état civil du ou des fraudeurs, les éléments concernant auteur et victime sont distingués dans le traitement par l’ajout de mentions (’usurpateur présumé’ et ’victime présumée’). »
.
En définitive, l’utilité d’un tel fichier n’apparaît pas d’emblée. Cet arrêté n’est donc qu’un élément parmi d’autres relatifs à l’obsession de la fraude par de simples particuliers dans divers espaces allant du travail à la santé, mais laissant de côté les fraudes financières des grands argentiers. Mais, en tel que tel, cet arrêté est aussi un réservoir des indices quant aux extensions possibles d’un fichier des ’personnes dont on doute de la nationalité’. La vigilance s’impose..
.
[1] et, nécessairement, le décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées.
[2] C’est-à-dire : données d’identification : nom, prénom, date et lieu de naissance, sexe, adresses postales et électroniques, coordonnées téléphoniques, filiation, nationalité, photographie, signature, toutes relatives à l’état civil réel ou supposé des personnes concernées.
[3] Il n’en demeure pas moins que, comme le déplore la CNIL dans son avis, « aucune mesure de traçabilité des actions effectuées dans le traitement n’est prévue. Si elle prend acte que le traitement ne dispose pas d’un outil de gestion informatisé ad hoc, la commission recommande au ministère de l’intérieur de concevoir un nouveau système permettant la mise en place de mesures de traçabilité effectives des modifications, ajouts, suppressions, consultations ou transmissions des données par les agents utilisateurs. Ce nouveau système devrait également permettre l’effacement automatique des données à l’issue de la durée de conservation prévue ».
[4] Id.
[5] ... qui n’a pas été désigné sous l’acronyme LFDUI.
[6] ...bureau national des titres d’identité et de voyage.