La Cour de justice de l’Union européenne (CJUE) a invalidé jeudi (21 mars) une réglementation de 2019 obligeant les citoyens de l’UE à fournir leurs empreintes digitales pour les cartes d’identité nationales, car celle-ci reposait sur une base juridique erronée.
Toutefois, même si la législation a été annulée, le juge de la CJUE a décidé que le règlement de l’UE de 2019 resterait valide jusqu’à l’entrée en vigueur d’un nouveau règlement, en décembre 2026 au plus tard, car la Cour a également statué que, bien qu’elle entrave les droits fondamentaux, l’obligation d’inclure deux empreintes digitales était justifiée.
Les eurodéputés avaient en effet imposé l’utilisation des empreintes digitales sur les cartes d’identité nationales afin de renforcer la sécurité des documents d’identification.
L’Allemagne, par exemple, a mis en œuvre le règlement en 2021 et requiert depuis lors la prise d’empreintes digitales pour les cartes d’identité.
Les groupes de défense des droits humains, cependant, ont longtemps soutenu que la collecte obligatoire des empreintes digitales était disproportionnée, inefficace et susceptible de donner lieu à des abus de la part du gouvernement.
Digitalcourage, une organisation allemande de défense des droits fondamentaux et de protection des données, a contesté le règlement de l’UE, dans un premier temps devant les tribunaux allemands.
Selon elle, l’obligation d’apposer les empreintes digitales sur les cartes d’identité constitue une restriction disproportionnée de la Charte des droits fondamentaux de l’Union européenne, qui garantit le respect de la vie privée et la protection des données à caractère personnel.
« Je peux changer un mot de passe s’il est compromis. Mais ce n’est pas possible avec les données biométriques. Je ne peux donc pas modifier une empreinte digitale et celle-ci peut facilement être obtenue par d’autres personnes », a expliqué Rena Tangens, fondatrice et membre du conseil d’administration de Digitalcourage, lors d’une conférence de presse mardi (19 mars).
Les conséquences de l’invalidité du règlement
Les législateurs de l’UE disposent désormais d’un délai allant jusqu’à décembre 2026 pour rédiger un nouveau texte de règlement fondé sur une base juridique correcte.
La réglementation précédente avait été adoptée dans le cadre d’une procédure législative ordinaire, mais selon la CJUE, elle aurait dû faire l’objet d’une procédure législative spéciale, c’est-à-dire être adoptée à l’unanimité par le Conseil de l’UE.
Elle n’aurait donc pas été adoptée, puisqu’en 2019 la République tchèque et la Slovaquie avaient voté contre cette proposition.
« Si les États membres ne parviennent pas à un accord, la base juridique pour le stockage permanent et la nouvelle collecte obligatoire des empreintes digitales ne s’appliquera plus », a expliqué à Euractiv Anja Hoffmann, experte en économie numérique au think tank Center for European Policy.
« Cela signifierait que les autorités nationales devraient délivrer des cartes d’identité sans prendre d’empreintes digitales et que les détenteurs de cartes d’identité pourraient demander la suppression des empreintes déjà enregistrées sur leur carte », a ajouté Mme Hoffmann.
Un long combat judiciaire
En 2021, Detlev Sieber, directeur général de Digitalcourage, a intenté une action en justice devant le tribunal administratif de Wiesbaden après avoir demandé une carte d’identité dotée d’une fonction électronique mais sans avoir communiqué ses empreintes digitales.
Digitalcourage a fait valoir que l’exigence de l’UE en matière d’empreintes digitales interférait avec les droits fondamentaux garantis par le droit européen.
En janvier 2022, le tribunal de Wiesbaden avait soutenu l’argumentation de Digitalcourage sur l’incompatibilité de l’obligation de donner ses empreintes digitales avec les droits humains, en renvoyant l’affaire devant la Cour de justice de l’Union européenne (CJUE).
Un mois plus tard, le tribunal administratif de Hambourg avait suspendu l’exigence d’empreintes digitales pour les cartes d’identité, dans l’attente de la procédure de la CJUE.
L’Avocate Générale de la CJUE Laila Medina avait déclaré en juin dernier que l’obligation d’apposer les empreintes digitales sur les cartes d’identité était valable, dans ce qui était considéré comme une décision préliminaire à l’arrêt de ce jeudi.
Une surface d’attaque plus étendue
Selon le ministère allemand de l’Intérieur, les empreintes digitales sont stockées localement sur une puce intégrée à la carte d’identité.
Toutefois, un porte-parole de Digitalcourage a expliqué à Euractiv qu’« une méthode de stockage qui est encore considérée comme sûre par les autorités aujourd’hui pourra être facilement piratée dans quelques années seulement ».
Le stockage d’empreintes digitales entières augmente également le risque d’usurpation d’identité en cas de fuite de données et contredit le principe de minimisation des données énoncé dans le règlement général sur la protection des données (RGPD), accuse l’organisation de défense des droits des données.
Selon Digitalcourage, la conservation des empreintes digitales par les autorités locales de délivrance et les entreprises de fabrication de cartes d’identité entraîne un risque particulièrement important. Bien que les données devraient idéalement être supprimées lorsque la carte d’identité est collectée par son propriétaire, elles peuvent être conservées jusqu’à 90 jours.
Les autorités régionales pourraient en outre ne pas disposer des mesures de cybersécurité nécessaires pour mettre les empreintes digitales à l’abri des pirates informatiques, de sorte que pendant ces 90 jours, les empreintes digitales sont particulièrement vulnérables.
Le règlement actuel laisse également aux États membres le soin de décider si les empreintes digitales peuvent être utilisées à d’autres fins que la création de cartes d’identité. Cela signifie que les empreintes digitales prélevées à des fins d’identification peuvent ensuite être utilisées pour des mandats de perquisition ou à d’autres fins d’application de la loi, en fonction des réglementations nationales en la matière.
Dans ces conditions, l’obligation de collecter les empreintes digitales pour les cartes d’identité cesse de remplir l’objectif initial de la législation, à savoir la promotion de la liberté de circulation, a déclaré l’organisation allemande dans le cadre de son action en justice.
Bien que Digitalcourage ait également affirmé que les empreintes digitales n’étaient pas un outil efficace pour éviter la falsification, la CJUE a statué que seule une image faciale serait un moyen d’identification moins efficace que deux empreintes digitales en plus de l’image.
[Édité par Anna Martino]