délivrance d'authentifiants de voyage numériques basés sur la carte d'identité et aux normes techniques s'y rapportant

Justice et affaires intérieures : Proposition de règlement du conseil relatif à la délivrance d'authentifiants de voyage numériques basés sur la carte d'identité et aux normes techniques s'y rapportant - COM(2024) 671 FINAL

Pour rendre la liberté de circulation des citoyens effective au sein de l'espace Schengen^2(*), des contrôles systématiques ont été imposés à l'entrée de ce dernier, nécessitant des documents d'identité et de voyage fiables. En pratique, la directive européenne 2004/38/CE du 29 avril 2004^3(*) prévoit que les citoyens européens et les membres de leurs familles peuvent entrer et vivre dans un autre État membre s'ils disposent d'un passeport ou d'une carte d'identité en cours de validité.

Ces documents de voyage, hautement sécurisés, suivent les spécifications de l'Organisation de l'aviation civile internationale (OACI).

À l'heure actuelle, les cartes d'identité des citoyens des États membres de l'Union européenne ont ainsi un format, des mentions obligatoires (et optionnelles^4(*)) et des éléments de sécurité, qui ont été harmonisés par le règlement (UE) 2019/1157^5(*). Ce dernier a ainsi intégré, sur chacun de ces documents, le « stockage » d'une image faciale et de deux empreintes digitales de son titulaire^6(*). Le règlement (UE) 2019/1157 a été depuis invalidé par la Cour de justice de l'Union européenne (CJUE)^7(*) en raison d'une base juridique incorrecte mais la proposition qui doit le remplacer (proposition de règlement COM (2024) 316 final), en cours de discussion, conserve ces mêmes éléments de sécurité.

Les réflexions de l'OACI ont aussi conduit à l'établissement d'un modèle d'authentifiant de voyage numérique, c'est-à-dire, d'une « représentation numérique de l'identité d'une personne, obtenue à partir des informations qui sont stockées sur la puce de la carte d'identité de celle-ci et qui peuvent être validées, de manière sûre et fiable, en utilisant l'infrastructure à clé publique^8(*) de l'autorité de l'État membre de délivrance de la carte d'identité.^9(*) »

La mise en place d'authentifiants de voyage numériques s'inscrit également dans la « Stratégie pour un espace Schengen pleinement opérationnel et résilient », présentée par la Commission européenne, le 2 juin 2021.

Cette stratégie rappelle que « l'absence de contrôles aux frontières intérieures est au coeur de Schengen » mais que « étant donné que toute personne qui franchit les frontières extérieures - par voie aérienne, terrestre ou maritime - peut librement se rendre dans les autres États membres et se déplacer à l'intérieur de ceux-ci, l'existence de l'espace Schengen présuppose un degré élevé de confiance dans une gestion solide des frontières extérieures. »^10(*)

Pour la Commission comme pour les États membres, cette « gestion solide » passe, d'une part, par le renforcement de l'action de Frontex, agence européenne de garde-frontières et de garde-côtes, et, d'autre part, par la mise en place de cinq systèmes automatisés de contrôle. Ces systèmes sont les suivants :

-le système d'entrée/de sortie (EES), dont la mise en place, plusieurs fois retardée en raison de difficultés techniques, est désormais prévue pour 2025, et qui doit, comme son titre l'indique, permettre de contrôler les entrées et les sorties de l'espace Schengen des ressortissants de pays tiers ;

-l'introduction d'une procédure totalement dématérialisée de visa pour les ressortissants de pays tiers souhaitant entrer dans l'Union européenne. Cette réforme a fait l'objet d'un accord du Conseil de l'Union européenne et du Parlement européen en novembre 2023 ;

-le système européen d'information et d'autorisation des voyages (ETIAS). Sa mise en place doit suivre celle du dispositif EES et constituera une autorisation de voyage similaire à l'ESTA américain, destinée à renforcer les contrôles des voyageurs étrangers au sein de l'Union européenne. En pratique, cette autorisation, d'une validité de 90 jours, sera destinée aux ressortissants des pays tiers non soumis à obligation de visa dans l'Union européenne et devra être demandée par les intéressés préalablement à leur entrée dans l'Union européenne ;

-la refonte des règles de collecte des données API, qui sont les informations biographiques sur les passagers figurant dans les documents de voyage. Elles sont recueillies par les transporteurs aériens lors de l'enregistrement des passagers et sont complétées par des informations sur l'itinéraire de voyage. En pratique, cette réforme, adoptée en trilogue le 1^Er mars 2024, harmonise les exigences applicables à la collecte de données API, prend en compte les passagers de tous les vols (y compris les passagers de l'aviation d'affaires et ceux des vols charters), conforte l'exactitude et l'exhaustivité des données collectées et met en place un routeur central, servant de point unique de réception et de diffusion ultérieure des données ;

-une proposition de règlement de dématérialisation des documents de voyage des citoyens des États membres de l'Union européenne.

C'est l'objet de la présente réforme.

*

1. Le contenu de la proposition de règlement COM (2024) 671 final

La proposition de règlement du Conseil, COM(2024) 671 final relatif à la délivrance d'authentifiants de voyage numériques basés sur la carte d'identité et aux normes techniques s'y rapportant, a été publiée, le 8 octobre dernier, conjointement avec la proposition de règlement COM(2024) 670 final créant une « application de voyage numérique de l'Union européenne. »^11(*) Elle sera présentée officiellement au nouveau collège des commissaires, fin novembre.

Le double objectif de ce règlement est à la fois, de fluidifier les passages des citoyens des États membres aux frontières de l'Union européenne et d'améliorer la qualité des contrôles d'identité effectués.

En pratique, à horizon 2030 (calendrier cible de la Commission européenne), les cartes d'identité délivrées par les États membres devront être accompagnées d'un authentifiant de voyage numérique. L'autorité compétente délivrant une carte d'identité à une personne devra aussi, si cette personne en fait la demande, mettre à sa disposition cet authentifiant. De plus, le titulaire de la carte devra être en mesure de créer un authentifiant de voyage numérisé à distance. Pour cela, les personnes concernées pourront utiliser l'application de voyage numérique de l'Union européenne instaurée par la proposition de règlement COM(2024) 670 final (article 3).

Avant toute création d'un authentifiant de voyage numérique, les États membres devront vérifier l'intégrité et l'authenticité du support de stockage de la carte d'identité et comparer l'image faciale de la personne cherchant à créer un authentifiant de voyage numérique avec l'image faciale stockée sur le support précité (article 3).

Un authentifiant de voyage numérique devra répondre aux lignes directrices suivantes (article 3) :

-contenir les mêmes données à caractère personnel que la carte d'identité sur la base de laquelle il est délivré ou créé (à l'exception des empreintes digitales) ;

-être fondé sur des spécifications techniques qui, en pratique, seront précisées par la voie d'actes d'exécution (schéma de données ; format ; procédure de délivrance et de divulgation ...(article 5)) et permettront aux États membres de les authentifier et de les valider ;

-être gratuit ;

-être stocké dans les portefeuilles européens d'identité numérique, dans le respect des règles européennes de protection des données personnelles (article 4).

Le ressortissant d'un État membre souhaitant franchir une frontière extérieure de l'espace Schengen :

-pourrait, en amont de son voyage, utiliser l'authentifiant de voyage numérique créé à partir de son « smartphone » et le transmettre pour vérification aux autorités compétentes pour les contrôles aux frontières : contrôles de sécurité de la puce du document de voyage ; lecture des données contenues dans la puce ; comparaison biométrique entre l'image faciale contenue dans la puce et l'image faciale prise en direct ;

-bénéficierait, lors du passage de la frontière, d'un parcours automatisé et plus rapide.

Plusieurs expérimentations de ce dispositif ont été organisées dans les aéroports de Finlande, de Croatie et des Pays-Bas. Elles confirment que ce dernier permet un gain de temps pour les voyageurs (8 secondes en moyenne en Finlande contre 30 secondes à l'heure actuelle). S'agissant de l'expérience finlandaise, les citoyens souhaitant utiliser un authentifiant de voyage numérique devaient se rendre au commissariat de police pour le créer.

*

2. Cette proposition législative est-elle nécessaire ? Apporte-t-elle une valeur ajoutée européenne ?

a) La base juridique choisie est-elle correcte ?

Oui. La proposition de règlement est fondée sur l'article 77 paragraphe 3, du traité sur le fonctionnement de l'Union européenne (TFUE), qui prévoit des pouvoirs d'action spécifiques pour l'adoption de mesures relatives aux passeports, aux cartes d'identité, aux titres des séjour ou à tout autre document assimilé délivrés aux citoyens des États membres de l'Union européenne, et une procédure législative spéciale (nécessitant l'unanimité au Conseil après consultation du Parlement européen).

b) La proposition est-elle conforme aux principes de subsidiarité et de proportionnalité ?

En pratique, la présente réforme impose aux États membres de prévoir la création de titres d'identité avec authentifiants de voyage numériques à échéance 2030 en leur laissant de faibles marges dans sa mise en oeuvre. Ce qui peut - en première analyse - sembler ignorer les compétences des États membres dans la délivrance des titres d'identité à leurs ressortissants, qui confèrent également leur citoyenneté à ces derniers.

Mais rappelons tout d'abord que la faible marge d'appréciation des États membres en la matière est conforme aux dispositions de l'article 77 du TFUE et qu'elle est déjà une réalité dans le droit en vigueur depuis plusieurs années, qui a uniformisé quasiment intégralement le format et les éléments de sécurité des documents de voyage et titres d'identité avec leur accord (voir le règlement pour les passeports^14(*) et le règlement (UE) 2019/1157 pour les cartes d'identité).

Par ailleurs, ayant pour objectif de fluidifier les passages aux frontières de l'Union européenne et de renforcer le contrôle de l'identité des voyageurs qui entrent et sortent de l'espace Schengen par l'usage accru des technologies numériques, la réforme proposée suppose inévitablement une harmonisation du format, des modalités de création, de stockage et de validation des authentifiants de voyage numériques. En effet, la sécurisation des échanges de données personnelles sensibles et la fiabilité de l'authentification de l'identité des voyageurs lors des passages aux frontières nécessitent ce socle commun.

C'est pourquoi les autorités françaises, comme leurs homologues des autres États membres, sont très favorables à cette évolution et en ont validé le principe et les objectifs dans le cadre de la nouvelle stratégie Schengen présentée en juin 2021.

Enfin, les autorités compétentes des États membres conserveront leurs prérogatives visant à vérifier l'intégrité et l'authenticité du support de stockage de la carte d'identité des voyageurs et l'identité de leur titulaire, ce qui est l'élément déterminant pour s'assurer de la fiabilité de la procédure.

En raison de ce contexte et de ces explications, la proposition de règlement COM(2024) 671 final ne semble pas contraire au principe de subsidiarité.

La réforme ne paraît pas non plus disproportionnée au regard des objectifs poursuivis. En effet, la présente réforme suppose que les documents de voyage et titres d'identité « physiques » seraient toujours nécessaires aux côtés des authentifiants de voyage numériques. En outre, pour les voyageurs, l'utilisation de ces authentifiants serait facultative.

*

* ¹ Règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.

* ² L'espace Schengen est composé de 25 des 27 États membres de l'Union européenne (Allemagne ; Autriche ; Belgique ; Croatie ; Danemark ; Espagne ; Estonie ; Finlande ; France ; Grèce ; Hongrie ; Italie ; Lettonie ; Lituanie ; Luxembourg ; Malte ; Pays-Bas ; Pologne ; Portugal ; République tchèque ; Slovaquie ; Slovénie ; Suède et, sauf frontières terrestres, Bulgarie et Roumanie) et de 4 pays tiers (Islande ; Liechtenstein ; Norvège ; Suisse).

* ³ Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l'Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) n°1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 71/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE.

* ⁴ Chaque État membre peut ajouter des mentions à usage national, conformément à son droit, mais l'efficacité des normes minimales de sécurité ne doit pas en être affectée.

* ⁵ Règlement (UE) 2019/1157 du 20 juin 2019 du Parlement européen et du Conseil relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation.

* ⁶ En pratique, les enfants de moins de six ans sont exemptés de l'obligation de donner leurs empreintes digitales et ceux de moins de douze ans peuvent l'être.

* ⁷ CJUE, 21 mars 2024, RL contre Landeshauptstadt, C-61/22.

* ⁸ La cryptographie à clé publique est un concept fondamental de la cybersécurité moderne. Elle utilise une paire de clés, qui sont des opérations de cryptographie (chiffrement ; déchiffrement ; signature électronique...). L'une de ces clés est publique (connue de tous) et l'autre, privée (connue du seul utilisateur). Ces clés permettent de crypter et de décrypter les données, garantissant ainsi une communication et une authentification sécurisées dans les environnements numériques. Une infrastructure à clé publique, ou PKI (Public Key Infrastructure) regroupe tous les éléments utilisés pour établir et gérer le chiffrement à clé publique (logiciels ; matériel, procédures mises en oeuvre pour créer, distribuer, gérer, stocker et révoquer les certificats numériques). 

* ⁹ Exposé des motifs de la proposition, p 1.

* ¹⁰ Communication COM(2021) 277 final de la Commission européenne au Parlement européen et au Conseil, 2 juin 2021.

* ¹¹ Proposition de règlement COM(2024) 670 final du Parlement européen et du Conseil portant création d'une application pour la transmission électroniques des données de voyage et modifiant les règlements (UE) 2016/399 et (UE) 2018/1726 et le règlement (CE) n°2252/2004 du Conseil, en ce qui concerne l'utilisation d'authentifiants de voyage numériques.

* ¹² Règlement (UE) n°2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l'établissement du cadre européen relatif à une identité numérique.

* ¹³ Article 3 du règlement (UE) n°910/2014 modifié.

* ¹⁴ Règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres.