En référé, le tribunal administratif de Hambourg (VG) a arrêté la délivrance d’une carte d’identité avec les empreintes digitales enregistrées.
Le tribunal administratif (VG) de Hambourg a rendu une décision concernant la délivrance d’une carte d’identité avec empreintes digitales stockées. Par l’ordonnance de référé (20 E 377/23), elle a décidé qu’une personne devait se voir délivrer une carte d’identité sans empreintes digitales enregistrées. Digitalcourage en a rendu compte.
La plainte a été déposée par un particulier. Ce faisant, elle a fait référence à une procédure de courage numérique en cours devant la CJCE et avait raison en premier lieu. Cependant, l’autorité compétente de la ville de Hambourg peut encore faire appel de la décision.
VG Hamburg rejoint les arguments de Digitalcourage
Avec sa décision, le VG Hambourg a accepté toutes les critiques de Digitalcourage. Il existe donc des doutes justifiés quant à la légalité du règlement de l’UE, qui prescrit désormais l’obligation de stockage pour tous les États membres de l’UE.
Konstantin Macher de Digitalcourage s’est senti confirmé :
« Nous sommes heureux que le tribunal administratif de Hambourg suive également notre raisonnement et rende possible une carte d’identité sans empreintes digitales dans ce cas particulier.
Carte d’identité européenne : parvenir à la normalisation
Un amendement à la loi sur la carte d’identité personnelle (§ 5 alinéa 9 PAuswG) est entré en vigueur en Allemagne le 2 août 2021. Cela signifie que chacun est encouragé à faire relever ses empreintes digitales au bureau d’état civil lors de la demande d’une nouvelle carte d’identité.
Le règlement a été précédé d’un règlement (art. 3 al. 5 VO (UE) 2019/1175) de l’Union européenne, qui obligeait l’Allemagne à s’y conformer. La mesure visait à assurer la sécurité des cartes d’identité. A cet effet, les empreintes des deux index sont actuellement stockées dans la puce de la carte d’identité.
Selon le ministère fédéral de l’Intérieur, les empreintes ne doivent être utilisées que pour les stocker sur la carte d’identité elle-même. En cas de contrôle d’identité, ils veulent utiliser les empreintes digitales pour vérifier si la carte d’identité présentée est authentique.
Il n’est pas prévu de stocker les empreintes digitales dans des bases de données centrales, et les empreintes digitales stockées sur la carte d’identité ne seraient pas comparées aux fichiers de données centraux de la police. Une fois la carte d’identité délivrée et remise, ils souhaitent supprimer les empreintes digitales du fabricant et de l’autorité.
Les critiques ont souligné le potentiel d’abus
Les critiques doutaient que les données de la carte d’identité ne puissent être lues que par les autorités et autres organismes autorisés et qu’il y ait donc un potentiel d’utilisation abusive. Si des criminels s’emparaient de ces données, ils pourraient, par exemple, laisser de fausses traces sur les scènes de crime.
Konstantin Macher de Digitalcourage a souligné un tel scénario :
« Le pire des cas d’usurpation d’identité est de lier une personne qui n’a jamais été un criminel à un crime. »
Friedemann Ebelt de l’association Digitalcourage se méfiait également du stockage des empreintes digitales :
« Les empreintes digitales sont déjà utilisées aujourd’hui comme clés pour les smartphones, les bureaux et les véhicules. Mais contrairement aux mots de passe, nous ne pouvons pas les changer s’ils sont piratés et volés. À long terme, les empreintes digitales se retrouveront dans les bases de données d’autorités, de services secrets ou de criminels peu fiables. C’est un problème de sécurité pour les smartphones, les bureaux et les véhicules. Ce qui est sûr aujourd’hui peut être dangereux dans cinq ou dix ans.
Avec l’obligation de conserver les empreintes digitales, les citoyens respectueux des lois sont traités presque de la même manière que les suspects. Il n’y a aucune raison légitime et impérieuse d’obliger l’ensemble de la population à donner deux empreintes digitales sur toute la ligne. Les citoyens ne devraient pas supporter cela.
La chronologie est incontrôlable. Nous devons partir du principe qu’une telle réglementation s’appliquera alors pendant 10, 20, 30, 40 ans – et ce qui peut encore être stocké en toute sécurité maintenant ne le sera plus dans 30 ans. »
Digitalcourage a mis en doute la légalité du règlement de l’UE et a déposé une plainte contre cette pratique auprès du tribunal administratif (VG) de Wiesbaden. Le VG a suivi les arguments de Digitalcourage et a renvoyé la plainte devant la Cour européenne de justice (CEJ). Une audience orale y a eu lieu le 14 mars 2023. Konstantin Macher de Digitalcourage a expliqué :
« Nous espérons que notre action en justice devant la CJUE débouchera sur une solution durable qui libérera l’ensemble des quelque 380 millions de citoyens européens concernés de l’exigence disproportionnée d’empreintes digitales. »
Dans un communiqué de presse aujourd’hui, Digitalcourage a déclaré que la CJE avait relevé des problèmes :
« Il y avait des questions particulièrement critiques de la CJUE sur une période autorisée dans le règlement entre la collecte des données d’empreintes digitales dans les autorités et la suppression prescrite. Cette période signifie que les empreintes digitales peuvent être stockées dans les autorités jusqu’à 90 jours.
Le règlement stipule également que les données biométriques peuvent également être utilisées à des fins autres que la délivrance de cartes d’identité si cela est prévu par la législation de l’UE ou des États membres. D’une part, cela comporte le risque que les données soient volées aux autorités dans ce délai. D’autre part, les États membres peuvent utiliser cette porte dérobée pour accéder aux empreintes digitales stockées sur la base des lois nationales.
Un juge a fait remarquer que le législateur européen, dans le but d’accroître la sécurité des cartes d’identité, a de facto créé une nouvelle faille de sécurité ici et a déclaré que les dispositions de sécurité prises pour cette période sont très faibles.
Apparemment, la prochaine étape du processus consiste à publier l’avis de l’avocat général le 29 juin 2023. Cependant, la date du prononcé de l’arrêt n’a pas encore été fixée.