POINTS ESSENTIELS
POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3
La présente affaire s’inscrit dans un litige opposant JH, une personne physique, à la direction de la police tchèque (Policejní prezidium). Le 11 décembre 2015, la police tchèque a engagé des poursuites pénales contre JH pour délit de violation d’une obligation dans la gestion du patrimoine d’autrui. Le 13 janvier 2016, lors de son audition dans le cadre de cette procédure, la police a ordonné des actes d’identification comprenant la prise d’empreintes digitales, un prélèvement buccal pour établir un profil génétique, des photographies et une description physique. Malgré l’opposition de JH, ces données ont été enregistrées dans les bases de données policières correspondantes.
Par arrêt du 15 mars 2017, JH a été définitivement reconnu coupable du délit précité ainsi que du crime d’abus de pouvoir de la part d’un fonctionnaire. Il a été condamné à une peine privative de liberté de trois ans avec sursis, à une interdiction d’exercer certaines fonctions pendant quatre ans, et à réparer le dommage causé dans la limite de ses possibilités.
Le 8 mars 2016, JH avait introduit un recours visant à faire constater que la réalisation des actes d’identification, la conservation des informations obtenues et la création d’une entrée dans le système informatique de la police constituaient une ingérence illégale. Le Městský soud v Praze (Cour municipale de Prague) a fait droit à ce recours par arrêt du 23 juin 2022, jugeant que ces actes constituaient une ingérence illégale dans le droit fondamental au respect de la vie privée, et a ordonné à la police tchèque d’effacer toutes les données à caractère personnel résultant de ces actes, à l’exception du prélèvement buccal entre-temps détruit.
La juridiction praguoise a souligné que l’article 65 de la loi relative à la police tchèque ne fournissait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. La direction de la police a introduit un pourvoi en cassation contre cet arrêt, ce qui a conduit le Nejvyšší správní soud à poser trois questions préjudicielles à la Cour de justice.
Minimisation matérielle des données génétiques et biométriques
La première question porte sur l’interprétation de l’article 4, paragraphe 1, sous c), et de l’article 6 de la directive 2016/680, lus en combinaison avec l’article 10. Il s’agit de déterminer si ces dispositions s’opposent à une réglementation nationale qui permet la collecte de données génétiques de toutes les personnes poursuivies ou soupçonnées d’avoir commis une infraction pénale intentionnelle.
L’Avocat général rappelle préalablement que l’article 10 de la directive 2016/680 vise à assurer une protection accrue des personnes concernées. En effet, les données biométriques et génétiques, en raison de leur sensibilité particulière, sont susceptibles d’engendrer des risques importants pour les libertés et droits fondamentaux, notamment le droit au respect de la vie privée et le droit à la protection des données personnelles, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.
L’article 10 énonce spécifiquement que le traitement des données sensibles est autorisé “uniquement en cas de nécessité absolue”. Cette exigence constitue une condition renforcée de licéité et implique un contrôle particulièrement strict du respect du principe de minimisation des données issu de l’article 4, paragraphe 1, sous c).
Sur le fond, l’Avocat général constate que l’article 6 de la directive fait obligation aux États membres d’opérer une distinction claire entre les données des différentes catégories de personnes concernées. Toutefois, l’expression “le cas échéant et dans la mesure du possible” utilisée à cet article indique que cette obligation n’est pas absolue.
Dans l’arrêt “Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police)” du 26 janvier 2023, la Cour a conclu qu’une législation nationale prévoyant la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office est contraire à l’exigence de “nécessité absolue” de l’article 10. Une telle législation conduit à la collecte indifférenciée et généralisée des données biométriques et génétiques de la plupart des personnes mises en examen, indépendamment de la nature et de la gravité des infractions.
Or, dans la présente affaire, l’article 65, paragraphe 1, de la loi tchèque prévoit que les données biométriques et génétiques peuvent être collectées non seulement pour les personnes poursuivies, mais aussi pour celles soupçonnées d’avoir commis une infraction intentionnelle. Cette disposition couvre donc encore trop largement une majorité d’infractions pénales.
L’Avocat général observe que cette loi accorde une faculté aux services de police (contrairement à la règlementation bulgare examinée dans l’arrêt précité qui l’imposait), mais ni l’article 65, paragraphe 1, ni l’article 11 de la loi tchèque ne prévoient d’obligation pour les autorités d’apprécier la “nécessité absolue” de collecter ces données dans chaque cas concret.
Selon l’Avocat général, le seul fait qu’une personne ait commis ou soit soupçonnée d’avoir commis une infraction intentionnelle ne saurait systématiquement justifier la collecte de ses données biométriques et génétiques. Cette “nécessité absolue” doit se déterminer au regard de l’ensemble des éléments pertinents : nature et gravité de l’infraction présumée, circonstances particulières, lien éventuel avec d’autres procédures, antécédents judiciaires ou profil individuel de la personne concernée.
De plus, l’Avocat général relève que la Cour a jugé qu’en l’absence d’obligation pour l’autorité compétente de procéder à l’appréciation de la “nécessité absolue” du traitement, une juridiction saisie ne saurait assurer, à la place de cette autorité, le respect de l’obligation qui lui incombe au titre de l’article 10 de la directive.
Or, dans le cadre juridique tchèque actuel, d’une part, les services de police ne procèdent pas à un contrôle de proportionnalité strict avant d’effectuer le prélèvement des données et, d’autre part, les juridictions administratives doivent se substituer aux autorités policières dans la mise en œuvre d’un tel contrôle.
En conclusion sur ce point, l’Avocat général considère que les dispositions pertinentes de la directive s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies ou soupçonnées d’avoir commis une infraction intentionnelle, lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la “nécessité absolue” du traitement.
Minimisation temporelle et critères de conservation des données
La deuxième question concerne l’interprétation de l’article 4, paragraphe 1, sous e), de la directive 2016/680. Il s’agit de déterminer si cette disposition s’oppose à une réglementation nationale en vertu de laquelle la nécessité de maintenir la conservation des données biométriques et génétiques est appréciée par les services de police sur la base de règles internes, sans prévoir de durée maximale de conservation.
L’Avocat général fait référence à l’arrêt “Direktor na Glavna direktsia ‘Natsionalna politsia’ pri MVR – Sofia” du 30 janvier 2024, dans lequel la Cour a précisé que la directive 2016/680 fixe un cadre général imposant aux États membres de prévoir que les données personnelles soient conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies, et de prévoir des délais appropriés pour leur effacement ou la vérification régulière de la nécessité de les conserver, ainsi que des règles procédurales garantissant le respect de ces délais.
Toutefois, les États membres conservent une marge de manœuvre pour déterminer les situations concrètes dans lesquelles la protection des droits fondamentaux requiert l’effacement des données et le moment où celui-ci doit intervenir. La directive n’exige pas que les États définissent des limites temporelles absolues pour la conservation des données, au-delà desquelles celles-ci devraient être automatiquement effacées.
L’Avocat général reconnaît que la conservation des données est susceptible de contribuer à l’objectif d’intérêt général énoncé au considérant 27 de la directive, selon lequel les autorités compétentes ont besoin de traiter des données au-delà du cadre initial pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre différentes infractions. Cela suppose que les autorités puissent conserver des données à des fins prospectives, sans période maximale précise.
Toutefois, l’existence et le fonctionnement de certaines garanties procédurales s’avèrent d’autant plus nécessaires dans une telle situation. Si la loi tchèque prévoit l’effacement des données lorsque leur traitement n’est plus indispensable (article 65, paragraphe 5) et impose aux autorités policières de vérifier tous les trois ans la nécessité de poursuivre le traitement (article 82), cette réglementation devrait être encadrée par des garanties strictes protégeant efficacement les personnes concernées contre les risques d’abus.
L’Avocat général précise ces garanties :
– Le droit national devrait préciser au minimum les procédures de destruction des données
– Chaque personne concernée devrait avoir le droit de connaître la durée de conservation ou les critères utilisés
– S’agissant spécifiquement des données biométriques et génétiques, la réglementation devrait prévoir des dispositions faisant ressortir que leur conservation doit être limitée à ce qui est strictement nécessaire
L’appréciation de la durée de conservation devrait tenir compte de critères tels que la nature et la gravité des faits, le temps écoulé, la durée légale de conservation restante, le degré de risque que la personne soit impliquée dans d’autres infractions, ou d’autres circonstances particulières comme le contexte de l’infraction ou les antécédents de la personne.
Or, l’Avocat général constate qu’il ne ressort ni de la décision de renvoi ni des observations présentées que la réglementation tchèque prévoit des garanties suffisantes relatives aux procédures de destruction des données, d’information des personnes concernées et d’appréciation de la “nécessité absolue” de conserver ces données.
En conclusion sur ce point, l’Avocat général estime que l’article 4, paragraphe 1, sous e), de la directive, lu à la lumière de l’article 10, ne s’oppose pas à l’absence de durée maximale de conservation des données biométriques et génétiques, pour autant que la réglementation prévoie un réexamen régulier encadré par des garanties procédurales strictes permettant de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire.
Qualité du “droit d’un État membre” et garanties minimales
La troisième question porte sur l’interprétation de l’article 8, paragraphe 2, et de l’article 10 de la directive 2016/680. La juridiction de renvoi demande si une disposition de portée générale doit prévoir certaines conditions minimales d’obtention, de conservation et d’effacement des données biométriques et génétiques, et si la jurisprudence nationale peut se voir reconnaître la qualité de “droit d’un État membre”.
La Cour est invitée à répondre à cette question dans le contexte du régime juridique tchèque, caractérisé par:
– Une mise en œuvre de l’article 65 par des actes internes de gestion de la police tchèque qui ne peuvent avoir la qualité de “droit d’un État membre”
– L’absence, dans l’article 65, de précisions sur les conditions concrètes d’obtention, de conservation et d’effacement des données
– Une jurisprudence des juridictions administratives qui précise les critères à appliquer, avec des critères publiés et accessibles au public
L’Avocat général identifie plusieurs éléments plaidant en faveur de la reconnaissance de la jurisprudence comme “droit d’un État membre”:
– Le considérant 33 de la directive précise que la référence au droit d’un État membre n’exige pas nécessairement l’adoption d’un acte législatif par un parlement
– La Cour européenne des droits de l’homme a reconnu que le terme “loi” doit être entendu dans son acception matérielle et non formelle
– La Cour a précisé que l’exigence selon laquelle toute limitation des droits fondamentaux doit être prévue par la loi n’exclut pas que la limitation soit formulée en termes suffisamment ouverts pour s’adapter à différentes situations
Ainsi, une jurisprudence accessible, prévisible, constante et non systématiquement remise en cause présenterait des caractéristiques matérielles suffisantes pour relever de la notion de “droit d’un État membre”.
Cependant, l’Avocat général souligne que, dans certains cas impliquant des droits fondamentaux importants, une jurisprudence établie ne saurait suffire. Selon la Cour européenne des droits de l’homme, toute ingérence dans le droit au respect de la vie privée doit être “prévue par la loi”, ce qui implique une exigence de prévisibilité accrue pour la protection des données sensibles. La loi doit définir nettement l’étendue du pouvoir d’appréciation des autorités et indiquer clairement les circonstances permettant de recourir à des mesures affectant les droits protégés.
L’Avocat général rappelle que les données biométriques et génétiques, en raison de leur sensibilité particulière, sont susceptibles d’engendrer des risques importants pour les libertés et droits fondamentaux. Il est donc particulièrement contestable de ne protéger les droits des personnes concernées qu’au moyen d’une jurisprudence nationale lorsque la loi prévoit un contrôle de proportionnalité lacunaire, ne correspondant pas au degré de protection requis par l’article 10 de la directive.
Il constate que les dispositions de la loi tchèque sont formulées de manière trop large et n’imposent pas de limites préétablies suffisantes au pouvoir d’appréciation des autorités policières. En l’absence de telles limites, les conditions encadrant le traitement de ces données, qui résultent uniquement de la jurisprudence, ne sauraient répondre à l’exigence de garanties suffisamment strictes, dans un acte contraignant et prévisible dans son application.
En conclusion sur ce point, l’Avocat général considère que l’article 8, paragraphe 2, et l’article 10 de la directive s’opposent à ce qu’une jurisprudence nationale, quand bien même elle peut se voir reconnaître la qualité de “droit d’un État membre”, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict de la nécessité de collecter et conserver les données biométriques et génétiques.
Au terme de son analyse approfondie, l’Avocat général Jean Richard de la Tour propose à la Cour de répondre aux questions préjudicielles de la manière suivante:
L’article 4, paragraphe 1, sous c) et e), l’article 6, l’article 8, paragraphe 2, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens que:
– Ils s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies ou soupçonnées d’avoir commis une infraction intentionnelle lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la “nécessité absolue” du traitement;
– Ils ne s’opposent pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’elle prévoie le réexamen régulier de la nécessité de conserver ces données, encadré par des garanties procédurales strictes permettant de s’assurer que cette conservation n’excède pas la période strictement nécessaire;
– Ils s’opposent à ce qu’une jurisprudence nationale, même si elle peut être qualifiée de “droit d’un État membre”, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict, dans chaque cas concret et par les autorités policières, de la nécessité de collecter et conserver les données biométriques et génétiques.
Ces conclusions traduisent une approche équilibrée entre les impératifs de sécurité publique et la protection des droits fondamentaux. Elles posent des exigences rigoureuses quant au cadre juridique devant régir la collecte et la conservation des données biométriques et génétiques, tout en reconnaissant les spécificités du domaine répressif. Si la Cour devait suivre ces conclusions, les États membres devraient veiller à ce que leurs législations prévoient des garanties appropriées et des mécanismes de contrôle rigoureux pour la protection de ces données particulièrement sensibles.