Minimisation matérielle des données génétiques et biométriques
POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3
La présente affaire s’inscrit dans un litige opposant JH, une personne physique, à la direction de la police tchèque (Policejní prezidium). Le 11 décembre 2015, la police tchèque a engagé des poursuites pénales contre JH pour délit de violation d’une obligation dans la gestion du patrimoine d’autrui. Le 13 janvier 2016, lors de son audition dans le cadre de cette procédure, la police a ordonné des actes d’identification comprenant la prise d’empreintes digitales, un prélèvement buccal pour établir un profil génétique, des photographies et une description physique. Malgré l’opposition de JH, ces données ont été enregistrées dans les bases de données policières correspondantes.
Par arrêt du 15 mars 2017, JH a été définitivement reconnu coupable du délit précité ainsi que du crime d’abus de pouvoir de la part d’un fonctionnaire. Il a été condamné à une peine privative de liberté de trois ans avec sursis, à une interdiction d’exercer certaines fonctions pendant quatre ans, et à réparer le dommage causé dans la limite de ses possibilités.
Le 8 mars 2016, JH avait introduit un recours visant à faire constater que la réalisation des actes d’identification, la conservation des informations obtenues et la création d’une entrée dans le système informatique de la police constituaient une ingérence illégale. Le Městský soud v Praze (Cour municipale de Prague) a fait droit à ce recours par arrêt du 23 juin 2022, jugeant que ces actes constituaient une ingérence illégale dans le droit fondamental au respect de la vie privée, et a ordonné à la police tchèque d’effacer toutes les données à caractère personnel résultant de ces actes, à l’exception du prélèvement buccal entre-temps détruit.
La juridiction praguoise a souligné que l’article 65 de la loi relative à la police tchèque ne fournissait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. La direction de la police a introduit un pourvoi en cassation contre cet arrêt, ce qui a conduit le Nejvyšší správní soud à poser trois questions préjudicielles à la Cour de justice.
Une approche nuancée de la nécessité absolue comme critère d’exigence renforcée
Dans ses conclusions présentées le 27 février 2025 dans l’affaire C-57/23 (JH contre Policejní prezidium), l’Avocat général Jean Richard de la Tour développe une analyse particulièrement approfondie concernant la minimisation matérielle des données génétiques et biométriques. Cette question, qui constitue le cœur de la première question préjudicielle, mérite une attention particulière en raison de ses implications fondamentales pour l’équilibre entre l’efficacité des enquêtes pénales et la protection des droits fondamentaux.
L’Avocat général part d’un constat essentiel : l’article 10 de la directive 2016/680 établit une protection renforcée pour les données sensibles, notamment les données génétiques et biométriques. Cette protection accrue se justifie par la nature particulièrement intrusive de ces données dans la sphère privée des individus. En effet, ces données peuvent révéler des informations extrêmement personnelles et sont susceptibles, comme le souligne l’Avocat général au paragraphe 26 de ses conclusions, “d’engendrer des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte”.
La motivation de l’Avocat général s’articule autour d’une interprétation rigoureuse de l’exigence de “nécessité absolue” énoncée à l’article 10 de la directive. Cette exigence constitue une condition renforcée de licéité du traitement des données sensibles et implique un contrôle particulièrement strict du respect du principe de minimisation des données issu de l’article 4, paragraphe 1, sous c) de la directive. L’Avocat général considère que cette exigence de “nécessité absolue” représente une application spécifique du principe de minimisation aux données sensibles.
La force de l’argumentation réside dans l’analyse détaillée de la jurisprudence antérieure de la Cour, notamment l’arrêt “Ministerstvo na vatreshnite raboti” du 26 janvier 2023. Dans cet arrêt, la Cour avait conclu qu’une législation nationale prévoyant la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office était contraire à l’exigence de “nécessité absolue”. L’Avocat général transpose ce raisonnement à la législation tchèque en cause, qui permet la collecte de données biométriques et génétiques non seulement pour les personnes poursuivies, mais aussi pour celles simplement soupçonnées d’avoir commis une infraction intentionnelle.
Une critique de l’approche législative tchèque : l’insuffisance du critère d’intentionnalité
L’analyse critique développée par l’Avocat général à l’égard de la législation tchèque est particulièrement pertinente. Il observe que le seul fait de limiter la collecte des données biométriques et génétiques aux infractions présentant un élément intentionnel ne suffit pas à satisfaire l’exigence de “nécessité absolue”. Cette observation est cruciale car elle remet en question l’approche adoptée par le législateur tchèque, qui semble considérer que la distinction entre infractions intentionnelles et non intentionnelles constitue un critère suffisant de proportionnalité.
L’Avocat général démontre de façon convaincante que cette approche est trop large et indifférenciée. En effet, la notion d’infraction intentionnelle “revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité” (paragraphe 41). Cette critique est d’autant plus pertinente que la législation tchèque étend cette possibilité aux personnes simplement soupçonnées d’avoir commis une infraction intentionnelle, ce qui élargit considérablement le champ d’application de la mesure.
Un aspect particulièrement intéressant de l’analyse concerne la distinction entre le caractère facultatif de la collecte dans la législation tchèque et le caractère impératif qui existait dans la législation bulgare examinée dans l’arrêt précité. L’Avocat général reconnaît cette différence mais considère qu’elle n’est pas déterminante. Il souligne en effet que ni l’article 65, paragraphe 1, ni l’article 11 de la loi tchèque ne prévoient d’obligation pour les autorités d’apprécier la “nécessité absolue” de collecter ces données dans chaque cas concret. Cette absence d’obligation d’appréciation constitue, selon l’Avocat général, une lacune fondamentale du dispositif législatif tchèque.
Une approche individualisée et contextuelle de la nécessité absolue
L’un des aspects les plus novateurs de l’analyse de l’Avocat général réside dans sa conception de la “nécessité absolue” comme une notion qui ne peut se déterminer qu’au regard de l’ensemble des éléments pertinents dans chaque cas d’espèce. Il développe ainsi une approche individualisée et contextuelle, qui s’oppose à toute présomption générale de nécessité absolue fondée sur la seule nature intentionnelle de l’infraction.
L’Avocat général énumère de façon détaillée les éléments qui devraient être pris en compte pour apprécier cette nécessité absolue : “la nature et la gravité de l’infraction présumée pour laquelle une personne est mise en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel de la personne en cause” (paragraphe 46). Cette énumération non exhaustive témoigne d’une approche nuancée et équilibrée, qui tient compte de la diversité des situations et refuse toute automaticité dans la collecte des données sensibles.
Cette conception de la nécessité absolue comme exigeant une appréciation au cas par cas est particulièrement pertinente dans le contexte des données génétiques et biométriques. En effet, ces données, par leur nature même, touchent au cœur de l’identité de la personne et méritent donc une protection renforcée. L’approche développée par l’Avocat général permet de concilier cette protection avec les nécessités légitimes de l’enquête pénale, en exigeant une justification spécifique et circonstanciée pour chaque collecte de données.
La question cruciale de l’autorité compétente pour apprécier la nécessité absolue
Un autre aspect fondamental de l’analyse concerne la question de l’autorité compétente pour apprécier la nécessité absolue du traitement. L’Avocat général rappelle que la Cour a jugé que, en l’absence d’obligation pour l’autorité compétente de procéder à cette appréciation, une juridiction saisie ne saurait assurer, à la place de cette autorité, le respect de l’obligation qui lui incombe au titre de l’article 10 de la directive.
Cette observation est particulièrement pertinente dans le contexte tchèque, où le cadre juridique actuel conduit à des situations où, d’une part, les services de police ne procèdent pas à un contrôle de proportionnalité strict avant d’effectuer le prélèvement des données et, d’autre part, les juridictions administratives doivent se substituer aux autorités policières dans la mise en œuvre d’un tel contrôle. Cette situation est problématique car elle inverse les rôles institutionnels : le contrôle de proportionnalité devrait être effectué a priori par l’autorité qui décide de la collecte, et non a posteriori par le juge.
L’Avocat général souligne ainsi une défaillance structurelle du système tchèque, qui ne garantit pas que l’appréciation de la nécessité absolue soit effectuée au moment opportun et par l’autorité appropriée. Cette critique est d’autant plus pertinente que l’efficacité de la protection des droits fondamentaux dépend largement de l’existence de garanties procédurales adéquates.
En conclusion, l’analyse de l’Avocat général concernant la minimisation matérielle des données génétiques et biométriques est remarquablement équilibrée et nuancée. Elle reconnaît la légitimité des finalités poursuivies par les autorités policières tout en insistant sur la nécessité d’un cadre juridique offrant des garanties suffisantes contre les risques d’abus. La notion de “nécessité absolue” est interprétée de manière à exiger une appréciation individualisée et contextuelle, qui tient compte de l’ensemble des circonstances pertinentes dans chaque cas d’espèce. Cette approche permet de concilier l’efficacité des enquêtes pénales avec le respect des droits fondamentaux, en particulier le droit à la protection des données à caractère personnel.