Minimisation temporelle et critères de conservation des données
POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3
La présente affaire s’inscrit dans un litige opposant JH, une personne physique, à la direction de la police tchèque (Policejní prezidium). Le 11 décembre 2015, la police tchèque a engagé des poursuites pénales contre JH pour délit de violation d’une obligation dans la gestion du patrimoine d’autrui. Le 13 janvier 2016, lors de son audition dans le cadre de cette procédure, la police a ordonné des actes d’identification comprenant la prise d’empreintes digitales, un prélèvement buccal pour établir un profil génétique, des photographies et une description physique. Malgré l’opposition de JH, ces données ont été enregistrées dans les bases de données policières correspondantes.
Par arrêt du 15 mars 2017, JH a été définitivement reconnu coupable du délit précité ainsi que du crime d’abus de pouvoir de la part d’un fonctionnaire. Il a été condamné à une peine privative de liberté de trois ans avec sursis, à une interdiction d’exercer certaines fonctions pendant quatre ans, et à réparer le dommage causé dans la limite de ses possibilités.
Le 8 mars 2016, JH avait introduit un recours visant à faire constater que la réalisation des actes d’identification, la conservation des informations obtenues et la création d’une entrée dans le système informatique de la police constituaient une ingérence illégale. Le Městský soud v Praze (Cour municipale de Prague) a fait droit à ce recours par arrêt du 23 juin 2022, jugeant que ces actes constituaient une ingérence illégale dans le droit fondamental au respect de la vie privée, et a ordonné à la police tchèque d’effacer toutes les données à caractère personnel résultant de ces actes, à l’exception du prélèvement buccal entre-temps détruit.
La juridiction praguoise a souligné que l’article 65 de la loi relative à la police tchèque ne fournissait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. La direction de la police a introduit un pourvoi en cassation contre cet arrêt, ce qui a conduit le Nejvyšší správní soud à poser trois questions préjudicielles à la Cour de justice.
Analyse critique approfondie de la motivation concernant la minimisation temporelle et les critères de conservation des données dans l’affaire C-57/23
Tension fondamentale entre finalités prospectives et protection des droits fondamentaux
Dans ses conclusions présentées le 27 février 2025 dans l’affaire C-57/23 (JH contre Policejní prezidium), l’Avocat général Jean Richard de la Tour développe une analyse particulièrement nuancée de la problématique complexe de la minimisation temporelle des données biométriques et génétiques. Cette question, qui constitue le cœur de la deuxième question préjudicielle, mérite une attention particulière car elle met en lumière une tension fondamentale inhérente au système de protection des données dans le contexte répressif : comment concilier l’exigence de limitation temporelle du traitement des données personnelles avec la finalité prospective et potentiellement illimitée de la prévention et de la détection des infractions pénales.
Cette tension est explicitement identifiée par la juridiction de renvoi lorsqu’elle souligne, au § 40 de sa demande, que la finalité déclarée de prévention, recherche ou détection des infractions pénales est “par nature, prospective et illimitée dans le temps”. Elle observe pertinemment que “la finalité claire et parfaitement logique dans ce contexte est de disposer d’un recueil de données le plus complet possible pour la durée la plus longue possible à l’avenir”. Le paradoxe est ainsi clairement posé : l’application stricte du principe de minimisation temporelle semble potentiellement contradictoire avec l’efficacité même des bases de données policières, au point que la juridiction de renvoi va jusqu’à affirmer que cette application “a plutôt tendance à nier la finalité même et le sens de l’existence de la base de données, qui ne sera ni complète, ni capable de jouer son rôle”.
Face à cette problématique, l’Avocat général adopte une approche équilibrée qui reconnaît à la fois la légitimité des finalités prospectives tout en affirmant la nécessité de limites et de garanties. Il s’attaque ainsi à l’une des questions fondamentales du droit de la protection des données dans le contexte répressif : comment préserver l’efficacité des outils de lutte contre la criminalité tout en assurant un niveau adéquat de protection des droits fondamentaux des personnes concernées.
L’évolution jurisprudentielle et l’apport de l’arrêt DGPN
L’analyse de l’Avocat général s’inscrit dans le prolongement de l’arrêt DGPN (Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia) du 30 janvier 2024, qui constitue une référence essentielle en matière de limites temporelles à la conservation des données personnelles dans le contexte répressif. Cet arrêt, mentionné au § 4 des conclusions, est le premier dans lequel la Cour s’est prononcée sur ces limites temporelles au regard de la directive 2016/680.
L’Avocat général précise qu’en vertu de cet arrêt, la directive fixe un “cadre général” imposant aux États membres de prévoir que les données à caractère personnel soient conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies. Ce cadre implique également l’obligation de prévoir des délais appropriés pour l’effacement des données ou la vérification régulière de la nécessité de les conserver, ainsi que des règles procédurales garantissant le respect de ces délais.
La particularité de l’approche développée dans l’arrêt DGPN, et reprise par l’Avocat général, est qu’elle laisse aux États membres une marge de manœuvre pour déterminer les situations concrètes dans lesquelles la protection des droits fondamentaux requiert l’effacement des données et le moment où celui-ci doit intervenir. Le § 56 des conclusions précise explicitement que la directive “n’exige pas que les États membres définissent des limites temporelles absolues pour la conservation des données à caractère personnel, au-delà desquelles celles-ci devraient être automatiquement effacées”.
Cette position nuancée est particulièrement importante, car elle reconnaît implicitement la spécificité du domaine répressif, où la rigidité excessive pourrait compromettre l’efficacité des enquêtes et des poursuites pénales. Elle s’écarte ainsi d’une approche plus stricte qui imposerait des durées maximales de conservation uniformes et absolues.
Une exigence accrue de garanties procédurales en l’absence de durée maximale
Si l’Avocat général admet l’absence de nécessité de limites temporelles absolues, il insiste néanmoins sur l’importance cruciale des garanties procédurales dans un tel contexte. C’est là que réside l’un des aspects les plus novateurs de son analyse : l’établissement d’une corrélation entre la flexibilité du système et la rigueur des garanties qui doivent l’encadrer.
Au § 63 des conclusions, l’Avocat général souligne que “l’existence et le fonctionnement de certaines garanties procédurales s’avèrent d’autant plus nécessaires” précisément dans une situation où les autorités nationales conservent des données à caractère personnel à des fins prospectives, sans prévoir de période maximale précise. Cette approche est particulièrement pertinente car elle reconnaît que l’équilibre entre efficacité répressive et protection des droits fondamentaux ne peut être atteint que par un renforcement des garanties lorsque la flexibilité temporelle est accrue.
L’Avocat général identifie ensuite, aux §§ 67 à 69, trois types de garanties qui devraient encadrer la conservation des données biométriques et génétiques :
Premièrement, le droit national devrait préciser au minimum les procédures prévues pour la destruction des données, conformément au considérant 33 de la directive 2016/680.
Deuxièmement, chaque personne concernée devrait avoir le droit de connaître la durée pendant laquelle ses données sont conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée. L’Avocat général souligne que ces informations sont nécessaires pour permettre aux personnes concernées d’exercer leurs droits découlant des articles 7 et 8 de la Charte des droits fondamentaux.
Troisièmement, s’agissant spécifiquement des données biométriques et génétiques, la réglementation nationale devrait prévoir des dispositions faisant ressortir, de manière claire et précise, que leur conservation doit être limitée à ce qui est strictement nécessaire.
Cette exigence de garanties renforcées est d’autant plus pertinente que, comme le souligne l’Avocat général au § 27 des conclusions, l’article 10 de la directive 2016/680 énonce l’exigence selon laquelle le traitement des données sensibles est autorisé “uniquement en cas de nécessité absolue”. Cette exigence constitue une condition renforcée de licéité qui implique un contrôle particulièrement strict du respect du principe de minimisation des données.
Une approche contextuelle et multicritères de l’évaluation de la nécessité
L’un des aspects les plus intéressants de l’analyse de l’Avocat général réside dans sa conception contextuelle et multicritères de l’évaluation de la nécessité de conserver les données biométriques et génétiques. Au lieu de proposer une approche uniforme et rigide, il développe au § 70 une liste non exhaustive de critères qui devraient être pris en compte pour apprécier la durée de conservation de telles données :
“L’appréciation de la durée de conservation de telles données devrait tenir compte de différents critères, tels que la nature et la gravité des faits constatés, le temps écoulé depuis ces faits, la durée légale de conservation restant à courir et le degré de risque que la personne concernée soit impliquée dans d’autres infractions pénales, ou d’autres circonstances, telles que le contexte particulier dans lequel cette infraction a été commise, son lien éventuel avec d’autres procédures en cours ou encore les antécédents ou le profil de cette personne.”
Cette approche contextuelle présente plusieurs avantages. Elle permet une individualisation de l’appréciation, qui tient compte des spécificités de chaque situation. Elle reconnaît également la diversité des facteurs pertinents pour évaluer la nécessité de la conservation, allant au-delà d’une simple référence à la gravité de l’infraction ou au temps écoulé. Enfin, elle maintient une certaine souplesse dans l’appréciation, ce qui est particulièrement important dans le domaine répressif, où les situations peuvent être extrêmement variées et évolutives.
Cette conception s’inscrit parfaitement dans la logique de la directive 2016/680, qui établit un équilibre subtil entre, d’une part, l’efficacité des enquêtes et des poursuites pénales et, d’autre part, la protection des droits fondamentaux des personnes concernées. Elle permet également de prendre en compte le considérant 27 de la directive, mentionné au § 62 des conclusions, selon lequel les autorités compétentes ont besoin de traiter des données collectées dans le cadre d’enquêtes spécifiques “au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour”.
Une critique du système tchèque : l’insuffisance des garanties existantes
L’analyse de l’Avocat général ne se limite pas à des considérations théoriques, mais s’applique concrètement au système tchèque en cause dans l’affaire principale. Sa conclusion est particulièrement critique à l’égard de ce système, qu’il considère comme insuffisamment protecteur.
L’Avocat général observe, au § 71 de ses conclusions, qu’il ne ressort ni de la décision de renvoi ni des observations présentées devant la Cour que la réglementation tchèque prévoit des garanties suffisantes relatives aux procédures de destruction des données, d’information des personnes concernées et d’appréciation de la “nécessité absolue” de conserver les données biométriques et génétiques.
Cette observation est d’autant plus pertinente que la juridiction de renvoi avait elle-même souligné, au § 8 de sa décision, que la cour municipale de Prague avait jugé la réglementation découlant de l’article 65, § 5, de la loi relative à la police tchèque “tout à fait insuffisante et contraire à l’article 8 CEDH et à l’article 10, § 3, de la charte des droits et libertés fondamentaux”. La juridiction de renvoi avait également relevé que “le fait que la police tchèque doive elle-même, en application de l’article 65, § 5, de la loi relative à la police tchèque, examiner en interne à partir de quand la poursuite de la conservation de données à caractère personnel ‘n’est pas indispensable pour prévenir, rechercher ou détecter des infractions pénales’ laisse en réalité une marge de réflexion illimitée à la police et tend à la surutilisation d’une conservation illimitée dans le temps des données à caractère personnel”.
Cette critique rejoint celle de l’Avocat général et met en lumière une défaillance systémique du cadre tchèque : l’absence de garanties externes et de critères objectifs pour encadrer la décision de conservation ou d’effacement des données. En effet, confier à la même autorité qui collecte et utilise les données la responsabilité exclusive d’apprécier la nécessité de leur conservation, sans prévoir de contrôle externe ni de critères objectifs, risque de créer un déséquilibre en faveur de la conservation prolongée des données.
Réexamen régulier et garanties strictes : vers un nouveau standard européen
En conclusion de son analyse sur la deuxième question préjudicielle, l’Avocat général propose une interprétation équilibrée de l’article 4, § 1, sous e), de la directive 2016/680, lu à la lumière de l’article 10 de cette directive. Selon lui, ces dispositions ne s’opposent pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoie le réexamen, à échéances régulières, de la nécessité de conserver ces données. Cependant, ces dispositions imposent que ce réexamen soit encadré par des garanties procédurales strictes et permette de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire au regard des finalités pour lesquelles les données sont traitées.
Cette position est particulièrement intéressante car elle établit un équilibre subtil entre flexibilité et garanties. Elle reconnaît la spécificité du domaine répressif et la légitimité des finalités prospectives poursuivies par les bases de données policières, tout en insistant sur la nécessité d’un encadrement strict pour éviter les abus. Elle établit ainsi un standard européen qui pourrait servir de référence pour tous les États membres confrontés à la nécessité de concilier efficacité répressive et protection des droits fondamentaux.
En dernier lieu, il convient de souligner que cette position s’inscrit dans une évolution plus large du droit de la protection des données, qui tend vers une approche plus contextuelle et procédurale que substantielle. Plutôt que d’imposer des limites absolues et uniformes, elle met l’accent sur la qualité du processus décisionnel et sur les garanties qui l’entourent. Cette approche présente l’avantage de s’adapter à la diversité des situations tout en maintenant un niveau élevé de protection des droits fondamentaux.
En définitive, l’analyse de l’Avocat général concernant la minimisation temporelle des données biométriques et génétiques apparaît comme particulièrement équilibrée et nuancée. Elle reconnaît la légitimité des finalités poursuivies par les autorités policières tout en insistant sur la nécessité d’un cadre juridique offrant des garanties suffisantes contre les risques d’abus. Elle propose ainsi une voie médiane qui pourrait permettre de concilier efficacité répressive et respect des droits fondamentaux dans le domaine particulièrement sensible des données biométriques et génétiques.