De la notion de “Droit d’un Etat Membre” au sens
des articles 8 et 10 de la Directive 2016/680 aka “Police Justice”
POINTS ESSENTIELS JURISPRUDENCE QPC#1 QPC#2 QPC#3
La présente affaire s’inscrit dans un litige opposant JH, une personne physique, à la direction de la police tchèque (Policejní prezidium). Le 11 décembre 2015, la police tchèque a engagé des poursuites pénales contre JH pour délit de violation d’une obligation dans la gestion du patrimoine d’autrui. Le 13 janvier 2016, lors de son audition dans le cadre de cette procédure, la police a ordonné des actes d’identification comprenant la prise d’empreintes digitales, un prélèvement buccal pour établir un profil génétique, des photographies et une description physique. Malgré l’opposition de JH, ces données ont été enregistrées dans les bases de données policières correspondantes.
Par arrêt du 15 mars 2017, JH a été définitivement reconnu coupable du délit précité ainsi que du crime d’abus de pouvoir de la part d’un fonctionnaire. Il a été condamné à une peine privative de liberté de trois ans avec sursis, à une interdiction d’exercer certaines fonctions pendant quatre ans, et à réparer le dommage causé dans la limite de ses possibilités.
Le 8 mars 2016, JH avait introduit un recours visant à faire constater que la réalisation des actes d’identification, la conservation des informations obtenues et la création d’une entrée dans le système informatique de la police constituaient une ingérence illégale. Le Městský soud v Praze (Cour municipale de Prague) a fait droit à ce recours par arrêt du 23 juin 2022, jugeant que ces actes constituaient une ingérence illégale dans le droit fondamental au respect de la vie privée, et a ordonné à la police tchèque d’effacer toutes les données à caractère personnel résultant de ces actes, à l’exception du prélèvement buccal entre-temps détruit.
La juridiction praguoise a souligné que l’article 65 de la loi relative à la police tchèque ne fournissait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. La direction de la police a introduit un pourvoi en cassation contre cet arrêt, ce qui a conduit le Nejvyšší správní soud à poser trois questions préjudicielles à la Cour de justice.
La tension fondamentale entre sécurité juridique et flexibilité interprétative
La troisième question préjudicielle posée par le Nejvyšší správní soud (Cour administrative suprême tchèque) dans l’affaire C-57/23 met en lumière une problématique juridique fondamentale qui transcende le cadre spécifique de la protection des données: celle de la qualification même du “droit” dans un système juridique contemporain où la jurisprudence joue un rôle croissant dans l’interprétation et la concrétisation des normes législatives. Dans ses conclusions, l’Avocat général Jean Richard de la Tour développe une analyse particulièrement nuancée de cette question, mettant en balance la conception formelle et matérielle du droit, tout en soulignant la spécificité du domaine des données génétiques et biométriques qui appelle, selon lui, des garanties renforcées.
La problématique soulevée par cette question préjudicielle est d’une importance capitale pour l’architecture juridique de la protection des données à caractère personnel dans l’Union européenne. Elle interroge directement la manière dont les États membres peuvent satisfaire à leurs obligations en matière de protection des données dans le contexte particulier des activités policières et judiciaires. Plus spécifiquement, elle pose la question fondamentale de savoir si la notion de “droit d’un État membre”, au sens de l’article 8, § 2, et de l’article 10 de la directive 2016/680, peut englober la jurisprudence des juridictions nationales, ou si, au contraire, seules les dispositions législatives formelles peuvent constituer une base juridique valable pour le traitement des données sensibles.
Une conception initialement extensive de la notion de “droit d’un État membre”
L’Avocat général commence son analyse par une approche relativement ouverte de la notion de “droit d’un État membre”. Il identifie plusieurs éléments qui plaident en faveur d’une conception extensive de cette notion, susceptible d’englober la jurisprudence nationale.
En premier lieu, il se réfère au considérant 33 de la directive 2016/680, qui précise que lorsque la directive fait référence au droit d’un État membre, “cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée”. Cette formulation ouvre explicitement la voie à une conception matérielle plutôt que formelle du droit, qui pourrait potentiellement inclure la jurisprudence.
En deuxième lieu, l’Avocat général s’appuie sur la jurisprudence de la Cour européenne des droits de l’homme, qui a reconnu dans son arrêt du 16 avril 2002, Société Colas Est et autres c. France, que le terme “loi” au sens de l’article 8, § 2, de la CEDH doit être entendu dans son acception “matérielle” et non “formelle”. Ainsi, dans un domaine couvert par le droit écrit, la “loi” est le texte en vigueur tel que les juridictions compétentes l’ont interprété. Cette conception matérielle a également été confirmée par la Cour de justice, notamment dans l’arrêt Roos e.a./Parlement du 16 novembre 2023.
En troisième lieu, l’Avocat général rappelle que, selon la jurisprudence de la Cour dans l’arrêt Ligue des droits humains du 21 juin 2022, l’exigence selon laquelle toute limitation de l’exercice des droits fondamentaux doit être prévue par la loi n’exclut pas que cette limitation soit formulée en termes suffisamment ouverts pour pouvoir s’adapter à des cas de figure différents. Cette jurisprudence reconnaît donc une certaine marge de manœuvre dans la formulation des limitations aux droits fondamentaux, ce qui pourrait justifier le recours à la jurisprudence pour préciser la portée de ces limitations.
Sur la base de ces éléments, l’Avocat général semble initialement favorable à une conception extensive de la notion de “droit d’un État membre”, qui pourrait inclure la jurisprudence nationale, sous certaines conditions. Il précise ainsi, au § 84 de ses conclusions, que “si tant est qu’il existe une base légale en droit interne, la jurisprudence qui, d’une part, est accessible et prévisible et, d’autre part, est constante et n’a pas été systématiquement remise en cause présente des caractéristiques matérielles suffisantes pour relever de la notion de ‘droit d’un État membre’, au sens de l’article 8, § 2, de la directive 2016/680”.
Le revirement argumentatif : la spécificité des données sensibles comme facteur de renforcement des exigences
Cependant, après avoir établi cette conception potentiellement extensive du “droit d’un État membre”, l’Avocat général opère un revirement dans son raisonnement, en introduisant une distinction fondamentale entre les données ordinaires et les données sensibles. Cette distinction modifie substantiellement sa conclusion quant à la possibilité pour la jurisprudence de constituer une base juridique suffisante pour le traitement des données biométriques et génétiques.
L’Avocat général souligne que, selon la jurisprudence de la Cour dans l’arrêt Al Chodor du 15 mars 2017, dans certains cas impliquant des droits fondamentaux importants, une jurisprudence établie ne saurait suffire. Il rappelle notamment que, dans cet arrêt, la Cour a jugé que seule l’adoption de dispositions de portée générale peut offrir les garanties nécessaires en matière de clarté, de prévisibilité, d’accessibilité et de protection contre l’arbitraire.
En s’appuyant sur la jurisprudence de la Cour européenne des droits de l’homme, l’Avocat général souligne également que toute ingérence dans le droit au respect de la vie privée doit être “prévue par la loi”, ce qui implique une exigence de prévisibilité accrue pour la protection des données sensibles. La loi doit définir nettement l’étendue du pouvoir d’appréciation des autorités et indiquer clairement les circonstances permettant de recourir à des mesures affectant les droits protégés.
Ce qui est particulièrement intéressant dans l’analyse de l’Avocat général, c’est la manière dont il établit un lien entre la sensibilité des données et le niveau d’exigence quant à la qualité de la base juridique. Il souligne, au § 88, que “les données biométriques et génétiques, en raison de leur sensibilité particulière, sont susceptibles d’engendrer des risques importants pour les libertés et les droits fondamentaux des personnes concernées”. C’est précisément cette sensibilité particulière qui justifie, selon lui, une exigence renforcée quant à la qualité de la base juridique autorisant leur traitement.
En établissant cette distinction, l’Avocat général construit un raisonnement à deux niveaux : d’une part, il reconnaît que la jurisprudence peut, dans certains cas, constituer du “droit d’un État membre” au sens de la directive ; d’autre part, il considère que, dans le cas spécifique des données sensibles, telles que les données biométriques et génétiques, une jurisprudence ne saurait suffire et un cadre législatif formel offrant des garanties renforcées est nécessaire.
La critique de la législation tchèque : l’insuffisance des garanties offertes
À la lumière de cette analyse, l’Avocat général porte un regard critique sur la législation tchèque en cause dans l’affaire principale. Sa critique se concentre sur deux aspects principaux : l’imprécision des dispositions législatives et l’insuffisance des garanties offertes.
Concernant l’imprécision des dispositions législatives, l’Avocat général observe, au § 89, que “les dispositions de la loi relative à la police tchèque, en particulier l’article 65 de celle-ci, sont formulées de manière trop large et n’imposent pas de limites préétablies suffisantes au pouvoir d’appréciation dont disposent les autorités policières en matière d’obtention, de conservation et d’effacement des données biométriques et génétiques”. Cette critique rejoint celle formulée par la juridiction de renvoi, qui souligne que l’article 65 de la loi relative à la police tchèque “ne dit rien sur les conditions concrètes de conservation, les types d’informations qui peuvent être tirées de l’échantillon prélevé ni, s’agissant de la poursuite de la conservation des profils ADN, sur les conditions de leur effacement”.
Concernant l’insuffisance des garanties offertes, l’Avocat général estime que les conditions encadrant le traitement des données biométriques et génétiques, qui résultent uniquement de la jurisprudence des juridictions administratives tchèques, “ne sauraient répondre à l’exigence de garanties suffisamment strictes, dans un acte contraignant et prévisible dans son application, qui doit prévaloir en matière de traitement desdites données”. Cette critique est particulièrement sévère, car elle remet en question la capacité même de la jurisprudence à offrir des garanties suffisantes dans un domaine aussi sensible que le traitement des données biométriques et génétiques par les autorités policières.
L’Avocat général s’appuie également sur un argument de sécurité juridique, en soulignant, au § 90, que “si la transposition d’une directive n’impose pas nécessairement une action législative de chaque État membre, une jurisprudence, à la supposer établie, interprétant des dispositions de droit interne dans un sens estimé conforme aux exigences d’une directive, ne saurait présenter la clarté et la précision requises pour satisfaire à l’exigence de sécurité juridique”. Ce faisant, il établit une hiérarchie claire entre les dispositions législatives formelles et la jurisprudence, en considérant que cette dernière ne peut offrir le même niveau de clarté et de précision que les premières.
Les implications profondes pour les systèmes juridiques nationaux
La position adoptée par l’Avocat général a des implications profondes pour les systèmes juridiques nationaux, en particulier ceux qui, comme le système tchèque, s’appuient sur la jurisprudence pour préciser la portée des dispositions législatives en matière de protection des données.
En premier lieu, elle implique que les États membres doivent adopter des dispositions législatives formelles, suffisamment précises et détaillées, pour encadrer le traitement des données biométriques et génétiques par les autorités policières. Ces dispositions doivent définir clairement les conditions d’obtention, de conservation et d’effacement de ces données, ainsi que les garanties offertes aux personnes concernées.
En deuxième lieu, elle limite considérablement le rôle de la jurisprudence dans l’interprétation et la concrétisation des dispositions législatives en matière de protection des données sensibles. Selon l’Avocat général, la jurisprudence ne peut se substituer à des dispositions législatives insuffisamment précises ou détaillées, même si elle vise à les interpréter de manière conforme aux exigences de la directive.
En troisième lieu, elle pose la question de la validité des traitements de données biométriques et génétiques déjà effectués sur la base de dispositions législatives complétées par la jurisprudence. Si la position de l’Avocat général est suivie par la Cour, ces traitements pourraient être considérés comme illégaux, ce qui soulèverait des questions complexes quant aux conséquences de cette illégalité.
La position de l’Avocat général est particulièrement exigeante pour les États membres, mais elle s’inscrit dans une logique de protection renforcée des droits fondamentaux, qui exige que toute ingérence dans ces droits soit encadrée par des garanties légales précises et prévisibles. Elle reflète également une méfiance à l’égard des mécanismes de protection qui reposent trop largement sur l’interprétation jurisprudentielle, en particulier dans un domaine aussi sensible que le traitement des données biométriques et génétiques par les autorités policières.
Vers un standard européen exigeant pour la protection des données sensibles
En conclusion, l’analyse développée par l’Avocat général concernant la qualité du “droit d’un État membre” et les garanties minimales requises pour le traitement des données biométriques et génétiques témoigne d’une approche particulièrement exigeante, qui privilégie la sécurité juridique et la prévisibilité sur la flexibilité interprétative offerte par la jurisprudence.
Cette analyse s’inscrit dans une évolution plus large du droit de la protection des données dans l’Union européenne, qui tend vers un renforcement des garanties offertes aux personnes concernées, en particulier lorsque les traitements sont effectués par des autorités publiques et portent sur des données sensibles. Elle reflète également une préoccupation croissante pour l’effectivité des droits fondamentaux, qui ne peut être garantie que par un cadre juridique clair, précis et prévisible.
Si la Cour suit les conclusions de l’Avocat général, sa décision pourrait conduire à l’établissement d’un standard européen exigeant pour la protection des données sensibles, qui imposerait aux États membres d’adopter des dispositions législatives formelles, suffisamment précises et détaillées, pour encadrer le traitement de ces données par les autorités policières. Ce standard renforcerait la protection des droits fondamentaux des personnes concernées, mais il pourrait également soulever des défis importants pour les États membres, en particulier ceux dont les systèmes juridiques accordent une place importante à la jurisprudence dans l’interprétation et la concrétisation des normes législatives.
En définitive, l’analyse de l’Avocat général nous invite à réfléchir plus largement sur l’équilibre délicat entre les exigences de sécurité juridique et de prévisibilité, d’une part, et la nécessaire flexibilité des systèmes juridiques pour s’adapter à l’évolution des circonstances et des besoins, d’autre part. Elle nous rappelle également que, dans un domaine aussi sensible que la protection des données personnelles, cet équilibre doit pencher en faveur de la protection des droits fondamentaux des personnes concernées.