POINTS ESSENTIELS JURISPRUDENCE
DE L’ADN BIOMETRIQUE A L’ADN DE SURVEILLANCE
Quand la Loi se tait et que la Jurisprudence improvise, les garanties minimales protégées par la notion de “nécessité absolue” deviennent une promesse fragile face à la sensibilité des données biométriques faisant l’objet d’une “collecte absolue” par les autorités de Police.
Dans les conclusions de l’affaire C-57/23 (JH contre Policejní prezidium) présentées le 27 février 2025, l’Avocat général Jean Richard de la Tour répond à trois questions préjudicielles posées par la Cour administrative suprême tchèque concernant l’interprétation de la directive 2016/680 sur la protection des données personnelles en matière pénale.
La problématique centrale porte sur la légalité de la collecte et de la conservation des données biométriques et génétiques par les autorités policières tchèques. L’affaire soulève spécifiquement les questions de savoir si une réglementation permettant la collecte de données génétiques de toutes les personnes soupçonnées d’infractions intentionnelles est conforme au principe de minimisation des données, si l’absence de durée maximale de conservation est acceptable, et si la jurisprudence peut se substituer à une disposition législative de portée générale pour encadrer ce traitement.
L’Avocat général propose une interprétation équilibrée mais exigeante de la directive, considérant que celle-ci s’oppose à une réglementation qui permet la collecte indifférenciée de données biométriques sans obligation d’apprécier la “nécessité absolue” dans chaque cas concret. Il estime en revanche que l’absence de durée maximale de conservation n’est pas contraire à la directive si un réexamen régulier avec des garanties procédurales strictes est prévu. Enfin, il conclut que la jurisprudence nationale, même si elle peut constituer du “droit d’un État membre”, ne peut se substituer à une disposition législative de portée générale qui ne prévoit pas un contrôle strict de la nécessité de collecter et conserver ces données particulièrement sensibles.
L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément au droit positif français, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) peut détecter des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer, puis, identifier les titulaires des abonnements auprès des fournisseurs d’accès, et, à défaut de cessation de l’infraction après mise en demeure, saisir le procureur de la République.
La question litigieuse soumise à la CJUE porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’un décret permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge .
La Cour a jugé, en substance, que même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence; par ailleurs, la CJUE ajoute qu’un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée).
Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant; le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
Bezirkshauptmannschaft Landeck | Police Justice | Tentative d’accès aux données d’un téléphone
L’accès et l’extraction des données stockées dans un smartphone saisi lors d’une perquisition, effectués par les services techniques de la police judiciaire, en l’absence de son propriétaire mis en cause qui avait refusé de communiquer son code de déverrouillage, relèvent de la Directive 2016/680 “Police Justice” (art. 3, 4, 8, 13, 15) et de la Charte Européenne des Droits Fondamentaux (art. 7, 8, 47).
Ces opérations doivent être strictement encadrées:
– Accès aux données: il doit être adéquat, pertinent et non excessif, en lien avec l’objet de l’enquête, et subordonné au contrôle et à l’autorisation préalable et spéciale d’un magistrat ayant pouvoir juridictionnel — ou d’une autorité administrative indépendante — afin de respecter le principe de proportionnalité, d’assurer une garantie d’impartialité et d’éviter toute violation injustifiée et abusive de la vie privée du mis en cause; une telle mesure pouvant, en effet, révéler des aspects très intimes de la vie privée.
– Droit à être informé : l’intéressé doit pouvoir exercer un recours effectif, et à cette fin, il doit être averti des mesures prises ou des opérations de lecture de ses données envisagées, ou déjà effectuées si l’autorité compétente avait décidé de différer la notification — sous peine de priver le recours de tout effet utile;
– Gravité de l’infraction et proportionnalité : il faudrait en outre exiger, de manière proportionnée, une gradation de l’ingérence qui doit s’avérer strictement nécessaire en fonction de la gravité de l’infraction poursuivie et de la sensibilité des données collectées.
CJUE 4 octobre 2024 | Bezirkshauptmannschaft Landeck | C-548/21
Contrefaçon & Accès à l’adresse IP par une autorité publique nationale e.g. HADOPI
L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément au droit positif français, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) peut détecter des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer, puis, identifier les titulaires des abonnements auprès des fournisseurs d’accès, et, à défaut de cessation de l’infraction après mise en demeure, saisir le procureur de la République.
La question litigieuse soumise à la CJUE porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’un décret permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge .
La Cour a jugé, en substance, que même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence; par ailleurs, la CJUE ajoute qu’un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée).
Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant; le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
CJUE 30 avril 2024 | La Quadrature du Net e.a. | C-470/21
Vie privée & Poursuites d’infractions qualifiées de “graves”
La directive 2002/58, lue à la lumière de la Charte, admet des dérogations à la confidentialité des communications uniquement pour la lutte contre la criminalité grave ou contre des menaces graves à la sécurité publique, sous réserve de strictes conditions de proportionnalité.
La Cour, dans son arrêt confirme que la législation italienne prévoyant un accès aux relevés téléphoniques pour toute infraction passible de trois ans d’emprisonnement n’est pas, en soi, contraire au droit de l’Union. Mais les juges italiens doivent vérifier, dans chaque dossier, si l’accès demandé est réellement justifié et proportionné : autrement dit, la « gravité » supposée de l’infraction (un vol de téléphone aggravé en l’occurrence) doit être appréciée à la lumière des circonstances de l’espèce, au cours d’un contrôle juridictionnel effectif.
Cette décision prolonge la ligne jurisprudentielle antérieure (Digital Rights Ireland, Tele2/Watson, Ministério Fiscal, Prokuratuur, etc.) en insistant à nouveau sur la nécessité de concilier l’objectif légitime de lutte contre les infractions (lorsqu’elles sont suffisamment graves) et les garanties fondamentales tirées des articles 7, 8, 11 et 52, paragraphe 1, de la Charte.
Ce faisant, si la Cour confirme que l’Union laisse aux États membres une marge de manœuvre pour définir et punir les infractions pénales, au besoin en prévoyant un accès aux métadonnées afin de poursuivre les responsables, elle réaffirme aussi que cette ingérence demeure très strictement encadrée : seule une juridiction peut en autoriser la mise en œuvre, après avoir apprécié la proportionnalité au regard du seuil de « criminalité grave » et de la gravité concrète des faits.
CJUE 30 avril 2024 | Procura della Repubblica presso il Tribunale di Bolzano | C-178/22