Dans un arrêt du 26 janvier 2023, la CJUE s’est prononcée sur l’interprétation de plusieurs dispositions de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, dite directive « police-justice ».
Dans cette affaire, une personne mise en examen pour fraude fiscale s’est opposée à la collecte par les autorités de police de ses données biométriques et génétiques. Plusieurs questions ont alors été posées à la Cour à l’occasion de la procédure pénale pour déterminer si les autorités de police pouvaient contraindre la personne mise en examen à cette collecte.
Pour rappel, l’article 10 de la directive admet dans certaines hypothèses le traitement des données biométriques et génétiques. En cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, le traitement peut être autorisé par le droit de l’Union ou le droit d’un État membre.
La Cour précise tout d’abord les conditions dans lesquelles la collecte des données biométriques et génétiques d’une personne mise en examen peut être regardée comme autorisée par le droit d’un État membre : celle-ci est autorisée par le droit national dès lors que ce dernier contient une base juridique suffisamment claire et précise même si la règle de droit national fait référence au RGPD et non à la directive. « Le fait que l’acte législatif national contenant une telle base juridique se réfère (…) au RGPD, et non à la directive 2016/680, n’est pas de nature, en lui-même, à remettre en cause l’existence d’une telle autorisation, pour autant qu’il ressort, de manière suffisamment claire, précise et dénuée d’équivoque de l’interprétation de l’ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d’application de cette directive, et non de ce règlement », estime la Cour (point 76).
Après avoir écarté ainsi les vices susceptibles d’entacher l’acte d’autorisation, la Cour fournit plusieurs précisions importantes sur les modalités de cette collecte.
La possibilité d’une collecte forcée
D’une part, la directive ne s’oppose pas à « la collecte forcée des données biométriques et génétiques aux fins de leur enregistrement concernant des personnes à l’égard desquelles sont réunis suffisamment d’éléments de preuve de ce qu’elles sont coupables d’avoir commis une infraction intentionnelle poursuivie d’office et qui ont été mises en examen pour ce motif » (point 86).
Cette collecte forcée est conforme au droit à une protection juridictionnelle effective garanti par l’article 47 de la Charte des droits fondamentaux de l’Union européenne (point 101) et au droit à la présomption d’innocence consacré à l’article 48 de la Charte (point 109), alors même que la juridiction n’a pas la possibilité d’apprécier, à ce stade, les preuves sur lesquelles cette mise en examen repose.
Certes, la Cour prend soin de préciser qu’il est nécessaire que le droit national garantisse ultérieurement un contrôle juridictionnel effectif des conditions de la mise en examen, dont découle l’autorisation de procéder à cette collecte (point 101). Mais en présence d’un simple contrôle juridictionnel a posteriori, se pose alors la question des effets de ce contrôle eu égard aux difficultés bien connues de mises à jour et d’effacement des données rassemblées au sein des fichiers de police.
Cette exigence d’un simple contrôle juridictionnel a posteriori est néanmoins contrebalancée par l’interdiction d’une collecte systématique.
L’interdiction d’une collecte systématique
L’apport principal de l’arrêt réside en effet ici : l’exigence énoncée à l’article 10 de la directive, selon laquelle le traitement des données biométriques et génétiques doit être autorisé « uniquement en cas de nécessité absolue », interdit toute collecte systématique. Pour parvenir à cette conclusion, la Cour raisonne en trois temps.
D’abord elle s’intéresse à la finalité de cet article qui « est d’assurer une protection accrue à l’égard de ces traitements qui, en raison de la sensibilité particulière des données en cause et du contexte dans lequel elles sont traitées, sont susceptibles d’engendrer, (…), des risques importants pour les libertés et les droits fondamentaux » (point 116).
Ensuite, elle s’interroge sur les termes de l’article qui posent « une condition renforcée de nécessité du traitement de données », « impliquant une appréciation plus rigoureuse de sa nécessité que dans le cas où les données traitées ne relèvent pas du champ d’application dudit article » (point 119).
Enfin, elle précise la portée de l’article qui doit être déterminée au regard des principes de limitation des finalités et de minimisation des données. Or, une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques est contraire à ces principes en ce qu’elle « est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes mises en examen dès lors que la notion d’« infraction pénale intentionnelle poursuivie d’office » revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité » (point 129).
Dès lors, la Cour en conclut que la directive s’oppose « à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée » (point 135).