Or pour certains citoyens, la collecte de leurs données personnelles est perçue comme intrusive et contraire au droit au respect de leur vie privée. Le refus opposé au traitement de leurs données est encore plus significatif lorsqu’il s’agit de données biométriques.
L’insertion d’éléments biométriques dans les passeports et les documents de voyage, afin de mieux lutter contre les falsifications et l’entrée illégale sur le territoire européen, est devenue la règle depuis le règlement du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports.
Depuis ce texte, les passeports comportent un support de stockage destiné à mémoriser les données numérisées. Ce support très sécurisé est matérialisé par une puce qui permet de garantir l’intégrité et l’authenticité des informations (article 1er du règlement du 13 décembre 2004).
Les données biométriques permettent d’identifier les personnes en fonction de caractéristiques biologiques telles que les empreintes digitales ou encore la photo faciale. Du fait que leur relevé engage le corps, la personne qui conteste la collecte et la réutilisation de ses données invoque parallèlement au droit à la protection de la vie privée une atteinte à son intégrité physique.
Une récente décision de la Cour de justice de l’Union européenne montre que le citoyen ne peut que difficilement s’opposer à la collecte et à l’utilisation de ses données biométriques en matière de délivrance de passeport au sein de l’Union européenne (CJUE, 16 avril 2015 W.P.W c/ Burgemeester van Nuh).
Les faits
Plusieurs citoyens hollandais qui ont refusé de fournir leurs empreintes digitales ont vu leur demande de délivrance de passeport rejetée par les autorités locales. Ces citoyens considéraient que le relevé de leurs données biométriques pouvait constituer une atteinte à leur intégrité physique ainsi qu’à leur droit à la protection de la vie privée.
Selon eux, les pouvoirs publics n’offrent pas de garantie suffisante que les données biométriques relevées ne seront pas ultérieurement réutilisées à des fins judiciaires par les services de renseignement et de sécurité.
Ils font valoir en effet que ces données ne vont pas être stockées uniquement sur la puce du passeport mais figureront également sur une base de données décentralisée. Ils soulignent par ailleurs que la loi hollandaise prévoit à terme de réunir toutes ces données dans une base de données centralisée cette fois, ce qui augmenterait sérieusement les risques pour la sécurité de celles-ci.
Cette législation nationale serait ainsi contraire selon eux à l’article 4 du règlement précité qui précise qu’ « aux fins du présent règlement, les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier l’authenticité du document et l’identité du titulaire ».
Arguments des requérants et question préjudicielle posée à la CJUE
Pour démontrer le risque d’atteinte à leur intégrité physique ainsi qu’à leur droit à la protection de la vie privée, les requérants s’appuient en premier lieu sur les articles 6 et 7 de la directive du 24 octobre 1995 sur le traitement des données à caractère personnel, obligeant notamment les Etats membres à prévoir que les données à caractère personnel soient collectées pour des finalités déterminées et afin de respecter une obligation légale.
Ils invoquent également la violation des articles 7 et 8 de la Charte des droits fondamentaux de l’Union portant respectivement sur le respect de la vie privée et familiale et sur la protection des données à caractère personnel.
Ayant un doute sur l’interprétation qu’il convient de retenir de cet article 4, la cour de renvoi saisit la CJUE de la question préjudicielle suivante : l’article 4 du règlement du 13 décembre 2004, lu en combinaison avec d’autres textes de niveau européen protégeant les données personnelles, impose-t-il aux Etats membres à garantir que les données biométriques rassemblées et conservées conformément à ce règlement ne seront pas rassemblées et utilisées à d’autres fins que la délivrance du passeport ?
A cette question, la CJUE répondra par la négative en estimant dans le considérant 53 que l’article 4 du règlement du 13 décembre 2004 doit être interprété en ce sens qu’il n’oblige pas les États membres à garantir dans leur législation que les données biométriques rassemblées et conservées conformément au règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport.
Le règlement qui ne comporte pas d’obligation à l’égard des Etats membres en ce qui concerne l’utilisation et la conservation des données, notamment pour les centraliser, n’est pas selon la CJUE applicable en l’espèce. Il n’y a donc pas lieu en l’occurrence de vérifier si les conservations et les utilisations des données biométriques à des fins autres que celles visées à l’article 4, paragraphe 3, de ce règlement sont conformes aux articles 6 et 7 de la directive de 1995 et 7 et 8 de la Charte des droits fondamentaux.
Analyse de la décision
La réponse de la CJUE peut surprendre a priori si on reprend la lecture de l’article 4 du règlement. Celui-ci prévoit en effet qu’ « aux fins du présent règlement, les éléments biométriques des passeports et des documents de voyage ne seront utilisés que pour vérifier l’authenticité du document et l’identité du titulaire ».
Le sens de l’article ne comporte a priori aucune ambiguïté et il peut s’en déduire que d’après les finalités fixées par le règlement qui sont de lutter contre la falsification et l’entrée illégale sur le territoire de l’Union, toute autre utilisation et conservation des données, serait contraire au règlement.
Or la Cour va donner de cet article une interprétation qui n’apparaît pas immédiatement. Préalablement elle souligne que l’obligation contenue dans le règlement du 13 décembre 2004 de fournir ses données biométriques en vue de se faire délivrer un passeport, ne viole en rien les articles 7 et 8 de la Charte des droits fondamentaux de l’Union.
Rappelant sa décision Schwarz de 2013, la Cour précise que l’objectif d’intérêt général poursuivi par le règlement de 2004, à savoir la lutte contre la falsification des documents de voyage, justifie qu’il soit porté atteinte au droit à la protection de la vie privée à l’occasion des prélèvements des données biométriques (CJUE, 17 octobre 2013 Schwarz, Aff. C‐291/12).
Ce rappel n’est que de pure forme puisqu’au considérant 50 de sa décision la Cour conclut à l’inapplicabilité du règlement en l’espèce et donc à l’inutilité de vérifier si les utilisations et conservations des données biométriques à des fins autres que celles visées à l’article 4, paragraphe 3 de ce règlement sont conformes auxdits articles de la Charte.
Il en ira de même des articles 6 et 7 de la directive du 24 octobre 1995 imposant aux Etats membres de collecter les données personnelles pour des finalités déterminées et seulement lorsque cela est nécessaire au respect d’une obligation légale.
Elle relève en effet que « de ce qui précède, ledit règlement n’est pas applicable en l’occurrence et il n’y a pas lieu d’examiner, de manière autonome, si les articles 6 et 7 de la directive de 1995 affectent le cadre juridique national lié à la conservation et à l’utilisation des données biométriques en dehors du champ d’application du règlement n° 2252/2004 ».
Les raisons de l’inapplicabilité du règlement du 13 décembre 2004
Le législateur européen s’est entouré de plusieurs précautions lorsqu’il a adopté le règlement de 2004. Il a recherché un équilibre entre les impératifs de la lutte contre la falsification et le respect de la vie privée à l’occasion du prélèvement de données biométriques des citoyens de l’Union.
Il a ainsi précisé à l’article 1er du règlement que la conservation des empreintes digitales ne se réalise qu’au sein même du passeport, lequel demeure la possession exclusive de son titulaire, tandis que l’article 4 du règlement limite le prélèvement des données « aux fins » de lutte contre la falsification en permettant de vérifier l’authenticité du passeport ou l’identité du titulaire.
Il apparaît ainsi que les données biométriques collectées ne pourront figurer que sur le support de stockage du passeport et nulle part ailleurs. Ce qui signifie qu’aucune base juridique ne peut en principe être constituée puisque chaque citoyen détient son passeport.
Le législateur a entendu limiter le champ d’application du règlement compte tenu des abus qui peut exister dans l’utilisation et la conservation d’informations aussi sensibles que les données biométriques. C’est dans cette optique qu’un second règlement du 28 mai 2009 est venu modifier et préciser le règlement du 13 décembre 2004.
Le considérant 5 du règlement du 28 mai 2009 nous indique que « le règlement de 2004 prévoit que les données biométriques sont rassemblées et conservées dans le support de stockage des passeports sans préjudice de toute autre utilisation ou conservation de ces données en application de la législation nationale des États membres et qu’il ne saurait constituer une base juridique pour établir ou maintenir, dans les Etats membres, des bases de données stockant ces informations ». Les Etats membres sont exclusivement compétents pour établir des bases juridiques destinées à stocker ces informations.
La CJUE va fonder sa solution sur ce considérant 5 issu du règlement de 2009, lequel est reproduit en partie dans sa décision. Ce considérant lui permet ainsi d’affirmer que le règlement du 13 décembre 2004 ne traite que de l’utilisation des données aux fins qu’il vise mais qu’il ne régit pas les utilisations et conservations de ces données.
Le règlement de 2004 autorise à collecter des données sur un seul type de support et pour des finalités déterminées. Il ne permet pas d’aller plus loin, contrairement aux Etats membres qui disposent d’une compétence exclusive pour l’établissement ou le maintien de base de données biométriques.
