La Cour de justice de l’Union européenne (CJUE) a estimé le 26 janvier 2023 que la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/du conseil, directive dite « police-justice », interdit la collecte systématique des données biométriques et génétiques de toute personne mise en examen aux fins de leur enregistrement policier.
En l’occurrence, les autorités bulgares ont engagé une procédure pénale pour fraude fiscale concernant la constatation et le paiement de dettes fiscales contre deux sociétés commerciales. Une ordonnance de mise en examen a ensuite été adoptée le 1er mars 2021 et a été notifiée à V.S.
Invitée à se soumettre à l’enregistrement policier, V.S. a rempli un formulaire de déclaration dans lequel elle a indiqué avoir été informée qu’il existait une base légale permettant de procéder à celui-ci et qu’elle refusait de se soumettre à la collecte de ses données dactyloscopiques et photographiques aux fins de leur enregistrement et à un prélèvement en vue d’établir son profil ADN. La police n’a pas procédé à cette collecte et a saisi la juridiction de renvoi.
Plusieurs questions ont alors été posées à la Cour aux fins de déterminer si, à l’occasion de la procédure pénale diligentée, les autorités de police pouvaient contraindre la personne mise en examen à cette collecte des données dactyloscopiques et photographiques la visant, lesquelles données ont pour finalité la création d’un profil ADN intégré dans un fichier de police.
En quoi la collecte systématique des données biométriques et génétiques de toute personne mise en examen aux fins de leur enregistrement policier est contraire à l’exigence d’une protection des données sensibles à caractère personnel prévue par la directive (UE) 2016/680 ?
Si cette question englobe indubitablement le volet du caractère fondamental et conventionnel de la double protection de la vie privée et familiale de tout citoyen européen [1], elle n’occulte pas la sensibilité engendrée par les interrogations relevant du domaine pénal en raison des activités de recherche à des fins de lutte contre la criminalité et de maintien de l’ordre public relevant des autorités de police.
A ce propos, la Cour n’exclut pas le recours, en certaines circonstances, à la collecte et au traitement des données biométriques et génétiques par les autorités de police (I), considérant cependant, à bon propos, que cette collecte ne doit guère être systématique en raison de l’impérieuse nécessité de préserver les libertés et les droits fondamentaux des citoyens européens (II).
I- L’admission d’une collecte forcée des données biométriques et génétiques par la CJUE.
Il importe d’indiquer en amont que ne sera pas analysé en l’occurrence l’étude de la transposition des directives européennes dans le droit national bulgare qui a pour effet d’adapter les droits nationaux des pays membres de l’Union européenne aux exigences de la législation européenne afin d’éviter les litiges et contentieux pouvant résulter d’une absence de conformité aux normes européennes en vertu de l’article 288 du Traité sur le fonctionnement de l’Union européenne. Certes, si parmi les autres textes européens, le règlement [2] et la décision [3] sont directement applicables, et la recommandation et l’avis ne sont pas contraignants, une obligation de résultat lie néanmoins chaque Etat membre de l’Union européenne à la transposition des directives européennes. Les Etats européens restent toutefois libres de choisir les moyens propres à assurer la transposition, bien qu’un délai doive cependant être respecté (pas plus de deux ans en général), et les textes produits être contraignants.
Aussi, la question de la transposition des textes européens en droit bulgare ne se pose nullement en l’espèce, la Bulgarie ayant officiellement adhéré à l’Union européenne le 1er janvier 2007.
Partant, l’affaire pendante est, à bien des égards, fort intéressante en ce qu’elle interroge la conventionnalité ou non des collectes de données biométriques et génétiques d’une personne mise en examen dans un Etat membre de l’Union européenne. Si les spécificités inhérentes à la procédure pénale ont abouti à trois questions sous-jacentes, elles fournissent plusieurs axes de compréhension propres à l’établissement d’une procédure d’autorisation judiciaire de collecte forcée de données biométriques et génétiques en cas de « nécessité absolue », et « sous réserve de garanties appropriées pour les droits et libertés de la personne concernée » par l’enquête pénale.
Premièrement, la mise en examen d’une personne n’est autorisée qu’en présence d’éléments de preuve sérieux qui sont de nature à établir la culpabilité de cette personne sur les chefs d’accusation la concernant.
Par ailleurs, la collecte forcée des données biométriques et génétiques aux fins de leur enregistrement ne peut être autorisée par le juge qu’en cas de mise en examen d’une personne pour des infractions intentionnelles poursuivies d’office. A cet effet, la CJUE a considéré que cette collecte forcée est conforme à l’article 6 [4] de la directive « police-justice » qui prévoit que le responsable du traitement doit distinguer les différentes catégories de personnes concernées, dont les personnes « à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ».
Deuxièmement, la CJUE estime que la collecte forcée des données biométriques et génétiques aux fins de leur enregistrement est conforme au droit à une protection juridictionnelle effective garantie par l’article 47 de la Charte des droits fondamentaux de l’Union européenne (point 101) et au droit à la présomption d’innocence protégée par l’article 48 de ladite Charte (point 109), et par l’article 6 de la Convention européenne des droits de l’homme, d’autant que la juridiction n’a pas la possibilité d’apprécier, à ce stade de la procédure, les preuves sur lesquelles cette mise en examen repose afin de statuer sur la responsabilité pénale de cette personne.
En conséquence, la collecte ne peut être ordonnée qu’à un stade de la procédure ou la responsabilité de la personne mise en cause n’est pas encore établie. Il en résulte une protection juridictionnelle effective de la personne mise en examen, de sorte que l’ensemble de ces éléments permettent, d’une part, de garantir que la juridiction saisie est libre de tout parti pris et, d’autre part, de ne pas constituer un acte qui reflèterait le sentiment des autorités compétentes que la personne mise en cause est coupable.
Certes, la Cour précise qu’il est cardinal que le droit national garantisse ultérieurement un contrôle juridictionnel effectif des conditions de la mise en examen, ce dont découle l’autorisation de procéder à cette collecte (point 101) ; mais en présence d’un simple contrôle juridictionnel a posteriori, se pose la question des effets de ce contrôle eu égard aux difficultés bien connues de mises à jour et d’effacement des données collectées au sein des fichiers de police, conformément à l’article 5 de la directive « police-justice » qui vise simplement « des délais appropriés » fixés par les États membres de l’Union européenne pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver ces données à caractère personnel. Des règles procédurales garantissent le respect de ces délais.
Cette exigence d’un simple contrôle juridictionnel a posteriori est toutefois équilibrée par l’interdiction formelle par la CJUE d’une collecte systématique des données biométriques et génétiques concernant des personnes mises en examen aux fins de leur enregistrement (II).
II- L’affirmation du rejet par la CJUE de toute collecte systématique des données biométriques et génétiques.
Outre la question relative à la collecte forcée des données biométriques et génétiques des personnes mises en examen aux fins de leur enregistrement autorisée sous conditions par la Cour, se posait également la problématique du caractère systématique de cette collecte. L’apport principal de l’arrêt portait effectivement sur cet élément essentiel.
En réalité, pour la CJUE, l’exigence affirmée par l’article 10 de la directive (UE) 2016/680, selon laquelle le traitement des données biométriques et génétiques est autorisé « uniquement en cas de nécessité absolue » interdit toute collecte systématique par les autorités de police des Etats membres de l’Union européenne.
Pour aboutir à cette assertion, la Cour rappelle le caractère sensible des données en cause et étudie la finalité de cet article 10 de la directive susmentionnée qui « est d’assurer une protection accrue à l’égard de ces traitements qui, en raison de la sensibilité particulière des données en cause et du contexte dans lequel elles sont traitées, sont susceptibles d’engendrer […] des risques importants pour les libertés et les droits fondamentaux » (point 116).
En substance, et pour rappel, conformément à l’article 10 de la directive (UE) 2016/680, sont considérés comme traitements des données sensibles à caractère personnel, « les traitements des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et les traitements des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».
Ensuite, la Cour expose le terme de « nécessité absolue » qui implique pour elle une appréciation particulièrement rigoureuse (points 117 à 120), si bien que les termes de l’article 10 de la directive précitée posent « une condition renforcée de nécessité du traitement de données », « impliquant une appréciation plus rigoureuse de sa nécessité que dans le cas ou les données traitées ne relèvent pas du champ d’application dudit article » (point 119).
Enfin, cette « nécessité absolue » de la collecte des données biométriques et génétiques des personnes mises en examen aux fins de leur enregistrement doit être analysée, d’une part, au regard des principes de limitation des finalités énoncé à l’article 4, paragraphe 1, sous b), de la directive (UE) 2016/680, lesquelles finalités doivent être « déterminées, explicites et légitimes » ; d’autre part, cette « nécessité absolue » doit être appréciée à l’aune du principe de minimisation des données énoncé à l’article 4, paragraphe 1, sous c), de la directive (UE) 2016/680. En vertu de cet article 4 précité, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, de sorte que cette nécessité absolue doit être analysée au regard du principe de licéité (points 117 à 120).
Or, une législation nationale d’un Etat membre de l’Union européenne qui prévoit la collecte systématique des données biométriques et génétiques est nécessairement contraire aux principes de limitation des finalités et de minimisation des données à caractère personnel en ce qu’elle « est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes mises en examen dès lors que la notion d’ « infraction pénale intentionnelle poursuivie d’office » revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité » (point 129).
Aussi, la Cour en déduit qu’une telle législation nationale peut certes limiter le champ d’application de la collecte des données biométriques et génétiques aux personnes mises en examen lors de la phase d’instruction d’une procédure pénale, c’est-à-dire des personnes pour lesquelles il existe des motifs sérieux de croire qu’elles ont commis une infraction pénale au sens de l’article 6, sous a), de la directive (UE) 2016/680, mais le seul fait qu’une personne soit mise en examen pour une infraction pénale intentionnelle poursuivie d’office ne saurait être considéré comme un élément permettant, à lui seul, de présumer de facto que la collecte des données biométriques et génétiques aux fins de leur enregistrement de la personne mise en examen est absolument nécessaire au regard des finalités qu’elle vise et compte tenu des atteintes sérieuses aux libertés et droits fondamentaux, notamment les droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (point 130).
Enfin, la Cour en conclut que la directive (UE) 2016/680 s’oppose « à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée » (point 135).
Mais alors, quid du droit français ?
Les réponses apportées par la CJUE à la problématique du droit bulgare interrogent nécessairement le droit français, ne serait-ce qu’au regard du droit comparé.
En vérité, de nombreux fichiers nationaux contenant des données biométriques ou génétiques sont détenus par les autorités judiciaires ou policières françaises. Ce sont notamment le fichier automatisé des empreintes digitales (FAED), le fichier national automatisé des empreintes génétiques (FNAEG), ou encore le fichier des personnes recherchées (FPR). Le code de procédure pénale français prévoit la centralisation des traces et empreintes génétiques grâce au fichier national des empreintes génétiques [5].
Par ailleurs, précisons que le FNAEG recense de son côté les données à caractère personnel des personnes selon des catégories précises, comme par exemple, les personnes disparues, condamnées, ou « à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient commis l’une des infractions mentionnées à l’article 706-55 [6] », gages ainsi d’un respect de l’article 6 de la directive (UE) 2016/680 qui impose aux Etats membres de l’Union européenne la distinction des traitements en fonction des catégories de personnes.
En outre, s’agissant de la collecte forcée, le législateur français a prévu une procédure [7] qui fait appel à des tiers, sous le contrôle de l’officier de police judiciaire, pour procéder à ces collectes forcées de données biométriques et génétiques. Ce qui garantirait un respect de l’article 47 de la Charte des droits fondamentaux de l’Union européenne, bien que le refus pour une personne de consentir au « prélèvement biologique » soit condamné [8]. Devant une telle possibilité de condamnation, il faut prévoir un recours effectif, administratif ou extrajudiciaire, contre cette mesure d’exécution forcée pour que la disposition soit en conformité avec le droit de l’Union européenne, recours qui doit être indépendant de la procédure en cours, ce même si elle n’aboutit pas (point 96).
Toutefois, le recours effectif, administratif ou extrajudiciaire, ne doit pas entraver le déroulement d’une enquête pénale au cours de laquelle ces données ont été collectées et limiter excessivement la capacité des enquêteurs à élucider d’autres infractions sur la base d’une comparaison de ces données avec des données recueillies lors d’autres enquêtes. Ledit recours peut en conséquence être prévu a posteriori (point 100).
Aussi, le respect de la présomption d’innocence de tout accusé, présumé innocent jusqu’à ce que sa culpabilité ait été légalement établie, peut encore se poser, notamment le fait que les autorités habilitées ne sont pas fondamentalement dissociées de celles chargées de l’enquête ou de l’instruction (points 102 à 108).
En ce qui concerne la collecte systématique, les infractions strictement bornées pour la constitution d’un tel fichier de police sont un élément permettant d’établir la conformité au principe de minimisation. A la différence du droit bulgare, les infractions énumérées par l’article 706-55 du code de procédure pénale français relatif au fichier national automatisé des empreintes génétiques apportent un cadre circonstancié.
Néanmoins, ce principe de minimisation pourrait être remis ne cause en présence de moyens moins attentatoires aux droits et libertés fondamentales pour atteindre l’objectif poursuivi, moyens qui doivent être prévus par les autorités françaises. Et le critère même de nécessité absolu posé par l’article 10 de la directive (UE) 2016/680 amène à se demander si l’ensemble des procédure listées par l’article nécessitent réellement un recueil de données génétiques ou biométriques au vu des circonstances particulières de l’affaire.
En tout état de cause, le droit français semble être plus respectueux des droits et libertés des personnes mises en examen que le droit bulgare, quand bien même la comptabilité de certaines dispositions reste en suspens et l’harmonisation des droits des Etats membres de l’Union européenne à renforcer. Nul doute cependant que les juges, et les législateurs nationaux, sauront conjuguer la juste proportionnalité des objectifs poursuivis avec les garanties des droits et libertés des personnes, y compris celles mises en examen dans le cadre d’une enquête pénale.
Discussion en cours :
Article très instructif sur l’importance de la protection des données personnelles en matière d’enquête pénale.