CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION GÉNÉRALE ET ENJEUX DE L’AFFAIRE
L’affaire C-5/25 Pilev soulève, dans le contexte d’une procédure pénale bulgare, une question d’une acuité considérable pour la protection des données à caractère personnel en matière répressive : celle de la compatibilité avec la directive 2016/680 d’une obligation légale nationale imposant à une juridiction pénale de collecter, d’enregistrer et de conserver, lors de l’audience d’identification de l’accusé, un ensemble de données personnelles excédant ce qui est strictement nécessaire à cette identification. La singularité de cette affaire tient à plusieurs dimensions qui méritent d’être précisément distinguées.
En premier lieu, l’affaire pose la question, demeurée largement en suspens dans la jurisprudence de la Cour, du champ d’application ratione personae de la directive 2016/680 à l’égard des juridictions pénales. La directive vise-t-elle les juridictions lorsqu’elles traitent des données à caractère personnel dans le cadre de l’exercice de leur fonction juridictionnelle ? Cette interrogation, qui touche à l’architecture même du droit européen de la protection des données en matière pénale, conditionne tout l’édifice de l’analyse.
En deuxième lieu, et c’est peut-être là la dimension la plus sensible de l’affaire, la question préjudicielle met directement en cause le traitement de données susceptibles de révéler l’origine ethnique de la personne poursuivie — en l’espèce, la mention du « peuple d’appartenance » (narodnost) qu’exige le code de procédure pénale bulgare (NPK) lors de l’audition initiale. Cette donnée, qui relève de la catégorie des données sensibles au sens de l’article 10 de la directive 2016/680, est collectée de manière systématique par toute juridiction pénale bulgare procédant à l’identification de l’accusé, quelle que soit la nature de l’infraction poursuivie.
En troisième lieu, l’affaire interroge le principe de minimisation des données dans un contexte procédural particulier : celui de l’audience pénale, cadre dans lequel les exigences de la protection des données personnelles coexistent avec les impératifs de la procédure pénale, du respect des droits de la défense et de la recherche de la vérité judiciaire. L’article 4, §1, sous c), de la directive — qui impose que les données soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées » — se trouve ici confronté à une norme nationale de procédure pénale solidement ancrée dans le droit positif bulgare depuis des décennies.
LA QUESTION DE L’APPLICABILITÉ DE LA DIRECTIVE 2016/680 AUX JURIDICTIONS PÉNALES
A. UN ANGLE MORT APPARENT DU TEXTE
La directive 2016/680 ne définit pas explicitement la notion d’« autorité publique compétente » de manière à inclure ou exclure sans ambiguïté les juridictions. L’article 3, §7, sous a), de cette directive vise « toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales ». Cette formulation, centrée sur les activités répressives et préventives, était traditionnellement associée aux seules autorités de police et de parquet, laissant dans l’ombre le statut des juridictions.
L’Avocat général Spielmann, dans ses conclusions du 5 mars 2026, tranche cette question avec netteté : les juridictions pénales nationales entrent dans le champ d’application ratione personae de la directive 2016/680. Il fonde son raisonnement sur une lecture contextuelle et téléologique du texte. Plusieurs dispositions de la directive confortent, selon lui, cette interprétation. L’article 32, §1, de la directive dispose ainsi que les États membres peuvent « dispenser les tribunaux et d’autres autorités judiciaires indépendantes de [l’obligation de désigner un DPO] lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle » — cette faculté de dispense n’aurait aucun sens si les juridictions étaient d’emblée exclues du champ de la directive. De même, l’article 45, §2, lu à la lumière du considérant 80, exclut la compétence de l’autorité de contrôle « sagissant des opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle », ce qui présuppose que ces traitements relèvent bien, en principe, de la directive, mais en sont soustraits au contrôle externe pour des raisons tenant à l’indépendance judiciaire. Enfin, le considérant 11 mentionne explicitement les « autorités judiciaires » parmi les autorités compétentes.
B. L’INTERPRÉTATION FINALISTE DE LA NOTION DE « POURSUITES »
La seconde difficulté tenant à l’applicabilité ratione materiae de la directive est résolue par l’Avocat général au moyen d’une interprétation finaliste de la notion de « poursuites » au sens de l’article 1er, §1, de la directive. Bien que la notion de poursuites désigne, dans la plupart des systèmes juridiques continentaux, les actes du ministère public antérieurs à la phase juridictionnelle, l’Avocat général développe une approche plus large : les traitements de données effectués par une juridiction pénale dans le cadre d’une procédure juridictionnelle peuvent, dans certaines circonstances, être considérés comme relevant de la finalité de poursuites, dès lors qu’ils concourent à établir le caractère probant des faits imputés et à conduire au jugement.
Cette analyse s’appuie notamment sur l’arrêt Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21), dans lequel la Cour avait déjà précisé que les finalités de la directive constituent « autant de finalités distinctes », tout en rappelant que le législateur de l’Union avait entendu adopter des règles correspondant aux « spécificités qui caractérisent les activités menées par les autorités compétentes dans le domaine régi par cette directive ». L’Avocat général en déduit que la notion d’« activité de poursuites » doit être appréhendée de manière évolutive, englobant l’instruction, le renvoi devant une juridiction et la procédure juridictionnelle pénale elle-même.
Cette interprétation extensive est cohérente avec la logique d’ensemble de la directive, dont l’objet est précisément d’assurer une protection effective des droits fondamentaux dans l’ensemble du processus pénal, et non seulement dans sa phase pré-juridictionnelle.
LE PRINCIPE DE MINIMISATION APPLIQUÉ AU CONTEXTE PROCÉDURAL PÉNAL
A. L’EXCÈS DE COLLECTE AU REGARD DES FINALITÉS DE L’IDENTIFICATION
Une fois l’applicabilité de la directive établie, l’Avocat général procède à l’examen au fond de la conformité de l’article 272, §1, du NPK au regard des articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680.
L’article 272, §1, du NPK impose au président de chambre de vérifier l’identité de la personne poursuivie en lui demandant « ses trois noms, la date et le lieu de sa naissance, son peuple d’appartenance, sa nationalité, son lieu de résidence, sa formation, sa situation familiale et son numéro civil unique, et son casier judiciaire ». Ces données sont ensuite enregistrées dans le procès-verbal d’audience et conservées dans le dossier de l’affaire.
La juridiction de renvoi avait elle-même relevé, avant même de saisir la Cour, que « les trois noms, la date de naissance et le numéro civil unique » suffisent à identifier de manière certaine la personne poursuivie. Elle avait démontré cette suffisance en pratique, en procédant lors d’une première audience à l’identification de l’accusé par la seule consultation de sa carte d’identité, sans lui poser les questions supplémentaires exigées par la loi. Les autres données — lieu de naissance, peuple d’appartenance, nationalité, lieu de résidence, formation, situation familiale, casier judiciaire — sont donc, aux yeux de la juridiction de renvoi, excessives au regard de la finalité d’identification poursuivie par l’article 272 du NPK.
L’Avocat général conclut dans le même sens : le traitement de ces données supplémentaires ne satisfait pas à l’exigence de minimisation de l’article 4, §1, sous c), de la directive. Il note à cet égard que, si certaines de ces données peuvent certes servir à d’autres fins procédurales — le lieu de résidence pour déterminer l’adresse de citation, le casier judiciaire pour l’individualisation de la peine —, elles ne sont pas nécessaires à la finalité spécifique de l’identification de la personne poursuivie à l’ouverture de l’audience, et ne peuvent du reste pas, en vertu du droit bulgare, être utilisées pour fonder la décision au fond.
B. LE TRAITEMENT DE LA DONNÉE « PEUPLE D’APPARTENANCE » : UNE VIOLATION CARACTÉRISÉE DE L’ARTICLE 10
La question du « peuple d’appartenance » (narodnost) mérite une attention particulière. Cette notion, spécifique au système bulgare et héritée de la législation soviétique, désigne l’appartenance ethnique de la personne. Elle constitue, à l’évidence, une donnée révélant l’origine ethnique ou raciale au sens de l’article 10 de la directive 2016/680.
Or, l’article 10 de la directive soumet le traitement de telles données à un régime d’autorisation restrictive, exigeant qu’il soit « autorisé uniquement en cas de nécessité absolue », sous réserve de garanties appropriées, et uniquement dans les trois hypothèses limitativement énumérées : autorisation par le droit de l’Union ou le droit d’un État membre, protection des intérêts vitaux de la personne concernée, ou données manifestement rendues publiques par la personne elle-même. Aucune de ces hypothèses ne trouve à s’appliquer dans le contexte de l’identification de la personne poursuivie en audience.
L’Avocat général conclut sans détour à la violation de l’article 10 : la collecte systématique du « peuple d’appartenance » lors de l’identification de l’accusé en audience, au seul motif qu’une disposition législative nationale l’impose, ne saurait constituer une base légale suffisante au sens de la directive, dès lors que cette collecte n’est pas « absolument nécessaire » à la poursuite de la finalité d’identification, laquelle peut être atteinte par des moyens moins intrusifs ne touchant pas aux catégories particulières de données.
L’ARTICULATION ENTRE INDÉPENDANCE JUDICIAIRE ET CONFORMITÉ AU DROIT DE L’UNION
L’une des tensions les plus intéressantes que révèle l’affaire tient à l’articulation entre l’indépendance judiciaire — valeur cardinale dans l’État de droit — et les obligations de conformité au droit de la protection des données. La juridiction de renvoi a, de sa propre initiative, refusé d’appliquer l’article 272 du NPK dans certaines de ses dimensions, en s’abstenant de poser à la personne poursuivie les questions qui lui paraissaient excessives. Cette démarche judiciaire anticipatrice, fondée sur le principe de primauté du droit de l’Union, illustre la manière dont les juridictions nationales peuvent — et doivent — écarter l’application d’une disposition nationale incompatible avec le droit de l’Union, sans attendre une décision de la Cour constitutionnelle nationale ou une intervention du législateur.
L’Avocat général précise à cet égard que l’article 45, §2, de la directive 2016/680 « exclut toute compétence de l’autorité de contrôle sagissant des opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle », afin de « ne pas interferer avec les règles spécifiques de la procédure pénale et l’indépendance judiciaire ». Ce mécanisme préserve l’autonomie institutionnelle des juridictions, tout en les soumettant aux obligations substantielles de la directive, dont le respect relève de leur propre office et, en dernier ressort, du contrôle de la Cour de justice par la voie du renvoi préjudiciel.
CONTEXTUALISATION AU REGARD DE LA JURISPRUDENCE RÉCENTE
Les conclusions dans C-5/25 s’inscrivent dans un courant jurisprudentiel désormais solidement établi par lequel la Cour de justice étend et approfondit la portée de la directive 2016/680, confirmant que cette directive constitue le droit commun du traitement des données dans le domaine répressif, avec une exigence de proportionnalité et de minimisation qui ne souffre pas d’aménagement au prétexte de commodité procédurale.
L’arrêt C-57/23 (Policejní prezidium, 20 novembre 2025, ECLI:EU:C:2025:905) avait déjà précisé les contours du principe de minimisation des données biométriques et génétiques en matière pénale, exigeant des « délais appropriés pour l’effacement ou pour la vérification régulière de la nécessité de la conservation ». L’arrêt C-371/24 (Comdribus, 19 mars 2026, ECLI:EU:C:2026:219) a quant à lui renforcé l’exigence de nécessité absolue pour les données biométriques collectées dans le cadre d’une enquête pénale, en soulignant que cette nécessité doit être établie cas par cas et non postulée en bloc par une législation nationale. Ces deux précédents confortent, par analogie, la solution préconisée dans C-5/25 : la nécessité absolue exigée par l’article 10 de la directive ne peut résulter d’une seule habilitation législative générale, mais doit être démontrée concrètement au regard de la finalité précise du traitement.
Plus généralement, l’affaire C-5/25 prolonge la ligne tracée par l’arrêt Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21, ECLI:EU:C:2022:811) en confirmant que les traitements de données dans le cadre des poursuites pénales doivent faire l’objet d’un examen rigoureux de proportionnalité, non seulement au stade de l’enquête, mais également au stade juridictionnel. Elle constitue ainsi une étape importante dans la construction d’un droit européen cohérent de la protection des données à l’ensemble des stades de la procédure pénale, depuis l’enquête jusqu’au jugement.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats