DONNÉES BIOMÉTRIQUES ET GÉNÉTIQUES EN MATIÈRE PÉNALE
LA COUR DE JUSTICE EXIGE LA « NÉCESSITÉ ABSOLUE » AU CAS PAR CAS.
LES SERVICES DE POLICE D’UN ÉTAT MEMBRE PEUVENT DÉCIDER, SUR LA BASE DE RÈGLES INTERNES, S’IL EST NÉCESSAIRE DE CONSERVER LES DONNÉES BIOMÉTRIQUES ET GÉNÉTIQUES D’UNE PERSONNE POURSUIVIE PÉNALEMENT OU SOUPÇONNÉE D’AVOIR COMMIS UNE INFRACTION PÉNALE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
PRÉSENTATION GÉNÉRALE ET ENJEUX DE L’AFFAIRE
L’affaire C-57/23, JH c. Policejní prezidium (Présidence de la police de la République tchèque), constitue une étape décisive dans la construction prétorienne de la Cour de justice de l’Union européenne relative au traitement des données biométriques et génétiques dans le contexte des procédures pénales. Rendu le 20 novembre 2025, l’arrêt s’inscrit dans une séquence jurisprudentielle dense — initiée par l’arrêt Ministerstvo na vatreshnite raboti (C-205/21, ECLI:EU:C:2023:49, dit « Enregistrement de données biométriques et génétiques I », ci-après « arrêt EBGI ») et poursuivie par les arrêts DGPN (C-118/22, ECLI:EU:C:2024:97), Enregistrement de données biométriques et génétiques II (C-80/23, ECLI:EU:C:2024:991) et, postérieurement, Comdribus (C-371/24, ECLI:EU:C:2026:219) — qui forge, pierre après pierre, le régime de protection des données à caractère personnel les plus sensibles traitées dans l’espace pénal européen sous l’empire de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.
La singularité de la présente affaire tient à ce qu’elle est la première à soumettre à la Cour, depuis le droit tchèque, les trois questions fondamentales qui structurent tout régime juridique de collecte et de conservation des données biométriques et génétiques à des fins d’identification policière : la question de la licéité de la collecte indifférenciée au regard du principe de minimisation et de l’obligation de distinguer entre différentes catégories de personnes concernées (article 4, §1, sous c), et article 6, sous a), de la directive 2016/680) ; la question de la durée de conservation de ces données en l’absence de délai maximal légal (article 4, §1, sous e), et article 5 de cette directive) ; et la question de la qualité normative du droit national requis pour autoriser un tel traitement de données relevant de l’article 10 de ladite directive, avec la question subsidiaire de savoir si la jurisprudence nationale peut tenir lieu de « droit d’un État membre » au sens de l’article 8, §2, de la même directive.
LA DIRECTIVE 2016/680 ET SES EXIGENCES RENFORCÉES
La directive 2016/680 constitue l’instrument juridique spécifique de l’Union européenne régissant la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Elle se distingue fondamentalement du RGPD (règlement (UE) 2016/679), lequel régit le traitement des données à des fins civiles, commerciales ou administratives. Cette directive établit un régime dual selon lequel le traitement des données ordinaires obéit aux exigences des articles 4 et 8, tandis que le traitement des données appartenant aux catégories particulières mentionnées à l’article 10 — dont les données biométriques (définies à l’article 3, point 13, comme les données à caractère personnel résultant d’un traitement technique spécifique relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne permettant ou confirmant l’identification unique de cette personne, telles notamment que les images faciales ou les données dactyloscopiques) et les données génétiques (définies à l’article 3, point 12, comme les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne) — est soumis à l’exigence additionnelle et contraignante de nécessité absolue.
Cette exigence de nécessité absolue, telle qu’interprétée par la Cour dans la lignée jurisprudentielle inaugurée par l’arrêt EBGI (C-205/21), définit des conditions renforcées de licéité du traitement qui s’ajoutent à celles découlant de l’article 4, §1, sous b) et c), et de l’article 8, §1, de la directive 2016/680. Elle implique que la collecte et la conservation de ces données ne soient pas seulement « nécessaires » au sens ordinaire — c’est-à-dire adéquates, pertinentes et non excessives — mais qu’elles soient absolument nécessaires pour la réalisation de la finalité concrète et spécifique poursuivie, et que cette finalité ne puisse être atteinte par des mesures constituant une ingérence de moindre gravité pour les droits et libertés de la personne concernée.
LA TRIPLE INTERROGATION DE LA JURIDICTION DE RENVOI
La juridiction de renvoi, le Nejvyšší správní soud (Cour administrative suprême de la République tchèque), avait déféré à la Cour, par ordonnance du 26 janvier 2023, trois questions préjudicielles qui s’articulaient autour des vices structurels qu’elle percevait dans la législation tchèque applicable, à savoir l’article 65 de la zákon č. 273/2008 Sb., o Policii České republiky (loi relative à la police de la République tchèque, ci-après la « loi relative à la police tchèque ») :
(1) Première question — Relative à l’obligation de distinguer entre différentes personnes concernées : « Quel niveau de distinction entre les différentes personnes concernées l’article 4, §1, sous c), ou l’article 6 lu en combinaison avec l’article 10 de la directive 2016/680, requiert-il ? Une réglementation nationale qui permet la collecte de données génétiques de toutes les personnes soupçonnées ou poursuivies pour avoir commis une infraction pénale intentionnelle est-elle compatible avec l’impératif de minimisation du traitement des données à caractère personnel, de même qu’avec l’obligation d’établir une distinction entre différentes catégories de personnes concernées ? »
(2) Deuxième question — Relative à la durée de conservation : « Est-il conforme à l’article 4, §1, sous e), de la directive 2016/680 que, au regard de la finalité générale de prévention, de recherche ou de détection des infractions pénales, la nécessité de conserver encore le profil ADN soit appréciée par les services de police sur le fondement de leurs prescriptions internes, ce qui dans la pratique revient souvent à conserver des données à caractère personnel sensibles pour une durée indéterminée en l’absence de toute limite de temps maximale de conservation desdites données ? Dans la négative, au regard de quels critères doit le cas échéant être apprécié le caractère proportionné dans le temps de la conservation des données à caractère personnel collectées et conservées à cette fin ? »
(3) Troisième question — Relative à la qualité normative du fondement légal : « Dans le cas des données à caractère personnel particulièrement sensibles relevant de l’article 10 de la directive 2016/680, quelles sont les conditions matérielles ou procédurales minimales d’obtention, de conservation et d’effacement de ces données devant être prévues dans le droit de l’État membre au moyen d’une disposition de portée générale ? La jurisprudence peut-elle elle aussi avoir la qualité de “droit d’un État membre” au sens de l’article 8, §2, lu en combinaison avec l’article 10 de la directive 2016/680 ? »
DISPOSITIF DE L’ARRÊT DU 20 NOVEMBRE 2025 ET RÉPONSES DE LA COUR
La Cour a statué en adoptant une position nuancée mais structurellement exigeante, en partie convergente avec les conclusions de l’Avocat général, en partie divergente sur la troisième question préjudicielle.
Sur la première question, la Cour a jugé que les articles 4, §1, sous c), 6, sous a), 8, §2, et 10 de la directive 2016/680 s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction, lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la nécessité absolue du traitement qu’elle a effectué ou qu’elle envisage d’effectuer. Cette position reprend et consolide la jurisprudence EBGI (C-205/21, point 135), en l’adaptant au contexte spécifique du droit tchèque où le critère retenu par la loi pour déclencher la collecte se limite à la qualité de la personne — être « poursuivie » pour une infraction intentionnelle — sans exiger d’appréciation individuelle de la nécessité concrète de la collecte dans chaque dossier.
Sur la deuxième question, la Cour a jugé que l’article 4, §1, sous e), de la directive 2016/680, lu à la lumière de l’article 10 de cette directive, ne s’oppose pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoit le réexamen, à échéances régulières, de la nécessité de conserver ces données. Ces dispositions imposent cependant qu’un tel réexamen soit encadré par des garanties procédurales strictes et permette de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire au regard des finalités pour lesquelles lesdites données sont traitées. Cette réponse tranche la tension inhérente à la finalité prospective et par nature illimitée de la prévention des infractions pénales, en refusant d’imposer un délai maximal absolu tout en exigeant un mécanisme robuste de réexamen périodique.
Sur la troisième question, la Cour a nuancé la position adoptée par l’Avocat général. Elle a jugé que les articles 8, §2, et 10 de la directive 2016/680 doivent être interprétés en ce sens qu’une disposition de portée générale régissant la collecte, la conservation et l’effacement des données biométriques et génétiques doit prévoir, au minimum, les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement (conformément à l’article 8, §2). Sur la question de la jurisprudence nationale, la Cour a admis que celle-ci peut se voir reconnaître la qualité de « droit d’un État membre » pour autant qu’elle soit accessible, prévisible et constante, tout en précisant que cette jurisprudence ne peut se substituer à une disposition de portée générale en ce qui concerne l’obligation de prévoir un contrôle strict, dans chaque cas concret, de la nécessité absolue de la collecte et de la conservation des données biométriques et génétiques.
APPORTS ET LIMITES DE L’ARRÊT
A. LA CONSÉCRATION DU PRINCIPE D’APPRÉCIATION INDIVIDUALISÉE AU STADE DE LA COLLECTE
L’apport le plus décisif de l’arrêt C-57/23 réside dans la confirmation solennelle — en contexte de droit tchèque, après l’arrêt EBGI qui avait tranché la question pour le droit bulgare — que l’article 10 de la directive 2016/680 s’oppose à une collecte automatique et systématique de données biométriques et génétiques fondée sur la seule appartenance d’une personne à la catégorie des « personnes poursuivies pour une infraction intentionnelle ». La Cour consolide ici ce que l’on pourrait qualifier de principe d’individualisation de l’appréciation de la nécessité absolue : la qualité formelle de « suspect » ou de « mis en cause » n’est pas, en elle-même, un critère suffisant pour présumer que la collecte de données parmi les plus sensibles du droit de la protection des données est absolument nécessaire. Comme elle l’a précisé au point 84 de l’arrêt — repris par l’arrêt C-371/24 (Comdribus, point 34) — le caractère absolument nécessaire de la collecte doit tenir compte « de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction présumée pour laquelle elles sont mises en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, ainsi que les antécédents judiciaires ou le profil individuel des personnes en cause ».
B. LA RÉSOLUTION DE LA TENSION ENTRE FINALITÉ PROSPECTIVE ET MINIMISATION TEMPORELLE
La deuxième question préjudicielle soulevait une tension inhérente au fonctionnement des bases de données policières : la finalité de prévention des infractions pénales est, par nature, prospective et illimitée dans le temps, ce qui crée une pression permanente vers la conservation maximale des données. La Cour résout cette tension en refusant d’imposer un délai absolu — solution qui aurait risqué de vider la prévention de sa substance — tout en imposant l’existence d’un mécanisme de réexamen périodique entouré de garanties procédurales strictes. Cette solution, si elle est conceptuellement cohérente, présente le défaut de laisser aux législateurs nationaux une marge d’appréciation substantielle quant à la nature et à la densité des garanties exigées.
C. LA QUESTION DÉLICATE DE LA JURISPRUDENCE COMME « DROIT D’UN ÉTAT MEMBRE »
La troisième question a donné lieu à l’apport le plus subtil et le plus discutable de l’arrêt. La Cour reconnaît que la jurisprudence nationale peut, sous certaines conditions, être qualifiée de « droit d’un État membre » au sens de la directive 2016/680 — ce qui est conforme à la tradition du droit européen des droits fondamentaux (CEDH, Sunday Times c. Royaume-Uni, 26 avril 1979 ; Kruslin c. France, 24 avril 1990) et à la propre jurisprudence de la Cour (arrêt du 16 novembre 2023, Roos e.a. c. Parlement, C-458/22 P, ECLI:EU:C:2023:871). Mais elle précise, avec une rigueur qui peut surprendre, que même une jurisprudence reconnue comme « droit d’un État membre » ne peut se substituer à une disposition de portée générale lorsqu’il s’agit d’encadrer la nécessité absolue de la collecte et de la conservation des données biométriques et génétiques. La logique de cette solution est celle de la sécurité juridique : des données aussi sensibles exigent une prévisibilité renforcée qui ne peut être assurée que par un texte normatif de portée générale, accessible à tous et opposable à tous.
L’Avocat général avait proposé une solution encore plus stricte sur ce dernier point, estimant que la jurisprudence, « quand bien même elle peut se voir reconnaître la qualité de droit d’un État membre », « ne saurait pallier l’absence de contrôle de proportionnalité strict posé par une loi au sens formel du terme ». La Cour a adopté une position légèrement plus souple mais convergeant vers le même résultat pratique.
CONTEXTUALISATION JURISPRUDENTIELLE
L’arrêt C-57/23 s’inscrit dans une constellation jurisprudentielle qui, considérée dans sa globalité, dessine les contours d’une doctrine européenne des données biométriques et génétiques en matière pénale. Cette doctrine se caractérise par :
—-En amont : L’arrêt EBGI (C-205/21, 26 janvier 2023) avait posé les premières pierres en affirmant l’incompatibilité avec l’article 10 de la directive 2016/680 d’une législation nationale prévoyant la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle, sans obligation pour l’autorité compétente d’en vérifier la nécessité absolue. L’arrêt DGPN (C-118/22, 30 janvier 2024) avait ensuite abordé la question des limites temporelles de conservation en contexte de condamnation définitive.
—-L’arrêt C-57/23 : Il transpose ces acquis au contexte tchèque, les enrichissant des questions nouvelles sur l’absence de délai maximal et la valeur normative de la jurisprudence nationale. Il constitue ainsi une synthèse et un enrichissement de la jurisprudence antérieure.
—-En aval : L’arrêt Comdribus (C-371/24, 19 mars 2026), rendu postérieurement à l’arrêt C-57/23 et qui cite explicitement ce dernier aux points 34, 35, 83 et 87, a poursuivi la construction doctrinale en traitant de la collecte de données biométriques de personnes soupçonnées (et non mises en examen) et en précisant les contours de l’obligation de motivation adéquate. L’arrêt Enregistrement de données biométriques et génétiques II (C-80/23, 28 novembre 2024), quant à lui, avait confirmé que c’est à l’autorité compétente — et non à la juridiction saisie d’une demande d’exécution forcée — qu’il incombe d’effectuer l’appréciation exigée en vertu de l’article 10, précision que reprend l’arrêt C-57/23 en l’intégrant dans son raisonnement général.
Ces développements convergents témoignent d’une montée en puissance de la protection des données biométriques et génétiques dans l’espace pénal européen, qui impose progressivement aux États membres des obligations normatives substantielles et une obligation d’individualisation de l’appréciation de la nécessité absolue que les pratiques policières antérieures — souvent fondées sur des critères purement formels — ne satisfaisaient pas.
POINTS ESSENTIELS
**Saisie à titre préjudiciel par le Nejvyšší správní soud (Cour administrative suprême, République tchèque) dans le cadre d’un litige opposant JH, fonctionnaire tchèque condamné définitivement en 2017 pour abus de pouvoir, à la Policejní prezidium (direction de la police tchèque) au sujet de la collecte et de la conservation de ses données biométriques et génétiques opérées sans son consentement lors de la procédure pénale engagée à son encontre en 2015, la Cour de justice apporte, par l’arrêt du 20 novembre 2025, trois séries de précisions majeures relatives à l’interprétation de la directive (UE) 2016/680, qui gouverne le traitement des données à caractère personnel par les autorités compétentes à des fins répressives.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats