DONNÉES BIOMÉTRIQUES ET GÉNÉTIQUES EN MATIÈRE PÉNALE
LA COUR DE JUSTICE EXIGE LA « NÉCESSITÉ ABSOLUE » AU CAS PAR CAS.
LES SERVICES DE POLICE D’UN ÉTAT MEMBRE PEUVENT DÉCIDER, SUR LA BASE DE RÈGLES INTERNES, S’IL EST NÉCESSAIRE DE CONSERVER LES DONNÉES BIOMÉTRIQUES ET GÉNÉTIQUES D’UNE PERSONNE POURSUIVIE PÉNALEMENT OU SOUPÇONNÉE D’AVOIR COMMIS UNE INFRACTION PÉNALE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LA MOTIVATION DE L’AVOCAT GÉNÉRAL
LA COLLECTE INDIFFÉRENCIÉE ET L’OBLIGATION D’APPRÉCIATION INDIVIDUELLE
L’Avocat général a engagé son analyse de la première question préjudicielle en rappelant le cadre jurisprudentiel établi par l’arrêt Ministerstvo na vatreshnite raboti (C-205/21, ECLI:EU:C:2023:49, ci-après « arrêt EBGI I »), qui constituait l’arrêt de principe en la matière. Il a relevé que, dans cet arrêt, « la Cour a jugé qu’une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer la nécessité absolue de cette collecte, conformément à l’obligation qui lui incombe, en vertu de l’article 10 de la directive 2016/680, est, en principe, contraire à cet article 10 » (point 14 des conclusions, renvoyant aux points 128, 129 et 135 de l’arrêt EBGI I).
Appliquant ces principes à la réglementation tchèque, l’Avocat général a constaté que l’article 65 de la loi relative à la police tchèque présentait les mêmes défauts structurels que la réglementation bulgare examinée dans l’arrêt EBGI I : il permettait la collecte de données biométriques et génétiques de « toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction », sans que l’autorité compétente soit tenue d’apprécier, dans chaque cas concret, la nécessité absolue de la collecte envisagée. Il a notamment insisté sur le fait que « la rglementation bulgare en cause prévoyait la collecte forcée des données biométriques et génétiques d’une personne physique aux fins de leur enregistrement, à l’égard de laquelle sont réunis suffisamment d’éléments de preuve de ce qu’elle est coupable d’avoir commis une infraction intentionnelle poursuivie d’office » (note 17 des conclusions), alors que la réglementation tchèque retient un critère encore plus large — la simple poursuite ou la simple suspicion — ce qui accentue le caractère systématique et indifférencié de la collecte.
L’articulation entre l’article 4 : §1, sous c), et l’article 6, sous a), de la directive 2016/680, l’Avocat général a rappelé que « la rglementation bulgare de l’affaire ayant donné lieu à l’arrêt Enregistrement de données biométriques et génétiques I ne prévoyait pas non plus de différenciation catégorielle entre les personnes concernées » et que la Cour avait jugé que cela méconnaissait l’obligation posée à l’article 6, sous a), de ladite directive. La conclusion de l’Avocat général sur la première question a donc été univoque : « l’article 4, §1, sous c), l’article 6, l’article 8, §2, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la nécessité absolue du traitement qu’elle a effectué ou qu’elle envisage d’effectuer » (point 92 des conclusions).
DURÉE DE CONSERVATION ET FINALITÉ PROSPECTIVE
L’Avocat général a consacré une analyse particulièrement développée à la deuxième question préjudicielle, qui touchait à une tension structurelle inhérente au fonctionnement des bases de données policières. Il a rappelé que, dans l’arrêt DGPN (C-118/22, ECLI:EU:C:2024:97, points 43, 44, 45 et 52), « la Cour s’est prononcée, pour la première fois, sur les limites temporelles encadrant la conservation, à des fins de lutte contre les infractions pénales, des données à caractère personnel de personnes ayant fait l’objet d’une condamnation pénale définitive, au regard de la directive 2016/680 » (point 54 des conclusions).
Il a ensuite analysé la différence fondamentale entre la situation de l’affaire DGPN — qui portait sur des données conservées sans limitation de durée autre que le décès de la personne, alors même qu’elle avait été réhabilitée — et la situation de l’affaire C-57/23, dans laquelle « contrairement à la question posée dans l’affaire ayant donné lieu à l’arrêt DGPN, sa deuxième question préjudicielle a été formulée eu égard à un objectif et une finalité du traitement consistant en la prévention générale des infractions pénales » (point 58 des conclusions, citant la position de la juridiction de renvoi).
L’Avocat général a identifié la tension conceptuelle : « comment concilier, d’une part, le principe de minimisation temporelle du traitement des données à caractère personnel et, d’autre part, un tel objectif qui est, par nature, prospectif et illimité dans le temps, et qui suppose de conserver aussi longtemps que possible les données à caractère personnel d’une quantité maximale de personnes » (point 59 des conclusions). Il a tranché cette tension en soulignant que l’existence de garanties procédurales strictes est « d’autant plus nécessaire dans une telle situation » (point 63 des conclusions), et que « la vérification périodique de la nécessité de conserver ces données me semble revêtir une importance cruciale » (point 64 des conclusions).
Sa conclusion sur la deuxième question a été que « l’article 4, §1, sous e), de la directive 2016/680, lu à la lumière de l’article 10 de cette directive, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoit le réexamen, à échéances régulières, de la nécessité de conserver ces données. Ces dispositions imposent cependant qu’un tel réexamen soit encadré par des garanties procédurales strictes » (point 72 des conclusions).
QUALITÉ NORMATIVE DU FONDEMENT LÉGAL ET PLACE DE LA JURISPRUDENCE
Sur la troisième question — la plus délicate —, l’Avocat général a développé une argumentation en trois temps, s’appuyant sur la jurisprudence de la CEDH et de la Cour elle-même. Il a d’abord rappelé que le considérant 33 de la directive 2016/680 admet qu’un acte non législatif puisse constituer un « droit d’un État membre » « si tant est que ce droit d’un État membre, cette base juridique ou cette mesure législative est clair et précis et son application est prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice et de la Cour européenne des droits de l’homme » (point 80 des conclusions).
Il a ensuite reconnu que la jurisprudence nationale peut, sous certaines conditions, satisfaire à ces critères : « si tant est qu’il existe une base légale en droit interne, la jurisprudence qui, d’une part, est accessible et prévisible et, d’autre part, est constante et n’a pas été systématiquement remise en cause présente des caractéristiques matérielles suffisantes pour relever de la notion de “droit d’un État membre”, au sens de l’article 8, §2, de la directive 2016/680 » (point 84 des conclusions).
Cependant, l’Avocat général a posé une limite ferme : « dans certains cas, notamment lorsque le droit à la liberté consacré à l’article 6 de la Charte est en cause, une jurisprudence établie, sanctionnant une pratique constante de la police, ne saurait suffire et que seule l’adoption de dispositions de portée générale et donc de dispositions remplissant les caractéristiques formelles d’une loi offre les garanties nécessaires » (point 85 des conclusions). Cette limite est justifiée par la référence à l’arrêt Al Chodor (C-528/15, ECLI:EU:C:2017:213), selon lequel « il est essentiel que les critères qui définissent l’existence d’un risque de fuite, qui constitue le motif d’un placement en rétention, soient clairement définis par un acte contraignant et prévisible dans son application ».
La conclusion de l’Avocat général sur la troisième question a été la plus stricte de ses trois propositions : « l’article 8, §2, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens qu’ils s’opposent à ce qu’une jurisprudence nationale, quand bien même celle-ci peut se voir reconnaître la qualité de “droit d’un État membre” au sens de cette directive, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict, dans chaque cas concret et par les autorités policières, de la nécessité de collecter ainsi que de conserver les données biométriques et génétiques des personnes concernées » (point 91 et point 92 des conclusions).
LA MOTIVATION DE LA COUR
L’EXIGENCE DE NÉCESSITÉ ABSOLUE ET L’INCOMPATIBILITÉ DE LA COLLECTE INDIFFÉRENCIÉE
La Cour a rappelé en premier lieu le fondement textuel et jurisprudentiel de l’exigence de nécessité absolue. En s’appuyant sur l’article 10 de la directive 2016/680, elle a réaffirmé que cette disposition « constitue une disposition spécifique régissant les traitements de catégories particulières de données à caractère personnel » et qu’elle « tend à assurer une protection accrue de la personne concernée dans la mesure où, en raison de leur sensibilité particulière et du contexte dans lequel elles sont traitées, les données en cause sont susceptibles d’engendrer, ainsi qu’il ressort du considérant 37 de ladite directive, des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte ».
S’appuyant sur la jurisprudence constante inaugurée par l’arrêt EBGI I (C-205/21, point 116), la Cour a rappelé que « l’exigence selon laquelle le traitement des données sensibles est autorisé uniquement en cas de nécessité absolue doit être interprétée comme définissant des conditions renforcées de licéité du traitement de telles données, au regard de celles qui découlent de l’article 4, §1, sous b) et c), ainsi que de l’article 8, §1, de la directive 2016/680, lesquelles se réfèrent seulement à la nécessité d’un traitement ».
Sur l’incompatibilité de la réglementation tchèque avec ces exigences, la Cour a confirmé les termes de l’arrêt EBGI I : « une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer la nécessité absolue de cette collecte, conformément à l’obligation qui lui incombe, en vertu de l’article 10 de la directive 2016/680, est, en principe, contraire à cet article 10 ». Elle a précisé que la prise en compte de l’ensemble des éléments pertinents — « la nature et la gravité de l’infraction présumée […], les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, ainsi que les antécédents judiciaires ou le profil individuel des personnes en cause » — est indispensable pour que l’appréciation de la nécessité absolue soit effective.
ABSENCE DE DÉLAI MAXIMAL ET MÉCANISME DE RÉEXAMEN
La Cour a développé une analyse précise des articles 4, §1, sous e), et 5 de la directive 2016/680, en les lisant à la lumière de l’article 10. Elle a rappelé que « le considérant 26 de la directive 2016/680, ainsi que l’article 4, §1, sous e), et l’article 5 de cette directive fixent un cadre général imposant aux États membres, d’une part, de prévoir que ces données seront conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées et, d’autre part, de prévoir la fixation de délais appropriés pour l’effacement desdites données ou pour la vérification régulière de la nécessité de conserver de telles données ainsi que des règles procédurales garantissant le respect de ces délais » (arrêt, citant les points 43, 44 et 45 de l’arrêt DGPN).
Sur l’absence de délai maximal absolu, la Cour a jugé que « ces dispositions n’exigent pas que les États membres définissent des limites temporelles absolues pour la conservation des données à caractère personnel, au-delà desquelles celles-ci devraient être automatiquement effacées » (arrêt, citant le point 52 de l’arrêt DGPN). Cette position est cohérente avec la reconnaissance, au considérant 27 de la directive 2016/680, que « aux fins de la prévention des infractions pénales ainsi que des enquêtes et des poursuites en la matière, les autorités compétentes ont besoin de traiter de telles données, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, ainsi que des enquêtes et des poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour ».
Cependant, la Cour a posé des conditions strictes au maintien de cette souplesse : le réexamen périodique de la nécessité de conserver les données doit être encadré par des garanties procédurales strictes. Elle a notamment précisé que ces garanties devaient inclure : (1) des dispositions claires sur les procédures de destruction des données (conformément au considérant 33 de la directive 2016/680) ; (2) le droit pour chaque personne concernée de connaître la durée pendant laquelle ses données sont conservées ou les critères utilisés pour déterminer cette durée (conformément à l’article 13, §2, sous b), et à l’article 14, sous d), de la directive) ; (3) des dispositions précises sur le critère de nécessité absolue applicable spécifiquement aux données biométriques et génétiques dans le cadre du réexamen périodique. L’appréciation de la durée de conservation doit tenir compte de « la nature et la gravité des faits constatés, le temps écoulé depuis ces faits, la durée légale de conservation restant à courir et le degré de risque que la personne concernée soit impliquée dans d’autres infractions pénales » (point 70 des conclusions de l’Avocat Général, repris par l’arrêt).
LA JURISPRUDENCE NATIONALE COMME « DROIT D’UN ÉTAT MEMBRE » — UNE ADMISSION CONDITIONNELLE ET LIMITÉE
Sur la troisième question, la Cour a adopté une position légèrement plus nuancée que celle de l’Avocat général, tout en aboutissant au même résultat pratique. Elle a d’abord confirmé, en s’appuyant notamment sur son arrêt du 16 novembre 2023, Roos e.a. c. Parlement (C-458/22 P, ECLI:EU:C:2023:871, points 60 et 61), que « le terme “loi”, utilisé dans l’expression “prévu par la loi” figurant à l’article 8, §2, de la CEDH et dans l’expression “fondement légitime prévu par la loi” figurant à l’article 8, §2, de la Charte, doit être entendu dans son acception matérielle, et non pas formelle » (point 82 des conclusions de l’Avocat Général, repris par la Cour).
La Cour a ainsi admis que, dans un domaine couvert par le droit écrit, « la loi est le texte en vigueur tel que les juridictions compétentes l’ont interprété » (CEDH, Kruslin c. France, 24 avril 1990 ; Sunday Times c. Royaume-Uni, 26 avril 1979, point 47), et qu’une jurisprudence accessible, prévisible et constante peut être qualifiée de « droit d’un État membre » au sens de l’article 8, §2, de la directive 2016/680.
Cependant, même reconnue comme « droit d’un État membre », la jurisprudence nationale « ne saurait […] se substituer aux garanties qu’une disposition de portée générale est tenue de prévoir en matière d’obtention, de conservation ainsi que d’effacement des données biométriques et génétiques » (arrêt). La Cour a fondé cette position sur deux séries d’arguments complémentaires.
D’une part, les exigences de qualité de la loi en matière de données biométriques et génétiques sont renforcées : la Cour EDH a affirmé que « toute ingérence d’une autorité publique dans le droit d’une personne au respect de sa vie privée doit être prévue par la loi », ajoutant que cette loi « doit définir nettement l’étendue du pouvoir d’appréciation des autorités publiques » et user de termes « assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à recourir à des mesures affectant leurs droits protégés » (conclusions, point 86, citant CEDH, Fernández Martínez c. Espagne, 12 juin 2014, § 117, et Glukhin c. Russie, 4 juillet 2023, §§ 82 et 83).
D’autre part, les exigences de sécurité juridique imposent qu’une jurisprudence interprétant des dispositions de droit interne dans un sens estimé conforme aux exigences d’une directive « ne saurait présenter la clarté et la précision requises pour satisfaire à l’exigence de sécurité juridique » (conclusions, point 90, citant l’arrêt du 23 avril 2009, Commission c. Belgique, C-292/07, ECLI:EU:C:2009:246, points 120 et 122). En conséquence, « une jurisprudence nationale, bien qu’elle pose une liste de critères permettant d’apprécier la proportionnalité du traitement des données biométriques et génétiques des personnes concernées dans chaque cas concret, ne saurait pallier l’absence de contrôle de proportionnalité strict posé par une loi au sens formel du terme ».
LE DISPOSITIF DE L’ARRÊT
Les articles 4, §1, sous c) et e), 6, sous a), 8, §2, et 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, doivent être interprétés en ce sens que :
– ils s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction, lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la nécessité absolue du traitement qu’elle a effectué ou qu’elle envisage d’effectuer ;
– ils ne s’opposent pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoit le réexamen, à échéances régulières, de la nécessité de conserver ces données. Ces dispositions imposent cependant qu’un tel réexamen soit encadré par des garanties procédurales strictes et permette de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire au regard des finalités pour lesquelles lesdites données sont traitées ;
– ils s’opposent à ce qu’une jurisprudence nationale, quand bien même celle-ci peut se voir reconnaître la qualité de “droit d’un État membre” au sens de cette directive, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict, dans chaque cas concret et par les autorités policières, de la nécessité de collecter ainsi que de conserver les données biométriques et génétiques des personnes concernées.
LE DISPOSITIF DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL
L’article 4, §1, sous c) et e), l’article 6, l’article 8, §2, et l’article 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, doivent être interprétés en ce sens que :
– ils s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la nécessité absolue du traitement qu’elle a effectué ou qu’elle envisage d’effectuer ;
– ils ne s’opposent pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoit le réexamen, à échéances régulières, de la nécessité de conserver ces données. Ces dispositions imposent cependant qu’un tel réexamen soit encadré par des garanties procédurales strictes et permette de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire au regard des finalités pour lesquelles lesdites données sont traitées ;
– ils s’opposent à ce qu’une jurisprudence nationale, quand bien même celle-ci peut se voir reconnaître la qualité de “droit d’un État membre” au sens de cette directive, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict, dans chaque cas concret et par les autorités policières, de la nécessité de collecter ainsi que de conserver les données biométriques et génétiques des personnes concernées.
CONVERGENCES ET DIVERGENCES ENTRE LA COUR ET L’AVOCAT GÉNÉRAL — CONTEXTUALISATION JURISPRUDENTIELLE
L’accord entre la Cour et l’Avocat général est, dans cette affaire, quasi total sur les trois questions préjudicielles. Les conclusions et l’arrêt adoptent des formulations très proches, voire identiques sur les points essentiels. La seule nuance notable tient à ce que l’Avocat général avait semblé exclure plus catégoriquement la jurisprudence nationale comme substitut à une disposition de portée générale, alors que la Cour a maintenu l’admission de principe de la jurisprudence comme « droit d’un État membre » tout en posant une limite ferme à sa capacité à combler les lacunes d’une loi insuffisante.
Contextualisation par rapport aux arrêts antérieurs : L’arrêt EBGI I (C-205/21) avait tranché la question de la collecte systématique en droit bulgare. L’arrêt DGPN (C-118/22) avait abordé la durée de conservation en contexte de condamnation définitive. L’arrêt EBGI II (C-80/23) avait précisé le rôle de la juridiction dans l’appréciation de la nécessité absolue. L’affaire C-57/23 constitue la synthèse tchèque de ces trois problématiques, en ajoutant la dimension normative de la qualité du droit national.
Contextualisation par rapport aux arrêts postérieurs : L’arrêt Comdribus (C-371/24, ECLI:EU:C:2026:219, 19 mars 2026) a poursuivi la construction doctrinale initiée par C-57/23. En se fondant explicitement sur l’arrêt C-57/23 (notamment aux points 34, 35, 83 et 87), la Cour a précisé les exigences d’obligation de motivation adéquate lors de la collecte et les conditions dans lesquelles le refus de se soumettre à la collecte peut fonder des poursuites pénales distinctes. L’arrêt Comdribus confirme ainsi que C-57/23 fait désormais partie du corpus jurisprudentiel de référence en matière de traitement des données biométriques dans l’espace pénal européen.
POINTS ESSENTIELS
**Saisie à titre préjudiciel par le Nejvyšší správní soud (Cour administrative suprême, République tchèque) dans le cadre d’un litige opposant JH, fonctionnaire tchèque condamné définitivement en 2017 pour abus de pouvoir, à la Policejní prezidium (direction de la police tchèque) au sujet de la collecte et de la conservation de ses données biométriques et génétiques opérées sans son consentement lors de la procédure pénale engagée à son encontre en 2015, la Cour de justice apporte, par l’arrêt du 20 novembre 2025, trois séries de précisions majeures relatives à l’interprétation de la directive (UE) 2016/680, qui gouverne le traitement des données à caractère personnel par les autorités compétentes à des fins répressives.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats