CJUE | ARRÊT DU 19 MARS 2026 | C-371/24 | COMDRIBUS │
POINTS ESSENTIELS
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE CONSEILS AUX RT
Par son arrêt du 19 mars 2026, C-371/24 Comdribus (ECLI:EU:C:2026:219), la Cour de justice de l’Union européenne statue, sur renvoi de la cour d’appel de Paris, sur trois questions relatives à la compatibilité de l’article 55-1 du code de procédure pénale français avec la directive 2016/680. Cette disposition autorise les officiers de police judiciaire à procéder à des relevés signalétiques — prise d’empreintes digitales et de photographies — de toute personne à l’égard de laquelle il existe des soupçons plausibles d’avoir commis une infraction, et incrimine le refus de s’y soumettre. L’affaire prenait sa source dans la condamnation de HW à une amende de 300 euros pour avoir refusé le relevé signalétique lors de sa garde à vue au cours de laquelle il avait été relaxé de l’infraction principale.
Sur la première question, la Cour dit pour droit que l’article 10 de la directive 2016/680, qui soumet le traitement des données biométriques à la condition de « nécessité absolue », s’oppose à une collecte systématique, à moins que le droit national définisse les finalités de la collecte de manière précise et concrète et que l’autorité compétente soit tenue, dans chaque cas particulier, d’apprécier si la collecte est absolument nécessaire. La Cour renvoie à la juridiction nationale le soin de vérifier si l’article 55-1, lu en combinaison avec les règles propres aux fichiers de police, satisfait à ces exigences — et si la pratique de collecte n’est pas, en fait, généralisée et indifférenciée, comme pourrait l’indiquer l’existence de 6,5 millions d’empreintes enregistrées dans le fichier automatisé des empreintes digitales.
Sur la deuxième question, la Cour se prononce sans réserve : l’article 10 de la directive, lu en combinaison avec l’article 4 §4 (principe d’accountability) et l’article 54 de la directive, à la lumière de l’article 47 de la Charte des droits fondamentaux (droit à un recours effectif), s’oppose à une législation nationale qui ne prévoit pas l’obligation, pour l’autorité compétente, de motiver de façon adéquate, dans chaque cas particulier, la nécessité absolue de procéder au relevé signalétique. La motivation peut être succincte, mais elle doit exister — permettant ainsi à la personne concernée de défendre ses droits et au juge de contrôler effectivement la légalité de la mesure.
Sur la troisième question, la Cour adopte une position nuancée : elle ne s’oppose pas à ce qu’une personne soit poursuivie et condamnée pour refus de relevé signalétique même si elle a été relaxée de l’infraction principale. L’appréciation de la nécessité absolue de la collecte doit se faire au moment où elle est décidée — et non rétrospectivement à l’aune du résultat judiciaire. Toutefois, la sanction doit respecter le principe de proportionnalité garanti par l’article 49 §3 de la Charte, imposant au juge de tenir compte du comportement et du profil de la personne, de ses antécédents et de la gravité de l’infraction présumée.
Cet arrêt consolide une jurisprudence de la Cour de justice progressivement construite depuis 2023 sur la directive 2016/680, qui fait de la « nécessité absolue » un standard exigeant, non réductible à la seule existence d’une base légale nationale. Il place les autorités françaises devant l’impératif d’adapter les pratiques de relevé signalétique — notamment par l’instauration d’une obligation de motivation documentée dans chaque cas particulier — et confie à la cour d’appel de Paris le soin de déterminer si la mise en œuvre effective de l’article 55-1 conduit à une collecte systématique et généralisée contraire au droit de l’Union. Les enjeux sont considérables au regard du volume de données biométriques déjà collectées et enregistrées par les autorités françaises.
1. CE QUE DIT CET ARRÊT, EN TERMES SIMPLES
La Cour de justice de l’Union européenne vient de rendre, le 19 mars 2026, un arrêt d’une portée significative pour le droit pénal et la protection des données personnelles en France. L’affaire concernait HW, un militant pour le climat interpellé lors d’une occupation des Champs-Élysées à Paris en mai 2020. Lors de sa garde à vue, il avait refusé de laisser les policiers prendre ses empreintes digitales et sa photographie. Il a été relaxé de l’infraction pour laquelle il avait été arrêté, mais condamné à une amende de 300 euros pour ce seul refus. La cour d’appel de Paris, avant de statuer, a posé trois questions à la Cour de justice sur la compatibilité de la loi française avec la directive européenne relative à la protection des données dans le domaine pénal.
La Cour répond en trois points : (1) La loi française qui permet aux policiers de prendre systématiquement les empreintes et photos de toute personne simplement soupçonnée d’une infraction est potentiellement contraire au droit européen — sauf si les finalités de cette collecte sont définies précisément par le droit national et si les policiers sont tenus d’apprécier, au cas par cas, si cette collecte est vraiment nécessaire dans chaque situation particulière. (2) La loi française est, en tout état de cause, contraire au droit européen en ce qu’elle ne prévoit pas que les policiers doivent motiver leur décision de procéder au relevé signalétique — même de façon succincte. (3) La condamnation pénale pour refus de se soumettre au relevé signalétique reste possible même si la personne a été relaxée de l’infraction principale, à condition que la collecte de données était bien nécessaire au moment où elle a été décidée, et que la sanction soit proportionnée aux circonstances de la personne.
2. POURQUOI CET ARRÊT EST IMPORTANT POUR VOTRE ORGANISATION
Bien que cet arrêt concerne directement les autorités de police et le ministère public — et non des entreprises privées — il est porteur d’enseignements transversaux pour toute organisation qui traite des données biométriques. En effet, le principe de « nécessité absolue » que la Cour applique à l’article 10 de la directive 2016/680 est l’équivalent pénal de l’exigence de nécessité et de proportionnalité que le RGPD impose à toute collecte de données biométriques dans le secteur privé au titre de l’article 9 du règlement. Les critères élaborés par la Cour — finalités précises et concrètes, minimisation des données, appréciation individuelle, motivation documentée — constituent un socle interprétatif que les autorités de contrôle et les juridictions nationales sont susceptibles de mobiliser pour l’ensemble des traitements de données biométriques, qu’ils soient réalisés à des fins pénales ou commerciales.
Par ailleurs, pour les entreprises qui sont amenées à coopérer avec des autorités de police judiciaire dans le cadre de réquisitions ou d’investigations — notamment les opérateurs de téléphonie, les banques, les plateformes numériques et les gestionnaires de systèmes d’identification biométrique — cet arrêt établit que la légalité de la collecte de données biométriques par les autorités doit être appréciée au regard des critères stricts de la directive 2016/680. Si une réquisition porte sur des données biométriques et ne satisfait pas à ces critères, la transmission de ces données pourrait se révéler problématique.
3. CONSEILS AUX RESPONSABLES DE TRAITEMENTS DE DONNÉES
N°1
La condition de nécessité absolue pour les données biométriques n’est pas négociable.
L’arrêt Comdribus confirme que, dans le domaine des données biométriques, la seule existence d’une base légale nationale ne suffit pas à rendre le traitement licite. Il faut également que la finalité de la collecte soit précisément définie, que la collecte soit individuellement nécessaire et que cette nécessité soit documentée. Cette exigence s’applique mutatis mutandis à tout traitement de données biométriques réalisé par votre organisation — contrôle d’accès biométrique, identification des visiteurs, reconnaissance faciale, données dactyloscopiques. La direction générale doit s’assurer que chaque traitement de données biométriques est accompagné d’une analyse de nécessité absolue documentée, et non d’une simple référence à une finalité générique. Recommandation : commanditer un audit de l’ensemble des traitements de données biométriques au sein de l’organisation, avec vérification de la précision des finalités et de la documentation de la nécessité.
N°2
Les données biométriques des salariés sont soumises aux mêmes exigences de nécessité stricte.
Si votre organisation utilise des systèmes de contrôle d’accès ou de présence basés sur des données biométriques (empreintes digitales, reconnaissance faciale), l’arrêt Comdribus rappelle, en écho aux exigences du RGPD (article 9), que la finalité de cette collecte doit être définie de manière précise et concrète — et non dans des termes génériques tels que « sécurité des locaux » — et que l’organisation doit être en mesure de démontrer que cette collecte est absolument nécessaire, c’est-à-dire qu’il n’existe pas de moyens alternatifs moins intrusifs permettant d’atteindre le même objectif. La Commission nationale de l’informatique et des libertés rappelle régulièrement qu’un badge magnétique ou un code PIN peut souvent atteindre la même finalité de contrôle d’accès sans recourir à des données biométriques. Recommandation : revoir les analyses d’impact relatives à la protection des données (AIPD) de tous les traitements biométriques RH et vérifier que la nécessité absolue y est documentée avec précision.
N°3
L’obligation de motivation documentée de la nécessité absolue est désormais une exigence jurisprudentielle explicite.
La Cour de justice fonde l’obligation de motivation sur le principe d’accountability (article 4 §4 de la directive 2016/680, équivalent de l’article 5 §2 du RGPD), qui impose à tout responsable du traitement d’être en mesure de démontrer le respect des principes de protection des données. Dans le contexte d’un contrôle par la Commission nationale de l’informatique et des libertés ou d’un contentieux, l’absence de documentation de la nécessité absolue d’un traitement biométrique constitue un manquement autonome au droit de la protection des données — indépendamment de la question de savoir si le traitement était, en substance, nécessaire. Recommandation : mettre en place ou renforcer les procédures internes de documentation de la nécessité absolue pour chaque traitement biométrique, avec conservation des éléments probatoires permettant de démontrer, a posteriori, pourquoi des moyens moins intrusifs n’auraient pas pu atteindre la même finalité. Mettre à jour les registres des activités de traitement en conséquence.
N°4
L’arrêt Comdribus crée un risque contentieux pour les procédures pénales impliquant des données biométriques collectées sans motivation individualisée.
Si votre organisation est impliquée, en qualité de victime ou de mise en cause, dans des procédures pénales dans lesquelles des données biométriques ont été collectées par les autorités de police judiciaire dans le cadre d’une enquête, il y a lieu de vérifier si cette collecte a fait l’objet d’une motivation adéquate documentée. À défaut, il est possible d’invoquer la nullité de la procédure sur ce fondement devant les juridictions répressives. Par ailleurs, les avocats coordonnant la défense de salariés ou de dirigeants mis en cause dans des procédures pénales devraient systématiquement vérifier la régularité des relevés signalétiques effectués à l’occasion des gardes à vue. Recommandation : intégrer ce moyen de défense dans la grille d’analyse de toute procédure pénale impliquant des relevés signalétiques et prévoir une collaboration proactive avec le conseil pénal de l’organisation.