CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? »
UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
I.
L’affaire Pilev (C-5/25) s’inscrit dans la lignée d’une jurisprudence déjà substantielle de la Cour de justice relative à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, dite « directive police-justice ». Sollicitée par le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie), la Cour est appelée à se prononcer sur une question jusqu’alors inédite : une juridiction pénale nationale, lorsqu’elle identifie un prévenu en audience publique et enregistre les données recueillies dans le procès-verbal, agit-elle en tant qu’« autorité compétente » au sens de ladite directive et, dans l’affirmative, le droit national imposant la collecte systématique d’un ensemble étendu de données personnelles — lieu de naissance, nationalité, lieu de résidence, formation, situation familiale, casier judiciaire et peuple d’appartenance — est-il compatible avec les exigences de nécessité, de minimisation et de protection renforcée des données sensibles que la directive impose ?
La question prend sa source dans un dispositif procédural bulgare spécifique : l’article 272, paragraphe 1, du nakazatelno-protsesualen kodeks (code de procédure pénale, ci-après « NPK ») impose au président d’audience de vérifier l’identité de la personne poursuivie en lui demandant, outre ses trois noms, sa date et son lieu de naissance, son « peuple d’appartenance », sa nationalité, son lieu de résidence, sa formation, sa situation familiale, son numéro civil unique et son casier judiciaire. Ces données sont enregistrées dans le procès-verbal d’audience et conservées dans le dossier de l’affaire. Or, ainsi que l’a relevé la juridiction de renvoi elle-même, l’identification certaine d’un accusé ne requiert que ses trois noms, sa date de naissance et son numéro civil unique. Le surplus d’informations exigé par la loi bulgare poserait donc une question sérieuse de compatibilité avec le droit de l’Union.
II.
Le cadre factuel
Le Sofiyski gradski sad a été saisi d’un acte d’accusation du parquet de la ville de Sofia soutenant que, le 6 septembre 2023, une personne physique avait, d’une part, soudoyé des agents de police afin qu’ils ne dressent pas de procès-verbal d’infraction administrative pour conduite sans permis et, d’autre part, exercé la profession de chauffeur de taxi sans habilitation. Ces faits constituent, selon le parquet, des infractions pénales.
À la première audience tenue le 5 juillet 2024, comparaissent le représentant du parquet, la personne poursuivie et son avocat. Le président de chambre doit, conformément à l’article 272, paragraphe 1, du NPK, procéder à la vérification de l’identité de la personne poursuivie. Se fondant sur la carte d’identité présentée, il s’assure de l’identité du comparant, mais s’abstient de poser les questions relatives aux autres éléments prévus par cette disposition, l’affaire étant suspendue.
La juridiction de renvoi saisit la Cour constitutionnelle (Konstitutsionen sad) afin qu’elle constate l’incompatibilité de l’article 272, paragraphe 1, du NPK avec certaines dispositions de la Constitution bulgare. La Cour constitutionnelle ayant refusé de statuer sur le fond, la juridiction de renvoi décide de poser à la Cour de justice de l’Union européenne la question prévue à l’article 267 TFUE.
III.
La question prjudicielle et la problématique centrale
La question posée à la Cour est la suivante : une réglementation nationale, telle que l’article 272, paragraphe 1, du NPK, qui requiert que des données à caractère personnel de la personne poursuivie relatives au lieu de naissance, au peuple d’appartenance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale et au casier judiciaire soient traitées — collectées, enregistrées et conservées — lors de l’identification de ladite personne, alors que ces données ne sont nullement nécessaires aux fins de la procédure pénale, est-elle conforme à l’article 4, paragraphe 1, sous c), à l’article 8, paragraphe 1, et à l’article 10 de la directive 2016/680 ?
Cette question, en apparence technique, soulève en réalité deux problèmes d’une portée considérable. Le premier est un problème de champ d’application : la directive 2016/680 s’applique-t-elle aux opérations de traitement effectuées par une juridiction pénale dans l’exercice de sa fonction juridictionnelle ? Le second est un problème de fond : dans l’hypothèse affirmative, une exigence légale de collecte systématique de données dont certaines révèlent l’origine ethnique de la personne poursuivie, et qui ne sont pas nécessaires à la finalité d’identification déclarée, est-elle compatible avec les principes de nécessité, de minimisation et de protection accrue des données sensibles consacrés par la directive ?
IV.
Le raisonnement de l’Avocat général Spielmann sur l’applicabilité de la directive 2016/680
L’Avocat général Dean Spielmann, dans ses conclusions présentées le 5 mars 2026 (ECLI:EU:C:2026:167), s’est attaché en premier lieu à la question de l’applicabilité de la directive 2016/680, question que, selon lui, la juridiction de renvoi tenait à tort pour acquise sans la traiter, mais à laquelle l’audience avait été en grande partie consacrée.
Sur l’applicabilité rationae personae. L’article 2, paragraphe 1, de la directive 2016/680, lu en combinaison avec son article 1er, paragraphe 1, subordonne l’application de cet instrument à deux conditions cumulatives : le traitement doit être effectué par une « autorité compétente » au sens de l’article 3, paragraphe 7, de la directive, et ce traitement doit être effectué pour l’une des finalités énumérées à l’article 1er, paragraphe 1, à savoir la prévention, la détection, l’enquête, les poursuites en matière d’infractions pénales ou l’exécution de sanctions pénales.
Sur la première condition, l’Avocat général répond positivement : les juridictions pénales nationales sont des « autorités publiques compétentes » au sens de l’article 3, paragraphe 7, sous a), de la directive. Ce constat, certes non explicite dans le texte, se déduit logiquement du contexte normatif. En effet, l’article 32, paragraphe 1, de la directive prévoit que les États membres peuvent dispenser les « tribunaux et autres autorités judiciaires indépendantes » de l’obligation de désigner un délégué à la protection des données « lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle ». L’article 45, paragraphe 2, de la directive, lu à la lumière du considérant 80, exclut expressément la compétence de l’autorité de contrôle à l’égard des « opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle », précisément « afin de ne pas interférer avec les règles spécifiques de la procédure pénale et l’indépendance judiciaire ». Ces dispositions confirment que les juridictions sont bien soumises, dans l’exercice de leur fonction juridictionnelle, aux obligations imposées par la directive, leur indépendance et leur impartialité étant préservées dans ce cadre. Le considérant 11 de la directive mentionne par ailleurs expressis verbis que les autorités compétentes « peuvent comprendre… les autorités publiques telles que les autorités judiciaires ».
Sur l’applicabilité rationae materiae. La question plus délicate est celle de savoir si le traitement effectué par un juge dans le cadre d’une procédure juridictionnelle pénale relève des « finalités » visées à l’article 1er, paragraphe 1, de la directive. La notion de « poursuites » en matière pénale désigne-t-elle uniquement les actes du ministère public ou englobe-t-elle également les actes de la juridiction de jugement ?
L’Avocat général retient une interprétation finaliste. Plutôt que de chercher à distinguer le rôle de l’autorité de poursuites de celui du juge, il convient, selon lui, d’appréhender la notion de « poursuites » sous l’angle de la finalité des poursuites en matière pénale. Une telle approche implique une interprétation large, susceptible d’englober certaines des activités des juridictions pénales effectuées dans le cadre d’une procédure juridictionnelle, dans la mesure où ces traitements peuvent être considérés comme effectués aux fins d’établir le caractère suffisamment probant des faits imputés et de conduire, in fine, au jugement. Dans le litige au principal, la juridiction de renvoi, saisie par l’acte d’accusation du parquet, exerce elle-même une « activité d’enquête juridictionnelle » qui débute par la vérification de l’identité de la personne poursuivie en vertu de l’article 272 du NPK.
Cette approche large présente plusieurs avantages. D’abord, elle évite le régime fragmenté que l’Avocat général qualifie d’inadmissible : si les juridictions pénales étaient exclues du champ d’application de la directive 2016/680, une même procédure pénale pourrait être soumise à deux textes différents selon l’étape procédurale considérée, ce qui irait à l’encontre du principe de sécurité juridique et de la protection homogène et cohérente des données à caractère personnel. Ensuite, cette approche est cohérente avec les objectifs de la directive — assurer un niveau élevé et homogène de protection et faciliter l’échange de données entre autorités compétentes des États membres — rappelés aux considérants 4, 7 et 15. Enfin, elle ne va pas à l’encontre du principe d’interprétation stricte des exceptions à l’application du RGPD, lex generalis : l’approche finaliste ne soustrait pas la procédure juridictionnelle pénale à la réglementation sur la protection des données, mais la soumet à la lex specialis prévue par la directive 2016/680.
V.
Le fond : la conformité de l’article 272, §1, du NPK au regard de la directive 2016/680
Le principe de minimisation des données (article 4, §1, sous c) et la licéité du traitement (article 8, §1). L’Avocat général examine en second lieu la compatibilité de l’article 272, paragraphe 1, du NPK avec les exigences de fond de la directive.
L’article 4, paragraphe 1, sous c), de la directive dispose que les données à caractère personnel doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ». L’article 8, paragraphe 1, précise que le traitement n’est licite que « si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités noncées à l’article 1er, paragraphe 1 ».
La finalité déclarée de l’article 272, paragraphe 1, du NPK est l’identification de la personne poursuivie — vérification que la personne qui comparaît est bien celle visée dans l’acte d’accusation. Or, ainsi que la juridiction de renvoi l’a elle-même établi : (i) l’identification certaine peut être opérée par la consultation du document d’identité combinée à la question portant sur les trois noms, la date de naissance et le numéro civil unique ; (ii) les autres données — lieu de naissance, peuple d’appartenance, nationalité, lieu de résidence, formation, situation familiale, casier judiciaire — ne contribuent pas à cette identification ; (iii) ces données, recueillies avant l’ouverture de l’instruction judiciaire, ne peuvent pas être utilisées pour rendre la décision au fond, dès lors que l’identification précède l’explication des droits de la personne poursuivie, et notamment de son droit au silence.
S’agissant du lieu de résidence et du casier judiciaire, qui pourraient paraître utiles à d’autres fins (respectivement, la détermination de l’adresse de notification et l’individualisation de la peine), la juridiction de renvoi a relevé que ces circonstances doivent être établies dans le cadre de l’instruction judiciaire, selon les modalités prévues à cet effet, par des pièces officielles, et non par la déclaration orale de la personne poursuivie avant même qu’elle ait été informée de son droit de garder le silence. Ces finalités distinctes doivent être distinguées de la finalité d’identification et leur poursuite doit obéir aux règles procédurales appropriées.
Le régime de protection renforcée des données sensibles (article 10). La question revêt une acuité particulière s’agissant de la donnée relative au « peuple d’appartenance ». Cette donnée révèle l’origine ethnique de la personne poursuivie et relève donc de la catégorie des données sensibles protégées par l’article 10 de la directive 2016/680, dont le traitement n’est autorisé qu’en cas de « nécessité absolue ». Or, le droit bulgare lui-même — en son article 8, paragraphe 2, de la loi relative au pouvoir judiciaire (ZSV) — interdit toute limitation de droits ou tout privilège fondé sur le peuple d’appartenance dans l’exercice des fonctions du pouvoir judiciaire. L’exigence d’établir le peuple d’appartenance de la personne poursuivie est donc intrinsèquement inutile : il est interdit d’utiliser cette donnée de quelque manière que ce soit, y compris à des fins d’identification. La collecte d’une donnée dont l’utilisation est interdite est, par définition, excessive et contraire au principe de minimisation.
L’Avocat général constate que la Cour a déjà jugé, dans l’arrêt Ministerstvo na vatreshnite raboti (C-205/21, EU:C:2023:49), que la collecte systématique de données sensibles de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office est, en principe, contraire à l’exigence de nécessité absolue, dès lors qu’elle est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données de la plupart des personnes mises en examen. Cette jurisprudence, confirmée par les arrêts Direktor na Glavna direktsia (C-118/22, EU:C:2024:97) et Policejní prezidium (C-57/23, EU:C:2025:905), s’applique a fortiori lorsque les données collectées ne présentent même pas la moindre utilité pour la finalité déclarée.
VI.
La position de la Cour et le dispositif
Statuant sur la question posée, la Cour dit pour droit que l’article 4, paragraphe 1, sous c), l’article 8, paragraphe 1, et l’article 10 de la directive 2016/680 s’opposent à une réglementation nationale, telle que l’article 272, paragraphe 1, du NPK bulgare, en ce qu’elle requiert que des données à caractère personnel de la personne poursuivie, relatives au lieu de résidence, au niveau de formation, à la situation familiale, au casier judiciaire et au peuple d’appartenance, soient systématiquement traitées — collectées, enregistrées et conservées — lors de la vérification de l’identité de cette personne dans le cadre d’une affaire pénale, alors même que ces données ne sont pas nécessaires à cette fin, ce qu’il appartient à la juridiction de renvoi de vérifier.
La Cour confirme ainsi l’applicabilité de la directive 2016/680 aux juridictions pénales dans l’exercice de leur fonction juridictionnelle. Elle consacre l’interprétation finaliste de la notion de « poursuites » retenue par l’Avocat général, qui englobe la phase juridictionnelle de la procédure pénale conduite aux fins de poursuites pénales. Ce faisant, elle met un terme à l’incertitude doctrinale sur ce point et établit que le juge pénal, en tant que responsable du traitement, est pleinement soumis aux obligations de la directive 2016/680 lorsqu’il collecte, enregistre et conserve des données à caractère personnel dans le cadre de la procédure pénale.
Sur le fond, la Cour applique rigoureusement les principes de nécessité et de minimisation. La directive s’oppose à la collecte systématique de données qui ne sont pas nécessaires à la finalité déclarée du traitement. Cette conclusion vaut a fortiori pour les données relevant de la catégorie des données sensibles au sens de l’article 10, dont la collecte n’est autorisée qu’en cas de « nécessité absolue ».
VII.
La portée de l’arrêt dans la jurisprudence de la Cour relative à la directive 2016/680
L’arrêt Pilev s’inscrit dans un mouvement jurisprudentiel cohérent, mais il apporte une contribution originale sur plusieurs points.
L’extension du champ d’application de la directive aux juridictions pénales. Jusqu’à cette affaire, la jurisprudence de la Cour relative à la directive 2016/680 s’était principalement développée à propos des autorités de police (Ministerstvo na vatreshnite raboti C-205/21 ; Direktor na Glavna direktsia C-118/22 ; Policejní prezidium C-57/23) ou des autorités de poursuite (Inspektor v Inspektorata kam Visshia sadeben savet C-180/21). L’affaire Pilev constitue la première occasion pour la Cour de se prononcer expressis verbis sur l’applicabilité de la directive aux juridictions pénales dans l’exercice de leur fonction juridictionnelle, consacrant l’applicabilité rationae personae et rationae materiae de la directive à cette catégorie d’acteurs.
La confirmation et l’approfondissement des principes de nécessité et de minimisation. L’arrêt confirme et précise la jurisprudence Ministerstvo na vatreshnite raboti (C-205/21) et ses suites. La collecte systématique de données sans appréciation de la nécessité in concreto est contraire à la directive. Cette exigence vaut non seulement pour les données biomtriques et génétiques, dont la sensibilité est manifeste, mais également pour toutes les données dont la collecte n’est pas nécessaire à la finalité déclarée, fût-elle non sensible au sens de l’article 10.
La dimension constitutionnelle : données révélant l’origine ethnique. La donnée relative au « peuple d’appartenance » étant une donnée révélant l’origine ethnique, sa collecte relève du régime de protection renforcée de l’article 10 de la directive. L’arrêt confirme que la condition de « nécessité absolue » doit être appréciée de manière particulièrement rigoureuse : une donnée dont l’utilisation est elle-même interdite par le droit national ne peut a fortiori jamais satisfaire cette condition.
La complémentarité avec la jurisprudence sur les données biomtriques. L’affaire Pilev se distingue des affaires Ministerstvo na vatreshnite raboti (C-205/21, C-80/23) et Comdribus (C-371/24) en ce qu’elle ne porte pas sur les données biomtriques et génétiques stricto sensu, mais sur des données d’état civil et biographiques collectées dans le cadre d’une procédure juridictionnelle. Elle démontre ainsi que les principes de nécessité et de minimisation s’appliquent à l’ensemble du spectre des données traitées par les autorités compétentes au sens de la directive 2016/680, et pas seulement aux données sensibles au sens de l’article 10.
La distinction entre données nécessaires à l’identification et données nécessaires à d’autres fins. L’arrêt clarifie une question procédurale importante : les différentes finalités d’un traitement de données dans le cadre de la procédure pénale — identification, notification, individualisation de la peine — doivent être rigoureusement distinguées. Chaque finalité génère ses propres exigences de nécessité. Le fait qu’une donnée puisse être utile à une fin ne justifie pas sa collecte lors d’une phase procédurale qui poursuit une autre finalité.
L’exigence de conformité du droit procédural national avec la directive 2016/680. L’arrêt Pilev a également une portée transversale dans l’ensemble des États membres. Les dispositions du droit procédural pénal national qui imposent la collecte de données à caractère personnel lors des procédures judiciaires doivent être compatibles avec les principes posés par la directive 2016/680. Les législateurs nationaux qui maintiendraient des dispositions prévoyant la collecte systématique de données non nécessaires à la finalité déclarée du traitement s’exposeraient à un constat d’incompatibilité analogue à celui prononcé dans l’affaire Pilev.
VIII.
Analyse critique et apports doctrinaux
La consécration de l’unité du régime de protection des données dans la procédure pénale. L’un des apports les plus significatifs de l’arrêt Pilev est la consécration de l’unité du régime de protection des données personnelles tout au long de la procédure pénale. En soumettant les juridictions pénales à la directive 2016/680 dans l’exercice de leur fonction juridictionnelle, la Cour évite la fragmentation que l’Avocat général avait dénoncée : une même procédure pénale ne peut être soumise à deux régimes différents — le RGPD pour la phase judiciaire, la directive 2016/680 pour la phase policière — selon l’étape procédurale considérée. Cette cohérence systémique est fondamentale pour la sécurité juridique.
La tension entre indépendance judiciaire et protection des données. L’arrêt navigue avec précision entre deux exigences qui peuvent paraître contradictoires. D’un côté, la directive 2016/680 s’applique aux juridictions dans l’exercice de leur fonction juridictionnelle. De l’autre, l’article 45, paragraphe 2, de la directive exclut la compétence de l’autorité de contrôle pour ces opérations, précisément pour préserver l’indépendance judiciaire. Cette tension est résolue par la Cour de manière équilibrée : les juridictions sont soumises aux obligations substantielles de la directive, mais bénéficient d’une exemption du contrôle de l’autorité de contrôle. Le respect de la directive est assuré par la voie du renvoi préjudiciel, comme en témoigne précisément l’affaire Pilev.
La notion de « nécessité absolue » appliquée à des données non biomtriques. La condition de « nécessité absolue » de l’article 10 de la directive 2016/680 a jusqu’ici été principalement analysée par la Cour dans le contexte des données biomtriques et génétiques. L’affaire Pilev l’applique à une donnée révélant l’origine ethnique — le « peuple d’appartenance » — collectée dans le cadre d’une procédure judiciaire. Cette extension confirme que la protection renforcée de l’article 10 s’applique à toutes les données énumérées dans cet article, indépendamment du contexte dans lequel elles sont collectées.
L’articulation avec le droit à un procès équitable. La vérification de l’identité de l’accusé en audience publique met en jeu non seulement le droit à la protection des données mais aussi le droit à un procès équitable. L’arrêt Pilev n’aborde pas directement cette dimension, mais il est notable que la directive 2016/680 préserve, par son article 18, le traitement des données à caractère personnel figurant dans les décisions judiciaires ou les documents relatifs aux procédures pénales, sous réserve du respect des principes de nécessité et de minimisation. La directive ne crée pas d’obstacle à la vérification de l’identité de l’accusé ; elle exige simplement que cette vérification soit opérée de la manière la moins intrusive possible.
Implications pour le législateur bulgare. L’article 272, paragraphe 1, du NPK est incompatible avec la directive 2016/680 en ce qu’il impose la collecte systématique de données non nécessaires à l’identification. La juridiction de renvoi doit tirer les conséquences de cette incompatibilité en s’abstenant de poser les questions relatives aux données non nécessaires, en application du principe de primauté du droit de l’Union. Le législateur bulgare est tenu de mettre sa législation procédurale en conformité avec les exigences de la directive dans un délai raisonnable.
Implications pour les autres États membres. L’arrêt Pilev a une portée potentiellement large dans l’ensemble des États membres. Les dispositions des codes de procédure pénale qui imposent la collecte de données à caractère personnel lors des procédures judiciaires — notamment les données relatives à la situation familiale, au niveau de formation, à la nationalité ou à l’origine ethnique — doivent être examinées à l’aune des principes de nécessité et de minimisation posés par la directive 2016/680 et précisés par cet arrêt. Les États membres dont la législation procédurale pénale prévoit des mécanismes similaires à l’article 272, paragraphe 1, du NPK bulgare sont invités à procéder à une révision de leur droit national.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats