CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
LA DÉTERMINATION DU CHAMP D’APPLICATION DE LA DIRECTIVE 2016/680
1. L’APPLICABILITÉ DE LA DIRECTIVE 2016/680 AUX JURIDICTIONS PÉNALES DANS L’EXERCICE DE LEUR OFFICE
L’Avocat général ouvre son analyse par un examen de la portée ratione materiae de la Directive 2016/680. Conformément à son article 1er, §1, cette directive « établit les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales ». Elle vise donc expressément les opérations de traitement effectuées dans le cadre des procédures pénales.
La notion d’« autorités compétentes », au sens de l’article 3, point 7, de la Directive 2016/680, désigne « toute autorité publique compétente en matière de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces », ainsi que « toute autre instance ou entité à laquelle le droit d’un État membre confie l’exercice de l’autorité publique et de prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales ». L’Avocat général retient que les juridictions pénales entrent sans conteste dans le champ de cette définition lorsqu’elles conduisent des procédures pénales.
Un argument procédural important mérite d’être relevé : l’article 9, §1, de la Directive 2016/680 prévoit que les États membres « peuvent prévoir que les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction judiciaire » sont exclues du contrôle des autorités de surveillance nationales. L’Avocat général souligne avec force que cette faculté d’exclusion du contrôle par les autorités de protection des données ne saurait être confondue avec une exclusion du champ d’application matériel de la directive elle-même. Si la directive avait voulu exclure les traitements judiciaires de son champ, elle l’aurait formulé explicitement à l’article 2. L’article 9 organise un aménagement des modalités de contrôle, non une exclusion du droit substantiel applicable. Cette distinction est d’une importance cardinale : elle signifie que les juridictions pénales sont soumises aux exigences matérielles de la Directive 2016/680, quand bien même elles pourraient être soustraites au contrôle administratif des autorités nationales de protection des données.
2. L’IDENTIFICATION DU TRAITEMENT ET DE SA FINALITÉ DÉCLARÉE
L’Avocat général procède ensuite à l’identification précise du traitement en cause. Il retient que l’article 272, §1, du NPK organise une opération de traitement composite comprenant trois phases distinctes : la collecte (la question posée par le président de la juridiction au prévenu), l’enregistrement (la transcription des réponses dans le procès-verbal d’audience en application de l’article 311, §1, point 2, du NPK) et la conservation (le maintien du procès-verbal dans le dossier de l’affaire). La finalité déclarée par la juridiction de renvoi est l’identification de la personne poursuivie, c’est-à-dire la vérification que la personne qui comparaît est bien celle visée par l’acte d’accusation.
L’Avocat général note que la juridiction de renvoi elle-même reconnaît que certaines données collectées en vertu de l’article 272, §1, du NPK peuvent servir d’autres finalités au cours de la procédure : le lieu de résidence pour les convocations, le casier judiciaire pour l’individualisation de la peine. Mais il insiste sur le fait que, dès lors que la collecte est imposée par la loi sous l’intitulé de la « vérification d’identité », c’est cette finalité qui gouverne l’appréciation de la nécessité du traitement — et non des finalités subsidiaires qui auraient pu être atteintes par d’autres voies procédurales moins intrusives.
L’INCOMPATIBILITÉ AVEC LE PRINCIPE DE MINIMISATION (ARTICLE 4, §1, SOUS C))
1. LA SUBSTANCE DU PRINCIPE DE MINIMISATION DANS LA DIRECTIVE 2016/680
Le principe de minimisation des données, consacré à l’article 4, §1, sous c), de la Directive 2016/680, impose que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cette formulation reprend, dans le contexte spécifique des traitements à des fins pénales, le principe formulé à l’article 5, §1, sous c), du RGPD pour les traitements ordinaires.
L’Avocat général souligne que le terme « nécessaire » revêt dans la Directive 2016/680 une signification rigoureuse, renforcée par le fait que les opérations concernent des personnes soumises à une procédure pénale — contexte de vulnérabilité particulière pour les droits fondamentaux. La nécessité s’apprécie au regard de la finalité spécifique du traitement, non de manière abstraite ou globale. Il ne suffit pas qu’une donnée puisse présenter une utilité quelconque dans l’ensemble de la procédure : encore faut-il qu’elle soit nécessaire à la finalité précise pour laquelle elle est collectée.
2. L’APPLICATION AU CAS D’ESPÈCE : CATÉGORIE PAR CATÉGORIE
L’Avocat général procède à une analyse méthodique, catégorie par catégorie, des données visées à l’article 272, §1, du NPK :
a) Les données nécessaires à l’identification stricte : le nom complet, la date de naissance et le numéro civil unique permettent d’identifier de manière certaine et unique la personne poursuivie. L’Avocat général admet que ces données satisfont au critère de nécessité au regard de la finalité d’identification.
b) Les données non nécessaires à l’identification stricte : l’Avocat général relève, en s’appuyant sur les doutes exprimés par la juridiction de renvoi aux §§ 22-25 de la demande préjudicielle, que les données suivantes « ne sont nullement nécessaires aux fins de la procédure pénale » au titre de l’identification :
—-le lieu de naissance : cette information n’est pas requise dans les documents d’identité bulgares (article 16, §1, du ZBLD) et n’est pas nécessaire pour identifier une personne déjà connue de la justice ;
—-le peuple d’appartenance (narodnosta) : donnée ethnique qui ne figure ni dans les documents d’état civil (article 8, §1, du ZGR) ni dans les documents d’identité (article 16, §1, du ZBLD), et dont la collecte est sans rapport avec l’identification de la personne ;
—-la nationalité : si elle peut figurer dans les documents d’identité, elle ne constitue pas un identifiant unique et ne contribue pas à distinguer une personne d’une autre à des fins d’identification judiciaire ;
—-le lieu de résidence : utile pour les convocations, mais cette finalité est distincte de l’identification ; or le traitement doit être apprécié au regard de la finalité déclarée à l’article 272, §1, du NPK, qui est l’identification ;
—-la formation et la situation familiale : données sans aucun rapport avec l’identification de la personne poursuivie.
c) Le casier judiciaire : l’Avocat général reconnaît que le casier judiciaire peut avoir une utilité pour l’individualisation de la peine, mais il relève que cette finalité est distincte de la vérification d’identité. La collecte systématique du casier judiciaire lors de la seule identification, avant même l’instruction judiciaire, ne saurait être justifiée par cette utilité subsidiaire.
3. LA PORTÉE DU CONSTAT D’INCOMPATIBILITÉ
L’Avocat général conclut que l’article 272, §1, du NPK, en imposant la collecte et l’enregistrement de données « excessif[s] au regard des finalités de la procédure pénale » selon la propre formulation de la juridiction de renvoi (§25), méconnaît l’article 4, §1, sous c), de la Directive 2016/680. Ce constat est indépendant du fait que certaines de ces données pourraient éventuellement être utiles à d’autres fins : la Directive 2016/680 exige que chaque catégorie de données soit nécessaire « au regard des finalités pour lesquelles » elle est traitée — en l’espèce, l’identification.
L’INCOMPATIBILITÉ SPÉCIFIQUE AVEC L’ARTICLE 10 : LE « PEUPLE D’APPARTENANCE » COMME DONNÉE SENSIBLE
1. LA QUALIFICATION DE DONNÉE RÉVÉLANT L’ORIGINE ETHNIQUE
L’article 10 de la Directive 2016/680 dispose que « le traitement de données à caractère personnel révélant l’origine raciale ou ethnique […] n’est autorisé que si cela est strictement nécessaire », sous réserve « de garanties appropriées pour les droits et libertés de la personne concernée » et « uniquement » dans les cas expressément prévus.
L’Avocat général retient que le terme bulgare narodnosta (peuple d’appartenance) désigne l’appartenance à un groupe ethnique ou national minoritaire — distinct de la nationalité au sens juridique. Cette donnée est de nature à révéler l’origine ethnique ou raciale de la personne concernée et entre donc dans le champ de l’article 10 de la Directive 2016/680. Ce faisant, le régime applicable n’est plus celui de la simple nécessité visée à l’article 4, §1, sous c), mais celui de la stricte nécessité, notion qualitativement plus exigeante.
2. LA NOTION DE « STRICTE NÉCESSITÉ » AU SENS DE L’ARTICLE 10
L’Avocat général rappelle que la stricte nécessité implique, d’une part, que la finalité poursuivie ne puisse pas être atteinte par un traitement portant sur des données non sensibles et, d’autre part, que le traitement des données sensibles soit indispensable — et non pas simplement utile ou commode — à la réalisation de la finalité. Or, l’Avocat général conclut sans ambiguïté que la mention du peuple d’appartenance n’est pas strictement nécessaire à l’identification d’un accusé en audience pénale. Cette identification peut être opérée, de manière certaine et complète, à partir du nom, de la date de naissance et du numéro civil unique — sans qu’il soit besoin de connaître l’appartenance ethnique de la personne.
3. L’AGGRAVATION DU CONSTAT : COLLECTE EN AUDIENCE PUBLIQUE
L’Avocat général souligne une circonstance aggravante particulièrement notable dans la configuration de l’espèce : la collecte du peuple d’appartenance intervient en audience publique, lors de l’interrogatoire d’identification de l’accusé devant le tribunal. L’audience pénale étant, par nature, publique, cela signifie que la donnée ethnique est révélée publiquement, puis consignée dans un procès-verbal accessible au dossier judiciaire. Cette double dimension — publicité immédiate et conservation durable — renforce l’ingérence dans le droit fondamental à la protection des données sensibles, et ne peut être justifiée en l’absence de stricte nécessité démontrée.
L’ABSENCE DE BASE LÉGALE SUFFISANTE AU SENS DE L’ARTICLE 8, §1
L’article 8, §1, de la Directive 2016/680 dispose que le traitement de données à caractère personnel n’est licite que « si et dans la mesure où » il est nécessaire à l’exécution d’une mission à des fins pénales « sur la base du droit de l’Union ou du droit d’un État membre ». L’Avocat général ne conteste pas que l’article 272, §1, du NPK constitue une disposition du droit d’un État membre. Mais il rappelle que l’existence d’une base légale nationale n’est pas suffisante en elle-même : encore faut-il que le traitement autorisé par cette base légale soit compatible avec les exigences substantielles de la Directive 2016/680, notamment celles de l’article 4, §1, sous c), et de l’article 10. Une base légale nationale qui autorise la collecte de données non nécessaires — et a fortiori de données sensibles sans stricte nécessité — ne peut faire obstacle à l’application des exigences de la directive.
CONTEXTUALISATION JURISPRUDENTIELLE
Les motifs des conclusions de l’Avocat général dans l’affaire C-5/25 Pilev s’inscrivent dans une lignée jurisprudentielle dense, dont les principales décisions méritent d’être rappelées pour contextualiser l’apport de cet acte.
En amont : L’arrêt C-57/23, Policejní prezidium (ECLI:EU:C:2025:905, 20 novembre 2025) avait déjà appliqué l’article 4, §1, sous c) et e), de la Directive 2016/680 à la conservation de données biométriques et génétiques par la police, en exigeant des « délais appropriés pour l’effacement ou pour la vérification régulière de la nécessité de la conservation de ces données », tout en admettant que la police pouvait évaluer la nécessité de la conservation sur la base de règles internes. L’affaire Pilev prolonge ce raisonnement en l’appliquant non plus à la police mais aux juridictions elles-mêmes, et en portant sur la phase initiale de collecte plutôt que sur la conservation ultérieure.
La jurisprudence Comdribus : L’arrêt C-371/24, Comdribus (ECLI:EU:C:2026:219, 19 mars 2026), rendu quelques semaines après les conclusions Pilev, confirme que « la collecte de données biométriques par une autorité de police dans le cadre d’une enquête pénale ne peut être justifiée que par une nécessité absolue » au sens de l’article 10 de la Directive 2016/680. Il précise en outre que toute décision de collecte doit être motivée et que le pouvoir d’appréciation de l’autorité doit être encadré. Ces enseignements renforcent a fortiori la solution préconisée par l’Avocat général dans Pilev : si la collecte de données biométriques requiert une nécessité absolue individuellement motivée, la collecte de données révélatrice de l’appartenance ethnique d’un prévenu, imposée de manière systématique et générale par une disposition légale sans examen individuel, ne peut satisfaire à cet impératif.
La logique Tele2 Sverige : L’arrêt C-203/15, Tele2 Sverige (ECLI:EU:C:2016:970), avait posé le principe fondamental que la conservation généralisée et indifférenciée de données à caractère personnel est contraire au droit de l’Union. L’article 272, §1, du NPK constitue précisément une forme de collecte généralisée et indifférenciée : il s’applique à toute personne poursuivie devant toute juridiction pénale, sans égard à la nature de l’infraction reprochée, à la personnalité du prévenu, ou à l’utilité concrète de chaque donnée collectée. Cette absence de sélectivité et de proportionnalité individuelle est au cœur du constat d’incompatibilité préconisé par l’Avocat général.
La jurisprudence postérieure attendue : L’affaire C-5/25 Pilev, une fois tranchée par l’arrêt de la Cour (attendu au second semestre 2026), sera à son tour susceptible d’éclairer des affaires pendantes portant sur des opérations de traitement comparables dans d’autres États membres. La jurisprudence qui en découlera s’imposera en particulier dans le contexte des affaires C-371/24 Comdribus et des éventuelles affaires ultérieures traitant de la collecte de données sensibles par les juridictions pénales nationales.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats