CJUE | CONCLUSIONS DU 5 MARS 2026 | C-5/25 | PILEV │
« À QUEL PEUPLE APPARTENEZ-VOUS ? » : UNE QUESTION POSÉE À LA BARRE À CHAQUE PRÉVENU EN BULGARIE. LIGNE ROUGE POUR LA CJUE !
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
SUR LE PLAN DU DROIT DE LA PROTECTION DES DONNÉES EN MATIÈRE PÉNALE
A. L’EXTENSION DU CHAMP D’APPLICATION DE LA DIRECTIVE 2016/680 À LA PHASE JURIDICTIONNELLE
La portée la plus immédiate et la plus significative de l’affaire C-5/25 tient à la clarification du champ d’application personnel et matériel de la directive 2016/680 aux juridictions pénales nationales. Jusqu’à cette affaire, la question de l’assujettissement des juridictions à la directive restait, dans la pratique, largement théorique dans plusieurs États membres, certains systèmes juridiques internes maintenant implicitement que les traitements de données effectués dans le cadre de l’exercice de la fonction juridictionnelle relevaient d’un régime purement national, voire étaient soustraits à tout contrôle externe en raison de l’indépendance judiciaire.
L’interprétation développée dans les conclusions C-5/25 ferme définitivement cette voie d’évitement. En affirmant que les juridictions pénales nationales constituent des « autorités compétentes » au sens de l’article 3, §7, de la directive et que les traitements qu’elles effectuent dans le cadre de la procédure juridictionnelle pénale entrent dans le champ ratione materiae de la directive, l’Avocat général Spielmann trace les contours d’un droit commun européen de la protection des données à l’ensemble des stades de la procédure pénale, depuis l’enquête de police jusqu’au jugement. Il ne saurait exister, dans cette conception, de « zone franche » juridictionnelle dans laquelle les exigences de la directive seraient inopérantes.
La portée de cette position est considérable pour les États membres dont les codes de procédure pénale contiennent des dispositions imposant aux juridictions de collecter des données excédant ce qui est strictement nécessaire à la conduite de l’audience. Elle implique, pour ces États, une obligation d’adaptation législative dont l’ampleur variera selon le degré de conformité préexistant de leur procédure pénale avec les principes de minimisation et de proportionnalité.
B. LA CONSÉCRATION D’UN NIVEAU D’EXIGENCE MAXIMAL POUR LES DONNÉES SENSIBLES DANS LE CONTEXTE PÉNAL
L’affaire C-5/25 revêt également une portée importante du fait de l’application combinée des articles 4, §1, sous c), et 10 de la directive 2016/680 à un contexte procédural nouveau. Jusqu’à présent, la jurisprudence relative à l’article 10 de la directive s’était principalement développée dans le cadre des activités de police et de parquet — collecte de données biométriques lors de gardes à vue ou d’arrestations (C-371/24, Comdribus), conservation de profils ADN dans des bases de données policières (C-57/23, Policejní prezidium) — et non dans le cadre des activités proprement juridictionnelles.
En étendant l’application de l’article 10 à la procédure judiciaire pénale, C-5/25 établit que le régime d’autorisation restrictive applicable aux données sensibles s’impose uniformément à tous les acteurs du procès pénal, y compris les juridictions. La donnée du « peuple d’appartenance » — héritée d’une tradition législative d’inspiration soviétique et maintenue sans réexamen dans le code de procédure pénale bulgare — illustre avec une acuité particulière le risque que fait peser, sur les droits fondamentaux des personnes poursuivies, le maintien de dispositions procédurales dont la légitimité n’avait jamais été questionnée à l’aune du droit européen de la protection des données.
SUR LE PLAN DE L’ARCHITECTURE INSTITUTIONNELLE ET DU CONTRÔLE
A. LA DÉLICATE ÉQUATION ENTRE INDÉPENDANCE JUDICIAIRE ET CONFORMITÉ AU DROIT DE L’UNION
L’affaire C-5/25 met en lumière une tension constitutionnelle de premier ordre : celle entre le principe d’indépendance judiciaire, qui constitue une garantie fondamentale de l’État de droit (article 47 de la Charte et article 19, §1, TUE), et l’obligation pour les juridictions de respecter le droit de l’Union, y compris la directive 2016/680. L’article 45, §2, de la directive — qui exclut la compétence de l’autorité nationale de contrôle (APD) « s’agissant des opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle » — constitue la traduction normative de ce compromis institutionnel.
La portée de cette exclusion de compétence est profonde : en l’absence d’un contrôle externe par l’autorité de protection des données, c’est aux juridictions elles-mêmes qu’il revient d’assurer leur propre conformité avec la directive, et au mécanisme du renvoi préjudiciel de garantir l’interprétation uniforme du droit de l’Union. Le Sofiyski gradski sad a précisément emprunté cette voie — et son initiative doit être saluée comme un exemple d’exercice responsable de l’office du juge national dans un État de droit européen. La démarche de la juridiction de renvoi — qui a, de sa propre initiative, refusé d’appliquer partiellement l’article 272 du NPK lors de la première audience, avant de saisir la Cour — illustre la manière dont le principe de primauté du droit de l’Union peut et doit conduire le juge national à écarter l’application de dispositions nationales contraires, sans attendre une intervention du législateur.
B. L’IMPACT SUR L’OBLIGATION DE MISE EN CONFORMITÉ DES ÉTATS MEMBRES
La portée systémique de l’affaire tient également à son effet incitatif sur la révision des codes de procédure pénale des États membres de l’Union. Plusieurs États membres maintiennent en effet, dans leurs codes de procédure pénale, des dispositions héritées de différentes traditions historiques — y compris de périodes antérieures à l’État de droit —, qui imposent aux juridictions ou aux parties de collecter, en début d’audience, des données personnelles dont la pertinence au regard de la finalité stricte d’identification est discutable. La solution que préconise l’Avocat général dans C-5/25 — et que la Cour sera invitée à confirmer dans son arrêt — contraindra ces États à procéder à un audit systématique de leurs dispositions procédurales au prisme des articles 4, §1, sous c), 8, §1, et 10 de la directive.
SUR LE PLAN DES DROITS FONDAMENTAUX
A. LA PROTECTION CONTRE LES DISCRIMINATIONS FONDÉES SUR L’ORIGINE ETHNIQUE DANS LE PROCÈS PÉNAL
L’exigence de collecte du « peuple d’appartenance » dans le cadre de la procédure pénale bulgare soulève une question qui dépasse largement le seul droit de la protection des données : celle de l’usage de données à caractère ethnique dans le contexte de la justice pénale. Cette problématique rejoint les préoccupations exprimées depuis longtemps par les instances européennes de protection des droits fondamentaux concernant le profilage ethnique dans les activités répressives.
En soumettant la collecte de telles données à l’exigence de nécessité absolue de l’article 10 de la directive, l’affaire C-5/25 établit un standard élevé de protection contre le risque que les données d’appartenance ethnique, une fois collectées dans le dossier pénal, ne soient utilisées à des fins de catégorisation ou de traitement différencié des personnes poursuivies selon leur origine. La lecture combinée de l’article 10 de la directive et de l’article 21 de la Charte des droits fondamentaux — qui prohibe toute discrimination fondée sur l’origine ethnique — renforce la portée constitutionnelle de cette exigence.
B. LA PROTECTION DES DROITS DE LA DÉFENSE ET LA DIGNITÉ PROCÉDURALE
La portée de l’affaire C-5/25 s’étend enfin à la dignité procédurale de la personne poursuivie. L’obligation d’interroger publiquement, en audience, toute personne comparaissant devant une juridiction pénale sur son « peuple d’appartenance », son lieu de résidence ou sa formation — sans que ces informations soient nécessaires à la conduite de l’instance — constitue, au-delà de la violation technique du principe de minimisation, une atteinte à la dignité et à l’intégrité de la personne poursuivie, qui se voit contrainte de divulguer des éléments intimes de son identité dans un cadre public. Cette dimension éclaire, sous un angle différent, la raison pour laquelle l’article 10 de la directive impose le standard le plus élevé de nécessité pour les données sensibles : la collecte de telles données dans un cadre contraint et public, devant une juridiction pénale, est susceptible de causer un préjudice irréparable à la personne concernée.
CONTEXTUALISATION
L’affaire C-5/25 s’inscrit dans un ensemble cohérent de décisions récentes par lesquelles la Cour de justice construit, affaire après affaire, un droit substantiel de la protection des données en matière pénale qui ne laisse plus place à des zones d’exception non justifiées.
L’arrêt C-371/24 (Comdribus, ECLI:EU:C:2026:219, 19 mars 2026) constitue le chaînon le plus immédiatement pertinent, en confirmant que la nécessité absolue exigée par l’article 10 doit être établie au cas par cas et « par une décision motivée », et non par une habilitation législative générale. Ce raisonnement, transposé à C-5/25, renforce la conclusion selon laquelle l’article 272, §1, du NPK — aussi précis soit-il dans son libellé — ne peut constituer, à lui seul, une justification suffisante de la collecte du « peuple d’appartenance », dès lors qu’il n’impose pas une appréciation individuelle de la nécessité de cette collecte.
L’arrêt C-57/23 (Policejní prezidium, ECLI:EU:C:2025:905), rendu à propos de la conservation de données biométriques et génétiques dans une base de données policière, avait exigé que le droit national prévoie « la possibilité de procéder à une vérification régulière de la nécessité de la conservation » de telles données. Appliqué mutatis mutandis à C-5/25, ce principe suggère que, même si la collecte initiale des données litigieuses était admise, leur conservation indéfinie dans le dossier pénal serait disproportionnée en l’absence d’une utilisation effective.
Enfin, l’arrêt Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21, ECLI:EU:C:2022:811) demeure le socle jurisprudentiel fondamental pour l’interprétation des finalités de la directive. En rappelant que les finalités de la directive 2016/680 « constituent autant de finalités distinctes » et que le traitement doit être évalué au regard de la finalité précise pour laquelle les données sont collectées — et non au regard d’un ensemble de finalités potentielles —, cet arrêt fournit la clé de lecture permettant d’exclure que les données visées à l’article 272, §1, du NPK puissent être justifiées par des finalités autres que la stricte identification.
POINTS ESSENTIELS
L’affaire C-5/25 Pilev — renvoi préjudiciel bulgare du Sofiyski gradski sad du 7 janvier 2025, portant sur la conformité de l’article 272, §1, du code de procédure pénale bulgare (NPK) avec la directive (UE) 2016/680 — soulève une question inédite et fondamentale :
Les juridictions pénales nationales sont-elles soumises aux obligations de protection des données de la directive 2016/680 lorsqu’elles procèdent, dans l’exercice de leur fonction juridictionnelle, à la vérification d’identité de la personne poursuivie en audience publique ?
Dans ses conclusions du 5 mars 2026 (ECLI:EU:C:2026:167), l’Avocat général Spielmann répond positivement aux deux conditions d’applicabilité — ratione personae, les juridictions pénales étant des « autorités publiques compétentes » au sens de l’article 3, §7, de la directive, et ratione materiae, la notion de « poursuites » devant être entendue de manière large et finaliste pour englober les traitements effectués par une juridiction dans le cadre d’une procédure juridictionnelle pénale — avant de conclure à l’incompatibilité de l’article 272, §1, du NPK avec les articles 4, §1, sous c), 8, §1, et 10 de la directive 2016/680, au motif que la collecte systématique, lors de l’identification de l’accusé, de données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et, surtout, au « peuple d’appartenance » — donnée révélant l’origine raciale ou ethnique de la personne poursuivie et soumise à la condition de nécessité absolue de l’article 10, que le droit bulgare lui-même prohibe de collecter dans le cadre judiciaire (art. 8, § 2, ZSV) — excède ce qui est strictement nécessaire à l’identification certaine de la personne comparaissant, laquelle peut être assurée par les seuls trois noms, date de naissance et numéro civil unique ;
Cet arrêt attendu, qui confirmerait et prolongerait la jurisprudence Inspektor v Inspektorata kam Visshia sadeben savet (C-180/21) et Comdribus (C-371/24, 19 mars 2026) sur la nécessité absolue à l’article 10 de la directive, constituerait un apport structurant pour l’ensemble des systèmes procéduraux pénaux des États membres, en imposant un test de proportionnalité rigoureux à toute collecte de données d’identification en audience et en renforçant la protection de la dignité et des droits fondamentaux des personnes poursuivies face aux pratiques de collecte systématique héritées de traditions procédurales antérieures à l’entrée en vigueur du droit européen de la protection des données.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats