LES SERVICES DE POLICE D’UN ÉTAT MEMBRE PEUVENT DÉCIDER, SUR LA BASE DE RÈGLES INTERNES, S’IL EST NÉCESSAIRE DE CONSERVER LES DONNÉES BIOMÉTRIQUES ET GÉNÉTIQUES D’UNE PERSONNE POURSUIVIE PÉNALEMENT OU SOUPÇONNÉE D’AVOIR COMMIS UNE INFRACTION PÉNALE
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
Arrêt de la Cour de justice de l’Union européenne (cinquième chambre)
20 novembre 2025 — ECLI:EU:C:2025:905
Renvoi préjudiciel — Directive (UE) 2016/680 — Articles 4§1 c et e, 6 a, 8§2, 10
I.
Contexte normatif et enjeux de la saisine
L’arrêt rendu par la cinquième chambre de la Cour de justice de l’Union européenne le 20 novembre 2025 dans l’affaire C-57/23, JH contre Policejní prezidium (présidence de la police de la République tchèque), s’inscrit dans une problématique fondamentale du droit des données à caractère personnel en matière pénale : la licéité de la collecte et de la conservation systématique de données biométriques et génétiques à l’égard de personnes poursuivies ou simplement soupçonnées d’avoir commis une infraction pénale intentionnelle.
Le litige est né dans le cadre d’une procédure nationale tchèque. Le requérant, JH, avait fait l’objet d’un prélèvement de données biométriques (photographies, empreintes digitales dactyloscopiques) et d’un prélèvement d’échantillon biologique aux fins d’établissement d’un profil ADN dans le cadre d’une procédure pénale. À l’issue de celle-ci — que les éléments du dossier laissent supposer s’être clôturée sans condamnation, ou du moins sans que la conservation continue des données fût justifiée par les circonstances individuelles —, JH a contesté la conservation continue de ces données par la Policejní prezidium, organe central de la police tchèque.
Le Nejvyšší správní soud (Cour administrative suprême de la République tchèque), juridiction de renvoi, a déféré à la Cour plusieurs questions préjudicielles portant sur la compatibilité de la législation nationale tchèque avec la Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (ci-après « la Directive Police »).
La disposition nationale en cause autorisait la collecte de données biométriques et génétiques de toute personne poursuivie pour avoir commis une infraction pénale intentionnelle ou soupçonnée d’en avoir commis une, et confiait à la police elle-même — sur la base de ses règles internes — l’appréciation de la nécessité de conserver de manière continue ces données. La législation ne prévoyait aucun délai maximal de conservation ni aucun mécanisme de révision périodique systématique imposé par le droit national.
L’affaire soulève ainsi plusieurs questions d’une portée considérable pour l’ensemble des États membres : la collecte systématique de données des catégories les plus sensibles — biométriques et génétiques — est-elle compatible avec les principes de minimisation et de limitation de la conservation consacrés par la Directive Police ? L’absence de délai maximal de conservation est-elle admissible dès lors que la police dispose d’un pouvoir d’appréciation interne ? Les règles internes d’une autorité policière peuvent-elles constituer une « disposition du droit d’un État membre » au sens de l’article 8, paragraphe 2, de la Directive Police ? Ces questions, cruciales tant pour les droits fondamentaux que pour les pratiques des forces de l’ordre dans l’Union, sont au cœur de la réponse apportée par la Cour.
II.
Le cadre juridique applicable : la Directive 2016/680 et les droits fondamentaux
A. La Directive Police : une lex specialis au service de l’équilibre entre sécurité et protection des données
La Directive (UE) 2016/680, adoptée le même jour que le RGPD mais selon un régime distinct, constitue le cadre normatif de référence pour le traitement des données à caractère personnel par les autorités compétentes à des fins pénales. Elle établit un régime dérogatoire au RGPD — lequel ne s’applique pas aux traitements relevant du titre V du TFUE —, mais maintient un niveau de protection élevé, adapté aux spécificités de la coopération judiciaire et policière.
Plusieurs dispositions sont au cœur du litige :
L’article 4, paragraphe 1, sous c et e, consacre respectivement le principe de limitation des finalités (les données ne peuvent être traitées qu’aux fins pour lesquelles elles ont été collectées, ou à des fins compatibles) et le principe de minimisation des données couplé à la limitation de la conservation (les données doivent être « adéquates, pertinentes et non excessives » et « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées »).
L’article 6, sous a, impose aux responsables du traitement une obligation de distinction claire entre différentes catégories de personnes concernées : les personnes à l’égard desquelles il existe des raisons sérieuses de croire qu’elles ont commis une infraction pénale, les personnes condamnées pour une telle infraction, les victimes, les témoins, et les personnes non encore classifiées. Cette distinction vise à moduler l’intensité du traitement en fonction du degré de responsabilité imputée à chaque catégorie.
L’article 8, paragraphe 2, énonce que le traitement des données sensibles — dont font partie les données biométriques et génétiques — n’est licite que s’il est « autorisé par le droit d’un État membre ». La notion de « droit d’un État membre » est au cœur de l’une des questions déférées à la Cour.
L’article 10, spécifiquement consacré au traitement des données biométriques et génétiques, conditionne la licéité d’un tel traitement à une double exigence : d’une part, l’existence d’une base légale dans le droit national, d’autre part, la démonstration que ce traitement est absolument nécessaire (strictly necessary) — exigence qualifiée à laquelle la Cour a consacré une part importante de son raisonnement.
B. La Charte des droits fondamentaux : articles 7, 8, 47, 48 et 52
La Directive Police s’inscrit dans le cadre plus large de la Charte des droits fondamentaux de l’Union européenne. L’article 7 garantit le droit au respect de la vie privée ; l’article 8 consacre le droit fondamental à la protection des données à caractère personnel, incluant l’exigence d’une base légale, d’une finalité légitime et d’un contrôle par une autorité indépendante ; l’article 47 garantit le droit à un recours effectif et à un accès à un tribunal impartial ; l’article 48 protège la présomption d’innocence ; enfin, l’article 52 soumet toute limitation à l’exercice de ces droits aux conditions de nécessité et de proportionnalité.
La Cour rappelle que les données biométriques et génétiques, en raison de leur caractère unique, indissociable de la personne, et potentiellement révélateur d’une multitude d’informations sensibles (données de santé, origine ethnique, patrimoine génétique familial), méritent une protection d’une intensité particulière. Leur traitement est susceptible d’interférer de manière grave avec le droit à la vie privée et la présomption d’innocence, notamment lorsqu’il est décidé à l’encontre de personnes qui n’ont pas encore été jugées ou dont la condamnation n’est pas définitive.
III.
Le raisonnement de la Cour : une lecture stricte des exigences de la Directive Police
A. La collecte systématique : une présomption de nécessité absolue inadmissible
La première et principale question soumise à la Cour portait sur la compatibilité avec les articles 8 et 10 de la Directive Police d’une législation nationale prévoyant de manière systématique — c’est-à-dire sans évaluation individuelle préalable — la collecte de données biométriques et génétiques de toute personne poursuivie ou soupçonnée d’avoir commis une infraction pénale intentionnelle.
La Cour rappelle d’abord que l’article 10 subordonne la licéité du traitement de données biométriques et génétiques à une condition de nécessité absolue (absolute necessity). Cette formulation, délibérément renforcée par rapport à la simple « nécessité » requise pour d’autres catégories de données, implique selon la Cour une appréciation concrète et individualisée : le responsable du traitement doit être en mesure de démontrer, pour chaque personne concernée, que la collecte et/ou la conservation de ses données biométriques et génétiques est non seulement utile, mais indispensable à la réalisation des finalités répressives poursuivies, aucune mesure moins intrusive ne permettant d’atteindre le même résultat.
Or, une législation prévoyant la collecte systématique et automatique de telles données dès qu’une personne est mise en cause pour une infraction intentionnelle substitue une présomption législative de nécessité à une appréciation individualisée. Ce faisant, elle ne satisfait pas à l’exigence de nécessité absolue posée par l’article 10 : la systématicité de la collecte est en elle-même contraire à la Directive Police, en ce qu’elle méconnaît tant le principe de minimisation des données (article 4§1 e) que l’exigence de distinction entre catégories de personnes concernées (article 6 a).
La Cour souligne que l’infraction pénale intentionnelle constitue, certes, un critère objectif, mais qu’elle ne saurait en elle-même établir la nécessité absolue d’un traitement de données particulièrement sensibles. D’autres facteurs — gravité de l’infraction, risque de récidive, utilité concrète des données biométriques et génétiques à des fins d’identification dans le cadre des enquêtes — doivent être pris en compte dans une appréciation individuelle et documentée.
B. L’absence de délai maximal de conservation : une incompatibilité structurelle avec la Directive Police
Sur la question de la durée de conservation, la Cour développe un raisonnement articulé autour de l’article 4, paragraphe 1, sous e, qui impose des « délais appropriés pour l’effacement ou pour la vérification régulière de la nécessité de la conservation ».
La Cour constate que la législation tchèque ne prévoit aucun délai maximal de conservation des données biométriques et génétiques. Cette lacune est jugée incompatible avec la Directive Police pour deux raisons cumulatives :
D’abord, l’absence de délai maximal crée une conservation potentiellement indéfinie des données, ce qui est par nature contraire au principe de limitation de la conservation. Le responsable du traitement ne peut pas se contenter d’une conservation « aussi longtemps que nécessaire » si le droit national ne fixe pas de critères contraignants permettant d’évaluer cette nécessité à intervalles réguliers et de prévoir l’effacement des données lorsqu’elle cesse d’être établie.
Ensuite, et c’est peut-être le point le plus novateur de l’arrêt, la Cour juge que la vérification périodique de la nécessité de la conservation ne peut pas être laissée à la seule discrétion du responsable du traitement — en l’espèce la police — sur la base de ses règles internes, sans encadrement législatif précis. L’absence de délai clair dans la loi nationale prive les personnes concernées de toute prévisibilité quant à la durée du traitement auquel elles sont soumises, et restreint corrélativement leur capacité à exercer leurs droits de manière effective, notamment leur droit à l’effacement.
C. La notion de « disposition du droit d’un État membre » : les règles internes de police peuvent-elles en tenir lieu ?
L’une des questions préjudicielles les plus techniquement délicates portait sur la qualification des règles internes de la police en tant que « disposition du droit d’un État membre » au sens de l’article 8, paragraphe 2, de la Directive Police — condition de licéité du traitement des données biométriques et génétiques.
La Cour admet, dans un raisonnement prudent et nuancé, que la jurisprudence nationale peut, sous certaines conditions, être assimilée à une « disposition du droit d’un État membre » au sens de la Directive Police. Elle s’appuie sur une conception matérielle — et non purement formelle — du « droit d’un État membre » : ce qui importe, c’est que la base juridique soit suffisamment accessible, prévisible et précise pour permettre aux personnes concernées d’anticiper les conséquences du traitement sur leur situation personnelle, et non la seule forme de l’acte (loi formelle, règlement, jurisprudence).
Toutefois, la Cour assortit cette reconnaissance de conditions strictes. La règle interne ou la jurisprudence invoquée doit : (i) présenter un degré suffisant d’accessibilité et de prévisibilité ; (ii) comporter des garanties adéquates contre l’arbitraire, notamment en ce qui concerne la durée de conservation, la finalité du traitement, les personnes habilitées à y accéder et les modalités de contrôle ; (iii) être susceptible de faire l’objet d’un contrôle juridictionnel effectif. En l’espèce, la Cour laisse à la juridiction de renvoi le soin d’apprécier si les règles internes de la police tchèque satisfaisaient à ces critères — appréciation dont il résulte implicitement qu’elle s’annonçait difficile au regard des lacunes constatées.
D. L’exigence de distinction entre catégories de personnes concernées (article 6)
La Cour consacre également d’importants développements à l’article 6, sous a, de la Directive Police, qui exige que les données à caractère personnel soient traitées de manière à établir une distinction nette entre les différentes catégories de personnes concernées : suspects, personnes mises en examen, personnes condamnées, témoins, victimes.
Or, la législation tchèque applicable prévoyait la collecte de données biométriques et génétiques indistinctement à l’égard de toute personne poursuivie ou soupçonnée d’avoir commis une infraction intentionnelle, sans distinguer selon le degré de la mise en cause pénale (suspicion initiale, mise en examen formelle, jugement de culpabilité). Cette indifférenciation est jugée contraire à l’article 6, sous a.
La Cour souligne que la présomption d’innocence, garantie par l’article 48 de la Charte, impose que les personnes non encore condamnées ne soient pas traitées comme des personnes ayant établi leur culpabilité. Un régime qui soumet indistinctement suspects et condamnés à la même collecte systématique de données biométriques et génétiques méconnaît cette exigence fondamentale.
IV.
Les moyens de défense de l’État et leur traitement par la Cour
A. La nécessité pour les forces de l’ordre de disposer d’une base de données étendue
L’État tchèque, à l’instar d’autres gouvernements ayant présenté des observations dans la procédure, a fait valoir que la constitution et le maintien d’une base de données biométriques et génétiques étendue répondaient à une nécessité opérationnelle impérieuse pour les services de police : identification des auteurs d’infractions, élucidation de crimes anciens, prévention de la récidive.
La Cour ne conteste pas la légitimité de ces objectifs, qui s’inscrivent dans les finalités expressément visées par la Directive Police. Mais elle rappelle que la légitimité de la finalité ne suffit pas à elle seule à justifier toute modalité de traitement : encore faut-il que les mesures adoptées soient strictement nécessaires au regard de ces finalités et proportionnées à l’intensité de l’atteinte portée aux droits fondamentaux.
La Cour insiste sur le fait que des mesures moins intrusives — telles qu’une évaluation individualisée de la nécessité de la collecte, un délai de conservation modulé en fonction des caractéristiques de l’infraction et de la situation personnelle de l’intéressé, ou encore un mécanisme de révision automatique à l’issue de la procédure pénale — permettraient aux autorités de poursuivre leurs objectifs légitimes tout en réduisant l’atteinte aux droits fondamentaux des personnes concernées.
B. L’argument de la jurisprudence nationale comme base légale suffisante
L’autorité défenderesse, la Policejní prezidium, soutenait que ses pratiques de conservation reposaient sur une base juridique suffisante, à tout le moins au sens matériel : une jurisprudence nationale constante des juridictions administratives tchèques validant ces pratiques, ainsi que des règles internes de la police fixant les modalités de conservation.
Sur ce point, la Cour a, comme indiqué supra (III.C.), adopté une position de principe admettant que la jurisprudence nationale peut en théorie constituer une « disposition du droit d’un État membre » au sens de la Directive Police, mais en assortissant cette admission de conditions strictes de qualité normative (accessibilité, prévisibilité, garanties contre l’arbitraire, contrôlabilité juridictionnelle). L’appréciation in concreto est renvoyée à la juridiction nationale, qui doit vérifier si les conditions posées par la Cour sont effectivement réunies.
V.
La portée de l’arrêt pour les États membres et les pratiques policières
A. Un encadrement systémique de la collecte et conservation de données biométriques et génétiques
L’arrêt C-57/23 constitue une contribution majeure à la jurisprudence de la Cour sur la Directive Police. En posant de manière ferme que la collecte systématique de données biométriques et génétiques de toute personne poursuivie pour une infraction intentionnelle est incompatible avec les articles 8 et 10 de la Directive Police, la Cour impose aux États membres de réformer leurs législations nationales pour introduire :
— Une évaluation individualisée de la nécessité de la collecte pour chaque personne mise en cause ;
— Un mécanisme de révision périodique de la nécessité de la conservation, assorti de délais déterminés ou déterminables ;
— Une distinction clairement formalisée entre les différentes catégories de personnes concernées (suspects, mis en examen, condamnés), avec des régimes de traitement différenciés ;
— Des garanties procédurales effectives permettant aux personnes concernées d’exercer leurs droits et de solliciter l’effacement de leurs données devant une autorité indépendante ou une juridiction.
B. La notion de « nécessité absolue » pour les données biométriques et génétiques : un seuil élevé et contraignant
L’interprétation de la notion de « nécessité absolue » au sens de l’article 10 de la Directive Police, telle que précisée par l’arrêt C-57/23, établit un seuil d’exigence particulièrement élevé. La Cour suggère que cette exigence va au-delà de la simple nécessité proportionnée requise pour d’autres données personnelles : elle implique une appréciation concrète démontrant l’absence de toute alternative moins intrusive permettant d’atteindre l’objectif poursuivi.
Ce faisant, la Cour aligne son interprétation de la Directive Police sur les exigences jurisprudentielles développées dans d’autres contextes sensibles — notamment la jurisprudence Schrems et La Quadrature du Net en matière de conservation de données de communications électroniques —, en consacrant une approche de contrôle strict de la proportionnalité des mesures attentatoires aux droits fondamentaux.
C. Les règles internes de police comme base légale : une admission conditionnelle et risquée
La reconnaissance — conditionnelle — de la possibilité pour des règles internes de police ou de la jurisprudence nationale de constituer une « disposition du droit d’un État membre » au sens de l’article 8§2 de la Directive Police est, à première lecture, une concession à la diversité des systèmes juridiques nationaux. Certains États membres, notamment ceux de tradition de common law, ou ceux dont l’ordre juridique reconnaît formellement force normative à la jurisprudence des cours suprêmes, pourraient s’y appuyer.
Mais les conditions posées par la Cour rendent cette reconnaissance très restrictive en pratique. Une règle interne de police qui n’a pas fait l’objet d’une publication officielle, qui n’est pas soumise à un contrôle juridictionnel externe, ou qui laisse un pouvoir discrétionnaire excessif à l’autorité policière, ne saurait satisfaire aux critères de qualité normative posés par la Cour. En d’autres termes, si la forme n’est pas décisive, la substance l’est : la base légale doit offrir aux personnes concernées une protection substantiellement équivalente à celle qu’offrirait une loi formelle bien rédigée.
D. L’interaction avec le RGPD et les autres instruments de droit dérivé
Bien que la Directive Police et le RGPD constituent deux régimes distincts, l’arrêt C-57/23 illustre la porosité croissante entre ces deux instruments. La Cour mobilise les principes fondamentaux du RGPD — minimisation, limitation de la conservation, proportionnalité — pour éclairer l’interprétation des dispositions parallèles de la Directive Police, ce qui confirme l’existence d’un socle commun de protection des données à caractère personnel au sein de l’ordre juridique de l’Union, quel que soit le contexte sectoriel du traitement.
Cette convergence interprétative est particulièrement significative pour les DPO et responsables de traitement opérant dans des contextes mixtes — par exemple, des entités privées auxquelles des missions de service public à finalité pénale sont confiées, ou des systèmes d’information partagés entre autorités compétentes au sens de la Directive Police et entités relevant du RGPD.
VI.
Analyse critique et positionnement doctrinal
A. Un arrêt de principe structurant pour la Directive Police
L’affaire C-57/23 est l’une des rares décisions dans lesquelles la Cour se prononce de manière aussi substantielle et directe sur les exigences de la Directive Police en matière de traitement de données biométriques et génétiques. La jurisprudence antérieure relative à cet instrument — notamment Ligue des droits humains (C-333/22) sur les droits d’accès indirect, ou Spetsializirana prokuratura (C-350/21) sur la conservation généralisée de données de communications électroniques à des fins pénales — avait progressivement précisé le champ de la Directive, mais sans traiter frontalement la question du traitement de données des catégories les plus sensibles dans le cadre d’une procédure pénale individuelle.
L’arrêt C-57/23 comble ce vide jurisprudentiel en consacrant explicitement l’exigence d’individualisation de l’appréciation de la nécessité absolue du traitement de données biométriques et génétiques. Ce faisant, il rend incompatibles avec la Directive Police l’ensemble des législations nationales qui prévoient une collecte automatique et systématique de telles données dès la mise en cause pénale, sans évaluation individualisée.
B. Vers une harmonisation par le haut des garanties en matière pénale
L’arrêt s’inscrit dans une tendance jurisprudentielle plus large de la Cour à promouvoir une harmonisation par le haut des garanties offertes aux personnes concernées par des traitements de données à des fins répressives. Cette tendance, perceptible dans la jurisprudence sur la conservation des données de communications (affaires Tele2/Watson, La Quadrature du Net, Prokuratuur), est désormais étendue aux données biométriques et génétiques collectées dans le cadre de procédures pénales.
Cette évolution est cohérente avec la philosophie générale du droit de l’Union en matière de protection des données : les données les plus sensibles appellent les garanties les plus strictes, et les restrictions à leur traitement ne peuvent être justifiées que par des impératifs d’intérêt général d’une intensité proportionnée à l’atteinte portée aux droits fondamentaux.
C. Les limites de l’arrêt et les questions demeurées ouvertes
L’arrêt C-57/23 laisse néanmoins plusieurs questions en suspens que la jurisprudence ultérieure devra clarifier.
La première porte sur le contenu précis de l’évaluation individualisée requise : quels critères le responsable du traitement doit-il prendre en compte ? La gravité de l’infraction, le casier judiciaire de l’intéressé, la nature des preuves disponibles, la probabilité d’utilisation future des données dans d’autres enquêtes ? La Cour n’a pas fourni de grille précise, laissant une marge d’appréciation aux États membres qui devront définir ces critères dans leur législation nationale.
La deuxième porte sur la durée de conservation admissible. Si la Cour impose l’existence de délais appropriés, elle ne définit pas ces délais. Il reviendra aux législateurs nationaux, encadrés le cas échéant par les autorités de contrôle compétentes, de fixer des durées justifiées et proportionnées, en distinguant selon les catégories d’infractions, les catégories de personnes concernées et les finalités spécifiques du traitement.
La troisième porte sur le sort des données déjà collectées sous l’empire d’une législation désormais incompatible avec la Directive Police. L’arrêt ne traite pas des effets dans le temps de l’incompatibilité constatée, ce qui soulève des questions pratiques importantes pour les États membres concernés.
POINTS ESSENTIELS
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats