Le 30 janvier 2024, en réponse à une question préjudicielle de la Cour administrative suprême de Bulgarie, la Cour de Justice de l’Union Européenne (CJUE) a rendu une décision importante en matière de conservation des données génétiques et biométriques des personnes condamnées pénalement.
Par cette décision, la Cour juge qu’une loi nationale autorisant de manière générale et indifférenciée la conservation des données biométriques et génétiques des personnes condamnées pénalement jusqu’à leur décès, est contraire au droit de l’Union.
Par suite d’une procédure d’instruction pour faux témoignage, la personne déclarée coupable voit ses données biométriques et génétiques enregistrées dans un registre de police.
Ainsi, la photographie, le relevé des empreintes digitales, des prélèvements d’ADN à des fins de profilage, ainsi que des données relatives aux infractions et condamnation de l’intéressé sont enregistrées.
Après sa réhabilitation, le concerné demande à être radié du registre de police. Sa demande est rejetée.
Selon la loi nationale, les données présentes dans ce registre peuvent être conservées jusqu’au décès de l’individu.
La réhabilitation ne fait ainsi pas partie des motifs de radiation de l’inscription au registre de police selon la loi nationale.
La CJUE s’oppose à une telle loi nationale, cette dernière systématisant une conservation illimitée, sans différencier la gravité des infractions.
Cette indifférence rend notamment la conservation des données jusqu’au décès de l’intéressé abusive dans le cas de petites infractions, au regard de la finalité du traitement, et incompatible avec le principe de la minimisation des données prévu par la directive 2016/680.
Une protection accrue des données génétiques et biométriques
Les données personnelles traitées par les autorités compétentes, dans le cadre « [des] domaines de la coopération judiciaire en matière pénale et de la coopération policière » sont régies par la directive 2016/680, tel qu’énoncé par le considérant 11. Cette même directive exclue par ailleurs le domaine de la sécurité nationale mais distingue la sécurité publique, domaine couvert par la directive.
La lecture de l’article 10 de cette directive permet de remarquer le caractère particulier des données biométriques et génétiques. En effet, cette directive cherche à protéger les individus d’un traitement abusif par les autorités nationales.
Ces données étant ainsi considérées comme des données personnelles particulièrement sensibles, ne peuvent faire l’objet d’un traitement « [qu’en] cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée […]».
Le rappel du caractère particulier de ce type de données et du caractère d’absolue nécessité, permet à la Cour d’interpréter les autres articles de sorte à protéger efficacement les droits de l’individu concerné, notamment au vu de la finalité du traitement et de la minimisation des données.
En effet, ce rappel permet à la Cour d’appliquer avec sévérité l’article 4 de la directive relative à la conservation des données « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
A travers son développement et la mise en balance de l’intérêt général, la sécurité publique et le droit fondamental à la vie privée, la Cour estime que le délai de conservation des données sensibles ne peut être général et indifférencié. En effet, tous les types d’infraction pénale ne justifient pas une conservation jusqu’au décès. Pour justifier d’un tel délai, le responsable du traitement doit justifier de raisons particulières, une finalité précise ainsi qu’une nécessité absolue.
Ainsi, la Cour juge contraire au droit de l’Union:
« [Une] législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales […] de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée […] ».
Se faisant, le responsable du traitement des données est tenu de vérifier régulièrement que la conservation est nécessaire, au regard de la finalité poursuivit. Dans le cas inverse, le droit à l’effacement doit être accordé à l’intéressé.
Une décision dans la lignée jurisprudentielle
Cette décision n’est pas surprenante.
En effet, dans un arrêt du 26 janvier 2023, la CJUE avait jugé contraire au droit de l’UE, la collecte systématique des données biométriques et génétiques d’une personne mise en examen pour une infraction pénale. Des motifs similaires avaient été invoqués par la Cour.
Cette continuité jurisprudentielle démontre l’attentive protection des données personnelles par la Cour ainsi que sa pondération entre l’intérêt général et les droits subjectifs.
Conclusion
Cette décision, pérennisant la jurisprudence de la Cour est important en ce qu’il démontre que les États membres n’ont pas un droit illimité de traitement des données personnelles, dans le cadre de la sécurité publique, tel que la conservation de celles-ci dans un cas de préventions et détection d’infractions pénales.
La CJUE s’assure que les individus coupables d’une infraction pénale, même volontaire, ne perdent pas leurs droits de demander l’effacement de leurs données.
Commentaires