La Cour de justice de l’Union européenne interdit la collecte systématique des données biométriques et génétiques de toute personne mise en cause dans une affaire pénale

Cour de justice de l’Union européenne, 26 janvier 2023, V.S. c. Ministerstvo na vatreshnite raboti, C-205/21

Toute personne ayant vécu une garde à vue en France s’est déjà vue confrontée à l’obligation de se soumettre à la prise d’empreintes digitales, à la photographie et parfois à un prélèvement d’empreintes génétiques (ADN).

Pourtant, un arrêt de Cour de justice de l’Union européenne (CJUE) pourrait bien bouleverser la procédure pénale française applicable en la matière.

En effet, par une décision du 26 janvier 2023, la CJUE a affirmé que la collecte systématique des données biométriques et génétiques de toute personne mise en cause pour une infraction aux fins de leur enregistrement est contraire au droit de l’Union européenne.

Si l’affaire dont la CJUE a été saisie concernait la procédure pénale applicable en Bulgarie, le parallèle avec la France s’avère pertinent et mérite une comparaison analytique.

Les mots introductifs de l’Avocat général Giovanni Pitruzzella ont visé juste lorsqu’il s’agit d’examiner la portée de cette affaire : « Lorsqu’elle est mise au service de la répression pénale, l’évolution technologique se révèle aussi fascinante que menaçante à l’égard des droits fondamentaux. Le présent renvoi préjudiciel offre, de nouveau, à la Cour l’occasion d’interpréter un instrument de droit de l’Union consacré à la protection des données à caractère personnel pensé comme un garde-fou d’une politique pénale qui viserait l’objectif d’une efficacité totale, alors qu’une société démocratique, régie par l’État de droit devrait, paradoxalement, trouver une certaine vertu dans la faillibilité d’une telle politique. D’une certaine manière, cette affaire constitue une déclinaison, dans le domaine de la protection des données personnelles, du principe selon lequel mieux vaudrait hasarder de sauver un coupable que de condamner un innocent. »

Car c’est bien tout le sujet, devrait-il être admis qu’une autorité de police puisse user sans véritable limite d’outils technologiques particulièrement intrusifs pour la vie privée des personnes au prétexte d’une lutte efficace contre la criminalité et la prévention des infractions ? Devrait-il être admis qu’une autorité de police puisse recueillir, au sein d’un même fichier, les empreintes digitales, les photographies et les empreintes génétiques de toute une partie de la population dès lors que ces personnes ont été, à un quelconque moment de leur vie, suspectées d’avoir commis une infraction, qu’il y ait eu ou non condamnation en justice par la suite ?

L’examen de la procédure pénale bulgare et la réponse apportée par la CJUE à cette question (I) nous conduira nécessairement à une comparaison avec la procédure pénale française et à en dégager les potentielles contradictions (II).

De cette analyse découlera sans doute la question pratique pour toute personne mise en cause dans une procédure pénale française et soumise à la collecte de ses données biométriques et génétiques : peut-elle légitimement refuser cette collecte au nom de son droit à la vie privée tel que garanti par cette jurisprudence de la CJUE ?

I – La collecte des données biométriques et génétiques en matière pénale sérieusement limitée par la Cour de justice de l’Union européenne

Dans le cadre d’une procédure pénale pour fraude fiscale engagée par les autorités bulgares, le suspect avait été mis en examen en raison des éléments de preuves suffisants qui avaient été réunis contre lui.

La procédure pénale bulgare dispose que toute personne mise en examen pour une infraction intentionnelle, de toute nature, a obligation de se soumettre à un relevé d’empreintes digitales, à la prise de photographies et à prélèvement d’empreintes génétiques. Les autorités de police bulgare peuvent être habilitées par un magistrat à prélever de force ces données biométriques et génétiques si la personne refuse de s’y soumettre de son plein gré.

En l’espèce, le mis en examen avait refusé de se soumettre à ces prélèvements et une juridiction bulgare avait été saisie pour autoriser le prélèvement sous contrainte.

La juridiction bulgare a néanmoins nourri des doutes sur la compatibilité d’une telle procédure avec le droit de l’Union européenne applicable. Elle a donc interrogé la CJUE sur ce point et notamment au regard de la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données personnelles en matière pénale[1] et de la Chart des droits fondamentaux de l’Union européenne.

En substance, la question posée par la juridiction bulgare à la CJUE était la suivante : La directive 2016/680 doit-elle être interprétée en ce sens qu’elle s’oppose « à une législation nationale qui prévoit la collecte systématique de données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de déterminer et de démontrer, d’une part, que cette collecte est nécessaire à la réalisation des objectifs concrets poursuivis et d’autre part, que ces objectifs ne peuvent pas être atteints par la collecte d’une partie seulement des données concernées » ?

La réponse de la CJUE est sans équivoque : les données biométriques et génétiques ne peuvent être collectées au cours d’une procédure pénale que si cette collecte constitue une nécessité absolue (A). Dès lors, une législation pénale nationale qui prévoit une collecte systématique pour toute personne mise en examen ne peut satisfaire à cette exigence de nécessité absolue (B).

A – Les données biométriques et génétiques peuvent être collectées « uniquement en cas de nécessité absolue »

Dans son arrêt, la CJUE rappelle en effet que la directive 2016/680 est venue encadrer les pratiques des États membres dans les affaires pénales lorsqu’il s’agit de collecter et traiter des données à caractère personnel, dont des données biométriques et génétiques.

En vertu de cette directive 2016/680, les États membres sont autorisés à mettre en place de tels mécanismes de collecte et de traitement de données personnelles en matière pénale uniquement aux fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Ces données personnelles doivent être traitées de manière licites et loyales, leur collecte doit poursuivre une finalité déterminée, explicite et légitime et cette collecte et ce traitement doivent être adéquates, pertinents et non-excessifs au regard des finalités visées.

La CJUE précise toutefois que la directive 2016/680 est d’autant plus exigeante lorsque la collecte et le traitement au cours d’une procédure pénale concerne spécifiquement des données biométriques et génétiques. Ainsi la collecte et le traitement de ce type de données « est autorisé uniquement en cas de nécessité absolue, sous réserve de garantie appropriés pour les droits et libertés de la personne concernée »

L’exigence de nécessité absolue permet « d’assurer une protection accrue à l’égard de ces traitements qui, en raison de la sensibilité particulière des données en cause et du contexte dans lequel elles sont traitées, sont susceptibles d’engendrer des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personne ».

Pour la CJUE, les termes de la directive ne sont pas anodins. La possibilité de collecte et de traitement « uniquement en cas de nécessité absolue » implique que ces opérations ne pourront se faire que dans un nombre limité de cas appréciés de manière particulièrement rigoureuse.

La CJUE indique que l’exigence de nécessité est remplie seulement lorsque l’objectif poursuivi par le traitement des données en cause ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel.

L’autorité de police responsable de la collecte et du traitement doit ainsi s’assurer que cet objectif ne peut pas être satisfait en ayant recours à d’autres catégories de données.

L’exigence de « nécessité absolue » implique également qu’il soit tenu compte de l’importance particulière de l’objectif qu’un tel traitement vise à atteindre. Une telle importance peut s’apprécier, entre autres, en fonction de la nature même de l’objectif poursuivi, notamment du fait que le traitement sert un objectif concret en lien avec la prévention d’infractions pénales ou de menaces contre la sécurité publique présentant un certain degré de gravité, la répression de telles infractions ou la protection contre de telles menaces, ainsi qu’à la lumière des circonstances spécifiques dans lesquelles ce traitement est effectué.

B – Une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques ne peut satisfaire l’exigence de « nécessité absolue »

Dans son arrêt, la CJUE relève qu’une législation nationale telle que la législation bulgare qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle est, en principe, contraire à l’exigence énoncée par la directive 2016/680, selon laquelle le traitement des catégories particulières de données biométriques et génétiques doit être autorisé « uniquement en cas de nécessité absolue »

Pour la CJUE, une telle législation est en effet susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes mises en examen dès lors que la notion d’infraction pénale intentionnelle revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité.

La CJUE va même plus loin dans son raisonnement et explique que même si les personnes visées sont des personnes mises en examen, c’est-à-dire des personnes pour lesquelles il existe des motifs sérieux de croire qu’elles ont commis une infraction pénale, cet élément ne saurait être considéré comme permettant, à lui seul, de présumer que la collecte de ses données biométriques et génétiques est absolument nécessaire au regard des finalités qu’elle vise et compte tenu des atteintes aux droits fondamentaux, en particulier aux doits au respect de la vie privée et à la protection des données à caractère personnel que cela engendre.

La CJUE craint que s’il existe des motifs sérieux de croire que la personne en cause a commis une infraction pénale, justifiant sa mise en examen, ce qui suppose qu’aient déjà été réunis suffisamment d’éléments de preuve de l’implication de cette personne dans l’infraction, il pourra se produire des cas où la collecte tant des données biométriques que des données génétiques n’obéira à aucune nécessité concrète aux fins de la procédure pénale en cours.

Pour la CJUE, la probabilité que les données biométriques et génétiques d’une personne mise en examen soient absolument nécessaires dans le cadre d’autres procédures que celle dans le cadre de laquelle cette mise en examen a eu lieu, ne peut se déterminer qu’au regard de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction présumée pour laquelle elle est mise en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel de la personne en cause.

En résumé, pour la CJUE, une législation nationale qui prévoit une collecte systématique des données biométriques et génétiques d’une personne mise en cause dans une affaire pénale est par principe contraire au droit de l’Union européenne.

La CJUE établie une série de critères à remplir pour qu’une telle collecte de données biométriques et génétique soit admise :

  • La collecte doit servir un objectif pénal claire, à savoir la prévention et la détection d’infractions, la résolution d’une enquête ou encore l’engagement de poursuites
  • Le recours à la collecte doit constituer une nécessité absolue, autrement dit il n’existe aucun autre moyen aussi efficace d’atteindre l’objectif pénal visé
  • Le caractère absolument nécessaire de la collecte se vérifie uniquement au regard de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction en cause, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel de la personne en cause

Cet arrêt va nécessairement avoir des conséquences sur la procédure pénale applicable en France en matière de collecte de données biométriques et génétiques à l’égard des personnes suspectées d’avoir commis une infraction.

II – Une jurisprudence qui pourrait sensiblement remettre en cause les règles de procédure pénale françaises applicables en matière de collecte de données biométriques et génétiques 

La procédure pénale française, telle qu’elle est appliquée aujourd’hui en matière de collecte de données biométriques et génétiques (A), pourrait être sérieusement entravée compte tenue de ses contradictions avec la jurisprudence de la CJUE (B). 

A – Rappel de la procédure pénale française applicable à la collecte des données biométriques et génétiques à l’égard des personnes suspectées d’avoir commis une infraction

La collecte des données biométriques 

En France, la collecte des données biométriques a pour objectif, selon l’article 230-6 du code de procédure pénale de « faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ».

En application de l’article 55-1 du code de procédure pénale portant sur les crimes et délits, un officier de police de police judiciaire « peut procéder, ou faire procéder sous son contrôle, […] sur toute personne à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre l’infraction, aux opération de prélèvements externes nécessaires à la réalisation d’examens techniques et scientifiques de comparaison avec les traces et indices prélevés pour les nécessités de l’enquête. Il procède, ou fait procéder sous son contrôle, aux opérations de relevés signalétiques et notamment de prises d’empreintes digitales ou de photographies nécessaires à l’alimentation et à la consultation des fichiers de police selon les règles propres à chacun de ces fichiers ».

En d’autres termes, toute personne uniquement parce qu’elle est suspectée d’avoir commis un crime ou un délit de quelle que nature que ce soit, même s’il n’y a pas de preuves réelles, peut être soumise à un prélèvement d’empreintes digitales ou de photographies. L’objectif premier est clair : cette collecte de données biométriques vise à alimenter des fichiers de police, fichiers de police qui serviront ensuite potentiellement à faciliter la constatation d’infractions et la recherche de leurs auteurs.

En application de ce même article 55-1 du code de procédure pénale, le refus de se soumettre à cette collecte de données biométriques est puni d’un an d’emprisonnement et de 15.000 euros d’amende.

Depuis une loi du 24 janvier 2022[2], il est également possible pour l’officier de police judiciaire et avec l’accord du procureur de la République de contraindre par la force une personne placée en garde à vue à se soumettre à la prise d’empreintes digitales et aux photographies. Cette collecte biométrique sous la contrainte est toutefois limitée aux personnes suspectées d’un crime ou d’un délit puni d’au moins trois ans d’emprisonnement et si cette personne refuse de justifier de son identité ou fournit des éléments d’identité manifestement inexacts.

La collecte des données génétiques

Pour ce qui concerne la collecte des données génétiques, l’objectif est quasiment identique à celui des données biométriques à savoir, selon l’article 706-54 du code de procédure pénale, « faciliter l’identification et la recherche des auteurs [de certaines] infractions ».

La collecte des données génétiques est en revanche limitées à certaines catégories d’infractions, même si cela recouvre énormément de cas : infractions de nature sexuelle (ex. viol, agression sexuelle, corruption de mineur), atteintes aux personnes (ex. crimes contre l’humanité, homicide volontaire, violences avec ITT), stupéfiants (ex. trafic de stupéfiants, blanchiment de stupéfiants), atteintes aux biens (ex. vol, extorsion, escroquerie, destruction ou détérioration grave, recel), atteintes à la nation, l’État et à la paix publique (ex. terrorisme, association de malfaiteurs), armes (ex. fabrication, diffusion, transport). L’ensemble de ces infractions est listé à l’article 706-55 du code de procédure pénale.

En application des articles 706-54 et 706-56 du code de procédure pénale, un officier de police judiciaire peut procéder ou faire procéder sous son contrôle, à l’égard des personnes « à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient commis l’une des infractions mentionnées à l’article 706-55 », « à un prélèvement biologique destiné à permettre l’analyse d’identification de leur empreinte génétique ».

Le critère permettant de recourir au prélèvement génétique est plus strict que celui relatif au prélèvement biométrique : il doit exister des indices graves ou concordants rendant vraisemblable que le suspect ait commis l’une des infractions limitativement énumérées à l’article 706-55 du code de procédure pénale.

En application de l’article 706-56 du code de procédure pénale, le refus de soumettre à la collecte de ces données génétiques est puni d’un an d’emprisonnement et de 15.000 euros d’amende.

A ce jour, il n’est pas prévu par la loi de possibilité de prise d’empreintes génétiques forcée contrairement à la prise d’empreintes biométriques.

Pour résumer, en France, une personne suspectée d’avoir commis un délit ou un crime, peut se voir imposer la prise de ses empreintes biométriques et génétiques uniquement sur la base d’une suspicion et sans que cela soit conditionné par un impératif de l’enquête. En d’autres termes, même si ces données ne servent pas à la résolution de l’affaire puisque la personne est parfaitement identifiée, la prise des empreintes biométriques et génétiques est justifiée par le seul besoin d’alimenter des fichiers de police.

Cette collecte ne fait par ailleurs l’objet d’aucun contrôle préalable d’un juge indépendant puisqu’elle relève de la seule initiative de l’officier de police judiciaire sous contrôle du procureur de la République.

Compte tenu de ces éléments, il apparait à l’évidence de nombreuses contradictions entre la procédure pénale française et l’arrêt de la CJUE du 26 janvier 2023 qui ne peuvent que conduire à s’interroger sur la persistance d’un tel système.

B – Une procédure pénale qui ne saurait perdurer en l’état compte tenu de la jurisprudence de la CJUE

Nous l’avons vu ci-dessus, la CJUE considère que dans le cadre d’une procédure pénale, la collecte des données biométriques et génétiques d’un suspect ne peut être autorisée qu’en cas de nécessité absolue, la directive 2016/680 s’opposant ainsi à toute législation nationale qui organiserait une collecte systématique.

Or la procédure pénale française en la matière ne semble pas répondre à l’exigence de nécessité absolue et possède au contraire toutes les caractéristiques d’une législation organisant la collecte généralisée et indifférenciée de ces données personnelles sensibles.

Le périmètre très large des infractions concernées

Pour commencer, nous ne pouvons que constater le périmètre particulièrement large des infractions concernées par la collecte :

  • Pour ce qui concerne les données biométriques, la collecte est permise pour tous les délits et tous les crimes.
  • Pour ce qui concerne les données génétiques, la collecte est permise pour un nombre très important d’infractions et assurément autant que ce qui relève, par comparaison avec le cas examiné par la CJUE, des « infractions intentionnelles » en droit bulgare

La collecte est ainsi admise sans tenir compte de la nature et de la gravité de l’infraction. Du vol simple au terrorisme en passant par le meurtre, toutes les infractions sont concernées.

L’obligation de se soumettre à cette collecte en cas de suspicion

La procédure pénale française apparaît plus intrusive que le droit bulgare en ce qu’il n’est pas nécessaire que la personne soit mise en examen, en raison d’un nombre suffisant de preuves à son encontre, pour permettre la collecte :

  • La seule « raison plausible de soupçonner » que la personne ait commis ou tenté de commettre une infraction suffit pour la soumettre à la collecte de ses données biométriques.
  • L’existence « d’indices graves ou concordants rendant vraisemblable » que la personne ait commis une infraction suffit pour la soumettre à la collecte de ses données génétiques.

Alors que le droit bulgare conditionne cette collecte de données personnelles sensibles à l’autorisation d’un juge indépendant, la procédure pénale française dispose que cette collecte relève de la seule appréciation de l’officier de police judiciaire, sous contrôle du procureur de la République.

Enfin, cette collecte apparaît comme contraignante pour la personne concernée dans la mesure où son refus peut entraîner des poursuites, indépendamment de l’infraction principale dont elle est suspectée, et à une condamnation allant jusqu’à un an d’emprisonnement.

Pour la collecte des données biométriques, il est même possible dans certains cas de contraindre la personne concernée à ce prélèvement sans son consentement.

Une collecte décorrélée de l’exigence de nécessité absolue

Rien dans la procédure pénale française ne subordonne la collecte de ces données biométriques et génétiques à la démonstration de son absolu nécessité. La seule suspicion de la commission de l’infraction suffit à autoriser la collecte.

Il n’existe aucune autre disposition législative qui obligerait les autorités de police à devoir démontrer que cette collecte est, selon les critères posés par la CJUE, absolument nécessaire compte tenu de la nature et de la gravité de l’infraction présumée, des circonstances particulières de cette infraction, du lien avec d’autres procédures en cours ou encore des antécédents judiciaires et du profil individuel de la personne suspectée.

Les autorités de police ne sont pas plus tenues de démontrer qu’il n’existe aucun autre moyen moins attentatoire aux droits fondamentaux d’atteindre le même objectif recherché.

Au regard de ces éléments, il apparaît clair que la procédure pénale française en la matière est loin de satisfaire aux exigences de la jurisprudence de la CJUE. Et pourtant les conséquences pratiques sont bien réelles. Tout praticien du droit connaissant le fonctionnement de l’enquête pénale et de la garde à vue en déjà fait l’expérience. L’illustration par un simple exemple permettra de comprendre les enjeux en l’espèce.

Un exemple s’impose

Prenons le cas d’une personne voulant alerter l’opinion publique et le gouvernement sur la nécessité d’adopter une politique sociale et environnementale à la hauteur de l’urgence du moment.

Cette personne, ayant depuis longtemps épuisée tous les canaux d’alerte traditionnels (ex. vote, pétition, manifestation), décide de participer à une action de désobéissance civile et de décrocher le portrait du président de la République fixé dans chaque mairie française. La personne qui a décrochée le portrait et l’a sorti de la mairie est parfaitement identifiée, elle a même répondu à une interview de journalistes pour expliquer son geste.

Cette personne est ensuite interpellée et placée en garde à vue. A l’occasion de cette garde à vue, elle répond aux questions de l’officier de police judiciaire relatives à son identité (nom, prénom, date et lieu de naissance, adresse de domicile). Malgré cela, cette personne sera soumise à la collecte de ses données biométriques, empreintes digitales et photographies, ainsi qu’à la collecte de ses données génétiques dans la mesure où elle est suspectée d’avoir commis un délit de soustraction frauduleuse du bien d’autrui (un vol).

La question qui se pose est donc de savoir à quoi peut bien servir cette collecte dès lors que la personne est parfaitement identifiée et qu’il existe suffisamment d’indices permettant d’affirmer qu’elle est bien l’auteur du délit.

Hormis pour « alimenter des fichiers », il n’y a donc aucune nécessité absolue en l’espèce de procéder à une telle collecte.

Voilà le type de législation que la CJUE redoute comme « susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes ».

Et maintenant ?

Nous l’avons vu, la jurisprudence de la CJUE conduit à nous interroger sur la conformité de la procédure pénale française en matière de collecte de données biométriques et génétiques au regard du droit de l’Union européenne.

A défaut d’une refonte de ces dispositions législatives à brève échéance, il conviendra pour toute personne suspectée d’avoir commis une infraction et désireuse de faire valoir ses droits et d’agir par conviction, de refuser les prélèvements biométriques et génétiques en garde à vue et de s’armer de cette jurisprudence devant les tribunaux pour rendre la législation française inapplicable ou du moins conditionner son application à la satisfaction des critères dégagés par la CJUE.

Au nom du principe d’effectivité, les tribunaux français ont en effet le pouvoir et le devoir d’interpréter la législation nationale conformément aux conditions fixées par le droit de l’Union européenne. Si cette interprétation conforme est impossible, les tribunaux ont alors le pouvoir et le devoir de ne pas appliquer une législation française qui serait contraire au droit de l’Union européenne.

[1] Directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénale, et à la libre circulation de ces données

[2] Loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure

Write a comment:

*

Your email address will not be published.