Dans une décision rendue le 30 janvier 2024 (aff. C-118/22), la Cour de justice de l’Union européenne (CJUE) poursuit les précisions qu’elle avait précédemment apportées sur l’application des règles protectrices du RGPD au traitement des données à caractère personnel effectués par les services de police dans le cadre de la lutte contre les infractions pénales. En effet, dans ce nouvel arrêt, la Cour clarifie les règles relatives au traitement des données biométriques et génétiques des personnes faisant l’objet d’une condamnation pénale au regard des principes de minimisation des données, de limitation de leur durée de conservation, ainsi qu’au droit à l’effacement dont dispose la personne concernée par le traitement.
Droits de l’individu condamné pénalement et dont les données font l’objet d’un traitement par les services de police
La directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les services de police impose aux États membres un certain nombre d’obligations.
Au titre de ces obligations, l’article 4 sous c) et d) prévoit d’une part, que les données à caractère personnel traitées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ; et d’autre part, qu’elles doivent être conservées sous une forme permettant l’identification des personnes concernées et surtout pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
En outre, l’article 5 de la directive impose aux États et aux autorités responsables du traitement de fixer des délais appropriés pour l’effacement des données ou pour la vérification de la nécessité de leur conservation. Bien que la directive règlemente un domaine spécifique du traitement des données à caractère personnel, en l’occurrence le traitement des données en matière de police et par des autorités de police, les droits classiquement reconnus aux personnes concernées par un traitement par le RGPD sont aussi accordés aux personnes ayant fait l’objet d’une condamnation pénale. Ces personnes disposent donc d’un droit d’accès aux données collectées les concernant, de rectification, d’effacement, ainsi qu’un droit de limitation du traitement des données, étant précisé que les données particulièrement sensibles telles que les données génétiques ou biométriques font l’objet d’un régime spécifique. En effet, ce type de données personnelles permettant d’identifier une personne de manière unique ne peut être traité qu’en cas d’absolue nécessité et sous réserve de garanties appropriées aux droits et libertés de la personne concernée, comme le précise l’article 10 de la directive.
En ce qui concerne plus spécifiquement les délais de conservation des données des personnes condamnées, il est précisé par l’article 13 § 2 et 3 de la directive que la personne concernée par le traitement de ses données dispose d’un droit à l’information sur la durée de conservation des données, ou à défaut une information sur les critères utilisés pour la détermination de la durée de conservation.
C’est donc à propos de la limitation du traitement ainsi que la durée de conservation des données à caractère personnel des personnes condamnées à une condamnation pénale définitive que la CJUE a été saisie par renvoi préjudiciel, et qu’elle apporte des précisions supplémentaires quant à l’interprétation de la directive 2016/80.
Contexte du litige et procédure
A la suite d’une infraction pénale intentionnelle, qui a fait l’objet d’une condamnation à une peine de probation d’un an, les données d’un citoyen bulgare ont fait l’objet d’une inscription au registre national de police. Une fois la peine effectuée par l’individu, celui-ci a fait une demande de radiation de ses données du registre national de police en question, en se fondant sur mesure de réhabilitation dont il a bénéficié.
Le Directeur général de la police nationale (DGPN), placé sous l’autorité du Ministre de l’intérieur, a rejeté cette demande de radiation au motif qu’une condamnation pénale définitive ne fait pas partie de la liste exhaustive des motifs de radiation du registre de police inscrite dans la loi bulgare, et ce même en cas de réhabilitation de la personne concernée.
Le citoyen bulgare a introduit un recours devant le tribunal administratif de Sofia contre cette décision lequel a rejeté ce recours, en se fondant sur une argumentation analogue à celle du DGPN. Le citoyen bulgare a donc formé un pourvoi devant la Cour administrative suprême bulgare en invoquant une violation des articles 5, 13 et 14 de la directive 2016/680. Au soutien de ce pourvoi devant la Cour administrative suprême, le citoyen a invoqué l’argument selon lequel il se déduit des articles 5, 13 et 14 de la directive, que la durée de conservation des données ne peut être illimitée, ce qui semble être le cas dans la loi bulgare qui ne prévoit pas de motif de radiation de l’inscription au registre de police en cas de réhabilitation.
Dans sa réponse au pourvoi formé par le requérant, la Cour administrative suprême relève tout d’abord que l’inscription au registre de police constitue bien un traitement de données à caractère personnel au sens de la directive 2016/680, mais que la loi bulgare ne prévoit pas de motif de radiation qui serait lié à l’hypothèse d’une réhabilitation de la personne ayant fait l’objet d’une condamnation définitive.
Cependant, la Cour administrative suprême se pose une question sur la conformité de l’existence d’un « droit quasi-illimité » au traitement des données par les autorités bulgares au regard des objectifs poursuivis par la directive 2016/680, notamment en ce qui concerne la limitation, l’effacement ou la destruction des données traitées.
En conséquence, la Cour administrative suprême bulgare saisit la CJUE à titre préjudiciel afin de savoir si les articles 5 et 13§2 sous b), et l’article 13§3 de la directive 2016/680 s’opposent à une législation nationale telle que la loi sur le Ministère de l’intérieur bulgare, qui dans l’État bulgare consacre un droit quasi-illimité au traitement des données à caractère personnel des personnes condamnées pénalement.
Décision de la CJUE
La CJUE, dans le cadre de ce renvoi préjudiciel, a été finalement amenée à interpréter plusieurs dispositions de la directive 2016/ 680 – à savoir les articles 4, 5 et 10, l’article 13 de même que l’article 16 à la lumière des dispositions de articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne relatifs respectivement au droit à une vie privée et familiale et au droit à une protection de ses données personnelles.
La Cour considère que la question de la haute juridiction bulgare a pour origine le fait qu’il n’existe pas dans la législation bulgare de motif de limitation ou d’effacement des données autre que la survenance du décès de la personne, ce qui est problématique au regard de la compatibilité de la règlementation bulgare avec le principe de proportionnalité du droit de l’Union européenne. En réponse, à la question qui lui était posée, la Cour a considéré que les dispositions de la directive 2016/ 680 s’opposent à ce que les catégories particulières de données, notamment les données biométriques des personnes ayant fait l’objet d’une condamnation pénale définitive, soient conservées jusqu’au décès de la personne. En effet, leur conservation pour une durée illimitée contrevient au respect du principe de proportionnalité, principe qui suppose que les limitations au respect de la vie privée et à la protection des données personnelles ne soient possibles que si elles sont nécessaires, pour des motifs d’intérêt général ou de protection des droits et libertés d’autrui.
Conséquences de la décision sur les droits des personnes concernées
En matière de traitement des données personnelles, les droits des personnes ayant fait l’objet d’une condamnation pénale peuvent être limités, sous réserve de respecter le principe de proportionnalité rappelé ci-dessus. Cependant, la limitation qu’apporte la législation bulgare aux droits des personnes concernées par un traitement de leur données personnelles confine à une conservation de ces données de façon illimitée, jusqu’au décès de la personne, ce qui ne peut être considéré comme nécessaire à la poursuite d’un intérêt général et donc conforme au principe européen de proportionnalité.
Conclusion
Cette décision de la CJUE précise donc les conditions de la limitation des droits de la personne condamnée à une peine définitive lorsqu’il est question du traitement de ses données personnelles relevant d’une catégorie particulière, à savoir ses données génétiques et biométriques. La Cour consacre ainsi un droit à l’oubli même pour le traitement de ces catégories de données sensibles, et ce faisant se positionne quant à l’idée d’une peine qui peut avoir une finalité de réinsertion en lieu et place de bannir l’individu de la société à vie.
Pour en savoir plus / sources :
§ https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016L0680
|