Dans une décision rendue le 16 novembre 2023, la Cour de justice de l’Union européenne (CJUE) a apporté des éclairages quant à la question de savoir si les règles protectrices des personnes physiques en matière de traitement de données à caractère personnel s’appliquent à l’identique que dans le RGPD, lorsque les données sont traitées par les services de police. La Cour de justice répond de façon positive à cette problématique, tout en tenant compte des spécificités du traitement de données à caractère personnel par les services de police dans un but de protection de la sécurité publique et de la sûreté nationale.
🟠 Droits de l’individu dont les données font l’objet d’un traitement par les services de police
A l’instar du RGPD, la directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales, et à la libre circulation de ces données impose aux États membres un certain nombre d’obligations. Parmi ces obligations figure celle de fournir à la personne concernée par un traitement de ses données par les services de police un droit d’accès aux données collectées le concernant, de rectification, d’effacement, ainsi qu’un droit de limitation du traitement des données. De plus, la directive impose aux États membres de veiller à ce que toute limitation des droits de la personnes concernée par le traitement respecte la Charte des droits fondamentaux de l’UE ainsi que la Convention européenne de sauvegarde des droits de l’Homme. Cependant, au regard de la nature spécifique du domaine dans lequel intervient le traitement des données personnelles, à savoir en matière de police et par des autorités de police, la directive prévoit la possibilité pour l’État de prendre des mesures législatives pour limiter entièrement ou partiellement les droits d’accès de la personne concernée par le traitement, et ce pour des questions de sécurité publique et de sûreté nationale (art. 13 § 3, 15 §3 et 16). Dans cette hypothèse de limitation totale ou partielle, les droits d’accès de la personne concernée par un traitement de ses données personnelles sont exercés indirectement par l’autorité de contrôle qui vérifie la licéité du traitement.
De même, et précisément à propos de l’individu dont les droits ont été restreints totalement ou partiellement, l’article 17 de la directive 2016/680 impose aux États de s’assurer qu’en cas d’accès indirect par le biais de l’autorité de contrôle, que la personne concernée bénéficie d’une information minimale lui indique qu’un examen des données traitées a été fait, ainsi que les vérifications nécessaires.
C’est donc à propos de cette information minimale fournie à la personne concernée que la CJUE a été saisie d’un recours préjudiciel et qu’elle a apporté des précisions quant aux droits dont bénéficie la personne concernée.
🟠 Contexte du litige et procédure
Un citoyen belge salarié d’une association à but non lucratif ayant eu besoin d’une habilitation de sécurité à des fins d’exercice professionnel demande à l’Autorité nationale de sécurité belge une habilitation de sécurité. Cette habilitation lui est refusée au nom de la préservation de la sûreté de l’État et de la pérennité de l’ordre démocratique constitutionnel, en raison de la participation de l’intéressé à une dizaine de manifestations entre les années 2007 et 2016. La décision de refus de l’habilitation de sécurité opposée par l’Autorité de sécurité nationale belge n’a pas fait l’objet d’un recours. Cependant, assisté de son conseil, le citoyen belge a demandé à l’Organe de Contrôle de l’Information Policière belge (OCIP) de lui communiquer l’identité de l’organisme responsable du traitement des données à caractère personne, afin notamment de pouvoir exercer son droit d’accès aux données personnelles le concernant, ainsi que les autres droits y afférents. Cependant l’OCIP a informé le requérant de ce qu’il ne disposait que d’un accès indirect aux données personnelles le concernant, et qu’il se chargerait lui-même de procéder au contrôle et à la vérification de la légalité du traitement des données personnelles en causes. A la suite du contrôle, l’OCIP s’est contenté de répondre à la personne concernée qu’il avait procédé aux vérifications nécessaires, en n’apportant pour seules précisions qu’il avait le pouvoir d’ordonner à la police de supprimer ou de modifier des données si nécessaire.
En conséquence, la question préjudicielle posée à la Cour du Luxembourg, par la Cour d’appel de Bruxelles est celle de savoir si l’article 17 précité de directive 2016/680 du 27 avril 2016 est conforme aux articles 8 § 3 et 47 de la Charte des droits fondamentaux de l’Union européenne. Ces articles de la Charte soumettent respectivement le respect des règles relatives à la protection des données personnelles au contrôle d’une autorité indépendante, ainsi qu’au droit à un recours effectif et à accéder à un tribunal impartial.
🟠 Décision de la CJUE
La CJUE a jugé que l’article 17 de la directive 2016/680, interprété à la lumière des principes énoncés par les articles 8 § 3 et 47 précités de la Charte des droits fondamentaux de l’UE, implique que lorsque les droits d’une personne ont été exercés indirectement par l’autorité de contrôle, et que cette dernière informe la personne concernée du résultat des vérifications auxquelles elle a procédé, elle adopte une décision juridiquement contraignante. Conséquence logique de cette qualification de l’obligation minimale d’information en décision contraignante, la personne concernée à laquelle elle s’adresse doit disposer d’un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.
🟠 Conséquences de la décision sur les droits des personnes concernées
La décision de la CJUE dans cette affaire permet d’apporter des précisions sur un aspect qui était peu clair dans la directive 2016/680 du 27 avril 2016. En effet, l’obligation minimale d’informer la personne concernée en cas d’accès indirect à ses données traitées par les services de police est qualifiée de « décision juridiquement contraignante » par la Cour de justice car elle affecte la situation juridique de cette personne. La Cour en conclue donc que cette décision doit pouvoir faire l’objet d’un recours juridictionnel.
🟠 Conclusion
L’arrêt de la CJUE qui qualifie la décision rendue à l’occasion du contrôle indirect de décision contraignante renforce les droits fondamentaux des citoyens européens en matière de traitement de leurs données personnelles par les services de police.
En effet, l’autorité de contrôle en exerçant indirectement le droit d’accès aux données de la personne concernée pour apprécier la licéité du traitement et apporter éventuellement des mesures correctives n’est plus juge et partie, puisque sa décision informant la personne concernée du résultat peut être à son tour soumise à un juge.
Par ailleurs, cette décision ouvre quand même à la personne concernée par une décision l’informant du résultat des vérifications faites par l’autorité indépendante de contrôle, une opportunité de prendre connaissance des données traitées par les services de police, en dépit de la limitation initiale de l’accès par un État membre pour motifs légitimes tels que la sécurité publique et la sûreté nationale.
Pour en savoir plus / sources:
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/43015/traitement-de-donnees-a-caractere-personnel-et-obligation-minimale-d-information-de-la-personne-concernee-les-precisions-de-la-cjue
- https://www.lamyline.fr/Content/document.aspx?params=H4sIAAAAAAAEABXIOw6EIBAA0NvQSeYLMwWFrf3WGxMIoVGjG86_8ZVv1Fq2DwCwGYFKmO1-xnmUOXo7fi2MZ72u-5ytFgISQDRMmsO374UimzCJRQRSRwfxiBlUnQV5UbRk7sxvCmc0T38vXF-acQAAAA==WKE
- https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016L0680