Photo de Immo Wegmann sur Unsplash Selon la Cour de justice de l'Union européenne, les données biométriques de tous les condamnés ne peuvent être conservées ad vitam æternam par la police. Celle-ci doit vérifier régulièrement que cette conservation est nécessaire et reconnaître le droit à l'effacement de ces données si ce n'est pas le cas.
Dans un arrêt rendu ce mardi 30 janvier, la Cour de justice de l'Union européenne (CJUE) juge que les fichiers biométriques des condamnés mis en place par les différentes polices de l'UE ne sont pas exemptés du respect du droit à l'effacement.
La CJUE s'oppose ici à une loi bulgare qui prévoit une conservation généralisée des données jusqu'à la mort de la personne condamnée, même si celle-ci a été réhabilitée.
Le droit à l'effacement d'un condamné réhabilité
En effet, la CJUE a été interrogée en 2022 par la Cour administrative suprême de Bulgarie concernant une personne condamnée pour faux témoignage puis réhabilitée (et pseudonymisée NG dans l'arrêt de la CJUE).
Cette personne a fait l'objet d'une inscription au registre de police dans le cadre de la procédure de sa condamnation. Elle a été condamnée à une peine de probation d'un an qu'elle a purgé, mais a ensuite bénéficié d'une réhabilitation.
Dans son arrêt, la CJUE explique que la loi bulgare prévoit que « les autorités de police inscrivent au registre de police les personnes qui sont poursuivies pour une infraction intentionnelle relevant de l’action publique ». Cette inscription rassemble des données à caractère personnel, des photographies des empreintes digitales et le profil ADN de la personne après prélèvement par la police.
Elle relève que la loi prévoit la radiation de l'inscription au registre de police lorsque :
- l’enregistrement a été effectué en violation de la loi ;
- la procédure pénale est classée ;
- la procédure pénale a abouti à un acquittement ;
- la personne a été exonérée de sa responsabilité pénale et une sanction administrative lui a été infligée ;
- la personne est décédée, auquel cas la demande peut être faite par ses héritiers.
Cette loi ne prévoit donc aucune possibilité de radiation de ce registre pour les condamnés jusqu'à leur mort. Ainsi, la police bulgare a rejeté la demande de radiation de son fichier à cette personne pourtant réhabilitée, « ayant considéré qu’une condamnation pénale définitive, y compris en cas de réhabilitation, ne fait pas partie des motifs de radiation de l’inscription au registre de police », explique la CJUE.
NG a formé un pourvoi devant la Cour suprême administrative s'appuyant sur la directive européenne « Police - Justice » de 2016 « relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales », selon laquelle le traitement de données à caractère personnel résultant de leur conservation ne saurait avoir une durée illimitée. La Cour suprême a éprouvé un doute sur la compatibilité du droit bulgare avec cette directive et a interrogé la CJUE.
La conservation des données peut être nécessaire
La Cour européenne considère d'abord que « la conservation, dans un registre de police, de données concernant des personnes ayant fait l’objet d’une condamnation pénale définitive peut s’avérer nécessaire » aux fins « d’enquête opérationnelle et, plus particulièrement, en vue d’être comparées à d’autres données collectées lors d’enquêtes relatives à d’autres infractions », comme prévu par la loi bulgare.
Elle considère aussi que le relevé des empreintes digitales, la photographie de la personne concernée et le prélèvement à des fins de profilage ADN, « peuvent s’avérer indispensables aux fins de vérifier si la personne concernée est impliquée dans le cadre d’autres infractions pénales que celles pour laquelle elle a été définitivement condamnée » et donc peuvent être stockés dans une base de données de police.
Obligation de vérifier « régulièrement »
Mais la CJUE considère que la directive citée par NG (et précisément l'article 4, paragraphe 1 sous c) et e) ) « s'oppose » à une législation comme celle de la Bulgarie prévoyant la conservation des données des condamnés qui ne met pas « à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci. »
Dans le communiqué de presse [.pdf] associé, la CJUE en conclut que « les autorités de police ne peuvent conserver, sans autre limite temporelle que celle du décès de la personne concernée, des données biométriques et génétiques concernant toutes les personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction volontaire ».
« Quand bien même cette conservation générale et indifférenciée est justifiée par la prévention et la détection d’infractions pénales, d’enquêtes et de poursuite ou d’exécution de sanctions pénales », souligne-t-elle, « les autorités nationales sont tenues de mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, et reconnaître à l’intéressé le droit à l’effacement de ces données lorsque tel n’est plus le cas ».
Commentaires (11)
#1
En France le FAED et FNAEG permet régulièrement l'identification d'auteurs, et contrairement aux EU (enfin j'espère), l'enquête menée ensuite permet de confondre ou non l'auteur présumé des faits.
Permettre le retrait des données biométriques c'est enlever une chance de résoudre une enquête, et de réparer juridiquement le préjudice des victimes.
À qui profite réellement ce genre de décision et de droit ? (Sauf à la montée de l'extrême droite ?!?)
D'autre part « les autorités nationales sont tenues de mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire,», je me demande bien quel argumentaire ils devront utiliser, et surtout quel administratif en gestion des droits de la base va encore se coltiner ce travail chronophage...
Une avancée ?
#1.1
#1.2
En quoi est-ce plus équilibré ? Ce n'est purement que moral et de principe de défendre cette non-conservasion biométrique, qui ne semble pas un droit fondamental (comme la liberté d'aller et venir, l'égalité etc.)
#1.3
Quoi de plus privé que des données biométriques ? C'est même pour cela que le RGPD leur réserve une place à part.
Moi, j'ai parlé d'équilibre parce que c'est ce que propose la CJUE : se poser régulièrement la question de savoir si la violation du respect la vie privée d'un individu est toujours nécessaire pour protéger la sécurité des personnes. Durant toute sa vie, une personne peut changer et il peut ne plus être nécessaire de garder ses empreintes digitales ou des informations génétiques le concernant.
Dans le cas présent, seule sa mort pouvait permettre de supprimer ses données s'il avait été condamné. C'était manifestement non équilibré.
La décision de la CJUE n'interdit pas de garder ces données mais elle demande juste que ça soit justifié. C'est en cela que sa décision est équilibrée.
#1.4
Je trouve dommage de sacraliser la vie privée au détriment de la sécurité sur cet objet là.
Quant au passif ou l'avenir d'une personne fichée, on ne sait pas si elle commettra un tort à la société plus tard, bien que je crois en la rédemption.
Enfin soit, bien que je ne sois pas du tout d'accord avec ton point de vue, je te remercie de l'avoir développer.
#1.5
Ce n'est pas pour rien que je parle d'équilibre.
La décision ne sacralise pas un sujet au détriment de l'autre. Elle remet de l'équilibre en demandant que les 2 sujets soient examinés pour voir s'il faut garder les données ou les détruire. Il est toujours possible de garder les données s'il est jugé que c'est important pour la sécurité. Il est juste interdit de refuser d'effacer les données sans raison.
Quand il s'agit de 2 droits fondamentaux en opposition, c'est toujours comme cela que c'est traité par les juridictions, en particulier celles qui tranchent en dernier recours (CJUE, CEDH, Conseil Constitutionnel, ...).
#2
#2.1
Par contre, pas sûr que ça s'applique aux données biométriques conservées dans le cadre de l'établissement d'une pièce d'identité. Cette conservation est limitée dans le temps et est justifiée (au moins pour détecter les risques d'usurpation d'identité).
Par contre, l'effacement de ces données dans le cadre judiciaire doit s'appliquer sans problème.
Remarque : au moins dans le cadre des empreintes digitales, la France est en règle : 25 ans maximum et possibilité de demander l'effacement avec possibilité de recours en cas de refus.
C'est aussi le cas pour les empreintes génétiques (c'est un peu plus complexe : plus de cas différents).
#3
Ce que la CJUE, a surtout condamné est la réponse de l'administration policière "non justifié" par la loi Bulgare.
Je pense que si la Loi Bulgare aurait été plus précise, ail n'y aura pas eu de condamnation.
Elle en a profité pour rappeler ce qui est censé être déjà le cas, une purge doit être mise en place régulièrement afin de d'avoir une base saine avec des éléments dont la présence est justifiable.
Qu'ai-je mal compris ?
#3.1
Édit : avec la hiérarchie des normes, il n'y a même pas à changer la loi bulgare pour effacer des données.
Le RGPD étant un texte plus fort que la loi nationale, il suffit pour pouvoir effacer ces données, s'il n'y a pas de raison de les garder.
#3.2
C'est surtout l'absence de justification légale à cette conservation qui a été condamné, pas la conservation en soi.