Dans un arrêt publié mardi (30 janvier), la Cour de justice de l’Union européenne (CJUE) estime que les services répressifs ne peuvent pas conserver les données biométriques et génétiques des personnes ayant commis des infractions pénales de manière indifférenciée jusqu’à leur décès.
Les données biométriques sont des informations personnelles relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne. Elles sont utilisées pour identifier un individu et peuvent être utilisées dans le cadre d’un processus de vérification de l’identité numérique. Les empreintes digitales, les expressions du visage ou les scans d’iris sont des données biométriques.
Les données génétiques sont quant à elles des données personnelles relatives aux caractéristiques génétiques d’une personne, telles que le sexe, les traits ethniques, la taille ou le poids. Elles peuvent aussi être plus spécifiques et fournir des informations sur la santé mentale ou physique de la personne.
Ces données sensibles font partie des informations collectées sur des personnes ayant commis des infractions pénales et sont parfois conservées jusqu’à leur mort. La plus haute juridiction de l’UE vient à présent de juger cette pratique contraire au droit de l’Union.
« Le résultat de l’arrêt est à la fois bienvenu et sans surprise », a indiqué Lorenzo Dalla Corte, professeur assistant en droit de la protection des données et de la cybersécurité à l’Université de Tilbourg, à Euractiv.
« La jurisprudence de la Cour sur la conservation des données a été très claire sur le fait que les mesures générales et indifférenciées de conservation des données mises en place pour la prévention des crimes [graves], les enquêtes et les poursuites sont contraires au droit de l’Union », a-t-il expliqué.
Le professeur a ajouté que « bien que cette jurisprudence porte sur des sujets différents, tels que les données de télécommunications et les dossiers passagers [PNR], il est logique d’appliquer ses principes à la directive 2016/680 et à l’affaire en question, comme l’a fait la Cour ».
La directive 2016/680 a trait à la protection des personnes physiques compte tenu du traitement de leurs données personnelles par des autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.
L’arrêt de la CJUE a été prononcé dans le cadre d’un cas en Bulgarie concernant l’inscription dans les fichiers de police d’une personne, témoin dans un tribunal, condamné pour avoir prononcé un faux témoignage. Après avoir purgé sa peine de prison d’un an avec sursis, il a été réhabilité.
En vertu de la législation bulgare, les données concernant les personnes condamnées sont conservées dans des registres, qui peuvent être consultés par les autorités jusqu’au décès de la personne.
La personne a demandé la suppression de son dossier, mais sa demande a été rejetée, car en Bulgarie, une condamnation pénale définitive ne peut pas être supprimée des dossiers de police, même après réhabilitation. Après que la personne a fait appel du jugement, la Cour administrative suprême bulgare a fait référence du cas à la CJUE pour qu’elle se prononce sur le droit européen.
La CJUE a souligné que les dossiers de police bulgares contiennent des empreintes digitales, une photographie, un échantillon d’ADN et des données sur les infractions pénales — des éléments qui peuvent être essentiels pour vérifier si une personne a déjà commis un crime ou a été condamnée par un jugement définitif.
Toutefois, selon la Cour de l’UE, les condamnés ne présentent pas tous le même niveau de risque d’être impliqués dans une nouvelle infraction pénale, et il n’est donc pas justifié de prévoir une période de conservation complète et indifférenciée de leurs données jusqu’à leur décès. Pour la Cour, ce délai ne devrait s’appliquer que dans des cas spécifiques.
« Le point critique ici n’est pas la légalité de la mesure évaluée par la Cour, ni son adéquation en tant qu’outil de prévention de la criminalité, d’enquête et de poursuite », a déclaré M. Dalla Corte. « Le problème avec ce type de mesure est plutôt que le stockage général et indifférencié de données personnelles [sensibles] ne peut pas être considéré comme “nécessaire”, puisqu’il est possible d’envisager des alternatives appropriées qui conduiraient à une moindre ingérence dans les droits fondamentaux des personnes concernées. »
En vertu du droit communautaire, la législation nationale doit contraindre les responsables du traitement des données à réexaminer périodiquement si la conservation des données est toujours nécessaire ou non. Si la conservation n’est plus nécessaire, la personne dispose du droit à l’effacement.
Dans le cas bulgare, les autorités doivent désormais donner à la personne concernée la possibilité d’effacer ses informations sensibles.
M. Dalla Corte a conclu que « les législateurs des États membres de l’UE devront finalement admettre que la conservation de données jusqu’au décès d’une personne ne peut être considérée comme “appropriée” que dans des circonstances particulières, et introduire les nuances qui s’imposent dans leur législation ».
