Actualites jurisprudentielles europeennes: 1
Publié le 22 octobre 2013 par Elisa Viganotti
@Elisa_Viganotti
Les prélèvements des empreintes digitales et leur conservations dans les passeports portent-ils atteinte aux droits au respect de la vie privée?
ARRÊT DE LA COUR DE JUSTICE DE L'UNION EUROPEENNE (Quatrième chambre)17 octobre 2013 affaire C‑291/12 Saisie par une juridiction allemande, la haute juridiction européenne a analysé les dispositions pertinentes du règlement (CE) n° 2252/2004 du Conseil, du 13 décembre 2004 relatif aux passeports biométriques par rapport à la Charte européenne des Droits fondamentaux
Extraits de la décision: En premier lieu, il convient d’examiner si le prélèvement des empreintes digitales et leur conservation dans les passeports, prévus à l’article 1er, paragraphe 2, du règlement n° 2252/2004, constituent une atteinte aux droits au respect de la vie privée et à la protection des données à caractère personnel. Dans l’affirmative, il y a lieu de vérifier, en second lieu, si une telle atteinte peut être justifiée. Sur l’existence de l’atteinte. 24 L’article 7 de la Charte prévoit, notamment, que toute personne a droit au respect de sa vie privée. Selon l’article 8, paragraphe 1, de celle-ci, toute personne a droit à la protection des données à caractère personnel la concernant. 25 Il découle de ces dispositions, lues conjointement, que, en principe, est susceptible de constituer une atteinte auxdits droits tout traitement des données à caractère personnel par un tiers. 26 Il convient d’emblée de rappeler, d’une part, que le respect du droit à la vie privée à l’égard du traitement des données à caractère personnel se rapporte à toute information concernant une personne physique identifiée ou identifiable (arrêts du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, Rec. p. I‑11063, point 52, ainsi que du 24 novembre 2011, ASNEF et FECEMD, C-468/10 et C-469/10, Rec. p. I‑12181, point 42). 27 Les empreintes digitales relèvent de cette notion dès lors qu’elles contiennent objectivement des informations uniques sur des personnes physiques et permettent leur identification précise (voir en ce sens, notamment, Cour eur. D. H., arrêt S. et Marper c. Royaume-Uni du 4 décembre 2008, Recueil des arrêts et décisions 2008-V, p. 213, § 68 et 84). 28 D’autre part, ainsi qu’il ressort de l’article 2, sous b), de la directive 95/46, constitue un traitement de données à caractère personnel toute opération appliquée par un tiers à ces données, telle que leur collecte, leur enregistrement, leur conservation, leur consultation ou leur utilisation. 29 L’application de l’article 1er, paragraphe 2, du règlement n° 2252/2004 implique que les autorités nationales relèvent les empreintes digitales appartenant aux personnes concernées et que celles-ci soient conservées sur le support de stockage intégré dans le passeport. De telles mesures doivent être considérées, par conséquent, comme constituant un traitement de données à caractère personnel. 30 Dans ces conditions, il convient de constater que le prélèvement et la conservation d’empreintes digitales par les autorités nationales, régis par l’article 1er, paragraphe 2, du règlement n° 2252/2004, constituent une atteinte aux droits au respect de la vie privée et à la protection des données à caractère personnel. Dès lors, il doit être examiné si ces atteintes sont justifiées. Sur la justification(de l'atteinte) 31 Il ressort de l’article 8, paragraphe 2, de la Charte que les données à caractère personnel ne peuvent être traitées que sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. 32 En ce qui concerne, tout d’abord, la condition tenant au consentement des demandeurs de passeports avec le prélèvement de leurs empreintes digitales, il convient de relever que la possession d’un passeport est, en règle générale, indispensable aux citoyens de l’Union notamment pour effectuer des déplacements à destination de pays tiers et que ce document doit contenir des empreintes digitales, en application de l’article 1er, paragraphe 2, du règlement n° 2252/2004. Ainsi, les citoyens de l’Union souhaitant effectuer de tels déplacements ne peuvent s’opposer librement au traitement de leurs empreintes digitales. Dans ces conditions, les demandeurs de passeports ne sauraient être considérés comme ayant consenti à un tel traitement. 33 S’agissant, ensuite, de la justification du traitement des empreintes digitales en vertu d’un autre fondement légitime prévu par la loi, il convient d’emblée de rappeler que les droits reconnus par les articles 7 et 8 de la Charte n’apparaissent pas comme des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société (voir, en ce sens, arrêts Volker und Markus Schecke et Eifert, précité, point 48, ainsi que du 5 mai 2011, Deutsche Telekom, C‑543/09, Rec. p. I‑3441, point 51). 34 En effet, l’article 52, paragraphe 1, de la Charte admet des limitations à l’exercice de tels droits, pour autant que ces limitations sont prévues par la loi, qu’elles respectent le contenu essentiel de ces droits et que, dans le respect du principe de proportionnalité, elles sont nécessaires et qu’elles répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. 35 En l’occurrence, il est constant, premièrement, que la limitation qui résulte du prélèvement et de la conservation d’empreintes digitales dans le cadre de la délivrance de passeports doit être considérée comme étant prévue par la loi, au sens de l’article 52, paragraphe 1, de la Charte, dès lors que l’article 1er, paragraphe 2, du règlement n° 2252/2004 prévoit ces opérations. 36 En ce qui concerne, deuxièmement, l’objectif d’intérêt général sous-jacent à ladite limitation, il ressort de l’article 1er, paragraphe 2, du règlement n° 2252/2004, lu à la lumière des considérants 2 et 3 de celui‑ci, que cette disposition poursuit notamment deux buts précis, le premier étant de prévenir la falsification des passeports et le second d’empêcher leur utilisation frauduleuse, à savoir leur utilisation par d’autres personnes que leur titulaire légitime. 37 En poursuivant de tels buts, ladite disposition vise par conséquent à empêcher, notamment, l’entrée illégale de personnes sur le territoire de l’Union. 38 Dans ces conditions, force est de constater que l’article 1er, paragraphe 2, du règlement n° 2252/2004 poursuit un objectif d’intérêt général reconnu par l’Union. 39 Troisièmement, il ne ressort pas des éléments dont dispose la Cour et il n’a pas d’ailleurs été allégué que les limitations en l’espèce apportées à l’exercice des droits reconnus par les articles 7 et 8 de la Charte ne respecteraient pas le contenu essentiel de ces droits. 40 Quatrièmement, il convient de vérifier si les limitations apportées auxdits droits sont proportionnées au regard des buts poursuivis par le règlement n° 2252/2004, et, partant, au regard de l’objectif d’empêcher l’entrée illégale de personnes sur le territoire de l’Union. Il y a lieu ainsi d’examiner si les moyens mis en œuvre par ce règlement sont aptes à réaliser ces buts et ne vont pas au-delà de ce qui est nécessaire pour les atteindre (voir arrêt Volker und Markus Schecke et Eifert, précité, point 74). 41 En ce qui concerne la question de savoir si l’article 1er, paragraphe 2, du règlement n° 2252/2004 est apte à atteindre le but visant à prévenir la falsification des passeports, il est constant que la conservation des empreintes digitales sur un support de stockage hautement sécurisé, prévue par cette disposition, implique une sophistication technique, de sorte que cette conservation est susceptible de réduire le risque de falsification des passeports et de faciliter la tâche des autorités chargées d’examiner aux frontières l’authenticité de ceux-ci. 42 S’agissant du but tendant à la prévention de l’utilisation frauduleuse des passeports, M. Schwarz soutient que la méthode de vérification d’identité au moyen des empreintes digitales n’est pas apte à atteindre celui-ci, dans la mesure où son application pratique est accompagnée d’erreurs. En effet, étant donné que deux copies numériques d’empreintes digitales ne seraient jamais identiques, les systèmes utilisant cette méthode ne seraient pas suffisamment précis, de sorte qu’ils accuseraient un taux non négligeable d’acceptations erronées de personnes non autorisées et de rejets erronés de personnes autorisées. 43 À cet égard, il convient toutefois de constater qu’il n’est pas déterminant que ladite méthode ne soit pas totalement fiable. En effet, d’une part, bien qu’elle n’exclue pas complètement les acceptations de personnes non autorisées, il suffit qu’elle réduise considérablement le risque de telles acceptations qui existerait si cette même méthode n’était pas utilisée. 44 D’autre part, s’il est exact que l’application de la méthode de vérification d’identité au moyen des empreintes digitales risque d’aboutir exceptionnellement au rejet, à tort, de personnes autorisées, il n’en demeure pas moins que le défaut de concordance des empreintes digitales du détenteur du passeport avec les données intégrées dans ce document ne signifie pas, ainsi que le prévoit l’article 4, paragraphe 3, deuxième alinéa, du règlement n° 2252/2004, que la personne concernée se voit automatiquement refuser l’entrée sur le territoire de l’Union. Un tel défaut de concordance aura pour seule conséquence d’attirer l’attention des autorités compétentes sur la personne concernée et d’entraîner, à l’égard de celle-ci, un contrôle approfondi destiné à établir son identité d’une manière définitive. 45 Au regard des considérations qui précèdent, il y a lieu de constater que le prélèvement et la conservation des empreintes digitales, visés à l’article 1er, paragraphe 2, du règlement n° 2252/2004, sont aptes à atteindre les buts poursuivis par ce règlement et, partant, l’objectif d’empêcher l’entrée illégale de personnes sur le territoire de l’Union. 46 En ce qui concerne, ensuite, l’examen du caractère nécessaire d’un tel traitement, le législateur est notamment tenu de vérifier si des mesures moins attentatoires aux droits reconnus par les articles 7 et 8 de la Charte sont concevables tout en contribuant de manière efficace aux buts de la réglementation de l’Union en cause (voir, en ce sens, arrêt Volker und Markus Schecke et Eifert, précité, point 86). 47 Dans ce contexte, s’agissant du but tenant à la protection des passeports contre leur utilisation frauduleuse, il convient d’examiner, en premier lieu, si l’atteinte constituée par la mesure de prélèvement des empreintes digitales ne va pas au-delà de ce qui est nécessaire pour la réalisation dudit but. 48 À cet égard, il y a lieu de rappeler, d’une part, que le prélèvement ne consiste qu’à prendre l’empreinte de deux doigts. Ceux-ci sont d’ailleurs normalement exposés à la vue des autres, de sorte qu’il ne s’agit pas d’une opération revêtant un caractère intime. Celle-ci n’entraîne pas non plus un désagrément physique ou psychique particulier pour l’intéressé, à l’instar de la prise de sa photo faciale. 49 Certes, le prélèvement des empreintes digitales s’ajoute à la prise de la photo faciale. Néanmoins, le cumul de deux opérations destinées à l’identification des personnes ne peut a priori être considéré comme entraînant, en soi, une atteinte plus importante aux droits reconnus par les articles 7 et 8 de la Charte que si ces opérations étaient considérées isolément. 50 Ainsi, en ce qui concerne l’affaire au principal, rien dans le dossier soumis à la Cour ne permet de constater que le caractère concomitant du prélèvement des empreintes digitales et de la prise de la photo faciale entraînerait, pour cette seule raison, une atteinte plus importante à ces droits. 51 D’autre part, il y a lieu de relever que la seule réelle alternative au prélèvement des empreintes digitales évoquée au cours de la procédure devant la Cour consiste dans la saisie d’une image de l’iris de l’œil. Or, rien dans le dossier soumis à la Cour n’indique que ce dernier procédé soit moins attentatoire aux droits reconnus par les articles 7 et 8 de la Charte que le prélèvement des empreintes digitales. 52 En outre, en ce qui concerne l’efficacité de ces deux dernières méthodes, il est constant que le niveau de maturité technologique de celle fondée sur la reconnaissance de l’iris n’atteint pas le niveau de celle fondée sur des empreintes digitales. Par ailleurs, la reconnaissance de l’iris est un procédé sensiblement plus onéreux, à l’heure actuelle, que celui de la comparaison des empreintes digitales et, de ce fait, moins adapté à une utilisation généralisée. 53 Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. 54 En second lieu, pour être justifié au regard d’un tel but, encore faut-il que l’article 1er, paragraphe 2, du règlement n° 2252/2004 n’implique pas de traitements des empreintes digitales prélevées qui iraient au-delà de ce qui est nécessaire pour la réalisation dudit but. 55 À cet égard, il convient de relever que le législateur doit s’assurer qu’il existe des garanties spécifiques visant à protéger ces données efficacement contre les traitements impropres et abusifs (voir, en ce sens, Cour eur. D. H., arrêt S. et Marper c. Royaume-Uni, précité, § 103). 56 Sur ce point, il convient de relever, d’une part, que l’article 4, paragraphe 3, du règlement n° 2252/2004 précise expressément que les empreintes digitales ne peuvent être utilisées que dans le seul but de vérifier l’authenticité du passeport et l’identité de son titulaire. 57 D’autre part, ce règlement assure une protection contre le risque de lecture des données contenant des empreintes digitales par des personnes non autorisées. À cet égard, il ressort de l’article 1er, paragraphe 2, dudit règlement que les données concernées sont conservées sur un support de stockage intégré dans le passeport et hautement sécurisé. 58 Toutefois,la juridiction de renvoi se demande, dans la perspective examinée, si l’article 1er, paragraphe 2, du règlement n° 2252/2004 est proportionné étant donné le risque que, après le prélèvement des empreintes digitales en application de cette disposition, ces données de très haute qualité soient conservées, le cas échéant d’une manière centralisée, et utilisées à des fins autres que celles prévues par ce règlement. 59 À cet égard, il convient de relever que les empreintes digitales jouent, certes, un rôle particulier dans le domaine de l’identification des personnes en général. Ainsi, les techniques d’identification par comparaison des empreintes digitales prélevées sur un lieu déterminé avec celles stockées dans une base de données permettent d’établir la présence sur ce lieu d’une certaine personne, que ce soit dans le cadre d’une enquête criminelle ou dans le but d’opérer une surveillance indirecte d’une telle personne. 60 Cependant, il importe de rappeler que l’article 1er, paragraphe 2, du règlement n° 2252/2004 ne prévoit la conservation des empreintes digitales qu’au sein même du passeport, lequel demeure la possession exclusive de son titulaire. 61 Ce règlement n’envisageant aucune autre forme ni aucun autre moyen de conservation de ces empreintes, il ne saurait être interprété, ainsi que le souligne le considérant 5 du règlement n° 444/2009, comme fournissant, en tant que tel, une base juridique à une éventuelle centralisation des données collectées sur son fondement ou à l’utilisation de ces dernières à d’autres fins que celle visant à empêcher l’entrée illégale de personnes sur le territoire de l’Union. 62 Dans ces conditions, les arguments évoqués par la juridiction de renvoi concernant les risques liés à l’éventualité d’une telle centralisation ne sont, en tout état de cause, pas de nature à affecter la validité dudit règlement et devraient, le cas échéant, être examinés à l’occasion d’un recours exercé, devant des juridictions compétentes, contre une législation prévoyant une base centralisée des empreintes digitales. 63 Eu égard aux considérations qui précèdent, il convient de constater que l’article 1er, paragraphe 2, du règlement n° 2252/2004 n’implique pas un traitement des empreintes digitales qui irait au-delà de ce qui est nécessaire pour la réalisation du but tenant à la protection des passeports contre leur utilisation frauduleuse.64 Il s’ensuit que l’atteinte découlant de l’article 1er, paragraphe 2, du règlement n° 2252/2004 est justifiée par le but tenant à la protection des passeports contre leur utilisation frauduleuse. + Elisa VIGANOTTI