Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Documents d’identité biométriques : la justice donne plus de liberté aux Etats

Publié le par

La justice ouvre la voie à une réutilisation des données biométriques à d’autres fins que la délivrance des documents officiels, passeports ou documents de voyage. Les Etats disposent, en cette matière, d’une très large marge de manouvre puisque ces réutilisations ont lieu en dehors du règlement européen harmonisant la matière.

Les faits

Les affaires se déroulent en Hollande.

Des citoyens introduisent auprès de l’autorité locale une demande de passeport. L’administration demande dans ce cadre que les demandeurs fournissent leurs empreintes digitales. Ceux-ci refusent, estimant qu’il s’agit d’une atteinte injustifiée à leur vie privée. Vu ce refus, la demande de passeport est rejetée par l’administration.

Séparément, d’autres citoyens forment une demande de délivrance de carte d’identité néerlandaise, également rejetée au motif que les demandeurs refusent de fournir leurs empreintes digitales et une photo faciale.

Pourquoi ce refus des citoyens ?

Les citoyens critiquent tout d’abord le stockage de ces données sur trois supports distincts. En effet, celles-ci seraient conservées non pas uniquement sur le support de stockage intégré dans le passeport ou la carte d’identité néerlandaise, mais également dans une base de données décentralisée.

Par ailleurs, ils soulignent que les risques pour la sécurité desdites données augmenteraient au motif que la loi relative aux passeports prévoit que les bases de données décentralisées communales seront, à terme, réunies dans une base de données centralisée.

Également, ils pointent du doigt l’absence de dispositions identifiant clairement les personnes qui auront accès aux données biométriques, de sorte qu’ils perdraient le contrôle de ces dernières.

Enfin, les citoyens soutiennent que les autorités pourraient utiliser à l’avenir les données biométriques à d’autres fins que celles pour lesquelles ils les ont fournies. En particulier, le stockage de ces données dans une base de données pourrait être utilisé à des fins judiciaires ainsi que par les services de renseignements et de sécurité.

La procédure et l’arrêt rendu

De recours en recours, l’affaire aboutit devant la Cour de justice de l’Union européenne.

Le juge hollandais s’interroge en effet sur le point de savoir si la carte d’identité néerlandaise relève du champ d’application du règlement n° 2252/2004 et des contraintes qui en découlent.

Également, le juge hollandais se demande s’il résulte du règlement n° 2252/2004 qu’il doit être garanti par la loi, c’est-à-dire au moyen d’une règle obligatoire et de portée générale, que les données biométriques collectées sur la base de ce règlement ne peuvent pas être utilisées à d’autres fins que celles prévues par ledit règlement.

Sur le champ d’application du règlement.

Selon son article 1er, paragraphe 3, seconde phrase, le règlement n° 2252/2004 ne s’applique pas « aux cartes d’identité délivrées par les États membres à leurs ressortissants ou aux passeports et aux documents de voyage temporaires ayant une validité inférieure ou égale à douze mois ».

La question ressemble à un cours de grammaire, mais se résume à cela : à quel(s) mot(s) renvoie l’adjectif « temporaires » ?

Ce terme s’applique-t-il à l’ensemble des documents évoqués (carte d’identité, passeport et documents de voyage), ou uniquement aux passeports et aux documents de voyage et donc pas aux cartes d’identité ?

Il est vrai que vu la multiplication des « et » et des « ou » et l’absence de virgule, la phrase n’est pas d’une clarté parfaite.

Dans une telle situation, on sait que la Cour de justice a tendance à analyser les travaux préparatoires et les autres versions linguistiques du texte.

C’est ce qu’elle fait en l’occurrence pour conclure que les termes « temporaires » et « ayant une validité inférieure ou égale à douze mois » ne se rapportent pas aux cartes d’identité délivrées par les États membres à leurs ressortissants.

Certes dit la Cour, la carte d’identité permet dans plusieurs hypothèses d’être utilisée lors d’un voyage. Tel est le cas au sein de l’Union européenne, mais également vers des pays tiers avec lesquels l’UE a conclu des accords bilatéraux. Cela n’ébranle pas la Cour qui considère que le législateur de l’Union a clairement souhaité exclure du champ d’application de ce règlement les cartes d’identité délivrées par les États membres à leurs ressortissants.

Sur les finalités et les garanties.

 

Les Etats membres sont-ils obligés de garantir que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage ? Telle est en substance la question posée.

La Cour commence par rappeler qu’elle a déjà jugé aux termes de son arrêt Schwarz (C-291/12), que l’utilisation et la conservation des données biométriques aux fins précisées à l’article 4, paragraphe 3, dudit règlement, sont conformes aux exigences des articles 7 et 8 de la Charte. Il n’y a donc pas lieu de remettre en cause le principe même de l’utilisation de telles données.

Reste alors à voir quelles modalités s’appliquent à la collecte et aux utilisations ultérieures.

Le règlement impose en effet un certain nombre de contraintes. Celles-ci s’appliquent-elles uniquement aux traitements effectués dans le cadre du règlement, où s’étendent-elles à tout traitement ultérieur appliqué aux données collectées en exécution du règlement ? Pour la Cour, le règlement a une portée limitée et les contraintes qu’il impose ne peuvent donc s’appliquer qu’«aux fins dudit règlement». Il en résulte notamment que ce texte-là n’oblige pas un État membre à garantir, dans sa législation, que les données biométriques ne seront ni utilisées ni conservées par cet État à des fins autres que celles visées à l’article 4, paragraphe 3, de ce règlement.

Voilà pour le règlement. Mais qu’en est-il des articles 7 et 8 de la Charte ? Les droits fondamentaux qu’elle garantit  doivent en effet être respectés lorsqu’une réglementation nationale entre dans le champ d’application du droit de l’Union (C‑617/10, points 20 et 22, et C‑418/11, points 71 à 73).

On aurait aimé lire la réflexion de la Cour sur ce point précis, mais les juges suprêmes européens s’en sortent par une forme de pirouette. « Étant donné que, en l’occurrence, le règlement n° 2252/2004 n’est pas applicable, il n’y a pas lieu de vérifier si les conservations et les utilisations des données biométriques à des fins autres que celles visées à l’article 4, paragraphe 3, de ce règlement sont conformes auxdits articles de la Charte. » Nous le regrettons, car même si le raisonnement est logiquement correct, la Cour perd une opportunité d’asseoir sa jurisprudence en la matière et d’assurer une application aussi harmonisée que possible des valeurs transmises par la Charte. Maigre consolation : la Cour rappelle au juge national que cette pirouette ne le dispense pas, lui, d’un éventuel examen de la compatibilité de toutes les mesures nationales liées à l’utilisation et à la conservation des données biométriques avec leur droit national et, le cas échéant, avec la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (C-291/12, point 62). Nous allons donc assister en la matière au grand retour des particularismes nationaux.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK