Les Etats membres ne sont pas obligés de garantir que l’utilisation des données biométriques des documents d’identité ne seront pas utilisés à d’autres fins

Droit public
Source: CJUE, 16 avril 2015, aff. n° C 446/12 à C 449/12


Dans cette affaire, des citoyens néerlandais refusaient de se plier aux réglementations sur les données biométriques et notamment de fournir leurs empreintes digitales et photographies faciales pour l’établissement de leur passeport et carte d’identité.
Ils indiquaient que cela constituait une atteinte à leur intégrité physique et une limitation à leur droit à la protection de leur vie privée car aux Pays-Bas, ces données ne sont pas stockées uniquement dans le support du passeport ou de la carte d’identité, mais également dans des bases de données décentralisées (qui seront réunies, à terme, dans une base de données centralisée).
Ils craignaient que ces données puissent être utilisées à des fins judiciaires ou bien par les services de renseignements et de sécurité, alors qu’un règlement de l’Union indique qu’elles servent à vérifier l’authenticité du document et l’identité du titulaire.
C’est en cela que découlait l’atteinte à leur intégrité physique et leur privée.
La CJUE est saisie d’une question préjudicielle par le conseil d’état néerlandais portant sur l’interprétation des articles 1er, paragraphe 3, et 4, paragraphe 3, du règlement (CE) n° 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres modifié par le règlement (CE) n° 444/2009 du Parlement européen et du Conseil, du 6 mai 2009.
L’article 4, paragraphe 3, premier alinéa, de ce règlement est libellé comme suit :
« Les données biométriques sont rassemblées et conservées dans le support de stockage des passeports et des documents de voyage en vue de délivrer ces documents. Aux fins du présent règlement, les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier :
a) l’authenticité du passeport ou du document de voyage ;
b) l’identité du titulaire grâce à des éléments comparables directement disponibles lorsque la loi exige la production du passeport ou du document de voyage. »
Aux termes du considérant 5 du règlement n° 444/2009, qui a modifié le règlement n° 2252/2004 :
« Le règlement [n° 2252/2004] prévoit que les données biométriques sont rassemblées et conservées dans le support de stockage des passeports et des documents de voyage en vue d’émettre ces documents, sans préjudice de toute autre utilisation ou conservation de ces données en application de la législation nationale des États membres. Le règlement [n°2252/2004] ne saurait constituer une base juridique pour établir ou maintenir, dans les États membres, des bases de données stockant ces informations, puisque cet aspect relève de la compétence exclusive des législations nationales. »

Se posait donc la question de savoir si l’article 4, paragraphe 3, du règlement n° 2252/2004, lu à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (respect de la vie privée et familiale et protection des données à caractère personnel), de l’article 8, paragraphe 2, de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (droit au respect de la vie privée et familiale) et de l’article 7, partie introductive et sous f), de la directive 95/46 sur la légitimation du traitement des données, lus en combinaison avec l’article 6, paragraphe 1, partie introductive et sous b), de cette directive qui prévoit que les données doivent être collectées pour des finalités déterminées et ne peuvent être traitées ultérieurement de manière incompatible à ces finalités, devait être interprété en ce sens que, en exécution de ce règlement, les États membres doivent garantir par la loi que les données biométriques rassemblées et conservées sur la base dudit règlement ne peuvent pas être rassemblées, traitées et utilisées à d’autres fins que la délivrance du document concerné.
La Cour de justice de l’UE répond que « l’article 4 -3 du règlement n° 2252/2004, tel que modifié par le règlement n° 444/2009, doit être interprété en ce sens qu’il n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage, un tel aspect ne relevant pas du champ d’application dudit règlement. ».
Les États membres ne sont donc pas obligés de garantir aux citoyens que les données biométriques contenues dans les passeports ne seront pas utilisées ou conservées à des fins autres que la délivrance de la pièce d’identité.