CJUE

Les finalités des données biométriques en question

CJUE, 4ème chambre, 16 avril 2015,  W. P. Willems (C-446/12) contre Burgemeester van Nuth, H. J. Kooistra (C-447/12) contre Burgemeester van Skarsterlân, M. Roest (C-448/12) contre Burgemeester van Amsterdam et L. J. A. van Luijk (C-449/12) contre Burgemeester van Den Haag.

« Falsificare », « falsus », ces étymologies latines, encore pourvues de leurs charmes et intérêts, permettent de désigner un seul et même acte contre lequel un texte européen a décidé de s’engager, celui de tromper. En effet, le règlement (CE) n° 2252/2004 du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres a pour principale vocation « d’améliorer et d’harmoniser les normes de sécurité permettant de protéger les passeports et les documents de voyage contre la falsification ».  

A cette fin, le règlement prévoit l’intégration d’identificateurs biométriques destinés à établir « un lien fiable » entre le détenteur du passeport et ledit document. Aussi, cette condition de fiabilité ne peut se comprendre qu’au regard de la définition même de la biométrie.

Cette dernière s’entend ainsi comme « la technique qui transforme certaines caractéristiques physiques permanentes, mesurables et universelles (iris, empreintes palmaires) en une empreinte numérique ; chaque utilisateur devenant son « propre authentificateur ». »[1]. Appelés à devenir de puissants éléments d’identification, les données biométriques soulèvent alors un débat, qu’esquisse en filigrane cet arrêt de la CJUE du 16 avril 2015, celui de leurs finalités.

En l’espèce, la CJUE a dû se prononcer, dans le cadre d’un renvoi préjudiciel en interprétation, sur la situation de quatre citoyens des Pays-Bas. Monsieur Willems (C-446/12), Mme Roest (C-448/12) et Mme van Luijk (C-449/12) avaient chacun introduit une demande de passeport. Néanmoins, les bourgmestres respectivement compétents ont écarté ces demandes en raison du fait que les intéressés refusaient de leur fournir leurs empreintes digitales. Monsieur Kooistra (C-447/12), quant à lui, avait introduit une demande de délivrance d’une carte d’identité néerlandaise. Cette réclamation lui a également été refusée car Monsieur Kooistra ne souhaitait donner ni ses empreintes digitales ni une photo faciale. Le refus de communiquer ces éléments, constitutifs de données biométriques, était alors fondé sur deux arguments. En effet, ces quatre personnes estimaient que le fait que le droit néerlandais permette de stocker ces données sur trois supports distincts (passeport, carte d’identité et base de données décentralisée) constituait une atteinte à leur intégrité physique et à leur droit à la protection de la vie privée. En outre, les requérants soutenaient que les autorités pourraient utiliser leurs données biométriques à des fins autres que celles pour lesquelles elles ont été fournies ; à l’instar d’un stockage de ces données à des fins judiciaires et/ou sécuritaires.

Dès lors, et face à l’échec de leurs recours contre les décisions de refus des bourgmestres compétents, les quatre requérants ont formé un appel devant la juridiction de renvoi.

Cette dernière a alors soumis deux questions à la CJUE quant à l’interprétation de deux articles du règlement n° 2552/2004. En effet, il s’agissait de savoir si, dans l’affaire concernant Monsieur Kooistra, la carte d’identité néerlandaise relevait du champ d’application de ce dit règlement.

En outre, la CJUE devait également déterminer s’il résultait du règlement n° 2252/2004 qu’il doit être garanti, par la loi, que les données biométriques collectées sur la base de ce règlement ne peuvent pas être utilisées à d’autres fins que celles prévues par ce dernier.

Force est de constater que la CJUE a répondu, au regard de ces deux interrogations, par la négative.

I. L’exclusion de la carte d’identité néerlandaise du champ d’application du règlement n° 2252/200

La première question soulevée devant la CJUE n’était autre que de savoir s’il convenait « d’interpréter l’article 1er, paragraphe 3, du règlement n° 2552/2004 en ce sens que ce règlement n’est pas applicable aux cartes d’identité délivrées par un Etat membre à ses ressortissants, telles que les cartes d’identité néerlandaises, indépendamment tant de leur durée de validité que de la possibilité de les utiliser lors de voyages effectués en dehors de cet Etat » (pt. 30). Afin de répondre à cette problématique, la CJUE a divisé son raisonnement en deux temps.

En effet, cette dernière s’est préalablement interrogée sur le fait de déterminer si la durée de validité d’une carte d’identité néerlandaise pouvait avoir une incidence quant au champ d’application de l’article 1er, paragraphe 3 du règlement n° 2252/2004. A ce titre, cet article énonce que le règlement « ne s’applique pas aux cartes d’identité délivrées par les Etats membres à leurs ressortissants ou aux passeports et aux documents de voyage temporaires ayant une validité inférieure ou égale à douze mois ». Dès lors, et tel que le rappelle la CJUE (pt. 33), la conjonction de coordination « ou » doit être comprise en son sens premier.

Cette dernière désigne, non pas une proposition additive, mais bien une proposition alternative. Par conséquent, les termes « temporaires » et « ayant une validité inférieure ou égale à douze mois » ne concernent pas les cartes d’identité ; ces deux éléments lui sont strictement et grammaticalement indifférents.

En outre, la CJUE devait examiner si la circonstance qu’une carte d’identité, à l’image de la carte d’identité néerlandaise, puisse être utilisée lors de voyages au sein de l’Union et vers certains Etats tiers, était susceptible de la faire entrer dans le champ d’application matériel du règlement n° 2252/2004. A cette question, la lettre de l’article 1er, paragraphe 3 de ce dit règlement permet d’apporter une réponse sans équivoque. En effet, cet article expose que « Le présent règlement s’applique aux passeports et aux documents de voyage délivrés par les Etats membres. Il ne s’applique pas aux cartes d’identité délivrées par les Etats membres à leurs ressortissants (…) ». Aussi, les dispositions de cet article ne sauraient s’appliquer aux cartes d’identité néerlandaises et ce, « indépendamment tant de leur durée de validité que de la possibilité de les utiliser lors de voyages effectués en dehors de cet Etat » (pt 54 §1).

II. La question des finalités des données biométriques au regard du règlement n° 2252/2004

La seconde question portée devant la CJUE était destinée à préciser si l’article 4, paragraphe 3, du règlement n° 2252/2004 devait être interprété « en ce sens qu’il oblige les Etats membres à garantir que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage. » (pt. 43). Face à cette problématique, la CJUE apporte une réponse qui ne saurait comprendre aucune ambigüité.

La CJUE rappelle que l’article 4, paragraphe 3, du règlement n° 2252/2004 subordonne l’utilisation des données biométriques à deux finalités déterminées. En effet, cet article énonce que : « Aux fins du présent règlement, les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier : l’authenticité du document, l’identité du titulaire grâce à des éléments comparables directement disponibles lorsque la loi exige la production de passeport ou d’autres documents de voyage. ». La syntaxe même de cet article, et notamment l’emploi de la négation « ne…que », permet de mettre en exergue le caractère exclusif des deux finalités assignées au recueil des données biométriques.

En cela, l’article 4, paragraphe 3, du règlement n° 2252/2004 respecte l’un des principes cardinaux en matière de traitement des données à caractère personnel, le principe de finalité.

Ce dernier est ainsi littéralement énoncé au sein de l’article 6-b de la directive 95/46/CE[2] mais aussi à l’article 8 de la Charte des droits fondamentaux de l’Union Européenne qui dispose que « Toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. ».

Néanmoins, les finalités énumérées au sein de l’article 4, paragraphe 3, du règlement  n°2252/2004 ne sauraient faire obstacle à la détermination d’autres finalités par les Etats membres. En effet, ces derniers jouissent d’une compétence exclusive en matière d’utilisation des bases de données stockant ces informations. En conséquence, et tel que le rappelle la CJUE, « l’article 4, paragraphe 3, du règlement n° 2252/2004 doit être interprété en ce sens qu’il n’oblige pas les Etats membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage, un tel aspect ne relevant pas du champ d’application dudit règlement. » (pt 54 §2). Aussi, le refus des quatre citoyens néerlandais de fournir certains éléments, constitutifs de données biométriques, est loin d’être infondé…

Notes de bas de page

  • FOREST (David), « Droit des données personnelles », Gualino Lextenso éditions, Droit en action, 2011, p 49.
  • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.