Dans son arrêt du 16 avril 2014 (aff. jtes C-446/12 à C-449/12), la Cour de justice a considéré que le règlement n° 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membresne s’applique pas aux cartes d’identité délivrées par les Etats membres à leurs ressortissants. De plus, l’article 4, paragraphe 1, du règlement n° 2252/2004 ne prévoit pas d’obligation pour un Etat membre de garantir dans sa législation que les données biométriques contenues dans les passeports ne seront ni utilisées ni conservées par cet Etat à des fins autres que celles visées par le règlement que sont l’authenticité du document et l’identité de son titulaire.
Dans ces quatre affaires jointes, des ressortissants avaient réalisé, pour trois d’entre eux, une demande passeport, et pour l’un d’eux (aff. C 447/12), une demande de carte d’identité. Tous avaient refusé de fournir les empreintes digitales nécessaires à la réalisation de ces documents. Pour eux, la saisie et la conservation de ces données biométriques constituent une atteinte à leur intégrité physique et à leur droit à la protection de la vie privée. L’atteinte provient du stockage de ces données sur trois types de support. Logiquement, les données sont conservées dans un support intégré au passeport ou à la carte d’identité. Toutefois, ces données sont également conservées dans les bases de données décentralisées, c’est-à-dire celles des communes et, à terme, les données seront conservées dans une base de données centralisée. Par ailleurs, la loi néerlandaise n’identifie pas les personnes qui auront accès aux données biométriques. Elle n’exclut pas non plus explicitement l’utilisation des données à d’autres fins que celles visées par le règlement telles que des fins judiciaires ou de renseignements. La juridiction d’appel néerlandaise renvoie ainsi deux questions préjudicielles portant, d’une part, sur le champ d’application du règlement n° 2252/2004, et, d’autre part, sur la question de savoir si le règlement n° 2252/2004 interprété à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union relatifs successivement au respect de la vie privée et familiale et à la protection des données à caractère personnel prévoit une obligation pour les Etats d’exclure expressément d’autres utilisations des données que celles prévues par le règlement dans la loi nationale.
La première question préjudicielle, soulevée uniquement dans l’affaire relative à une demande de carte d’identité, portait sur la question de savoir si les cartes d’identité délivrées par un Etat membre à ses ressortissants entraient dans le champ d’application du règlement n° 2252/2004.
La Cour de justice rappelle que la lettre de l’article 1, paragraphe 3, du règlement indique que celui-ci ne s’applique pas aux cartes d’identité délivrées par les Etats membres à leurs ressortissants ou aux passeports et documents de voyage temporaires ayant une validité inférieure ou égale à douze mois. La Cour de justice commence par examiner si le champ d’application du règlement varie en fonction de la durée de validité d’une carte d’identité. Elle considère que le règlement exclut bien deux catégories de documents. Il s’agit, d’une part, des cartes d’identité, et, d’autre part, les passeports et des documents de voyage ayant une validité inférieure ou égale à douze mois. Les termes «temporaires» et «ayant une validité inférieure ou égale à douze mois» ne s’appliquent donc qu’à la catégorie des passeports et documents de voyage. Ensuite, la Cour de justice examine si la circonstance qu’une carte d’identité peut être utilisée lors de voyages dans l’Union et dans certains Etats tiers est susceptible de modifier cette première conclusion. La Cour constate que les travaux préparatoires témoignent clairement de la volonté des législateurs d’exclure les cartes d’identité du champ d’application de ce règlement. De fait, cette circonstance ne change pas la conclusion que les cartes d’identité sont bien en dehors du champ d’application du règlement indépendamment de leur durée de validité.
La seconde question préjudicielle porte sur la question de savoir si l’article 4, paragraphe 3, du règlement n° 2252/2004, lu en combinaison avec les articles 7 et 8 de la Charte des droits fondamentaux de l’Union, doit être interprété en ce sens qu’il oblige les Etats membres à garantir que les données biométriques rassemblées et conservées en application du règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage.
La Cour de justice rappelle qu’elle a déjà jugé dans son arrêt Schwarz (aff. C-291/12) que l’article 4, paragraphe 3, du règlement en ce qu’il prévoit le stockage des données biométriques dans un passeport ou un document de voyage aux fins de vérifier l’authenticité du passeport et l’identité du titulaire est conforme aux articles 7 et 8 de la Charte des droits fondamentaux. Toutefois, la question en présence diffère quelque peu puisqu’il s’agit de savoir si d’autres utilisations de données biométriques sont conformes à ces mêmes normes. Or, la Cour de justice précise que les autres utilisations et conservation de ces données biométriques ne sont pas régies par l’article 4, paragraphe 3, du règlement lu à la lumière du considérant 5 du règlement n° 444/2009, modifiant le règlement n° 2252/2004. En effet, le considérant 5 du règlement modificatif indique que le règlement s’applique sans préjudice de toute autre utilisation ou conservation des données biométriques en application de la législation nationale des Etats membres et ne saurait constituer une base juridique pour établir ou maintenir, dans les Etats membres, des bases de données stockant ces informations, puisque cet aspect relève de la compétence exclusive des législations nationales. Par conséquent, la Cour de justice énonce que le règlement n° 2252/2004 n’oblige pas un Etat membre à garantir dans sa législation que les données biométriques ne seront ni utilisées ni conservées par cet Etat à des fins autres que celles visées par le règlement.
En ce qui concerne plus précisément, la conformité de la loi néerlandaise aux articles 7 et 8 de la Charte des droits fondamentaux, la Cour rappelle qu’en vertu de son article 51, la Charte ne s’applique que dans la mesure où le droit national met en œuvre le droit de l’Union. Or, en l’espèce, la Cour vient d’affirmer que les autres utilisations des données biométriques ne sont pas régies par le règlement n° 2252/2004. Elle conclut donc qu’étant donné que le règlement n° 2252/2004 n’est pas applicable, il n’y a pas lieu de vérifier si les conservations et les utilisations des données biométriques à des fins autres que celles visées à l’article 4, paragraphe 3, de ce règlement sont conformes auxdits articles de la Charte. Le juge national pourra examiner la conformité de la loi néerlandaise au droit national et à la Convention européenne des droits de l’homme.
La Cour de justice, par un raisonnement logique contourne une question pourtant forte intéressante sur le fond. Un point semble toutefois passé sous silence. En l’espèce, les données biométriques sont obtenues concrètement dans le cadre de demandes de délivrance de passeport et de documents de voyage régis par le règlement n° 2252/2004. Si les autres utilisations de ces données ne sont pas régies par le règlement, l’obtention de ces données relève du champ d’application du règlement. On aurait donc pu trouver dans cet élément de fait un aspect de mise en œuvre du droit de l’Union. Les requérants devront désormais saisir la Cour européenne des droits de l’homme pour l’examen de la loi néerlandaise sur l’utilisation et conservation des données au regard du droit au respect de la vie familiale et privée et à la protection des données.
Lucie Vétillard, "Empreintes digitales et passeports biométriques", actualité du 22 avril 2015, http://www.ceje.ch/.