Dans l’arrêt rendu le 21 mars 2024, Landeshauptstadt Wiesbaden (C-61/22), la Cour de justice de l’Union européenne, réunie en grande chambre, a jugé que le règlement (UE) 2019/1157 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation (ci-après, « le règlement ») est invalide car il a été adopté sur le fondement de la mauvaise base juridique. Ses effets sont maintenus jusqu’à l’adoption d’un nouveau règlement.
En l’espèce, la Cour de justice est saisie d’une demande de décision préjudicielle par le tribunal administratif de Wiesbaden dans le cadre d’un litige au niveau national opposant RL, un citoyen allemand, à la ville de Wiesbaden (capitale de Land, Allemagne) quant au refus de cette dernière de délivrer une nouvelle carte d’identité au requérant au principal. La demande de décision préjudicielle porte sur le choix de la bonne base juridique du règlement et à la conformité de cette obligation avec les articles 7 et 8 de la Charte des droits fondamentaux ainsi que l’article 35, paragraphe 10, du RGPD.
Concernant le premier motif d’invalidité évoqué par la juridiction de renvoi, notamment le fait de savoir si le règlement en cause aurait dû être adopté sur le fondement de l’article 77, paragraphe 3, TFUE, la Cour juge que le législateur a méconnu cette disposition à la lumière de la finalité et des composantes principales du règlement et a adopté à tort ce texte sur la base de l’article 21, paragraphe 2, TFUE. Cet élément est de nature à entraîner l’invalidité du règlement.
Concernant le deuxième motif d’invalidité tiré du non-respect de l’article 35, paragraphe 10, du RGPD imposant une analyse d’impact relative à la protection des données, la juridiction de renvoi demande à la Cour si le règlement est susceptible d’être invalidé en raison du fait qu’aucune analyse d’impact, en méconnaissance du RGDP, a été réalisée avant l’adoption du règlement. La Cour rappelle qu’une telle analyse est nécessaire, en vertu du RGPD, dans le cas d’un traitement à grande échelle de catégories particulières de données, telles que les données biométriques. Or, le règlement en cause se borne à prévoir certains traitements par les États membres de données en cas de demande de carte d’identité. L’adoption du règlement n’était donc pas subordonnée à la réalisation préalable d’une analyse d’impact, au sens de l’article 35 du RGPD. Le deuxième motif d’invalidité n’est donc pas de nature à entraîner l’invalidité du règlement 2019/1157.
Sur le troisième motif d’invalidité tiré de l’incompatibilité du règlement avec les articles 7 (respect de la vie privée) et 8 (protection des données à caractère personnel) de la Charte, la Cour effectue un examen approfondi afin d’apprécier si la limitation desdits droits causée par les opérations de collecte et de stockage d’empreintes digitales respecte le principe de légalité, le contenu essentiel des droits fondamentaux en cause et le principe de proportionnalité. La Cour juge que les limitations de l’exercice des articles 7 et 8 de la Charte satisfont le principe de légalité, tel que visé à l’article 52, paragraphe 1, de la Charte, car elles sont définies de manière claire et précise par le règlement 2019/1157. De plus, l’obligation d’intégrer les empreintes digitales dans le support de stockage des États membres ne porte pas atteinte au contenu essentiel des droits fondamentaux évoqués. En ce qui concerne le principe de proportionnalité, la Cour juge que la limitation en cause n’apparaît pas d’une gravité qui serait disproportionnée par rapport à l’importance des objectifs généraux poursuivis par cette mesure. La collecte et le stockage d’empreintes digitales est donc proportionnée et justifiée par les objectifs d’intérêt général de lutter contre la fabrication de faux documents d’identité et l’usurpation d’identité.
En conclusion, la Cour déclare le règlement 2019/1157 invalide car adopté sur la mauvaise base juridique, notamment l’article 21, paragraphe 2, TFUE, à la place de l’article 77, paragraphe 3, TFUE.
Pour des raisons de sécurité juridique et pour éviter des conséquences négatives graves qui seraient entraînées par l’invalidation du règlement avec effet immédiat, la Cour maintient les effets de ce règlement jusqu’à l’entrée en vigueur, au plus tard le 31 décembre 2026, d’un nouveau règlement fondé sur l’article 77, paragraphe 3, TFUE.
Cette affaire nourrit le contentieux de la Cour de justice concernant l’enjeu du choix de la bonne base juridique des actes de l’UE qui, selon une jurisprudence constante (Commission contre Conseil, C-370/07), revêt une importance constitutionnelle au sein du système juridique de l’Union européenne.
Reproduction autorisée avec la référence suivante : Sara Notario, Renforcement de la sécurité des cartes d’identité et respect de la Charte des droits fondamentaux et du RGPD, actualité n° 12/2024, publiée le 3 avril 2024, par le Centre d’études juridiques européennes, disponible sur www.ceje.ch