CJUE : pas de conservation, à des fins pénales, de données de la personne ayant purgé sa peine jusqu'à son décès
06.03.2024
Gestion d'entreprise
La CJUE a été saisie de la question de la durée de conservation des données d'une personne ayant été réhabilitée après avoir purgé sa peine. Ses données sont traitées par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites ou d'exécution de sanctions pénales. Dans cette chronique, Jessica EYNARD, maître de conférences HDR en droit à l’Université de Toulouse Capitole, revient sur les limites de la conservation des données.
Dans cette affaire, une personne condamnée, avait purgé sa peine et fait l’objet d’une réhabilitation. Elle souhaitait la radiation de son inscription au registre de police. Or, la loi nationale prévoyait la conservation des données personnelles, notamment des données biométriques et génétiques, de personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci. Aucun droit à l’effacement ou à la limitation du traitement n’était par ailleurs prévu.
Sur la base de la directive Police-Justice (dir. (UE) 2016/680 du Parlement européen et du Conseil, 27 avr. 2016 ), la CJUE décide que le droit de l’Union s’oppose à « une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci » (point 72).
Tout au long de son raisonnement, la Cour s’interroge sur la proportionnalité de la mesure mise en œuvre par la loi bulgare, qui permet une conservation des données jusqu’au décès de la personne condamnée, puis réhabilitée. Elle relève notamment que la notion d’infraction pénale intentionnelle relevant de l’action publique utilisée par la loi bulgare pour limiter les cas de longue conservation des données « revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité » (point 59). Or, reprenant les conclusions de l’avocat général, elle observe que « toutes les personnes définitivement condamnées pour une infraction pénale relevant de cette notion ne présentent pas le même degré de risque d’être impliquées dans d’autres infractions pénales, justifiant une durée uniforme de conservation des données les concernant. Ainsi, dans certains cas, eu égard à des facteurs tels que la nature et la gravité de l’infraction commise ou l’absence de récidive, le risque représenté par la personne condamnée ne justifiera pas nécessairement le maintien jusqu’à son décès des données la concernant dans le registre national de police prévu à cet effet » (point 60). Elle en conclut que le traitement excède la durée nécessaire et viole le principe de minimisation.
Dans le même sens, la CJUE juge que le champ d’application de la conservation des données biométriques et génétiques des personnes concernées inscrites sur le registre de police jusqu’à la date de leur décès a un caractère excessivement étendu au regard des finalités pour lesquelles ces données sont traitées, alors qu’elle devrait « être autorisée uniquement “en cas de nécessité absolue” », au sens de l’article 10 de la directive Police-Justice (point 67).
Enfin, la Cour considère que la loi bulgare viole l’article 5 de la directive Police-Justice selon lequel les États membres fixent des délais appropriés « pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel ». Pour elle, « un délai ne saurait être considéré comme “ approprié” , (…), notamment en ce qui concerne la conservation des données biométriques et génétiques de toute personne condamnée définitivement pour une infraction pénale intentionnelle relevant de l’action publique, que s’il prend en considération les circonstances pertinentes de nature à rendre nécessaire une telle durée de conservation » (point 69). Or, « tel n’est manifestement pas le cas lorsqu’il est applicable de manière générale et indifférenciée à toute personne condamnée définitivement » (point 69). L’exigence de l’article 5 ne serait respectée que si les procédures prévues pour l’effacement ou la vérification régulière pouvaient aboutir à l’effacement des données en cause, dans le cas où leur conservation n’est plus nécessaire. La loi bulgare, qui prévoit un effacement dans le seul cas de survenance du décès de la personne concernée, est donc contraire au droit de l’Union en matière de conservation des données. De plus, cette législation nationale viole le RGPD en ne permettant pas à la personne définitivement condamnée pour une infraction pénale intentionnelle relevant de l’action publique d’exercer ses droits à l’effacement et à la limitation du traitement.