ARRÊT DE LA COUR (grande chambre)
30 janvier 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins de lutte contre les infractions pénales – Directive (UE) 2016/680 – Article 4, paragraphe 1, sous c) et e) – Minimisation des données – Limitation de la conservation – Article 5 – Délais appropriés pour l’effacement ou pour la vérification régulière de la nécessité de la conservation – Article 10 – Traitement de données biométriques et génétiques – Nécessité absolue –
Article 16, paragraphes 2 et 3 – Droit à l’effacement – Limitation du traitement – Article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne –– Personne physique ayant été condamnée par un jugement définitif et ultérieurement réhabilitée – Délai de conservation des données jusqu’au décès – Absence de droit à l’effacement ou à la limitation du traitement – Proportionnalité »
Dans l’affaire C‑118/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), par décision du 10 janvier 2022, parvenue à la Cour le 17 février 2022, dans la procédure
NG
contre
Direktor na Glavna direktsia « Natsionalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia,
en présence de :
Varhovna administrativna prokuratura,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice–président, M. A. Arabadjiev, Mmes A. Prechal, K. Jürimäe, M. N. Piçarra et Mme O. Spineanu–Matei, présidents de chambre, MM. M. Ilešič, J.–C. Bonichot, Mme L. S. Rossi, MM. I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl et D. Gratsias (rapporteur), juges,
avocat général : M. P. Pikamäe,
greffier : Mme R. Stefanova-Kamisheva, administratrice,
vu la procédure écrite et à la suite de l’audience du 7 février 2023,
considérant les observations présentées :
– pour NG, par Me P. Kuyumdzhiev, advokat
– pour le gouvernement bulgare, par Mmes M. Georgieva, T. Mitova et E. Petranova, en qualité d’agents,
– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,
– pour l’Irlande, par Mme M. Browne, MM. A. Joyce et M. Tierney, en qualité d’agents, assistés de M. D. Fennelly, BL,
– pour le gouvernement espagnol, par MM. A. Ballesteros Panizo et J. Rodríguez de la Rúa Puig, en qualité d’agents,
– pour le gouvernement néerlandais, par Mme A. Hanje, en qualité d’agent,
– pour le gouvernement polonais, par MM. B. Majczyna, D. Łukowiak et Mme J. Sawicka, en qualité d’agents,
– pour la Commission européenne, par M. A. Bouchagiar, Mme C. Georgieva, MM. H. Kranenborg et F. Wilman, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 15 juin 2023,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 5 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant
la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89), lu en combinaison avec l’article 13, paragraphe 2, sous b), et paragraphe 3, de cette directive.
2 Cette demande a été présentée dans le cadre d’un litige opposant NG au Direktor na Glavna direktsia « Natsionalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia (directeur de la direction générale « Police nationale » près le ministère de l’Intérieur, Bulgarie) (ci-après le « DGPN ») au sujet du rejet, par ce dernier, de la demande de NG de le radier du registre national sur lequel les autorités de police bulgares inscrivent les personnes poursuivies pour une infraction pénale
intentionnelle relevant de l’action publique (ci-après le « registre de police »), laquelle demande est fondée sur la réhabilitation dont cette personne a bénéficié après avoir fait l’objet d’une condamnation pénale définitive.
Le cadre juridique
Le droit de l’Union
3 Les considérants 11, 14, 26, 27, 37, 47 et 104 de la directive 2016/680 énoncent :
« (11) Il convient [...] que [les domaines de la coopération judiciaire en matière pénale et de la coopération policière] soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les
menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. [...]
[...]
(14) Étant donné que la présente directive ne devrait pas s’appliquer au traitement de données à caractère personnel effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union, il convient que les activités relatives à la sécurité nationale [...] ne soient pas considérées comme des activités relevant du champ d’application de la présente directive.
[...]
(26) [...] Il convient [...] de veiller à ce que les données à caractère personnel collectées ne soient pas excessives, ni conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient
être fixés par le responsable du traitement en vue de leur effacement ou d’un examen périodique. [...]
(27) Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour.
[...]
(37) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...]
[...]
(47) [...] Une personne physique devrait également avoir le droit d’obtenir la limitation du traitement [...] lorsque les données à caractère personnel doivent être conservées à des fins probatoires. Plus particulièrement, les données à caractère personnel devraient faire l’objet d’une limitation du traitement plutôt qu’être effacées si, dans un cas déterminé, il existe des motifs raisonnables de penser que l’effacement pourrait nuire aux intérêts légitimes de la personne concernée. En pareil cas,
les données faisant l’objet d’une limitation du traitement ne devraient être traitées que pour la finalité qui a empêché leur effacement. [...]
[...]
(104) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)], tels qu’ils sont consacrés par le traité sur le fonctionnement de l’Union européenne, et notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial. Les limitations apportées à ces droits
sont conformes à l’article 52, paragraphe 1, de la Charte car elles sont nécessaires pour répondre à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. »
4 L’article 1er de cette directive, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :
« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »
5 L’article 2 de ladite directive, intitulé « Champ d’application », prévoit, à ses paragraphes 1 et 3 :
« 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1.
[...]
3. La présente directive ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
[...] »
6 Aux termes de l’article 3 de la même directive, intitulé « Définitions » :
« Aux fins de la présente directive, on entend par :
[...]
2. “traitement”, toute opération ou tout ensemble d’opérations [...] appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que [...] la conservation [...] ;
[...] »
7 L’article 4 de la directive 2016/680, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1 :
« Les États membres prévoient que les données à caractère personnel sont :
[...]
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
[...]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
[...] »
8 L’article 5 de cette directive, intitulé « Délais de conservation et d’examen », est libellé comme suit :
« Les États membres prévoient que des délais appropriés sont fixés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Des règles procédurales garantissent le respect de ces délais. »
9 L’article 10 de ladite directive, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », est rédigé en ces termes :
« Le traitement des données [...] génétiques [et] des données biométriques aux fins d’identifier une personne physique de manière unique [...] est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée [...] »
10 L’article 13 de la même directive, intitulé « Informations à mettre à la disposition de la personne concernée ou à lui fournir », dispose, à son paragraphe 2, que, en plus des informations visées à son paragraphe 1, les États membres prévoient, par la loi, que le responsable du traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles que ce paragraphe 2 énumère, afin de permettre à cette personne d’exercer ses droits. Parmi ces informations
additionnelles figure, notamment, au point b) dudit paragraphe 2, la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée. Par ailleurs, l’article 13, paragraphe 3, de la directive 2016/680 indique les motifs pour lesquels les États membres peuvent adopter des mesures législatives visant à retarder ou à limiter la fourniture des informations à la personne concernée en application du paragraphe 2 de cet
article, ou à ne pas lui fournir ces informations.
11 L’article 14 de la directive 2016/680, intitulé « Droit d’accès par la personne concernée », dispose :
« Sous réserve de l’article 15, les États membres prévoient que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi que les informations suivantes :
[...]
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
[...] »
12 L’article 16 de cette directive, intitulé « Droit de rectification ou d’effacement des données à caractère personnel et limitation du traitement », dispose, à ses paragraphes 2 et 3 :
« 2. Les États membres exigent que le responsable du traitement efface dans les meilleurs délais les données à caractère personnel et accordent à la personne concernée le droit d’obtenir du responsable du traitement l’effacement dans les meilleurs délais de données à caractère personnel la concernant lorsque le traitement constitue une violation des dispositions adoptées en vertu de l’article 4, 8 ou 10 ou lorsque les données à caractère personnel doivent être effacées pour respecter une
obligation légale à laquelle est soumis le responsable du traitement.
3. Au lieu de procéder à l’effacement, le responsable du traitement limite le traitement lorsque :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée et qu’il ne peut être déterminé si les données sont exactes ou non ; ou
b) les données à caractère personnel doivent être conservées à des fins probatoires.
[...] »
13 En vertu de l’article 20 de ladite directive, intitulé « Protection des données dès la conception et protection des données par défaut », les États membres prévoient que le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées afin de répondre aux exigences de la même directive et de protéger les droits des personnes concernées et, notamment, de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque
finalité spécifique du traitement soient traitées.
14 L’article 29 de la directive 2016/680, intitulé « Sécurité du traitement », dispose, à son paragraphe 1 :
« Les États membres prévoient que, compte tenu de l’état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce
qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l’article 10. »
Le droit bulgare
Le code pénal
15 L’article 82, paragraphe 1, du Nakazatelen kodeks (code pénal, DV no 26, du 2 avril 1968), dans sa version applicable au litige au principal, dispose :
« La peine infligée n’est pas exécutée lorsque sont écoulés :
1. vingt ans, si la peine est la réclusion à perpétuité sans possibilité de commutation ou la réclusion à perpétuité ;
2. quinze ans, si la peine encourue est une réclusion de plus de dix ans ;
3. dix ans, si la peine est une réclusion de trois à dix ans ;
4. cinq ans, si la peine est inférieure à trois ans de réclusion, et
5. deux ans, pour tous les autres cas. »
16 L’article 85, paragraphe 1, de ce code prévoit :
« La réhabilitation efface la condamnation et abroge pour l’avenir les effets que les lois attachent à la condamnation elle-même, à moins qu’une loi ou un décret n’en dispose autrement. »
17 L’article 88a dudit code est libellé comme suit :
« Lorsqu’un délai égal à celui visé à l’article 82, paragraphe 1, s’est écoulé depuis que la peine a été purgée et que la personne condamnée n’a pas commis une nouvelle infraction pénale intentionnelle relevant de l’action publique punie d’une peine de réclusion, la condamnation et ses conséquences sont effacées nonobstant toute disposition prévue par une autre loi ou un autre décret. »
La loi relative au ministère de l’Intérieur
18 L’article 26 du Zakon za Ministerstvo na vatreshnite raboti (loi relative au ministère de l’Intérieur, DV no 53, du 27 juin 2014), dans sa version applicable au litige au principal (ci-après la « loi relative au ministère de l’Intérieur »), dispose :
« (1) Lorsqu’elles traitent des données à caractère personnel en lien avec les activités de protection de la sécurité nationale, de lutte contre la criminalité, de maintien de l’ordre public et de conduite de procédures pénales, les autorités du ministère de l’Intérieur :
[...]
3. peuvent traiter toutes les catégories nécessaires de données à caractère personnel ;
[...]
(2) Les délais de conservation des données visées au paragraphe 1 ou de vérification périodique de la nécessité du stockage de celles-ci sont fixés par le ministre de l’Intérieur. Ces données sont également effacées en vertu d’un acte judiciaire ou d’une décision de la Commission de protection des données à caractère personnel. »
19 Aux termes de l’article 27 de la loi relative au ministère de l’Intérieur :
« Les données provenant de l’inscription des personnes au registre de police effectuée sur la base de l’article 68 ne sont utilisées qu’à des fins de protection de la sécurité nationale, de lutte contre la criminalité et de maintien de l’ordre public. »
20 L’article 68 de cette loi est libellé comme suit :
« (1) Les autorités de police inscrivent au registre de police les personnes qui sont poursuivies pour une infraction intentionnelle relevant de l’action publique. Les autorités chargées de l’instruction sont tenues de prendre les mesures nécessaires aux fins de l’inscription au registre par les autorités de police.
(2) L’inscription au registre de police est un type de traitement de données à caractère personnel des personnes visées au paragraphe 1, qui est effectué dans le cadre de la présente loi.
(3) Aux fins de l’inscription au registre de police, les autorités de police doivent :
1. collecter des [données à caractère personnel] visées à l’article 18 de la loi relative aux documents d’identité bulgares ;
2. relever les empreintes digitales des personnes et photographier celles-ci ;
3. effectuer des prélèvements aux fins du profilage ADN des personnes.
[...]
(6) L’inscription au registre de police est radiée sur la base d’un ordre écrit du responsable du traitement de données à caractère personnel ou des fonctionnaires habilités par celui-ci, d’office ou à la suite d’une demande écrite et motivée de la personne inscrite, lorsque :
1. l’enregistrement a été effectué en violation de la loi ;
2. la procédure pénale est classée, sauf dans les cas visés à l’article 24, paragraphe 3, du [Nakazatelno-protsesualen kodeks (code de procédure pénale)] ;
3. la procédure pénale a abouti à un acquittement ;
4. la personne a été exonérée de sa responsabilité pénale et une sanction administrative lui a été infligée ;
5. la personne est décédée, auquel cas la demande peut être faite par ses héritiers.
[...] »
Le litige au principal et la question préjudicielle
21 NG a fait l’objet d’une inscription au registre de police, conformément à l’article 68 de la loi relative au ministère de l’Intérieur, dans le cadre d’une procédure d’instruction pour faux témoignage, infraction pénale prévue à l’article 290, paragraphe 1, du code pénal. Au terme de cette procédure d’instruction, NG a été mis en accusation et, par jugement du 28 juin 2016, confirmé en appel le 2 décembre 2016, il a été reconnu coupable de cette infraction et condamné à une peine de probation d’un
an. Après avoir purgé cette peine, NG a bénéficié, en application combinée de l’article 82, paragraphe 1, et de l’article 88a du code pénal, d’une réhabilitation, intervenue le 14 mars 2020.
22 Le 15 juillet 2020, sur la base de cette réhabilitation, NG a présenté une demande de radiation de son inscription au registre de police auprès de l’administration territoriale compétente du ministère de l’Intérieur.
23 Par décision du 2 septembre 2020, le DGPN a rejeté cette demande, ayant considéré qu’une condamnation pénale définitive, y compris en cas de réhabilitation, ne fait pas partie des motifs de radiation de l’inscription au registre de police, énumérés de manière exhaustive à l’article 68, paragraphe 6, de la loi relative au ministère de l’Intérieur.
24 Par décision du 2 février 2021, l’Administrativen sad Sofia grad (tribunal administratif de la ville de Sofia, Bulgarie) a rejeté le recours introduit par NG contre cette décision du DGPN pour des motifs, en substance, analogues à ceux retenus par ce dernier.
25 NG a formé un pourvoi devant la juridiction de renvoi, le Varhoven administrativen sad (Cour administrative suprême, Bulgarie). Le principal moyen de ce pourvoi est tiré d’une méconnaissance du principe qui se déduirait des articles 5, 13 et 14 de la directive 2016/680, selon lequel le traitement de données à caractère personnel résultant de leur conservation ne saurait avoir une durée illimitée. Or, selon NG, en substance, tel serait de facto le cas lorsque, en l’absence d’un motif de radiation
de l’inscription au registre de police applicable à l’hypothèse d’une réhabilitation, la personne concernée ne peut jamais obtenir l’effacement des données à caractère personnel collectées en lien avec l’infraction pénale pour laquelle elle a été définitivement condamnée, après avoir purgé sa peine et avoir bénéficié d’une telle réhabilitation.
26 À cet égard, en premier lieu, la juridiction de renvoi relève que l’inscription au registre de police est un traitement de données à caractère personnel effectué aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680, et relève donc du champ d’application de celle-ci.
27 En deuxième lieu, elle indique que la réhabilitation ne fait pas partie des motifs de radiation de l’inscription au registre de police, énumérés de manière exhaustive à l’article 68, paragraphe 6, de la loi relative au ministère de l’Intérieur, et qu’aucun autre de ces motifs n’est susceptible de s’appliquer dans ce cas de figure, de sorte qu’il est impossible, pour la personne concernée, d’obtenir la radiation de son inscription à ce registre dans une telle hypothèse.
28 En troisième lieu, la juridiction de renvoi relève que le considérant 26 de la directive 2016/680 se réfère à des garanties pour que les données collectées ne soient pas excessives, ni conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées et énonce que le responsable du traitement doit fixer des délais en vue de leur effacement ou d’un examen périodique. En outre, elle déduit du considérant 34 de cette directive que le traitement aux
fins énoncées à son article 1er, paragraphe 1, devrait comporter des opérations de limitation, d’effacement ou de destruction de ces données. Selon elle, ces principes se reflètent à l’article 5 ainsi qu’à l’article 13, paragraphes 2 et 3, de ladite directive.
29 À cet égard, la juridiction de renvoi éprouve un doute quant à la question de savoir si les objectifs énoncés au point précédent s’opposent à une législation nationale conduisant, pour les autorités compétentes, à un « droit quasi illimité » au traitement de données pour les fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680 et, pour la personne concernée, à la perte de son droit à la limitation du traitement ou à l’effacement de ses données.
30 C’est dans ces conditions que le Varhoven administrativen sad (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’interprétation de l’article 5 de la [directive 2016/680], lu conjointement avec l’article 13, paragraphe 2, sous b), et [paragraphe 3], de ladite directive, s’oppose-t-elle à des mesures législatives nationales qui conduiraient à un droit quasi illimité au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales et/ou à une perte par
la personne concernée de son droit à la limitation du traitement, à l’effacement ou la destruction de ses données ? »
Sur la question préjudicielle
31 Selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises. En outre, la Cour peut être amenée à prendre en considération des normes du droit de l’Union auxquelles le
juge national n’a pas fait référence dans l’énoncé de sa question (arrêt du 15 juillet 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, point 31 et jurisprudence citée).
32 En l’occurrence, la question de la juridiction de renvoi a pour origine le fait que, ainsi qu’il ressort de la demande de décision préjudicielle et des indications fournies par le gouvernement bulgare lors de l’audience devant la Cour, aucun des motifs justifiant l’effacement des données à caractère personnel figurant dans le registre de police, limitativement énumérés par la loi relative au ministère de l’Intérieur, n’est applicable dans la situation en cause au principal, dans laquelle une
personne a été définitivement condamnée, et ce même après sa réhabilitation, de sorte que ces données sont conservées dans ce registre et peuvent être traitées par les autorités qui y ont accès sans aucune limitation de durée autre que la survenance du décès de ladite personne.
33 À cet égard, tout d’abord, il ressort de la décision de renvoi, notamment des considérations résumées au point 27 du présent arrêt, et des termes de la question préjudicielle elle-même que la juridiction de renvoi s’interroge, en particulier, sur la compatibilité de la réglementation nationale en cause au principal avec le principe de proportionnalité. Or, ainsi que le considérant 104 de la directive 2016/680 le met en exergue, les limitations apportées par cette directive au droit à la
protection des données à caractère personnel, prévu à l’article 8 de la Charte, ainsi qu’aux droits au respect de la vie privée et familiale et à un recours effectif et à accéder à un tribunal impartial, protégés respectivement par les articles 7 et 47 de cette charte, doivent être interprétées conformément aux exigences de l’article 52, paragraphe 1, de celle-ci, lesquelles incluent le respect de ce principe.
34 Ensuite, dans l’énoncé de sa question, la juridiction de renvoi se réfère, à juste titre, à l’article 5 de ladite directive, relatif aux délais appropriés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver ces données. Ledit article 5 présentant des liens étroits tant avec l’article 4, paragraphe 1, sous c) et e), de la même directive qu’avec l’article 16, paragraphes 2 et 3, de celle-ci, il convient de comprendre la question
préjudicielle comme visant également ces deux dispositions.
35 De même, la législation nationale en cause au principal prévoyant la conservation, notamment, de données biométriques et génétiques, qui relèvent des catégories particulières de données à caractère personnel dont le traitement est régi spécifiquement par l’article 10 de la directive 2016/680, il convient de considérer que la question posée vise aussi l’interprétation de cette disposition.
36 Enfin, la pertinence d’une interprétation de l’article 13 de la directive 2016/680 ne ressort clairement de la demande de décision préjudicielle qu’en ce qui concerne son paragraphe 2, sous b). Certes, comme le relève la juridiction de renvoi, son paragraphe 3 reflète également les principes énoncés, notamment, au considérant 26 de cette directive. Toutefois, le dossier soumis à la Cour ne fait pas apparaître que serait également en cause au principal une mesure législative visant à retarder ou à
limiter la fourniture d’informations à la personne concernée, au sens de ce paragraphe 3.
37 Eu égard à ce qui précède, il y a lieu de considérer que, par sa question, la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680, lu en combinaison avec les articles 5 et 10, l’article 13, paragraphe 2, sous b), ainsi que l’article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la conservation, par les
autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci,
sans lui reconnaître, par ailleurs, le droit à l’effacement desdites données ou, le cas échéant, à la limitation de leur traitement.
38 À titre liminaire, il convient de relever que la question posée porte sur un traitement de données à caractère personnel qui répond à des finalités relevant, conformément à l’article 1er, paragraphe 1, de la directive 2016/680, du champ d’application de cette directive. Il ressort, toutefois, de l’article 27 de la loi relative au ministère de l’Intérieur, cité dans la décision de renvoi, que les données conservées dans le registre de police peuvent également faire l’objet de traitements dans le
cadre de la protection de la sécurité nationale, auxquels, aux termes de l’article 2, paragraphe 3, sous a), de cette directive, lu à la lumière de son considérant 14, celle-ci ne s’applique pas. Il appartiendra donc à la juridiction de renvoi de s’assurer que la conservation des données du requérant au principal n’est pas susceptible de répondre à des finalités relevant de la protection de la sécurité nationale, étant entendu que cet article 2, paragraphe 3, sous a), vise une exception à
l’application du droit de l’Union qui doit recevoir une interprétation stricte [voir, par analogie, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 62 et jurisprudence citée].
39 En premier lieu, il importe de rappeler que les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la Charte, ne sont pas des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société et être mis en balance avec d’autres droits fondamentaux. Toute limitation à l’exercice de ces droits fondamentaux doit, conformément à l’article 52, paragraphe 1, de la Charte, être
prévue par la loi et respecter le contenu essentiel desdits droits fondamentaux ainsi que le principe de proportionnalité. En vertu de ce dernier principe, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. Elles doivent s’opérer dans les limites du strict nécessaire et la réglementation comportant les limitations en cause doit
prévoir des règles claires et précises régissant la portée et l’application de ces limitations [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 105 et jurisprudence citée].
40 Ainsi que le souligne, en substance, le considérant 26 de la directive 2016/680, ces exigences ne sont pas remplies lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens, moins attentatoires aux droits fondamentaux des personnes concernées [voir, par analogie, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 110 et jurisprudence citée].
41 En second lieu, tout d’abord, aux termes de l’article 4, paragraphe 1, sous c), de ladite directive, les États membres doivent prévoir que les données à caractère personnel sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées. Cette disposition exige ainsi le respect, par les États membres, du principe de la « minimisation des données », lequel donne expression au principe de proportionnalité [voir, en ce sens, arrêt du 22 juin 2021, Latvijas
Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 98 et jurisprudence citée].
42 Il s’ensuit que, notamment, la collecte de données à caractère personnel dans le cadre d’une procédure pénale et la conservation de celles-ci par les autorités de police, à des fins énoncées à l’article 1er, paragraphe 1, de cette directive, doivent respecter, comme tout traitement relevant du champ d’application de celle-ci, ces exigences. Une telle conservation constitue d’ailleurs une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère
personnel, indépendamment du fait de savoir si les informations conservées présentent ou non un caractère sensible, si les intéressés ont ou non subi d’éventuels inconvénients en raison de cette ingérence, ou encore si les données conservées seront ou non utilisées par la suite (voir, par analogie, arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 44 ainsi que jurisprudence citée).
43 En outre, s’agissant, plus précisément, du caractère proportionné de la durée de conservation desdites données, les États membres doivent, en vertu de l’article 4, paragraphe 1, sous e), de la directive 2016/680, prévoir que ces données seront conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
44 Dans ce cadre, l’article 5 de cette directive impose aux États membres de prévoir la fixation de délais appropriés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver de telles données ainsi que des règles procédurales garantissant le respect de ces délais.
45 Ainsi que l’énonce le considérant 26 de la directive 2016/680, cette disposition vise à garantir que les données à caractère personnel ne soient pas, conformément aux exigences de l’article 4, paragraphe 1, sous e), de cette directive, conservées plus longtemps que nécessaire. Certes, elle laisse le soin aux États membres de fixer des délais appropriés pour la durée de conservation et de décider si ces délais concernent l’effacement desdites données ou la vérification régulière de la nécessité de
les conserver, sous réserve que le respect de ces délais soit garanti par des règles procédurales adéquates. Toutefois, le caractère « approprié » de ces délais requiert, en tout état de cause, que, conformément à l’article 4, paragraphe 1, sous c) et e), de ladite directive, lu à la lumière de l’article 52, paragraphe 1, de la Charte, lesdits délais permettent, le cas échéant, l’effacement des données concernées dans l’hypothèse où leur conservation n’est plus nécessaire au regard des finalités
ayant justifié le traitement.
46 C’est, en particulier, en vue de permettre aux personnes concernées de vérifier ce caractère « approprié » et, le cas échéant, de solliciter un tel effacement que l’article 13, paragraphe 2, sous b), et l’article 14, sous d), de la directive 2016/680 prévoient que, en principe, ces personnes puissent être informées, lorsque cela est possible, de la durée de conservation des données à caractère personnel les concernant ou, lorsque ce n’est pas possible, des critères utilisés pour déterminer cette
durée.
47 Ensuite, l’article 10 de la directive 2016/680 constitue une disposition spécifique régissant les traitements de catégories particulières de données à caractère personnel, notamment les données biométriques et génétiques. Cette disposition tend à assurer une protection accrue de la personne concernée, dans la mesure où, en raison de leur sensibilité particulière et du contexte dans lequel elles sont traitées, les données en cause sont susceptibles d’engendrer, ainsi qu’il ressort du
considérant 37 de ladite directive, des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte [arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 116 et jurisprudence citée].
48 Plus particulièrement, cet article 10 énonce l’exigence selon laquelle le traitement des données sensibles est autorisé « uniquement en cas de nécessité absolue », laquelle constitue une condition renforcée de licéité du traitement de telles données et implique, notamment, un contrôle particulièrement strict du respect du principe de la « minimisation des données », tel qu’il découle de l’article 4, paragraphe 1, sous c), de la directive 2016/680, dont cette exigence constitue une application
spécifique auxdites données sensibles [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, points 117, 122 et 125].
49 Enfin, l’article 16, paragraphe 2, de la directive 2016/680 instaure un droit à l’effacement des données à caractère personnel lorsque le traitement constitue une violation des dispositions adoptées en vertu de l’article 4, 8 ou 10 de cette directive ou lorsque ces données doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.
50 Il découle de cet article 16, paragraphe 2, que ce droit à l’effacement peut être exercé, notamment, lorsque la conservation des données à caractère personnel en cause ne revêt pas ou ne revêt plus un caractère nécessaire au regard des finalités de leur traitement, en méconnaissance des dispositions de droit national qui mettent en œuvre l’article 4, paragraphe 1, sous c) et e), de ladite directive ainsi que, le cas échéant, son article 10, ou lorsque cet effacement est requis pour respecter le
délai fixé, à cet effet, par le droit national en vertu de l’article 5 de la même directive.
51 Cependant, en application de l’article 16, paragraphe 3, de la directive 2016/680, le droit national doit prévoir que le responsable du traitement limite le traitement de ces données au lieu de procéder à leur effacement lorsque, conformément au point a) de cette disposition, la personne concernée conteste l’exactitude des données à caractère personnel et qu’il ne peut être déterminé si ces données sont exactes ou non, ou lorsque, conformément à son point b), les données à caractère personnel
doivent être conservées à des fins probatoires.
52 Il résulte de ce qui précède que les dispositions de la directive 2016/680 examinées aux points 41 à 51 du présent arrêt fixent un cadre général permettant de garantir, entre autres, que la conservation de données à caractère personnel et, plus particulièrement, la durée de celle-ci, soient limitées à ce qui s’avère nécessaire au regard des finalités pour lesquelles ces données sont conservées, tout en laissant aux États membres le soin de déterminer, dans le respect de ce cadre, les situations
concrètes dans lesquelles la protection des droits fondamentaux de la personne concernée requiert l’effacement de ces données et le moment auquel celui-ci doit intervenir. En revanche, ainsi que l’a relevé M. l’avocat général, en substance, au point 28 de ses conclusions, ces dispositions n’exigent pas que les États membres définissent des limites temporelles absolues pour la conservation des données à caractère personnel, au-delà desquelles celles-ci devraient être automatiquement effacées.
53 En l’occurrence, il ressort du dossier dont dispose la Cour que les données à caractère personnel figurant dans le registre de police en vertu de l’article 68 de la loi relative au ministère de l’Intérieur sont conservées uniquement à des fins d’enquête opérationnelle et, plus particulièrement, en vue d’être comparées à d’autres données collectées lors d’enquêtes relatives à d’autres infractions.
54 À cet égard, en premier lieu, il convient de souligner que la conservation, dans un registre de police, de données concernant des personnes ayant fait l’objet d’une condamnation pénale définitive peut s’avérer nécessaire aux fins indiquées au point précédent, même après que cette condamnation a été effacée du casier judiciaire et que, en conséquence, les effets que la législation nationale attache à cette condamnation sont abrogés. En effet, ces personnes sont susceptibles d’être impliquées dans
le cadre d’autres infractions pénales que celles pour lesquelles elles ont été condamnées ou, au contraire, d’être disculpées au moyen de la comparaison des données conservées par ces autorités avec celles collectées lors des procédures relatives à ces autres infractions.
55 Ainsi, une telle conservation est susceptible de contribuer à l’objectif d’intérêt général énoncé au considérant 27 de la directive 2016/680, selon lequel, aux fins de la prévention des infractions pénales ainsi que des enquêtes et des poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, ainsi que des enquêtes et des poursuites en la matière
au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 98].
56 En deuxième lieu, il ressort du dossier dont dispose la Cour que sont conservées dans le registre de police les données relatives à la personne concernée visées par la législation bulgare en matière de documents d’identité, le relevé de ses empreintes digitales, sa photographie ainsi qu’un prélèvement à des fins de profilage ADN, auxquels, comme le gouvernement bulgare l’a confirmé lors de l’audience, viennent s’ajouter les données relatives aux infractions pénales commises par la personne
concernée et à ses condamnations à ce titre. Or, ces différentes catégories de données peuvent s’avérer indispensables aux fins de vérifier si la personne concernée est impliquée dans le cadre d’autres infractions pénales que celles pour laquelle elle a été définitivement condamnée. Par conséquent, elles peuvent être considérées, en principe, comme adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées, au sens de l’article 4, paragraphe 1, sous c), de la directive
2016/680.
57 En troisième lieu, la proportionnalité d’une telle conservation au regard de ses finalités doit être appréciée en tenant compte également des mesures techniques et organisationnelles appropriées prévues par le droit national, qui sont destinées à garantir la confidentialité et la sécurité des données conservées à l’égard de traitements contraires aux exigences de la directive 2016/680, conformément aux articles 20 et 29 de cette directive, et notamment des mesures visées à l’article 20,
paragraphe 2, de celle-ci, garantissant que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
58 En quatrième lieu, s’agissant de la durée de conservation des données à caractère personnel en cause au principal, il ressort, en l’occurrence, de la demande de décision préjudicielle que c’est seulement dans l’hypothèse d’une condamnation définitive de la personne concernée pour une infraction pénale intentionnelle relevant de l’action publique que la conservation desdites données est maintenue jusqu’au décès de cette personne, la législation nationale prévoyant la radiation des inscriptions des
personnes poursuivies pour une telle infraction pénale dans les autres cas.
59 À cet égard, force est de constater, toutefois, que la notion d’« infraction pénale intentionnelle relevant de l’action publique » revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 129].
60 Or, comme l’a également relevé, en substance, M. l’avocat général aux points 73 et 74 de ses conclusions, toutes les personnes définitivement condamnées pour une infraction pénale relevant de cette notion ne présentent pas le même degré de risque d’être impliquées dans d’autres infractions pénales, justifiant une durée uniforme de conservation des données les concernant. Ainsi, dans certains cas, eu égard à des facteurs tels que la nature et la gravité de l’infraction commise ou l’absence de
récidive, le risque représenté par la personne condamnée ne justifiera pas nécessairement le maintien jusqu’à son décès des données la concernant dans le registre national de police prévu à cet effet. Dans de tels cas de figure, il n’existera plus de rapport nécessaire entre les données conservées et l’objectif poursuivi [voir, par analogie, avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 205]. Dès lors, leur conservation ne sera pas conforme au principe de minimisation
des données, énoncé à l’article 4, paragraphe 1, sous c), de la directive 2016/680 et excèdera la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, contrairement à l’article 4, paragraphe 1, sous e), de cette directive.
61 Il convient de préciser, à cet égard, que, certes, comme l’a souligné, en substance, M. l’avocat général au point 70 de ses conclusions, la réhabilitation d’une telle personne, entraînant l’effacement de sa condamnation de son casier judiciaire, telle que celle intervenue dans le litige au principal, ne saurait priver, par elle-même, de nécessité la conservation de ses données dans le registre de police, cette dernière répondant à des finalités différentes du relevé de ses antécédents pénaux dans
ledit casier judiciaire. Toutefois, lorsque, comme en l’occurrence, en vertu des dispositions applicables du droit pénal national, une telle réhabilitation est subordonnée à l’absence de commission d’une nouvelle infraction pénale intentionnelle relevant de l’action publique pendant un certain laps de temps après que la peine a été purgée, elle peut constituer l’indice d’un risque moins important représenté par la personne concernée au regard des objectifs de lutte contre la criminalité ou de
maintien de l’ordre public et donc un élément de nature à réduire la durée nécessaire d’une telle conservation.
62 En cinquième lieu, le principe de proportionnalité, énoncé à l’article 52, paragraphe 1, de la Charte, implique, notamment, une pondération de l’importance de l’objectif poursuivi et de la gravité de la limitation apportée à l’exercice des droits fondamentaux en cause (voir, en ce sens, arrêt du 22 novembre 2022, Luxembourg Business Registers, C‑37/20 et C‑601/20, EU:C:2022:912, point 66).
63 En l’occurrence, ainsi qu’il a été rappelé au point 35 du présent arrêt, la conservation des données à caractère personnel dans le registre de police en cause inclut des données biométriques et génétiques. Il y a donc lieu de souligner que, eu égard aux risques importants que représente le traitement de telles données sensibles pour les droits et les libertés des personnes concernées, en particulier dans le contexte des missions des autorités compétentes aux fins énoncées à l’article 1er,
paragraphe 1, de la directive 2016/680, l’importance particulière de l’objectif poursuivi doit s’apprécier en fonction d’un ensemble d’éléments pertinents. Relèvent de tels éléments d’appréciation, notamment, le fait que le traitement sert un objectif concret lié à la prévention d’infractions pénales ou de menaces contre la sécurité publique présentant un certain degré de gravité, la répression de telles infractions ou la protection contre de telles menaces, ainsi que les circonstances
spécifiques dans lesquelles ce traitement est effectué [arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 127].
64 Dans ce contexte, la Cour a considéré qu’une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office est, en principe, contraire à l’exigence de nécessité absolue, énoncée à l’article 10 de la directive 2016/680 et rappelée au point 48 du présent arrêt. En effet, une telle législation est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte
des données biométriques et génétiques de la plupart des personnes mises en examen [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, points 128 et 129].
65 La Cour européenne des droits de l’homme a, quant à elle, jugé que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel que prévu par la réglementation nationale en cause dans l’affaire dont cette juridiction était saisie, ne traduisait pas un juste équilibre entre les intérêts publics et privés concurrents en jeu et que, dès lors, la
conservation de ces données s’analysait en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne pouvait passer pour nécessaire dans une société démocratique, une telle atteinte étant, partant, constitutive d’une violation de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (Cour EDH, 4 décembre 2008, S et Marper c. Royaume-Uni, CE :ECHR :2008 :1204JUD 003056204, §§ 125
et 126).
66 Certes, la conservation des données biométriques et génétiques de personnes ayant déjà fait l’objet d’une condamnation pénale définitive, y compris jusqu’au décès de ces personnes, est susceptible de revêtir un caractère de nécessité absolue, au sens de l’article 10 de la directive 2016/680, notamment pour permettre de vérifier leur éventuelle implication dans d’autres infractions pénales et, ainsi, de poursuivre et de condamner les auteurs de ces infractions. En effet, il convient d’avoir égard
à l’importance que revêt ce type de données pour les enquêtes pénales, y compris de nombreuses années après les faits, en particulier lorsque lesdites infractions constituent des crimes graves (voir, en ce sens, Cour EDH, 13 février 2020, Gaughran c. Royaume-Uni, CE:ECHR:2020:0213JUD004524515, § 93).
67 Toutefois, la conservation de données biométriques et génétiques ne saurait être considérée comme répondant à l’exigence selon laquelle elle doit être autorisée uniquement « en cas de nécessité absolue », au sens de l’article 10 de la directive 2016/680, que si elle prend en considération la nature et la gravité de l’infraction ayant abouti à la condamnation pénale définitive, ou d’autres circonstances telles que le contexte particulier dans lequel cette infraction a été commise, son lien
éventuel avec d’autres procédures en cours ou encore les antécédents ou le profil de la personne condamnée. Partant, dans l’hypothèse où une législation nationale prévoit, comme celle en cause au principal, que les données biométriques et génétiques des personnes concernées inscrites sur le registre de police sont conservées jusqu’à la date du décès de ces personnes en cas de condamnation pénale définitive de celles-ci, le champ d’application de cette conservation présente, ainsi qu’il a été
constaté aux points 59 et 60 ci-dessus, un caractère excessivement étendu au regard des finalités pour lesquelles ces données sont traitées.
68 En sixième lieu, s’agissant, d’une part, de l’obligation mise à charge des États membres de prévoir la fixation de délais appropriés, énoncée à l’article 5 de la directive 2016/680, il y a lieu de relever que, pour les raisons exposées aux points 59, 60 et 67 du présent arrêt et eu égard aux exigences de l’article 4, paragraphe 1, sous c) et e), ainsi que de l’article 10 de cette directive, un délai ne saurait être considéré comme « approprié », au sens de ce même article 5, notamment en ce qui
concerne la conservation des données biométriques et génétiques de toute personne condamnée définitivement pour une infraction pénale intentionnelle relevant de l’action publique, que s’il prend en considération les circonstances pertinentes de nature à rendre nécessaire une telle durée de conservation, telles que celles visées au point 67 du présent arrêt.
69 Par conséquent, même si la référence, dans la législation nationale, à la survenance du décès de la personne concernée est susceptible de constituer un « délai » pour l’effacement des données conservées, au sens dudit article 5, un tel délai ne saurait être considéré comme étant « approprié » que dans des circonstances particulières qui le justifient dûment. Or, tel n’est manifestement pas le cas lorsqu’il est applicable de manière générale et indifférenciée à toute personne condamnée
définitivement.
70 Certes, ainsi qu’il a été relevé au point 45 du présent arrêt, l’article 5 de la directive 2016/680 laisse le soin aux États membres de décider si des délais doivent être fixés concernant l’effacement desdites données ou la vérification régulière de la nécessité de les conserver. Toutefois, il ressort également de ce même point que le caractère « approprié » des délais pour une telle vérification régulière requiert que ceux-ci permettent, conformément à l’article 4, paragraphe 1, sous c) et e),
de cette directive, lu à la lumière de l’article 52, paragraphe 1, de la Charte, d’aboutir à l’effacement des données en cause, dans le cas où leur conservation n’est plus nécessaire. Or, pour les motifs rappelés au point précédent, une telle exigence n’est pas satisfaite lorsque, comme en l’occurrence, le seul cas dans lequel la législation nationale prévoit un tel effacement, en ce qui concerne une personne condamnée définitivement pour une infraction pénale intentionnelle relevant de l’action
publique, est la survenance de son décès.
71 S’agissant, d’autre part, des garanties prévues à l’article 16, paragraphes 2 et 3, de cette directive, concernant les conditions relatives aux droits à l’effacement et à la limitation du traitement, il résulte des points 50 et 51 du présent arrêt que ces dispositions s’opposent également à une législation nationale qui ne permet pas à une personne définitivement condamnée pour une infraction pénale intentionnelle relevant de l’action publique d’exercer ces droits.
72 Eu égard à l’ensemble des considérations qui précédent, il y a lieu de répondre à la question posée que l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680, lu en combinaison avec les articles 5 et 10, l’article 13, paragraphe 2, sous b), ainsi que l’article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des
fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du
responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.
Sur les dépens
73 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (grande chambre) dit pour droit :
L’article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du
Conseil, lu en combinaison avec les articles 5 et 10, l’article 13, paragraphe 2, sous b), ainsi que l’article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès
de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le bulgare.
