Le Règlement (UE) 2019/1157, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union, est invalide en ce qu'il a été adopté sur une base juridique erronée. Toutefois, l'insertion obligatoire dans les cartes d'identité de deux empreintes digitales, prévue par ce règlement, est compatible notamment avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les effets sont donc maintenus jusqu'à l'entrée en vigueur d'un nouveau règlement, fondé sur la base juridique spécifique appropriée, appelé à le remplacer.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

1) L’Directive (UE) 2016/680, Article 6, sous a) (Distinction claire entre les données à caractère personnel de différentes catégories de personnes) du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ainsi que les articles 47 et 48 de la Charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens qu’ils ne s’opposent pas à une législation nationale qui prévoit que, en cas de refus de la personne mise en examen pour une infraction intentionnelle poursuivie d’office, de coopérer spontanément à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, la juridiction pénale compétente est tenue d’autoriser une mesure d’exécution forcée de cette collecte, sans disposer du pouvoir d’apprécier s’il existe des motifs sérieux de considérer que la personne concernée a commis l’infraction pour laquelle elle est mise en examen, pour autant que le droit national garantisse ultérieurement le contrôle juridictionnel effectif des conditions de cette mise en examen, dont découle l’autorisation de procéder à ladite collecte.

2) L’Article 4, paragraphe 1, sous a) à c) (Traitement de données biométriques et de données génétiques) ainsi que les articles 8, paragraphes 1 et 2, de cette directive doivent être interprétés en ce sens qu’ils s’opposent à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée.

L'article 4, paragraphe 3, du règlement nº 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les états membres n'oblige pas ces derniers à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément à ce règlement ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect relève d'absence d'obligation pesant sur les états membres.

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. Ce recueil est donc proportionné.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l 'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que d e garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiq uement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la techno logie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'ut ilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intére ssé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des po ursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas é té accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure adminis trative, ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

Le recueil et la conservation de divers types de données personnelles s'analysent comme une ingérence dans le droit du requérant au respect de sa vie privée. La prise d'empreintes palmaires, en particulier, constitue une mesure qui, sur le plan de son intensité et de l'utilisation future éventuelle des données recueillies, est très similaire à celle de la prise d'empreintes digitales. Par conséquent, les mêmes considérations doivent s'appliquer. Il y a lieu de considérer que le signalement du requérant et son enregistrement dans les fichiers de la police aux fins d'une identification future sont comparables à la prise d'une photographie, quoique moins intrusifs. L'article 8 est donc applicable à cette mesure. L'ingérence litigieuse était conforme à la loi et avait pour objectif la prévention du crime ainsi que la protection des droits d'autrui en facilitant les enquêtes relatives à de futures infractions.

La mesure litigieuse ménageait un juste équilibre entre des intérêts publics et privés concurrents et relève donc de la marge d'appréciation de l'État défendeur.

Pour apprécier la proportionnalité de l'ingérence, il est important que le recueil et la conservation des données d'identification dont il est question en l'espèce – photographies, empreintes digitales et palmaires et signalement – aient constitué une ingérence moins intrusive que le recueil d'échantillons cellulaires et la conservation de profils ADN, qui contiennent des informations beaucoup plus sensibles.

En ce qui concerne la durée de la conservation des données d'identification en question, le droit interne pertinent prévoit des délais précis au terme desquels la nécessité de conserver les données doit être réexaminée. L'objet de la conservation ainsi que le type et l'importance du motif de la conservation doivent être pris en compte dans cette appréciation. Dans une affaire comme celle du requérant – un délinquant adulte dont les infractions ne sont ni mineures ni particulièrement graves selon la définition de la directive applicable – la règle veut que les données personnelles soient supprimées au bout de cinq ans en l'absence d'ouverture d'une nouvelle enquête pénale visant le requérant dans ce délai. Le requérant peut donc obtenir la suppression de ses données dans les fichiers de police si son comportement démontre que les données ne sont plus nécessaires au travail de la police. La présente affaire se distingue par conséquent d'affaires telles que S. et Marper et Gaughran c. Royaume‑Uni, qui concernaient la conservation de données pour une durée indéterminée, ou M.K. c. France, dans laquelle il avait été constaté qu'en pratique, les données étaient conservées pendant vingt‑cinq ans.

En outre, en l'espèce, la nécessité de conserver les données en question peut faire l'objet d'un réexamen – par la police, susceptible de contrôle juridictionnel. Rien n'indique que les données d'identification sont insuffisamment protégées contre des abus tels qu'un accès ou une diffusion non autorisés.

Au vu du degré relativement limité de l'intrusion et de la durée du recueil des données d'identification en question, de l'effet limité sur la vie quotidienne du requérant de la conservation des données dans une base de données interne de la police et de la présence de garanties, la mesure litigieuse constituait une ingérence proportionnée dans le droit du requérant au respect de sa vie privée.

Etaient conservés, sans limitation de durée et sans possibilité de réexamen, le profil ADN, les empreintes digitales et la photographie du requérant qui avait été reconnu coupable de conduite en état d'ivresse en Irlande du Nord et dont la condamnation avait été rayée de son casier judiciaire à l'expiration du délai prévu par la loi.

La Cour EDH a conclu à la violation de l'article 8 de la Convention.

La conservation du profil ADN et des empreintes digitales du requérant s'analyse en une atteinte à son droit au respect de sa vie privée. La conservation des données biométriques et des photographies poursuivait un but légitime, à savoir la prévention des infractions pénales.

Les États jouissent d'une marge d'appréciation réduite lorsqu'ils sont appelés à fixer des limites concernant la conservation des données biométriques de personnes ayant été condamnées. Néanmoins, la durée de conservation de ces données ne constitue pas nécessairement un critère déterminant lorsqu'il s'agit de rechercher si un État a outrepassé sa marge d'appréciation en la matière. La question de savoir si les règles mises en place tiennent compte de la gravité de l'infraction commise et de la nécessité de conserver les données en question, et si des garanties effectives ont été mises en place revêt également de l'importance. Lorsqu'un État se place aux confins de sa marge d'appréciation en s'attribuant le pouvoir le plus étendu en matière de conservation des données, c'est‑à‑dire le pouvoir de conserver des données sans limitation de durée, l'existence de certaines garanties effectives devient déterminante.

Les autorités ont conservé les données biométriques et la photographie du requérant sans prendre en considération ni la gravité de l'infraction commise ni la nécessité de conserver ces données sans limitation de durée. En outre, la police n'avait le pouvoir d'effacer les données biométriques et les photographies de personnes reconnues coupables que dans des cas exceptionnels. Par ailleurs, aucune disposition ne permettait au requérant de présenter une demande d'effacement si la conservation des données le concernant n'apparaissait plus pertinente compte tenu de la finalité du fichier, au regard de la nature de l'infraction qu'il avait commise, de son âge lors de sa commission, du temps écoulé depuis lors et de sa personnalité actuelle. En conséquence, il apparaît que les possibilités de réexamen étaient tellement restreintes qu'elles en devenaient presque hypothétiques.

Le caractère indifférencié des pouvoirs de conservation du profil ADN, des empreintes digitales et de la photographie du requérant au motif qu'il avait été reconnu coupable d'une infraction, entre‑temps radiée de son casier judiciaire, sans examen de la gravité de l'infraction commise ni de la nécessité de conserver indéfiniment les données en question, et sans possibilité réelle de réexamen de la mesure litigieuse, n'a pas ménagé un juste équilibre entre les intérêts publics et privés concurrents en jeu. L'État jouissait d'une marge d'appréciation légèrement plus ample en ce qui concerne la conservation des empreintes digitales et des photographies. Néanmoins, cette marge d'appréciation n'était pas suffisamment ample pour que la conservation des données concernées puisse être considérée comme proportionnée compte tenu des circonstances de la cause, notamment de l'absence de garanties suffisantes, et plus particulièrement de l'absence de possibilité réelle de réexamen de la mesure litigieuse.

L'État défendeur a donc outrepassé la marge d'appréciation acceptable à cet égard. Partant, la conservation litigieuse s'analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée et ne peut passer pour nécessaire dans une société démocratique.

En application du deuxième alinéa de l'article L. 242-4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son, ni comporter de traitements automatisés reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l'analyse des images au moyen d'autres systèmes automatisés reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.

Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.

Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

L'enregistrement dans un traitement automatisé de données à caractère personnel d'une photographie de personnes mises en cause comportant les données biométriques nécessaires à la mise en œuvre d'un dispositif de reconnaissance faciale et permettant aux agents habilités d'identifier une personne à partir de l'image de son visage via une recherche automatisée pour les finalités mentionnées à l'article 230‑6 du code de procédure pénale tel que le prévoit l'article R. 40‑26 alinéa 16 de ce code répond à la condition de nécessité absolue posée par l'article 88 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Une telle identification et le rapprochement avec les données enregistrées dans le traitement pouvant s'avérer absolument nécessaires à la recherche des auteurs d'infractions et à la prévention des atteintes à l'ordre public.