1.

La présente demande de décision préjudicielle porte sur l’interprétation de l’article 4, paragraphe 1, sous c) et e), de l’article 6, de l’article 8, paragraphe 2, et de l’article 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ( 2 ).

2.

Cette demande a été présentée dans le cadre d’un litige opposant JH, une personne physique, à la policejní prezidium (direction de la police, République tchèque) portant notamment sur la collecte de données biométriques et génétiques relatives à JH dans le cadre d’une procédure pénale et sur la conservation de ces données par la Policie České republiky (police de la République tchèque) (ci-après la « police tchèque »).

3.

La présente affaire s’inscrit, s’agissant de la première question préjudicielle formulée par le Nejvyšší správní soud (Cour administrative suprême, République tchèque), dans le prolongement des arrêts du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) ( 3 ), et du 28 novembre 2024, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques II) ( 4 ), dans lesquels la Cour a jugé qu’une législation nationale prévoyant la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement policier était contraire à l’exigence d’assurer une protection accrue des personnes à l’égard du traitement de données sensibles à caractère personnel. La juridiction de renvoi invite la Cour à préciser sa jurisprudence en l’interrogeant sur la question de savoir si l’article 65, paragraphe 1, du zákon č. 273/2008 Sb., o Policii České republiky (loi no 273/2008 relative à la police de la République tchèque) ( 5 ), en limitant son application aux seules infractions pénales intentionnelles, reflète de manière suffisante, au niveau structurel, la nécessité d’apprécier le caractère proportionné du prélèvement des données biométriques et génétiques des personnes concernées ou si, au contraire, il y a lieu d’opérer une distinction supplémentaire entre ces personnes en fonction de la gravité de l’infraction pénale.

4.

S’agissant de la deuxième question préjudicielle formulée par la juridiction de renvoi, la présente affaire s’inscrit dans le prolongement de l’arrêt du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia ( 6 ), dans lequel la Cour s’est prononcée pour la première fois sur les limites temporelles de la conservation, à des fins de lutte contre les infractions pénales, des données à caractère personnel de personnes ayant fait l’objet d’une condamnation pénale définitive, au regard de la directive 2016/680. Dans cet arrêt, la Cour a jugé que cette directive fixe un cadre général permettant de garantir que la conservation de données à caractère personnel et, plus particulièrement, la durée de celle-ci soient limitées à ce qui s’avère nécessaire au regard des finalités pour lesquelles ces données sont conservées ( 7 ). La juridiction de renvoi invite la Cour à préciser si cette jurisprudence est pertinente lorsque les données à caractère personnel sont conservées dans une finalité de prévention, de recherche et de détection des infractions pénales, qui, par nature, est prospective et illimitée dans le temps. Une telle finalité nécessiterait en effet que ces données soient conservées le plus longtemps possible.

5.

Ainsi, dans la présente affaire, la Cour sera amenée à préciser, d’une part, les notions de « minimisation matérielle » et de « minimisation temporelle » des données biométriques et génétiques relevant du champ d’application de la directive 2016/680 lorsqu’elles sont prélevées et conservées dans ce cadre.

6.

D’autre part, s’agissant de la troisième question préjudicielle, la Cour est invitée, de façon inédite, à interpréter la notion de « droit d’un État membre », au sens de l’article 8, paragraphe 2, de cette directive, lu en combinaison avec l’article 10 de ladite directive. Plus particulièrement, la juridiction de renvoi se demande si la jurisprudence nationale précisant les critères de prélèvement et de conservation des données biométriques et génétiques peut relever de cette notion et dans quelle mesure les conditions matérielles et procédurales minimales d’obtention, de conservation et d’effacement de ces données doivent être prévues dans le droit d’un État membre au moyen d’une disposition de portée générale.

7.

L’article 11 de la loi relative à la police tchèque dispose :

« Le policier et l’employé de la police sont tenus de

[…]

8.

Aux termes de l’article 65 de cette loi :

« (1) Dans le cadre de l’exécution de ses missions, la police peut, aux fins d’une identification future, pour

(2) Si, la personne s’y opposant, un acte prévu au paragraphe 1 ne peut être effectué, le policier a le droit de passer outre cette opposition après avoir vainement demandé à la personne de s’y soumettre. La manière dont il passe outre cette opposition doit être proportionnelle à l’intensité de l’opposition. Le policier ne peut passer outre l’opposition d’une personne dans le cas d’un prélèvement de sang ou d’un autre acte similaire portant atteinte à l’intégrité physique.

(3) Si un acte prévu au paragraphe 1 ne peut être effectué sur place, le policier a le droit de présenter la personne en vue de la réalisation de l’acte. Le policier libère la personne une fois l’acte effectué.

(4) Le policier rédige un rapport sur les actes réalisés.

(5) La police efface les données à caractère personnel obtenues en application du paragraphe 1 dès lors que leur traitement n’est pas indispensable afin de prévenir, de rechercher ou de détecter des infractions pénales ou de les poursuivre, ou d’assurer la sécurité de la République tchèque, l’ordre public ou la sécurité intérieure. »

9.

L’article 79 de ladite loi, intitulé « Dispositions de base concernant le traitement des données à caractère personnel dans le cadre de l’exécution de certaines missions de police », prévoit, à ses paragraphes 1 et 2 :

« (1) Les paragraphes 2 à 6 et les articles 79a à 88 s’appliquent au traitement de données à caractère personnel à des fins de prévention, de recherche et de détection des infractions pénales, de poursuite en la matière, afin d’assurer la sécurité de la République tchèque ou de garantir l’ordre public et la sécurité intérieure, y compris à des fins de recherche de personnes et de choses.

(2) La police peut traiter les données à caractère personnel si cela est nécessaire pour atteindre les objectifs cités au paragraphe 1. La police peut traiter les données à caractère personnel également afin de protéger les intérêts importants d’une personne concernée qui sont liés aux objectifs cités au paragraphe 1. »

10.

L’article 82 de la même loi est libellé comme suit :

« (1) La police vérifie au moins une fois tous les trois ans que les données à caractère personnel traitées aux fins mentionnées à l’article 79, paragraphe 1, sont toujours nécessaires à l’exécution de ses missions dans ce domaine.

(2) Aux fins de la vérification visée au paragraphe 1, la police est habilitée à exiger un extrait du casier judiciaire.

(3) Les autorités répressives et judiciaires, le Ministerstvo spravedlnosti [ministère de la Justice, République tchèque], l’Ustavní soud [Cour constitutionnelle, République tchèque] et le Kancelář prezidenta republiky [cabinet du président de la République, République tchèque] informent en continu la police, dans les limites de leurs compétences, aux fins de la vérification visée au paragraphe 1, de leurs décisions définitives, de la prescription de poursuites pénales, de l’exécution d’une peine ou des décisions du président de la République relatives à une procédure pénale, à des peines ou à une amnistie ou une grâce accordée. »

11.

Par décision du 11 décembre 2015, la police tchèque a engagé des poursuites pénales contre JH pour le délit de violation d’une obligation dans la gestion du patrimoine d’autrui.

12.

Le 13 janvier 2016, elle a entendu JH dans le cadre de la procédure pénale et a ordonné la réalisation de différents actes d’identification. Malgré le désaccord de JH, la police tchèque a procédé sur lui à un prélèvement des empreintes digitales, à un prélèvement buccal à partir duquel elle a créé un profil génétique, à une prise de photos et à la rédaction d’une description de JH. Elle a ensuite enregistré ces informations dans les bases de données correspondantes de la police tchèque.

13.

Par arrêt du Městský soud v Praze (cour municipale de Prague, République tchèque) du 15 mars 2017, JH a été définitivement jugé coupable du délit de violation d’une obligation dans la gestion du patrimoine d’autrui et du crime d’abus de pouvoir de la part d’un fonctionnaire. Il a été condamné à une peine privative de liberté de trois ans avec sursis, à une interdiction, pour une durée de quatre ans, d’exercer dans l’administration publique des fonctions de direction incluant la gestion d’un patrimoine immobilier et mobilier ainsi qu’à réparer le dommage causé dans la limite de ses possibilités.

14.

Le 8 mars 2016, JH a introduit un recours auprès du Městský soud v Praze (cour municipale de Prague) visant à faire constater que la réalisation des actes d’identification conformément à l’article 65 de la loi relative à la police tchèque, la conservation des informations et des échantillons ainsi obtenus, ainsi que la création d’une entrée dans le système informatique de la police tchèque constituaient une ingérence illégale.

15.

Par un arrêt du 23 juin 2022, cette juridiction a fait droit au recours de JH, jugeant que les actes d’identification réalisés par la police tchèque et la conservation de ces données à caractère personnel dans les bases de données de la police tchèque constituaient une ingérence illégale dans le droit fondamental au respect de la vie privée. Ladite juridiction a, par conséquent, ordonné à la police tchèque d’effacer de ses bases de données toutes les données à caractère personnel résultant de ces actes, à l’exception du prélèvement buccal, entre-temps détruit.

16.

Le Městský soud v Praze (cour municipale de Prague) a souligné que le prélèvement de matériel génétique représente une ingérence considérable dans le droit fondamental au respect de la vie privée protégé notamment par l’article 8 de la convention de sauvegarde des droits de l’homme et des libertés fondamentales ( 8 ). Or, l’article 65 de la loi relative à la police tchèque ne fournirait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. En effet, la seule vérification effectuée par la police tchèque, avant de réaliser un tel prélèvement, porterait sur le caractère intentionnel de l’infraction commise au sens de cette disposition, cette condition pouvant être considérée comme étant satisfaite dans le cadre de la procédure au principal.

17.

Par conséquent, le Městský soud v Praze (cour municipale de Prague) a estimé que les actes d’identification réalisés par la police tchèque ne satisfaisaient pas à l’exigence de proportionnalité et, partant, constituaient une ingérence illégale. Cette juridiction a relevé, à cet égard, que JH était seulement poursuivi pour la commission d’un délit, à savoir une infraction pénale de moindre gravité, qu’il n’avait jamais été condamné auparavant et qu’une récidive de sa part était peu probable. Ladite juridiction a, en outre, souligné le fait que la police tchèque doive elle-même, en application de l’article 65, paragraphe 5, de la loi relative à la police tchèque, examiner en interne à partir de quand le maintien de la conservation de données à caractère personnel « n’est pas indispensable pour prévenir, rechercher ou détecter des infractions pénales ». La même juridiction considère que cette réglementation laisse une marge de réflexion illimitée à la police et tend à la surutilisation d’une conservation illimitée dans le temps des données à caractère personnel.

18.

La direction de la police a introduit un pourvoi en cassation contre cet arrêt devant le Nejvyšší správní soud (Cour administrative suprême).

19.

Au soutien de son pourvoi, la direction de la police a souligné que la finalité du traitement des données à caractère personnel était clairement exprimée à l’article 65 de la loi relative à la police tchèque. Elle a également affirmé avoir apprécié le caractère proportionné du prélèvement et de la conservation des données à caractère personnel de JH, prenant en considération le facteur de la récidive, la possible aggravation des actes et le fait que JH avait par le passé commis plusieurs infractions. S’agissant de la publicité prétendument insuffisante des critères appliqués en interne par la police tchèque pour décider de continuer à conserver des données à caractère personnel, la direction de la police a indiqué avoir communiqué ces règles au public dans le cadre du droit à l’information.

20.

En réponse, JH a notamment souligné que les services de police tchèque avaient procédé aux actes d’identification sans avoir préalablement examiné le caractère proportionné de l’ingérence. JH a également critiqué l’absence de publicité des instructions de la police tchèque relatives à la réalisation d’actes d’identification.

21.

Dans ce contexte, la juridiction de renvoi se demande, en premier lieu, si les exigences établies par la directive 2016/680 s’opposent à la collecte indifférenciée de données biométriques et génétiques pour toute personne soupçonnée d’avoir commis une infraction pénale intentionnelle ; en deuxième lieu, si les exigences établies par cette directive s’opposent à la conservation de telles données sans que soit explicitement prévue une limitation dans le temps, et, en troisième lieu, si la jurisprudence des juridictions administratives nationales est susceptible d’être qualifiée de « droit d’un État membre », au sens de l’article 8 de ladite directive, lequel établit les conditions de licéité des traitements de données à caractère personnel.

22.

Dans ces conditions, le Nejvyšší správní soud (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

23.

JH, le gouvernement tchèque, l’Irlande, le gouvernement polonais ainsi que la Commission européenne ont déposé des observations écrites.

24.

Lors de l’audience qui s’est tenue le 28 novembre 2024, JH, le gouvernement tchèque, l’Irlande, le gouvernement néerlandais ainsi que la Commission ont été entendus et ont notamment été invités à répondre aux questions pour réponse orale adressées par la Cour.

25.

À titre liminaire, il convient de rappeler que les questions préjudicielles posées par la juridiction de renvoi portent sur la collecte ainsi que la conservation de données biométriques et génétiques, qui sont des catégories particulières de données à caractère personnel, dont le traitement est régi par l’article 10 de la directive 2016/680.

26.

Or, cette disposition tend à assurer une protection accrue de la personne concernée dans la mesure où, en raison de leur sensibilité particulière et du contexte dans lequel elles sont traitées, les données en cause sont susceptibles d’engendrer, ainsi qu’il ressort du considérant 37 de cette directive, des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne ( 9 ).

27.

Plus particulièrement, l’article 10 de la directive 2016/680 énonce l’exigence selon laquelle le traitement des données sensibles est autorisé « uniquement en cas de nécessité absolue », laquelle constitue une condition renforcée de licéité du traitement de telles données et implique, notamment, un contrôle particulièrement strict du respect du principe de la « minimisation des données », tel qu’il découle de l’article 4, paragraphe 1, sous c), de cette directive, dont cette exigence constitue une application spécifique auxdites données sensibles ( 10 ).

28.

C’est à la lumière de ces considérations que proposerai, dans les présentes conclusions, de répondre à la juridiction de renvoi en cherchant à déterminer si la réglementation nationale en cause au principal répond à l’exigence consistant à ce que la collecte ainsi que la conservation des données biométriques et génétiques des personnes concernées soient autorisées uniquement en cas de « nécessité absolue », au sens de l’article 10 de la directive 2016/680.

29.

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous c), ou l’article 6 de la directive 2016/680, lu en combinaison avec l’article 10 de cette directive, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction.

30.

Dans ses observations écrites, la Commission a conclu à l’irrecevabilité de la première question au motif que, dans l’affaire en cause au principal, le prélèvement des données génétiques et biométriques de JH par la police tchèque a eu lieu le 13 janvier 2016, soit avant l’entrée en vigueur de la directive 2016/680, qui est intervenue le 5 mai 2016, et avant l’expiration du délai de transposition, fixé au 6 mai 2018 par l’article 63, paragraphe 1, de cette directive.

31.

S’il est vrai que la directive 2016/680 ne prévoit aucune disposition transitoire s’agissant des données prélevées avant le 5 mai 2016, il me semble pertinent de se référer au considérant 96 de cette directive, aux termes duquel « [l]es traitements déjà en cours à cette date devraient être mis en conformité avec [ladite] directive dans un délai de deux ans après son entrée en vigueur » ( 11 ).

32.

Conformément à l’article 3, point 2, de la directive 2016/680, consiste en un « traitement », « toute opération ou tout ensemble d’opérations […] appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » ( 12 ).

33.

Or, à l’exception du prélèvement buccal entre-temps détruit, les données à caractère personnel de JH prélevées avant le 5 mai 2016 continuent d’être conservées dans les bases de données de la police tchèque. Ces données continuent donc d’être traitées après cette date, soit après l’entrée en vigueur de la directive 2016/680.

34.

C’est pourquoi il m’apparaît que les données à caractère personnel collectées de manière licite sous l’empire de la décision-cadre 2008/977/JAI ( 13 ), mais qui l’auraient été en violation des principes établis par la directive 2016/680 si elles avaient été collectées après la date d’entrée en vigueur de cette directive, ne devraient pas continuer à être traitées et, donc, conservées sous l’empire de ladite directive.

35.

Dans ces conditions, la première question posée par la juridiction de renvoi est, selon moi, recevable.

36.

La juridiction de renvoi se demande si l’article 65, paragraphe 1, de la loi relative à la police tchèque est compatible avec l’obligation faite aux États membres par l’article 6 de la directive 2016/680 d’établir une distinction entre différentes catégories de personnes concernées et avec le principe de minimisation du traitement des données à caractère personnel énoncé à l’article 4, paragraphe 1, sous c), de cette directive.

37.

Plus précisément, cette juridiction se demande si l’unique condition posée par la réglementation nationale pour autoriser le prélèvement des données biométriques et génétiques d’une personne physique, à savoir l’existence d’une infraction pénale intentionnelle, établit une distinction suffisante entre les différentes personnes concernées ou si un degré d’individualisation supplémentaire est requis, de telle sorte qu’il faudrait opérer une distinction en fonction de la gravité des infractions pénales intentionnelles pour lesquelles pourraient automatiquement être collectées de telles données.

38.

Afin de répondre à cette question, il convient, d’une part, de rappeler que, si l’article 6 de la directive 2016/680 fait obligation aux États membres d’opérer une distinction claire entre les données des différentes catégories de personnes concernées, de manière à ce que le même degré d’ingérence dans leur droit fondamental à la protection de leurs données à caractère personnel ne leur soit pas indifféremment imposé ( 14 ), l’expression « le cas échéant et dans la mesure du possible », utilisée à cet article, indique clairement qu’il n’est pas nécessairement possible d’opérer cette distinction entre de telles données ( 15 ).

39.

L’obligation que ledit article 6 impose aux États membres n’est donc pas absolue et l’expression « telles que » qui y figure indique que les catégories de personnes qui y sont énumérées ne présentent pas un caractère exhaustif ( 16 ).

40.

D’autre part, il est primordial de revenir sur les enseignements qui doivent être tirés de l’arrêt Enregistrement de données biométriques et génétiques I, en ce que la Cour y interprète l’article 4, paragraphe 1, sous c), de la directive 2016/680, en vertu duquel les données à caractère personnel traitées doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies par leur traitement.

41.

Dans cet arrêt, la Cour a conclu qu’une législation nationale, qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office ( 17 ), est, en principe, contraire à l’exigence énoncée à l’article 10 de la directive 2016/680, selon laquelle le traitement des catégories particulières de données visées à cet article doit être autorisé « uniquement en cas de nécessité absolue » ( 18 ). En effet, une telle législation est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes mises en examen dès lors que la notion d’« infraction pénale intentionnelle poursuivie d’office » revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité ( 19 ).

42.

Or, dans la présente affaire, l’article 65, paragraphe 1, de la loi relative à la police tchèque prévoit que les données biométriques et génétiques d’une personne peuvent être collectées non seulement lorsque cette personne est poursuivie pour avoir commis une infraction pénale intentionnelle, mais aussi lorsqu’elle est soupçonnée d’avoir commis une telle infraction. Cette disposition ne vise donc pas seulement un nombre réduit de situations, mais couvre, encore trop largement, une majorité d’infractions pénales pour lesquelles de telles données peuvent être collectées.

43.

Certes, je relève que ladite disposition n’accorde qu’une faculté aux services de police de procéder à un tel prélèvement, alors que l’enregistrement policier prévu par la réglementation bulgare en cause dans l’affaire ayant donné lieu à l’arrêt Enregistrement de données biométriques et génétiques I s’appliquait de manière impérative à toutes les personnes mises en examen pour des infractions intentionnelles poursuivies d’office ( 20 ). Cela pourrait laisser croire que la réglementation tchèque, en laissant une plus grande marge de manœuvre aux autorités policières, permettrait de mieux circonscrire les cas dans lesquels les données biométriques et génétiques des personnes concernées pourraient être collectées.

44.

Cependant, je relève que ni l’article 65, paragraphe 1, de la loi relative à la police tchèque ni l’article 11 de cette loi – en vertu duquel les autorités policières doivent procéder à un simple contrôle de proportionnalité – ne prévoient d’obligation, pour ces autorités, d’apprécier la nécessité absolue de collecter des données biométriques et génétiques des personnes concernées. Cela pose problème à deux égards.

45.

Premièrement, le seul fait qu’une personne ait commis ou soit soupçonnée d’avoir commis une infraction pénale intentionnelle ne saurait, dans tous les cas, être considéré comme un élément permettant, à lui seul, de présumer que la collecte de ses données biométriques et génétiques est absolument nécessaire au regard des finalités qu’elle vise ( 21 ).

46.

En effet, la Cour a déjà jugé qu’une telle « nécessité absolue » ne peut se déterminer qu’au regard de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction présumée pour laquelle une personne est mise en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel de la personne en cause ( 22 ).

47.

Limiter la collecte des données biométriques et génétiques aux seuls cas d’infractions présentant un élément intentionnel n’est donc pas suffisant pour répondre à l’exigence énoncée à l’article 10 de la directive 2016/680, selon laquelle le traitement des catégories particulières de données visées à cet article doit être autorisé « uniquement en cas de nécessité absolue ».

48.

Deuxièmement, je relève que la Cour a jugé que, en l’absence d’obligation pour l’autorité compétente, en vertu du droit national, de procéder à l’appréciation de la « nécessité absolue » du traitement de données à caractère personnel qu’elle a effectué ou qu’elle envisage d’effectuer, une juridiction saisie afin de connaître d’un tel traitement opéré par cette autorité compétente ne saurait assurer, à la place de cette dernière, le respect de l’obligation qui incombe à ladite autorité au titre de l’article 10 de la directive 2016/680 ( 23 ).

49.

Or, le cadre juridique actuel en République tchèque mène à des situations où, d’une part, les services de police ne procèdent pas à un contrôle de proportionnalité strict avant d’effectuer le prélèvement des données biométriques et génétiques des personnes concernées et, d’autre part, les juridictions administratives doivent se substituer aux autorités policières dans la mise en œuvre d’un tel contrôle.

50.

Ainsi, en l’absence d’obligation, prévue par la réglementation tchèque, pour les autorités policières nationales, d’apprécier la nécessité absolue, au sens de l’article 10 de la directive 2016/680, de collecter les données biométriques et génétiques des personnes concernées dans chaque cas concret, cette réglementation ne répond pas au principe de minimisation du traitement des données à caractère personnel qu’impose cette disposition.

51.

Il résulte des considérations qui précèdent que l’article 4, paragraphe 1, sous c), et l’article 6 de la directive 2016/680, lus en combinaison avec l’article 10 de cette directive, doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale qui permet la collecte de données biométriques et génétiques de toutes les personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction lorsqu’une telle réglementation ne prévoit pas l’obligation, pour l’autorité compétente, d’apprécier, dans chaque cas concret, la « nécessité absolue » du traitement qu’elle a effectué ou qu’elle envisage d’effectuer.

52.

Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous e), de la directive 2016/680 doit être interprété en ce sens qu’il s’oppose à une réglementation nationale en vertu de laquelle la nécessité de maintenir la conservation de données biométriques et génétiques, au regard de la finalité de prévention et de détection des infractions pénales, est appréciée par les services de police sur la base de règles internes, sans que cette réglementation prévoie une durée maximale de conservation, avec pour conséquence que ces données sont, dans la plupart des cas, conservées pour une durée indéterminée. Cette juridiction demande également quels sont les critères au regard desquels doit être évalué le caractère proportionné dans le temps de la conservation des données à caractère personnel collectées et conservées à cette fin.

53.

La Cour a demandé à la juridiction de renvoi si elle estimait nécessaire de maintenir cette question compte tenu de l’arrêt DGPN, prononcé après l’introduction de sa demande de décision préjudicielle. Cette juridiction, après avoir invité les parties au principal à s’exprimer, a souhaité maintenir ses questions et a émis des doutes quant à la possibilité de transposer pleinement les conclusions tirées par la Cour dans cet arrêt à la deuxième question préjudicielle.

54.

Dans ledit arrêt, la Cour s’est prononcée, pour la première fois, sur les limites temporelles encadrant la conservation, à des fins de lutte contre les infractions pénales, des données à caractère personnel de personnes ayant fait l’objet d’une condamnation pénale définitive, au regard de la directive 2016/680, s’agissant d’une législation nationale prévoyant la conservation, jusqu’au décès de ces personnes, de telles données, y compris sensibles, sans possibilité de réévaluation de cette durée en fonction des circonstances.

55.

S’agissant du caractère proportionné de la durée de conservation des données à caractère personnel, la Cour a précisé que le considérant 26 de la directive 2016/680, ainsi que l’article 4, paragraphe 1, sous e), et l’article 5 de cette directive fixent un cadre général imposant aux États membres, d’une part, de prévoir que ces données seront conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ( 24 ) et, d’autre part, de prévoir la fixation de délais appropriés pour l’effacement desdites données ou pour la vérification régulière de la nécessité de conserver de telles données ainsi que des règles procédurales garantissant le respect de ces délais ( 25 ), tout en laissant aux États membres le soin de déterminer, dans le respect de ce cadre, les situations concrètes dans lesquelles la protection des droits fondamentaux de la personne concernée requiert l’effacement des données à caractère personnel et le moment auquel celui-ci doit intervenir ( 26 ).

56.

S’agissant, plus particulièrement, des données génétiques et biométriques, comme je l’ai rappelé notamment au point 27 des présentes conclusions, l’article 10 de la directive 2016/680 énonce l’exigence selon laquelle le traitement des données sensibles est autorisé « uniquement en cas de nécessité absolue » ( 27 ).

57.

En outre, la Cour a précisé que ces dispositions n’exigent pas que les États membres définissent des limites temporelles absolues pour la conservation des données à caractère personnel, au-delà desquelles celles-ci devraient être automatiquement effacées ( 28 ).

58.

Malgré ces enseignements, la juridiction de renvoi souligne que, contrairement à la question posée dans l’affaire ayant donné lieu à l’arrêt DGPN, sa deuxième question préjudicielle a été formulée eu égard à un objectif et à une finalité du traitement consistant en la prévention générale des infractions pénales.

59.

Cette juridiction se demande donc comment concilier, d’une part, le principe de minimisation temporelle du traitement des données à caractère personnel et, d’autre part, un tel objectif qui est, par nature, prospectif et illimité dans le temps, et qui suppose de conserver aussi longtemps que possible les données à caractère personnel d’une quantité maximale de personnes.

60.

Il est vrai que, dans l’affaire ayant donné lieu à l’arrêt DGPN, la Cour était interrogée au regard d’une situation dans laquelle les données à caractère personnel, notamment les données biométriques et génétiques, d’une personne définitivement condamnée pour une infraction pénale intentionnelle relevant de l’action publique étaient conservées dans un registre de police, sans aucune limitation de durée autre que la survenance du décès de cette personne, et ce même après que ladite personne a été réhabilitée ( 29 ).

61.

Cependant, ces circonstances n’empêchent pas, selon moi, que les mêmes conclusions puissent être appliquées à une situation telle que celle au principal, dans laquelle les données à caractère personnel sont conservées à des fins consistant en la prévention générale des infractions pénales.

62.

En effet, la Cour reconnaît que la conservation des données à caractère personnel est susceptible de contribuer à l’objectif d’intérêt général énoncé au considérant 27 de la directive 2016/680, selon lequel, aux fins de la prévention des infractions pénales ainsi que des enquêtes et des poursuites en la matière, les autorités compétentes ont besoin de traiter de telles données, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, ainsi que des enquêtes et des poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour ( 30 ).

63.

Cela suppose que les autorités nationales aient la possibilité de conserver des données à caractère personnel à des fins prospectives, sans prévoir de période maximale précise pour la conservation de ces données. Toutefois, l’existence et le fonctionnement de certaines garanties procédurales s’avèrent d’autant plus nécessaires dans une telle situation.

64.

Ainsi, si la directive 2016/680 n’impose pas aux États membres de définir de limites temporelles absolues pour la conservation des données à caractère personnel, au-delà desquelles celles-ci devraient être automatiquement effacées, la vérification périodique de la nécessité de conserver ces données me semble revêtir une importance cruciale.

65.

Je relève à cet égard que, d’une part, l’article 65, paragraphe 5, de la loi relative à la police tchèque prévoit l’effacement des données à caractère personnel collectées dès lors que leur traitement n’est pas indispensable pour poursuivre la finalité de prévention, de recherche, de détection ou de poursuite des infractions pénales et, d’autre part, l’article 82 de cette loi impose aux autorités policières de vérifier, tous les trois ans, la nécessité de poursuivre le traitement des données à caractère personnel des personnes concernées.

66.

Cette réglementation, qui prévoit donc bien l’effacement de ces données et le réexamen, à échéances régulières, de la nécessité de leur conservation, devrait cependant être encadrée par des garanties strictes permettant de protéger efficacement les personnes concernées contre les risques d’abus.

67.

Premièrement, comme le considérant 33 de la directive 2016/680 le rappelle, le droit de l’État membre régissant la collecte et la conservation des données à caractère personnel devrait préciser au minimum les procédures prévues pour la destruction de ces données.

68.

Deuxièmement, en vertu de l’article 13, paragraphe 2, sous b), et de l’article 14, sous d), de cette directive, chaque personne concernée devrait avoir le droit de connaître la durée pendant laquelle ses données à caractère personnel sont conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée. De telles informations sont nécessaires pour permettre aux personnes concernées d’exercer leurs droits découlant des articles 7 et 8 de la Charte, de demander l’accès à leurs données à caractère personnel faisant l’objet d’un traitement et, le cas échéant, la rectification ou la suppression de celles-ci, ainsi que d’introduire, conformément à l’article 47, premier alinéa, de la Charte, un recours effectif devant un tribunal.

69.

Troisièmement, s’agissant de la nécessité de conserver des données biométriques et génétiques en particulier, la réglementation nationale devrait prévoir des dispositions faisant ressortir, de manière claire et précise, que cette conservation doit être limitée à ce qui est strictement nécessaire pour atteindre l’objectif qu’elle poursuit afin de respecter les exigences de l’article 10 de la directive 2016/680.

70.

L’appréciation de la durée de conservation de telles données devrait tenir compte de différents critères, tels que la nature et la gravité des faits constatés, le temps écoulé depuis ces faits, la durée légale de conservation restant à courir et le degré de risque que la personne concernée soit impliquée dans d’autres infractions pénales ( 31 ), ou d’autres circonstances, telles que le contexte particulier dans lequel cette infraction a été commise, son lien éventuel avec d’autres procédures en cours ou encore les antécédents ou le profil de cette personne.

71.

Or, il ne ressort ni de la décision de renvoi ni des observations présentées devant la Cour par les participants à la présente procédure que la réglementation tchèque en matière de conservation des données biométriques et génétiques prévoit des garanties suffisantes relatives aux procédures de destruction de ces données, d’information des personnes concernées et d’appréciation de la « nécessité absolue », au sens de l’article 10 de la directive 2016/680, de conserver lesdites données.

72.

Il résulte des considérations qui précèdent que l’article 4, paragraphe 1, sous e), de la directive 2016/680, lu à la lumière de l’article 10 de cette directive, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui ne prévoit pas de durée maximale de conservation des données biométriques et génétiques, pour autant qu’une telle réglementation prévoit le réexamen, à échéances régulières, de la nécessité de conserver ces données. Ces dispositions imposent cependant qu’un tel réexamen soit encadré par des garanties procédurales strictes et permette de s’assurer que cette conservation n’aille pas au-delà d’une période strictement nécessaire au regard des finalités pour lesquelles lesdites données sont traitées.

73.

Par sa troisième question, la juridiction de renvoi demande, en substance, si, d’une part, l’article 8, paragraphe 2, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens qu’une disposition de portée générale doit prévoir certaines conditions matérielles ou procédurales minimales d’obtention, de conservation et d’effacement des données biométriques et génétiques, et si, d’autre part, la jurisprudence nationale, qui précise les conditions d’obtention, de conservation et d’effacement de telles données, peut se voir reconnaître la qualité de « droit d’un État membre » au sens de ces dispositions.

74.

La Cour est invitée à répondre à cette question dans le contexte du régime juridique en cause au principal, régi par l’article 65 de la loi relative à la police tchèque, qui présente les caractéristiques suivantes.

75.

D’abord, cet article est mis en œuvre au moyen d’actes internes de gestion de la police tchèque sous la forme d’instructions du président de la police. Or, il est constant que ces actes ne peuvent avoir la qualité de « droit d’un État membre », au sens de l’article 8, paragraphe 2, de la directive 2016/680.

76.

Ensuite, s’il ne fait pas de doute que l’article 65 de la loi relative à la police tchèque a la qualité de « droit d’un État membre », il ne précise pas les conditions concrètes d’obtention, de conservation et d’effacement des données biométriques et génétiques relatives aux personnes concernées.

77.

Enfin, cette réglementation est complétée par la jurisprudence des juridictions administratives, selon laquelle les services de police doivent appliquer le critère de proportionnalité dans chaque cas concret, en tenant compte principalement du passé pénal de la personne concernée, de la gravité spécifique du type de l’infraction pénale pour laquelle cette personne a été convoquée en vue de la réalisation des actes d’identification, de la personnalité de l’auteur des faits et, dans le cadre d’une demande d’effacement ex post, de la durée écoulée depuis que l’infraction pénale a été commise ainsi que de tout autre comportement de l’auteur des faits ( 32 ). Les critères sur lesquels cette jurisprudence s’appuie sont publiés et accessibles au public.

78.

À la lumière de ces éléments, je proposerai à la Cour de répondre que, quand bien même la jurisprudence peut se voir reconnaître la qualité de « droit d’un État membre » au sens de la directive 2016/680, une telle jurisprudence ne peut cependant se substituer aux garanties qu’une disposition de portée générale est tenue de prévoir en matière d’obtention, de conservation ainsi que d’effacement des données biométriques et génétiques.

79.

Ainsi, plusieurs éléments plaident, certes, en faveur de l’idée qu’une jurisprudence remplit la condition de « droit d’un État membre », au sens de l’article 8, paragraphe 2, de cette directive.

80.

Premièrement, le considérant 33 de la directive 2016/680 prévoit que, « [l]orsque [cette] directive fait référence au droit d’un État membre, à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée », si tant est que « ce droit d’un État membre, cette base juridique ou cette mesure législative [est] clair et précis et son application [est] prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice et de la Cour européenne des droits de l’homme ».

81.

Deuxièmement, la Cour européenne des droits de l’homme a reconnu, dans son arrêt du 16 avril 2002, Société Colas Est et autres c. France ( 33 ), que le terme « loi » au sens de l’article 8, paragraphe 2, de la CEDH doit être entendu dans son acception « matérielle » et non « formelle ». Ainsi, dans un domaine couvert par le droit écrit, la « loi » est le texte en vigueur tel que les juridictions compétentes l’ont interprété.

82.

La Cour a d’ailleurs elle-même confirmé que le terme « loi », utilisé dans l’expression « prévue par la loi » figurant à l’article 8, paragraphe 2, de la CEDH et dans l’expression « fondement légitime prévu par la loi » figurant à l’article 8, paragraphe 2, de la Charte, doit être entendu dans son acception matérielle, et non pas formelle ( 34 ).

83.

Troisièmement, la Cour, dans son arrêt du 21 juin 2022, Ligue des droits humains ( 35 ), a précisé que l’exigence selon laquelle toute limitation de l’exercice des droits fondamentaux doit être prévue par la loi implique que l’acte qui permet l’ingérence dans ces droits doit définir lui-même la portée de la limitation de l’exercice du droit concerné, étant précisé, d’une part, que cette exigence n’exclut pas que la limitation en cause soit formulée dans des termes suffisamment ouverts pour pouvoir s’adapter à des cas de figure différents ainsi qu’aux changements de situations et, d’autre part, que la Cour peut, le cas échéant, préciser, par voie d’interprétation, la portée concrète de la limitation au regard tant des termes mêmes de la réglementation de l’Union en cause que de son économie générale et des objectifs qu’elle poursuit, tels qu’interprétés à la lumière des droits fondamentaux garantis par la Charte ( 36 ).

84.

Ainsi, si tant est qu’il existe une base légale en droit interne, la jurisprudence qui, d’une part, est accessible et prévisible et, d’autre part, est constante et n’a pas été systématiquement remise en cause présente des caractéristiques matérielles suffisantes pour relever de la notion de « droit d’un État membre », au sens de l’article 8, paragraphe 2, de la directive 2016/680 ( 37 ).

85.

Cependant, je souligne que, dans certains cas, notamment lorsque le droit à la liberté consacré à l’article 6 de la Charte est en cause, une jurisprudence établie, sanctionnant une pratique constante de la police, ne saurait suffire ( 38 ) et que seule l’adoption de dispositions de portée générale (et donc de dispositions remplissant les caractéristiques formelles d’une loi) offre les garanties nécessaires, dans la mesure où un tel texte encadre de manière contraignante et connue d’avance la marge de manœuvre laissée aux autorités dans l’appréciation des circonstances de chaque cas concret ( 39 ).

86.

La Cour européenne des droits de l’homme affirme également que toute ingérence d’une autorité publique dans le droit d’une personne au respect de sa vie privée doit être « prévue par la loi » ( 40 ). Cette expression concerne la « qualité de la loi », qui, dans le cadre de la protection de données à caractère personnel sensibles, doit répondre à une exigence de prévisibilité accrue. Cela suppose que la loi définisse nettement l’étendue du pouvoir d’appréciation des autorités publiques ( 41 ) et use de termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à recourir à des mesures affectant leurs droits protégés par la CEDH ( 42 ).

87.

Ainsi, cette Cour a reconnu que des dispositions légales qui autorisaient le traitement de données biométriques à caractère personnel, en ce qu’elles étaient formulées très largement et semblaient permettre le traitement de ces données dans le cadre de tout type de procédure judiciaire, ne respectaient pas l’exigence de « qualité de la loi ». En effet, il est essentiel de disposer de règles détaillées régissant la portée et l’application des mesures ainsi que de garanties solides contre le risque d’abus et d’arbitraire ( 43 ).

88.

En ce qui concerne la présente affaire, après avoir rappelé, d’une part, que les données biométriques et génétiques, en raison de leur sensibilité particulière, sont susceptibles d’engendrer des risques importants pour les libertés et les droits fondamentaux des personnes concernées ( 44 ), et, d’autre part, que le traitement de ces données doit être autorisé « uniquement en cas de nécessité absolue », je suis d’avis qu’il est particulièrement contestable de ne protéger les droits des personnes concernées qu’au moyen d’une jurisprudence nationale lorsque la loi, dans son acception formelle, prévoit un contrôle de proportionnalité lacunaire, qui ne correspond pas au degré de protection requis par l’article 10 de la directive 2016/680.

89.

En effet, les dispositions de la loi relative à la police tchèque, en particulier l’article 65 de celle-ci, sont formulées de manière trop large et n’imposent pas de limites préétablies suffisantes au pouvoir d’appréciation dont disposent les autorités policières en matière d’obtention, de conservation et d’effacement des données biométriques et génétiques. En l’absence de telles limites, les conditions encadrant le traitement de ces données, qui résultent uniquement de la jurisprudence des juridictions administratives tchèques, ne sauraient répondre à l’exigence de garanties suffisamment strictes, dans un acte contraignant et prévisible dans son application, qui doit prévaloir en matière de traitement desdites données.

90.

En outre, si la transposition d’une directive n’impose pas nécessairement une action législative de chaque État membre, une jurisprudence, à la supposer établie, interprétant des dispositions de droit interne dans un sens estimé conforme aux exigences d’une directive, ne saurait présenter la clarté et la précision requises pour satisfaire à l’exigence de sécurité juridique ( 45 ). Il s’ensuit qu’une jurisprudence nationale, bien qu’elle pose une liste de critères permettant d’apprécier la proportionnalité du traitement des données biométriques et génétiques des personnes concernées dans chaque cas concret, ne saurait pallier l’absence de contrôle de proportionnalité strict posé par une loi au sens formel du terme.

91.

Il résulte des considérations qui précèdent que l’article 8, paragraphe 2, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens qu’ils s’opposent à ce qu’une jurisprudence nationale, quand bien même celle-ci peut se voir reconnaître la qualité de « droit d’un État membre » au sens de cette directive, se substitue à une disposition de portée générale qui ne prévoit pas un contrôle strict, dans chaque cas concret et par les autorités policières, de la nécessité de collecter ainsi que de conserver les données biométriques et génétiques des personnes concernées.

92.

Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Nejvyšší správní soud (Cour administrative suprême, République tchèque) de la manière suivante :

L’article 4, paragraphe 1, sous c) et e), l’article 6, l’article 8, paragraphe 2, et l’article 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil,

doivent être interprétés en ce sens que :