1

Par son recours, le requérant, BW, demande, en substance, d’une part, sur le fondement de l’article 263 TFUE, l’annulation de l’accord portant création d’une équipe commune d’enquête (ci-après l’« ECE ») relative au service de communications cryptées Sky ECC (ci-après l’« accord ECE ») ainsi que des opérations de traitement, d’analyse et de partage, par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol), l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) ainsi que les États membres impliqués dans l’enquête sur ce service, des données issues dudit service le concernant et, d’autre part, sur le fondement de l’article 268 TFUE, réparation des préjudices matériel et moral qu’il aurait subis du fait des actes et des comportements d’Europol, d’Eurojust et desdits États membres.

2

Le requérant est un ressortissant serbe, poursuivi et incarcéré aux Pays-Bas depuis le 8 mai 2023 pour l’importation dans cet État membre de 743 kilos de cocaïne, interceptés le 4 août 2020 à Rotterdam (Pays-Bas). Il est poursuivi également en Serbie depuis l’automne 2023 pour, notamment, des faits de trafic de stupéfiants.

3

Les poursuites pénales menées par les autorités néerlandaises et serbes trouvent leur origine dans des mesures d’enquête engagées à la fin des années 2010 par les autorités belges, néerlandaises et françaises à l’encontre de l’« organisation Sky ECC », « ECC » signifiant « Elliptic Curve Cryptography » (cryptographie par courbe elliptique), soupçonnée de commercialiser des produits et des services de communications cryptées visant spécifiquement à faciliter la commission de faits criminels.

4

À la suite de ces mesures d’enquêtes nationales, le Royaume de Belgique et le Royaume des Pays-Bas ont émis, à la fin de l’année 2018, des décisions d’enquête commune demandant à la République française de créer une image des serveurs utilisés par le service Sky ECC et situés à Roubaix (France). Cet État membre a donné suite à cette demande en procédant, au moyen de la technique de « l’attaque de l’homme du milieu », à l’interception, à l’enregistrement et à la transcription des communications cryptées entrant et sortant de ces serveurs, y compris des données concernant le requérant.

5

Le 13 décembre 2019, les autorités belges, françaises et néerlandaises ont, par l’accord ECE conclu entre elles sur le fondement de l’article 13 de la convention établie par le Conseil conformément à l’article 34 TUE, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (JO 2000, C 197, p. 3) et de la décision-cadre du Conseil, du 13 juin 2002, relative aux équipes communes d’enquête (JO 2002, L 162, p. 1), créé l’ECE.

6

L’accord ECE prévoit ce qui suit :

« La création de l’ECE vise à faciliter les enquêtes en cours en Belgique, en France et aux Pays-Bas sur le(s) fournisseur(s) et les utilisateurs du service Sky ECC et à partager le savoir-faire technique et les ressources […] L’objectif de l’ECE est l’élaboration, le développement et la mise en œuvre en commun de la technique nécessaire pour décrypter les communications passées et démanteler le serveur ; l’identification et la localisation des utilisateurs se mouvant dans et entre les trois pays ; la mise sur pied et la coordination d’une journée ou des journées d’action commune entreprise(s) dans le but d’arrêter et de poursuivre en justice les facilitateurs et les utilisateurs de Sky ECC. »

7

L’ECE a conduit au partage entre Europol et les trois États membres concernés des données brutes interceptées, qui devaient ensuite être analysées, ainsi que des résultats de cette analyse.

8

Dans le cadre de cette coopération toujours en cours au jour de l’audience dans la présente affaire, Europol a stocké les données dans son système informatique, procédé à des recoupements, produit des rapports de renseignements, généré des graphiques de visualisation des données et interprété des ensembles de données multilingues.

9

Pour sa part, Eurojust a fourni un soutien et des conseils quant aux possibilités de coopération judiciaire et a organisé plusieurs réunions de coordination entre les autorités belges, françaises et néerlandaises ainsi qu’Europol et facilité la coopération judiciaire entre, d’une part, la République de Serbie et, d’autre part, le Royaume des Pays-Bas et la République française.

10

Le requérant conclut, en substance, à ce qu’il plaise au Tribunal :

11

Eurojust et Europol concluent à ce qu’il plaise au Tribunal :

12

Le Royaume d’Espagne conclut à ce qu’il plaise au Tribunal de rejeter le recours comme étant irrecevable ou, à titre subsidiaire, comme étant non fondé et de condamner le requérant aux dépens.

13

Le Royaume des Pays-Bas conclut à ce qu’il plaise au Tribunal de rejeter le recours et de condamner le requérant aux dépens.

14

Au soutien de ses chefs de conclusions dirigés indistinctement à l’encontre d’Europol et d’Eurojust, le requérant se prévaut des quatre mêmes moyens.

15

Le premier moyen est tiré, en substance, du caractère illégal et disproportionné de la collecte et du traitement des données à caractère personnel issues du service Sky ECC par les États membres concernés et par « Europol et/ou Eurojust », depuis leur première interception en 2019 jusqu’au dernier partage des résultats avec d’autres pays.

16

En réponse à une question du Tribunal lors de l’audience, le requérant a indiqué qu’il ne se prévalait d’aucun acte ou comportement postérieur au 24 juin 2022, date à laquelle les autorités françaises ont transmis aux autorités serbes, par l’intermédiaire d’Eurojust, un lien vers un site de téléchargement sécurisé mettant à la disposition de ce pays tiers les informations concernant certaines conversations issues du service Sky ECC et liées à des identifiants de connexion spécifiquement identifiés, parmi lesquelles figuraient les discussions du requérant.

17

Le deuxième moyen est tiré, en substance, de la violation par Europol et Eurojust, respectivement, de l’article 28 du règlement (UE) 2016/794 du Parlement européen et du Conseil, du 11 mai 2016, relatif à Europol et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53), et de l’article 71 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39), et des articles 47 et 48 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ainsi que des articles 14 et 15 du pacte international relatif aux droits civils et politiques, adopté par l’Assemblée générale des Nations unies le 16 décembre 1966 et entré en vigueur le 23 mars 1976 (ci-après le « Pacte »), en raison du caractère incomplet des données du service Sky ECC collectées, analysées et transférées, ce qui aurait porté atteinte à la faculté du requérant de se défendre devant les juridictions néerlandaises et serbes.

18

Le troisième moyen est tiré, en substance, de la violation par Europol et Eurojust de l’accord ECE, en ce qu’elles ont manqué à leur obligation de coordination visant à éviter que le requérant ne fasse l’objet, pour les mêmes faits, de doubles poursuites aux Pays-Bas ainsi qu’en Serbie.

19

Le quatrième moyen est tiré, en substance, de la violation par Europol et Eurojust, respectivement, de l’article 32 du règlement 2016/794 et des articles 89 et 92 du règlement 2018/1725, à défaut pour elles d’avoir dûment protégé les données à caractère personnel du requérant.

20

Par ses chefs de conclusions, le requérant reproche indistinctement à Europol et à Eurojust plusieurs comportements ou actes illégaux ayant eu pour objet la collecte et le traitement de ses données à caractère personnel, intervenus dans le cadre des enquêtes pénales menées par le Royaume de Belgique, la République française et le Royaume des Pays-Bas, relatives au service Sky ECC et auxquelles Europol et Eurojust ont pris part.

21

Dans la mesure où le requérant critique non seulement des comportements qui sont imputables à Europol et à Eurojust, mais également des comportements qui sont imputables aux États membres qui ont pris part à l’ECE ainsi qu’à la République de Serbie, il importe d’effectuer les observations liminaires suivantes.

22

En premier lieu, en ce qui concerne le chef de conclusions fondé sur l’article 263 TFUE, il ressort expressément de cette disposition que le recours en annulation ne peut être dirigé que contre des actes adoptés par une institution, un organe ou un organisme de l’Union européenne.

23

Ainsi, dans le cadre d’un recours introduit sur le fondement de l’article 263 TFUE, le juge de l’Union n’est pas compétent pour statuer sur la légalité d’un acte pris par une autorité nationale (arrêt du 3 décembre 1992, Oleificio Borelli/Commission, C-97/91, EU:C:1992:491, point 9) et cette constatation n’est pas susceptible d’être infirmée par la circonstance que l’acte en cause s’intègre dans un processus de décision de l’Union (arrêt du 29 janvier 2020, GAEC Jeanningros, C-785/18, EU:C:2020:46, point 27).

24

De même, le Tribunal a eu l’occasion de juger que le contrôle, dans le cadre d’un recours en annulation, de la légalité de la transmission à une institution de l’Union, par un procureur national ou par les autorités, d’informations recueillies en application du droit pénal national était une question qui relevait, en principe, du droit national régissant la conduite des enquêtes menées par lesdites autorités nationales, ainsi que, en cas de contentieux judiciaire, de la compétence des juridictions nationales (voir, en ce sens, arrêt du 8 juillet 2004, Dalmine/Commission, T-50/00, EU:T:2004:220, point 86).

25

Il en découle que, dans la mesure où le requérant recherche l’annulation des opérations d’interception effectuées par les autorités françaises – sur autorisation d’un juge français –, l’annulation du « déroulement de ces opérations », l’annulation de la transmission à Europol par les autorités françaises des documents et des informations obtenues à l’occasion de ces dernières opérations, l’annulation de la transmission à Eurojust et aux autorités serbes par les autorités françaises des documents et des informations demandées par les autorités serbes dans le cadre de ses demandes d’entraide judiciaire ainsi que l’annulation de la procédure pénale menée devant les juridictions serbes, le juge de l’Union est incompétent pour en connaître.

26

Le juge de l’Union est également incompétent pour connaître, directement sur le fondement de l’article 263 TFUE, de la légalité de l’accord ECE, dès lors que celui-ci n’est pas un acte de l’Union.

27

En effet, l’accord ECE a été signé et donc conclu uniquement par trois États membres, à savoir le Royaume de Belgique, la République française et le Royaume des Pays-Bas.

28

Cette conclusion ne saurait être remise en cause par le fait que l’accord ECE trouve son fondement dans une convention conclue par ces États membres en vertu de l’article 34 TUE ainsi que dans une décision-cadre du Conseil de l’Union européenne (voir, en ce sens, arrêt du 17 septembre 2014, Liivimaa Lihaveis, C-562/12, EU:C:2014:2229, points 45 à 51).

29

Ladite conclusion ne saurait non plus être remise en cause par le fait qu’Europol ou Eurojust ont pu être à l’initiative de la création de l’ECE concernée ou encore par le fait que, en vertu du point 7 de l’accord ECE, le Royaume de Belgique, la République française et le Royaume des Pays-Bas ont convenu d’associer Europol et Eurojust, en tant que « participants » à l’ECE, comme le permet l’article 13, paragraphe 12, de la convention établie par le Conseil conformément à l’article 34 TUE, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne, lu conjointement avec le considérant 9 de la décision-cadre du Conseil, du 13 juin 2002, relative aux équipes communes d’enquête, ainsi que, pour ce qui concerne Europol, l’article 5 du règlement 2016/794 et, pour ce qui concerne Eurojust, l’article 8, paragraphe 1, sous d), du règlement (UE) 2018/1727 du Parlement européen et du Conseil, du 14 novembre 2018, relatif à Eurojust et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO 2018, L 295, p. 138).

30

En effet, la faculté, conférée par l’article 5 du règlement 2016/794 et l’article 8, paragraphe 1, sous d), du règlement 2018/1727 à Europol ou à Eurojust de proposer ou d’aider à la création d’une ECE, tout comme aux agents de celles-ci de prendre part à une ECE, ne confère pas à ces agences le statut de « partie » à l’accord par lequel le Royaume de Belgique, la République française et le Royaume des Pays-Bas ont créé l’ECE concernée.

31

Eu égard à ce qui précède, le Tribunal est incompétent pour connaître, sur le fondement de l’article 263 TFUE, de l’autorisation par le juge français des opérations d’interception effectuées par les autorités françaises, du déroulement de ces opérations, de la transmission à Europol par les autorités françaises des documents et des informations obtenues à l’occasion de ces dernières, de la transmission à Eurojust et aux autorités serbes par les autorités françaises des documents et des informations demandées par les autorités serbes dans le cadre de ses demandes d’entraide judiciaire, de la régularité de la procédure pénale menée devant les juridictions serbes ainsi que de l’accord ECE.

32

En second lieu, en ce qui concerne le chef de conclusions fondé sur les articles 268 et 340 TFUE, il convient de rappeler que le juge de l’Union est compétent pour connaître d’une action en réparation fondée sur ces dispositions uniquement si l’illégalité alléguée à l’appui de la demande indemnitaire émane bien d’une institution, d’un organe ou d’un organisme de l’Union et ne peut être regardée comme imputable à une autorité nationale (voir, en ce sens, arrêt du 16 décembre 2020, Conseil/K. Chrysostomides & Co. e.a., C-597/18 P, C-598/18 P, C-603/18 P et C-604/18 P, EU:C:2020:1028, points 80, 106 et 107).

33

De plus, lorsque la responsabilité de l’Union est engagée au titre d’un acte ou d’un comportement de l’une de ses institutions ou de l’un de ses organes ou organismes, elle est représentée devant le Tribunal par le ou les institutions, organes ou organismes auxquels le fait générateur de responsabilité est reproché (arrêt du 13 novembre 1973, Werhahn Hansamühle e.a./Conseil et Commission, 63/72 à 69/72, EU:C:1973:121, point 7).

34

Ainsi, la responsabilité de l’Union sur le fondement des articles 268 et 340 TFUE ne saurait être recherchée auprès d’une institution, d’un organe ou d’un organisme de l’Union distinct de celle ou celui auquel le fait générateur de responsabilité est reproché, sauf à ce que le législateur de l’Union ait expressément prévu un régime dérogatoire de responsabilité solidaire soit entre une de ces institutions ou un de ces organes ou organismes de l’Union et un ou plusieurs États membres, voire un ou plusieurs pays tiers, soit entre plusieurs institutions, organes ou organismes de l’Union (voir, par analogie, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 62 et 63).

35

En l’occurrence, force est de constater que ni le règlement 2018/1727 ni aucun autre acte dont le requérant s’est prévalu ne prévoit un régime dérogatoire de responsabilité solidaire entre Eurojust et les États membres ou entre Eurojust et la République de Serbie.

36

De même, en réponse à une question du Tribunal lors de l’audience, le requérant a indiqué que le chef de conclusions indemnitaires ne se fondait pas sur une éventuelle responsabilité solidaire d’Europol du fait d’Eurojust ou encore d’Eurojust du fait d’Europol, mais uniquement sur la responsabilité solidaire d’Europol du fait des États membres.

37

Or, ainsi que la Cour l’a jugé, un régime dérogatoire de responsabilité solidaire d’Europol du fait des États membres doit être déduit de la lecture conjointe du considérant 57 ainsi que de l’article 49, paragraphes 3 et 4, et de l’article 50 du règlement 2016/794 (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 62 et 63).

38

En vertu de ce régime, une personne physique peut rechercher, devant le juge de l’Union, la responsabilité d’Europol pour tout traitement illicite de données survenu dans le cadre d’une coopération au titre du règlement 2016/794 entre elle et un État membre et lui ayant causé un préjudice (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 62 et 63).

39

En l’espèce, il convient de constater que la coopération relative au service Sky ECC a débuté au cours du mois de mai 2019 et, comme l’a indiqué Europol en réponse à une question du Tribunal lors de l’audience, était encore en cours à la date de cette dernière.

40

De plus, le requérant se prévaut du fait, confirmé par Europol en réponse à une question du Tribunal lors de l’audience, que des données à caractère personnel issues du service Sky ECC et le concernant ont, d’une part, été échangées dans le cadre de cette coopération intervenue entre Europol et les autorités belges, françaises et néerlandaises et, d’autre part, demeurent entre les mains d’Europol.

41

Eu égard à ce qui précède, le Tribunal est incompétent pour connaître du second chef de conclusions en ce qu’il tend à faire constater la responsabilité d’Eurojust du fait du Royaume de Belgique, de la République française et du Royaume des Pays-Bas ou encore de la République de Serbie, voire du fait d’Europol.

42

En revanche, le Tribunal est compétent pour connaître du second chef de conclusions en ce qu’il tend à faire constater la responsabilité d’Eurojust du fait de ses propres comportements ainsi que la responsabilité d’Europol du fait de comportements imputables tant à elle-même qu’aux États membres ayant pris part à la coopération relative au service Sky ECC.

43

Concernant la responsabilité solidaire d’Europol du fait des comportements imputables aux autorités belges, françaises ou néerlandaises, d’une part, il convient de relever que, compte tenu de la date du dernier fait reproché par le requérant à Europol et à Eurojust – à savoir un échange de ses données à caractère personnel intervenu le 24 juin 2022 –, seul le régime de responsabilité solidaire prévu par le règlement 2016/794 dans sa version initiale, en vigueur jusqu’au 27 juin 2022, est applicable au présent litige (voir, en ce sens, arrêt du 10 septembre 2019, HTTS/Conseil, C-123/18 P, EU:C:2019:694, point 39).

44

D’autre part, il ressort de l’article 276 TFUE que, dans l’exercice de ses attributions concernant les dispositions des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, relatives à l’espace de liberté, de sécurité et de justice, le juge de l’Union n’est pas compétent pour vérifier la validité ou la proportionnalité d’opérations menées par la police ou d’autres services répressifs dans un État membre.

45

Ainsi, en dépit du régime de responsabilité solidaire prévu par l’article 50, paragraphe 1, du règlement 2016/794, Europol ne saurait être tenue solidairement responsable de l’éventuel préjudice découlant de traitements illégaux de données à caractère personnel d’une personne physique survenus à l’occasion d’opérations menées par la police ou d’autres services répressifs d’un État membre, même si ces traitements sont intervenus dans le cadre d’une coopération fondée sur ce règlement (voir, par analogie, arrêt du 10 septembre 2024, KS e.a./Conseil e.a., C-29/22 P et C-44/22 P, EU:C:2024:725, point 91).

46

En dépit de sa compétence pour connaître du second chef de conclusions en ce qu’il concerne la responsabilité solidaire d’Europol du fait de comportements imputables aux autorités notamment françaises, le Tribunal est donc incompétent pour connaître des allégations du requérant tirées de dommages qui lui auraient été causés du fait des opérations d’interception de ses données à caractère personnel intervenues dans le cadre des opérations de police menées par les autorités françaises.

47

Dans ces conditions et avant d’examiner les fins de non-recevoir soulevées par Europol et Eurojust ainsi que le bien-fondé des chefs de conclusions présentés par le requérant, il y a lieu d’identifier les comportements et les actes reprochés par le requérant dont le juge de l’Union est habilité à connaître et de déterminer s’ils sont imputables à Europol ou Eurojust et, s’il y a lieu, les comportements ou les actes qui ne sont pas imputables à Europol, mais qui pourraient néanmoins conduire à engager la responsabilité de celle-ci sur le fondement du régime dérogatoire de responsabilité solidaire prévu par l’article 50, paragraphe 1, du règlement 2016/794.

48

Le requérant soutient que sont contraires au droit de l’Union la collecte, le traitement et la transmission de ses données à caractère personnel intervenus dans le cadre des enquêtes pénales relatives au service Sky ECC, auxquelles ont pris part les autorités belges, françaises et néerlandaises ainsi qu’Europol et Eurojust et qui ont débouché sur les poursuites pénales visées au point 2 ci-dessus.

49

Plus spécifiquement et à la lumière des seuls éléments dont il a pu prendre connaissance à l’occasion de la consultation des dossiers relatifs aux procédures pénales engagées contre lui, le requérant reproche à « Europol et/ou à Eurojust » le traitement de ses données à caractère personnel « depuis leur première interception en 2019 » jusqu’au 24 juin 2022, date de la transmission par Eurojust aux autorités serbes d’un courriel des autorités françaises contenant un lien vers un site de téléchargement sécurisé contenant notamment certaines de ses conversations issues du service Sky ECC (point 16 ci-dessus).

50

En ce sens, le requérant soutient qu’Europol « a apporté son soutien à l’exercice de pouvoirs d’enquête sur le territoire de nombreux pays, à l’intérieur et à l’extérieur de l’Union ». En outre, Europol aurait organisé une réunion avec les autorités belges, françaises et néerlandaises le 27 mai 2019, à l’occasion de laquelle les métadonnées de plus de 9000 messages en provenance ou à destination d’utilisateurs du service Sky ECC ont été partagées. Au mois de juin 2019, des données obtenues par les autorités françaises à l’occasion d’opérations d’interception auraient été partagées avec les autorités belges et néerlandaises par l’intermédiaire d’Europol au moyen de son système d’échange d’informations sécurisé intitulé « Secure Information Exchange Network Application » (SIENA).

51

En outre, Europol et Eurojust auraient été impliquées, à partir du mois de décembre 2020, dans une opération de collecte des clés de décryptage des messages obtenus depuis le milieu de l’année 2019, dans la conservation, le décryptage et le transfert de ces messages ainsi que, au mois de mars 2021, dans une « opération au cours de laquelle Sky ECC a été “abattue” ». Le requérant soutient également qu’Europol et Eurojust ont participé, les 23 et 24 juillet 2020, à un groupe de travail technique de l’ECE dans le cadre duquel de nouveaux messages cryptés ont été découverts ainsi qu’à des réunions s’étant tenues les 28 août 2019, 7 septembre 2020 et 11 février 2021.

52

En lien, plus particulièrement, avec les poursuites dont il fait l’objet en Serbie, le requérant fait valoir qu’Eurojust a été destinataire d’une demande de coopération des autorités serbes intervenue le 6 juin 2022 et qui a débouché sur la transmission le 24 juin suivant par les autorités françaises aux autorités serbes, par l’intermédiaire d’Eurojust, de données issues du service Sky ECC le concernant (ci-après la « transmission du 24 juin 2022 »). En outre, au mois de juin 2022, Europol aurait informé les autorités serbes que ses analyses identifiaient le requérant derrière un « identifiant Sky ECC » spécifique. Enfin, d’autres contacts auraient eu lieu entre les autorités serbes et Europol concernant le groupe criminel auquel le requérant est présumé appartenir.

53

Europol et Eurojust contestent avoir pris part à certains des faits évoqués par le requérant.

54

Dans ses écritures, Europol indique que l’ECE a conduit au partage entre elle et les trois États membres concernés des données interceptées par les autorités françaises aux fins d’analyse ainsi qu’au partage des résultats de ces analyses.

55

En ce sens, Europol reconnaît avoir été destinataire des métadonnées relatives à plus de 9000 messages échangés à l’occasion de la réunion du 27 mai 2019, évoquée par le requérant au point 50 ci-dessus.

56

Europol indique également que, à compter du 18 mars 2021, elle a effectivement réceptionné des données issues du service Sky ECC transmises par les autorités françaises et les a analysées, puis a transmis le résultat de ses analyses aux autorités belges, françaises et néerlandaises, notamment sous la forme d’analyses spécifiques à certains pays.

57

Par ailleurs, Europol ne conteste pas avoir participé à une réunion le 28 août 2019 à l’occasion de laquelle les suites d’un éventuel démantèlement de l’infrastructure du service Sky ECC ont été évoquées ainsi qu’à un groupe de travail technique de l’ECE organisé les 23 et 24 juillet 2020 et à l’occasion duquel de nouveaux messages cryptés ont été découverts.

58

En ce qu’ils ne sont pas contestés voire confirmés par Europol, les faits évoqués aux points 54 à 57 ci-dessus doivent donc être considérés comme établis et lui étant imputables.

59

En revanche, premièrement, le requérant ne fournit aucune preuve ou, à tout le moins, aucun commencement de preuve à même d’établir qu’Europol a participé ou contribué aux opérations d’interception des données entrant et sortant des serveurs du service Sky ECC situés en France.

60

Outre la contestation de ces faits par Europol, l’affirmation du requérant n’est corroborée ni par le fait qu’Europol ait pu participer ou être à l’initiative de la réunion du 27 mai 2019 ni par la commission rogatoire adressée par les autorités serbes à leurs homologues français, produite en annexe A. 17 et visant « l’analyse des données obtenues par Europol à partir de l’application Sky ECC ». Au contraire, l’annexe A.6 tend à démontrer que les opérations d’interception ont été effectuées par les seules autorités françaises, ce que confirme également l’annexe A.14.

61

Deuxièmement, même si Europol ne conteste pas avoir participé aux réunions du 7 septembre 2020 et du 11 février 2021, force est toutefois de constater que le document du rechtbank van eerste aanleg te Antwerpen (tribunal de première instance d’Anvers, Belgique), annexé à la requête au soutien de l’allégation du requérant, mentionne certes une réunion à venir le 7 septembre 2020, mais précise uniquement que les autorités françaises et néerlandaises, et non Europol, devraient y participer. De même, la demande d’assistance technique de la cour d’appel de Paris (France), annexée à la requête au soutien de l’allégation du requérant, n’évoque aucune réunion qui se serait tenue le 11 février 2021, ni même Europol.

62

Troisièmement, le requérant n’apporte ni la preuve ni, à tout le moins, un commencement de preuve à même d’établir qu’Europol aurait participé à la « “journée d’action” [du mois] de mars 2021 au cours de laquelle Sky ECC a été “abattue” ». En effet, la transcription de la conférence de presse du ministère public belge, visée dans la requête, porte certes sur cette « journée d’action », mais ne mentionne pas Europol. De même, l’échange de courriers électroniques, annexé à la requête, se limite à faire état de transferts de données issues du service Sky ECC par l’intermédiaire d’Europol, sans démontrer qu’elle a été impliquée dans ladite « journée d’action ».

63

Quatrièmement, le requérant n’apporte pas de preuve ou, à tout le moins, de commencement de preuve à même d’établir qu’Europol aurait transmis aux autorités serbes l’information selon laquelle il s’avérait être la personne se trouvant derrière l’identifiant « DFKNBQ » du service Sky ECC.

64

En effet, l’annexe A.17, sur laquelle se fonde le requérant et qui met effectivement en relation son nom avec l’identifiant « DFKNBQ » du service Sky ECC ainsi que le nom d’utilisateur « CHE GUEVARA », s’avère être une demande présentée par le parquet pour la criminalité organisée de la République de Serbie et visant à obtenir des autorités françaises la communication des messages vocaux, des messages texte, des vidéos et des photographies afférents notamment au requérant et contenus dans les serveurs du service Sky ECC saisis par ces dernières autorités, sans mention d’Europol à quelque titre que ce soit.

65

De plus, le parquet serbe y indique que, « par [ses] actions et par un travail ultérieur du ministère de l’Intérieur de la République de Serbie, [ils ont] été informés que, lors de l’analyse des données obtenues par Europol à partir de l’application Sky ECC, [l’utilisateur d]u PIN DFKNBQ [et du] nom d’utilisateur CHE GUEVARA [était BW] », ce qui tend à établir que cette information n’a pas été fournie par Europol.

66

Cinquièmement, le requérant n’apporte pas de preuve ou, à tout le moins, de commencement de preuve à même d’établir qu’Europol aurait été impliquée dans la mise à la disposition le 24 juin 2022 par les autorités françaises aux autorités serbes des documents et des informations issus du service Sky ECC le concernant.

67

Ainsi que cela ressort de l’annexe A.15, ces documents et ces informations transmis par Eurojust aux autorités serbes, en réponse à une demande d’entraide judiciaire de ces dernières, l’ont été par le transfert d’un courrier électronique adressé par les autorités françaises à Eurojust et contenant des liens vers un site de téléchargement sécurisé.

68

Dès lors, le requérant ne saurait, dans le cadre du présent recours, se prévaloir, à l’égard d’Europol, des faits non établis évoqués aux points 59 à 67 ci-dessus.

69

Eu égard à ce qui précède et compte tenu de l’affirmation du requérant actée au procès-verbal de l’audience selon laquelle le dernier acte reproché à Europol et à Eurojust est intervenu le 24 juin 2022, il y a lieu de constater que seuls les faits visés aux points 55 à 57 ci-dessus et antérieurs à cette date – à savoir la réception, le traitement et le partage, à compter du 27 mai 2019, des données issues du service Sky ECC interceptées par les autorités françaises ainsi que la participation à la réunion du 28 août 2019 et au groupe de travail des 23 et 24 juillet 2020 – sont établis et peuvent venir au soutien des conclusions du requérant dirigées contre Europol.

70

Dans ses écritures, Eurojust indique avoir été impliquée à deux titres dans les faits visés par le requérant.

71

D’une part, Eurojust précise avoir fourni, dans le cadre de l’ECE relative au service Sky ECC, un soutien et des conseils quant aux possibilités de coopération judiciaire et avoir organisé plusieurs réunions de coordination entre les autorités belges, françaises et néerlandaises ainsi qu’Europol. Ces réunions, qui se sont tenues les 25 avril 2019, 7 septembre 2020 et 11 février 2021, ont conduit les autorités de ces États membres à présenter des informations actualisées sur l’évolution de leurs enquêtes concernant le service Sky ECC et à discuter de la meilleure manière de progresser dans celles-ci.

72

D’autre part, dans le cadre des demandes de soutien présentées par les autorités serbes en lien avec des enquêtes pénales ouvertes en Serbie à l’encontre d’une organisation criminelle – dont le requérant ferait partie – impliquée dans un trafic de stupéfiants transitant notamment par Rotterdam, Eurojust précise avoir, d’une part, coordonné des enquêtes néerlandaises et serbes et, d’autre part, facilité la transmission et l’exécution des demandes d’entraide judiciaire adressées par les autorités serbes aux autorités françaises.

73

Concernant la coopération entre les autorités néerlandaises et serbes, Eurojust confirme la tenue de trois réunions de coordination avec la participation de ces autorités les 23 mai, 16 novembre et 8 décembre 2022, à l’occasion desquelles celles-ci ont échangé des informations sur la portée et l’état d’avancement de leurs enquêtes respectives ainsi que sur leurs besoins respectifs en matière de coopération judiciaire, à savoir parvenir à un accord sur la manière de poursuivre leur coopération en matière d’échange d’informations et de preuves ainsi que coordonner leurs stratégies de poursuites en vue de prévenir les conflits de compétences et les poursuites parallèles de mêmes suspects pour les mêmes faits.

74

Eurojust indique également avoir facilité le transfert de certaines demandes d’entraide judiciaire entre la République de Serbie et le Royaume des Pays-Bas, en particulier celle du 7 octobre 2022, ou encore avoir été informée, d’une part, de l’organisation par les autorités néerlandaises d’une réunion avec les autorités serbes, le 3 mai 2023, destinée à informer ces dernières de l’arrestation envisagée du requérant et, d’autre part, du fait que, au cours de cette réunion, ces autorités étaient parvenues à un accord provisoire sur une stratégie coordonnée de poursuite de celui-ci pour la saisie du 4 août 2020 visant à lui éviter d’être poursuivi dans leurs deux États pour les mêmes faits.

75

Concernant la coopération entre les autorités françaises et serbes, Eurojust précise avoir, en réponse à quatre demandes d’entraide judiciaire, transmis au magistrat de liaison serbe, par courrier électronique, un hyperlien, valable pour une durée limitée, vers un site de téléchargement sécurisé par mot de passe fourni par les autorités françaises et par lequel ces dernières mettaient à la disposition des seules autorités serbes les informations concernant certaines discussions issues du service Sky ECC et liées à des identifiants de connexion spécifiquement déterminés, parmi lesquelles figuraient celles du requérant.

76

En outre, il ressort des éléments de preuve fournis par le requérant que la transmission du 24 juin 2022 visée au point 75 ci-dessus est reconnue par Eurojust.

77

En revanche, premièrement, le requérant ne fournit aucune preuve ou, à tout le moins, aucun commencement de preuve à même d’établir qu’Eurojust a été invitée ou a assisté à la réunion du 27 mai 2019, visée au point 55 ci-dessus, et que, dans ce cadre, elle a été destinataire des métadonnées relatives aux 9000 messages échangés à cette occasion.

78

En effet, aucune des cinq annexes mentionnées par le requérant au soutien de son allégation ne mentionne Eurojust, sauf de façon tout à fait générale et sans rapport direct avec la réunion du 27 mai 2019.

79

Deuxièmement, le requérant ne fournit aucune preuve ou, à tout le moins, aucun commencement de preuve à même d’établir qu’Eurojust a assisté au groupe de travail technique des 23 et 24 juillet 2020 visé au point 51 ci-dessus.

80

Outre le fait que le requérant admet lui-même « ignor[er] si des collaborateurs d’[…]Eurojust étaient présents » à ce groupe de travail, elle soutient ne pas y avoir participé et le document sur lequel le requérant se fonde ne permet pas de faire naître le moindre doute à cet égard.

81

Troisièmement, le requérant ne fournit aucune preuve ou, à tout le moins, aucun commencement de preuve à même d’établir qu’Eurojust a participé à l’échange de l’ensemble des données issues du service Sky ECC ou à des paquets nationaux de renseignements dudit service au moyen de SIENA, Eurojust n’étant pas mentionnée dans le document sur lequel le requérant se fonde.

82

Concernant, plus spécialement, la participation alléguée d’Eurojust à un échange de métadonnées au cours du mois de février 2022, le fait que, par le courrier électronique annexé par le requérant à la requête, un expert national détaché d’Eurojust informe un procureur du Land Hessen (Land de Hesse, Allemagne) du fait que « les géodonnées du fournisseur néerlandais seront transmises par les autorités néerlandaises à Europol à la fin du mois de février 2022 avec une autorisation générale d’utilisation » ne permet pas d’inférer que ces métadonnées ont également été communiquées à Eurojust.

83

Quatrièmement, pour les mêmes motifs que ceux évoqués concernant Europol aux points 64 et 65 ci-dessus, le requérant ne fournit aucune preuve ou, à tout le moins, aucun commencement de preuve à même d’établir qu’Eurojust aurait transmis aux autorités serbes l’information selon laquelle il s’avérait être la personne se trouvant derrière l’identifiant « DFKNBQ » du service Sky ECC.

84

Dès lors, le requérant ne saurait, dans le cadre du présent recours, se prévaloir, à l’égard d’Eurojust, des faits non établis évoqués aux points 77 à 83 ci-dessus.

85

Eu égard à ce qui précède et compte tenu de l’affirmation du requérant actée au procès-verbal de l’audience selon laquelle le dernier acte reproché à Eurojust et à Europol est intervenu le 24 juin 2022, il y a lieu de constater que seuls les faits visés aux points 71 à 76 ci-dessus et antérieurs à cette date – à savoir la participation d’Eurojust aux réunions de coordination des autorités belges, françaises et néerlandaises ainsi que d’Europol des 25 avril 2019, 7 septembre 2020 et 11 février 2021, sa participation à la réunion de coordination des enquêtes néerlandaise et serbe du 23 mai 2022, la transmission aux autorités serbes, par elle, le 24 juin 2022, du courrier électronique des autorités françaises contenant un lien vers un site de téléchargement des données à caractère personnel du requérant – sont établis et peuvent venir au soutien des conclusions du requérant dirigées contre Eurojust.

86

Compte tenu des points 55 à 57 et 71 à 76 ci-dessus, il doit être constaté que le requérant a établi les faits suivants.

87

Premièrement, le 27 mai 2019, les autorités belges, françaises et néerlandaises ont participé à une réunion à l’occasion de laquelle les métadonnées de plus de 9000 messages issus du service Sky ECC ont été échangées entre ces États membres et Europol.

88

Deuxièmement, à compter du mois de juin 2019, la République française a transmis à Europol les données issues du service Sky ECC, données qui ont ensuite été traitées par elle et dont les résultats ont ultérieurement été transmis par elle aux autorités belges, françaises et néerlandaises.

89

Troisièmement, les autorités belges, françaises et néerlandaises ont participé à une réunion le 28 août 2019, à l’occasion de laquelle les suites d’un éventuel démantèlement de l’infrastructure du service Sky ECC ont été évoquées, ainsi qu’à un groupe de travail technique de l’ECE les 23 et 24 juillet 2020, à l’occasion duquel de nouveaux messages cryptés ont été découverts.

90

Quatrièmement, les 25 avril 2019, 7 septembre 2020 et 11 février 2021, les autorités belges, françaises et néerlandaises ont participé à des réunions de coordination, à l’occasion desquelles elles ont présenté des informations actualisées sur l’évolution de leurs enquêtes à l’égard du service Sky ECC et ont discuté de la meilleure manière de progresser dans celles-ci.

91

Cinquièmement, à l’occasion de la réunion du 23 mai 2022, les autorités néerlandaises ont transmis aux autorités serbes, par l’intermédiaire d’Eurojust, des informations sur la portée et l’état d’avancement de leurs enquêtes respectives ainsi que sur leurs besoins en matière de coopération judiciaire.

92

Sixièmement, le 24 juin 2022, les autorités françaises ont transmis aux autorités serbes, par l’intermédiaire d’Eurojust, un lien vers un site de téléchargement sécurisé mettant à la disposition de ce pays tiers les informations concernant certaines conversations issues du service Sky ECC et liées à des identifiants de connexion spécifiquement déterminés, parmi lesquelles figuraient celles du requérant.

93

Toutefois, la faculté pour le requérant de se prévaloir de tels faits, imputables à des États membres, dans le cadre de conclusions indemnitaires dirigées à l’encontre d’Europol sur le fondement de l’article 50, paragraphe 1, du règlement 2016/794 suppose que ces faits soient intervenus dans le cadre d’une coopération au titre du règlement 2016/794 (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 62 et 63) et concernent ses données à caractère personnel.

94

Ainsi que cela a été relevé au point 39 ci-dessus, la coopération relative au service Sky ECC a débuté au cours du mois de mai 2019 et les éléments fournis par Eurojust et Europol ne permettent pas d’inférer que les faits ou les comportements imputables aux autorités belges, françaises ou néerlandaises évoqués aux points 87 à 92 ci-dessus n’étaient pas en lien avec cette coopération.

95

En revanche, le requérant ne fournit aucune preuve ou commencement de preuve à même d’établir que l’échange des métadonnées de plus de 9000 messages intervenu le 27 mai 2019, les réunions des 25 avril et 28 août 2019, 7 septembre 2020, 11 février 2021 et 23 mai 2022 ou encore le groupe de travail technique de l’ECE des 23 et 24 juillet 2020 ont donné lieu à l’échange par les autorités belges, françaises ou néerlandaises de données à caractère personnel le concernant, au sens de l’article 50, paragraphe 1, du règlement 2016/794.

96

Dès lors, le Tribunal n’est pas compétent pour connaître, au titre du chef de conclusions indemnitaire dirigé contre Europol et fondé sur l’article 50, paragraphe 1, du règlement 2016/794, des allégations prenant appui sur les faits ou les actes des autorités belges, françaises ou néerlandaises visés au point 95 ci-dessus.

97

En revanche, les éléments de preuve ou commencements de preuve fournis par le requérant permettent d’établir que, au cours de la période allant du 27 mai 2019 au 24 juin 2022, des données à caractère personnel le concernant et issues du service Sky ECC ont été traitées, premièrement, par les autorités françaises dans le cadre de la transmission à Europol des données interceptées sur les serveurs du service Sky ECC, deuxièmement, par les autorités belges, françaises et néerlandaises dans le cadre de la réception de ces données de la part d’Europol avant ou après traitement et, troisièmement, lors de leur transmission par les autorités françaises aux autorités serbes, par l’intermédiaire d’Eurojust, le 24 juin 2022.

98

En conséquence, seuls les faits et les comportements visés au point 97 ci-dessus seront examinés dans le cadre de la partie du chef de conclusions indemnitaires dirigé à l’encontre d’Europol et fondé sur l’article 50, paragraphe 1, du règlement 2016/794.

99

Compte tenu des chefs de conclusions présentés par le requérant, rappelés aux points 14 à 19 ci-dessus, et nonobstant le fait que celui-ci a formulé les quatre mêmes moyens au soutien de ses deux chefs de conclusions et s’est prévalu des mêmes faits à leur soutien, il convient d’examiner successivement le chef de conclusions fondé sur l’article 263 TFUE et tiré de l’illégalité de certains actes ou comportements d’Europol et d’Eurojust survenus dans le cadre de l’« opération Sky ECC », puis le chef de conclusions indemnitaires par lequel il demande l’octroi de dommages-intérêts sur le fondement des articles 268 et 340 TFUE, de l’article 50 du règlement 2016/794 et de l’article 46 du règlement 2018/1727.

100

D’emblée, il convient de relever qu’Europol et Eurojust soulèvent, ensemble ou séparément, plusieurs fins de non-recevoir, tirées, premièrement, de l’irrecevabilité du recours dans son ensemble en raison d’un détournement de procédure, deuxièmement, de la tardiveté du recours en ce qui concerne les conclusions en annulation, troisièmement, du fait que les traitements des données issues du service Sky ECC et relatives au requérant ne constituent pas des actes attaquables, quatrièmement, de l’irrecevabilité des conclusions indemnitaires en raison du fait que le requérant n’a pas prouvé à suffisance de droit les préjudices allégués et qu’il a contourné les voies de droit.

101

À cet égard, il y a lieu de rappeler que le juge de l’Union est en droit d’apprécier, suivant les circonstances de chaque espèce, si une bonne administration de la justice justifie de rejeter au fond le recours, sans statuer préalablement sur sa recevabilité (voir, en ce sens, arrêt du 26 février 2002, Conseil/Boehringer, C-23/00 P, EU:C:2002:118, points 51 et 52).

102

En l’espèce, le Tribunal considère qu’il y a lieu, dans un souci d’économie de la procédure, d’examiner seulement la fin de non-recevoir tirée du fait que les traitements des données issues du service Sky ECC et relatives au requérant ne constituent pas des actes attaquables sans statuer préalablement sur les autres fins de non-recevoir, le recours étant, en tout état de cause et pour les motifs exposés ci-après, non fondé.

103

Au soutien du premier chef de conclusions fondé sur l’article 263 TFUE, le requérant excipe notamment de l’illégalité de certains actes ou comportements d’Europol et d’Eurojust dans le cadre de l’« opération Sky ECC » sur le fondement de l’article 277 TFUE.

104

L’article 263 TFUE permet de contester la légalité des actes adoptés, notamment par les agences de l’Union, sous réserve du respect de certaines conditions de recevabilité.

105

Europol et Eurojust font valoir que les traitements des données issues du service Sky ECC et relatives au requérant ne constituent pas des actes attaquables, à défaut d’affecter sa situation juridique.

106

Ainsi que cela ressort du point 58 ci-dessus, le requérant reproche à Europol la réception, le traitement et le partage, à compter du 27 mai 2019, des données du service Sky ECC le concernant interceptées par les autorités françaises ainsi que sa participation à la réunion du 28 août 2019 et au groupe de travail des 23 et 24 juillet 2020.

107

Ainsi que cela ressort du point 85 ci-dessus, le requérant reproche à Eurojust sa participation aux réunions de coordination entre les autorités belges, françaises et néerlandaises ainsi qu’Europol des 25 avril 2019, 7 septembre 2020 et 11 février 2021, sa participation à la réunion de coordination des enquêtes néerlandaise et serbe du 23 mai 2022 ainsi que la transmission du 24 juin 2022.

108

À l’exception de la transmission du 24 juin 2022, l’ensemble des actes ou des comportements visés aux points 106 et 107 ci-dessus constituent des actes ou des comportements de nature préparatoire, insusceptibles de produire des effets juridiques obligatoires de nature à affecter les intérêts du requérant en modifiant de façon caractérisée la situation juridique de celui-ci, au sens de la jurisprudence constante de la Cour (voir, en ce sens, arrêts du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 9, et du 30 novembre 2023, Sistem ecologica/Commission, C-787/22 P, non publié, EU:C:2023:940, point 51).

109

Pour ce qui concerne la participation d’Europol et d’Eurojust aux réunions ou aux groupes de travail concernés, à supposer que ces réunions et groupes aient donné lieu au traitement de données à caractère personnel du requérant, force est de constater qu’ils ne constituent que des étapes d’enquêtes pénales en cours et se bornent à créer les conditions du déroulement ultérieur de celles-ci, sans modifier les droits du requérant ni porter atteinte à l’un quelconque de ses droits procéduraux.

110

Ainsi, la participation à ces réunions ou groupes de travail ne constitue pas le terme ultime d’une procédure spéciale distincte de celle qui doit permettre aux juridictions pénales des États membres concernés d’éventuellement statuer sur la responsabilité pénale du requérant (voir, en ce sens, arrêt du 11 novembre 1981, IBM/Commission, 60/81, EU:C:1981:264, point 11, et ordonnance du 9 septembre 2020, IMG/Commission, T-645/19, non publiée, EU:T:2020:388, point 48 et jurisprudence citée).

111

Pour ce qui concerne les transmissions par Europol de données à caractère personnel du requérant issues du service Sky ECC aux autorités des États membres que sont le Royaume de Belgique, la République française et le Royaume des Pays-Bas, elles ne se distinguent pas des transmissions par l’Office européen de lutte antifraude (OLAF) de ses rapports finaux et d’informations aux États membres, qui, de jurisprudence constante, ne sont pas des actes attaquables (voir, en ce sens, arrêts du 30 novembre 2023, Sistem ecologica/Commission, C-787/22 P, non publié, EU:C:2023:940, points 55, 56, 60, 66 et 67 ; du 12 septembre 2007, Nikolaou/Commission, T-259/03, non publié, EU:T:2007:254, points 244 et 245 et jurisprudence citée, et du 20 mai 2010, Commission/Violetti e.a., T-261/09 P, EU:T:2010:215, point 47 et jurisprudence citée).

112

Dès lors, sans qu’il y ait lieu de déterminer si, à défaut de formalisation des divers comportements reprochés par le requérant à Europol et à Eurojust, la participation de ces dernières aux réunions ou au groupe de travail visés aux points 106 et 107 ci-dessus ainsi que les transmissions par Europol de données à caractère personnel du requérant issues du service Sky ECC aux autorités belges, françaises et néerlandaises peuvent être qualifiées d’« actes » au sens de l’article 263 TFUE, elles ne présentent, en tout état de cause, pas un caractère attaquable.

113

En revanche, en ce qui concerne la transmission du 24 juin 2022, le caractère d’acte attaquable doit lui être reconnu.

114

Il ressort certes de la jurisprudence rappelée au point 111 ci-dessus que la transmission par l’OLAF de rapports finaux et d’informations aux États membres ne constitue pas un acte attaquable.

115

Toutefois, la Cour comme le Tribunal ont eu l’occasion de prendre en considération, afin d’écarter le caractère attaquable des transmissions de l’OLAF, le fait que la partie requérante avait à sa disposition d’autres voies pour assurer le contrôle de la légalité de ces décisions de transmission (voir arrêt du 20 mai 2010, Commission/Violetti e.a., T-261/09 P, EU:T:2010:215, point 48 et jurisprudence citée), y compris celle de la procédure préjudicielle [voir, en ce sens, ordonnance du 19 avril 2005, Tillack/Commission, C-521/04 P(R), EU:C:2005:240, point 39].

116

Or, la transmission du 24 juin 2022 est intervenue entre une agence de l’Union et les autorités non pas d’un État membre, mais d’un pays tiers, en l’occurrence la République de Serbie.

117

Ainsi, à défaut de pouvoir être contestée dans le cadre du présent recours, la légalité de la transmission du 24 juin 2022 au regard du droit de l’Union ne pourra plus faire l’objet de contestation et les données à caractère personnel qu’elle contient pourront être considérées comme légalement transmises aux autorités serbes, sans que, par la suite, le requérant puisse obtenir des juridictions de ce pays tiers soit une appréciation de la validité de ladite transmission au regard du droit de l’Union soit une saisine de la Cour d’une question préjudicielle en appréciation de sa validité.

118

En ce sens, la transmission du 24 juin 2022 constitue le terme ultime d’une procédure spéciale par laquelle Eurojust transmet aux autorités d’un pays tiers et à leur demande des données à caractère personnel d’une personne identifiée.

119

De plus, la reconnaissance du caractère attaquable de la transmission du 24 juin 2022 est seule à même de garantir le contrôle effectif par une autorité judiciaire ou un autre organe indépendant du transfert de données à caractère personnel interceptées et de leur utilisation à d’autres fins que celles de l’instance pénale pour laquelle elles ont initialement été collectées (voir, en ce sens, Cour EDH, 1er avril 2025, Ships Waste Oil Collector B. V. e.a. c. Pays-Bas, CE:ECHR:2025:0401JUD000279916, § 160 et 183 et jurisprudence citée).

120

À cet égard, le fait, évoqué par Eurojust, que le requérant pourrait saisir les juridictions françaises d’un recours ou qu’il puisse saisir la Cour européenne des droits de l’homme (ci-après la « Cour EDH ») à la suite d’une éventuelle condamnation par les juridictions pénales serbes est indifférent.

121

D’une part, les juridictions françaises ne sauraient être saisies d’un recours en annulation dirigé contre un acte d’une agence de l’Union.

122

D’autre part, en l’absence d’adhésion de l’Union à la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »), la Cour EDH ne saurait constater un manquement de l’Union à cette convention, tout particulièrement dans le cadre d’un recours introduit contre un pays tiers.

123

Eu égard à ce qui précède, il y a lieu de faire droit à la fin de non-recevoir présentée par Europol et Eurojust et de constater le caractère non attaquable des actes ou comportements critiqués par le requérant, sauf en ce qui concerne la transmission du 24 juin 2022.

124

Force est de constater que le requérant n’établit pas les raisons pour lesquelles la transmission du 24 juin 2022 aurait donné lieu à un traitement illicite de ses données à caractère personnel.

125

En premier lieu, l’article 45, paragraphe 2, sous b), du règlement 2018/1727 dispose que la responsabilité de l’exactitude des données opérationnelles à caractère personnel incombe à l’État membre qui a fourni les données à Eurojust, lorsque, comme en l’espèce, les données transmises n’ont pas été modifiées au cours du traitement effectué par elle, ce que ne conteste pas le requérant.

126

En second lieu, il doit être constaté que, s’agissant de la mise à la disposition des autorités serbes par les autorités françaises par l’intermédiaire d’Eurojust des conversations du requérant, d’une part, aucun élément ne permet de considérer que ce traitement de données à caractère personnel n’était pas loyal, licite et effectué à des fins déterminées, explicites et légitimes, au sens de l’article 71, paragraphe 1, sous a) et b), du règlement 2018/1725.

127

Premièrement, ce traitement entrait dans le cadre de l’exécution des missions d’Eurojust et était nécessaire à cette exécution. Deuxièmement, il ne ressort d’aucun élément du dossier que les données à caractère personnel du requérant auraient été traitées à d’autres fins que ces missions. Troisièmement, ledit traitement a été effectué à la demande des autorités françaises et en exécution de demandes d’entraide judiciaire préalables. Quatrièmement, le transfert des données à caractère personnel du requérant aux autorités serbes trouvait un fondement dans l’article 56, paragraphe 2, sous b), du règlement 2018/1727 et dans l’accord de coopération permettant l’échange de données opérationnelles à caractère personnel conclu entre Eurojust et la République de Serbie le 12 novembre 2019.

128

D’autre part, la mise à la disposition des autorités serbes par les autorités françaises par l’intermédiaire d’Eurojust des conversations du requérant était également proportionnée et suffisamment sécurisée, au sens de l’article 71, paragraphe 1, sous c), d) et e), du règlement 2018/1725. En effet, elle a pris la forme d’une mise à disposition d’un lien vers un site de téléchargement sécurisé par un mot de passe fourni par les autorités françaises et rien ne permet de remettre en cause l’affirmation d’Eurojust selon laquelle elle s’est abstenue d’accéder aux données en cause et ne les a pas téléchargées, stockées ou copiées dans ses propres systèmes informatiques.

129

Par ailleurs, s’agissant de l’allégation du requérant tirée de la violation des articles 47 et 48 de la Charte ainsi que de l’article 6 de la CEDH et des articles 14 et 15 du Pacte, celui-ci n’explique pas en quoi la transmission du 24 juin 2022 emportait, au jour de cette transmission, violation de ces dispositions, tout particulièrement en l’absence de jugement des juridictions néerlandaise ou serbe constatant à cette date sa culpabilité sur le fondement des données transmises.

130

Dès lors, il convient de rejeter comme non fondées les conclusions en annulation de la transmission du 24 juin 2022.

131

En application de l’article 277 TFUE, nonobstant l’expiration du délai prévu à l’article 263, sixième alinéa, TFUE, toute partie peut, à l’occasion d’un litige mettant en cause un acte de portée générale adopté par une institution, un organe ou un organisme de l’Union, se prévaloir des moyens prévus à l’article 263, deuxième alinéa, TFUE pour invoquer devant le juge de l’Union l’inapplicabilité de cet acte.

132

Or, aucun des actes ou des comportements reprochés par le requérant à Europol ou à Eurojust ne présente les caractéristiques d’un acte de portée générale.

133

En conséquence, il y a lieu de rejeter le moyen fondé sur l’article 277 TFUE.

134

L’engagement de la responsabilité non contractuelle de l’Union au titre de l’article 340, deuxième alinéa, TFUE est subordonné à la réunion d’un ensemble de conditions, à savoir l’existence d’une violation suffisamment caractérisée d’une règle de droit ayant pour objet de conférer des droits aux particuliers, la réalité du dommage et l’existence d’un lien de causalité entre la violation de l’obligation qui incombe à l’auteur de l’acte et le dommage subi par les personnes lésées (voir arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, point 117 et jurisprudence citée).

135

Dès lors que l’une de ces conditions n’est pas remplie, le recours doit être rejeté dans son ensemble sans qu’il soit nécessaire d’examiner les autres conditions de la responsabilité non contractuelle de l’Union. En outre, le juge de l’Union n’est pas tenu d’examiner ces conditions dans un ordre déterminé (voir arrêt du 13 décembre 2018, Union européenne/Kendrion, C-150/17 P, EU:C:2018:1014, point 118 et jurisprudence citée).

136

Toutefois, lorsque le législateur de l’Union a prévu un régime dérogatoire de responsabilité solidaire entre une agence de l’Union et un ou plusieurs États membres, la Cour a jugé que, dans le champ de ce régime dérogatoire, l’engagement de la responsabilité de cette agence ne requérait pas de démontrer que le dommage dont la réparation était recherchée était imputable à ladite agence, dès lors qu’il l’était à tout le moins à un ou plusieurs de ces États membres (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 125 et 132).

137

Dans ces conditions, il convient d’examiner séparément les actes ou les comportements dont, respectivement, Europol – seule soumise à un tel régime dérogatoire de responsabilité solidaire avec les États membres – et Eurojust peuvent être tenues responsables.

138

Par son premier chef de préjudice, présenté dans le cadre de son premier moyen, le requérant reproche à Europol et aux États membres concernés d’avoir traité les données issues du service Sky ECC – y compris les siennes – de manière illicite et déloyale et, de ce fait, d’avoir violé notamment l’article 28, paragraphe 1, sous a), du règlement 2016/794.

139

En raison de son caractère indifférencié, le traitement initial des données issues du service Sky ECC n’aurait été ni nécessaire, au sens de l’article 18, paragraphe 1, du règlement 2016/794, ni proportionné, au sens de son article 28, paragraphe 1, sous c), à défaut de présomptions suffisantes d’implication de l’ensemble des utilisateurs du service Sky ECC dans des faits relevant du droit pénal.

140

De plus, le traitement ultérieur des données issues du service Sky ECC aurait violé l’article 28, paragraphe 1, sous b), du règlement 2016/794 en ce qu’il aurait porté sur des données qui n’étaient pas exclusivement en rapport avec des infractions pénales et qui avaient été collectées de manière indifférenciée et sans finalités déterminées, explicites et légitimes.

141

Eu égard à cette argumentation, le premier chef de préjudice doit être interprété en ce qu’il vise des allégations de traitements incorrects de données tant par Europol que par le Royaume de Belgique, la République française et le Royaume des Pays-Bas, ces derniers relevant du régime dérogatoire de responsabilité solidaire visé à l’article 50, paragraphe 1, du règlement 2016/794.

142

Ainsi, aux fins de l’examen de ce premier chef de préjudice, il y a lieu de prendre en considération non seulement les actes ou les comportements d’Europol, au titre du régime de responsabilité découlant de l’article 49 du règlement 2016/794, mais également ceux des trois États membres concernés, au titre du régime dérogatoire de responsabilité solidaire visé à l’article 50, paragraphe 1, de ce règlement.

143

Par son deuxième chef de préjudice, présenté dans le cadre de son deuxième moyen, en dépit de la mention, au point 68 de la requête, de l’article 28 du règlement 2016/794, le requérant se prévaut, en substance, seulement d’une violation du droit à un procès équitable en raison de l’impossibilité de vérifier le caractère « utilisable » des données issues du service Sky ECC dans les procédures pénales nationales ayant fait suite aux enquêtes auxquelles Europol a participé.

144

Ainsi, dans le cadre de son deuxième moyen, le requérant ne conteste pas la licéité du traitement de ses données à caractère personnel, au sens de l’article 28 du règlement 2016/794 – seul argument susceptible de faire entrer une contestation dans le champ du régime dérogatoire de responsabilité solidaire issu de l’article 50, paragraphe 1, de ce règlement.

145

Dans ces conditions, aux fins de l’examen de ce deuxième chef de préjudice, il y a lieu de prendre en considération seulement les actes ou les comportements d’Europol au titre du régime de responsabilité découlant de l’article 49 du règlement 2016/794.

146

Par son troisième chef de préjudice, présenté dans le cadre de son troisième moyen, le requérant se plaint de l’existence de doubles poursuites pour les mêmes faits, engagées à son égard par les autorités pénales néerlandaises et serbes.

147

Le requérant soutient, en substance, que, notamment, Europol a méconnu l’exigence de coordination optimale requise par l’accord ECE, le privant ainsi de la possibilité d’assurer correctement sa défense en violation des articles 47 et 48 de la Charte, de l’article 6 de la CEDH et des articles 14 et 15 du Pacte.

148

Si, certes, des informations détenues et traitées par Europol ont, en l’espèce, été mises à la disposition des autorités néerlandaises par elle et ont été transmises par les autorités françaises aux autorités serbes, il n’en demeure pas moins que, par son troisième chef de préjudice, le requérant reproche à Europol non pas un éventuel « traitement incorrect de données » au sens de l’article 50, paragraphe 1, du règlement 2016/794, mais uniquement un manquement de sa part à ses obligations découlant de l’accord ECE.

149

En conséquence, aux fins de l’examen de ce troisième chef de préjudice, il y a lieu de prendre en considération seulement les actes ou les comportements d’Europol, au titre du régime de responsabilité découlant de l’article 49 du règlement 2016/794.

150

Par son quatrième chef de préjudice, présenté dans le cadre de son quatrième moyen, le requérant se prévaut d’un traitement insuffisamment sécurisé et non conforme de ses données issues du service Sky ECC par Europol et Eurojust, ainsi qu’il l’a confirmé en réponse à une question du Tribunal lors de l’audience.

151

Ses allégations reposent sur l’article 32 du règlement 2016/794 ainsi que sur les articles 89, 91 et 92 du règlement 2018/1725.

152

Or, pour les faits dont le requérant se prévaut – à savoir des faits antérieurs au 24 juin 2022 –, seul l’article 32 du règlement 2016/794 était applicable ratione temporis à Europol, en application de l’article 2 du règlement 2018/1725.

153

Dans ces conditions, aux fins de l’examen de ce quatrième chef de préjudice, il y a lieu de prendre en considération seulement les actes ou comportements d’Europol, et cela à la seule lumière de l’article 32 du règlement 2016/794.

154

Ainsi que cela a été relevé aux points 138 à 142 ci-dessus, dans le cadre de son premier chef de préjudice, le requérant se prévaut de dommages découlant du caractère incorrect du traitement de ses données issues du service Sky ECC tant par Europol que par le Royaume de Belgique, la République française et le Royaume des Pays-Bas.

155

Selon le requérant, les données issues du service Sky ECC – y compris les siennes – ont fait l’objet d’un traitement indifférencié, contraire aux articles 17, 18, 28 et 38 du règlement 2016/794, aux articles 7, 8, 10 à 12, 51 et 52 de la Charte, à l’article 8 de la CEDH et à l’article 17 du Pacte.

156

Ces données auraient été traitées initialement par les États membres concernés en méconnaissance des principes de nécessité et de proportionnalité, à défaut de présomption fondée de l’implication de tous les utilisateurs du service Sky ECC dans un quelconque fait pénal. Ce faisant, cette collecte violerait la jurisprudence de la Cour EDH qui ne permet la collecte indifférenciée de données que de manière exceptionnelle. De même, la collecte et le traitement des métadonnées ne pourraient être effectués que sur autorisation judiciaire et dans le domaine de la sécurité nationale ou de la lutte contre les formes graves de criminalité, ce qui ne serait pas le cas en l’espèce.

157

Or, conformément à l’article 17, paragraphe 1, sous a), du règlement 2016/794, Europol ne pourrait traiter que des données traitées par les États membres conformément à leur droit national, ce qui n’aurait pas été le cas en l’espèce.

158

Par la suite, ces données auraient été traitées par Europol sans finalité légitime, dans la mesure où certaines discussions conservées étaient dépourvues de lien avec une quelconque infraction pénale. Elles auraient également été traitées de manière déloyale et illicite.

159

En ce sens, Europol aurait violé le point 32, sous h), i), p) et q), de la recommandation du Parlement du 15 juin 2023 à l’intention du Conseil et de la Commission à la suite de l’enquête sur les allégations d’infraction et de mauvaise administration dans l’application du droit de l’Union lors de l’utilisation de Pegasus et de logiciels espions de surveillance équivalents [2023/2500(RSP)], en ce qu’elle n’aurait pas supprimé les données non pertinentes, aurait conservé les données en cause au-delà d’une période spécifique et n’aurait pas notifié les personnes ciblées et non ciblées.

160

Ces violations seraient confirmées par la récente condamnation d’Europol par le Contrôleur européen de la protection des données (CEPD) en lien avec le stockage et la suppression des jeux de données ne faisant pas l’objet d’une catégorisation (EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation, Cases 2019-0370 & 2021-0699, 21 décembre 2021).

161

Europol fait valoir que ce chef de préjudice est dépourvu de fondement.

162

D’emblée, il convient de relever que c’est à tort qu’Europol soutient qu’elle ne peut pas être tenue responsable des actes ou des comportements des États membres et que le Tribunal ne peut en apprécier la légalité.

163

Si, certes, en vertu de l’article 276 TFUE, le juge de l’Union n’est pas compétent pour vérifier la validité ou la proportionnalité d’opérations menées par la police ou d’autres services répressifs dans un État membre, y compris dans le cadre de recours fondés sur les articles 268 et 340 TFUE (voir points 44 à 46 ci-dessus), il n’en demeure pas moins que, en dehors de ces opérations spécifiques, le régime dérogatoire de responsabilité solidaire prévu par l’article 50, paragraphe 1, du règlement 2016/794 implique implicitement mais nécessairement qu’Europol peut être tenue responsable d’actes ou de comportements des États membres.

164

Il en découle tout aussi nécessairement que, dans le cadre de recours indemnitaires fondés sur l’article 50, paragraphe 1, du règlement 2016/794, le Tribunal est habilité à apprécier la légalité des actes ou des comportements des États membres autres que ceux par lesquels leurs services de police ou d’autres services répressifs ont procédé à la collecte des données concernées, que ce soit sur le fondement du droit de l’Union et en particulier du règlement 2016/794 (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, point 121) ou sur le fondement du droit national de l’État concerné.

165

Premièrement, s’agissant du traitement des données collectées par les autorités françaises, le requérant se limite à indiquer que certaines données auraient été traitées alors qu’elles n’auraient aucun lien avec une quelconque infraction et que, de ce fait, leur traitement violerait l’article 30, paragraphe 1, du règlement 2016/794, relatif au traitement de données à caractère personnel concernant des victimes d’infraction pénale, des témoins ou d’autres personnes pouvant fournir des informations sur des infractions pénales, ou concernant des personnes de moins de 18 ans.

166

Force est toutefois de constater que le requérant s’avère être une personne majeure qui, au regard du droit national de l’État membre concerné, était soupçonnée d’avoir commis une infraction ou participé à une infraction relevant de la compétence d’Europol, à savoir un trafic de stupéfiants, visé à l’article 3, paragraphe 1, du règlement 2016/794.

167

Dès lors, le requérant ne saurait utilement se prévaloir de l’article 30, paragraphe 1, du règlement 2016/794.

168

Pour le surplus, le requérant n’apporte aucun élément permettant de douter du fait que le traitement des données issues du service Sky ECC notamment par les autorités nationales concernées, préalablement à leur transmission à Europol, aurait été effectué pour les finalités légitimes pour lesquelles elles avaient été collectées, à savoir la confection d’analyses de nature stratégique ou thématique ainsi que d’analyses opérationnelles, au sens de l’article 18, paragraphe 2, sous b) et c), du règlement 2016/794, dans le contexte de l’exécution des décisions d’enquête commune visées au point 4 ci-dessus et de l’ECE.

169

Deuxièmement, le requérant n’apporte aucun élément à même d’établir que les transmissions des données collectées par les autorités françaises à Europol auraient été effectuées en violation des principes visés à l’article 28, paragraphe 1, du règlement 2016/794.

170

Troisièmement, pour ce qui est de l’activité d’Europol en ce qui concerne les données du requérant, rien n’indique que la réception, le traitement, puis la transmission ultérieure du résultat de l’analyse de ces données aux États membres concernés auraient été effectués en violation des principes énoncés à l’article 28, paragraphe 1, du règlement 2016/794.

171

En premier lieu, l’ensemble de ces opérations ont été effectuées dans un cadre défini poursuivant des finalités déterminées, explicites et légitimes, à savoir une opération spécifique relative au service Sky ECC, visant notamment l’identification, aux fins de poursuites, de ses utilisateurs, de surcroît au moyen d’une ECE visant le même objectif et créée au moyen d’une convention spécifique identifiant expressément ses objectifs par le Royaume de Belgique, la République française ainsi que le Royaume des Pays-Bas et à laquelle Europol était associée (voir points 3 à 6 ci-dessus).

172

En deuxième lieu, rien n’indique que le traitement des données du requérant par Europol aurait été inadéquat, non pertinent ou excessif au regard de l’objectif d’identification des utilisateurs du service Sky ECC en vue notamment de les poursuivre pénalement.

173

À cet égard, le fait qu’Europol ait pu être destinataire de la décision du CEPD visée au point 160 ci-dessus est indifférent. En effet, le requérant ni ne soutient ni a fortiori ne démontre que ses données entraient dans le champ de cette décision, à savoir les données détenues par Europol et ne faisant pas l’objet d’une catégorisation.

174

Au contraire, il ressort des éléments à la disposition du Tribunal que les données du requérant avaient été associées à une enquête spécifique relative au service Sky ECC visant notamment l’identification de ses utilisateurs (voir points 4 à 6 ci-dessus), qu’Europol avait mis en relation le nom du requérant avec son identifiant du service Sky ECC et son nom d’utilisateur et ainsi pu identifier les conversations de celui-ci (voir points 64 et 65 ci-dessus) et avait également constitué des paquets nationaux (voir point 81 ci-dessus).

175

En troisième lieu, il ne ressort pas du dossier que les données concernant le requérant et traitées par Europol auraient présenté un caractère inexact ou encore n’auraient pas bénéficié d’une sécurité appropriée, sachant que ces données n’ont été transmises qu’aux États ou aux agences directement ou indirectement impliquées dans l’ECE et ont été utilisées aux seules fins des poursuites pénales engagées par le Royaume des Pays-Bas et la République de Serbie à l’encontre du requérant.

176

En quatrième lieu, rien n’indique que les données du requérant, dont les procédures pénales étaient toujours en cours au jour de l’introduction du présent recours, auraient été conservées pendant une durée excédant celle nécessaire notamment au bon déroulement de ces procédures.

177

En cinquième lieu, le requérant ne saurait valablement se prévaloir du fait qu’il n’a pas pu accéder à ses données, dès lors que, conformément au considérant 41 du règlement 2016/794 – qui doit se voir reconnaître une valeur interprétative importante (voir, en ce sens, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, point 59), Europol peut refuser l’accès aux données personnelles d’une personne pour s’acquitter dûment de ses missions, pour protéger la sécurité et l’ordre public, pour prévenir la criminalité ou pour garantir qu’une enquête nationale ne sera pas compromise.

178

Quatrièmement, il ne ressort nullement des éléments mis à la disposition du Tribunal qu’Europol aurait violé les principes relatifs au traitement des données à caractère personnel lors des réunions du 27 mai et du 28 août 2019 ou encore du groupe de travail des 23 et 24 juillet 2020, à l’occasion duquel de nouveaux messages ont été découverts (voir points 55 et 57 ci-dessus).

179

Ces rencontres relevaient à l’évidence des missions dévolues à Europol et visées notamment à l’article 4, paragraphe 1, sous c), du règlement 2016/794, tout particulièrement dans la situation d’espèce où Europol participait à une ECE, comme le prévoit l’article 4, paragraphe 1, sous d), de ce règlement.

180

Cinquièmement, aucun élément ne permet de conclure que le Royaume de Belgique, la République française ou le Royaume des Pays-Bas auraient commis des irrégularités dans la réception des données qui leur avaient été transmises par Europol.

181

Sixièmement, rien n’indique que les informations transmises par les autorités néerlandaises aux autorités serbes aient jamais été en possession d’Europol, ce qui exclut toute responsabilité solidaire de celle-ci.

182

Septièmement, s’agissant de la transmission du 24 juin 2022, rien n’indique qu’elle est contraire à l’article 28 du règlement 2016/794.

183

Par ailleurs et pour des motifs similaires à ceux évoqués aux points 171 à 182 ci-dessus, aucune violation des articles 7, 8, 10 à 12, 51 et 52 de la Charte, de l’article 8 de la CEDH et de l’article 17 du Pacte ne peut être reprochée à Europol ainsi qu’au Royaume de Belgique, à la République française ou au Royaume des Pays-Bas.

184

À cet égard, il doit également être rappelé que l’article 52, paragraphe 1, de la Charte prévoit la possibilité que des limitations aux droits garantis par cette dernière – y compris le droit au respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté de réunion et d’association – soient apportées, à condition que ces limitations soient prévues par la loi, qu’elles respectent le contenu essentiel des droits et des libertés en cause et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui [voir arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable), C-548/21, EU:C:2024:830, point 119 et jurisprudence citée].

185

De plus, la lutte contre la criminalité grave – dont relève la lutte contre le trafic de stupéfiants – est de nature à justifier des ingérences graves dans les droits fondamentaux consacrés notamment aux articles 7 et 8 de la Charte, telles que celles qu’implique la conservation des données relatives au trafic et des données de localisation (voir, en ce sens, arrêt du 7 septembre 2023, Lietuvos Respublikos generalinė prokuratūra, C-162/22, EU:C:2023:631, point 37).

186

Enfin, en ce que le requérant se prévaut de la recommandation du Parlement européen visée au point 159 ci-dessus, il suffit de constater qu’un tel document n’a pas d’effet juridique contraignant.

187

Eu égard à ce qui précède, le requérant n’a établi aucune violation suffisamment caractérisée d’une règle de droit ayant pour objet de lui conférer des droits.

188

Cette condition d’engagement de la responsabilité d’Europol sur le fondement de l’article 50, paragraphe 1, du règlement 2016/794 faisant défaut, il n’y a pas lieu d’examiner les autres conditions d’engagement de la responsabilité de celle-ci à ce titre (voir, en ce sens, arrêt du 13 décembre 2018, Union européenne/Kendrion, C-150/17 P, EU:C:2018:1014, point 118).

189

Partant, le chef de préjudice soulevé par le requérant à l’égard d’Europol et fondé sur l’article 50, paragraphe 1, du règlement 2016/794 doit être rejeté comme étant non fondé.

190

Le requérant fait valoir qu’il a subi un préjudice du fait de la violation de son droit à un procès pénal équitable, garanti par les articles 47 et 48 de la Charte ainsi que par les articles 14 et 15 du Pacte, découlant de l’impossibilité de vérifier la véracité, l’authenticité, la fiabilité et la légalité des données ayant été traitées et transférées dans le cadre de la coopération relative au service Sky ECC ou, du moins, de l’absence de garanties formelles et matérielles.

191

En effet, le « principe (souhaité), plus ou moins absolu, de confiance interétatique » et les « méthodes (d’enquête) secrète (d’État) » rendraient impossible le contrôle formel et matériel des données issues du service Sky ECC, en tant qu’éléments de preuve, dans le cadre des procédures pénales nationales, et cela alors même que ces données seraient incomplètes et auraient, de ce fait, été collectées et traitées de manière déloyale, illicite, inadéquate et contraire à la finalité de l’utilisation des preuves en matière pénale.

192

Europol fait valoir que ce chef de préjudice est dépourvu de fondement.

193

Tout d’abord, en ce que le requérant soutient, en substance, que les procédures pénales tant néerlandaise que serbe ne lui permettent pas de contester la recevabilité ou la force probante des données issues du service Sky ECC utilisées dans le cadre de celles-ci, cette argumentation doit être écartée, en l’absence de responsabilité solidaire d’Europol du fait d’un État membre pour ce qui concerne des actes ou des comportements autres que des traitements incorrects de données et de l’absence de responsabilité solidaire d’Europol du fait d’un pays tiers.

194

Ensuite, si, par le présent chef de préjudice, le requérant se prévaut de l’illicéité du traitement de ses données, cette argumentation a déjà été rejetée au point 187 ci-dessus.

195

De ce fait, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation par Europol des articles 47 et 48 de la Charte et des articles 14 et 15 du Pacte.

196

Par son troisième moyen, le requérant fait valoir qu’Europol lui a causé un préjudice en ne se conformant pas à son obligation de coordination des poursuites pénales pourtant prévue par l’accord ECE, alors même qu’elle a été impliquée dans le partage de ses données aux fins des poursuites dirigées contre lui.

197

Ce manquement aurait conduit le requérant à devoir se défendre aux Pays-Bas et en Serbie, tout en étant emprisonné aux Pays-Bas, ce qui aurait affecté sa défense en Serbie et aurait violé les articles 47 et 48 de la Charte, l’article 6 de la CEDH ainsi que les articles 14 et 15 du Pacte.

198

Europol fait valoir que ce chef de préjudice est dépourvu de fondement.

199

À cet égard, il suffit de relever que l’argumentation du requérant procède d’une lecture erronée du passage de l’accord ECE, dont il se prévaut.

200

Sous le titre intitulé « 9.1 Accords sur l’utilisation des données numériques provenant de l’écoute de serveurs – Échanges de renseignements avec des pays qui ne font pas partie de l’ECE », l’accord ECE prévoit que « lorsque […] des utilisateurs de différents pays de l’ECE ou de pays qui ne font pas partie de l’ECE sont susceptibles d’être impliqués dans des faits similaires ou liés, les parties de l’ECE concernées se concerteront sans délai, le cas échéant également avec les pays qui ne font pas partie de l’ECE et Europol ».

201

Ainsi, outre le fait que la concertation avec Europol sur l’utilisation des données numériques provenant de l’écoute de serveurs n’est que facultative, force est de constater que, compte tenu du titre sous lequel le passage mentionné par le requérant est placé, cette concertation concerne l’utilisation de ces données et non les poursuites pénales qui pourraient être engagées sur la base desdites données par les États membres parties à l’accord ECE, voire des pays non parties à celui-ci.

202

De plus, aucune obligation de coordination des poursuites au niveau national ne saurait être opposée à Europol, dans la mesure où le règlement 2016/794 – et en particulier son article 4, paragraphe 1 – ne l’habilite aucunement à décider d’engager des poursuites contre un individu identifié dans un pays donné ou encore à coordonner les poursuites engagées dans plusieurs de ces pays.

203

De ce fait, Europol ne saurait être tenue responsable de violations des articles 47 et 48 de la Charte, de l’article 6 de la CEDH ainsi que des articles 14 et 15 du Pacte, violations qui, au jour de l’introduction du présent recours, s’avéraient tout à fait hypothétiques, dans la mesure où les procédures pénales engagées à l’encontre du requérant étaient toujours pendantes.

204

En conséquence, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation par Europol de l’accord ECE ainsi que des articles 47 et 48 de la Charte, de l’article 6 de la CEDH et des articles 14 et 15 du Pacte.

205

Par son quatrième moyen, le requérant fait valoir que, à supposer que la collecte et le traitement de ses données à caractère personnel se soient avérés licites et loyaux, Europol lui a causé un préjudice en manquant à son obligation d’assurer un niveau de sécurité adapté de ses données, en violation de l’article 32 du règlement 2016/794.

206

Europol fait valoir que ce chef de préjudice est dépourvu de fondement.

207

Force est de constater que les allégations du requérant tirées du manquement d’Europol à son obligation d’adopter les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ne sont étayées par aucune preuve ou aucun commencement de preuve.

208

Le requérant n’établit pas que, du fait d’un tel manquement, ses données personnelles auraient fait l’objet, notamment, d’une divulgation, d’une modification ou d’un accès non autorisés ou de toute autre forme de traitement non autorisé.

209

À cet égard, il convient de relever que l’allégation du requérant tirée de la divulgation de son nom dans la presse du fait d’Europol n’est corroborée par aucune preuve.

210

La seule crainte non étayée du requérant qu’une violation de ses données à caractère personnel ait pu intervenir ne saurait suffire à établir qu’Europol a manqué à ses obligations découlant de l’article 32 du règlement 2016/794.

211

En conséquence, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation par Europol de l’article 32 du règlement 2016/794 et, en conséquence, les conclusions indemnitaires en ce qu’elles sont dirigées à l’encontre d’Europol.

212

Par son premier moyen, le requérant fait valoir qu’il a subi un préjudice du fait du traitement de ses données à caractère personnel, en violation des articles 71 et 72 du règlement 2018/1725, des articles « (9 et) 26, et 27 du règlement 2018/1727 », des articles 7, 8 et 10 à 12 de la Charte, conjointement avec ses articles 51 et 52, de l’article 8 de la CEDH ainsi que de l’article 17 du Pacte.

213

Au soutien de son argumentation, le requérant indique renvoyer mutatis mutandis aux critiques formulées à l’égard d’Europol et visées aux points 154 à 160 ci-dessus. Il ajoute qu’Eurojust a également violé le secret professionnel des avocats.

214

Eurojust fait valoir que ce chef de préjudice est dépourvu de fondement.

215

À titre liminaire, il convient d’écarter les arguments du requérant pouvant être compris comme critiquant, sur le fondement de la violation de ses données à caractère personnel, des actes ou des comportements d’Eurojust qui ont porté sur des données autres que ses données à caractère personnel.

216

En effet, pour que la responsabilité de l’Union puisse être engagée, le demandeur doit démontrer que le préjudice dont il demande la réparation l’atteint personnellement (ordonnance du 3 septembre 2021, Löning/Commission, C-176/21 P, non publiée, EU:C:2021:697, point 19).

217

Doivent donc être écartées les critiques du requérant relatives à la fourniture d’un soutien et de conseils en matière de coopération judiciaire à destination du Royaume de Belgique, de la République française, du Royaume des Pays-Bas et d’Europol à l’occasion de trois réunions organisées les 25 avril 2019, 7 septembre 2020 et 11 février 2021 (point 71 ci-dessus) et les critiques relatives à la coordination des enquêtes néerlandaise et serbe à l’occasion de la réunion organisée le 23 mai 2022 (point 73 ci-dessus), dont le requérant ni n’allègue ni a fortiori ne démontre qu’elles ont donné lieu au traitement de ses données à caractère personnel.

218

Il en va de même de l’allégation tirée de la violation par Eurojust du secret professionnel de l’avocat.

219

En effet, le requérant fait certes état d’une plainte d’un avocat du barreau de Rotterdam relative au traitement de ses données issues du service Sky ECC. Toutefois, il n’indique nullement que cet avocat aurait été ou serait son représentant et que les informations prétendument traitées par Eurojust auraient été relatives à sa défense et que, de ce fait, elle aurait porté atteinte à son droit d’être conseillé par un avocat dans le cadre d’une procédure juridictionnelle, droit consacré par l’article 47, deuxième alinéa, de la Charte (voir, en ce sens, arrêt du 8 décembre 2022, Orde van Vlaamse Balies e.a., C-694/20, EU:C:2022:963, point 53).

220

Pour ce qui est de la transmission du 24 juin 2022 et comme cela a été relevé aux points 124 à 130 ci-dessus, le requérant n’établit pas les raisons pour lesquelles elle aurait donné lieu à un traitement illicite de ses données à caractère personnel.

221

Au surplus et s’agissant de l’allégation tirée de la violation des articles 47 et 48 de la Charte ainsi que de l’article 6 de la CEDH et des articles 14 et 15 du Pacte, le requérant n’explique pas en quoi un éventuel traitement illicite de ses données à caractère personnel emporterait violation de ces dispositions.

222

Eu égard à ce qui précède, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré du traitement illicite de ses données à caractère personnel ainsi que de violations des articles 47 et 48 de la Charte, de l’article 6 de la CEDH et des articles 14 et 15 du Pacte.

223

Par son deuxième moyen, le requérant fait valoir qu’Eurojust lui a causé un préjudice du fait de la violation de son droit à un procès pénal équitable, garanti par les articles 47 et 48 de la Charte ainsi que par les articles 14 et 15 du Pacte, découlant de l’impossibilité de vérifier la véracité, l’authenticité, la fiabilité et la légalité des données ayant été traitées et transférées dans le cadre de la coopération relative au service Sky ECC ou, du moins, de l’absence de garanties formelles et matérielles.

224

Au soutien de son argumentation, le requérant se prévaut des mêmes arguments que ceux visés au point 191 ci-dessus.

225

Eurojust fait valoir que ce chef de préjudice est dépourvu de fondement.

226

Dans le contexte du deuxième moyen qui porte uniquement sur le régime des preuves utilisées dans le cadre des procédures pénales nationales engagées à l’encontre du requérant, il doit être constaté qu’Eurojust s’est limitée à procéder à la transmission du 24 juin 2022.

227

Or, les conclusions en annulation de la transmission du 24 juin 2022, fondées sur les mêmes arguments, ont déjà été rejetées aux points 128 à 130 ci-dessus.

228

Par ailleurs, le requérant ne fait état d’aucun élément ou argument tendant à démontrer que, postérieurement à cette transmission, une quelconque atteinte à son droit à un recours juridictionnel effectif est intervenue.

229

En tout état de cause, il convient de rappeler que l’article 52, paragraphe 1, de la Charte prévoit la possibilité que des limitations aux droits garantis par cette dernière – y compris le droit à un recours juridictionnel effectif – soient apportées, dans les conditions rappelées au point 184 ci-dessus.

230

Eu égard à ce qui précède, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation par Eurojust des articles 47 et 48 de la Charte, voire des articles 14 et 15 du Pacte.

231

Par son troisième moyen, le requérant fait valoir qu’Eurojust lui a causé un préjudice en ne se conformant pas à son obligation de coordination des poursuites pénales pourtant prévue par l’article 4, paragraphe 1, sous b), du règlement 2018/1727 ainsi que par l’accord ECE, alors même qu’elle a été impliquée dans le partage de ses données aux fins des poursuites dirigées contre lui.

232

Ce manquement aurait conduit le requérant à devoir se défendre aux Pays-Bas et en Serbie, tout en étant emprisonné aux Pays-Bas, ce qui aurait affecté sa défense en Serbie et aurait violé les articles 47 et 48 de la Charte, l’article 6 de la CEDH et les articles 14 et 15 du Pacte.

233

Eurojust fait valoir que ce chef de préjudice est dépourvu de fondement.

234

À cet égard, il importe de rappeler que, comme cela a déjà été indiqué aux points 199 à 201 ci-dessus, la concertation prévue par l’accord ECE concerne l’utilisation des données collectées par les États concernés et non les poursuites pénales qui pourraient être engagées sur la base desdites données par les États membres parties à l’accord ECE, voire des pays non parties à celui-ci.

235

En outre, il convient de relever que l’article 4, paragraphe 1, sous b), du règlement 2018/1727 dispose qu’Eurojust « aide les autorités compétentes des États membres à garantir la meilleure coordination possible des enquêtes et des poursuites ».

236

Il en découle, comme le soutient à juste titre Eurojust, que, dans le cadre de cette fonction opérationnelle de coordination des enquêtes et des poursuites, elle est astreinte uniquement à une obligation de moyen et que la décision de déclenchement de poursuites à l’égard d’une personne appartient aux seules autorités nationales concernées, ce que confirme l’article 85 TFUE, qui constitue la base juridique du règlement 2018/1727.

237

Ainsi, Eurojust ne saurait être tenue responsable de choix procéduraux qui relèvent de la seule compétence et de la seule responsabilité des États concernés.

238

Eu égard à ce qui précède, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation par Eurojust de l’accord ECE, de l’article 4, paragraphe 1, sous b), du règlement 2018/1727 ainsi que des articles 47 et 48 de la Charte, de l’article 6 de la CEDH et des articles 14 et 15 du Pacte.

239

Par son quatrième moyen, le requérant fait valoir que, à supposer que la collecte et le traitement de ses données à caractère personnel se soient avérés licites et loyaux, tout d’abord, Eurojust lui a causé un préjudice en manquant à son obligation d’assurer un niveau de sécurité adapté de ses données, en violation de l’article 91 du règlement 2018/1725.

240

En outre, eu égard au caractère nouveau des modalités d’obtention des données du service Sky ECC – à savoir le recours à la technique de « l’attaque de l’homme du milieu » –, Eurojust aurait manqué à son obligation d’effectuer une analyse d’impact préalable relative à la protection des données du requérant, prévue à l’article 89 du règlement 2018/1725.

241

Enfin, Eurojust aurait manqué à son obligation de notifier au CEPD la violation de données à caractère personnel du requérant, en méconnaissance de l’article 92 du règlement 2018/1725.

242

Eurojust fait valoir que ce chef de préjudice est dépourvu de fondement.

243

Tout d’abord, les allégations du requérant, tirées du manquement d’Eurojust à son obligation d’adopter les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, doivent être rejetées pour des motifs similaires à ceux visés aux points 207 à 210 ci-dessus.

244

Ensuite, le requérant n’explique pas les raisons pour lesquelles Eurojust aurait manqué à son obligation de procéder à une analyse d’impact préalable à la transmission aux autorités serbes du lien fourni par les autorités françaises vers un site sécurisé par mot de passe contenant ses conversations du service Sky ECC (point 75 ci-dessus).

245

Une telle transmission, dont rien n’indique qu’elle présentait un risque particulier pour les droits et les libertés du requérant ou à tout le moins un risque supérieur à d’autres modes de transmission, ne justifiait pas la réalisation de l’analyse d’impact préalable prévue par l’article 89 du règlement 2018/1725.

246

Enfin, à défaut d’avoir démontré, à un titre ou à un autre, qu’Eurojust avait violé ses données à caractère personnel, le requérant ne saurait lui reprocher d’avoir manqué à son obligation, prévue à l’article 92 du règlement 2018/1725, de notifier au CEPD une telle violation.

247

Eu égard à ce qui précède, il y a lieu de rejeter le chef de préjudice invoqué par le requérant et tiré de la violation des articles 89, 91 et 92 du règlement 2018/1725 et, en conséquence, les conclusions indemnitaires en ce qu’elles sont dirigées à l’encontre d’Eurojust.

248

Compte tenu de tout ce qui précède, le recours doit être rejeté dans son ensemble, sans qu’il soit besoin de se prononcer sur les autres fins de non-recevoir opposées par Europol et Eurojust.

249

Aux termes de l’article 134, paragraphe 1, du règlement de procédure du Tribunal, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le requérant ayant succombé, il y a lieu de le condamner aux dépens, conformément aux conclusions d’Europol et d’Eurojust. Par ailleurs, en application de l’article 138, paragraphe 1, du règlement de procédure, le Royaume de Belgique, le Royaume d’Espagne et le Royaume des Pays-Bas supporteront leurs propres dépens.

Par ces motifs,

LE TRIBUNAL (cinquième chambre)

déclare et arrête :

Svenningsen

Martín y Pérez de Nanclares

Stancu

Ainsi prononcé en audience publique à Luxembourg, le 25 février 2026.

Signatures