Affaire T-1180/23

BW

contre

Agence de l’Union européenne pour la coopération des services répressifs
et
Agence de l’Union européenne pour la coopération judiciaire en matière pénale

Arrêt du Tribunal (cinquième chambre) du 25 février 2026

« Coopération des autorités de police et des autres services répressifs des États membres – Service de communications cryptées Sky ECC – Prétendus traitements illicites de données à caractère personnel – Recours en annulation – Acte non susceptible de recours – Acte préparatoire – Recevabilité – Traitement de données à caractère personnel par des États membres et transfert de celles-ci à Europol – Transfert de données à caractère personnel par Europol à un État membre – Transfert de données à caractère personnel d’Eurojust à un pays tiers – Responsabilité non contractuelle – Article 50 du règlement (UE) 2016/794 – Responsabilité solidaire d’Europol et des États membres du fait de traitements illicites de données – Violation suffisamment caractérisée d’une règle de droit conférant des droits aux particuliers – Réalité du préjudice – Règlement (UE) 2018/1727 – Insuffisance de coordination par Eurojust des poursuites pénales entre un État membre et un pays tiers – Articles 71, 72, 89, 91 et 92 du règlement (UE) 2018/1725 »

1. Recours en annulation – Compétence du juge de l’Union – Demande en annulation d’actes de traitement de données à caractère personnel effectués par les autorités nationales dans le cadre de procédures pénales ainsi que d’actes de transmission de documents et d’informations par ces autorités à Europol ou Eurojust – Exclusion

   (Art. 263 TFUE)

   (voir points 23-25)

2. Recours en annulation – Compétence du juge de l’Union – Demande en annulation d’un accord portant création d’une équipe commune d’enquête (ECE) – Exclusion

   (Art. 34 TUE ; art. 263 TFUE)

   (voir points 26-31)

3. Recours en indemnité – Objet – Réparation du préjudice résultant d’un traitement de données à caractère personnel illicite – Recours dirigé contre Eurojust du fait des États membres ou d’Europol – Incompétence du juge de l’Union

   (Art. 268 et 340 TFUE ; règlement du Parlement européen et du Conseil 2018/1727)

   (voir points 33-35, 41)

4. Recours en indemnité – Objet – Réparation du préjudice résultant d’un traitement de données à caractère personnel illicite – Recours dirigé contre Europol du fait des États membres – Compétence du juge de l’Union – Limite – Incompétence en cas de préjudice résultant d’opérations menées par la police ou d’autres services répressifs des États membres

   (Art. 268, 276 et 340 TFUE ; règlement du Parlement européen et du Conseil 2016/794, considérant 57 et art. 49, § 3 et 4, et 50)

   (voir points 37, 38, 42-46)

5. Responsabilité non contractuelle – Responsabilité solidaire de l’Union et des États membres – Règlement 2016/794 – Responsabilité du fait d’un traitement de données à caractère personnel illicite – Responsabilité solidaire d’Europol et de l’État membre concerné – Critères – Preuve de l’imputabilité du traitement illicite à Europol ou à l’État membre concerné

   (Art. 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/794, art. 50, § 1)

   (voir points 93, 136)

6. Recours en annulation – Actes susceptibles de recours – Notion – Actes produisant des effets juridiques obligatoires – Actes préparatoires – Exclusion – Participation d’Europol ou d’Eurojust à des réunions ou groupes de travail – Exclusion

   (Art. 263 TFUE)

   (voir points 108-110)

7. Recours en annulation – Actes susceptibles de recours – Notion – Actes produisant des effets juridiques obligatoires – Transmission par une agence de l’Union de données à caractère personnel issues du service de communications cryptées Sky ECC – Transmission à un État membre – Exclusion – Transmission à un pays tiers – Inclusion – Condition

   (Art. 263 TFUE)

   (voir points 111-123)

8. Responsabilité non contractuelle – Conditions – Règlement 2016/794 – Responsabilité du fait d’un traitement de données à caractère personnel illicite – Nature de ladite responsabilité – Responsabilité solidaire d’Europol et de l’État membre concerné – Portée – Appréciation de la légalité des actes ou des comportements des États membres autres que la collecte de données lors d’opérations menées par la police ou d’autres services répressifs des États membres – Appréciation sur le fondement du droit de l’Union ou du droit national concerné

   (Art. 268, 276 et 340, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/794, art. 50, § 1)

   (voir points 141, 142, 162-164)

Résumé

Rejetant un recours en annulation et en indemnité formé par BW contre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) dans le contexte d’une coopération policière et judiciaire entre plusieurs États membres, le Tribunal apporte, pour la première fois depuis l’arrêt Kočner/Europol ( 1 ), des précisions sur la portée du régime de responsabilité solidaire, notamment au regard des limites résultant de l’article 276 TFUE. Il juge, en outre, que les transmissions de données à caractère personnel effectuées par Eurojust vers un État membre ne constituent pas des actes attaquables au sens de l’article 263 TFUE, tout en reconnaissant, en revanche, le caractère attaquable d’une transmission de telles données vers un pays tiers, en l’absence de toute autre voie de contrôle juridictionnel effectif.

BW, le requérant, est un ressortissant serbe, poursuivi et incarcéré aux Pays Bas depuis mai 2023 pour importation de cocaïne, et également poursuivi en Serbie depuis l’automne 2023 pour des faits de trafic de stupéfiants notamment.

Les poursuites pénales menées par les autorités néerlandaises et serbes trouvent leur origine dans des mesures d’enquête engagées à la fin des années 2010 par les autorités belges, néerlandaises et françaises contre l’« organisation Sky ECC », « ECC » signifiant « Elliptic Curve Cryptography » (cryptographie par courbe elliptique), soupçonnée de commercialiser des produits et des services de communications cryptées visant spécifiquement à faciliter la commission de faits criminels.

À la suite de ces mesures d’enquête, la Belgique et les Pays Bas ont émis, fin 2018, des décisions d’enquête commune demandant à la France de créer une image des serveurs utilisés par le service Sky ECC et situés dans cet État. La France a donné suite à cette demande en procédant à l’interception, à l’enregistrement et à la transcription des communications cryptées entrant et sortant de ces serveurs, y compris des données concernant BW.

En 2019, par un accord d’équipe commune d’enquête (ci-après l’« accord ECE ») ( 2 ) conclu entre elles, les autorités belges, françaises et néerlandaises ont créé une équipe commune d’enquête (ci-après l’ « ECE »). Cette dernière a conduit au partage entre Europol et les trois États membres concernés des données brutes interceptées, qui devaient ensuite être analysées, ainsi que des résultats de cette analyse.

Dans le cadre de cette coopération, Europol a stocké les données dans son système informatique, procédé à des recoupements, produit des rapports de renseignements, généré des graphiques de visualisation des données et interprété des ensembles de données multilingues. Pour sa part, Eurojust a fourni un soutien et des conseils quant aux possibilités de coopération judiciaire, a organisé plusieurs réunions de coordination entre les autorités nationales concernées ainsi qu’Europol et facilité la coopération judiciaire entre, d’une part, la Serbie et, d’autre part, les Pays-Bas et la France.

Dans ce contexte, BW a demandé au Tribunal l’annulation de l’accord ECE, des actes d’Europol et d’Eurojust adoptés sur le fondement de ce dernier ainsi que des actes de traitement, d’analyse et de partage par elles et les États membres concernés des données du serveur Sky ECC le concernant. Il a sollicité en outre qu’Europol et Eurojust soient condamnées à lui verser une indemnisation pour les préjudices moral et matériel qu’il estime avoir subis.

Appréciation du Tribunal

S’agissant, premièrement, de la question de sa compétence, le Tribunal se déclare, en premier lieu, incompétent pour connaître, sur le fondement de l’article 263 TFUE, de l’autorisation par le juge français des opérations d’interception effectuées par les autorités françaises, du déroulement de ces opérations, de la transmission à Europol par les autorités françaises des documents et des informations obtenus à l’occasion de ces dernières, de la transmission à Eurojust et aux autorités serbes par les autorités françaises des documents et des informations demandés par les autorités serbes dans le cadre de leurs demandes d’entraide judiciaire, de la régularité de la procédure pénale menée devant les juridictions serbes ainsi que de l’accord ECE.

En ce qui concerne, plus particulièrement, cet accord, le Tribunal relève que le juge de l’Union est incompétent pour connaître, directement sur le fondement de l’article 263 TFUE, de sa légalité, dès lors que celui-ci n’est pas un acte de l’Union. En effet, l’accord ECE a été signé et donc conclu uniquement par trois États membres. Ce constat n’est remis en cause ni par le fondement de cet accord dans une convention conclue par ces États membres en vertu de l’article 34 TUE ainsi que dans une décision cadre du Conseil de l’Union européenne, ni par la création de l’ECE concernée à l’initiative d’Europol ou Eurojust ou encore par la décision de la Belgique, de la France et des Pays-Bas, prise en vertu de l’accord ECE, d’associer Europol et Eurojust en tant que « participants » à l’ECE. Dans ce cadre, le Tribunal précise que la faculté conférée à Europol ou à Eurojust de proposer ou d’aider à la création d’une ECE, tout comme aux agents de celles-ci de prendre part à une ECE ( 3 ), ne confère pas à ces agences le statut de « partie » à l’accord par lequel les trois États membres ont créé l’ECE concernée.

En second lieu, le Tribunal se déclare incompétent pour connaître de la demande du requérant visant à faire constater la responsabilité d’Eurojust du fait de la Belgique, de la France et des Pays-Bas ou encore de la Serbie, voire du fait d’Europol. Il déduit cette solution notamment du fait que la responsabilité de l’Union sur le fondement des articles 268 et 340 TFUE ne saurait être recherchée auprès d’une institution, d’un organe ou d’un organisme de l’Union distinct de celle ou celui auquel le fait générateur de responsabilité est reproché, sauf à ce que le législateur de l’Union ait expressément prévu un régime dérogatoire de responsabilité solidaire soit entre une de ces institutions ou un de ces organes ou organismes de l’Union et un ou plusieurs États membres, voire un ou plusieurs pays tiers, soit entre plusieurs institutions, organes ou organismes de l’Union. Il constate qu’en l’occurrence aucun acte ne prévoit un régime dérogatoire de responsabilité solidaire entre Eurojust et les États membres ou entre Eurojust et la Serbie.

Toutefois, le Tribunal se reconnaît compétent pour connaître de la demande visant à faire constater la responsabilité d’Eurojust du fait de ses propres comportements ainsi que la responsabilité d’Europol du fait de comportements imputables tant à elle-même qu’aux États membres ayant pris part à la coopération relative au service Sky ECC.

Or, en dépit de sa compétence pour connaître de la demande de faire constater la responsabilité solidaire d’Europol du fait de comportements imputables aux autorités notamment françaises, le Tribunal précise qu’il est incompétent pour connaître des allégations du requérant tirées de dommages qui lui auraient été causés du fait des opérations d’interception de ses données à caractère personnel intervenues dans le cadre des opérations de police menées par ces autorités. À cet égard, nonobstant le régime de responsabilité solidaire prévu par le règlement Europol, cette agence ne saurait être tenue solidairement responsable de l’éventuel préjudice découlant de traitements illégaux de données à caractère personnel d’une personne physique survenus à l’occasion d’opérations menées par la police ou d’autres services répressifs d’un État membre, même si ces traitements sont intervenus dans le cadre d’une coopération fondée sur ce règlement. En effet, il ressort de l’article 276 TFUE que, dans l’exercice de ses attributions relatives à la coopération judiciaire en matière pénale et à la coopération policière, le juge de l’Union n’est pas compétent pour vérifier la validité ou la proportionnalité d’opérations menées par la police ou d’autres services répressifs dans un État membre.

S’agissant, deuxièmement, des conclusions en annulation, le Tribunal, en se prononçant sur leur recevabilité, constate le caractère non attaquable des actes ou comportements critiqués par le requérant, sauf en ce qui concerne la transmission par Eurojust aux autorités serbes, le 24 juin 2022, d’un courriel des autorités françaises doté d’un lien vers un site de téléchargement sécurisé contenant notamment certaines de ses conversations issues du service Sky ECC.

En ce qui concerne cette transmission, le Tribunal souligne que s’il ressort de la jurisprudence concernant la transmission de rapports finaux et d’informations aux États membres par l’Office européen de lutte antifraude (OLAF), applicable par analogie au cas d’espèce, qu’une telle transmission ne constitue pas un acte attaquable, la Cour comme le Tribunal lui-même ont toutefois eu l’occasion de prendre en considération, afin d’écarter le caractère attaquable des transmissions de l’OLAF, le fait que la partie requérante avait à sa disposition d’autres voies pour assurer le contrôle de la légalité de ces décisions de transmission, y compris celle de la procédure préjudicielle. Or, le Tribunal note que la transmission du 24 juin 2022 est intervenue entre une agence de l’Union et les autorités d’un pays tiers, en l’occurrence la Serbie. Ainsi, à défaut de pouvoir être contestée dans le cadre du présent recours, la légalité de cette transmission au regard du droit de l’Union ne pourra plus faire l’objet de contestation et les données à caractère personnel qu’elle contient pourront être considérées comme légalement transmises aux autorités serbes, sans que, par la suite, le requérant puisse obtenir des juridictions de ce pays tiers soit une appréciation de la validité de ladite transmission au regard du droit de l’Union soit une saisine de la Cour d’une question préjudicielle en appréciation de sa validité. En ce sens, ladite transmission constitue le terme ultime d’une procédure spéciale par laquelle Eurojust transmet aux autorités d’un pays tiers et à leur demande des données à caractère personnel d’une personne identifiée.

Le Tribunal ajoute que la reconnaissance du caractère attaquable de la transmission du 24 juin 2022 est seule à même de garantir le contrôle effectif par une autorité judiciaire ou un autre organe indépendant du transfert de données à caractère personnel interceptées et de leur utilisation à d’autres fins que celles de l’instance pénale pour laquelle elles ont initialement été collectées. Le fait que le requérant pourrait saisir les juridictions françaises d’un recours ou qu’il puisse saisir la Cour européenne des droits de l’homme à la suite d’une éventuelle condamnation par les juridictions pénales serbes est indifférent. D’une part, les juridictions françaises ne sauraient être saisies d’un recours en annulation dirigé contre un acte d’une agence de l’Union. D’autre part, en l’absence d’adhésion de l’Union à la convention de sauvegarde des droits de l’homme et des libertés fondamentales, ladite Cour ne saurait constater un manquement de l’Union à cette convention, tout particulièrement dans le cadre d’un recours introduit contre un pays tiers.

Toutefois, le Tribunal rejette comme non fondées les conclusions en annulation de la transmission du 24 juin 2022, le requérant n’ayant pas établi en quoi cette transmission aurait donné lieu à un traitement illicite de ses données à caractère personnel.

S’agissant, troisièmement, des demandes indemnitaires du requérant, le Tribunal considère que le premier chef de préjudice vise des allégations de traitements incorrects de données tant par Europol que par trois États membres concernés, lesquels relèvent du régime dérogatoire de responsabilité solidaire prévu par le règlement Europol ( 4 ), et prend ainsi en considération non seulement les actes ou les comportements d’Europol, au titre du régime de responsabilité générale qui lui incombe en vertu de ce règlement ( 5 ), mais également ceux des trois États membres concernés, au titre dudit régime dérogatoire de responsabilité solidaire.

Le Tribunal ajoute que c’est à tort qu’Europol soutient qu’elle ne peut pas être tenue responsable des actes ou des comportements des États membres et que le Tribunal ne peut en apprécier la légalité. Si, certes, en vertu de l’article 276 TFUE, le juge de l’Union n’est pas compétent pour vérifier la validité ou la proportionnalité d’opérations menées par la police ou d’autres services répressifs dans un État membre, y compris dans le cadre de recours fondés sur les articles 268 et 340 TFUE, il n’en demeure pas moins que, en dehors de ces opérations spécifiques, le régime dérogatoire de responsabilité solidaire prévu par le règlement Europol implique implicitement mais nécessairement qu’Europol peut être tenue responsable d’actes ou de comportements des États membres. Il en découle tout aussi nécessairement que, dans le cadre de recours indemnitaires fondés sur ce régime dérogatoire, le Tribunal est habilité à apprécier la légalité des actes ou des comportements des États membres autres que ceux par lesquels leurs services de police ou d’autres services répressifs ont procédé à la collecte des données concernées, que ce soit sur le fondement du droit de l’Union ou sur le fondement du droit national de l’État concerné.

Concernant le deuxième chef de préjudice, visant, en substance, la seule violation du droit à un procès équitable en raison de l’impossibilité de vérifier le caractère « utilisable » des données issues du service Sky ECC dans les procédures pénales nationales ayant fait suite aux enquêtes auxquelles Europol a participé, le Tribunal constate que le requérant ne conteste pas la licéité du traitement de ses données à caractère personnel, au sens de l’article 28 du règlement Europol – seul argument susceptible de faire entrer une contestation dans le champ du régime dérogatoire de responsabilité solidaire prévu par ce règlement. Ainsi, aux fins de l’examen de ce chef de préjudice, il prend en considération seulement les actes ou les comportements d’Europol au titre du régime de responsabilité générale découlant dudit règlement.

Quant au troisième chef de préjudice, relatif à la prétendue existence de doubles poursuites du requérant pour les mêmes faits, engagées à son égard par les autorités pénales néerlandaises et serbes, le Tribunal précise que, par ce chef de préjudice, le requérant reproche à Europol uniquement un manquement de sa part à ses obligations découlant de l’accord ECE. Ainsi, il prend en considération seulement les actes ou les comportements d’Europol, au titre du régime de responsabilité générale découlant du règlement Europol.

Or, le Tribunal rejette les trois chefs de préjudice comme étant non fondés.

( 1 ) Arrêt du 5 mars 2024, Kočner/Europol (C-755/21 P, EU:C:2024:202).

( 2 ) Cet accord a été conclu sur le fondement de l’article 13 de la convention établie par le Conseil conformément à l’article 34 TUE, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (JO 2000, C 197, p. 3) et de la décision cadre du Conseil, du 13 juin 2002, relative aux équipes communes d’enquête (JO 2002, L 162, p. 1).

( 3 ) Respectivement conférée par l’article 5 du règlement (UE) 2016/794 du Parlement européen et du Conseil, du 11 mai 2016, relatif à Europol et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53, ci-après le « règlement Europol »), et l’article 8, paragraphe 1, sous d), du règlement (UE) 2018/1727 du Parlement européen et du Conseil, du 14 novembre 2018, relatif à Eurojust et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO 2018, L 295, p. 138).

( 4 ) Article 50, paragraphe 1, du règlement Europol.

( 5 ) Responsabilité générale d’Europol visée à l’article 49 du règlement Europol.