DOCUMENT DE TRAVAIL

ORDONNANCE DU TRIBUNAL (quatrième chambre)

2 février 2026 (*)

« Responsabilité non contractuelle – Coopération des autorités de police et des autres services répressifs des États membres – Prétendus traitements illicites de données à caractère personnel – Méconnaissance des exigences de forme – Article 76, sous d), du règlement de procédure – Dispositions pratiques d’exécution du règlement de procédure – Précision des renvois aux annexes – Recours en partie porté devant une juridiction manifestement incompétente pour en connaître, en partie manifestement irrecevable et en partie manifestement dépourvu de tout fondement en droit »

Dans l’affaire T-587/24,

GE, représenté par M^e J. Reisinger, avocat,

partie requérante,

contre

Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust), représentée par M^es S. van den Brande, S. Raes, S. Ignat et P. Van Muylder, avocats,

et

Agence de l’Union européenne pour la coopération des services répressifs (Europol), représentée par M. A. Nunzi, en qualité d’agent, assisté de M^es G. Ziegenhorn, M. Kottmann et T. Shulman, avocats,

parties défenderesses,

soutenues par

Royaume des Pays-Bas, représenté par M^me M. Bulterman et M. J. Langer, en qualité d’agents,

partie intervenante,

LE TRIBUNAL (quatrième chambre),

composé de MM. G. De Baere, président, J. Svenningsen (rapporteur) et C. Mac Eochaidh, juges,

greffier : M. V. Di Bucci,

rend la présente

Ordonnance

1 Par son recours fondé sur l’article 268 TFUE, le requérant, GE, demande réparation du préjudice moral qu’il aurait subi du fait d’actes commis par l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust), par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et par certains États membres.

Antécédents du litige

2 Selon ses affirmations, le requérant fait l’objet, en Italie, de plusieurs affaires relatives à des infractions pénales, notamment en matière de trafic de stupéfiants.

3 Dans le cadre d’une de ces affaires, la procédure pénale menée à son encontre ainsi que sa mise en détention provisoire sont fondées sur des données contenues dans des téléphones portables fonctionnant sous la licence Sky ECC, « ECC » signifiant « Elliptic Curve Cryptography » (cryptographie par courbe elliptique). L’analyse de ces données a permis à la police de déjouer le plan du requérant visant à assassiner deux juges.

4 Ces téléphones permettaient, grâce à un logiciel spécial et à un matériel modifié, d’établir, par l’intermédiaire de serveurs installés à Roubaix (France), une communication chiffrée de bout en bout qui n’était pas susceptible d’être interceptée par des méthodes d’enquête traditionnelles.

5 À la fin des années 2010, des mesures d’enquête engagées par les autorités belges, néerlandaises et françaises ont visé l’« organisation Sky ECC », soupçonnée de commercialiser des produits et des services de communications cryptées visant spécifiquement à faciliter la commission de faits criminels.

6 À la suite de ces mesures d’enquête nationale, le Royaume de Belgique et le Royaume des Pays-Bas ont adopté, à la fin de l’année 2018, des décisions d’enquête européenne conformément à la directive 2014/41/UE du Parlement européen et du Conseil, du 3 avril 2014, concernant la décision d’enquête européenne en matière pénale (JO 2014, L 130, p. 1), demandant à la République française de « créer une image » des serveurs utilisés par Sky ECC et situés à Roubaix. Cet État membre a donné suite à cette demande en procédant à l’interception, à l’enregistrement et à la transcription des communications cryptées entrant et sortant de ces serveurs.

7 Le 13 décembre 2019, les autorités belges, néerlandaises et françaises ont conclu l’accord portant création d’une équipe commune d’enquête (ci-après « ECE ») relative au service de communication cryptée Sky ECC, sur le fondement de l’article 13 de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (JO 2000, C 197, p. 3) et de la décision-cadre du Conseil, du 13 juin 2002, relative aux équipes communes d’enquête (JO 2002, L 162, p. 1).

8 L’accord mentionné au point 7 ci-dessus prévoit notamment ce qui suit :

« 2. Missions de l’ECE

[…]

Objectif de l’ECE

La création de l’ECE vise à faciliter les enquêtes en cours en Belgique, en France et aux Pays-Bas sur le(s) fournisseur(s) et les utilisateurs du service de communication Sky ECC et à partager le savoir-faire technique et les ressources.

[…]

L’objectif de l’ECE est l’élaboration, le développement et la mise en œuvre en commun de la technique nécessaire pour décrypter les communications passées et pour démanteler le serveur ; l’identification et la localisation des utilisateurs se mouvant dans et entre les trois pays ; la mise sur pied et la coordination d’une journée ou de journées d’action commune entreprise(s) dans le but d’arrêter et de poursuivre en justice les facilitateurs et les utilisateurs de Sky ECC.

[…]

7. Participants à l’ECE

Les parties à l’ECE conviennent d’associer Eurojust et Europol en tant que participantes à l’ECE. […]

9.1 Accords sur l’utilisation des données numériques provenant de l’écoute des serveurs

Échange mutuel d’informations

Les parties à l’ECE conviennent de partager, entre elles et avec Europol, dans les meilleurs délais, toutes les données brutes, aux fins d’analyse et d’exploitation ainsi que le résultat de ces analyses et exploitations.

Outre des éléments de preuves contre l’organisation criminelle qui développe et commercialise Sky ECC, les données brutes ou analysées peuvent également contenir des informations qui peuvent être pertinentes pour des enquêtes pénales contre d’autres auteurs ou groupes d’auteurs ou des infractions dans le cadre desquelles des moyens de communication Sky ECC ont été utilisés.

Europol fournira une assistance pour l’analyse des données numériques et sera notamment chargée de diviser les données brutes et les résultats des analyses en “paquets nationaux” sur la base de la localisation des moyens de communication utilisés.

[…] »

9 L’ECE a conduit au partage entre Europol et les trois États membres concernés des données brutes interceptées, ainsi que des résultats de l’analyse de ces données.

10 Dans ce cadre, Europol a stocké les données dans son système informatique, procédé à des recoupements, produit des rapports de renseignements, généré des graphiques de visualisation des données et interprété des ensembles de données multilingues.

11 Pour sa part, Eurojust a organisé, le 25 avril 2019, le 7 septembre 2020 et le 11 février 2021, des réunions de coordination des enquêtes relatives aux activités de Sky ECC avec la participation des autorités belges, françaises et néerlandaises ainsi que celle d’Europol, à l’occasion desquelles, d’une part, elle a fourni un soutien et des conseils quant aux possibilités de coopération judiciaire et, d’autre part, l’évolution des enquêtes de chacune de ces autorités a été évoquée.

Conclusions des parties

12 Le requérant conclut à ce qu’il plaise au Tribunal :

– condamner Eurojust et Europol à lui verser un montant de 50 000 euros en réparation du préjudice moral subi résultant de « l’incapacité pour [lui] de réfuter les allégations formulées à son égard ainsi que de la détention (provisoire) (injuste) (en résultant), de la divulgation au public, de la situation compromise en matière de défense, de la charge mentale supplémentaire et des données qui ont été placées ou auraient pu être placées entre de mauvaises mains » ;

– condamner Eurojust et Europol aux dépens.

13 Eurojust et Europol concluent à ce qu’il plaise au Tribunal :

– rejeter le recours comme étant manifestement irrecevable et, en tout état de cause, comme étant manifestement dépourvu de tout fondement en droit ou non fondé ;

– condamner le requérant aux dépens.

14 Le Royaume des Pays-Bas conclut à ce qu’il plaise au Tribunal de rejeter le recours et de condamner le requérant aux dépens.

En droit

15 Aux termes de l’article 126 du règlement de procédure du Tribunal, lorsque le Tribunal est manifestement incompétent pour connaître d’un recours ou lorsque celui-ci est manifestement irrecevable ou manifestement dépourvu de tout fondement en droit, il peut, sur proposition du juge rapporteur, à tout moment décider de statuer par voie d’ordonnance motivée, sans poursuivre la procédure.

16 En l’espèce, le Tribunal, s’estimant suffisamment éclairé par les pièces du dossier, décide de statuer sans poursuivre la procédure, et ce en dépit de la demande du requérant visant à la tenue d’une audience (voir, en ce sens, ordonnance du 16 juillet 2024, Aeris Invest/CRU, T-62/18, non publiée, EU:T:2024:505, point 17).

17 Par le présent recours, le requérant se prévaut d’un préjudice moral, qui découlerait de la violation des articles 7, 8, 47 et 48 de la charte des droits fondamentaux de l’Union européenne, de l’article 13 de la convention établie par le Conseil conformément à l’article 34 TUE, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne, de l’article 7 de la directive 2012/13/UE du Parlement européen et du Conseil, du 22 mai 2012, relative au droit à l’information dans le cadre des procédures pénales (JO 2012, L 142, p. 1), de l’article 31 de la directive 2014/41, des articles 18, 28 et 38 du règlement (UE) 2016/794 du Parlement européen et du Conseil, du 11 mai 2016, relatif à Europol et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53), des articles 71, 72, 89 et 92 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO 2018, L 295, p. 39), des articles 26 et 27 du règlement (UE) 2018/1727 du Parlement européen et du Conseil, du 14 novembre 2018, relatif à Eurojust et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO 2018, L 295, p. 138), des articles 263, 268 et 277 TFUE, des articles 6 et 8 de la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, des articles 14 et 17 du pacte international relatif aux droits civils et politiques, adopté par l’Assemblée générale des Nations unies le 16 décembre 1966 et entré en vigueur le 23 mars 1976 et de l’article 32 de la convention sur la cybercriminalité du Conseil de l’Europe du 23 novembre 2001 (série des traités européens – n^o 185).

18 Au soutien de ces allégations, le requérant se prévaut de quatre moyens.

19 Le premier moyen est tiré de la violation, rendue possible grâce au soutien apporté par Europol et/ou Eurojust, du droit du requérant à un procès équitable ainsi que des principes d’égalité des armes, d’équité et de légalité devant les juridictions italiennes. Le deuxième moyen est tiré de l’illégalité et du caractère disproportionné de l’obtention et du traitement de données à caractère personnel par Eurojust, Europol et les États membres concernés. Le troisième moyen est tiré de « l’absence de possibilité de contrôler la recevabilité des éléments de preuve dans les affaires pénales ou, à tout le moins, de l’absence de garanties (formelles et matérielles) [en violation de l’]article 47 de la charte des droits fondamentaux ». Le quatrième moyen est tiré de « l’absence de sécurité adéquate (démontrée) lors (de l’obtention et) du traitement des données [issues du service “Sky ECC”] ».

Remarques liminaires

Sur les annexes de la requête

20 Le 14 novembre 2024, le requérant a introduit le présent recours en déposant une requête accompagnée de 29 annexes, comptant un total de 484 pages.

21 Le 19 novembre 2024, le Tribunal a demandé au requérant de régulariser le bordereau d’annexes de la requête, lequel ne respectait pas le point 115, sous d), des dispositions pratiques d’exécution du règlement de procédure du Tribunal (JO L, 2024/2097) aux termes duquel le bordereau d’annexes doit comporter pour chaque annexe l’indication du numéro de paragraphe où l’annexe est mentionnée pour la première fois dans la requête et qui justifie sa production.

22 En dépit du non-respect du délai de régularisation fixé par le Tribunal, celui-ci a néanmoins versé au dossier la requête régularisée.

23 Le 22 janvier 2025, le Tribunal a invité le requérant à procéder à la régularisation des annexes de la requête, en produisant, conformément à l’article 46 du règlement de procédure, une version en langue de procédure (langue anglaise) des annexes produites dans une autre langue que la langue de procédure, tout en veillant à ce que les références auxdites annexes effectuées dans la requête conservent leur exactitude.

24 En dépit du non-respect du délai de régularisation fixé par le Tribunal, celui-ci a néanmoins versé au dossier les annexes transmises.

25 Le 25 mars 2025, le Tribunal a demandé au requérant de fournir une nouvelle version de la requête, en mettant à jour les références aux annexes, telles que traduites, dans les notes en bas de page, en respectant la pagination continue des annexes, ainsi que cela avait été demandé dans le cadre de la précédente demande de régularisation.

26 Par courrier du 16 avril 2025, le requérant a, sans fournir la régularisation demandée, indiqué au Tribunal ce qui suit :

« This is now the third time we have received such a letter, despite having reviewed and verified these references carefully and thoroughly. We respectfully submit that the concerns raised are not substantiated upon close examination of the documents.

In each instance, the footnotes refer to the page on which the actual content of the annex begins — not the cover page bearing only the annex number. […]

We respectfully urge the Registry to refrain from further returning the documents on these grounds unless a concrete, specific example of an actual incorrect reference can be indicated. At present, the observations appear to derive from a template rather than a tailored assessment of the submission.

The applicant, at this stage, is becoming increasingly discouraged by these repeated procedural hurdles, to the point of seriously questioning whether pursuing this matter is even worthwhile- which, we presume, is not the intended effect of the Court’s procedures (or perhaps it is ?). This would be regrettable, especially considering that the Court stands as a guardian of legal certainty and procedural fairness — also in formal matters. »

27 Le 16 avril 2025, le Tribunal a renouvelé sa demande de régularisation.

28 En dépit du non-respect du délai de régularisation fixé par le Tribunal, celui-ci a néanmoins versé au dossier la requête actualisée.

29 Pour qu’un recours devant le Tribunal soit recevable, il est nécessaire que la requête satisfasse aux exigences fixées par l’article 76, sous d), du règlement de procédure et, notamment, que les éléments essentiels de fait et de droit sur lesquels celui-ci se fonde ressortent, à tout le moins sommairement, mais d’une façon cohérente et compréhensible, du texte de la requête elle-même. S’il est vrai que le corps de celle-ci peut être étayé et complété sur des points spécifiques par des renvois à des passages déterminés de pièces qui y sont annexées, un renvoi global à d’autres écrits, même annexés à la requête, ne saurait pallier l’absence des éléments essentiels de l’argumentation en droit, qui, en vertu de ces dispositions, doivent figurer dans la requête (voir arrêt du 13 février 2025, Commission e.a./Carpatair, C-244/23 P à C-246/23 P, EU:C:2025:87, point 76 et jurisprudence citée ; arrêt du 23 juillet 2025, UBS Group e.a./Commission, T-84/22, EU:T:2025:752, point 66).

30 Ainsi, il n’appartient pas au Tribunal de compléter l’argumentation développée par la partie requérante dans sa requête, en recherchant et en identifiant, dans les annexes de celle-ci, des éléments de preuve susceptibles d’étayer cette argumentation (voir, en ce sens, arrêt du 13 février 2025, Commission e.a./Carpatair, C-244/23 P à C-246/23 P, EU:C:2025:87, point 77).

31 Or, en l’occurrence, force est de constater que l’essentiel des références aux annexes dans la requête l’est non pas à une page spécifique de l’une ou l’autre de ces annexes mais à la première page de celles-ci, même lorsqu’elles comptent plusieurs pages.

32 Tel est en particulier le cas des références effectuées aux notes en bas de page n^os 3, 4, 8, 17 à 22, 24, 27, 32, 34 et 57, qui ne recourent de surcroît à aucun mode alternatif d’identification des passages pertinents des annexes visées.

33 De plus, certaines références sont effectuées en renvoyant à des pages ne correspondant manifestement pas à l’annexe en question (notes en bas de page n^os 7, 11, 12, 26, 29 et 64) ou encore recourent à des syntagmes non intelligibles (notes en bas de page n^os 26 et 27).

34 Par ailleurs, le requérant renvoie à de nombreuses occasions à des documents, des articles scientifiques ou de presse ainsi que des arrêts, notamment de la Cour européenne des droits de l’homme, en se limitant à citer les références de ces documents, sans préciser le ou les points pertinents qui soutiennent son allégation, voire sans les produire en annexe (notes en bas de page n^os 33, 35, 42 à 44, 46 à 49, 51, 52, 55, 60, 61 et 66 à 69).

35 Il en découle que les références visées aux points 32 à 34 ci-dessus ne sauraient être prises en considération aux fins de l’examen du présent recours, notamment aux fins de l’identification des faits reprochés par le requérant à Eurojust et à Europol.

Sur la portée de la responsabilité solidaire alléguée d’Eurojust et d’Europol et la compétence du Tribunal pour en connaître

36 Il convient de rappeler que le juge de l’Union européenne est compétent pour connaître d’une action en réparation fondée sur les articles 268 et 340 TFUE uniquement si l’illégalité alléguée à l’appui de la demande indemnitaire émane bien d’une institution, d’un organe ou d’un organisme de l’Union et ne peut être regardée comme imputable à une autorité nationale (voir, en ce sens, arrêt du 16 décembre 2020, Conseil/K. Chrysostomides & Co. e.a., C-597/18 P, C-598/18 P, C-603/18 P et C-604/18 P, EU:C:2020:1028, points 80, 106 et 107).

37 De plus, lorsque la responsabilité de l’Union est engagée au titre d’un acte ou d’un comportement de l’une de ses institutions ou de l’un de ses organes ou organismes, elle est représentée devant le Tribunal par le ou les institutions, organes ou organismes auxquels le fait générateur de responsabilité est reproché (arrêt du 13 novembre 1973, Werhahn Hansamühle e.a./Conseil et Commission, 63/72 à 69/72, EU:C:1973:121, point 7).

38 Ainsi, la responsabilité de l’Union sur le fondement des articles 268 et 340 TFUE ne saurait être recherchée auprès d’une institution, d’un organe ou d’un organisme de l’Union distinct de celle ou de celui auquel le fait générateur de responsabilité est reproché, sauf à ce que le législateur de l’Union ait expressément prévu un régime dérogatoire de responsabilité solidaire soit entre une de ces institutions ou un de ces organes ou organismes de l’Union et un ou plusieurs États membres, voire un ou plusieurs pays tiers, soit entre plusieurs institutions, organes ou organismes de l’Union (voir, par analogie, arrêt du 5 mars 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, points 62 et 63).

39 En l’occurrence, le requérant fait valoir que la Cour a établi, dans l’arrêt du 5 mars 2024, Kočner/Europol (C-755/21 P, EU:C:2024:202), qu’« Europol et Eurojust peuvent être tenues (solidairement) responsables des préjudices subis par un particulier du fait d’actes dont elles sont solidairement responsables ». Il en déduit que ces deux agences peuvent être tenues solidairement responsables de l’ensemble des chefs de préjudice dont il se prévaut.

40 Force est toutefois de constater que le constat du requérant procède d’une lecture manifestement erronée de l’arrêt du 5 mars 2024, Kočner/Europol (C-755/21 P, EU:C:2024:202), ainsi que des régimes de responsabilité applicables à Europol et à Eurojust.

41 En effet, premièrement, dans l’arrêt du 5 mars 2024, Kočner/Europol (C-755/21 P, EU:C:2024:202, points 62 et 63), la Cour a certes reconnu l’existence d’une responsabilité solidaire dans le chef d’Europol sur le fondement d’une lecture conjointe de l’article 49, paragraphe 3, et de l’article 50 du règlement 2016/794, lus à la lumière du considérant 57 de ce règlement.

42 Toutefois, la responsabilité solidaire reconnue dans l’arrêt du 5 mars 2024, Kočner/Europol (C-755/21 P, EU:C:2024:202, points 62 et 63), d’une part, ne vaut qu’entre Europol et les États membres et, d’autre part, est cantonnée aux seuls préjudices découlant de traitements illicites de données à caractère personnel intervenus dans le cadre d’une coopération au titre du règlement 2016/794 entre cette agence et un ou plusieurs États membres.

43 Deuxièmement, il ressort certes de l’article 55, paragraphe 2, du règlement 2018/1727 et de l’article 38, paragraphe 6, du règlement 2016/794 qu’Eurojust et Europol peuvent être tenus solidairement responsables d’un transfert illégal de données à caractère personnel effectué par Europol à destination d’Eurojust à la demande de cette dernière ou d’un transfert illégitime de données opérationnelles à caractère personnel effectuées par Eurojust à destination d’Europol, à la demande de cette dernière.

44 Toutefois, d’une part, le requérant ne se prévaut pas des dispositions de l’article 38, paragraphe 6, du règlement 2016/794 et de l’article 55, paragraphe 2, du règlement 2018/1727.

45 Au contraire, le requérant expressément ses conclusions indemnitaires sur l’article 50 du règlement 2016/794, dont la portée a été rappelée au point 42 ci-dessus, et sur l’article 46 du règlement 2018/1727 dont le paragraphe 1 prévoit qu’Eurojust est responsable, conformément à l’article 340 TFUE, de tout dommage causé à une personne du fait d’un traitement de données non autorisé ou incorrect dont elle est l’auteur, et dont le paragraphe 3 de cet article 46 prévoit que chaque État membre est responsable, conformément à son droit national, de tout dommage causé à une personne du fait d’un traitement non autorisé ou incorrect qu’il a effectué sur des données qui ont été communiquées à Eurojust.

46 D’autre part, il ne ressort pas de la requête que le requérant se prévaudrait d’échanges illégaux ou illégitimes de données à caractère personnel entre les défenderesses.

47 Il en découle que, dans le cadre du présent recours, le requérant peut rechercher uniquement, d’une part, la responsabilité d’Eurojust de son fait propre et, d’autre part, la responsabilité d’Europol s’agissant d’un dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions en vertu de l’article 49, paragraphe 3, du règlement 2016/794 et s’agissant d’un dommage causé par un traitement illicite de données à caractère personnel le concernant et s’étant produit dans un des États membres concernés dans le cadre de la coopération entre Europol et ceux-ci en vertu de l’article 50 du règlement 2016/794.

48 Ainsi, le Tribunal est manifestement incompétent pour connaître du présent recours, en ce qu’il tendrait à faire constater, d’une part, la responsabilité solidaire d’Eurojust du fait d’États membres, d’Europol ou de pays tiers et, d’autre part, la responsabilité solidaire d’Europol du fait d’États membres pour des faits autres que des traitements illicites de données à caractère personnel, d’Eurojust ou de pays tiers.

49 Dans le cadre des chefs de conclusions indemnitaires, doivent donc être écartés comme étant portés devant une juridiction incompétente pour en connaître la partie du premier moyen ainsi que le troisième moyen dans son ensemble, tirés de la violation du droit à un procès équitable par les juridictions pénales italiennes en raison de l’impossibilité alléguée de prendre connaissance et, de ce fait, de vérifier la légalité, la fiabilité, l’authenticité, l’intégrité ou encore la recevabilité des preuves retenues à son encontre du requérant par ces juridictions.

50 En effet, de telles critiques – même si elles présentent un lien avec des données à caractère personnel prétendument traitées par Eurojust et Europol – ne concernent pas le traitement éventuellement illicite de celles-ci mais le régime procédural – et plus particulièrement les règles probatoires – qui leur est appliqué par les juridictions pénales italiennes. Étant donné que le dommage ne découle pas d’un traitement de données illicite survenu dans le cadre d’une coopération ayant impliqué Europol et un État membre, la responsabilité solidaire issue de l’article 50, paragraphe 1, du règlement 2016/794 n’est pas applicable.

51 Il en va de même des critiques également contenues dans le premier moyen et tirées de la violation du droit à un procès équitable en raison du refus des autorités françaises d’autoriser des officiers de la police française à comparaître devant les juridictions italiennes.

Sur la compétence du Tribunal pour connaître de la collecte par les États membres concernés des données issues du service « Sky ECC »

52 Dans le cadre de son deuxième moyen, le requérant recherche la responsabilité d’Europol en raison, notamment, de l’interception des données à caractère personnel issues du service « Sky ECC » par les autorités de police françaises et néerlandaises.

53 Toutefois, il ressort de l’article 276 TFUE que, dans l’exercice de ses attributions concernant les dispositions des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, relatives à l’espace de liberté, de sécurité et de justice, le juge de l’Union n’est pas compétent pour vérifier la validité ou la proportionnalité d’opérations menées par la police ou d’autres services répressifs dans un État membre.

54 Ainsi, en dépit du régime de responsabilité solidaire prévu par l’article 50, paragraphe 1, du règlement 2016/794, Europol ne saurait être tenue solidairement responsable de l’éventuel préjudice découlant de traitements illégaux de données à caractère personnel d’une personne physique survenus à l’occasion d’opérations menées par la police ou d’autres services répressifs d’un État membre, même si ces traitements sont intervenus dans le cadre d’une coopération fondée sur ce règlement (voir, par analogie avec l’article 275 TFUE, arrêt du 10 septembre 2024, KS e.a./Conseil e.a., C-29/22 P et C-44/22 P, EU:C:2024:725, point 91).

55 Dès lors, le Tribunal est incompétent pour connaître des allégations du requérant tirées de dommages qui lui auraient été causés du fait des opérations d’interception de ses données à caractère personnel intervenues dans le cadre des opérations de police menées par les autorités françaises ou néerlandaises.

Sur le recours en ce qu’il concerne Eurojust

Sur la recevabilité

56 Eurojust conteste la recevabilité du recours en tant qu’il est dirigé contre elle. En particulier, le requérant n’aurait pas identifié les comportements prétendument illicites qui lui sont reprochés.

57 À cet égard, Eurojust conteste avoir contribué à l’obtention de l’ensemble des données du service « Sky ECC », avoir fait partie des destinataires de ces données, avoir participé à leur décryptage, y avoir eu accès ou encore avoir participé à leur stockage ou à leur traitement ultérieur.

58 En revanche, Eurojust admet être intervenue au mois de novembre 2021 pour faciliter la transmission et l’exécution par les autorités françaises d’une décision d’enquête européenne émise par les autorités italiennes en vue d’obtenir les données liées aux identifiants Sky ECC du requérant. À cet effet, elle a notamment transmis aux autorités italiennes, par courrier électronique, un lien Internet fourni par les autorités françaises qui a permis pendant une semaine aux autorités italiennes de télécharger ces données. Toutefois, Eurojust indique n’avoir jamais accédé aux discussions du requérant ainsi transmises.

59 Par ailleurs, Eurojust fait valoir que le requérant n’a étayé aucun de ses chefs de préjudice.

60 Pour satisfaire aux exigences rappelées au point 29 ci-dessus, une requête visant la réparation de dommages prétendument causés par une agence de l’Union doit contenir les éléments qui permettent d’identifier le comportement que la partie requérante reproche à cette agence, les raisons pour lesquelles elle estime qu’un lien de causalité existe entre le comportement et le préjudice qu’elle prétend avoir subi ainsi que le caractère et l’étendue de ce préjudice (voir arrêt du 20 juillet 2017, ADR Center/Commission, T-644/14, EU:T:2017:533, point 66 et jurisprudence citée).

61 En l’espèce, même si la requête n’est pas structurée autour des trois conditions cumulatives auxquelles est subordonné l’engagement de la responsabilité non contractuelle de l’Union, elle permet de comprendre que le requérant recherche, en substance, l’engagement de la responsabilité non contractuelle d’Eurojust à hauteur d’une fraction de 50 000 euros, au titre d’un préjudice moral découlant de divers comportements d’Eurojust.

62 À cet égard, le requérant fait état du refus d’Eurojust de laisser d’anciens agents comparaître devant une juridiction italienne, de refus répétés de cette agence de donner suite à ses demandes d’accès à ses données à caractère personnel détenues par celle-ci ainsi que de manquements de celle-ci aux obligations prévues par les articles 89 et 92 du règlement 2018/1725.

63 Ces comportements prétendument illicites d’Eurojust doivent être considérés comme suffisamment identifiables.

64 Le requérant fait également état de traitements de données non autorisés ou incorrects dont Eurojust serait l’auteur, au sens de l’article 46, paragraphe 1, du règlement 2018/1727.

65 Il convient donc d’examiner si le requérant a identifié les traitements de ses données à caractère personnel qu’il reproche à Eurojust.

66 À cet égard, Eurojust a admis avoir procédé au mois de novembre 2021 à la transmission aux autorités italiennes de données à caractère personnel du requérant précédemment reçues des autorités françaises, dans le cadre d’une décision d’enquête européenne.

67 Cette transmission du mois de novembre 2021 doit donc être considérée comme identifiée et établie.

68 En revanche, s’agissant des allégations du requérant selon lesquelles Eurojust a participé à des traitements des données issues du service « Sky ECC » autres que la transmission du mois de novembre 2021, le requérant n’a pas fourni les éléments essentiels de fait permettant d’identifier un comportement d’Eurojust susceptible d’engager sa responsabilité non contractuelle (voir point 60 ci-dessus), conformément aux articles 268 et 340 TFUE, lus conjointement avec l’article 46, paragraphe 1, du règlement 2018/1727.

69 Tout d’abord, il convient de relever que le requérant fait valoir que les données à caractère personnel le concernant et qu’Eurojust aurait traitées « constituent l’essentiel des éléments à charge produits à son encontre », ce qui implique que ces éléments sont à sa disposition. Toutefois, il n’en communique aucun dans le cadre de la requête.

70 Ensuite, le requérant a certes fourni des éléments de preuve au soutien de ses allégations. Toutefois, le caractère général de ceux-ci ne permet pas d’identifier un quelconque traitement de données à caractère personnel le concernant par Eurojust autre que la transmission du mois de novembre 2021.

71 Plus spécialement, le témoignage effectué par un agent d’Eurojust dans le cadre d’un procès pénal italien ne concernant pas le requérant et à l’occasion duquel cet agent évoque notamment le service « Sky ECC » n’est pas à même d’identifier un traitement de données à caractère personnel du requérant par Eurojust, tout particulièrement lorsque, de l’aveu même de cet agent, il « ne connaît pas les détails exacts de l’enquête portant sur […] Sky ECC ».

72 Il en va de même d’un procès-verbal d’audition de témoin dans une affaire pénale italienne ne le concernant pas non plus ou encore d’allégations du requérant, étayées par un renvoi à un arrêt de la Cour européenne des droits de l’homme, selon lesquelles « Eurojust aurai[t] apporté son soutien à des mesures d’enquêtes illégales ».

73 Enfin, le simple fait qu’Eurojust ait organisé des réunions de coordination entre les parties à l’ECE ne permet pas d’inférer qu’elle a collecté, reçu, stocké, transmis ou analysé des données à caractère personnel du requérant et, a fortiori, d’identifier des traitements prétendument non autorisés ou incorrects de ses données à caractère personnel, au sens de l’article 46, paragraphe 1, du règlement 2018/1727.

74 En conséquence, le deuxième moyen du recours en ce qu’il concerne Eurojust doit être rejeté comme étant manifestement irrecevable s’agissant des allégations du requérant selon lesquelles Eurojust aurait participé au traitement des données issues du service « Sky ECC », sauf en ce qu’il concerne un traitement illicite de données résultant de la transmission du mois de novembre 2021.

75 En revanche, le recours en ce qu’il concerne Eurojust est recevable en ce qu’il vise le prétendu refus d’Eurojust de laisser d’anciens agents comparaître devant une juridiction italienne et les prétendus refus répétés de cette agence de donner suite aux demandes d’accès du requérant à ses données à caractère personnel détenues par celle-ci (premier moyen), le traitement prétendument illicite de données du requérant résultant de la transmission du mois de novembre 2021 (deuxième moyen) ainsi que les manquements allégués de celle-ci aux obligations prévues par les articles 89 et 92 du règlement 2018/1725 (quatrième moyen).

Sur le fond

76 Eu égard aux remarques qui précèdent concernant l’incompétence du Tribunal pour connaître d’une partie du premier moyen et du troisième moyen dans son ensemble ainsi que de l’irrecevabilité partielle du deuxième moyen du recours, il convient de considérer que, par ce recours, le requérant recherche l’engagement de la responsabilité d’Eurojust sur le fondement des trois moyens qui suivent.

77 Dans le cadre de son premier moyen, le requérant se prévaut d’une violation de son droit à un procès équitable ainsi que des principes d’égalité des armes, d’équité et de légalité, en raison du refus d’Eurojust de permettre à d’anciens membres de son personnel de répondre à une convocation des juridictions italiennes ainsi qu’en raison du refus de cette agence de donner suite à « de nombreuses demandes insistantes [de sa part] tendant à obtenir la divulgation de documents revêtant une importance fondamentale pour sa défense ». Ce refus le priverait de la possibilité d’obtenir un accès intégral aux données à caractère personnel le concernant détenues par Eurojust et ainsi de contrôler la légalité, la fiabilité, l’authenticité et l’intégrité des données le concernant détenues par Eurojust. Par ailleurs, le requérant reproche à Eurojust son indifférence face au refus des autorités françaises de permettre la comparution de deux de ses agents (voir point 51 ci-dessus) et plus généralement à sa situation.

78 Dans le cadre de son deuxième moyen, le requérant se prévaut du caractère illégal et disproportionné du traitement de ses données à caractère personnel. En effet, Eurojust aurait « orchestré l’opération Sky ECC », qui aurait visé un groupe indiscriminé de personnes dont des avocats, violant de ce fait le secret professionnel.

79 Dans le cadre de son quatrième moyen, le requérant fait état de craintes concernant, premièrement, l’adoption de mesures de sécurité appropriées lors du traitement de ses données à caractère personnel, deuxièmement, la réalisation effective d’une analyse d’impact préalable au traitement desdites données et, en substance, troisièmement, l’absence de notification au Contrôleur européen de la protection des données (CEPD) d’une violation de ces données.

80 Concernant le premier moyen, il convient de relever que le requérant ne fournit aucun élément à même d’établir qu’il aurait adressé une quelconque demande d’accès aux données à caractère personnel le concernant détenues par Eurojust, ce que cette agence fait d’ailleurs valoir.

81 Il ne saurait donc valablement reprocher à cette agence d’avoir manqué d’y donner suite.

82 Le requérant ne fournit pas plus d’éléments à même d’établir que, dans la procédure pénale dont il indique faire l’objet en Italie, Eurojust aurait refusé de permettre la comparution d’anciens agents.

83 Comme le relève Eurojust, il apparaît que la demande de comparution, dont le requérant fait état dans l’annexe A.27 de la requête et qui aurait été déclinée par celle-ci, est intervenue dans une procédure pénale italienne sans rapport avec le requérant, comme l’atteste la liste des comparants visée à la page 250 de l’annexe A.15.

84 Enfin, le requérant n’étaye ni la réalité ni les motifs d’illégalité de l’indifférence qu’il reproche à Eurojust.

85 Concernant le deuxième moyen, le requérant n’établit pas que la transmission du mois de novembre 2021 aurait donné lieu à un traitement illicite de ses données à caractère personnel.

86 En premier lieu, l’article 45, paragraphe 2, sous b), du règlement 2018/1727 dispose que la responsabilité de l’exactitude des données opérationnelles à caractère personnel incombe à l’État membre qui a fourni les données à Eurojust, lorsque, comme en l’espèce, les données transmises n’ont pas été modifiées au cours du traitement effectué par cette agence, ce que ne conteste pas le requérant.

87 En second lieu, il doit être constaté que, s’agissant de la mise à la disposition par les autorités françaises des données du requérant aux autorités italiennes par l’intermédiaire d’Eurojust, aucun élément ne permet de considérer que ce traitement de données à caractère personnel n’était pas loyal, licite et effectué à des fins déterminées, explicites et légitimes, au sens de l’article 71, paragraphe 1, sous a) et b), du règlement 2018/1725, applicable à Eurojust par renvoi de l’article 26 du règlement 2018/1727.

88 Premièrement, ce traitement entrait dans le cadre des missions d’Eurojust et était nécessaire à cette exécution. Deuxièmement, il ne ressort d’aucun élément du dossier que les données à caractère personnel du requérant auraient été traitées à d’autres fins que ces missions, comme le prévoit également l’article 72 du règlement 2018/1725, applicable à Eurojust par renvoi de l’article 26 du règlement 2018/1727. Troisièmement, ledit traitement a été effectué à la demande des autorités françaises et en exécution d’une décision d’enquête européenne émise par les autorités italiennes.

89 De plus, la mise à la disposition des autorités italiennes, par les autorités françaises et par l’intermédiaire d’Eurojust, des conversations du requérant était également proportionnée et suffisamment sécurisée, au sens de l’article 71, paragraphe 1, sous c), d) et f), du règlement 2018/1725, applicable à Eurojust par renvoi de l’article 26 du règlement 2018/1727. En effet, elle a pris la forme d’une mise à disposition d’un lien vers un site de téléchargement sécurisé par mot de passe fourni par les autorités françaises et rien ne permet de remettre en cause l’affirmation selon laquelle Eurojust s’est abstenue d’accéder aux données en cause et ne les a pas téléchargées, stockées ou copiées dans ses systèmes informatiques.

90 Concernant le quatrième moyen, force est de constater que les allégations du requérant, tirées du manquement d’Eurojust à son obligation d’adopter les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, ne sont étayées par aucune preuve ou aucun commencement de preuve.

91 Le requérant n’établit pas que, du fait d’un tel manquement, ses données personnelles auraient fait l’objet, notamment, d’une divulgation, d’une modification ou d’un accès non autorisés ou de toute autre forme de traitement non autorisé.

92 La seule crainte non étayée du requérant qu’une violation de ses données à caractère personnel ait pu intervenir ne saurait suffire à établir qu’Eurojust a manqué à ses obligations.

93 De même, le requérant n’explique pas les raisons pour lesquelles Eurojust aurait manqué à son obligation de procéder à une analyse d’impact préalable à la transmission aux autorités italiennes du lien fourni par les autorités françaises vers un site sécurisé contenant ses conversations issues du service « Sky ECC ».

94 Une telle transmission, dont rien n’indique qu’elle présentait un risque particulier pour les droits et les libertés du requérant ou à tout le moins un risque supérieur à d’autres modes de transmission, ne justifiait pas la réalisation de l’étude d’impact préalable prévue par l’article 89 du règlement 2018/1725, applicable à Eurojust par renvoi de l’article 26 du règlement 2018/1727.

95 Par ailleurs, à défaut d’avoir démontré, à un titre ou à un autre, qu’Eurojust a violé ses données à caractère personnel, le requérant ne saurait reprocher à cette agence d’avoir manqué à son obligation, prévue à l’article 92 du règlement 2018/1725, de notifier au CEPD une telle violation, applicable à cette agence par renvoi de l’article 26 du règlement 2018/1727.

96 Le requérant n’ayant démontré aucune violation du droit de l’Union imputable à Eurojust et les conditions pour engager la responsabilité non contractuelle de l’Union étant cumulatives (voir arrêt du 30 novembre 2022, KN/Parlement, T-401/21, EU:T:2022:736, point 34 et jurisprudence citée), il n’y a pas lieu d’examiner si les autres conditions posées par la jurisprudence sont remplies.

97 Eu égard à ce qui précède, le recours en tant qu’il est dirigé contre Eurojust doit être rejeté en partie pour cause d’incompétence manifeste, en partie comme étant manifestement irrecevable et en partie comme étant manifestement non fondé.

Sur le recours en tant qu’il concerne Europol

Sur la recevabilité

98 Europol conteste la recevabilité du recours en tant qu’il est dirigé contre elle. Le requérant n’aurait pas identifié les comportements prétendument illicites qui lui sont reprochés, pas plus que les dommages dont il se prévaut et le lien existant entre ces comportements et ces dommages.

99 En l’espèce, le requérant recherche, en substance, l’engagement de la responsabilité non contractuelle d’Europol à hauteur d’une fraction de 50 000 euros, au titre d’un préjudice moral découlant de divers comportements d’Europol.

100 S’agissant des faits reprochés, le requérant a suffisamment identifié le refus d’Europol de laisser d’anciens agents comparaître devant une juridiction italienne, les refus répétés de cette agence de donner suite à des demandes d’accès à ses données à caractère personnel détenues par celle-ci ainsi que le manquement de cette dernière à l’obligation prévue par l’article 32 du règlement 2016/794 (voir, par analogie, point 63 ci-dessus).

101 En revanche, s’agissant des allégations du requérant relatives à des traitements illicites de données à caractère personnel le concernant par Europol ou par des États membres dont Europol pourrait être tenue solidairement responsable, force est de constater que celui-ci fait certes état de traitements de données à caractère personnel dans le cadre de l’enquête relative au service « Sky ECC ». Toutefois, il n’en identifie aucun le concernant personnellement, et ce alors même qu’il dispose de la preuve de tels traitements (voir, par analogie, points 68 à 73 ci-dessus).

102 En conséquence, conformément à la jurisprudence rappelée aux points 29 et 60 ci-dessus, le deuxième moyen du recours en ce qu’il concerne Europol doit être rejeté comme étant manifestement irrecevable.

103 En revanche, le recours en ce qu’il concerne Europol est recevable en ce qu’il vise le prétendu refus d’Europol de laisser d’anciens agents comparaître devant une juridiction italienne et les prétendus refus répétés de cette agence de donner suite aux demandes d’accès du requérant à ses données à caractère personnel détenues par celle-ci (premier moyen) ainsi que les manquements allégués de celle-ci aux obligations prévues par l’article 32 du règlement 2016/794 et les articles 89 et 92 du règlement 2018/1725 (quatrième moyen).

Sur le fond

104 Eu égard aux remarques qui précèdent concernant l’incompétence du Tribunal pour connaître d’une partie du premier moyen et du troisième moyen dans son ensemble ainsi que de l’irrecevabilité du deuxième moyen du recours, il convient de considérer que, par ce recours, le requérant recherche l’engagement de la responsabilité d’Europol sur le fondement de deux moyens.

105 Par son premier moyen, le requérant se prévaut, comme à l’égard d’Eurojust, d’une violation de son droit à un procès équitable ainsi que des principes d’égalité des armes, d’équité et de légalité, en raison du refus de cette agence de permettre à d’anciens membres de son personnel de répondre à une convocation des juridictions italiennes, du refus de ladite agence de donner suite à « de nombreuses demandes insistantes [de sa part] tendant à obtenir la divulgation de documents revêtant une importance fondamentale pour sa défense » ainsi que de son indifférence face à sa situation.

106 Par son quatrième moyen, le requérant fait état de craintes concernant, premièrement, l’adoption de mesures de sécurité appropriées lors du traitement de ses données, deuxièmement, la réalisation effective de l’analyse d’impact préalable à ces traitements et, en substance, troisièmement, l’absence de notification au CEPD d’une violation de ses données.

107 S’agissant du premier moyen, il a déjà été constaté que le document dont se prévaut le requérant pour établir le refus d’Europol de permettre à d’anciens membres de son personnel de répondre à une convocation des juridictions italiennes concerne une procédure pénale italienne sans rapport avec lui (voir points 82 et 83 ci-dessus) et que celui-ci n’étaye ni la réalité ni l’illégalité de l’indifférence qu’il reproche à Europol (voir, par analogie, point 84 ci-dessus), excluant que ces critiques puissent prospérer.

108 Pour ce qui concerne le refus d’Europol de donner suite aux deux demandes du requérant des 22 mars et 2 septembre 2022, tendant à obtenir communication des données à caractère personnel le concernant qui étaient en possession de cette agence, il convient, tout d’abord, de relever que le requérant n’a pas contesté, notamment sur le fondement de l’article 47, paragraphe 2, du règlement 2016/794, à tout le moins, la réponse négative fournie par ladite agence le 21 avril 2022 et dont il fait état dans sa seconde demande.

109 Ensuite, le requérant ni ne fournit dans sa requête la réponse d’Europol à sa première demande ni ne fait valoir qu’Europol aurait omis de répondre à sa deuxième demande.

110 Enfin, le requérant n’explique pas pour quelles raisons les refus dont il se prévaut violeraient notamment l’article 36, paragraphe 6, du règlement 2016/794, selon lequel la communication d’informations en réponse à une demande peut être refusée ou limitée si ce refus ou cette limitation constitue une mesure nécessaire pour permettre à Europol de s’acquitter dûment de ses missions, protéger la sécurité et l’ordre public ou prévenir la criminalité, garantir qu’une éventuelle enquête nationale ne sera pas compromise ou protéger les droits et les libertés de tiers.

111 Dans ces conditions, le Tribunal n’est pas en mesure d’apprécier le bien-fondé des critiques du requérant, de sorte qu’aucune violation du droit de l’Union par Europol ne peut être constatée.

112 S’agissant du quatrième moyen, il y a lieu de relever que l’article 32 du règlement 2016/794 impose à Europol des obligations en termes de sécurité des données similaires à celles imposées notamment à Eurojust par l’article 91 du règlement 2018/1725.

113 Dans ces conditions, les critiques du requérant relatives à la sécurité des données à caractère personnel le concernant doivent être rejetées pour les mêmes motifs que ceux énoncés aux points 90 à 92 ci-dessus.

114 Par ailleurs, en ce que le requérant se prévaut de la violation de dispositions du règlement 2018/1725, force est de constater, d’une part, que ce règlement n’était pas applicable à Europol, préalablement à la modification du règlement 2016/794 par le règlement (UE) 2022/991 du Parlement européen et du Conseil, du 8 juin 2022, modifiant le règlement 2016/794 en ce qui concerne la coopération d’Europol avec les parties privées, le traitement de données à caractère personnel par Europol à l’appui d’enquêtes pénales et le rôle d’Europol en matière de recherche et d’innovation (JO 2022, L 169, p. 1), entré en vigueur le 28 juin 2022 et, d’autre part, que le requérant ne reproche pas à cette agence des faits postérieurs à cette date.

115 Le requérant n’ayant démontré aucune violation du droit de l’Union imputable à Europol et les conditions pour engager la responsabilité non contractuelle de l’Union étant cumulatives, il n’y a pas lieu d’examiner si les autres conditions posées par la jurisprudence sont remplies.

116 Eu égard à ce qui précède, le recours en tant qu’il est dirigé contre Europol doit être rejeté en partie pour cause d’incompétence manifeste, en partie comme étant manifestement irrecevable et en partie comme étant manifestement non fondé.

Sur les dépens

117 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le requérant ayant succombé, il y a lieu de le condamner aux dépens, conformément aux conclusions d’Eurojust et d’Europol. Par ailleurs, en application de l’article 138, paragraphe 1, du règlement de procédure, le Royaume des Pays-Bas supportera ses propres dépens.

Par ces motifs,

LE TRIBUNAL (quatrième chambre)

ordonne :

1) Le recours en tant qu’il est dirigé contre l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) est rejeté.

2) Le recours en tant qu’il est dirigé contre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) est rejeté.

3) GE supportera ses propres dépens ainsi que ceux exposés par Eurojust et Europol.

4) Le Royaume des Pays-Bas supportera ses propres dépens.

Fait à Luxembourg, le 2 février 2026.

* Langue de procédure : l’anglais.