Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-5/25, Conclusions de l'avocat général de la Cour, 5 mars 2026
CJUE, Demande (JO) 7 janvier 2025
>
CJUE, Conclusions de l'avocat général 5 mars 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Nécessité de la collecte de données personnelles

    La cour a estimé que la collecte systématique de données personnelles, qui ne sont pas nécessaires à l'identification, constitue une ingérence excessive dans les droits fondamentaux de la personne concernée.

Commentaires6

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Għoti ta’ sentenzi u konklużjonijiet - 05/03/2026
CJUE · 23 mars 2026
2Pronuncia di sentenze e lettura di conclusioni - 05/03/2026
CJUE · 22 mars 2026
3Cour de justice de l’Union européenne
CJUE
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Afficher tout (6)

Sur la décision

Référence :
CJUE, 5 mars 2026, C-5/25
Numéro(s) : C-5/25
Conclusions de l'avocat général M. D. Spielmann, présentées le 5 mars 2026.###
Précédents jurisprudentiels : 18 décembre 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge ( C-417/23, EU:C:2025:1017
30 avril 2024, M.N. ( EncroChat ) ( C-670/22, EU:C:2024:372
aff. C-658/19, EU:C:2021:138
arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20
Autoriteit Persoonsgegevens ( C-245/20, EU:C:2022:216
C-175/20, EU:C:2022:124
( C-180/21, EU:C:2022:406
C-548/21, EU:C:2024:830
C-57/23, EU:C:2025:905
CJUE ( 8e ch. ), 25 février 2021, Commission européenne/Royaume d'Espagne
Comdribus ( C-371/24, EU:C:2025:631
komisija ( C-184/20, EU:C:2021:991
Identifiant CELEX : 62025CC0005
Identifiant européen : ECLI:EU:C:2026:167
Télécharger le PDF original fourni par la juridiction

Sur les parties

Avocat général : Spielmann

Texte intégral

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. DEAN SPIELMANN

présentées le 5 mars 2026 (1)

Affaire C-5/25 [Pilev] (i)

Procédure pénale

contre

WE

en présence de

Sofiyska gradska prokuratura

[demande de décision préjudicielle formée par le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie)]

« Renvoi préjudiciel – Coopération judiciaire en matière pénale – Protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale – Opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle – Applicabilité de la directive (UE) 2016/680 – Vérification de l’identité de l’accusé en audience publique – Données relatives au lieu de naissance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale, au casier judiciaire et au “peuple d’appartenance” »

Introduction

1. La présente affaire concerne la portée de la collecte, par une juridiction pénale nationale, de données à caractère personnel d’une personne poursuivie dans le seul objectif de vérifier que cette personne est bel et bien la personne visée dans l’acte d’accusation. Elle ne concerne cependant pas la question de l’indépendance du juge dans le cadre de son office de juge du fond et sa marge de manœuvre pour questionner la personne poursuivie à cet égard.

2. Cette affaire donne ainsi à la Cour l’occasion de clarifier le champ d’application de la directive (UE) 2016/680 (2) par rapport au règlement (UE) 2016/679 (3) et d’asseoir sa jurisprudence en matière de proportionnalité au but poursuivi d’un traitement de collecte, par une juridiction pénale, de données à caractère personnel.

Le cadre juridique

La directive 2016/680

3. L’article 1er de cette directive, intitulé « Objet et objectifs », prévoit, à son paragraphe 1 :

« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »

4. L’article 2 de ladite directive, intitulé « Champ d’application », dispose, à son paragraphe 1 :

« La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1. »

5. L’article 3 de la directive 2016/680, intitulé « Définitions », est libellé comme suit :

« Aux fins de la présente directive, on entend par :

[…]

7. “autorité compétente” :

a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; ou

b) tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

[…] »

6. Aux termes de l’article 4 de cette directive, intitulé : « Principes relatifs au traitement des données à caractère personnel » :

« 1. Les États membres prévoient que les données à caractère personnel sont :

[…]

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

[…] »

7. L’article 8 de ladite directive, intitulé « Licéité du traitement », dispose, à son paragraphe 1 :

« Les États membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un État membre. »

8. L’article 10 de la directive 2016/680, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », est libellé comme suit :

« Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement :

a) lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un État membre ;

b) pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique ; ou

c) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée. »

Le droit bulgare

Le code de procédure pénale (NPK)

9. L’article 138, paragraphes 2 et 3, du nakazatelno-protsesualen kodeks (code de procédure pénale) (4), du 29 avril 2006 (ci-après le « NPK »), est libellé comme suit :

« […]

(2) Avant l’audition, l’autorité concernée établit l’identité de la personne poursuivie.

(3) L’audition de la personne poursuivie débute par une question lui demandant si elle comprend l’accusation, puis cette personne est invitée à exposer, si elle le souhaite, sous la forme d’un discours libre, tout ce qu’elle sait concernant l’affaire. »

10. L’article 272, paragraphe 1, du NPK énonce :

« Le président vérifie l’identité de la personne poursuivie en lui demandant ses trois noms, la date et le lieu de sa naissance, son peuple d’appartenance, sa nationalité, son lieu de résidence, sa formation, sa situation familiale et son numéro civil unique, et son casier judiciaire. »

11. L’article 311, paragraphe 1, point 2, du NPK dispose :

« Dans le procès-verbal d’audience […] figurent […] les données relatives à l’identité de la personne poursuivie. »

La loi relative à l’état civil (ZGR)

12. Le zakon za grazhdanskata registratsia (loi relative à l’état civil) (5), du 27 juillet 1999 (ci-après le « ZGR »), dispose, à son article 8, paragraphe 1, que les données principales relatives à l’état civil des personnes sont leurs nom, date (jour, mois, année) et lieu de naissance, sexe, nationalité et numéro civil unique.

La loi relative aux documents d’identité bulgares (ZBLD)

13. Le zakon za balgarskite lichni dokumenti (loi relative aux documents d’identité bulgares) (6), du 1er avril 1999 (ci-après le « ZBLD »), prévoit, à son article 3, paragraphe 1 :

« Les documents d’identité attestent de l’identité et, le cas échéant, de la nationalité par les indications qu’ils contiennent. »

14. L’article 6 du ZBLD dispose :

« Les citoyens sont tenus d’attester de leur identité à la demande des fonctionnaires compétents désignés par la loi. »

15. L’article 16, paragraphe 1, du ZBLD est libellé comme suit :

« Les documents d’identité bulgares contiennent les données à caractère personnel obligatoires suivantes :

1. noms ;

2. date de naissance ;

3. numéro civil unique (numéro personnel ou numéro personnel de ressortissant étranger) ;

4. sexe ;

5. nationalité. »

La loi relative au pouvoir judiciaire (ZSV)

16. Le zakon za sadebnata vlast (loi relative au pouvoir judiciaire) (7) (ci-après le « ZSV »), prévoit, à son article 8, paragraphe 2 :

« Dans l’exercice des fonctions du pouvoir judiciaire […], ne sont admis ni des limitations des droits ni des privilèges fondés sur […] le peuple d’appartenance […] »

Le litige au principal, la question préjudicielle et la procédure devant la Cour

17. Le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie), qui est la juridiction de renvoi, a été saisi d’un acte d’accusation de la Sofiyska gradska prokuratura (parquet de la ville de Sofia, Bulgarie) soutenant que, le 6 septembre 2023, à Sofia, d’une part, une personne physique avait soudoyé des agents de police afin que ces derniers ne dressent pas contre elle un procès-verbal d’infraction administrative pour avoir conduit une voiture sans permis de conduire à cet effet et, d’autre part, au même moment et dans le même lieu, cette personne avait exercé la profession de chauffeur de taxi sans disposer d’habilitation à cet effet. Il est allégué que ces faits constituent des infractions pénales.

18. Un représentant du parquet de la ville de Sofia, la personne poursuivie et son avocat ont comparu à la première audience qui s’est tenue le 5 juillet 2024. La juridiction de renvoi a poursuivi la procédure et, conformément à l’article 272, paragraphe 1, du NPK, le président de chambre devait procéder à la vérification de l’identité de la personne poursuivie, en l’interrogeant sur les circonstances visées par cette disposition.

19. Sur la base de la carte d’identité présentée par la personne poursuivie, le président de chambre s’est assuré que la personne comparaissant devant lui était bien celle qui était désignée comme accusée dans l’acte d’accusation. Toutefois, il s’est abstenu d’adresser à la personne poursuivie les questions visées à l’article 272, paragraphe 1, du NPK concernant son identité, l’affaire ayant été suspendue.

20. La juridiction de renvoi a demandé au Konstitutsionen sad (Cour constitutionnelle, Bulgarie) de constater l’incompatibilité de l’article 272, paragraphe 1, du NPK avec certaines dispositions de la Konstitutsia na Republika Bulgaria (Constitution de la République de Bulgarie) (8). Compte tenu du refus de cette cour de statuer sur le fond, la juridiction de renvoi a décidé de soumettre la présente demande de décision préjudicielle.

21. La juridiction de renvoi souligne que, si, ainsi qu’elle l’a fait lors de la première audience, elle peut identifier la personne poursuivie de manière suffisamment certaine en consultant le document d’identité de celle-ci, qui contient toutes les données d’identification nécessaires, la demande d’informations relatives aux données d’identification prévue à l’article 272, paragraphe 1, du NPK est utile pour que, par ses réponses, la personne qui comparaît établisse avec davantage de certitude qu’elle est bien la personne poursuivie, c’est-à-dire que le document d’identité utilisé n’appartient pas à quelqu’un d’autre et n’est pas falsifié. Toutefois, elle relève qu’il suffit d’interroger la personne comparue sur ses trois noms, sa date de naissance et son numéro civil unique afin de l’identifier.

22. Par conséquent, la juridiction de renvoi éprouve un doute quant à la question de savoir si, en interrogeant la personne qui comparaît devant elle, en audience publique, sur les autres éléments visés à l’article 272, paragraphe 1, du NPK – à savoir, le lieu de naissance, le peuple d’appartenance, la nationalité, le lieu de résidence, la formation, la situation familiale ainsi que le casier judiciaire – et en enregistrant les réponses orales dans le procès-verbal, elle viole l’exigence de nécessité du traitement des données à caractère personnel prévue par la directive 2016/680. Ces autres éléments n’étant pas nécessaires à l’identification certaine et complète de la personne poursuivie, il serait excessif de les collecter, au regard de la finalité de l’article 272, paragraphe 1, du NPK, à savoir l’identification de la personne poursuivie.

23. La juridiction de renvoi relève qu’une partie des données à caractère personnel visées à l’article 272, paragraphe 1, du NPK peut servir à d’autres fins. Ainsi, le lieu de résidence peut servir à déterminer l’adresse à laquelle envoyer la citation à comparaître et le casier judiciaire peut être important aux fins de l’individualisation de la peine.

24. Toutefois, la juridiction de renvoi souligne, en substance, que ces données, recueillies dès avant l’ouverture de l’instruction judiciaire, ne visent pas l’identification de la personne poursuivie. En outre, il ne suffirait pas d’interroger la personne poursuivie et d’enregistrer ses réponses pour établir ces circonstances de manière fiable. Enfin, en vertu du droit national, les informations révélées lors de l’identification de la personne qui comparaît ne peuvent pas être utilisées pour rendre la décision au fond. La juridiction établit d’abord l’identité de la personne qui comparaît, avant de lui expliquer ses droits. Par conséquent, ces informations (peuple d’appartenance, casier judiciaire, état civil, niveau de formation) n’auraient pas de valeur probante.

25. Dès lors, la juridiction de renvoi émet des doutes sur le fait que l’article 272, paragraphe 1, du NPK satisfasse aux exigences de l’article 4, paragraphe 1, sous c) et de l’article 8, paragraphe 1, de la directive 2016/680. Selon elle, la collecte, l’enregistrement dans le procès-verbal judiciaire, puis la conservation dans le dossier de l’affaire des données à caractère personnel concernant le lieu de naissance, le peuple d’appartenance, la nationalité, le lieu de résidence, la formation, la situation familiale et le casier judiciaire, sont excessifs au regard des finalités de la procédure pénale. Elle doute également de la conformité de l’article 272, paragraphe 1, du NPK avec l’article 10 de la directive 2016/680, en ce qu’il concerne des informations relatives au peuple d’appartenance de la personne poursuivie, ces informations révélant l’origine ethnique de cette personne.

26. Dans ces conditions, le Sofiyski gradski sad (tribunal de la ville de Sofia) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Une réglementation nationale, telle que l’article 272, paragraphe 1, du [NPK], qui requiert que des données à caractère personnel de la personne poursuivie relatives au lieu de naissance, au peuple d’appartenance, à la nationalité, au lieu de résidence, à la formation, à la situation familiale et au casier judiciaire soient traitées (collectées, enregistrées et conservées) lors de l’identification de ladite personne, alors que ces données ne sont nullement nécessaires aux fins de la procédure pénale, est-elle conforme à l’article 4, paragraphe 1, sous [c]), l’article 8, paragraphe 1 et l’article 10 […] de la directive 2016/680 ? »

27. Des observations écrites ont été déposées par la Commission européenne, qui a également présenté ses observations orales lors de l’audience qui s’est tenue publiquement le 3 décembre 2025.

Analyse

28. Même s’il ressort de la demande de décision préjudicielle que la juridiction de renvoi tient pour acquis que la réglementation nationale litigieuse relève du champ d’application de la directive 2016/680, il y a lieu, avant d’évoquer au fond la question posée par la juridiction de renvoi, d’analyser la question de l’applicabilité de la directive 2016/680, question à laquelle l’audience a d’ailleurs été en grande partie consacrée.

Sur l’applicabilité de la directive 2016/680

29. Tout d’abord, la question de savoir si l’on est en présence d’un « traitement de données à caractère personnel » ne se pose pas dans le litige au principal. En effet, il ressort de la demande de décision préjudicielle que les données d’identification à caractère personnel en cause sont collectées, enregistrées dans le procès-verbal judiciaire et conservées dans le dossier. Au surplus, même si l’on considérait que les données ont été collectées auparavant par l’autorité compétente en droit national (9), la notion de « traitement » est large et inclut la consultation et la conservation par le juge de renvoi. La condition tenant à la présence d’un « traitement de données à caractère personnel » est donc remplie.

30. Ensuite, il ressort du libellé de l’article 2, paragraphe 1, de la directive 2016/680, lu ensemble avec l’article 1er, paragraphe 1, de cette directive, que deux conditions sont exigées pour qu’un traitement de données à caractère personnel relève du champ d’application de ladite directive. D’une part, ce traitement doit être effectué par une autorité compétente, au sens de l’article 3, paragraphe 7, de cette même directive et, d’autre part, ledit traitement doit être effectué pour l’une des finalités énumérées à l’article 1er, paragraphe 1, de la directive 2016/680, à savoir la « prévention et la détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Inversement, le RGPD, qui constitue la lex generalis en matière de traitement de données à caractère personnel, exclut de son champ d’application les traitements effectués par les « autorités compétentes » à de telles fins (10), la directive 2016/680 étant, en la matière, la lex specialis applicable (11).

31. D’une part, concernant la question de savoir si une juridiction peut relever du champ d’application ratione personae de la directive 2016/680, la réponse est, selon moi, positive. En effet, l’article 3, paragraphe 7, sous a), de cette directive est susceptible de viser, sous l’expression « autorité publique compétente », non seulement les autorités de police, mais également les juridictions pénales nationales (12). Un tel constat, s’il ne découle pas explicitement de la définition de la notion d’« autorité publique compétente », se déduit logiquement du contexte dans lequel cette disposition se situe et, en particulier, de plusieurs dispositions de la directive 2016/680.

32. En effet, selon l’article 32, paragraphe 1, de cette directive, les États membres prévoient que le responsable du traitement désigne un délégué à la protection des données et qu’ils peuvent dispenser les tribunaux et d’autres autorités judiciaires indépendantes de cette obligation lorsqu’elles agissent « dans l’exercice de leur fonction juridictionnelle ». De même, l’article 45, paragraphe 2, de cette directive, lu à la lumière du considérant 80 de celle-ci (13), appréhende expressément les juridictions nationales en excluant toute compétence de l’autorité de contrôle s’agissant des opérations de traitement effectuées par « les juridictions dans l’exercice de leur fonction juridictionnelle » (14), afin de ne pas interférer avec les règles spécifiques de la procédure pénale et l’indépendance judiciaire.

33. Ces dispositions confirment que les juridictions sont soumises, dans l’exercice de leur fonction juridictionnelle, aux obligations imposées par la directive 2016/680, leur indépendance et leur impartialité étant préservée dans ce cadre (15).

34. En outre, les autorités judiciaires sont explicitement mentionnées dans le considérant 11 de la directive 2016/680, selon lequel « [l]es autorités compétentes en question peuvent comprendre […] les autorités publiques telles que les autorités judiciaires ». Les considérants 20, 49, 107 et l’article 18 de cette directive (16) renvoient également au traitement des données à caractère personnel par « les juridictions et les autres autorités judiciaires, notamment pour ce qui est des données à caractère personnel figurant dans les décisions judiciaires ou les documents relatifs aux procédures pénales » (17).

35. Dès lors, les juridictions nationales doivent être considérées comme des « autorités publiques compétentes » au sens de la directive 2016/680 et comme étant soumises aux dispositions de cette directive lorsqu’elles traitent des données à caractère personnel dans les décisions judiciaires ou les documents relatifs aux procédures pénales (18).

36. D’autre part, la question qui se pose de façon plus délicate est celle de savoir si un traitement effectué par un juge dans le cadre d’une procédure juridictionnelle pénale peut être considéré comme relevant ratione materiae de la directive 2016/680. Cette question, à ma connaissance inédite (19), revient à se demander si ce traitement vise ou non l’une des finalités énumérées à l’article 1er, paragraphe 1, et à l’article 3, paragraphe 7, sous a), de cette directive et, en particulier, celle de « poursuites » en matière pénale.

37. Rappelons que la Cour a déjà jugé, dans l’arrêt Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (20), que les finalités mentionnées à l’article 1er de la directive 2016/680 constituent autant de finalités distinctes de « prévention », de « détection », d’« enquêtes », de « poursuites » et d’« exécution des sanctions pénales ». Cet arrêt a ainsi permis de clarifier que le législateur de l’Union a entendu adopter des règles correspondant aux spécificités qui caractérisent les activités menées par les autorités compétentes dans le domaine régi par cette directive, tout en tenant compte du fait qu’elles constituent des activités distinctes poursuivant des finalités qui leur sont propres (21).

38. Certes, comme indiqué par l’avocat général Campos Sánchez-Bordona dans ses conclusions, la notion de « poursuites » fait référence à une activité qui, sauf dans la version en langue espagnole de ladite directive, précède la procédure juridictionnelle (22). D’ailleurs, sous réserve des différences existant dans les systèmes juridiques des États membres, ce terme désigne généralement l’ensemble des actes et des procédures engagées par le ministère public (parquet ou procureur) contre une personne suspectée d’avoir commis une infraction, dans le but de la faire juger pour déterminer sa culpabilité ou son innocence (23).

39. Toutefois, pour déterminer le champ d’application ratione materiae de la directive 2016/680, il me semble que, plutôt de tenter de faire le départ entre le rôle de l’« autorité de poursuites » et celui du juge dans le cadre de la procédure juridictionnelle pénale, il est plus pertinent d’appréhender la notion de « poursuites » sous l’angle de la finalité des poursuites en matière pénale. Les règles de cette directive s’appliquent en effet à l’égard de l’activité de traitement de données à caractère personnel « à des fins » de poursuites pénales.

40. Or, une telle acception finaliste implique, à mon sens, une interprétation large de la notion d’« activité de poursuites », susceptible d’englober certaines des activités des juridictions pénales effectuées dans le cadre d’une procédure juridictionnelle. Les traitements de données à caractère personnel effectués par un juge dans le cadre d’une procédure juridictionnelle pénale peuvent, en effet, dans certaines circonstances qui dépendent en particulier des systèmes procéduraux nationaux (24), être considérés comme permettant d’établir le caractère suffisamment probant des faits imputés à la personne poursuivie ainsi que l’exactitude de la qualification pénale de ces faits, de sorte à conduire, in fine, au jugement (25). En ce sens, ces traitements de données par la juridiction responsable du traitement peuvent être considérés comme effectués « à des fins de poursuites », au sens des dispositions pertinentes de la directive 2016/680.

41. Dans ce contexte, l’activité de « poursuites » peut inclure, non seulement l’enquête menée par la police et la décision de poursuivre ou non prise par le procureur, mais également l’instruction, le renvoi devant une juridiction et, le cas échéant, une procédure juridictionnelle pénale telle que celle en cause dans le litige au principal.

42. Je relève d’ailleurs que, ainsi que cela ressort de la demande de décision préjudicielle, après l’enquête de police, la juridiction de renvoi, saisie par l’acte d’accusation du parquet, poursuit la procédure et exerce elle-même une activité d’enquête juridictionnelle (26), qui débute par la vérification de l’identité de la personne poursuivie en vertu de l’article 272 du NPK et se poursuit par le jugement au fond émanant du même juge. Ce dernier a ainsi pour mission de « mener la procédure judiciaire dans le cadre des poursuites pénales à la suite de l’accusation portée par le procureur ». Il s’agit, selon la juridiction de renvoi, de la phase juridictionnelle de la procédure pénale engagée aux fins de poursuites pénales. Dans ce contexte, la notion d’« activité de poursuites » exercée dans le cadre de la procédure juridictionnelle pénale prend tout son sens.

43. J’ajoute que cette approche large de la notion d’« activité de poursuites », outre qu’elle présente l’avantage de ne pas préjuger des différents systèmes nationaux en matière pénale, n’est pas contradictoire avec le principe selon lequel les exceptions à l’application du RGPD, lex generalis, doivent recevoir une interprétation stricte (27). En effet, cette approche conduit non pas à ce que la procédure juridictionnelle pénale échappe à la réglementation en matière de protection des données à caractère personnel, mais à ce qu’elle soit soumise à la lex specialis en la matière, spécifiquement prévue à l’article 2, paragraphe 2, sous d), du RGPD.

44. Enfin, l’approche finaliste de la notion d’« activité de poursuites » me semble découler de la genèse de la directive 2016/680 et correspondre à ses objectifs.

45. Premièrement, en effet, concernant la genèse de la directive 2016/680, je relève que, avec l’entrée en vigueur du traité de Lisbonne, l’article 16 TFUE est apparu comme la base légale pertinente pour réviser la décision-cadre 2008/977/JAI (28). Comme évoqué au considérant 10 de la directive 2016/680, dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne (29), la Conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 TFUE pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. La Commission a donc proposé deux textes, l’un général sous forme de règlement qui deviendra le RGPD et l’autre spécifique à la protection des données dans le domaine pénal (30), jugé comme plus sensible et faisant donc l’objet d’une directive requérant transposition des États membres, qui deviendra la directive 2016/680, s’appliquant à l’ensemble des actes pouvant être accomplis par les acteurs de la justice pénale, que ces actes aient ou non une dimension transfrontalière (31).

46. L’approche de l’Union a ainsi consisté à distinguer le traitement des données dans le contexte policier et pénal des autres traitements de données à caractère personnel, de sorte à tenir compte de la nature spécifique du domaine couvert par la directive 2016/680, à savoir la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et la coopération policière, ainsi que cela ressort des considérants 10 et 11 de cette directive.

47. Deuxièmement, s’agissant des objectifs de la directive 2016/680, celle-ci vise notamment, ainsi que cela ressort de ses considérants 4, 7 et 15, à assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et à faciliter l’échange de telles données entre les autorités compétentes des États membres, afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière.

48. Notons que, comme souligné en doctrine, le double régime de protection de données peut être source de difficultés non négligeables pour déterminer, du RGPD ou de la directive 2016/680, quel est l’instrument pertinent (32).

49. Dès lors, il importe d’autant plus que, dans le cadre d’une même procédure pénale, le traitement des données à caractère personnel ne soit pas soumis à deux textes différents, au seul motif que ces traitements ont été effectués par des autorités répressives différentes à des stades différents de cette même procédure. En effet, si les juridictions pénales statuant dans le cadre de la procédure pénale étaient exclues du champ d’application de la directive 2016/680, on aboutirait, comme l’a souligné la Commission lors de l’audience, à un régime fragmenté dans lequel une même procédure pénale pourrait voir deux textes s’appliquer, en fonction de l’étape procédurale en cause.

50. Une telle approche irait selon moi à l’encontre non seulement du principe de sécurité juridique (33), mais également de la protection homogène et cohérente des données à caractère personnel.

51. En outre, dans certains cas, les autorités répressives ont plus de flexibilité dans l’exercice de leurs fonctions dans le cadre de la directive 2016/680 que ce qu’elles auraient dans le cadre du RGPD (34). En particulier, le traitement des « catégories particulières de données à caractère personnel », qui incluent les données dites « sensibles », est autorisé uniquement en cas de nécessité absolue par l’article 10 de ladite directive, alors qu’il est interdit par le paragraphe 1 de l’article 9 du RGPD, sauf exceptions prévues à son paragraphe 2. De même, l’article 4, paragraphe 1, sous c), de la directive 2016/680, concernant le principe de minimisation des données, prévoit que les données à caractère personnel doivent être adéquates, pertinentes et non excessives, alors que l’article 5, paragraphe 1, sous c), du RGPD prévoit qu’elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

52. L’application de la directive 2016/680 tout au long de la procédure pénale se justifie donc d’autant plus que les règles de protection des données à caractère personnel peuvent différer, à certains égards, de celles du RGPD.

53. Enfin, une approche fragmentée de la procédure pénale se concilie difficilement avec l’objectif, rappelé au considérant 7 de la directive 2016/680, de faciliter l’échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir une coopération judiciaire en matière pénale et une coopération policière efficaces.

54. Il résulte de tout ce qui précède que le traitement des données à caractère personnel effectué par une juridiction nationale dans le cadre de l’examen d’une affaire pénale relève du champ d’application de la directive 2016/680 en tant que traitement effectué par une autorité compétente aux fins de la poursuite d’infractions pénales.

Sur le fond

55. La juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous c), l’article 8, paragraphe 1 et l’article 10 de la directive 2016/680 s’opposent à une réglementation nationale qui prévoit la vérification systématique par le juge pénal de l’ensemble des informations visées à l’article 272, paragraphe 1, du NPK, et ce aux seules fins de l’identification de la personne poursuivie dans le cadre d’une procédure juridictionnelle pénale (35).

56. Je rappelle que les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), ne sont pas des prérogatives absolues. Des limitations peuvent ainsi être apportées, pourvu que, conformément à l’article 52, paragraphe 1, de la Charte, elles soient prévues par la loi et qu’elles respectent le contenu essentiel des droits fondamentaux ainsi que le principe de proportionnalité (36).

57. Le principe de minimisation des données, prévu à l’article 4, paragraphe 1, sous c), de la directive 2016/680, et le principe de licéité du traitement prévu à l’article 8, paragraphe 1, de cette directive, imposent ainsi aux États membres de prévoir que les données à caractère personnel en cause sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées et que le traitement est nécessaire au regard des finalités poursuivies, conformément au principe de proportionnalité.

58. En outre, l’article 10 de la directive 2016/680, qui constitue une disposition spécifique régissant les traitements de catégories particulières de données à caractère personnel, et notamment les données qui révèlent l’origine raciale ou ethnique, tend à assurer une protection accrue de la personne concernée, dans la mesure où, en raison de leur sensibilité particulière et du contexte dans lequel elles sont traitées, les données en cause sont susceptibles d’engendrer, ainsi qu’il ressort du considérant 37 de cette directive, des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte (37).

59. En l’occurrence, la juridiction de renvoi a pour mission de mener la procédure judiciaire dans le cadre des poursuites pénales, à la suite d’une accusation portée par le procureur. Pour pouvoir accomplir cette mission, elle doit établir de manière formelle l’identité de la personne qui comparaît et, en particulier, vérifier qu’il s’agit bien de la personne poursuivie visée par l’accusation (38). Aux fins de vérification de l’identité de la personne poursuivie, l’article 272, paragraphe 1, du NPK impose à la juridiction de renvoi de demander systématiquement à la personne comparaissant dans le cadre de chaque affaire particulière un certain nombre de données à caractère personnel, à savoir ses trois noms, la date et le lieu de sa naissance, son peuple d’appartenance, sa nationalité, son lieu de résidence, sa formation, sa situation familiale et son numéro civil unique, ainsi que son casier judiciaire.

60. L’objectif de vérification de l’identité de la personne poursuivie est, en tant que tel, légitime et susceptible de relever d’un intérêt général reconnu par l’Union, au sens de l’article 52, paragraphe 1, de la Charte, en particulier éviter toute erreur quant à la personne qui comparaît en justice.

61. Il y a donc lieu, pour la juridiction de renvoi, de contrôler si l’exigence de collecte des données en cause est, premièrement, apte à contribuer à la réalisation de l’objectif de vérification d’identité poursuivi, si elle est, deuxièmement, nécessaire, ce qui implique qu’il n’existe pas de mesures alternatives moins attentatoires aux droits au respect de la protection des données à caractère personnel, mais tout aussi efficaces pour atteindre l’objectif invoqué (39), et si elle est, troisièmement, proportionnée à cet objectif, ce qui implique une pondération équilibrée entre, d’une part, l’objectif d’intérêt général visé et, d’autre part, les droits de la personne dont les données à caractère personnel sont collectées (40), la Cour étant compétente pour lui fournir les éléments d’interprétation utiles.

62. Je relève que la question posée ne concerne pas la collecte de certaines données d’état civil et d’identification, telles que les noms, la date de naissance, ainsi que le numéro civil unique. D’ailleurs, ces données constituent classiquement des éléments d’identification, y compris au terme de la législation bulgare relative à l’état civil et aux documents d’identité (41).

63. En revanche, la juridiction de renvoi se pose la question de la proportionnalité de la collecte systématique de certaines informations, telles que, premièrement, le lieu de naissance et la nationalité, deuxièmement, le lieu de résidence, la formation, la situation familiale, et le casier judiciaire et, troisièmement, le peuple d’appartenance, qu’il y a lieu d’évoquer successivement.

64. Premièrement, certaines de ces données, telles que le lieu de naissance et la nationalité, constituent des « données principales relatives à l’état civil » (42). Elles sont ainsi de nature à permettre de contrôler l’identité de la personne visée par l’acte d’accusation et d’éviter toute méprise. En outre, l’ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu’implique la collecte de telles informations n’est pas telle que, au terme d’une pondération des intérêts en cause, elle apparaisse comme disproportionnée au regard de l’objectif de vérification de l’identité poursuivi.

65. Deuxièmement, concernant la collecte des données supplémentaires relatives à la formation, à la situation familiale, au lieu de résidence et au casier judiciaire, comme rappelé par la juridiction de renvoi et par la Commission dans leurs observations écrites, elle peut être pertinente à d’autres fins que l’identification. En effet, la formation et la situation familiale peuvent importer aux fins de l’individualisation de la peine. Le lieu de résidence peut jouer un rôle aux fins du transfèrement de l’exécution de la peine dans un autre État. De même, le casier judiciaire peut permettre de constater l’existence ou non d’une récidive. Toutefois, d’une part, ainsi que cela résulte des règles procédurales bulgares, ces informations, collectées par le président de chambre à ce stade de la vérification de l’identité de la personne qui comparaît devant lui, ne peuvent pas être utilisées pour rendre la décision au fond et n’ont pas de valeur probante. D’autre part, et en tout état de cause, il ne suffirait pas d’interroger la personne poursuivie et d’enregistrer ses réponses pour établir la fiabilité de ces données. En effet, des documents officiels, tels que le casier judiciaire, l’état civil ou l’obtention d’un diplôme, devraient être consultés ou produits.

66. Dans ces conditions, je suis d’avis qu’une réglementation qui impose, de manière indifférenciée et généralisée, de questionner systématiquement toute personne poursuivie en ce qui concerne ces données supplémentaires, puis d’enregistrer ces réponses au procès-verbal, est susceptible d’aller au-delà de ce qui est nécessaire en vue de la seule finalité de son identification. L’exigence d’identification n’impose pas, selon moi, de traiter systématiquement toutes les catégories de données listées, mais uniquement celles qui, au regard des circonstances concrètes, sont nécessaires pour dissiper un doute raisonnable quant à l’identité de la personne qui comparaît, ce qu’il incombe à la juridiction nationale d’apprécier.

67. Par ailleurs, à supposer même que l’on admette que certaines données relatives à la formation, à la situation familiale, au lieu de résidence et au casier judiciaire puissent, dans certains cas, être nécessaires à l’identification de la personne poursuivie, le principe de proportionnalité implique également d’effectuer une pondération de l’ensemble des éléments pertinents et de mettre en balance l’importance de l’objectif d’intérêt général poursuivi et la gravité de l’ingérence dans les droits fondamentaux et dans la protection des données à caractère personnel de la personne concernée (43). Or, la circonstance que ces données soient systématiquement demandées, ajoutée au fait que cette collecte ait lieu dans le cadre d’une audience publique, que ces données soient enregistrées au procès-verbal puis conservées au dossier accessible aux parties, est susceptible de constituer une ingérence allant au-delà de ce qu’exige l’identification à ce stade préliminaire de la procédure pénale.

68. Troisièmement, s’agissant de la donnée relative au « peuple d’appartenance », il y a lieu de rappeler que l’article 10 de la directive 2016/680 prévoit que le traitement des données sensibles est autorisé « uniquement en cas de nécessité absolue », laquelle constitue une condition renforcée de licéité du traitement de telles données et implique, notamment, un contrôle particulièrement strict du respect du principe de la « minimisation des données », tel qu’il découle de l’article 4, paragraphe 1, sous c), de cette directive, dont cette exigence constitue une application spécifique à ces données sensibles (44). L’emploi de l’adverbe « uniquement » devant l’expression « en cas de nécessité absolue » souligne que le traitement de ces catégories particulières ne peut être regardé comme admissible que dans un nombre limité d’hypothèses, tandis que le caractère « absolu » de la nécessité impose une appréciation particulièrement rigoureuse (45).

69. Une question systématique, posée en audience publique à toute personne poursuivie, relative à son « peuple d’appartenance » et concernant donc l’origine ethnique de cette personne, ne répond aucunement aux exigences posées à l’article 10 de la directive 2016/680 (46). En effet, l’identification de la personne poursuivie peut, en règle générale, être assurée par les données d’état civil et les éléments d’identification déjà disponibles, notamment par le biais des documents d’identité, sans recourir à un indicateur ayant trait à son origine ethnique. En outre, l’exigence de nécessité absolue implique de démontrer, sur la base d’éléments concrets, que, en l’absence de cette donnée particulière, l’objectif poursuivi ne peut pas être atteint de manière équivalente. Or, une obligation générale et indifférenciée de collecte d’une telle donnée à caractère personnel, imposée à ce stade de la procédure en vue de l’identification de la personne poursuivie et qui ne dépend pas d’une difficulté particulière liée à cette identification, me paraît par principe contraire à l’exigence de « nécessité absolue » formulée à l’article 10 de ladite directive (47).

70. Il résulte de tout ce qui précède que je suis d’avis de répondre à la juridiction de renvoi que l’article 4, paragraphe 1, sous c), l’article 8, paragraphe 1, et l’article 10 de la directive 2016/680 doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale, telle que l’article 272, paragraphe 1, du NPK, en ce qu’elle requiert que des données à caractère personnel de la personne poursuivie relatives au lieu de résidence, au niveau de formation, à la situation familiale, au casier judiciaire et au peuple d’appartenance soient systématiquement traitées (collectées, enregistrées et conservées) lors de la vérification de l’identité de cette personne dans le cadre d’une affaire pénale, alors même que ces données ne sont pas nécessaires à cette fin, ce qu’il appartient à la juridiction de renvoi de vérifier.

Conclusion

71. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre comme suit à la question préjudicielle posée par le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie) :

L’article 4, paragraphe 1, sous c), l’article 8, paragraphe 1, et l’article 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977JAI du Conseil,

doivent être interprétés en ce sens que :

ils s’opposent à une réglementation nationale, telle que l’article 272, paragraphe 1, du nakazatelno-protsesualen kodeks (code de procédure pénale bulgare), en ce qu’elle requiert que des données à caractère personnel de la personne poursuivie, relatives au lieu de résidence, au niveau de formation, à la situation familiale, au casier judiciaire et au peuple d’appartenance, soient systématiquement traitées (collectées, enregistrées et conservées) lors de la vérification de l’identité de cette personne dans le cadre d’une affaire pénale, alors même que ces données ne sont pas nécessaires à cette fin, ce qu’il appartient à la juridiction de renvoi de vérifier.

1 Langue originale : le français.

i Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.

2 Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

3 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

4 DV no 86, du 28 octobre 2005, tel que modifié et complété par le DV no 39, du 1er mai 2024.

5 DV no 67, du 27 juillet 1999, tel que modifié et complété par le DV no 85, du 8 octobre 2024.

6 DV no 93, du 11 août 1998, tel que modifié et complété par le DV no 67, du 4 août 2023.

7 DV no 64, du 7 août 2007, tel que modifié et complété par le DV no 67, du 9 août 2024.

8 DV no 56, du 13 juillet 1991.

9 Il peut être ainsi discuté de la question de savoir si le juge de renvoi collecte lui-même les données ou si elles ont déjà été collectées auparavant par l’autorité compétente (voir, à cet égard, article 138, paragraphe 2, du NPK).

10 Voir article 2, paragraphe 2, sous d), du RGPD.

11 Il reste que le RGPD s’applique au traitement des données à caractère personnel effectué par une « autorité compétente » au sens de l’article 3, paragraphe 7, de la directive 2016/680, lorsqu’elle agit à d’autres fins, concernant par exemple l’emploi, la formation du personnel, l’archivage, la recherche ou les statistiques. Voir, en ce sens, arrêt du 21 juin 2022, Ligue des droits humains (C-817/19, EU:C:2022:491, point 72 et jurisprudence citée). Voir, également, Leiser, M. et Custers, B., « The Law Enforcement Directive : Conceptual Challenges of EU Directive 2016/680 », European Data Protection Law Review, vol. 5, no 3, 2019, p. 367 à 378, spéc. p. 371.

12 Je suis d’avis, en revanche, que l’article 3, paragraphe 7, sous b), de la directive 2016/680 ne concerne pas les juridictions, mais vise, sous l’expression « tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales » à appréhender des organismes privés. On peut penser ici à des forces de police privatisées ou à des prisons dirigées par une entité privée. Voir, à cet égard, Purtova, N., « Between the GDPR and the Police Directive : navigating through the maze of information sharing in public–private partnerships », International Data Privacy Law, vol. 8, no 1, février 2018, p. 52 à 68. Voir, également, De Hert, P. et Sajfert, J., « Chapter 10 : Variety, velocity and volume of personal data in criminal investigations and proceedings : the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680 », dans Research Handbook on EU Criminal Law, Mitsilegas, V., Bergström, M. et Quintel, T., (éds), Edward Elgar Publishing, 2024, 2e éd., p. 212 à 228.

13 Selon ce considérant, « [b]ien que la présente directive s’applique également aux activités des juridictions nationales et autres autorités judiciaires, la compétence des autorités de contrôle ne devrait pas s’étendre au traitement des données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance des juges dans l’accomplissement de leurs missions judiciaires ».

14 Voir, par analogie, s’agissant de la disposition analogue du RGPD, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens (C-245/20, EU:C:2022:216, point 26). Cet arrêt concernait un contentieux administratif relatif à un traitement mis en œuvre par une juridiction dans le cadre de la mise à disposition temporaire auprès de journalistes des pièces issues d’une procédure juridictionnelle contenant des données à caractère personnel, traitement qui a été considéré comme relevant de l’exercice de sa fonction juridictionnelle au sens du RGPD.

15 Voir, à cet égard, Tosconi, L. et Bygrave, L. A., « Article 3 – Definitions », dans The EU Law Enforcement Directive (LED) : A Commentary, Kosta, E. et Boehm, F., (éds), Oxford University Press, 2024, p. 79 à 132, spéc. p. 104, no 7.2.4, citant également les minutes de la 12e réunion du groupe d’experts de la Commission sur le RGPD et la directive 2016/680, du 2 octobre 2017, mentionnant l’accord des États membres pour que cette directive s’applique aux juridictions pénales (document disponible à l’adresse suivante : https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=fr&groupID=3461).

16 En particulier, l’article 18 de ladite directive, intitulé « Droits des personnes concernées lors des enquêtes judiciaires et des procédures pénales », concerne l’exercice des droits d’information, d’accès, de rectification et d’effacement, et prévoit que ces droits sont exercés conformément au droit d’un État membre lorsque les données à caractère personnel figurent « dans une décision judiciaire ou un casier ou dossier judiciaire faisant l’objet d’un traitement lors d’une enquête judiciaire et d’une procédure pénale ».

17 Voir considérant 20 de la directive 2016/680.

18 Ajoutons que, comme indiqué au considérant 20 de ladite directive, cela ne prive pas les États membres de la possibilité de préciser dans leurs règles de procédures pénales nationales ces opérations et procédures de traitement.

19 Si le champ d’application de la directive 2016/680 a fait l’objet d’arrêts de la Cour, ils ne portent pas sur cette question. Par exemple, les transporteurs aériens, même s’ils sont tenus à une obligation légale de transfert des données des dossiers passagers (PNR), ne sauraient être regardés comme étant des autorités compétentes, au sens de l’article 3, paragraphe 7, de la directive 2016/680 [voir arrêt du 21 juin 2022, Ligue des droits humains (C-817/19, EU:C:2022:491, point 81)]. Voir, également, conclusions de l’avocat général Pikamäe dans l’affaire Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2021:991, point 28) concernant la Vyriausioji tarnybinės etikos komisija (Haute commission de prévention des conflits d’intérêts dans le service public, Lituanie) à qui le RGPD a été appliqué (voir arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, ci-après l’« arrêt Vyriausioji tarnybinės etikos komisija », EU:C:2022:601). De même, la Ceļu satiksmes drošības direkcija (direction de la sécurité routière, Lettonie) n’est pas une « autorité compétente » au sens de la directive 2016/680 dans l’exercice des activités en cause au principal, qui consistent à communiquer au public, dans un but de sécurité routière, des données à caractère personnel relatives aux points de pénalités [voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, point 71)].

20 Arrêt du 8 décembre 2022 (C-180/21, ci-après l’« arrêt Inspektor », EU:C:2022:967). Dans cet arrêt, la question se posait de savoir si des données à caractère personnel, obtenues quand la personne en cause apparaissait comme une victime de l’infraction faisant l’objet de l’enquête, pouvaient être traitées par la suite contre elle en tant que personne mise en examen ou en tant qu’accusée, alors qu’elles avaient été collectées et traitées initialement à d’autres fins, à savoir aux fins de détection et d’enquête. C’est dans ce contexte que la Cour a jugé que, lorsque des données à caractère personnel ont été collectées à des fins de « détection » d’une infraction pénale et d’« enquêtes » sur celle-ci, et traitées ultérieurement à des fins de « poursuites », ladite collecte et ledit traitement répondent à des finalités différentes (point 44) et que l’appréciation du respect de la proportionnalité du traitement par le responsable du traitement devait être menée en tenant chacune de ces finalités pour spécifique et distincte (point 56).

21 Arrêt Inspektor (point 59).

22 Voir conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C-180/21, EU:C:2022:406, note en bas de page 15). Tel est le cas notamment des versions en langues allemande, française, anglaise, italienne et néerlandaise de la directive 2016/680, à l’exception de la version en langue espagnole, qui fait référence à l’« enjuiciamiento » (procédure juridictionnelle) à proprement parler, lequel est exclusivement réservé aux organes juridictionnels.

23 Sur la diversité des systèmes nationaux et le caractère complémentaire des fonctions respectives du juge et du ministère public, voir avis conjoint du conseil consultatif de juges européens (CCJE) et du conseil consultatif de procureurs européens (CCPE) sur les relations entre les juges et les procureurs [1075e réunion] [CM(2009)192 ]. Voir, également, pour une approche comparée, Pradel, J., Droit pénal comparé, Dalloz, Paris, 2016, 4e éd., spéc. no 145 et suiv. Voir, également, sur la transposition de la directive 2016/680 dans différents États membres, Franssen, V. et Corhay, M., « Article 18 Rights of the data subject in criminal investigations and proceedings », dans The EU Law Enforcement Directive (LED) : A Commentary, op. cit.,p. 321 à 330, spéc. sous-titre B.3., intitulé « National legislation », p. 325 à 328.

24 Dans son avis no 6/2015, Une nouvelle étape vers une protection européenne complètes des données, du 28 octobre 2015, au point VI concernant les pouvoirs des autorités de contrôle, le Comité européen de protection des données (CEPD) a lui-même souligné l’importance des différences des systèmes nationaux des États membres et le fait qu’il n’est pas toujours clair de savoir si et quand les procureurs sont des « autorités judiciaires indépendantes » et dans quelle mesure leurs activités constituent des activités judiciaires. Voir, également, les minutes de la 15e réunion du groupe d’experts de la Commission sur le RGPD et la directive 2016/680, du 20 février 2018, qui évoquent, au point 5, les difficultés de transposition de la directive à ce sujet, certains États membres soulignant que leurs procureurs ont le même niveau d’indépendance que leurs juges (disponible à l’adresse suivante : https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=3656&fromExpertGroups=true).

25 Voir arrêt Inspektor (point 53), dans lequel la Cour a souligné que « dans le cadre du traitement des données à caractère personnel à des fins de “poursuites”, ces données visent à établir le caractère suffisamment probant des faits imputés aux personnes poursuivies ainsi que l’exactitude de la qualification pénale de ces faits, en vue de permettre à la juridiction compétente de statuer ».

26 Comme indiqué lors de l’audience, il n’existe pas de juge d’instruction en droit pénal bulgare, mais une « enquête juridictionnelle » ou « instruction judiciaire » qui succède à l’enquête policière.

27 Voir, sur l’interprétation stricte des exceptions à l’application du RGPD, arrêt Inspektor (point 78), dont il résulte que, lorsque le parquet agit aux fins de la défense de l’État dans le cadre d’un recours en responsabilité administrative, il n’a pas pour objectif d’assurer les missions incombant à ce parquet aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680 ; c’est donc le RGPD qui s’applique. De même, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du RGPD, dès lors que ces données ne sont pas collectées dans l’objectif spécifique d’exercer des poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal [voir arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C-175/20, EU:C:2022:124, points 44 à 46)].

28 Décision-cadre du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO 2008, L 350, p. 60). Son champ d’application était limité au traitement transfrontière des données à caractère personnel.

29 Conférence des représentants des gouvernements des États membres, Acte final, adopté à Bruxelles le 3 décembre 2007 (CIG 15/07), disponible à l’adresse suivante : https://data.consilium.europa.eu/doc/document/CG-15-2007-INIT/fr/pdf.

30 Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, du 25 janvier 2012 [COM(2012) 0010].

31 Voir De Hert, P. et Papakonstantinou, V., « The New Police and Criminal Justice Data Protection Directive. A First Analysis », New Journal of European Criminal Law, vol. 7, no 1, 2016, p. 7 à 19 ; et Brière, C., « Défaut de transposition de la directive sur la protection des données dans le domaine pénal : vers une application ordinaire de l’article 260, paragraphe 3, TFUE. CJUE (8e ch.), 25 février 2021, Commission européenne/Royaume d’Espagne (Directive données à caractère personnel – Domaine pénal), aff. C-658/19, EU:C:2021:138 », Revue des affaires européennes, vol. 1, 2021, p. 223 à 233.

32 Voir, à cet égard, Sajfert, J. et Quintel, T., « Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities », SSRN Electronic Journal, 2017, spéc. sous-titre I.1 intitulé « Meandering between the Directive and the GDPR », selon lesquels la distinction entre les champs d’application respectifs du RGPD et de la directive 2016/680 ne sont pas évidents. Ils citent l’exemple d’un agent de police qui traite des données à caractère personnel à des fins d’archivage et relève dans ce cas du RGPD, mais indiquent que l’instrument applicable est moins clair lorsque cet agent agit à des fins d’identification dans le domaine de la migration et du contrôle des frontières : le franchissement illégal d’une frontière Schengen peut parfois être considérée comme une infraction pénale, mais si le migrant en situation irrégulière demande l’asile, le traitement peut relever du RGPD ou d’un autre cadre sectoriel pertinent, nonobstant la procédure pénale engagée. Cela démontre la complexité pour les autorités compétentes d’appliquer deux régimes juridiques différents en fonction de la finalité du traitement. Voir, également, Vogiatzoglou, P., « Article 2 – Scope », dans The EU Law Enforcement Directive (LED) : A Commentary, op. cit., p. 67 à 78, spec. sous-titre C.2. intitulé « Between the LED and the GDPR », p. 74 à 75. Voir, aussi, Purtova, N., « Between the GDPR and the Police Directive : navigating through the maze of information sharing in public–private partnerships », op. cit.

33 Le principe de sécurité exige que l’application des règles de droit soit prévisible pour les justiciables [voir arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable) (C-548/21, EU:C:2024:830, point 76)].

34 Voir, à cet égard, Sajfert, J. et Quintel, T., « Data Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities », op. cit, spéc. sous-titre I.4 intitulé « Croquis of the Directive », p. 7, selon lesquels, par exemple, le responsable du traitement a plus de possibilités de limiter le droit d’accès et le droit d’obtenir des informations sur le refus éventuel de rectification, d’effacement ou de limitation du traitement au titre de l’article 13, paragraphe 3, l’article 15, paragraphe 3, et l’article 16, paragraphe 4, de la directive 2016/680 que dans le cadre de l’article 23 du RGPD. Il s’agit en effet d’« éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires » et d’éviter de nuire notamment aux poursuites en la matière [voir article 13, paragraphe 3, sous a) et b), de la directive 2016/680]. Voir, aussi, Purtova, N., « Between the GDPR and the Police Directive : navigating through the maze of information sharing in public–private partnerships », op. cit., spéc. p. 60 ; ainsi que De Hert, P., et Sajfert, J., « Chapter 10 : Variety, velocity and volume of personal data in criminal investigations and proceedings : the limits drawn by the purpose limitation and data minimization principles in Directive (EU) 2016/680 », op. cit., p. 222.

35 À titre indicatif, je relève que la juridiction de renvoi indique avoir saisi le Konstitutsionen sad (Cour constitutionnelle) afin qu’elle constate l’incompatibilité de la disposition nationale en cause au principal avec la Konstitutsia na Republika Bulgaria (Constitution de la République de Bulgarie). Cette demande aurait toutefois été rejetée comme irrecevable au motif que la juridiction de renvoi n’aurait pas tenu compte du huitième chapitre du Zakon za zashtita na lichnite danni (loi relative à la protection des données à caractère personnel), du 1er janvier 2002 (DV no 1, du 4 janvier 2002, tel que modifié et complété par le DV no 70, du 20 août 2024) (ci-après le « ZZLD »), qui transpose la directive 2016/680. La juridiction de renvoi estime cependant que la réglementation du ZZLD est générale et que, l’article 272, paragraphe 1, du NPK étant une loi spéciale, il reste applicable. Je rappelle que la juridiction de renvoi est compétente pour interpréter son droit national [voir arrêt du 30 avril 2024, M. N. (EncroChat) (C-670/22, EU:C:2024:372, point 76)], et suis donc d’avis qu’il y a lieu de répondre à la question telle que posée, présumée pertinente [voir arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) (C-205/21, ci-après l’« arrêt Ministerstvo na vatreshnite raboti », EU:C:2023:49, point 54)].

36 Voir arrêt du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia (C-118/22, ci-après l’« arrêt Direktor na Glavna direktsia », EU:C:2024:97, point 39).

37 Voir arrêt Ministerstvo na vatreshnite raboti (point 116 et jurisprudence citée). Sur la notion d’« origine ethnique » dans un autre contexte, voir arrêt du 18 décembre 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge (C-417/23, EU:C:2025:1017, points 71 et suiv.), concernant la directive 2000/43/CE du Conseil, du 29 juin 2000, relative à la mise en œuvre du principe de l’égalité de traitement entre les personnes sans distinction de race ou d’origine ethnique (JO 2000, L 180, p. 22).

38 Il ne s’agit pas ici d’une collecte de données par la police lors de l’enquête à des fins d’identification ou de comparaison future de la personne poursuivie comme c’était le cas par exemple dans l’affaire ayant donné lieu à l’arrêt du 20 novembre 2025, Policejní prezidium (Conservation de données biométriques et génétiques) (C-57/23, EU:C:2025:905, point 84).

39 Voir, par analogie, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, points 109 et 110).

40 Voir, par analogie, arrêt Vyriausioji tarnybinės etikos komisija (point 98 et jurisprudence citée). Voir, également, arrêt Direktor na Glavna direktsia (point 62).

41 Voir points 12 à 15 des présentes conclusions.

42 Voir article 8, paragraphe 1, du ZGR dont le contenu se trouve au point 12 des présentes conclusions.

43 Voir, par analogie, arrêt Vyriausioji tarnybinės etikos komisija (point 98 et jurisprudence citée). Voir, également, arrêt Direktor na Glavna direktsia (point 62).

44 Voir arrêt Direktor na Glavna direktsia (point 48 et jurisprudence citée).

45 Voir arrêts Ministerstvo na vatreshnite raboti (points 118 et suiv.) et du 20 novembre 2025, Policejní prezidium (Conservation de données biométriques et génétiques) (C-57/23, EU:C:2025:905, point 78). Voir, également, conclusions de l’avocat général Szpunar dans l’affaire Comdribus (C-371/24, EU:C:2025:631, points 43 et suiv.).

46 Je m’interroge d’ailleurs sur la raison d’être de cette question concernant le « peuple d’appartenance », qui est de nature à poser problème au regard des valeurs de l’Union au sens de l’article 2 TUE.

47 Voir, en ce sens, arrêt Ministerstvo na vatreshnite raboti (points 128 et 129) ; Simon, D., « Données personnelles – Traitement des données sensibles dans les procédures pénales », Revue Europe, LexisNexis, no 3, 2023, commentaire no 112.

Décisions similaires

Citées dans les mêmes commentaires3

  • Directive ·
  • Matériel ·
  • Commercialisation ·
  • Organisme nuisible ·
  • Plante ornementale ·
  • Etats membres ·
  • Fournisseur ·
  • Stade ·
  • Fleur ·
  • Plantation
3 commentaires
  • Etats membres ·
  • Procédure d’insolvabilité ·
  • Immunités ·
  • Règlement ·
  • Droit international ·
  • Juridiction ·
  • Action ·
  • Compétence internationale ·
  • Ouverture ·
  • Renonciation
2 commentaires
  • Directive ·
  • Paiement ·
  • Service ·
  • Entrepreneur ·
  • Sûretés ·
  • Prestataire ·
  • Client ·
  • Fondation ·
  • Utilisateur ·
  • Activité
3 commentaires

Citant les mêmes articles de loi3

  • Aide ·
  • Règlement ·
  • Etats membres ·
  • Interprétation ·
  • Langue ·
  • Version ·
  • Police d'assurance ·
  • Secteur agricole ·
  • Gestion des risques ·
  • Ligne
6 commentaires
  • Euribor ·
  • Commission ·
  • Taux d'intérêt ·
  • Ententes ·
  • Juridiction ·
  • Accord ·
  • Clause ·
  • Renvoi ·
  • Prêt ·
  • Règlement
5 commentaires
  • Royaume d’espagne ·
  • Etats membres ·
  • Contrôle ·
  • Commission ·
  • Agriculteur ·
  • Règlement d'exécution ·
  • Directive ·
  • Flore ·
  • Système ·
  • Conservation

De référence sur les mêmes thèmes3

  • Clauses abusives ·
  • Consommateur ·
  • Directive ·
  • Contrat de crédit ·
  • Assurance habitation ·
  • Banque ·
  • Assurance-vie ·
  • Crédit hypothécaire ·
  • Police ·
  • Droit national
1 commentaire
  • Conservation ·
  • Objectif ·
  • Site ·
  • Directive ·
  • Évaluation ·
  • Oiseau ·
  • Habitat naturel ·
  • Etats membres ·
  • Commission ·
  • Protection
4 commentaires
  • Immunités ·
  • Privilège ·
  • Protocole ·
  • Etats membres ·
  • Fonctionnaire ·
  • Parlement ·
  • Statut ·
  • Comités ·
  • Union européenne ·
  • Mandat
3 commentaires

Sur les mêmes thèmes3

  • Protection ·
  • Directive ·
  • Asile ·
  • Renvoi ·
  • Juridiction ·
  • Charte ·
  • Recours ·
  • Question ·
  • Examen ·
  • Pays
3 commentaires
  • Municipalité ·
  • Gestion des déchets ·
  • Concurrence ·
  • Directive ·
  • Marchés publics ·
  • Pouvoir adjudicateur ·
  • Service ·
  • Position dominante ·
  • Lettonie ·
  • Public
5 commentaires
  • Etats membres ·
  • Règlement ·
  • Certification ·
  • Acte authentique ·
  • Exécution ·
  • L'etat ·
  • Champ d'application ·
  • Origine ·
  • Titre exécutoire ·
  • Juridiction
4 commentaires

Textes cités dans la décision

  1. Directive Police-Justice - Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
  2. Directive 2000/43/CE du 29 juin 2000 relative à la mise en oeuvre du principe de l'égalité de traitement entre les personnes sans distinction de race ou d'origine ethnique
  3. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  4. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-5/25, Conclusions de l'avocat général de la Cour, 5 mars 2026
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CJUE, 5 mars 2026, C-5/25
Contactez notre service commercial au 01 84 80 33 48