CJUE – Ligue des droits humains – C-817/19

Décision

🏷️ Nom:

Ligue des droits humains

🔢 Numéro:

C-817/19

📅 Date:

21 juin 2022

⚖️ Autorité:

Cour de Justice de l'UE

🌍 Pays:

Belgique

🔗 Lien:

Contexte

Par requête du 24 juillet 2017, la Ligue des droits humains a saisi la Cour constitutionnelle (Belgique) d’un recours tendant à l’annulation totale ou partielle de la loi du 25 décembre 2016. La juridiction de renvoi expose que cette loi transpose, en droit interne, la directive PNR et la directive API ainsi que, partiellement, la directive 2010/65. Il ressortirait des travaux préparatoires de ladite loi que celle-ci vise à « créer un cadre légal afin d’imposer à différents secteurs de transport de personnes à caractère international (aérien, ferroviaire, routier international et maritime), et opérateurs de voyage de transmettre les données de leurs passagers à une banque de données gérée par le [Service public fédéral intérieur (Belgique)] ». Le législateur national aurait également précisé que les finalités de la loi du 25 décembre 2016 relèvent de trois catégories, à savoir, premièrement, la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, deuxièmement, les missions des services de renseignement et de sécurité et, troisièmement, l’amélioration des contrôles aux frontières extérieures et la lutte contre l’immigration illégale.

Apport(s)
Applicabilité du RGPD - Traitements à finalité pénale issue des directives PNR et API - Admission - 1) Pour les traitements effectués par des opérateurs privés - 2) Pour les traitements effectués par des autorités publiques (sauf directive PNR) Extrait(s) pertinent(s)84 Eu égard aux considérations qui précèdent, il convient de répondre à la première question que l’article 2, paragraphe 2, sous d), et l’article 23 du RGPD doivent être interprétés en ce sens que ce règlement est applicable aux traitements de données à caractère personnel prévus par une législation nationale visant à transposer, en droit interne, à la fois les dispositions de la directive API, de la directive 2010/65 et de la directive PNR pour ce qui est, d’une part, des traitements de données effectués par des opérateurs privés et, d’autre part, des traitements de données effectués par des autorités publiques relevant, uniquement ou également, de la directive API ou de la directive 2010/65. En revanche, ledit règlement n’est pas applicable aux traitements de données prévus par une telle législation ne relevant que de la directive PNR, qui sont effectués par l’UIP ou par les autorités compétentes aux fins visées à l’article 1er, paragraphe 2, de cette directive. Article(s) du RGPD Article 2 – Champ d’application matériel Article 23 – Limitations Thème(s)Droits des personnes Limitation des droits Champ d'application Droit applicable Sécurité nationale Fait référence à > CJUE – Latvijas Republikas Saeima (Points de pénalité) – C-439/19 > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 > CJUE – Parlement / Conseil et Commission – C-317/04 et C-318/04 Autres informations
Traitements prévus par la directive PNR - Validité sous réserve d'une mise en œuvre limitée au strict nécessaire Extrait(s) pertinent(s)228. Eu égard à l’ensemble des considérations qui précèdent, dès lors qu’une interprétation de la directive PNR à la lumière des articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1, de la Charte assure la conformité de cette directive avec ces articles de la Charte, l’examen des deuxième à quatrième et sixième questions n’a révélé aucun élément de nature à affecter la validité de ladite directive. Article(s) du RGPD Thème(s)A classer Fait référence à > CJUE – Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) – C-746/18 > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 > CJUE – A e.a. – C-70/18 > CJUE – Privacy International – C-623/17 > CJUE – Digital Rights Ireland e.a. – C-293/12 et C-594/12 Autres informations
Législation nationale prévoyant la réutilisatoin des données PNR à des fins autres que celles prévues par la directive - Inconventionnalité Extrait(s) pertinent(s)236. En l’occurrence, dans la mesure où, selon la juridiction de renvoi, la législation nationale en cause au principal admet, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité, intégrant ainsi cette finalité dans la prévention et la détection des infractions terroristes et des formes graves de criminalité ainsi que dans les enquêtes et les poursuites en la matière, cette législation est susceptible de méconnaître le caractère exhaustif de l’énumération des objectifs poursuivis par le traitement des données PNR au titre de la directive PNR, ce qu’il incombe à la juridiction de renvoi de vérifier. 237. Partant, il convient de répondre à la cinquième question que l’article 6 de la directive PNR, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale qui autorise le traitement de données PNR recueillies conformément à cette directive à des fins autres que celles expressément visées à l’article 1er, paragraphe 2, de ladite directive. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Limitation des finalités Fait référence à Autres informations
Minimisation des données - Législation nationale prévoyant qu'une autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente habilitée à approuver la communication des données PNR - Inconventionnalité Extrait(s) pertinent(s)244. En outre et surtout, conformément à une jurisprudence constante rappelée aux points 223, 225 et 226 du présent arrêt, il est essentiel que l’accès des autorités compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante. 246 Par ailleurs, le fait que cette dernière disposition exige, à son point ii), en cas d’approbation de la communication de l’intégralité de ces données par une « autre autorité nationale compétente », que le délégué à la protection des données de l’UIP « en soit informé et procède à un examen ex post », alors que tel n’est pas le cas lorsque cette approbation est donnée par l’autorité judiciaire, n’est pas de nature à remettre en cause cette appréciation. En effet, selon une jurisprudence bien établie, un contrôle ultérieur, comme celui opéré par le délégué à la protection des données, ne permet pas de répondre à l’objectif du contrôle préalable, qui consiste à empêcher que soit autorisé un accès aux données en cause qui dépasse les limites du strict nécessaire. 247. Eu égard à l’ensemble de ces considérations, il convient de répondre à la septième question que l’article 12, paragraphe 3, sous b), de la directive PNR doit être interprété en ce sens qu’il s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente habilitée à approuver la communication des données PNR à l’expiration de la période de six mois suivant le transfert de ces données à l’UIP. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Minimisation Fait référence à Autres informations
Législation nationale prévoyant une durée de conservation générale des données PNR de 5 ans sans distinguer selon les différentes situations - Inconventionnalité Extrait(s) pertinent(s)262. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la huitième question que l’article 12, paragraphe 1, de la directive PNR, lu en combinaison avec les articles 7 et 8 ainsi qu’avec l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit une durée générale de conservation des données PNR de cinq ans, applicable indifféremment à tous les passagers aériens, y compris à ceux pour lesquels ni l’évaluation préalable visée à l’article 6, paragraphe 2, sous a), de cette directive, ni les éventuelles vérifications effectuées au cours de la période de six mois visée à l’article 12, paragraphe 2, de ladite directive, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Conservation limitée Fait référence à > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 Autres informations
Minimisation - Interprétation de la directive API (traitements des données API) - Applicabilité pour les vols intra-UE - Rejet Extrait(s) pertinent(s)266. Or, il ressort clairement de ces dispositions, lues à la lumière de l’article 2, sous a), b) et d), de la directive API, où sont définies les notions respectivement de « transporteur », de « frontières extérieures » et de « point de passage frontalier », que cette directive n’impose l’obligation, pour les transporteurs aériens, de transmettre les données visées à son article 3, paragraphe 2, aux autorités chargées des contrôles aux frontières extérieures que dans le cas des vols acheminant des passagers vers un point de passage autorisé pour le franchissement des frontières extérieures des États membres avec des pays tiers et prévoit seulement le traitement des données relatives à ces vols. 267. En revanche, ladite directive n’impose aucune obligation concernant les données des passagers voyageant sur des vols ne franchissant que des frontières intérieures entre les États membres. 269. Eu égard à ce qui précède, il y a lieu de répondre à la neuvième question, sous a), que la directive API doit être interprétée en ce sens qu’elle ne s’applique pas aux vols intra-UE. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Minimisation Fait référence à Autres informations
Portée des traitements des données PNR pour les vols intra-UE en l'absence de menace terroriste réelle ou prévisible - Limitation aux vols et/ou certaines liaisons ou à des schémas de voyage etc. pertinents Extrait(s) pertinent(s)291. Eu égard à l’ensemble de ces considérations, il convient de répondre à la neuvième question, sous b), que le droit de l’Union, en particulier l’article 2 de la directive PNR, lu à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, doit être interprété en ce sens qu’il s’oppose : – à une législation nationale qui prévoit, en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné, un système de transfert, par les transporteurs aériens et les opérateurs de voyage, ainsi que de traitement, par les autorités compétentes, des données PNR de l’ensemble des vols intra-UE et des transports effectués par d’autres moyens à l’intérieur de l’Union, en provenance ou à destination de cet État membre ou bien encore transitant par celui-ci, aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité. Dans une telle situation, l’application du système établi par la directive PNR doit être limitée au transfert et au traitement des données PNR des vols et/ou des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certains aéroports, gares ou ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les vols intra-UE et/ou les transports effectués par d’autres moyens à l’intérieur de l’Union pour lesquels de telles indications existent et de réexaminer régulièrement ladite application en fonction de l’évolution des conditions ayant justifié leur sélection, aux fins d’assurer que l’application de ce système à ces vols et/ou à ces transports est toujours limitée au strict nécessaire Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Minimisation Fait référence à Autres informations
Législation nationale prévoyant la réutilisation des données PNR à des fins de lutte contre l'immigration clandestine - Inconventionnalité Extrait(s) pertinent(s)291. Eu égard à l’ensemble de ces considérations, il convient de répondre à la neuvième question, sous b), que le droit de l’Union, en particulier l’article 2 de la directive PNR, lu à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, doit être interprété en ce sens qu’il s’oppose : [...] – à une législation nationale prévoyant un tel système de transfert et de traitement desdites données aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Limitation des finalités Fait référence à Autres informations
Possibilité pour une juridiction nationale de limiter les effets dans le temps d'une déclaration d'illégalité du traitement prévu par une législation nationale - Absence Extrait(s) pertinent(s)298. Eu égard aux considérations qui précèdent, il convient de répondre à la dixième question que le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’illégalité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux transporteurs aériens, ferroviaires et terrestres ainsi qu’aux opérateurs de voyage, le transfert des données PNR et prévoyant un traitement et une conservation de ces données incompatibles avec les dispositions de la directive PNR, lues à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE, des articles 7, 8 et 45 ainsi que de l’article 52, paragraphe 1, de la Charte. La recevabilité des éléments de preuve obtenus par ce moyen relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d’équivalence et d’effectivité. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Conservation limitée Limitation des finalités Fait référence à > CJUE – Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) – C-746/18 > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 Autres informations