La récente décision de la Cour de justice de l’Union européenne en date du 16 janvier 2023, est l’occasion de revenir sur une typologie de données bien particulières : Les données personnelles à caractère pénal.
L’affaire C-205/21 a permis à cette même juridiction de rappeler qu’une « collecte systématique des données biométriques et génétiques de toute personne mise en examen aux fins de leur enregistrement policier est contraire à l’exigence d’assurer une protection accrue à l’égard de données sensibles à caractère personnel ».

En quoi consiste une donnée personnelle à caractère pénal ?

A cet égard, le problème n’apparait pas tant à l’égard de la collecte de cette typologie de donnée mais bien dans le caractère systématique et dans l’absence d’un contrôle de nécessité opéré sur le traitement. Pour envisager au mieux le « traitement » réservé à ces données, il convient de revenir sur sa qualification afin d’en observer les contours.

Ces données relatives aux condamnations et aux infractions constituent la matière première et fondamentale de l’activité exercée tant par les forces de l’ordre que par l’autorité judiciaire. Dès lors, chaque donnée traitée à tous les stades de la procédure pénale, que ce soit lors de l’information, de l’enquête, de l’instruction ou du jugement peuvent être comprise dans cette typologie.

Ces données vont être stockées dans divers fichiers de police, transmises à une pluralité de destinataires et utilisées pour différentes finalités, ce qui démontre facilement l’importance d’une protection spécifique à leurs égards.  

Une pluralité de textes, pour une pluralité de régimes

Une pluralité de textes établit ainsi un encadrement de cette catégorie de données. Au niveau européen, le Règlement Général sur la Protection des Données (#rgpd)et la Directive Police-justice s’accordent à prévoir des dispositions en la matière.

Constituant le « paquet européen relatif à la protection des données », l’articulation de ces deux instruments se retrouve à l’échelle nationale, au sein de la célèbre Loi informatique et Liberté.

Il en ressort que seule une quantité restreinte d’acteurs à la possibilité de traiter des données personnelle à caractère pénal. Il s’agit ainsi des différentes juridictions et autorités publiques spécifiquement habilitées, des auxiliaires de justice ainsi que les personnes préparant une action en justice. Ces premières autorités publiques se voient alors être régies par, à la fois par ladite Directive, ainsi que par le RGPD alors que les autres acteurs demeurent seulement soumis à ce dernier.

Si le RGPD et la loi Informatique ne prévoient pas de cadre véritablement spécifique à ces données (à l’exception de la tenue des registres complet des condamnations pénales qui doivent être tenu que sous le contrôle de l’autorité publique, art. 10 RGPD), il faut se tourner vers la directive pour observer certaines particularités, dont notamment :

      • L’article 6 : « le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées »
      • L’article 8 : « le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente »
      • L’article 10 : « le traitement de données sensibles est autorisé uniquement en cas de nécessité absolue », comme l’a rappelé la CJUE dans l’arrêt présenté plus haut.

    En tout état de cause, le développement frénétique de l’intelligence artificielle et les prospectives en matière de justice prédictive laissent à penser qu’une (r)évolution semble se dégager en la matière et nous force à rester attentif tant aux développements techniques que juridiques.