Conclusions de l'avocat général M. G. Pitruzzella, présentées le 27 janvier 2022.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2022:65
• Date: 27 January 2022
• Celex Number: 62019CC0817
• Court: Court of Justice (European Union)

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. GIOVANNI PITRUZZELLA

présentées le 27 janvier 2022 (1)

Affaire C‑817/19

Ligue des droits humains

contre

Conseil des ministres

[demande de décision préjudicielle formée par la Cour constitutionnelle (Belgique)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Traitement des données des dossiers passagers (PNR) – Règlement (UE) 2016/679 – Champ d’application – Directive (UE) 2016/681 – Validité – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et article 52, paragraphe 1 »

Table des matières

I. Introduction

II. Le cadre juridique

A. Le droit de l’Union

1. La Charte

2. Le RGPD

3. La directive PNR

4. Autres actes pertinents de droit de l’Union

B. Le droit belge

C. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

III. Analyse

A. Sur la première question préjudicielle

B. Sur les deuxième, troisième, quatrième, sixième et huitième questions préjudicielles

1. Sur les droits fondamentaux énoncés aux articles 7 et 8 de la Charte

2. Sur l’ingérence dans les droits fondamentaux énoncés aux articles 7 et 8 de la Charte

3. Sur la justification de l’ingérence résultant de la directive PNR

a) Sur le respect de l’exigence selon laquelle toute limitation à l’exercice d’un droit fondamental prévu par la Charte doit être prévue par la loi

b) Sur le respect du contenu essentiel des droits énoncés aux articles 7 et 8 de la Charte

c) Sur le respect de l’exigence selon laquelle l’ingérence doit répondre à un objectif d’intérêt général

d) Sur le respect du principe de proportionnalité

1) Sur l’aptitude des traitements des données PNR visés par la directive PNR au regard de l’objectif poursuivi

2) Sur le caractère strictement nécessaire de l’ingérence

i) Sur la délimitation des finalités du traitement des données PNR

ii) Sur les catégories de données PNR visées par la directive PNR (deuxième et troisième questions préjudicielles)

– Sur le caractère suffisamment clair et précis des points 12 et 18 de l’annexe I (troisième question préjudicielle)

– Sur l’étendue des données énumérées à l’annexe I (deuxième question préjudicielle)

– Sur les données sensibles

iii) Sur la notion de « passager » (quatrième question préjudicielle)

iv) Sur le caractère suffisamment clair précis et limité au strict nécessaire de l’évaluation préalable des passagers (sixième question préjudicielle)

– Sur la confrontation avec des bases des données au sens de l’article 6, paragraphe 3, sous a), de la directive PNR

– Sur le traitement des données PNR à l’égard de critères préétablis

– Sur les garanties entourant le traitement automatisé des données PNR

– Conclusion sur la sixième question préjudicielle

v) Sur la conservation des données PNR (huitième question préjudicielle)

4. Conclusions sur les deuxième, troisième, quatrième, sixième et huitième questions préjudicielles

C. Sur la cinquième question préjudicielle

D. Sur la septième question préjudicielle

E. Sur la neuvième question préjudicielle

F. Sur la dixième question préjudicielle

IV. Conclusion

I. Introduction

1. Par la présente demande de décision préjudicielle, la Cour constitutionnelle (Belgique) pose à la Cour une série de dix questions préjudicielles portant sur l’interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après le (« RGPD ») (2), ainsi que sur la validité et sur l’interprétation de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (ci-après la « directive PNR ») (3) et de la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers (ci-après la « directive API ») (4). Ces questions ont été soulevées dans le cadre d’un recours introduit par l’association sans but lucratif Ligue des droits humains (LDH), visant à l’annulation totale ou partielle de la loi du 25 décembre 2016 relative au traitement des données des passagers (ci-après la « loi PNR ») (5), transposant en droit belge la directive PNR ainsi que la directive API.

2. Les questions que la Cour devra trancher dans la présente affaire s’inscrivent dans le cadre de l’un des principaux dilemmes du constitutionnalisme libéral démocratique contemporain : comment convient-il de définir l’équilibre entre l’individu et la collectivité à l’ère des données, lorsque les technologies numériques ont permis la collecte, la conservation, le traitement et l’analyse d’énormes masses de données à caractère personnel à des fins prédictives ? Les algorithmes, l’analyse des big data et l’intelligence artificielle utilisés par les autorités publiques peuvent servir à promouvoir et à protéger les intérêts fondamentaux de la société, avec une efficacité autrefois inimaginable : de la protection de la santé publique à la durabilité environnementale, de la lutte contre le terrorisme à la prévention de la criminalité, en particulier la criminalité grave. Dans le même temps, la collecte indifférenciée de données à caractère personnel et l’utilisation des technologies numériques par les pouvoirs publics peuvent donner naissance à un panoptique numérique, c’est-à-dire à un pouvoir public qui voit tout sans être vu. Un pouvoir omniscient qui peut contrôler et prévoir les comportements de tout un chacun et prendre les mesures qui s’imposent, jusqu’au résultat paradoxal, imaginé par Steven Spielberg dans le film Minority Report, d’ôter la liberté de manière préventive à l’auteur d’un délit qui n’a pas encore été réalisé. Comme on le sait, dans certains pays, la société prime sur l’individu et l’utilisation des données personnelles permet légitimement de réaliser une surveillance de masse efficace visant à protéger des intérêts publics considérés comme fondamentaux. À l’inverse, le constitutionnalisme européen – national et supranational – avec la place centrale accordée à l’individu et à ses libertés, met une barrière importante à l’avènement d’une société de la surveillance de masse, surtout après la reconnaissance des droits fondamentaux à la protection de la vie privée et à la protection des données à caractère personnel. Dans quelle mesure, cependant, cette barrière peut-elle être érigée sans porter gravement atteinte à certains intérêts fondamentaux de la société – tels que ceux précédemment cités à titre d’exemple – qui peuvent pourtant avoir des liens constitutionnels ? Nous sommes au cœur de la question de la relation entre individu et collectivité dans la société numérique. Une question qui nécessite, d’une part, la recherche et la mise en œuvre d’équilibres délicats entre les intérêts de la collectivité et les droits des individus, en partant de l’importance absolue que ces derniers ont dans le patrimoine constitutionnel européen, et d’autre part, la mise en place de garanties contre les abus. Ici aussi, nous sommes dans le cadre de la version contemporaine d’un thème classique du constitutionnalisme, car, comme l’affirmait de manière lapidaire Le Fédéraliste, les hommes ne sont pas des anges et c’est pourquoi des mécanismes juridiques sont nécessaires pour limiter et contrôler la puissance publique.

3. Telles sont les questions d’ordre général qui s’inscrivent dans le contexte des présentes conclusions, qui ne pourront que se limiter à interpréter le droit de l’Union, à la lumière de la jurisprudence antérieure de la Cour, en employant des techniques bien établies, parmi lesquelles figure celle de l’interprétation conforme. Une technique à laquelle on aura recours souvent, lorsque cela apparaît juridiquement possible, dans les présentes conclusions, dans le but de trouver l’équilibre nécessaire, du point de vue constitutionnel, entre les finalités publiques qui sous-tendent le système de transfert, de collecte et de traitement des données des dossiers passagers (ci-après les « données PNR »), et les droits consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

II. Le cadre juridique

A. Le droit de l’Union

1. La Charte

4. Aux termes de l’article 7 de la Charte, « [t]oute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».

5. Aux termes de l’article 8 de la Charte :

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

6. Conformément à l’article 52, paragraphe 1, de la Charte « [t]oute limitation de l’exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ».

2. Le RGPD

7. L’article 2, paragraphe 2, sous d), du RGPD exclut du champ d’application de ce règlement le traitement de données à caractère personnel effectué « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes...