CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. ATHANASIOS RANTOS
présentées le 15 juin 2023 (1)
Affaire C‑755/21 P
Marián Kočner
contre
Agence de l’Union européenne pour la coopération des services répressifs
« Pourvoi – Règlement (UE) 2016/794 – Agence de l’Union européenne pour la coopération des services répressifs (Europol) – Protection des données à caractère personnel – Articles 49 et 50 – Responsabilité d’Europol du fait d’un traitement incorrect de données – Considérant 57 – Nature de la responsabilité – Procédure pénale engagée en Slovaquie contre le requérant – Expertise réalisée par Europol aux fins de l’instruction – Extraction de données de téléphones mobiles et d’un périphérique USB appartenant au requérant – Prétendue divulgation non autorisée desdites données par Europol – Préjudice moral – Recours en indemnité – Lien de causalité »
I. Introduction
1. Par son pourvoi, M. Marián Kočner (ci-après le « requérant ») demande l’annulation de l’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T‑528/20, non publié, ci-après l’« arrêt attaqué », EU:T:2021:631), par lequel celui-ci a rejeté son recours tendant à obtenir l’indemnisation du préjudice moral qu’il estime avoir subi du fait de l’atteinte portée à son droit au respect de sa vie privée et familiale résultant, en substance, d’opérations de traitement de données par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol), dans le cadre d’une enquête pénale engagée à son encontre par les autorités slovaques à la suite de l’assassinat d’un journaliste et de la fiancée de celui-ci.
2. Le présent pourvoi offre à la Cour, pour la première fois, l’occasion de se prononcer, notamment, sur la nature de la responsabilité extracontractuelle d’Europol au titre des articles 49 et 50 du règlement (UE) 2016/794 (2), interprétés à l’aune du considérant 57 de ce règlement et, plus particulièrement, sur l’existence du régime spécial de responsabilité solidaire entre Europol et l’État membre dans lequel s’est produit un dommage en conséquence d’un traitement incorrect de données par Europol ou cet État membre.
II. Le cadre juridique
3. Aux termes des considérants 56, 57 et 65 du règlement Europol :
« (56) Il convient qu’Europol soit soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, agences et organes de l’Union, à l’exception des règles relatives à la responsabilité pour traitement illicite de données.
(57) Il peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre. Il convient, par conséquent, qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables.
[...]
(65) Europol traite des données qui exigent une protection particulière puisqu’elles comprennent des informations sensibles non classifiées et classifiées de l’UE. Il convient, par conséquent, qu’Europol établisse des règles en matière de confidentialité et de traitement de ces informations. Les règles en matière de protection des informations classifiées de l’UE devraient être compatibles avec la décision 2013/488/UE du Conseil [(3)]. »
4. En vertu de l’article 17, paragraphe 1, de ce règlement, Europol ne traite que les informations qui lui ont été fournies, notamment, par les États membres, conformément à leur droit national et à l’article 7 dudit règlement. En vertu du paragraphe 2 de cet article 17, Europol peut directement extraire et traiter des informations, y compris des données à caractère personnel, provenant de sources accessibles au public, y compris Internet et les données publiques.
5. L’article 32 du même règlement, intitulé « Sécurité du traitement », prévoit, à son paragraphe 1 :
« Europol met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, la modification et l’accès non autorisés, ou contre toute autre forme de traitement non autorisé. »
6. L’article 49 du règlement Europol, intitulé « Dispositions générales en matière de responsabilité et droit à réparation », énonce, à son paragraphe 3 :
« Sans préjudice de l’article 49 [(4)], en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions. »
7. Intitulé « Responsabilité du fait d’un traitement incorrect de données et droit à réparation », l’article 50 de ce règlement dispose :
« 1. Toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol conformément à l’article 340 [TFUE], soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national. La personne physique forme un recours contre Europol devant la Cour de justice de l’Union européenne ou contre l’État membre devant une juridiction nationale compétente de cet État membre.
2. Le conseil d’administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément au paragraphe 1, lequel statue à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l’article 263 [TFUE]. »
III. Les antécédents du litige
8. Dans le cadre d’une enquête menée par les autorités pénales slovaques à la suite de l’assassinat en Slovaquie, le 21 février 2018, d’un journaliste et de sa fiancée, Europol, à la demande de la Národná kriminálna agentúra (Agence nationale de lutte contre la criminalité, Slovaquie, ci-après la « NAKA »), a pris en charge, le 10 octobre 2018, deux téléphones portables qui auraient appartenu au requérant et, le 17 octobre 2018, un support de stockage USB.
9. S’agissant de ces téléphones portables, le 21 juin 2019, Europol a communiqué à la NAKA les rapports scientifiques définitifs relatifs aux opérations effectuées sur ceux-ci. Cette communication aurait été précédée, selon Europol, d’abord par la remise à la NAKA d’un disque dur contenant les données cryptées extraites desdits téléphones, attestée par un procès-verbal du 23 octobre 2018 (ci-après le « procès-verbal du 23 octobre 2018 »), et, ensuite, par la remise des téléphones en question à la NAKA, certifiée par un formulaire de réception/remise de preuves du 13 février 2019 (5).
10. Des articles de presse et une publication sur un site Internet pendant le mois de mai 2019 auraient mis à la disposition du public des informations relatives au requérant issues de ces téléphones portables, y compris des transcriptions de ses communications intimes.
11. S’agissant du support de stockage USB, dans son rapport du 13 janvier 2019, transmis à la NAKA le 14 février 2019, Europol a énoncé que le requérant était placé en détention pour présomption de délit financier depuis le 20 juin 2018 et que son nom était, entre autres, directement lié aux « listes dites mafieuses » et aux « Panama Papers » (6).
12. Par courrier du 4 mai 2020, le requérant a réclamé à Europol, sur le fondement de l’article 50, paragraphe 1, du règlement Europol, une indemnisation d’un montant de 100 000 euros, au titre de la réparation du préjudice moral qu’il estime avoir subi en raison, d’une part, de la publication dans la presse et sur Internet de données personnelles et, en particulier, de la publication des transcriptions de ses communications à caractère intime et sexuel et, d’autre part, de l’inscription de son nom sur les « listes des mafieux », dont la presse se serait fait l’écho à la suite de fuites portant sur le dossier de la procédure pénale nationale relative à l’assassinat mentionné au point 8 des présentes conclusions.
13. À la suite de l’enquête menée par les autorités pénales slovaques, visée au point 8 des présentes conclusions, le requérant, poursuivi pour complicité d’assassinat en qualité de commanditaire, a été acquitté en première instance par un jugement qui a été annulé par le Najvyšší súd Slovenskej republiky (Cour suprême de la République slovaque), qui a renvoyé l’affaire en première instance.
IV. La procédure devant le Tribunal et l’arrêt attaqué
14. Par acte déposé au greffe du Tribunal le 18 août 2020, le requérant a introduit un recours fondé sur les articles 268 et 340 TFUE ainsi que sur l’article 50, paragraphe 1, du règlement Europol tendant à obtenir l’indemnisation des préjudices moraux qu’il estime avoir subis en raison des comportements d’Europol. Il a demandé, respectivement, une réparation d’un montant de 50 000 euros pour le préjudice moral qu’il aurait subi du fait de la divulgation de données à caractère personnel (premier chef de demande) et une réparation d’un même montant pour le préjudice moral qu’il aurait subi du fait de l’inscription sur les « listes des mafieux » (second chef de demande).
15. Le Tribunal a rejeté ce recours. Il a conclu, s’agissant du premier chef de demande, que le requérant n’avait pas apporté la preuve d’un lien de causalité entre le dommage allégué et le comportement d’Europol (7) et, s’agissant du second chef de demande, que le requérant n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » auraient été élaborées et tenues par une institution de l’Union et notamment par Europol (8). Il a également précisé, s’agissant des deux chefs de demande, que ces conclusions n’étaient pas remises en cause par le considérant 57 du règlement Europol, ni par l’article 49 ou par l’article 50 de ce règlement (9).
V. La procédure devant la Cour et les conclusions des parties
16. Le 8 décembre 2021, le requérant a introduit un pourvoi contre l’arrêt attaqué. Il conclut à ce qu’il plaise à la Cour annuler l’arrêt attaqué et renvoyer l’affaire au Tribunal, ainsi que rendre une décision sur les dépens.
17. Europol, soutenue par la République slovaque en tant que partie intervenante, conclut à ce qu’il plaise à la Cour rejeter le pourvoi et condamner le requérant aux dépens.
VI. Analyse
A. Sur le pourvoi
18. À l’appui de son pourvoi, le requérant invoque six moyens, les premier à quatrième moyens concernant le préjudice moral subi en conséquence de la divulgation au public de données à caractère personnel (premier chef de demande en première instance) et les cinquième et sixième moyens concernant le préjudice moral subi en conséquence de l’inscription de son nom sur les « listes des mafieux » (second chef de demande en première instance) (10).
19. Europol excipe, au préalable, de l’irrecevabilité des premier et cinquième moyens, question qu’il convient d’emblée d’examiner.
1. Sur la recevabilité des premier et cinquième moyens, tirés d’erreurs concernant la nature de la responsabilité d’Europol
20. Europol fait valoir, pour l’essentiel, que les premier et cinquième moyens, tirés de ce que le Tribunal aurait commis une erreur de droit lorsqu’il a exclu la responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre, ont été soulevés, pour la première fois, au stade de la réplique en première instance. Il s’agirait donc de moyens nouveaux soulevés en cours d’instance et, par conséquent, irrecevables (11).
21. Le requérant rétorque avoir invoqué ces arguments dans sa requête en première instance, lorsqu’il a mentionné le considérant 57 du règlement Europol ainsi que l’article 50, paragraphes 1 et 2, de ce règlement.
22. À cet égard, je relève que, dans sa requête, le requérant a mis en cause la responsabilité d’Europol conformément à l’article 49, paragraphe 3, et à l’article 50 du règlement Europol ainsi que par renvoi au considérant 57 de ce règlement, qu’il a cité intégralement. Dans sa réplique, le requérant a ultérieurement étayé cet argument en précisant que, même s’il n’était pas établi qu’Europol était responsable du comportement contesté, ce dernier serait solidairement responsable du dommage causé avec l’État membre concerné.
23. Dans ces conditions, j’estime que le requérant a soulevé un moyen relatif, en substance, à la responsabilité solidaire d’Europol dans sa requête en première instance et que, dès lors, les premier et cinquième moyens du pourvoi sont recevables.
2. Sur les moyens concernant le préjudice moral subi en conséquence de la divulgation au public de données à caractère personnel (premier chef de demande en première instance)
a) Sur le premier moyen, tiré d’une erreur de droit dans la qualification de la responsabilité d’Europol du fait d’un traitement incorrect de données
24. Par son premier moyen, le requérant reproche au Tribunal, en substance, d’avoir exclu qu’Europol et l’État membre concerné étaient solidairement responsables des dommages nés d’un traitement illicite de données en méconnaissance du caractère contraignant du considérant 57 du règlement Europol.
25. Le requérant, tout en reconnaissant que le libellé de l’article 50, paragraphes 1 et 2, du règlement Europol ne contient pas de disposition expresse prévoyant une responsabilité solidaire d’Europol et de l’État membre concerné, considère qu’une telle responsabilité ressort néanmoins de cette disposition, interprétée à la lumière du considérant 57 de ce règlement.
26. Selon lui, premièrement, l’article 50, paragraphe 2, dudit règlement, lorsqu’il prévoit un règlement des différends entre Europol et l’État membre concerné, à travers le conseil d’administration d’Europol, ne pourrait être interprété autrement, sauf à priver cette disposition de toute signification.
27. Deuxièmement, l’existence d’une responsabilité solidaire d’Europol en l’espèce se fonderait également sur l’objectif de la réglementation en question, qui découle notamment du considérant 57 du règlement Europol et qui consisterait en la protection accrue de la partie lésée (12).
28. Troisièmement, les principes généraux du droit de l’Union permettraient, en tout état de cause, de déduire une responsabilité solidaire même en l’absence de réglementation expresse, eu égard à l’article 340 TFUE.
29. Europol, soutenue par la République slovaque, souligne, à titre liminaire, qu’une responsabilité solidaire de l’Union et de l’État membre concerné lorsque l’un et l’autre agissent conjointement n’est pas reconnue, en principe, dans le cadre de l’article 340, deuxième alinéa, TFUE, mais nécessite une mention explicite en ce sens de la part du législateur de l’Union.
30. En premier lieu, l’article 50 du règlement Europol ne serait pas applicable au traitement de données visé en l’espèce, car il s’appliquerait exclusivement aux traitements de données effectués dans le cadre des opérations et des missions d’Europol.
31. En deuxième lieu, cette disposition ne s’appliquerait qu’aux dommages causés conjointement par l’Union et par un État membre et ne saurait être appliquée en l’absence de tout comportement illégal d’Europol et sans que soit établi un lien de causalité.
32. En troisième lieu, tout d’abord, le considérant 57 de ce règlement, tout en faisant référence à la responsabilité solidaire, n’aurait pas de valeur contraignante et ne s’appliquerait pas en l’espèce. Ensuite, la notion de responsabilité solidaire présupposerait que plus d’une entité soit responsable du même préjudice et non qu’une entité dont la responsabilité n’est pas établie doive verser une indemnité. Enfin, le requérant n’aurait même pas introduit un recours en responsabilité contre l’État membre concerné (13).
33. Je rappelle que, dans l’arrêt attaqué, le Tribunal a jugé que l’article 49, paragraphe 3, et l’article 50, paragraphe 1, du règlement Europol se limitent à préciser qu’Europol doit réparer tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions, conformément aux conditions fixées à l’article 340 TFUE, et que la condition relative au lien de causalité n’était pas remplie (14). À cet égard, si le considérant 57 de ce règlement envisage un mécanisme de solidarité, celui-ci ne trouverait ni expression ni fondement dans les dispositions dudit règlement (15).
34. S’agissant de la responsabilité extracontractuelle de l’Union, il convient de relever que, conformément à l’article 340, deuxième alinéa, TFUE, « [e]n matière de responsabilité non contractuelle, l’Union doit réparer, conformément aux principes généraux communs aux droits des États membres, les dommages causés par ses institutions ou par ses agents dans l’exercice de leurs fonctions » (16). Selon une jurisprudence constante de la Cour, la responsabilité extracontractuelle de l’Union au titre de cette disposition suppose la réunion d’un ensemble de conditions en ce qui concerne l’illégalité du comportement reproché aux institutions, la réalité du dommage et l’existence d’un lien de causalité entre le comportement et le préjudice invoqué (17). Le caractère cumulatif de ces conditions implique que, dès lors que l’une d’entre elles n’est pas remplie, la responsabilité non contractuelle de l’Union ne saurait être engagée (18).
35. S’agissant, plus particulièrement, de l’éventuelle responsabilité solidaire d’Europol sur le fondement de l’article 50 du règlement Europol, j’observe que, en principe, la responsabilité solidaire extracontractuelle implique que, si l’acte dommageable est imputable à plusieurs personnes, celles-ci sont obligées solidairement à la réparation du préjudice (19).
36. Selon une jurisprudence également constante de la Cour, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie. En outre, la genèse d’une disposition du droit de l’Union peut également révéler des éléments pertinents pour son interprétation (20).
37. En premier lieu, s’agissant du libellé de l’article 50, paragraphe 1, du règlement Europol, cette disposition prévoit, en substance, que toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol, conformément à l’article 340 TFUE (devant le juge de l’Union), soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national (devant la juridiction nationale compétente).
38. Il me semble que cette disposition n’amène pas, sur la base de son seul libellé, à une interprétation univoque quant à la nature de la responsabilité en question.
39. En effet, d’une part, l’emploi de l’expression « soit [...] soit » n’est pas concluant à cet égard (21). Cette expression pourrait indiquer tout aussi bien que la responsabilité d’Europol est alternative à celle de l’État membre concerné ou que la personne lésée peut s’adresser indifféremment à l’institution concernée ou à l’État membre concerné pour l’intégralité du préjudice.
40. D’autre part, le renvoi opéré par cette même disposition à l’article 340 TFUE n’est pas non plus concluant et, au vu du renvoi effectué par cette dernière disposition aux « principes généraux communs aux droits des États membres », comporte la nécessité d’une interprétation comparative, que j’effectuerai ci-après dans le contexte de l’interprétation téléologique de la disposition en question (22).
41. En deuxième lieu, en ce qui concerne le contexte dans lequel l’article 50, paragraphe 1, du règlement Europol s’insère, je remarque, premièrement, que le considérant 56 du règlement Europol précise qu’Europol est soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, aux agences et aux organes de l’Union, « à l’exception des règles relatives à la responsabilité pour traitement illicite de données ». S’agissant de ce traitement illicite de données, le considérant 57 de ce règlement ne pourrait être plus clair, lorsqu’il énonce qu’« [i]l convient [...] qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables », au motif qu’« [i]l peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre ».
42. Il est certes vrai, ainsi que le rappelle Europol, que le préambule d’un acte de l’Union n’a pas de valeur juridique contraignante et ne saurait être invoqué ni pour déroger aux dispositions mêmes de l’acte concerné ni pour interpréter ces dispositions dans un sens manifestement contraire à leur libellé (23). Néanmoins, au-delà de ces limites, les considérants constituent des éléments d’interprétation importants, qui sont de nature à éclairer la volonté de l’auteur de cet acte (24).
43. Partant, dans la mesure où l’intention du législateur de l’Union, exprimée sans équivoque au considérant 57 du règlement Europol, de favoriser la personne lésée en introduisant la responsabilité solidaire d’Europol et de l’État membre concerné ne se heurte pas au libellé de l’article 50 de ce règlement, j’en tire la conclusion que cet article peut (et doit) être interprété à la lumière de ce considérant.
44. Cette conclusion est confirmée par l’article 50, paragraphe 2, du règlement Europol, selon lequel le conseil d’administration de ce dernier est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément à l’article 50, paragraphe 1, de ce règlement.
45. En ce qui concerne, deuxièmement, l’argument d’Europol selon lequel, en substance, les activités de prise en charge et de décryptage effectuées par celui-ci sur les téléphones portables du requérant ne relèvent pas de la notion de « traitement de données à caractère personnel », au sens de l’article 50 du règlement Europol, je ne vois pas, et Europol n’explique pas, pour quelles raisons les activités de décryptage effectuées par Europol en l’espèce n’entreraient pas dans le cadre de la définition visée à l’article 88, paragraphe 2, sous a), TFUE, selon laquelle les tâches d’Europol peuvent comprendre « la collecte, le stockage, le traitement, l’analyse et l’échange des informations, transmises notamment par les autorités des États membres ou de pays ou instances tiers » (25).
46. En troisième lieu, il me semble évident que, parmi les objectifs du règlement Europol, celui-ci, ainsi qu’il ressort de son considérant 57, vise à faciliter, par le biais d’une responsabilité solidaire d’Europol et de l’État membre concerné, l’introduction d’un recours en indemnité par une personne lésée par un traitement incorrect de données. Cette position est confirmée par la genèse de la disposition en question ainsi que par une interprétation comparative de celle-ci à la lumière des principes généraux communs aux droits des États membres.
47. À cet égard, en ce qui concerne, premièrement, la genèse de l’article 50 du règlement Europol, je remarque que les libellés de cet article et du considérant 57 ressortent, tels quels, de la proposition initiale de la Commission (26), ce qui renforce l’interprétation selon laquelle ledit article transpose l’intention du législateur de l’Union, telle qu’exprimée à ce considérant, d’introduire une forme de responsabilité solidaire d’Europol et de l’État membre concerné (27).
48. En outre, contrairement à l’argument soutenu par Europol, l’application de cette disposition ne saurait être limitée à la situation de préjudice causé conjointement par l’Union et un État membre, puisque, dans une telle situation, il incombe, à mon avis, au juge compétent de juger de la responsabilité respective des entités ou des personnes ayant causé le dommage (28).
49. En ce qui concerne, deuxièmement, l’interprétation comparative de l’article 50, paragraphe 1, du règlement Europol, je rappelle que, conformément à cette disposition, la personne lésée peut faire valoir la responsabilité d’Europol « conformément à l’article 340 TFUE », lequel, à son deuxième alinéa, renvoie aux principes généraux communs aux droits des États membres (29).
50. À cet égard, il me semble qu’il existe une forme de convergence des ordres juridiques des États membres en ce qui concerne l’existence d’une responsabilité solidaire dans des situations dans lesquelles un même dommage est imputable à plusieurs personnes (30). D’ailleurs, les principes de droit européen de la responsabilité civile vont dans le même sens (31).
51. En outre, j’observe que le mécanisme de responsabilité solidaire n’est pas étranger au droit de l’Union en matière de traitement des données, puisque, notamment, l’article 82, paragraphe 4, du règlement 2016/679 introduit une telle responsabilité lorsque plusieurs responsables participent au même traitement (32).
52. Cette conclusion n’est pas mise en cause par le principe jurisprudentiel selon lequel, dans des situations de responsabilité concurrente de l’Union et d’un État membre, les particuliers prétendument lésés doivent d’abord saisir les juridictions nationales (33). En effet, si ce principe s’applique à des situations de responsabilité conjointe, son application à des situations de responsabilité solidaire viendrait à vider celle-ci de tout effet utile.
53. En conclusion, j’estime que le Tribunal a commis une erreur de droit lorsqu’il a exclu que l’article 50, paragraphe 1, du règlement Europol, interprété à la lumière du considérant 57 de ce règlement, introduit un régime de responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre.
54. Je propose donc d’accueillir le premier moyen du pourvoi.
55. Par conséquent, il conviendrait d’annuler l’arrêt attaqué en ce qu’il a exclu tout lien de causalité entre le dommage allégué par le requérant et un éventuel comportement d’Europol au seul motif que, pendant une certaine période, tant Europol que les autorités slovaques avaient été en possession des données contenues dans les téléphones portables en cause.
56. Cela étant, je relève que, pour qu’Europol puisse être tenue solidairement responsable du dommage allégué, il convient encore d’établir, notamment, l’existence d’un lien de causalité entre le comportement allégué et ce dommage (34). En effet, l’existence d’une responsabilité solidaire requiert que les différents faits dommageables soient de nature à produire le dommage allégué, quelle que soit la violation qui a été la cause immédiate et déterminante de l’événement (35).
57. Or, il est certes vrai que l’existence de ce lien de causalité en l’espèce est le fil conducteur des arguments développés dans le cadre des deuxième à quatrième et sixième moyens du pourvoi.
58. Toutefois, étant donné que, dans l’arrêt attaqué, le Tribunal s’est limité, en substance, à se prononcer sur l’absence d’un lien de causalité « exclusif » entre le comportement d’Europol et le dommage allégué, et que cette analyse ne permet pas d’apprécier l’existence d’un lien de causalité tel que requis dans une situation de responsabilité solidaire, j’estime que, dans l’hypothèse où la Cour retiendrait ma proposition d’accueillir le premier moyen, il conviendrait d’annuler l’arrêt attaqué et de renvoyer l’affaire au Tribunal, en ce qui concerne le premier chef de demande en première instance, pour que celui-ci se prononce sur la question du lien de causalité dans le cadre de la responsabilité solidaire, ainsi que, le cas échéant, sur les autres conditions auxquelles est soumise la responsabilité extracontractuelle de l’Union et de ses institutions ou organes (36).
59. Pour autant, dans l’hypothèse où la Cour ne serait pas d’accord avec la solution que j’ai proposée, j’examinerai également, ci-après, les autres moyens du pourvoi (37).
b) Sur le deuxième moyen, tiré d’une erreur dans l’interprétation du droit national régissant le contenu d’un dossier d’enquête
60. Par son deuxième moyen, le requérant fait valoir que, contrairement aux règles nationales précisant le contenu d’un dossier d’enquête (38), le procès-verbal du 23 octobre 2018 ne faisait pas partie du dossier d’enquête le concernant, ce qui affecterait dès lors sa fiabilité.
61. Dans l’arrêt attaqué, le Tribunal s’est appuyé sur le procès-verbal du 23 octobre 2018 pour conclure que, à compter de cette date, Europol n’était pas la seule entité en possession des données contenues dans les téléphones portables en cause, puisque les autorités slovaques disposaient également de ces données (39).
62. En réponse à la contestation du requérant quant à l’authenticité de ce procès-verbal, le Tribunal a jugé que l’éventuel défaut d’intégration de ce document dans le dossier d’une procédure pénale ne saurait, en tant que tel, emporter des conséquences sur son authenticité et que le requérant n’avait nullement allégué le caractère altéré dudit procès-verbal (40).
63. À cet égard, il me semble que l’argument du requérant, en ce qui concerne l’éventuelle violation de règles nationales relatives au contenu du dossier – et qui, par ailleurs, ne concernent pas l’authenticité des documents y inclus – est inopérant, en ce qu’il ne suffit pas pour démontrer que le Tribunal a commis une erreur dans l’appréciation de la validité du procès-verbal du 23 octobre 2018 et encore moins qu’il a dénaturé cet élément de preuve en n’ayant pas tenu compte de la réglementation nationale invoquée par le requérant en première instance. En effet, il convient de distinguer, d’une part, l’éventuelle non-conformité de ce procès-verbal aux règles nationales relatives au contenu du dossier, qui affecterait, le cas échéant, la validité dudit procès-verbal en tant qu’élément de ce dossier (41), et, d’autre part, l’existence (et donc l’authenticité) de ce même procès-verbal et son éventuelle valeur probante dans le cadre de la présente affaire.
64. De même, au vu du caractère évidemment non pertinent de la réglementation nationale invoquée par le requérant afin d’entacher la valeur probatoire du procès-verbal en question, l’argument tiré d’un défaut de motivation de l’arrêt attaqué à cet égard, soulevé au demeurant par le requérant, ne saurait prospérer.
65. Je propose donc d’écarter le deuxième moyen du pourvoi.
c) Sur le troisième moyen, tiré d’erreurs de fait dans l’appréciation du lien de causalité, en ce qui concerne le premier chef de demande en première instance
66. Par son troisième moyen, le requérant fait valoir, en premier lieu, que le procès-verbal du 23 octobre 2018 (dont l’authenticité est, par ailleurs, contestée) ne fait preuve que de la transmission de « résultats provisoires » sous la forme d’acquisitions et d’extractions des données, ce qui ne prouve pas qu’ont également été remises les « communications » qui font l’objet de la présente procédure (42).
67. À cet égard, je relève que, au point 68 de l’arrêt attaqué, le Tribunal a conclu que, à la date du procès-verbal susvisé, Europol n’était plus la seule entité détentrice des données litigieuses, qui étaient à partir de cette date accessibles aux autorités slovaques (43).
68. Or, il me semble que les doutes soulevés par le requérant à l’égard du contenu exact des données transmises par Europol aux autorités slovaques et son désaccord avec l’interprétation, de la part du Tribunal, de l’expression « résultats préliminaires » contenue dans le procès-verbal du 23 octobre 2018 ne suffisent pas à établir l’existence d’erreurs de fait ou d’appréciation qui entraîneraient une dénaturation des éléments de preuve de la part du Tribunal.
69. En deuxième lieu, le requérant avance que le Tribunal n’a pas établi qu’Europol n’a jamais eu à sa disposition les communications litigieuses sous une forme décryptée (44), que même une fuite sous forme cryptée aurait pu donner lieu au prétendu dommage, après avoir été décryptées par un tiers non autorisé (45), et que, en l’espèce, un décryptage aurait été particulièrement facile au vu du fait qu’Europol avait déjà extrait les fichiers avec les mots de passe associés.
70. Or, s’il ne saurait être exclu, ainsi que le prétend le requérant, que les données litigieuses aient pu faire l’objet d’une fuite même sous une forme cryptée, le requérant n’a présenté aucun élément ou indice qui laisserait supposer qu’une telle fuite s’est produite lorsque les téléphones portables en cause étaient à la disposition d’Europol (46), et encore moins que l’appréciation du Tribunal, selon laquelle les données cryptées n’ont pas été à l’origine de la fuite des communications litigieuses, est entachée d’une dénaturation des éléments de preuve (47).
71. En troisième lieu, le requérant réitère l’allégation selon laquelle le procès-verbal du 23 octobre 2018 aurait été antidaté, rejetée par le Tribunal comme n’étant assortie d’aucun commencement de preuve (48), sans fournir davantage d’éléments qui permettraient de déduire que le Tribunal a procédé à une dénaturation des faits (49).
72. En quatrième lieu, le requérant ajoute que les téléphones portables en cause avaient été remis aux fins de l’acquisition et de l’extraction sans le consentement préalable d’une juridiction ou d’une entité administrative indépendante, ce qui démontrerait l’existence d’un lien de causalité.
73. À cet égard, j’ai du mal à concevoir comment une éventuelle violation des normes en matière d’acquisition et d’extraction des données litigieuses puisse, à elle seule, prouver l’existence d’un lien entre cette acquisition ou cette extraction et la fuite de ces données dans le domaine public (50).
74. En effet, le fait que les données litigieuses aient été transmises par Europol aux autorités slovaques suffit, à mon avis, à briser le lien de causalité « exclusif » entre la fuite de ces données et le comportement d’Europol, indépendamment du fait que cette dernière disposait également desdites données sous une forme cryptée ou décryptée et du niveau de l’éventuel décryptage (51).
75. Je propose donc d’écarter le troisième moyen du pourvoi.
d) Sur le quatrième moyen, tiré d’un défaut de motivation et d’erreurs de droit en ce qui concerne l’administration de la preuve, de la dénaturation des éléments de preuve et de la violation des droits de la défense
76. Par la première branche de son quatrième moyen, le requérant reproche au Tribunal de ne pas avoir motivé sa constatation selon laquelle l’article 50, paragraphes 1 et 2, du règlement Europol ne saurait être considéré comme fondant une responsabilité solidaire et d’avoir violé les règles concernant la charge de la preuve.
77. Or, il ressort de l’analyse effectuée aux points 24 à 53 des présentes conclusions que la motivation du Tribunal a permis au requérant de comprendre les raisons pour lesquelles celui-ci a estimé que l’article 50 du règlement Europol ne fondait pas une responsabilité solidaire et de formuler ses arguments à leur encontre. Elle permet également à la Cour, à mon avis, d’exercer son contrôle juridictionnel.
78. Par la deuxième branche de son quatrième moyen, le requérant fait valoir, en substance, que le Tribunal a renversé la charge de la preuve en faisant peser sur lui en première instance la charge de démontrer que des informations avaient fuité des services d’Europol.
79. Dans l’arrêt attaqué, le Tribunal a conclu que le requérant n’avait pas rapporté la preuve d’un lien de causalité entre le dommage allégué et un éventuel comportement d’Europol et que cela suffisait pour exclure toute responsabilité de ce dernier au sens de l’article 340 TFUE.
80. Or, à mon avis, l’appréciation du Tribunal a été effectuée, en principe, à bon droit, à la lumière d’une jurisprudence constante selon laquelle il incombe à la partie mettant en cause la responsabilité non contractuelle de l’Union d’apporter des preuves concluantes de l’existence d’un lien suffisamment direct de cause à effet entre le comportement de l’institution en question et le dommage allégué (52).
81. Par la troisième branche de son quatrième moyen, le requérant reproche au Tribunal de ne pas avoir pris en considération en tant qu’élément de preuve le dossier d’enquête pénale nationale le concernant ainsi que le décret du ministère de la Justice slovaque (53), qui établit le contenu de ce dossier. En substance, le requérant réitère l’argument avancé dans le cadre du deuxième moyen, selon lequel le procès-verbal du 23 octobre 2018 devrait figurer dans le dossier d’enquête pénale le concernant, conformément aux prescriptions de ce décret.
82. À cet égard, il suffit de rappeler que, ainsi que je l’ai relevé dans le cadre de l’analyse du deuxième moyen, l’argument du requérant tiré de l’éventuelle violation des règles nationales relatives au contenu du dossier n’est pas pertinent, puisqu’un éventuel défaut de conformité de ce procès-verbal aux règles nationales relatives au contenu du dossier n’affecterait pas la valeur probante dudit procès-verbal dans le cadre de la présente affaire (54).
83. S’agissant de l’argument selon lequel le fait qu’Europol ait allégué qu’une photographie du procès-verbal du 23 octobre 2018 démontrerait que ce dernier ne disposait pas de ce procès-verbal et l’aurait obtenu des autorités slovaques dans le cadre de la procédure judiciaire, force est de constater qu’il s’agit, ainsi que l’explicite le requérant, d’une « conviction » de son avocat, qui n’est appuyée par aucun indice ou élément de preuve (55).
84. Par la quatrième branche de son quatrième moyen, le requérant reproche au Tribunal d’avoir violé ses droits de la défense, au motif qu’il n’a pas pu s’exprimer, lors de l’audience de plaidoiries du 30 juin 2021, sur l’antidatation du procès-verbal du 23 octobre 2018. Sans qu’il ne le précise explicitement, il semble évoquer une méconnaissance du principe du contradictoire.
85. Cependant, le requérant n’explique pas quels sont les arguments et les éléments qu’il aurait pu faire valoir si ses droits de la défense avaient été respectés ni que, en l’absence de la prétendue méconnaissance du principe du contradictoire, ses arguments auraient pu modifier la solution du litige (56).
86. Par ailleurs, aux points 74 à 78 de l’arrêt attaqué, le Tribunal s’est prononcé sur les arguments du requérant concernant cette prétendue antidatation, en observant notamment que ces arguments n’étaient soutenus par aucun commencement de preuve et que le requérant n’avait pas allégué, au stade de la réplique, le caractère altéré du procès-verbal du 23 octobre 2018 ou de sa copie.
87. En effet, le requérant se limite à relever que l’on ignore, à ce jour, où se trouve l’exemplaire original du procès-verbal du 23 octobre 2018, qu’il ne figure pas dans le dossier judiciaire de l’affaire dont il est censé provenir et qu’il ressortirait des documents provenant d’une autre affaire pénale qu’il existerait au moins deux exemplaires distincts de ce procès-verbal.
88. À cet égard, il convient de relever que, selon le principe de libre appréciation de la preuve, consacré par la jurisprudence de la Cour, la détermination de la valeur probante des éléments de preuve est laissée au pouvoir d’appréciation du Tribunal (57), sous réserve de la dénaturation de ces éléments de preuve, laquelle, selon une jurisprudence constante de la Cour, doit apparaître de façon manifeste des pièces du dossier, sans qu’il soit nécessaire de procéder à une nouvelle appréciation des faits et des preuves (58), ce qui ne me semble pas le cas en l’occurrence.
89. Je propose donc d’écarter le quatrième moyen du pourvoi.
3. Sur les moyens concernant le préjudice moral subi en conséquence de l’inscription du nom du requérant sur les « listes des mafieux » (second chef de demande en premier instance)
a) Sur le cinquième moyen, tiré d’une erreur de droit dans la qualification de la responsabilité d’Europol du fait d’un traitement incorrect de données
90. Par son cinquième moyen, qui renvoie entièrement au premier moyen, le requérant reproche, en substance, au Tribunal d’avoir exclu qu’Europol et l’État membre concerné étaient solidairement responsables des dommages nés d’un traitement illicite de données, en méconnaissance du caractère contraignant du considérant 57 du règlement Europol.
91. Ainsi qu’il ressort de l’analyse du premier moyen (59), le Tribunal a commis une erreur de droit en ce qu’il a exclu que l’article 50, paragraphe 1, du règlement Europol, interprété à la lumière du considérant 57 de ce règlement, introduit un régime de responsabilité solidaire entre Europol et l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données par Europol ou cet État membre.
92. Cela étant, j’observe que, en ce qui concerne le second chef de demande, le Tribunal a conclu, au point 102 de l’arrêt attaqué, que le requérant n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » sur lesquelles son nom aurait été inscrit auraient été élaborées et tenues par une institution de l’Union et, en particulier, par Europol.
93. À mon avis, l’erreur de droit commise par le Tribunal n’est pas de nature à remettre en question cette constatation, pour autant qu’elle n’est pas remise en cause par les arguments avancés dans le cadre du sixième moyen, ainsi que je l’examinerai ci-après.
94. Dans ces circonstances, je propose d’écarter le cinquième moyen du pourvoi comme étant inopérant.
b) Sur le sixième moyen, tiré d’erreurs de fait dans l’appréciation du lien de causalité en ce qui concerne le second chef de demande en première instance
95. Par son sixième moyen, le requérant fait valoir, en substance, que rien ne permettait à Europol d’établir un lien entre lui-même et les soi-disant « listes des mafieux ».
96. Toutefois, ainsi que le Tribunal l’a relevé, Europol, dans son rapport du 13 janvier 2019 (60), s’est limité à indiquer que le nom du requérant était, entre autres, « directement lié aux listes dites mafieuses et aux Panama Papers », sans l’inscrire sur une quelconque liste, et avait constaté que des articles de presse antérieurs à ce rapport avaient déjà fait état d’éventuelles implications mafieuses du requérant (61).
97. Cette conclusion n’est pas remise en cause par les arguments du requérant, qui se limitent, en substance, à faire valoir qu’Europol n’a pas expliqué la raison pour laquelle elle avait établi un lien entre le requérant et les « listes des mafieux » et que, par ce comportement, elle avait violé le principe de proportionnalité, étant donné que le « droit de tenir les listes de mafieux » n’a aucun fondement dans le droit national ou de l’Union.
98. En effet, par ces arguments, le requérant part de la prémisse, non démontrée, qu’Europol l’a effectivement inscrit sur ces « listes de mafieux », sans remettre en cause la conclusion du Tribunal figurant au point 102 de l’arrêt attaqué, selon laquelle il n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » sur lesquelles son nom aurait été inscrit auraient été élaborées et tenues par une institution de l’Union et, en particulier, par Europol.
99. Je propose donc d’écarter le sixième moyen du pourvoi et, en conséquence, de rejeter le pourvoi en ce qui concerne les moyens concernant le second chef de demande en première instance.
B. Sur le recours en première instance
100. Ainsi qu’il ressort de l’analyse qui précède, je propose d’annuler l’arrêt attaqué en ce qui concerne le premier chef de demande en première instance et de rejeter le pourvoi en ce qui concerne le second chef de demande en première instance.
101. En vertu de l’article 61 du statut de la Cour de justice de l’Union européenne, lorsque celle-ci annule la décision du Tribunal, elle peut statuer elle-même définitivement sur le litige, lorsque celui-ci est en état d’être jugé.
102. J’estime que tel n’est pas le cas dans la présente affaire.
103. En effet, je considère que l’erreur de droit commise par le Tribunal en ce qu’il a nié l’existence d’une responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre, implique une nouvelle appréciation factuelle du Tribunal relative à l’existence d’un lien de causalité entre le comportement d’Europol et le préjudice allégué par le requérant (62) et, le cas échéant, les autres conditions auxquelles est soumise la responsabilité extracontractuelle de l’Union et de ses institutions ou organes (63).
C. Sur les dépens
104. Étant donné que je propose de renvoyer l’affaire devant le Tribunal, il y a lieu, conformément à l’article 137 du règlement de procédure de la Cour, applicable à la procédure de pourvoi en vertu de l’article 184, paragraphe 1, de ce règlement, de réserver la décision sur les dépens des parties relatifs à la procédure de pourvoi.
VII. Conclusion
105. Eu égard aux considérations qui précèdent, je propose à la Cour :
– d’annuler l’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T‑528/20, non publié, EU:T:2021:631), en ce qui concerne le premier chef de demande ;
– de renvoyer l’affaire devant le Tribunal pour qu’il statue au fond sur le premier chef de demande,
– de rejeter le pourvoi pour le surplus ;
– de réserver les dépens.