Affaire T‑436/21
Leon Leonard Johan Veen
contre
Agence de l’Union européenne pour la coopération des services répressifs
Arrêt du Tribunal (huitième chambre) du 27 avril 2022
« Responsabilité non contractuelle – Coopération des autorités de police et autres services répressifs des États membres – Lutte contre la criminalité – Communication d’informations par Europol à un État membre – Prétendu traitement illicite de données – Règlement (UE) 2016/794 – Article 50, paragraphe 1 – Préjudice moral »
1. Coopération policière – Europol – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Traitement de ces données par Europol – Mention du nom d’une personne physique dans un rapport – Responsabilité du fait d’un traitement incorrect de données – Absence
[Règlement du Parlement européen et du Conseil 2016/794, considérants 12, 13, 24, 25 et 40, art. 3, § 1, 4, § 1, a) et b), 18, § 1, 2 et 4, et 50, § 1]
(voir points 32-36)
2. Coopération policière – Europol – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Traitement de ces données par Europol – Responsabilité en matière de protection des données – Inexactitude alléguée des données – Responsabilité d’Europol – Absence
(Règlement du Parlement européen et du Conseil 2016/794, considérant 47, art. 28 et 38, § 2, 4, 5 et 7)
(voir points 37, 38)
3. Coopération policière – Europol – Mention du nom d’une personne physique dans un rapport – Autorisation préalable d’un juge ou d’une autorité administrative indépendante avant tout traitement de données à caractère personnel – Absence
(Règlement du Parlement européen et du Conseil 2016/794)
(voir point 43)
4. Coopération policière – Europol – Mention du nom d’une personne physique dans un rapport – Droit d’être entendu préalablement à cette mention – Absence
(Règlement du Parlement européen et du Conseil 2016/794)
(voir point 44)
5. Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Limitation de l’exercice des droits et libertés consacrés par la charte – Conditions – Exigence tenant à l’inscription de la limitation dans une loi – Portée
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1 ; règlement du Parlement européen et du Conseil 2016/794, considérants 50 et 76)
(voir points 46-48)
Résumé
Dans le cadre de l’enquête faisant suite à une saisie de 1,5 tonne de méthamphétamine, la police slovaque a demandé l’assistance d’Europol (1), en lui indiquant que M. Veen était suspecté d’être impliqué dans le trafic de cette substance.
Sur la base d’informations transmises par les États membres, Europol a rédigé un rapport, dont la communication était limitée à la France, aux Pays-Bas, à la Slovaquie et aux États-Unis. Ce rapport indique que M. Veen a été impliqué dans plusieurs enquêtes néerlandaises et a fait l’objet d’un signalement dans le cadre d’enquêtes en Suède et en Pologne.
M. Veen estimait avoir subi un préjudice en raison du caractère inexact de la mention du fait qu’il aurait fait l’objet d’enquêtes en Suède et en Pologne. Il a alors introduit, sur le fondement du règlement relatif à Europol (2), un recours devant le Tribunal pour demander réparation du préjudice moral qu’il aurait subi à la suite de ce prétendu traitement illicite de données à caractère personnel par Europol.
Le Tribunal rejette le recours et applique, pour la première fois, le régime spécifique et autonome de la protection des données à caractère personnel dans le cadre de l’action d’Europol.
Appréciation du Tribunal
Tout d’abord, le Tribunal souligne que la mention dans un rapport d’Europol d’informations à caractère personnel relatives à une personne ne saurait en soi constituer une illégalité susceptible d’engager la responsabilité de celle-ci. En effet, Europol a notamment pour mission de collecter, stocker, traiter, analyser et échanger des informations, y compris des éléments de renseignement criminel, ainsi que de communiquer sans retard aux États membres toute information ou tout lien existant entre des infractions pénales qui les concernent.
À cette fin, le règlement relatif à Europol autorise cette agence à traiter des informations, y compris des données à caractère personnel, notamment en procédant à des recoupements destinés à établir des liens entre des informations relatives à différentes catégories de personnes (3). Elle doit toutefois respecter les garanties relatives à la protection des données prévues par ce règlement (4). Ainsi, cette protection présente un caractère autonome et adapté à la nature spécifique du traitement des données à caractère personnel dans un contexte répressif.
Dans ce cadre, le règlement relatif à Europol précise le partage de responsabilité en matière de protection des données personnelles entre notamment Europol et les États membres. Europol assume ainsi notamment la responsabilité du respect des principes généraux en matière de protection des données, à l’exception de l’exigence d’exactitude et de tenue à jour de ces données, ainsi que la responsabilité de toutes les opérations de traitement de données qu’elle effectue. Les États membres sont, pour leur part, responsables de la qualité des données à caractère personnel qu’ils fournissent à Europol ainsi que de la légalité de leur transfert.
Partant, à supposer même que les informations mentionnées dans le rapport soient fausses, Europol ne peut pas être tenue responsable de l’inexactitude éventuelle de données transmises par un État membre.
Ensuite, le Tribunal relève qu’Europol n’a pas l’obligation d’obtenir une autorisation préalable d’un juge ou d’une autorité administrative indépendante avant tout traitement de données à caractère personnel ni l’obligation d’entendre toute personne préalablement à la mention de telles données la concernant dans un rapport. Imposer à Europol cette dernière obligation pourrait remettre en cause l’effet utile du règlement relatif à Europol ainsi que l’action des autorités de police et des services répressifs déterminés.
Enfin, s’agissant des allégations de violation des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne relatifs au respect de la vie privée et familiale et à la protection des données à caractère personnel, le Tribunal rappelle que l’article 52, paragraphe 1, de la Charte, relatif à la portée des droits garantis, implique que la réglementation comportant une mesure permettant une ingérence dans ces droits doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales.
Or, le règlement relatif à Europol a été élaboré en vue d’assurer notamment le respect du droit à la protection des données à caractère personnel et le droit au respect de la vie privée, tout en poursuivant l’objectif de lutter efficacement contre les formes graves de criminalité affectant plusieurs États. Dans ce cadre, le législateur de l’Union a élaboré des règles claires et précises quant à la portée des pouvoirs dévolus à Europol, a assorti l’action de cette dernière d’exigences minimales en matière de protection des données à caractère personnel et a mis en place des structures de contrôle indépendantes, transparentes et responsables.
Dès lors, M. Veen n’ayant pas établi qu’Europol avait manqué aux obligations qui s’imposaient à elle, aucune violation des articles 7 et 8 de la Charte ne peut être constatée.