Cauza C‑61/22
Detlev Sieber
împotriva
Landeshauptstadt Wiesbaden
(cerere de decizie preliminară formulată de Verwaltungsgericht Wiesbaden)
Hotărârea Curții (Marea Cameră) din 21 martie 2024
„Trimitere preliminară – Regulamentul (UE) 2019/1157 – Consolidarea securității cărților de identitate ale cetățenilor Uniunii Europene – Validitate – Temei juridic – Articolul 21 alineatul (2) TFUE – Articolul 77 alineatul (3) TFUE – Regulamentul (UE) 2019/1157 – Articolul 3 alineatul (5) – Obligația statelor membre de a integra pe suportul de stocare al cărților de identitate două amprente digitale în modele digitale interoperabile – Articolul 7 din Carta drepturilor fundamentale a Uniunii Europene – Respectarea vieții private și de familie – Articolul 8 din Carta drepturilor fundamentale – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 35 – Obligația de a realiza o evaluare a impactului referitoare la protecția datelor – Menținerea în timp a efectelor unui regulament declarat nevalid”
1. Acte ale instituțiilor – Alegerea temeiului juridic – Criterii – Existența unui temei juridic specific – Regulamentul privind consolidarea securității documentelor de identitate ale cetățenilor Uniunii și de ședere eliberate acestor cetățeni și membrilor de familie ai acestora care își exercită dreptul la liberă circulație – Adoptare în temeiul dispozițiilor specifice ale articolului 77 alineatul (3) TFUE, iar nu ale articolului 21 alineatul (2) TFUE
[art. 21 alin. (2) și art. 77 alin. (3) TFUE; Regulamentul 2019/1157 al Parlamentului European și al Consiliului]
(a se vedea punctele 46, 49-56 și 61)
2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Obligația operatorului de date cu caracter personal a căror prelucrare poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice de a efectua o evaluare prealabilă a impactului – Obligație care nu are vocația de a se aplica pentru adoptarea unui regulament care nu recurge el însuși la nicio prelucrare a datelor cu caracter personal – Încălcare – Inexistență
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 35 alin. (1) și (10), și Regulamentul 2019/1157 al Parlamentului European și al Consiliului]
(a se vedea punctele 66 și 67)
3. Drepturi fundamentale – Carta drepturilor fundamentale – Respectarea vieții private – Protecția datelor cu caracter personal – Prelevare și stocare a amprentelor digitale în cărțile de identitate ale cetățenilor Uniunii – Includere – Atingeri aduse drepturilor recunoscute la articolele 7 și 8 din cartă
[Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8; Regulamentul 2019/1157 al Parlamentului European și al Consiliului, art. 3 alin. (5)]
(a se vedea punctele 70, 72 și 73)
4. Drepturi fundamentale – Carta drepturilor fundamentale – Respectarea vieții private – Protecția datelor cu caracter personal – Regulamentul privind consolidarea securității documentelor de identitate ale cetățenilor Uniunii și de ședere eliberate acestor cetățeni și membrilor de familie ai acestora care își exercită dreptul la liberă circulație – Prelevare și stocare a amprentelor digitale în cărțile de identitate ale cetățenilor Uniunii – Ingerința în aceste drepturi fundamentale – Restrângerile exercitării acestor drepturi – Admisibilitate – Condiții
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, art. 8 și art. 52 alin. (1); Regulamentul 2019/1157 al Parlamentului European și al Consiliului, art. 3 alin. (5)]
(a se vedea punctele 75, 76, 79, 81, 84, 90-92, 98-101, 104, 108-110, 119, 120, 123 și 124)
5. Întrebări preliminare – Aprecierea validității – Declararea nevalidității unui regulament – Declararea nevalidității Regulamentului privind consolidarea securității documentelor de identitate ale cetățenilor Uniunii și de ședere eliberate acestor cetățeni și membrilor de familie ai acestora care își exercită dreptul la liberă circulație – Efecte – Limitare în timp
(Regulamentul 2019/1157 al Parlamentului European și al Consiliului)
(a se vedea punctele 126-128 și dispozitivele 1 și 2)
Rezumat
Sesizată cu o trimitere preliminară de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), Curtea, reunită în Marea Cameră, declară nevalid Regulamentul 2019/1157(1) privind consolidarea securității cărților de identitate ale cetățenilor Uniunii, întrucât a fost adoptat pe un temei juridic eronat. Aceasta constată totuși că introducerea obligatorie în cărțile de identitate a două amprente digitale, prevăzută de acest regulament, este compatibilă în special cu drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. Prin urmare, Curtea menține efectele acestuia până la intrarea în vigoare a unui nou regulament, bazat pe temeiul juridic specific adecvat, care să îl înlocuiască.
În noiembrie 2021, reclamantul din litigiul principal a solicitat orașului Wiesbaden(2) eliberarea unei noi cărți de identitate, solicitând ca aceasta să nu conțină amprentele sale digitale. Orașul Wiesbaden a respins cererea menționată pentru motivul, printre altele, că, începând de la 2 august 2021, integrarea a două amprente digitale pe suportul de stocare al cărților de identitate este obligatorie în temeiul dispoziției de drept național care transpune în esență articolul 3 alineatul (5) din Regulamentul 2019/1157.
La 21 decembrie 2021, reclamantul din litigiul principal a introdus la instanța de trimitere o acțiune împotriva deciziei orașului Wiesbaden, solicitând obligarea acestuia din urmă să îi emită o carte de identitate fără să îi fie colectate amprentele digitale.
Având îndoieli cu privire la legalitatea motivelor deciziei atacate, întrucât ridică în special problema dacă validitatea Regulamentului 2019/1157 nu ar fi ea însăși contestabilă, instanța de trimitere a suspendat judecarea cauzei pentru a solicita Curții să stabilească dacă acest regulament este lipsit de validitate pentru motivele că, în primul rând, ar fi fost adoptat în mod eronat în temeiul articolului 21 alineatul (2) TFUE, în locul articolului 77 alineatul (3) TFUE, în al doilea rând, ar încălca Regulamentul general privind protecția datelor(3) și, în al treilea rând, ar încălca articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene(4).
Aprecierea Curții
Cu privire la primul motiv de nevaliditate, întemeiat pe recurgerea la un temei juridic eronat
În ceea ce privește domeniul de aplicare al articolului 21 alineatul (2) TFUE și, respectiv, al articolului 77 alineatul (3) TFUE, Curtea arată că competența Uniunii atribuită prin prima dintre aceste două dispoziții de a adopta dispozițiile necesare în vederea facilitării exercitării dreptului cetățenilor Uniunii la liberă circulație și ședere pe teritoriul statelor membre(5) este conferită sub rezerva puterilor de acțiune prevăzute în acest sens de tratate. Or, articolul 77 alineatul (3) TFUE(6) prevede în mod explicit astfel de atribuții pentru adoptarea de dispoziții privind pașapoartele, cărțile de identitate, permisele de ședere sau oricare alt document asimilat emis cetățenilor Uniunii în scopul facilitării exercitării dreptului de liberă circulație și de ședere.
Desigur, această a doua dispoziție face parte din titlul TFUE consacrat spațiului de libertate, securitate și justiție și din capitolul intitulat „Politici privind controlul la frontiere, dreptul de azil și imigrarea”. Cu toate acestea, din articolul 77 alineatul (1) TFUE rezultă că Uniunea dezvoltă o politică care urmărește să asigure atât absența oricărui control asupra persoanelor la trecerea frontierelor interne, indiferent de cetățenie, cât și controlul persoanelor și supravegherea eficace la trecerea frontierelor externe, precum și să introducă treptat un sistem integrat de administrare a acestor frontiere. Or, dispozițiile(7) vizate la articolul 77 alineatul (3) TFUE fac parte integrantă dintr‑o astfel de politică a Uniunii. Astfel, în ceea ce îi privește pe cetățenii Uniunii, aceste documente le permit mai ales să ateste calitatea lor de beneficiari ai dreptului de liberă circulație și de ședere și implicit să își exercite acest drept. Prin urmare, articolul 77 alineatul (3) poate constitui temeiul adoptării unor măsuri privind documentele respective dacă o astfel de acțiune este necesară pentru a facilita exercitarea dreptului de liberă circulație și de ședere.
Această interpretare a domeniului de aplicare al articolului 77 alineatul (3) TFUE nu este infirmată nici de evoluția istorică a tratatelor în materia competenței Uniunii de a adopta măsuri privind, printre altele, pașapoartele și cărțile de identitate, nici de faptul că această dispoziție prevede aplicarea ei „[în cazul în care] tratatele nu au prevăzut atribuții în acest sens”.
În această privință, Curtea arată, pe de o parte, că, desigur, Tratatul de la Lisabona a eliminat dispoziția(8) care excludea în mod expres posibilitatea legiuitorului Uniunii de a recurge la articolul 18 alineatul (2) CE [devenit articolul 21 alineatul (2) TFUE] ca temei juridic pentru adoptarea, printre altele, a „dispozițiilor referitoare la pașapoarte [și] cărți de identitate”. Totuși, în același timp, acest tratat a conferit în mod expres Uniunii o competență de acțiune în acest domeniu, la articolul 77 alineatul (3) TFUE, care supune adoptarea măsurilor în domeniul menționat unei proceduri legislative speciale și îndeosebi unanimității în cadrul Consiliului.
În aceste condiții, eliminarea menționată nu poate implica faptul că ar fi de acum posibil să se adopte dispoziții privind pașapoartele și cărțile de identitate în temeiul articolului 21 alineatul (2) TFUE. Dimpotrivă, potrivit Curții, din evoluția istorică rezultă că, prin articolul 77 alineatul (3) TFUE, autorii tratatelor au intenționat să confere Uniunii, pentru adoptarea unor astfel de dispoziții care urmăresc să faciliteze exercitarea dreptului de liberă circulație și de ședere, o competență mai specifică decât competența mai generală prevăzută la articolul 21 alineatul (2) TFUE.
Pe de altă parte, Curtea interpretează indicația potrivit căreia articolul 77 alineatul (3) TFUE se aplică „[în cazul în care] tratatele nu au prevăzut atribuții în acest sens”, în sensul că atribuțiile vizate nu sunt cele conferite printr‑o dispoziție cu aplicabilitate mai generală, precum articolul 21 alineatul (2) TFUE, ci printr‑o dispoziție și mai specifică.
Curtea deduce de aici că Regulamentul 2019/1157 nu putea fi adoptat în temeiul articolului 21 alineatul (2) TFUE decât cu condiția ca finalitatea sau componenta principală ori preponderentă a acestui regulament să se situeze în afara domeniului de aplicare specific al articolului 77 alineatul (3) TFUE, care privește, în scopul facilitării exercitării dreptului de liberă circulație și de ședere, eliberarea pașapoartelor, a cărților de identitate, a permiselor de ședere sau a oricărui alt document asimilat.
Or, din finalitatea și din componentele principale ale Regulamentului 2019/1157 rezultă că acesta intră în domeniul de aplicare specific al articolului 77 alineatul (3) TFUE. Prin urmare, prin adoptarea acestui regulament în temeiul articolului 21 alineatul (2) TFUE și în cadrul procedurii legislative ordinare, legiuitorul Uniunii a recurs la un temei juridic eronat, ceea ce este de natură să determine nevaliditatea regulamentului menționat.
Cu privire la al doilea motiv de nevaliditate, întemeiat pe încălcarea articolului 35 alineatul (10) din RGPD
Arătând că Regulamentul 2019/1157 nu efectuează nicio operațiune aplicată datelor cu caracter personal, ci se limitează să prevadă efectuarea de către statele membre a anumitor prelucrări în cazul unei cereri de carte de identitate, Curtea constată că articolul 35 alineatul (1) din RGPD(9) nu avea vocația de a fi aplicat în cadrul adoptării Regulamentului 2019/1157. Întrucât articolul 35 alineatul (10) din RGPD instituie o derogare de la această din urmă dispoziție, adoptarea Regulamentului 2019/1157 nu a putut încălca, așadar, articolul 35 alineatul (10) menționat.
Cu privire la al treilea motiv de nevaliditate, întemeiat pe încălcarea articolelor 7 și 8 din cartă
În primul rând, Curtea arată că obligația de a integra două amprente digitale întregi pe suportul de stocare al cărților de identitate emise de statele membre, prevăzută la articolul 3 alineatul (5) din Regulamentul 2019/1157, constituie o restrângere atât a dreptului la respectarea vieții private, cât și a dreptului la protecția datelor cu caracter personal, consacrate la articolul 7 și, respectiv, la articolul 8 din cartă(10). În plus, această obligație implică realizarea prealabilă a două operațiuni de prelucrare a datelor cu caracter personal succesive, și anume colectarea amprentelor menționate de la persoana vizată, precum și stocarea lor provizorie în scopul personalizării cărților de identitate, care constituie de asemenea restrângeri ale drepturilor consacrate la articolele 7 și 8 din cartă.
În al doilea rând, Curtea examinează dacă restrângerile în discuție sunt justificate și proporționale.
În această privință, ea consideră, pe de o parte, că restrângerile în cauză respectă principiul legalității și nu aduc atingere substanței drepturilor fundamentale consacrate la articolele 7 și 8 din cartă.
Pe de altă parte, în ceea ce privește principiul proporționalității, Curtea precizează, în primul rând, că măsura în cauză urmărește mai multe obiective de interes general recunoscute de Uniune, și anume combaterea realizării de cărți de identitate false și a uzurpării identității, precum și interoperabilitatea sistemelor de verificare și că este aptă să realizeze aceste obiective. Astfel, integrarea amprentelor digitale în cărțile de identitate face mai dificilă realizarea de cărți de identitate false. Ea permite de asemenea să se verifice, în mod fiabil, autenticitatea cărții de identitate și identitatea titularului cărții, reducând astfel riscul de fraudă. În ceea ce privește obiectivul de interoperabilitate a sistemelor de verificare a cărților de identitate, utilizarea amprentelor digitale întregi permite asigurarea unei compatibilități cu ansamblul sistemelor automatizate de identificare a amprentelor digitale utilizate de statele membre, chiar dacă astfel de sisteme nu recurg neapărat la același mecanism de identificare.
În al doilea rând, Curtea consideră că limitările în cauză respectă limitele strictului necesar pentru realizarea obiectivelor urmărite.
Astfel, în ceea ce privește însuși principiul integrării amprentelor digitale în suportul de stocare al cărților de identitate, este vorba despre un mijloc fiabil și eficient de stabilire cu certitudine a identității unei persoane. În special, simpla introducere a unei imagini faciale ar constitui un mijloc de identificare mai puțin eficient decât introducerea, în plus față de această imagine, a două amprente digitale, întrucât diferiți factori pot altera trăsăturile anatomice ale feței. Procedeul utilizat pentru colectarea acestor amprente este, în plus, simplu de pus în aplicare.
În ceea ce privește integrarea mai curând a două amprente digitale întregi decât a unora dintre punctele caracteristice ale acestor amprente, pe lângă faptul că această a doua opțiune nu ar oferi aceleași garanții ca o amprentă întreagă, integrarea unei amprente întregi este de asemenea necesară pentru interoperabilitatea sistemelor de verificare a documentelor de identificare. Astfel, statele membre utilizează diferite tehnologii de identificare a amprentelor digitale. Faptul de a nu integra pe suportul de stocare al cărții de identitate decât unele dintre caracteristicile unei amprente digitale ar compromite, așadar, realizarea obiectivului de interoperabilitate.
În al treilea rând, Curtea apreciază că, ținând seama de natura datelor în cauză, de natura și de modalitățile operațiunilor de prelucrare, precum și de mecanismele de salvgardare prevăzute, restrângerile astfel aduse drepturilor fundamentale consacrate la articolele 7 și 8 din cartă nu sunt de o gravitate care ar fi disproporționată în raport cu importanța obiectivelor urmărite, ci că, dimpotrivă, măsura în cauză se întemeiază pe o ponderare echilibrată între obiectivele pe care le urmărește, pe de o parte, și, drepturile fundamentale în cauză, pe de altă parte.