CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:49

ARRÊT DE LA COUR (cinquième chambre)

26 janvier 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive (UE) 2016/680 – Article 4, paragraphe 1, sous a) à c) – Principes relatifs au traitement des données à caractère personnel – Limitation des finalités – Minimisation des données – Article 6, sous a) – Distinction claire entre les données à caractère personnel de différentes catégories de personnes – Article 8 – Licéité du traitement – Article 10 – Transposition – Traitement de données biométriques et de données génétiques – Notion de “traitement autorisé par le droit d’un État membre” – Notion de “nécessité absolue” – Pouvoir d’appréciation – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8, 47, 48 et 52 – Droit à une protection juridictionnelle effective – Présomption d’innocence – Limitation – Infraction pénale intentionnelle poursuivie d’office – Personnes mises en examen – Collecte de données photographiques et dactyloscopiques aux fins de leur enregistrement et prélèvement d’un échantillon biologique pour l’établissement d’un profil ADN – Procédure d’exécution forcée de la collecte – Caractère systématique de la collecte »

Dans l’affaire C‑205/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Spetsializiran nakazatelen sad (tribunal pénal spécialisé, Bulgarie), par décision du 31 mars 2021, parvenue à la Cour le 31 mars 2021, dans la procédure pénale contre

V.S.,

en présence de :

Ministerstvo na vatreshnite raboti, Glavna direktsia za borba s organiziranata prestapnost,

LA COUR (cinquième chambre),

composée de M. E. Regan, président de chambre, MM. D. Gratsias (rapporteur), M. Ilešič, I. Jarukaitis et Z. Csehi, juges,

avocat général : M. G. Pitruzzella,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour le gouvernement bulgare, par M^mes M. Georgieva et T. Mitova, en qualité d’agents,

– pour le gouvernement français, par M. R. Bénard, M^me A.‑L. Desjonquères, MM. D. Dubois et T. Stéhelin, en qualité d’agents,

– pour la Commission européenne, par MM. H. Kranenborg, M. Wasmeier et I. Zaloguin, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 30 juin 2022,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, paragraphe 1, sous a) et c), de l’article 6, sous a), et des articles 8 et 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89), ainsi que des articles 3, 8, 48 et 52 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

2 Cette demande a été présentée dans le cadre d’une procédure pénale engagée contre V.S., laquelle, à la suite de sa mise en examen, a refusé la collecte par la police de ses données biométriques et génétiques aux fins de leur enregistrement.

Le cadre juridique

Le droit de l’Union

Le RGPD

3 Le considérant 19 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), énonce :

« La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de l’Union [européenne]. Le présent règlement ne devrait dès lors pas s’appliquer aux activités de traitement effectuées à ces fins. [...] »

4 L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose, à ses paragraphes 1 et 2 :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[...]

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »

5 L’article 9 du RGPD, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », prévoit, à ses paragraphes 1, 2 et 4 :

« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, [...]

b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, [...]

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, [...]

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, [...]

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale [...]

i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques [...]

[...]

4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »

La directive 2016/680

6 Les considérants 9 à 12, 14, 26, 27, 31 et 37 de la directive 2016/680 énoncent :

« (9) [...] Le [RGPD] définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union.

(10) Dans la déclaration n° 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 [TFUE] pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.

(11) Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. [...]

(12) Les activités menées par la police ou d’autres autorités répressives sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non. [...] Les États membres peuvent confier aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de sorte que le traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du [RGPD].

[...]

(14) Étant donné que la présente directive ne devrait pas s’appliquer au traitement de données à caractère personnel effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union, il convient que les activités relatives à la sécurité nationale, les activités des agences ou des services responsables des questions de sécurité nationale et le traitement de données à caractère personnel par les États membres dans le cadre d’activités relevant du champ d’application du titre V, chapitre 2, du traité [UE] ne soient pas considérées comme des activités relevant du champ d’application de la présente directive.

[...]

(26) [...] Les données à caractère personnel devraient être adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées. Il convient notamment de veiller à ce que les données à caractère personnel collectées ne soient pas excessives, ni conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]

(27) Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour.

[...]

(31) Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes concernées. Il importe dès lors d’établir une distinction claire, le cas échéant et dans la mesure du possible, entre les données à caractère personnel de différentes catégories de personnes concernées, telles que : les suspects ; les personnes reconnues coupables d’une infraction pénale ; les victimes et les autres parties, tels que les témoins ; les personnes détenant des informations ou des contacts utiles ; et les complices de personnes soupçonnées et de criminels condamnés. Cela ne devrait pas empêcher l’application du droit à la présomption d’innocence garanti par la Charte et par la convention européenne [de sauvegarde] des droits de l’homme [et des libertés fondamentales, signée à Rome le 4 novembre 1950], telles qu’elles ont été interprétées respectivement par la Cour de justice et par la Cour européenne des droits de l’homme dans leur jurisprudence.

[...]

(37) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] »

7 L’article 1^er de cette directive, intitulé « Objet et objectifs », dispose, à ses paragraphes 1 et 2 :

« 1. La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2. Conformément à la présente directive, les États membres :

a) protègent les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ; [...]

b) veillent à ce que l’échange de données à caractère personnel par les autorités compétentes au sein de l’Union, lorsque cet échange est requis par le droit de l’Union ou le droit d’un État membre, ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

8 L’article 2 de ladite directive, intitulé « Champ d’application », prévoit, à ses paragraphes 1 et 3 :

« 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1.

[...]

3. La présente directive ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[...] »

9 Aux termes de l’article 3 de la même directive :

« Aux fins de la présente directive on entend par :

1. “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2. “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7. “autorité compétente” :

a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; [...]

[...]

12. “données génétiques”, les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ;

13. “données biométriques”, les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;

[...] »

10 L’article 4 de la directive 2016/680, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1:

« Les États membres prévoient que les données à caractère personnel sont :

a) traitées de manière licite et loyale ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées d’une manière incompatible avec ces finalités ;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

[...] »

11 L’article 6 de cette directive, intitulé « Distinction entre différentes catégories de personnes concernées », prévoit :

« Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

a) les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

b) les personnes reconnues coupables d’une infraction pénale ;

c) les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ; et

d) les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux points a) et b). »

12 L’article 8 de ladite directive, intitulé « Licéité du traitement », énonce :

« 1. Les États membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1^er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un État membre.

2. Une disposition du droit d’un État membre qui réglemente le traitement relevant du champ d’application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement. »

13 L’article 9 de la même directive, intitulé « Conditions spécifiques applicables au traitement », dispose, à ses paragraphes 1 et 2 :

« 1. Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1^er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1^er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.

2. Lorsque les autorités compétentes sont chargées par le droit d’un État membre d’exécuter des missions autres que celles exécutées pour les finalités énoncées à l’article 1^er, paragraphe 1, le [RGPD] s’applique au traitement effectué à de telles fins [...], à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union. »

14 Aux termes de l’article 10 de la directive 2016/680 :

« Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement :

a) lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un État membre ;

b) pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique ; ou

c) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée. »

15 L’article 52 de cette directive, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », énonce, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, les États membres prévoient que toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle unique, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions adoptées en vertu de la présente directive. »

16 L’article 53 de ladite directive, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », dispose, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou extrajudiciaire, les États membres prévoient qu’une personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

17 Aux termes de l’article 54 de la même directive, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant » :

« Les États membres prévoient que, sans préjudice de tout recours administratif ou extrajudiciaire qui leur est ouvert, notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle en vertu de l’article 52, une personne concernée a droit à un recours juridictionnel effectif lorsqu’elle considère que ses droits prévus dans les dispositions adoptées en vertu de la présente directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation desdites dispositions. »

18 L’article 63 de la directive 2016/680, intitulé « Transposition », dispose, à ses paragraphes 1 et 4 :

« 1. Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. [...]

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

[...]

4. Les États membres communiquent à la Commission [européenne] le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine régi par la présente directive. »

Le droit bulgare

Le NK

19 En vertu de l’article 11, paragraphe 2, du Nakazatelen kodeks (code pénal), dans sa version applicable à l’affaire au principal (ci-après le « NK »), les infractions sont intentionnelles, lorsque l’auteur a conscience de la nature de son acte, ou lorsque la survenance du résultat de l’infraction a été voulue par lui, ou lorsqu’il l’a permise. La grande majorité des infractions prévues au NK est intentionnelle.

20 Conformément à l’article 255 du NK, « celui qui commet une fraude à la constatation et au paiement de dettes fiscales à concurrence de montants importants » selon les modalités explicitement indiquées dans la loi, est passible d’une peine privative de liberté allant d’une à six années, ainsi que d’une amende de 2000 leva bulgares (BGN) (environ 1 000 euros).

21 Conformément aux dispositions combinées de l’article 321, paragraphes 2 et 3, et de l’article 94, point 20, du NK, celui qui participe à un groupe criminel organisé constitué dans un but d’enrichissement pour commettre des infractions passibles d’une sanction supérieure à trois années de « privation de liberté », encourt une peine de « privation de liberté » d’une durée allant de trois à dix années. Il y est également précisé que cette infraction est intentionnelle et qu’elle est poursuivie selon le droit commun.

Le NPK

22 L’article 46, paragraphe 1, et l’article 80 du Nakazatelno-protsesualen kodeks (code de procédure pénale), dans sa version applicable à l’affaire au principal (ci-après le « NPK »), prévoient que les infractions pénales sont poursuivies soit d’office, à savoir que l’accusation est engagée par le procureur, soit par la partie civile. Presque toutes les infractions prévues par le NK sont poursuivies d’office.

23 En vertu de l’article 219, paragraphe 1, du NPK, « lorsque sont réunis suffisamment d’éléments de preuve de ce qu’une personne déterminée est coupable d’avoir commis une infraction poursuivie d’office », cette personne est mise en examen et en est informée. Elle peut faire l’objet de diverses mesures de contrainte procédurale, tout en pouvant se défendre, en donnant des explications ou en produisant des éléments de preuve.

Le ZZLD

24 En vertu de l’article 51 du zakon za zashtita na lichnite danni (loi relative à la protection des données à caractère personnel) (DV n^o 1, du 4 janvier 2002, ci-après le « ZZLD »), le traitement des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique n’est autorisé qu’en cas de nécessité absolue, si les droits et libertés de la personne concernée sont adéquatement garantis et s’il a été prévu par le droit de l’Union ou le droit bulgare. Si ce traitement n’est pas prévu par le droit de l’Union ou le droit bulgare, des intérêts vitaux doivent être concernés pour l’autoriser, ou les données doivent avoir été rendues publiques par la personne concernée.

Le ZMVR

25 En vertu de l’article 6 du zakon sa Ministerstvo na vatreshnite raboti (loi sur le ministère des Affaires intérieures) (DV n° 53, du 27 juin 2014, ci-après le « ZMVR »), le ministère des Affaires intérieures exerce certaines activités principales, dont une activité de recherche opérationnelle et de surveillance, des activités d’enquête relatives aux infractions et une activité de renseignement.

26 En vertu de l’article 18, paragraphe 1, du ZMVR, l’activité de renseignement consiste à recueillir, à traiter, à classer, à conserver et à utiliser les informations. En vertu de l’article 20, paragraphe 1, de cette loi, l’activité de renseignement se fonde sur des informations qui sont reproduites ou qui sont soumises à la reproduction sur des supports d’enregistrement, élaborés par les autorités du ministère des Affaires intérieures.

27 L’article 25, paragraphe 1, du ZMVR habilite le ministère des Affaires intérieures à traiter des données à caractère personnel aux fins de l’exécution de ses activités. Compte tenu de l’article 6 du ZMVR, il s’ensuit que le ministère des Affaires intérieures traite les données à caractère personnel en vue d’effectuer ses activités principales, à savoir son activité de recherche opérationnelle, de surveillance et d’enquête relative aux infractions.

28 L’article 25, paragraphe 3, du ZMVR prévoit que le traitement de données à caractère personnel s’effectue en vertu de cette loi, conformément au RGPD et au ZZLD.

29 En vertu de l’article 25 bis, paragraphe 1, du ZMVR, le traitement de données à caractère personnel comportant des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique n’est permis que dans les conditions prévues à l’article 9 du RGPD ou à l’article 51 du ZZLD.

30 En vertu de l’article 27 du ZMVR, les données enregistrées par la police au titre de l’article 68 de cette loi sont uniquement utilisées dans le cadre de la protection de la sécurité nationale, de la lutte contre la criminalité et du maintien de l’ordre public.

31 L’article 68 du ZMVR est libellé comme suit :

« 1. Les autorités de police effectuent un enregistrement policier de personnes qui sont mises en examen pour une infraction pénale intentionnelle poursuivie d’office. [...]

2. L’enregistrement policier constitue une catégorie de traitement de données personnelles des personnes visées au paragraphe 1, qui s’effectue aux conditions de la présente loi.

3. Aux fins de l’enregistrement policier, les autorités de police :

1) recueillent les données personnelles visées à l’article 18 du [zakon za balgarskite lichni dokumenti (loi sur les pièces d’identité bulgares)] ;

2) procèdent à la dactyloscopie des personnes et les photographient ;

3) effectuent des prélèvements pour établir un profil ADN des personnes.

4. L’accord de la personne n’est pas requis pour effectuer les activités visées au paragraphe 3, point 1.

5. Les personnes sont tenues de faire preuve de coopération, de ne pas mettre d’obstacles ni d’empêchements à l’exercice par les autorités de police des activités visées au paragraphe 3. En cas de refus de la personne, les activités visées au paragraphe 3, points 2 et 3, sont exercées par la contrainte moyennant une autorisation du juge de la juridiction de première instance compétente dont relève l’infraction poursuivie d’office pour laquelle la personne a été mise en examen.

[...] »

Le NRISPR

32 Le naredba za reda za izvarshvane i snemane na politseyska registratsia (règlement régissant les modalités de mise en œuvre de l’enregistrement policier) (DV n^o 90, du 31 octobre 2014), dans sa version applicable à l’affaire au principal (ci-après le « NRISPR »), adopté sur le fondement de l’article 68, paragraphe 7, du ZMVR, précise les modalités d’application de l’enregistrement policier prévu à cet article.

33 En vertu de l’article 2 du NRISPR, les objectifs de l’enregistrement policier sont la protection de la sécurité nationale, la lutte contre la criminalité et le maintien de l’ordre public.

34 En vertu de l’article 11, paragraphe 2, du NRISPR, la personne devant faire l’objet d’un enregistrement policier se voit remettre une déclaration à remplir dans laquelle elle peut exprimer son accord ou son désaccord quant aux mesures de photographie, de dactyloscopie et de prélèvement d’ADN. En vertu du paragraphe 4 de l’article 11 du NRISPR, en cas de désaccord de cette personne, la police défère une requête au tribunal compétent pour que soit autorisée l’exécution forcée de ces mesures.

Le litige au principal et les questions préjudicielles

35 Les autorités bulgares ont engagé une procédure pénale pour fraude concernant la constatation et le paiement de dettes fiscales contre deux sociétés commerciales, sur le fondement de l’article 255 du NK.

36 Par une ordonnance adoptée le 1^er mars 2021, au titre de l’article 219 du NPK, et notifiée à V.S. le 15 mars 2021, celle-ci a été mise en examen. Il lui était reproché, sur le fondement du paragraphe 3, point 2, de l’article 321 du NK, lu en combinaison avec le paragraphe 2 de cet article, la participation, avec trois autres personnes, à un groupe criminel organisé, constitué dans un but d’enrichissement, en vue de commettre de manière concertée sur le territoire bulgare des délits au titre de l’article 255 du NK.

37 À la suite de la notification de ladite ordonnance de mise en examen, V.S. a été invitée à se soumettre à l’enregistrement policier. Elle a rempli un formulaire de déclaration dans lequel elle a indiqué qu’elle avait été informée qu’il existait une base légale permettant de procéder à celui-ci et qu’elle refusait de se soumettre à la collecte des données dactyloscopiques et photographiques la concernant aux fins de leur enregistrement et à un prélèvement en vue d’établir son profil ADN. La police n’a pas procédé à cette collecte et a saisi la juridiction de renvoi.

38 La requête des autorités de police adressée à la juridiction de renvoi indique que des preuves suffisantes de la culpabilité des personnes poursuivies dans le cadre de la procédure pénale concernée, y compris de V.S., ont été réunies. Il y est précisé que celle-ci est officiellement poursuivie pour avoir commis une infraction visée au point 2 du paragraphe 3 de l’article 321 du NK, lu en combinaison avec le paragraphe 2 de cet article, et qu’elle a refusé de se soumettre à la collecte des données dactyloscopiques et photographiques la concernant aux fins de leur enregistrement et à un prélèvement en vue d’établir son profil ADN, la base légale de la collecte de ces données étant citée. Enfin, dans cette requête, il est demandé à la juridiction de renvoi d’autoriser de procéder à l’exécution forcée de cette collecte. Seules les copies de l’ordonnance de mise en examen de V.S. et de la déclaration dans laquelle elle refuse de donner son consentement à l’enregistrement policier ont été annexées à ladite requête.

39 La juridiction de renvoi nourrit des doutes sur la compatibilité avec le droit de l’Union des dispositions législatives et réglementaires du droit bulgare applicables à l’enregistrement policier.

40 En premier lieu, la juridiction de renvoi relève que les dispositions de l’article 25, paragraphe 3, et de l’article 25 bis du ZMVR se réfèrent au RGPD et non à la directive 2016/680. Or, elle relève que, si, en vertu de son article 2, paragraphe 2, sous d), ce règlement ne s’applique pas au traitement de données à caractère personnel par les organes compétents à des fins de prévention et de détection des infractions pénales ainsi que d’enquêtes et de poursuites en la matière, l’article 1^er, paragraphe 1, de cette directive régit un tel traitement. De même, elle fait observer que l’article 9 dudit règlement interdit explicitement le traitement des données génétiques et biométriques et que la lutte contre la criminalité ne figure pas au nombre des exceptions à cette interdiction prévues au paragraphe 2 de cet article. Enfin, elle ajoute que l’article 51 du ZZLD ne saurait, à lui seul, fonder l’admissibilité d’un traitement de données biométriques et génétiques, celle-ci devant être prévue par le droit de l’Union ou le droit national.

41 Au regard de ces éléments, la juridiction de renvoi se demande s’il est possible de considérer que, en dépit de la référence à l’article 9 du RGPD, le traitement des données génétiques et biométriques à des fins pénales est admissible en droit national, eu égard au fait qu’il est clairement autorisé par l’article 10 de la directive 2016/680, même si celle-ci n’est pas mentionnée par les dispositions applicables du ZMVR.

42 En deuxième lieu, dans l’hypothèse où il devrait être considéré que l’article 10 de la directive 2016/680 a été correctement transposé dans le droit national ou qu’il existe une base juridique valable dans ce droit pour procéder au traitement de données biométriques et génétiques, la juridiction de renvoi se demande si l’exigence visée à l’article 10, sous a), de cette directive, selon laquelle un tel traitement doit être autorisé par le droit de l’Union ou par le droit d’un État membre, est satisfaite lorsqu’il existe une contradiction entre les dispositions de droit national applicables.

43 En effet, la juridiction de renvoi considère qu’il existe une contradiction entre l’article 25 bis du ZMVR, qui, en se référant à l’article 9 du RGPD, paraît ne pas autoriser le prélèvement de données biométriques et génétiques, et l’article 68 du ZMVR, qui l’autorise indubitablement.

44 En troisième lieu, d’une part, la juridiction de renvoi relève que, en vertu de l’article 219, paragraphe 1, du NPK, il est indispensable de réunir suffisamment d’éléments de preuve de la culpabilité d’une personne déterminée pour que cette personne soit mise en examen. À cet égard, elle se demande si le critère prévu à cette disposition correspond à celui visé à l’article 6, sous a), de la directive 2016/680 qui concerne les personnes pour lesquelles il existe des « motifs sérieux de croire qu’elles ont commis [...] une infraction ». Elle est plutôt d’avis que, pour le traitement de données biométriques et génétiques, il est indispensable de réunir des preuves plus convaincantes que celles qui sont nécessaires, en vertu du NPK, en vue de mettre une personne en examen, cette mise en examen servant à informer cette personne des soupçons qui pèsent sur elle et de la possibilité qu’elle a de se défendre.

45 D’autre part, la juridiction de renvoi constate que l’article 68 du ZMVR ne prévoit pas que, dans le cadre de la procédure d’exécution forcée de l’enregistrement policier, elle doive exercer un quelconque contrôle sur l’existence de motifs sérieux, au sens de l’article 6, sous a), de la directive 2016/680. Au contraire, en vertu de cet article du ZMVR, il lui suffirait de constater que la personne a été mise en examen pour une infraction intentionnelle poursuivie d’office. Elle ne serait ainsi pas compétente pour apprécier s’il existe des preuves suffisantes ou sérieuses au soutien de cette mise en examen et n’aurait pas, au demeurant, la possibilité, en pratique, de procéder à une telle appréciation, dans la mesure où elle a un accès non pas au dossier, mais seulement à des copies de l’ordonnance de mise en examen et de la déclaration de refus de la collecte de données par la police. Partant, elle se demande si, dans ces conditions, la personne qui a refusé de mettre à la disposition de la police les données photographiques, dactyloscopiques et génétiques la concernant bénéficiera de la protection juridictionnelle effective et du respect du droit à la présomption d’innocence, garantis respectivement aux articles 47 et 48 de la Charte.

46 En quatrième lieu, la juridiction de renvoi déduit de l’article 4, paragraphe 1, sous b) et c), de l’article 8, paragraphes 1 et 2, et de l’article 10 de la directive 2016/680 que le droit national doit conférer aux autorités compétentes un certain pouvoir d’appréciation lorsqu’elles procèdent à la collecte de données biométriques et génétiques, par la prise de photographies et d’empreintes digitales ainsi que par le prélèvement d’ADN. Selon elle, ce pouvoir d’appréciation devrait porter aussi bien sur la question de savoir si cette collecte doit avoir lieu que sur celle de savoir si celle-ci doit couvrir toutes les catégories de données susvisées. Enfin, elle considère qu’il doit être déduit de l’exigence de « nécessité absolue », énoncée à l’article 10 de cette directive, que l’autorisation de la collecte de telles données ne peut intervenir qu’en présence d’une motivation adéquate de sa nécessité.

47 La juridiction de renvoi relève que l’enregistrement policier s’applique, toutefois, de manière impérative à toutes les personnes mises en examen pour des infractions intentionnelles poursuivies d’office et aux trois catégories de données à caractère personnel visées par cet article, à savoir les photographies, les empreintes digitales et le prélèvement d’ADN.

48 En outre, elle relève que seuls les objectifs d’un tel traitement de données à caractère personnel sont mentionnés par le ZMVR, à savoir exercer une activité de recherche, y compris en vue de la protection de la sécurité nationale, de la lutte contre la criminalité et du maintien de l’ordre public. En revanche, la législation nationale n’exigerait pas que soit constatée la nécessité concrète de procéder à la collecte de données biométriques et génétiques et qu’il soit apprécié si l’ensemble de ces données ou une partie seulement d’entre elles suffit.

49 La juridiction de renvoi se demande donc si la condition prévue par le droit national pour autoriser l’enregistrement policier, selon laquelle la personne concernée doit avoir été mise en examen pour une infraction intentionnelle poursuivie d’office, suffit pour répondre aux exigences de l’article 4, paragraphe 1, sous a) et c), de l’article 8, paragraphes 1 et 2, et de l’article 10 de la directive 2016/680.

50 C’est dans ces conditions que le Spetsializiran nakazatelen sad (tribunal pénal spécialisé, Bulgarie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 10 de la directive 2016/680 a-t-il été transposé valablement par la référence, dans une législation nationale – l’article 25, paragraphe 3, et l’article 25 bis du [ZMVR] – à une disposition qui lui est similaire, à savoir l’article 9 du [RGPD]?

2) L’exigence visée aux dispositions combinées de l’article 10, sous a), de la directive 2016/680 et des articles 52, 3 et 8 de la [Charte], selon laquelle toute limitation à l’intégrité de la personne et à la protection des données à caractère personnel doit être prévue par la loi, est-elle respectée par des normes nationales contradictoires en ce qui concerne l’admissibilité d’un traitement de données génétiques et biométriques aux fins de l’enregistrement policier ?

3) Est-il conforme à l’article 6, sous a), de la directive 2016/680, combiné à l’article 48 de la [Charte], qu’une loi nationale, à savoir l’article 68, paragraphe 4, du [ZMVR], prévoie que, si la personne mise en examen pour une infraction intentionnelle poursuivie d’office refuse de coopérer spontanément à l’enregistrement des données à caractère personnel (au moyen de photographies, de la dactyloscopie et de prélèvements pour établir un profil ADN), le tribunal est tenu d’ordonner une collecte forcée de ces données à caractère personnel, alors qu’il n’a pas le pouvoir d’apprécier s’il [existe] des motifs sérieux de considérer que la personne a commis l’infraction pour laquelle elle est mise en examen ?

4) Est-il conforme à l’article 10, à l’article 4, paragraphe 1, sous a) et c), ainsi qu’à l’article 8, paragraphes 1 et 2, de la directive 2016/680 qu’une loi nationale, à savoir l’article 68, paragraphes 1 à 3, du [ZMVR], érige en règle générale [la prise de] photographies, la dactyloscopie et le prélèvement en vue d’établir un profil ADN de toutes les personnes mises en examen pour une infraction intentionnelle poursuivie d’office ? »

51 Par lettre du 5 août 2022, le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie) a informé la Cour que, à la suite d’une modification législative entrée en vigueur le 27 juillet 2022, le Spetsializiran nakazatelen sad (tribunal pénal spécialisé) a été dissous et que certaines affaires pénales portées devant cette dernière juridiction, y compris l’affaire au principal, ont été transférées à compter de cette date au Sofiyski gradski sad (tribunal de la ville de Sofia).

Sur les questions préjudicielles

Sur les première et deuxième questions

52 Par ses première et deuxième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi cherche, en substance, à savoir si l’article 10, sous a), de la directive 2016/680, lu à la lumière des articles 3, 8 et 52 de la Charte, doit être interprété en ce sens que la collecte de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche à des fins de lutte contre la criminalité et de maintien de l’ordre public est autorisée par le droit d’un État membre, au sens de l’article 10, sous a), de la directive 2016/680, lorsque, d’une part, les dispositions nationales formant la base juridique de cette autorisation se réfèrent à l’article 9 du RGPD, tout en reproduisant le contenu dudit article 10 de la directive 2016/680, et, d’autre part, ces dispositions nationales paraissent énoncer des exigences contradictoires en ce qui concerne l’admissibilité d’une telle collecte.

Sur la recevabilité

53 Dans le cadre de ses observations écrites, la Commission met en cause la recevabilité des première et deuxième questions, au motif que la juridiction de renvoi, d’une part, chercherait seulement à savoir si le droit national a effectivement transposé l’article 10 de la directive 2016/680, sans émettre de doutes ni soulever d’interrogations quant au sens exact de cet article, et, d’autre part, n’exposerait pas les raisons l’ayant amenée à s’interroger sur l’interprétation ou la validité des dispositions de droit de l’Union en cause, en méconnaissance de l’article 94 du règlement de procédure de la Cour.

54 À cet égard, il convient de rappeler que, selon une jurisprudence constante de la Cour, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer. Il s’ensuit que les questions posées par les juridictions nationales bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile auxdites questions (arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 17 et jurisprudence citée).

55 À cet effet, pour permettre à la Cour de fournir une interprétation du droit de l’Union qui soit utile pour le juge national, la demande de décision préjudicielle doit, conformément à l’article 94, sous c), du règlement de procédure, contenir l’exposé des raisons qui ont conduit la juridiction de renvoi à s’interroger sur l’interprétation ou la validité de certaines dispositions du droit de l’Union ainsi que le lien qu’elle établit entre ces dispositions et la législation nationale applicable au litige au principal (voir, en ce sens, arrêt du 2 juillet 2015, Gullotta et Farmacia di Gullotta Davide & C., C-497/12, EU:C:2015:436, point 17 ainsi que jurisprudence citée).

56 S’agissant des première et deuxième questions, il ressort de la décision de renvoi que, dans le cadre de l’affaire au principal, la juridiction de renvoi se demande si la condition énoncée à l’article 10, sous a), de la directive 2016/680, selon laquelle le traitement des données génétiques et biométriques, visées par cet article, doit être autorisé par le droit de l’Union ou par le droit d’un État membre, est remplie en ce qui concerne l’enregistrement policier en cause dans cette affaire.

57 Comme la juridiction de renvoi l’indique, en substance, dans cette demande, c’est dans ce contexte qu’elle sollicite de la Cour des indications concernant l’interprétation de cette condition. D’une part, par sa première question, elle cherche à savoir si cet article 10 peut être considéré comme ayant été correctement transposé par une disposition de droit national qui se réfère seulement à l’article 9 du RGPD, mais dont la teneur correspond à celle dudit article 10. D’autre part, dans l’affirmative, par sa deuxième question, elle cherche à savoir si la collecte de données génétiques et biométriques aux fins de leur enregistrement par la police peut être considérée comme étant « autorisée par le droit d’un État membre », au sens du point a) de cet article, c’est‑à‑dire « prévue par la loi », au sens de l’article 52, paragraphe 1, de la Charte, lorsque les dispositions de droit national qui constituent la base juridique de ce traitement semblent énoncer des règles contradictoires en ce qui concerne l’admissibilité d’un tel traitement.

58 Par conséquent, la juridiction de renvoi a clairement identifié, dans la demande de décision préjudicielle, les dispositions du droit de l’Union applicables, les interrogations qui sont les siennes en ce qui concerne l’interprétation de ce droit et les raisons l’ayant conduite à poser à la Cour les première et deuxième questions. En outre, il ressort clairement de cette demande que l’interprétation desdites dispositions présente un lien avec l’objet de l’affaire au principal, étant donné que l’éventuel constat, par la juridiction de renvoi, au vu des indications fournies par la Cour, que les dispositions de droit national en cause ne satisfont pas à la condition énoncée à l’article 10, sous a), de la directive 2016/680 est susceptible de la conduire à rejeter la requête des autorités de police dont elle est saisie, tendant à la collecte forcée des données biométriques et génétiques de V.S. aux fins de leur enregistrement.

59 Il s’ensuit que les première et deuxième questions sont recevables.

Sur le fond

60 À titre liminaire, il y a lieu d’observer que, si la deuxième question vise les articles 3, 8 et 52 de la Charte, il ressort de la demande de décision préjudicielle que les interrogations de la juridiction de renvoi ne portent que sur le respect par la réglementation nationale en cause au principal de l’exigence, visée au paragraphe 1 de ce dernier article, en vertu de laquelle toute limitation de l’exercice des droits et des libertés reconnus par la Charte doit être prévue par la loi. Par conséquent, l’examen des première et deuxième questions doit être opéré au regard de ce seul article 52 de la Charte.

61 En premier lieu, il convient de relever que, à la lumière du considérant 19 du RGPD ainsi que des considérants 9 à 12 de la directive 2016/680 et en vertu de l’article 2, paragraphe 1, et de l’article 9, paragraphes 1 et 2, de cette directive, selon qu’un traitement de données à caractère personnel effectué par une « autorité compétente », au sens de l’article 3, paragraphe 7, de celle-ci, répond à des fins, visées à son article 1^er, paragraphe 1, de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, ou à d’autres finalités que celles-ci, il est susceptible de relever soit du champ d’application des règles spécifiques de ladite directive, soit de celui des règles générales de ce règlement, en dehors des exceptions à ces champs d’application limitativement énumérées à l’article 2, paragraphe 3, de la même directive et à l’article 2, paragraphe 2, dudit règlement.

62 En particulier, il convient de relever que l’article 9 du RGPD et l’article 10 de la directive 2016/680 comportent tous deux des dispositions régissant le traitement portant sur des catégories particulières de données à caractère personnel, considérées comme des données sensibles, y compris les données génétiques et biométriques.

63 À cet égard, l’article 10 de la directive 2016/680 prévoit que le traitement de ces données sensibles est autorisé « uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée » et uniquement dans trois cas de figure, notamment, en vertu du point a) de cet article, lorsque ce traitement est autorisé par le droit de l’Union ou par le droit d’un État membre. En revanche, le paragraphe 1 de l’article 9 du RGPD énonce une interdiction de principe du traitement desdites données sensibles, assortie d’une liste de situations, énumérées au paragraphe 2 de cet article, dans lesquelles il peut être fait exception à cette interdiction, laquelle liste ne mentionne pas de situation correspondant à celle d’un traitement de données à des fins telles que celles énoncées à l’article 1^er, paragraphe 1, de ladite directive et qui répondrait à l’exigence figurant à l’article 10, sous a), de celle-ci. Il s’ensuit que, alors qu’un traitement de données biométriques et génétiques par les autorités compétentes à des fins relevant de la directive 2016/680 est susceptible d’être autorisé pour autant que, conformément aux exigences énoncées à l’article 10 de celle-ci, il est absolument nécessaire, encadré par des garanties appropriées et prévu par le droit de l’Union ou par le droit d’un État membre, tel ne sera pas nécessairement le cas d’un traitement de ces mêmes données relevant du champ d’application du RGPD.

64 En deuxième lieu, la portée de l’exigence énoncée à l’article 10, sous a), de la directive 2016/680, selon laquelle le traitement des données à caractère personnel doit avoir été « autorisé par le droit de l’Union ou le droit d’un État membre », doit être déterminée à la lumière de celle consacrée à l’article 52, paragraphe 1, de la Charte, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être « prévue par la loi ».

65 À cet égard, il ressort de la jurisprudence de la Cour que cette exigence implique que la base légale autorisant une telle limitation en définisse la portée de manière suffisamment claire et précise [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, point 76 ainsi que jurisprudence citée].

66 En outre, il découle de la jurisprudence rappelée au point précédent du présent arrêt qu’il ne saurait y avoir d’équivoque quant aux dispositions du droit de l’Union en vertu desquelles le droit national peut autoriser un traitement de données biométriques et génétiques, tel que celui en cause dans l’affaire au principal, et quant aux conditions applicables encadrant cette autorisation. En effet, les personnes concernées et les juridictions compétentes doivent être en mesure de pouvoir déterminer précisément, en particulier, les conditions dans lesquelles ce traitement peut avoir lieu ainsi que les finalités auxquelles il peut légalement répondre. Or, les règles du RGPD et celles de la directive applicables à ces exigences peuvent être différentes.

67 Dès lors, si le législateur national a la faculté de prévoir, dans le cadre du même instrument législatif, le traitement de données à caractère personnel à des fins relevant de la directive 2016/680 ainsi qu’à d’autres fins relevant du RGPD, il a en revanche l’obligation, conformément aux exigences énoncées au point précédent du présent arrêt, de s’assurer de l’absence d’ambiguïté quant à l’applicabilité de l’un ou de l’autre de ces deux actes de l’Union à la collecte des données biométriques et génétiques.

68 En troisième lieu, s’agissant des interrogations de la juridiction de renvoi quant à une éventuelle transposition incorrecte de la directive 2016/680, il importe de distinguer entre les dispositions de droit national assurant la transposition de cette directive, en particulier de son article 10, et celles en vertu desquelles un traitement de données appartenant aux catégories particulières visées à cet article, notamment les données biométriques et génétiques, peut être autorisé, au sens du point a) de cet article 10.

69 À cet égard, si, ainsi qu’il ressort de son article 63, paragraphe 1, second alinéa, la directive 2016/680 prévoit expressément l’obligation pour les États membres d’assurer que les dispositions nécessaires pour sa mise en œuvre contiennent une référence à cette directive ou soient accompagnées d’une telle référence lors de leur publication officielle, ce qui implique, en tout état de cause, l’adoption d’un acte positif de transposition de ladite directive [voir, en ce sens, arrêt du 25 février 2021, Commission/Espagne (Directive données à caractère personnel – Domaine pénal), C-658/19, EU:C:2021:138, point 16 et jurisprudence citée], elle n’exige pas que les dispositions de droit national qui autorisent les traitements de données relevant du champ d’application de la même directive contiennent une telle référence. Ainsi, l’article 63, paragraphe 4, de la directive 2016/680 se borne à prévoir que les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine régi par cette directive.

70 Enfin, il convient de relever que, lorsqu’une directive a été correctement transposée, ses effets atteignent les particuliers par l’intermédiaire des mesures d’application prises par l’État membre concerné (voir, en ce sens, arrêt du 15 mai 1986, Johnston, 222/84, EU:C:1986:206, point 51) à la différence d’un règlement dont les dispositions ont, en règle générale, un effet immédiat dans les ordres juridiques nationaux, sans qu’il soit besoin pour les autorités nationales de prendre des mesures d’application (voir, en ce sens, arrêt du 7 avril 2022, IFAP, C‑447/20 et C‑448/20, EU:C:2022:265, point 88 ainsi que jurisprudence citée). Il s’ensuit que, lorsque le législateur national prévoit le traitement de données biométriques et génétiques par des autorités compétentes, au sens de l’article 3, point 7, de la directive 2016/680, susceptibles de relever soit du champ d’application de cette directive, soit de celui du RGPD, il lui est loisible, dans un souci de clarté et de précision, de se référer explicitement, d’une part, aux dispositions de droit national assurant la transposition de l’article 10 de cette directive et, d’autre part, à l’article 9 de ce règlement. En revanche, cette exigence de clarté et de précision ne saurait requérir, en outre, une mention de ladite directive.

71 En quatrième lieu, il convient de rappeler que l’obligation pour un État membre de prendre toutes les mesures nécessaires pour atteindre le résultat prescrit par une directive, prévue à l’article 288, troisième alinéa, TFUE, s’impose à toutes les autorités des États membres, y compris, dans le cadre de leurs compétences, aux autorités juridictionnelles. Il s’ensuit que, en appliquant le droit interne, les juridictions nationales sont tenues de l’interpréter dans toute la mesure possible à la lumière du texte et de la finalité de la directive concernée pour atteindre le résultat visé par celle-ci (voir, en ce sens, arrêt du 7 novembre 2019, Profi Credit Polska, C-419/18 et C-483/18, EU:C:2019:930, points 73 et 75 ainsi que jurisprudence citée).

72 Par conséquent, en présence d’une contradiction apparente, telle que celle décrite par la juridiction de renvoi dans le cadre de la deuxième question, entre, d’une part, des dispositions d’une législation nationale semblant exclure le traitement de données génétiques et biométriques par les autorités compétentes à des fins relevant de la directive 2016/680 et, d’autre part, d’autres dispositions de cette législation qui autorisent un tel traitement, cette juridiction est tenue de donner à ces dispositions une interprétation qui préserve l’effet utile de cette directive. En particulier, dès lors qu’elle constate l’existence de dispositions de nature à répondre à l’exigence visée à l’article 10, sous a), de ladite directive, il lui appartient de vérifier si celles-ci n’ont pas, en réalité, un champ d’application différent de celui des dispositions avec lesquelles elles semblent en contradiction.

73 À cet égard, il convient, notamment, de souligner que l’article 9, paragraphe 2, de la directive 2016/680 n’exclut pas le traitement des données biométriques et génétiques par les autorités compétentes, au sens de l’article 3, point 7, de cette directive, dans le cadre d’autres missions que celles exécutées aux fins énoncées à l’article 1^er, paragraphe 1, de ladite directive. De même, ainsi qu’il résulte du point 63 du présent arrêt, l’article 9 du RGPD, qui s’applique au traitement de ces données, pour autant que celui-ci ne relève pas des exceptions limitativement énumérées à son article 2, paragraphe 2, ne l’interdit pas de manière absolue, à condition que ce traitement corresponde à l’une des situations énoncées à l’article 9, paragraphe 2 dudit règlement. Dans ces conditions, il appartient à la juridiction de renvoi de vérifier si la référence au RGPD dans ces dispositions nationales ne vise pas, en réalité, des traitements de données effectuées par les autorités compétentes à des fins autres que celles relevant de la directive 2016/680, de sorte que lesdites dispositions ne présentent pas de contradiction avec celles qui, conformément à l’article 10, sous a), de cette directive, prévoient le traitement de telles données à des fins qui relèvent de ladite directive.

74 En l’occurrence, il ressort de la décision de renvoi, d’une part, que les dispositions de droit national à l’origine des questions posées par la juridiction de renvoi sont des dispositions de droit matériel régissant les activités du ministère des Affaires intérieures. La première de ces dispositions prévoit que le traitement de données à caractère personnel par ce ministère s’effectue en vertu de cette loi, conformément au RGPD et à l’acte de droit national qui transpose la directive 2016/680, et la seconde desdites dispositions énonce que le traitement de données à caractère personnel comportant des données génétiques et des données biométriques aux fins d’identifier une personne physique de manière unique n’est permis que dans les conditions prévues à l’article 9 dudit règlement ou à la disposition de droit national qui transpose l’article 10 de ladite directive. D’autre part, il ressort également de cette décision que la disposition de droit matériel qui fournit une base légale explicite à la collecte des données biométriques et génétiques, dans le cadre de l’enregistrement policier, répond uniquement à des finalités de protection de la sécurité nationale, de lutte contre la criminalité et de maintien de l’ordre public.

75 Par conséquent, il appartient à la juridiction de renvoi de contrôler si la double référence à l’article 9 du RGPD et à la disposition de droit national qui transpose ledit article 10 peut se justifier par le fait que le champ d’application de la disposition de droit matériel contenant une telle double référence couvre l’ensemble des activités des services du ministère des Affaires intérieures, lesquelles, selon les indications du gouvernement bulgare, incluent tant les activités énoncées à l’article 1^er, paragraphe 1, de ladite directive que d’autres activités susceptibles de relever dudit règlement. En outre, il appartient à cette juridiction de s’assurer que, notamment en ce qui concerne la disposition de droit matériel qui fournit une base légale à la collecte des données biométriques et génétiques dans le cadre de l’enregistrement policier, l’ensemble des dispositions de droit national pertinentes peut être interprété, conformément au droit de l’Union, en ce sens qu’il ressort de ces dispositions, de manière suffisamment claire, précise et dénuée d’équivoque, dans quels cas les règles de droit national transposant la directive en cause s’appliquent et dans quels cas ce sont les règles du RGPD qui sont pertinentes.

76 Au vu de tout ce qui précède, il y a lieu de répondre aux première et deuxième questions que l’article 10, sous a), de la directive 2016/680, lu à la lumière de l’article 52 de la Charte, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l’ordre public, est autorisé par le droit d’un État membre, au sens de l’article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l’acte législatif national contenant une telle base juridique se réfère, par ailleurs, au RGPD, et non à la directive 2016/680, n’est pas de nature, en lui-même, à remettre en cause l’existence d’une telle autorisation, pour autant qu’il ressort, de manière suffisamment claire, précise et dénuée d’équivoque de l’interprétation de l’ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d’application de cette directive, et non de ce règlement.

Sur la troisième question

77 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 6, sous a), de la directive 2016/680 ainsi que les articles 47 et 48 de la Charte doivent être interprétés en ce sens qu’ils s’opposent à une législation nationale qui prévoit que, en cas de refus de la personne mise en examen pour une infraction intentionnelle poursuivie d’office de coopérer spontanément à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, la juridiction pénale compétente est tenue d’autoriser l’exécution forcée de cette collecte, sans disposer du pouvoir d’apprécier s’il existe des motifs sérieux de considérer que la personne concernée a commis l’infraction pour laquelle elle est mise en examen.

78 À titre liminaire, il convient de relever que cette question est posée par la juridiction de renvoi au sujet d’une procédure pénale dans le cadre de laquelle est applicable une disposition de droit national qui prévoit que, en cas de refus de la personne concernée de coopérer à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, effectué pour des finalités relevant de l’article 1^er, paragraphe 1, de la directive 2016/680, la juridiction compétente, pour statuer sur la responsabilité pénale de cette personne, est habilitée à autoriser cette collecte. Par ailleurs, cette même disposition de droit national s’applique aux données concernant les personnes mises en examen pour des infractions intentionnelles poursuivies d’office. Selon les indications de la juridiction de renvoi, la grande majorité des infractions prévues par le code pénal sont intentionnelles et presque toutes sont poursuivies d’office. Conformément aux règles relatives à la procédure pénale bulgare, une personne est mise en examen lorsque sont réunis suffisamment d’éléments de preuve de ce que cette personne est coupable d’avoir commis une infraction poursuivie d’office.

79 Par ailleurs, selon les précisions apportées par le gouvernement bulgare dans le cadre des réponses écrites aux questions posées par la Cour, les règles relatives à la procédure pénale bulgare prévoient que la mise en examen peut intervenir à tout moment de la procédure préliminaire, qui constitue la première phase de la procédure pénale au cours de laquelle des actes d’enquête et de collecte des éléments de preuve sont accomplis et, en tout état de cause, avant la clôture de l’enquête. Ainsi qu’il ressort de la décision de renvoi, et comme le gouvernement bulgare le précise également, la personne concernée peut, ultérieurement à cette mise en examen, présenter des éléments pour sa défense, en particulier dans le cadre de la phase de communication des éléments d’enquête qui intervient après la clôture de l’enquête.

80 Cependant, la juridiction de renvoi indique que la législation nationale en cause ne confère pas à la juridiction qui autorise la collecte des données biométriques et génétiques concernant la personne mise en examen aux fins de leur enregistrement la compétence pour apprécier les preuves sur lesquelles cette mise en examen est fondée, laquelle appartient aux autorités en charge de l’enquête. En outre, elle précise que cette juridiction se prononce sur cette demande d’autorisation uniquement sur la base d’une copie de l’ordonnance de mise en examen et de la déclaration par laquelle la personne concernée refuse la collecte de ces données.

81 Dans ce contexte, il y a lieu de considérer que la troisième question de la juridiction de renvoi se divise, comme le suggèrent le gouvernement bulgare et la Commission, en trois branches. Premièrement, la juridiction de renvoi se demande si l’article 6, sous a), de la directive 2016/680, qui se réfère à la catégorie des personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale, s’oppose à une législation nationale qui prévoit la collecte forcée des données biométriques et génétiques concernant une personne physique aux fins de leur enregistrement, à l’égard de laquelle sont réunis suffisamment d’éléments de preuve de ce qu’elle est coupable d’avoir commis une infraction intentionnelle poursuivie d’office, permettant, en vertu du droit national, sa mise en examen. Deuxièmement, elle s’interroge sur le point de savoir si, eu égard aux limites du pouvoir d’appréciation de la juridiction appelée à statuer sur l’exécution forcée d’une telle collecte, celle-ci est en mesure de garantir à la personne concernée une protection juridictionnelle effective, conformément à l’article 47 de la Charte. Troisièmement, elle se demande si, en dépit de ces limites, le respect du droit à la présomption d’innocence, visé à l’article 48 de la Charte, peut être assuré.

Sur la portée de l’article 6, sous a), de la directive 2016/680

82 L’article 6 de la directive 2016/680 fait obligation aux États membres de prévoir que le responsable du traitement établit, « le cas échéant et dans la mesure du possible », une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que celles mentionnées aux points a) à d) de cet article, à savoir, respectivement, les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale, les personnes reconnues coupables d’une infraction pénale, les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale et, enfin, les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux points a) et b) dudit article.

83 Ainsi, les États membres doivent veiller à ce que soit opérée une distinction claire entre les données des différentes catégories de personnes concernées de manière à ce que, comme l’a souligné M. l’avocat général au point 27 de ses conclusions, le même degré d’ingérence dans leur droit fondamental à la protection de leurs données à caractère personnel ne leur soit pas indifféremment imposé, quelle que soit la catégorie à laquelle elles appartiennent. À cet égard, ainsi qu’il se déduit du considérant 31 de la directive 2016/680, la catégorie de personnes définie à l’article 6, sous a), de cette directive correspond à celle des personnes suspectées d’avoir commis une infraction pénale.

84 Cependant, il découle du libellé de l’article 6 de la directive 2016/680 que l’obligation que cette disposition impose aux États membres n’est pas absolue. En effet, d’une part, l’expression « le cas échéant et dans la mesure du possible », qui y figure, indique qu’il appartient au responsable du traitement de déterminer, dans chaque cas d’espèce, si une distinction claire entre les données à caractère personnel des différentes catégories de personnes concernées peut être opérée. D’autre part, l’expression « telles que » qui figure à cet article indique que les catégories de personnes qui y sont énumérées ne présentent pas un caractère exhaustif.

85 Au demeurant, il y a lieu de relever que l’existence d’un nombre suffisant d’éléments de preuve de la culpabilité d’une personne constitue, en principe, un motif sérieux de croire que celle-ci a commis l’infraction en cause. Ainsi, une législation nationale qui prévoit la collecte forcée des données biométriques et génétiques des personnes physiques aux fins de leur enregistrement, dès lors que sont réunies suffisamment de preuves de ce que la personne concernée est coupable d’avoir commis une infraction pénale, paraît conforme à l’objectif de l’article 6, sous a), de la directive 2016/680.

86 Il résulte de tout ce qui précède que l’article 6, sous a), de la directive 2016/680 ne s’oppose pas à une législation nationale qui prévoit la collecte forcée des données biométriques et génétiques aux fins de leur enregistrement concernant des personnes à l’égard desquelles sont réunis suffisamment d’éléments de preuve de ce qu’elles sont coupables d’avoir commis une infraction intentionnelle poursuivie d’office et qui ont été mises en examen pour ce motif.

Sur le respect du droit à une protection juridictionnelle effective

87 En premier lieu, il convient de rappeler que le droit à une protection juridictionnelle effective, consacré à l’article 47 de la Charte, doit être reconnu à toute personne se prévalant de droits ou de libertés garantis par le droit de l’Union contre une décision lui faisant grief, de nature à porter atteinte à ces droits ou à ces libertés [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, points 55, 57 et 58 ainsi que jurisprudence citée].

88 Par conséquent, toute personne mise en examen qui s’est opposée à la collecte des données photographiques, dactyloscopiques et génétiques la concernant dans le cadre d’une procédure telle que l’enregistrement policier, laquelle doit se conformer aux exigences de l’article 10 de la directive 2016/680, doit pouvoir bénéficier, ainsi que l’exige l’article 47 de la Charte, du droit à un recours effectif devant un tribunal contre la décision d’autoriser l’exécution forcée de cette collecte aux fins de se prévaloir des droits qu’elle tire des garanties prévues par cette disposition et, notamment de celle tenant à ce que, en vertu de l’article 10, sous a), de cette directive, la collecte des données biométriques et génétiques soit effectuée en conformité avec la réglementation nationale qui l’autorise. En particulier, cette garantie implique que la juridiction compétente puisse contrôler que la mesure de mise en examen constituant la base légale de cet enregistrement policier a été adoptée, conformément aux règles de la procédure pénale nationale, au regard d’éléments de preuve suffisants de ce que la personne concernée est coupable d’avoir commis une infraction intentionnelle poursuivie d’office.

89 À cet égard, il doit être rappelé que le droit à une protection juridictionnelle effective ne constitue pas une prérogative absolue et que, conformément à l’article 52, paragraphe 1, de la Charte, des limitations peuvent y être apportées, à condition, premièrement, que ces limitations soient prévues par la loi, deuxièmement, qu’elles respectent le contenu essentiel des droits et des libertés en cause, et, troisièmement, que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, points 49 et 51 ainsi que jurisprudence citée].

90 Par ailleurs, il y a lieu de relever que l’article 54 de la directive 2016/680 met à la charge des États membres une obligation de prévoir que la personne qui considère que ses droits prévus dans les dispositions adoptées en vertu de cette directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation desdites dispositions a droit à un recours juridictionnel effectif. Il s’ensuit que le législateur de l’Union n’a pas limité lui-même l’exercice du droit à un recours effectif consacré à l’article 47 de la Charte et qu’il est loisible aux États membres de limiter cet exercice, à condition de respecter les exigences prévues à l’article 52, paragraphe 1, de la Charte [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, points 63 et 64].

91 Par conséquent, il y a lieu de déterminer si, sans préjudice de la voie de recours juridictionnel prévue par le droit national en application de l’article 54 de la directive 2016/680, le fait que la juridiction compétente, en vue d’autoriser une mesure d’exécution forcée de la collecte de données biométriques et génétiques concernant des personnes mises en examen, ne puisse pas procéder à un contrôle, sur le fond, des conditions de la mise en examen sur laquelle repose cette mesure d’exécution forcée constitue une limitation permise du droit à une protection juridictionnelle effective consacré à l’article 47 de la Charte.

92 S’agissant de la première condition visée au point 89 du présent arrêt, conformément à la jurisprudence rappelée au point 65 du présent arrêt, il appartient à la juridiction de renvoi de vérifier si les limites fixées à son pouvoir d’appréciation par le droit national, dans le cadre d’une demande visant à ce qu’elle autorise l’exécution forcée de la collecte de données biométriques et génétiques concernant une personne mise en examen aux fins de leur enregistrement, sont énoncées par ce droit de manière suffisamment claire et précise.

93 S’agissant de la deuxième condition, il découle de la jurisprudence que le contenu essentiel du droit à un recours effectif inclut, entre autres éléments, celui consistant, pour la personne titulaire de ce droit, à pouvoir accéder à un tribunal compétent pour assurer le respect des droits que le droit de l’Union lui garantit et, à cette fin, pour examiner toutes les questions de droit et de fait pertinentes en vue de résoudre le litige dont il est saisi [arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, point 66 ainsi que jurisprudence citée].

94 Cependant, il découle également de la jurisprudence de la Cour que cette condition n’implique pas, en tant que telle, que le titulaire du droit à une protection juridictionnelle effective dispose d’une voie de recours directe ayant pour objet, à titre principal, de mettre en cause une mesure donnée, pour autant qu’il existe par ailleurs, devant les différentes juridictions nationales compétentes, une ou plusieurs voies de recours lui permettant d’obtenir, à titre incident, un contrôle juridictionnel de cette mesure assurant le respect des droits et des libertés que le droit de l’Union lui garantit [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, point 79 ainsi que jurisprudence citée].

95 En particulier, comme l’a souligné, en substance, M. l’avocat général au point 36 de ses conclusions, la troisième question est fondée sur l’hypothèse que la phase préliminaire de la procédure pénale au cours de laquelle a lieu l’exécution forcée de la collecte des données biométriques et génétiques concernant une personne mise en examen aux fins de leur enregistrement sera suivie d’une phase juridictionnelle. Or, si elle ne peut être contrôlée au moment de la demande d’autorisation d’exécution forcée, l’existence d’un nombre suffisant d’éléments de preuve à charge, condition requise pour que la personne concernée puisse être contrainte de se soumettre à la collecte de ses données biométriques et génétiques, devra nécessairement pouvoir être vérifiée lors de cette phase juridictionnelle, au cours de laquelle la juridiction saisie doit avoir la possibilité d’examiner toutes les questions de droit et de fait pertinentes, en particulier pour vérifier que ces données biométriques et génétiques n’ont pas été obtenues en violation des droits garantis à l’intéressé par le droit de l’Union [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, points 81 à 83 ainsi que jurisprudence citée].

96 En tout état de cause, conformément à l’article 54 de la directive 2016/680, le droit national doit offrir la possibilité à l’intéressé de contester utilement la collecte forcée de ses données biométriques et génétiques dans le cadre d’un recours juridictionnel, fondé sur la violation alléguée des droits que lui confère cette directive en raison de ladite collecte, et ce sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle. Par conséquent, même dans l’hypothèse où la phase préliminaire de la procédure pénale n’est pas suivie d’une phase juridictionnelle, notamment en l’absence de poursuites, la personne concernée doit être en mesure d’obtenir un contrôle juridictionnel complet de la légalité du traitement des données en cause. Dès lors, lorsque, pour se conformer à l’obligation visée audit article 54, le droit national offre de telles garanties, ce qu’il appartient à la juridiction de renvoi de vérifier, le respect du contenu essentiel du droit à une protection juridictionnelle effective doit être présumé, même si la juridiction qui autorise l’exécution forcée de la collecte en cause ne dispose pas elle-même, au moment où elle se prononce sur celle-ci, du pouvoir d’appréciation nécessaire pour accorder une telle protection.

97 S’agissant de la troisième condition, il y a lieu de relever, tout d’abord, que la collecte des données génétiques et biométriques concernant des personnes mises en examen dans le cadre d’une procédure pénale aux fins de leur enregistrement poursuit des finalités énoncées à l’article 1^er, paragraphe 1, de la directive 2016/680, en particulier celles relatives à la prévention et à la détection des infractions pénales ainsi qu’aux enquêtes et aux poursuites en la matière, lesquelles constituent des objectifs d’intérêt général reconnus par l’Union.

98 À cet égard, il convient de souligner qu’une telle collecte est susceptible de contribuer à l’objectif énoncé au considérant 27 de la directive 2016/680, selon lequel, aux fins de la prévention des infractions pénales ainsi que des enquêtes et des poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, ainsi que des enquêtes et des poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour.

99 En l’occurrence, ainsi que l’a indiqué le gouvernement bulgare dans ses observations écrites et précisé dans le cadre d’une réponse écrite à une question posée par la Cour, l’enregistrement policier institué par le droit national poursuit deux finalités essentielles. D’une part, ces données sont recueillies et traitées pour être confrontées à d’autres données collectées lors d’enquêtes relatives à d’autres infractions. Cette finalité concerne également, selon ce gouvernement, la confrontation avec des données collectées dans d’autres États membres. D’autre part, lesdites données peuvent également être traitées aux fins de la procédure pénale dans le cadre de laquelle la personne concernée a été mise en examen.

100 Or, le fait de soustraire temporairement au contrôle du juge l’appréciation des preuves sur lesquelles est fondée la mise en examen de la personne concernée, et donc la collecte de ses données biométriques et génétiques, peut s’avérer justifié pendant la phase préliminaire de la procédure pénale. En effet, un tel contrôle, lors de cette phase, pourrait entraver le déroulement de l’enquête pénale au cours de laquelle ces données sont collectées et limiter excessivement la capacité des enquêteurs à élucider d’autres infractions sur la base d’une comparaison de ces données avec des données recueillies lors d’autres enquêtes. Cette limitation de la protection juridictionnelle effective n’est donc pas disproportionnée, dès lors que le droit national garantit ultérieurement un contrôle juridictionnel effectif.

101 Il résulte de tout ce qui précède que l’article 47 de la Charte ne s’oppose pas à ce qu’une juridiction nationale, lorsqu’elle statue sur une demande d’autorisation de procéder à l’exécution forcée de la collecte de données biométriques et génétiques d’une personne mise en examen aux fins de leur enregistrement, n’ait pas la possibilité d’apprécier les preuves sur lesquelles cette mise en examen repose, pour autant que le droit national garantisse ultérieurement un contrôle juridictionnel effectif des conditions de ladite mise en examen, dont découle l’autorisation de procéder à cette collecte.

Sur le respect de la présomption d’innocence

102 À titre liminaire, il convient de rappeler que, selon l’article 48, paragraphe 1 de la Charte, dont le contenu correspond à celui de l’article 6, paragraphe 2, de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, tout accusé est présumé innocent jusqu’à ce que sa culpabilité ait été légalement établie.

103 En particulier, la Cour a reconnu qu’il résulte de la jurisprudence de la Cour européenne des droits de l’homme que, notamment, la présomption d’innocence se trouve méconnue si une décision judiciaire concernant un prévenu reflète le sentiment qu’il est coupable, alors que sa culpabilité n’a pas préalablement été légalement établie (voir, en ce sens, arrêt du 25 février 2021, Dalli/Commission, C‑615/19 P, EU:C:2021:133, point 224 et jurisprudence citée).

104 Par ailleurs, ainsi qu’il ressort du considérant 31 de la directive 2016/680, l’établissement de différentes catégories de personnes auxquelles doivent correspondre différents traitements de leurs données à caractère personnel, en application de l’article 6 de cette directive, ne devrait pas empêcher l’application du droit à la présomption d’innocence garanti par la Charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

105 S’agissant des interrogations de la juridiction de renvoi concernant le respect du droit à la présomption d’innocence par une décision judiciaire autorisant la collecte des données biométriques et génétiques concernant des personnes mises en examen aux fins de leur enregistrement, il y a lieu de relever, en premier lieu, que, dans la mesure où le droit national prévoit que cette collecte est limitée à la catégorie des personnes qui sont mises en examen, c’est-à-dire à une catégorie de personnes dont la responsabilité pénale n’a pas encore été établie, ladite collecte ne saurait être considérée, en elle-même, comme étant de nature à refléter le sentiment des autorités que ces personnes sont coupables, au sens de la jurisprudence citée au point 103 du présent arrêt.

106 En second lieu, il convient de constater qu’une décision judiciaire autorisant la collecte des données biométriques et génétiques concernant des personnes mises en examen aux fins de leur enregistrement, dès lors qu’elle se borne à prendre acte de la mise en examen de la personne concernée et de son refus de se soumettre à cette collecte, ne saurait être interprétée comme une prise de position sur la culpabilité de cette personne ni, partant, comme portant atteinte à la présomption d’innocence de ladite personne.

107 En effet, le fait que la juridiction qui doit prononcer une telle décision judiciaire ne puisse pas apprécier, à ce stade de la procédure pénale, le caractère suffisant des éléments de preuve sur lesquels repose la mise en examen de la personne concernée constitue une garantie pour celle-ci du respect du droit à la présomption d’innocence.

108 Une telle garantie s’impose d’autant plus lorsque le droit national, tel que la disposition en cause dans l’affaire au principal, prévoit que la juridiction compétente pour statuer sur l’exécution forcée de la collecte des données biométriques et génétiques concernant des personnes mises en examen aux fins de leur enregistrement est celle qui, lors de la phase juridictionnelle de la procédure pénale, devra statuer sur la responsabilité pénale de cette personne. En effet, le respect du droit à la présomption d’innocence exige que cette juridiction soit libre de tout parti pris et de tout a priori lorsqu’elle procédera à cet examen (voir, en ce sens, arrêt du 16 novembre 2021, Prokuratura Rejonowa w Mińsku Mazowieckim e.a., C‑748/19 à C‑754/19, EU:C:2021:931, point 88).

109 Il résulte de ce qui précède que le droit à la présomption d’innocence, consacré à l’article 48 de la Charte, ne s’oppose pas à ce que les personnes mises en examen, lors de la phase préliminaire de la procédure pénale, fassent l’objet d’une mesure de collecte des données biométriques et génétiques les concernant aux fins de leur enregistrement, autorisée par une juridiction qui n’a pas le pouvoir d’apprécier, à ce stade, les preuves sur lesquelles repose une telle mise en examen.

110 Il résulte de tout ce qui précède qu’il y a lieu de répondre à la troisième question que l’article 6, sous a), de la directive 2016/680 ainsi que les articles 47 et 48 de la Charte doivent être interprétés en ce sens qu’ils ne s’opposent pas à une législation nationale qui prévoit que, en cas de refus de la personne mise en examen pour une infraction intentionnelle poursuivie d’office, de coopérer spontanément à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, la juridiction pénale compétente est tenue d’autoriser une mesure d’exécution forcée de cette collecte, sans disposer du pouvoir d’apprécier s’il existe des motifs sérieux de considérer que la personne concernée a commis l’infraction pour laquelle elle est mise en examen, pour autant que le droit national garantisse ultérieurement le contrôle juridictionnel effectif des conditions de cette mise en examen, dont découle l’autorisation de procéder à ladite collecte.

Sur la quatrième question

111 À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour, instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il lui incombe, le cas échéant, de reformuler les questions qui lui sont soumises (arrêt du 15 juillet 2021, The Department for Communities in Northern Ireland, C‑709/20, EU:C:2021:602, point 61 et jurisprudence citée).

112 Ainsi qu’il ressort de la décision de renvoi et qu’il a été relevé aux points 46 et 49 du présent arrêt, dans le cadre de la quatrième question, la juridiction de renvoi s’interroge sur la portée des exigences énoncées à l’article 4, paragraphe 1, sous a) à c), à l’article 8, paragraphes 1 et 2, et à l’article 10 de la directive 2016/680.

113 En outre, ainsi qu’il a été relevé aux points 46 à 48 du présent arrêt, la juridiction de renvoi indique que, alors que ces dispositions lui paraissent exiger que les autorités compétentes disposent d’une marge d’appréciation pour déterminer la nécessité de la collecte de données biométriques et génétiques et motivent adéquatement celle-ci, l’enregistrement policier prévu par la législation applicable à l’affaire au principal s’applique de manière impérative à toutes les personnes mises en examen pour des infractions intentionnelles poursuivies d’office et aux trois catégories de données biométriques et génétiques visées par la disposition de droit national en cause au principal, sans que cette législation exige que la nécessité concrète de procéder à la collecte de l’ensemble de ces catégories de données soit constatée.

114 Il s’ensuit qu’il y a lieu de comprendre la quatrième question comme visant à déterminer, en substance, si l’article 10 de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 1, sous a) à c), ainsi qu’avec l’article 8, paragraphes 1 et 2, de cette directive doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la collecte systématique de données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de déterminer et de démontrer, d’une part, que cette collecte est nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, que ces objectifs ne peuvent pas être atteints par la collecte d’une partie seulement des données concernées.

115 Plus particulièrement, il convient d’observer que les interrogations de la juridiction de renvoi concernent l’exigence énoncée à l’article 10 de cette directive, selon laquelle le traitement des catégories particulières de données visées à cet article doit être autorisé « uniquement en cas de nécessité absolue ».

116 À cet égard, en premier lieu, il convient de rappeler que, comme il a été indiqué aux points 62 et 63 du présent arrêt, l’article 10 de la directive 2016/680 constitue une disposition spécifique régissant les traitements des catégories particulières de données à caractère personnel, y compris les données biométriques et génétiques. Ainsi qu’il ressort de la jurisprudence, la finalité de cet article est d’assurer une protection accrue à l’égard de ces traitements qui, en raison de la sensibilité particulière des données en cause et du contexte dans lequel elles sont traitées, sont susceptibles d’engendrer, ainsi qu’il ressort du considérant 37 de ladite directive, des risques importants pour les libertés et les droits fondamentaux, tels que le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte [voir, par analogie, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 44].

117 En deuxième lieu, ainsi qu’il résulte des termes mêmes dans lesquels elle est énoncée à l’article 10 de la directive 2016/680, l’exigence selon laquelle le traitement de telles données est autorisé « uniquement en cas de nécessité absolue » doit être interprétée comme définissant des conditions renforcées de licéité du traitement des données sensibles, au regard de celles qui découlent de l’article 4, paragraphe 1, sous b) et c), et de l’article 8, paragraphe 1, de cette directive, lesquelles se réfèrent seulement à la « nécessité » d’un traitement de données relevant, de manière générale, du champ d’application de ladite directive.

118 Ainsi, d’une part, l’emploi de l’adverbe « uniquement » devant l’expression « en cas de nécessité absolue » souligne que le traitement de catégories particulières de données, au sens de l’article 10 de la directive 2016/680, ne pourra être considéré comme nécessaire que dans un nombre limité de cas. D’autre part, le caractère « absolu » de la nécessité d’un traitement de telles données implique que cette nécessité soit appréciée de manière particulièrement rigoureuse.

119 La circonstance invoquée par le gouvernement français que, dans certaines versions linguistiques de l’article 10 de la directive 2016/680, cet article se réfère aux cas où le traitement de données est « strictement nécessaire » n’est pas déterminant à cet égard. En effet, cette variation terminologique ne modifie pas la nature du critère ainsi visé et le niveau d’exigence requis, dès lors que ces versions linguistiques définissent également une condition renforcée pour que soit autorisé le traitement de données sensibles, impliquant une appréciation plus rigoureuse de sa nécessité que dans le cas où les données traitées ne relèvent pas du champ d’application dudit article.

120 Par ailleurs, ainsi que la Commission le relève également, l’exigence selon laquelle un traitement de données relevant de l’article 10 de la directive 2016/680 est autorisé uniquement en cas de nécessité absolue ne figurait pas dans la proposition de directive [COM(2012) 10 final] à l’origine de cette directive, mais a ultérieurement été introduite par le législateur de l’Union, qui a ainsi clairement entendu imposer une condition renforcée de nécessité du traitement de données, en adéquation avec l’objectif poursuivi par cet article, consistant à protéger de manière accrue les personnes à l’égard des traitements de données sensibles.

121 En troisième lieu, s’agissant du contenu de l’exigence selon laquelle le traitement des données sensibles doit être autorisé « uniquement en cas de nécessité absolue », il y a lieu de relever que les exigences spécifiques de l’article 10 de la directive 2016/680 constituent une mise en œuvre particulière, applicable à certaines catégories de données, des principes énoncés aux articles 4 et 8 de cette directive, qui doivent être respectés par tout traitement de données relevant du champ d’application de celle-ci. Par conséquent, la portée de ces différentes exigences doit être déterminée au regard desdits principes.

122 En particulier, d’une part, la « nécessité absolue », au sens de l’article 10 de la directive 2016/680, de la collecte des données biométriques et génétiques des personnes mises en examen aux fins de leur enregistrement doit être déterminée au regard des finalités de cette collecte. Conformément au principe de limitation des finalités énoncé à l’article 4, paragraphe 1, sous b), de cette directive, ces finalités doivent être « déterminées, explicites et légitimes ». D’autre part, bien que l’exigence selon laquelle le traitement des données biométriques et génétiques doit être autorisé « uniquement en cas de nécessité absolue » corresponde, comme il a été relevé aux points 117 à 119 du présent arrêt, à une exigence de protection accrue de certaines catégories de données, elle n’en constitue pas moins une application spécifique aux catégories de données visées audit article 10 du principe de minimisation des données, énoncé à l’article 4, paragraphe 1, sous c), de ladite directive, en vertu duquel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

123 En outre, à la lumière de l’article 4, paragraphe 1, sous a), de cette même directive, la portée de cette exigence doit être également déterminée au regard de l’article 8, paragraphe 1, de celle-ci, aux termes duquel les États membres doivent prévoir, notamment, que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1^er, paragraphe 1, de cette directive, ainsi que de son article 8, paragraphe 2, qui exige qu’une disposition du droit d’un État membre qui réglemente le traitement relevant du champ d’application de ladite directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement.

124 À cet égard, les finalités du traitement de données biométriques et génétiques ne sauraient être désignées dans des termes à caractère trop général, mais requièrent d’être définies de manière suffisamment précise et concrète pour permettre d’évaluer la « nécessité absolue » dudit traitement.

125 Par ailleurs, l’exigence de « nécessité absolue » du traitement de données sensibles implique un contrôle particulièrement strict, dans ce contexte, du respect du principe de minimisation des données.

126 À cet égard, premièrement, il doit être rappelé, ainsi qu’il ressort du considérant 26 de la directive 2016/680, que l’exigence de nécessité est remplie lorsque l’objectif poursuivi par le traitement de données en cause ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte (voir, en ce sens, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 85 et jurisprudence citée). Notamment, eu égard à la protection accrue des personnes à l’égard du traitement de données sensibles, il y a lieu, pour le responsable de ce traitement, de s’assurer que cet objectif ne peut pas être satisfait en ayant recours à des catégories de données autres que celles énumérées à l’article 10 de la directive 2016/680.

127 Deuxièmement, eu égard aux risques importants que représente le traitement des données sensibles pour les droits et les libertés des personnes concernées, en particulier dans le contexte des missions des autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1, de la directive 2016/680, l’exigence de « nécessite absolue » implique qu’il soit tenu compte de l’importance particulière de l’objectif qu’un tel traitement vise à atteindre. Une telle importance peut s’apprécier, entre autres, en fonction de la nature même de l’objectif poursuivi, notamment du fait que le traitement sert un objectif concret en lien avec la prévention d’infractions pénales ou de menaces contre la sécurité publique présentant un certain degré de gravité, la répression de telles infractions ou la protection contre de telles menaces, ainsi qu’à la lumière des circonstances spécifiques dans lesquelles ce traitement est effectué.

128 Au vu de ce qui précède, il y a lieu de considérer qu’une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office est, en principe, contraire à l’exigence énoncée à l’article 10 de la directive 2016/680, selon laquelle le traitement des catégories particulières de données visées à cet article doit être autorisé « uniquement en cas de nécessité absolue ».

129 En effet, une telle législation est susceptible de conduire, de manière indifférenciée et généralisée, à la collecte des données biométriques et génétiques de la plupart des personnes mises en examen dès lors que la notion d’« infraction pénale intentionnelle poursuivie d’office » revêt un caractère particulièrement général et est susceptible de s’appliquer à un grand nombre d’infractions pénales, indépendamment de leur nature et de leur gravité.

130 Certes, une telle législation limite le champ d’application de la collecte des données biométriques et génétiques aux personnes mises en examen lors de la phase d’instruction d’une procédure pénale, c’est-à-dire à des personnes pour lesquelles il existe des motifs sérieux de croire qu’elles ont commis une infraction pénale, au sens de l’article 6, sous a), de la directive 2016/680. Toutefois, le seul fait qu’une personne soit mise en examen pour une infraction pénale intentionnelle poursuivie d’office ne saurait être considéré comme un élément permettant, à lui seul, de présumer que la collecte de ses données biométriques et génétiques est absolument nécessaire au regard des finalités qu’elle vise et compte tenu des atteintes aux droits fondamentaux, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte, qui en résultent.

131 Ainsi, d’une part, s’il existe des motifs sérieux de croire que la personne en cause a commis une infraction pénale, justifiant sa mise en examen, ce qui suppose qu’aient déjà été réunis suffisamment d’éléments de preuve de l’implication de cette personne dans l’infraction, il pourra se produire des cas où la collecte tant des données biométriques que des données génétiques n’obéira à aucune nécessité concrète aux fins de la procédure pénale en cours.

132 D’autre part, la probabilité que les données biométriques et génétiques d’une personne mise en examen soient absolument nécessaires dans le cadre d’autres procédures que celle dans le cadre de laquelle cette mise en examen a eu lieu ne peut se déterminer qu’au regard de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction présumée pour laquelle elle est mise en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel de la personne en cause.

133 Dans ces conditions, il appartient à la juridiction de renvoi de vérifier si, afin de garantir l’effectivité de l’article 10 de la directive 2016/680, il est possible d’interpréter la législation nationale prévoyant cette exécution forcée de manière conforme au droit de l’Union. En particulier, il appartient à la juridiction de renvoi de vérifier si le droit national permet d’apprécier la « nécessité absolue » de procéder à la collecte tant des données biométriques que des données génétiques de la personne concernée aux fins de leur enregistrement. Notamment, il y aurait lieu, à ce titre, de pouvoir vérifier si la nature et la gravité de l’infraction dont la personne concernée, dans la procédure pénale au principal, est suspectée ou si d’autres éléments pertinents, tels que ceux visés au point 132 du présent arrêt, peuvent constituer des circonstances de nature à établir une telle « nécessité absolue ». En outre, il conviendrait de s’assurer que la collecte des données d’état civil, qui est également prévue dans le cadre de l’enregistrement policier, comme l’a confirmé le gouvernement bulgare dans le cadre d’une réponse écrite à une question posée par la Cour, ne permet pas, à elle seule, de répondre aux objectifs poursuivis.

134 Dans l’hypothèse où le droit national ne garantit pas un tel contrôle de la mesure de collecte des données biométriques et génétiques, il appartient à la juridiction de renvoi d’assurer le plein effet dudit article 10 en rejetant la demande des autorités de police d’autoriser l’exécution forcée de cette collecte.

135 Il résulte de tout ce qui précède que l’article 10 de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 1, sous a) à c), ainsi qu’avec l’article 8, paragraphes 1 et 2, de cette directive, doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée.

Sur les dépens

136 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (cinquième chambre) dit pour droit :

1) L’article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu à la lumière de l’article 52 de la charte des droits fondamentaux de l’Union européenne,

doit être interprété en ce sens que :

le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l’ordre public, est autorisé par le droit d’un État membre, au sens de l’article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l’acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et non à la directive 2016/680, n’est pas de nature, en lui-même, à remettre en cause l’existence d’une telle autorisation, pour autant qu’il ressort, de manière suffisamment claire, précise et dénuée d’équivoque de l’interprétation de l’ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d’application de cette directive, et non de ce règlement.

2) L’article 6, sous a), de la directive 2016/680 ainsi que les articles 47 et 48 de la charte des droits fondamentaux de l’Union européenne

doivent être interprétés en ce sens que :

ils ne s’opposent pas à une législation nationale qui prévoit que, en cas de refus de la personne mise en examen pour une infraction intentionnelle poursuivie d’office, de coopérer spontanément à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, la juridiction pénale compétente est tenue d’autoriser une mesure d’exécution forcée de cette collecte, sans disposer du pouvoir d’apprécier s’il existe des motifs sérieux de considérer que la personne concernée a commis l’infraction pour laquelle elle est mise en examen, pour autant que le droit national garantisse ultérieurement le contrôle juridictionnel effectif des conditions de cette mise en examen, dont découle l’autorisation de procéder à ladite collecte.

3) L’article 10 de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 1, sous a) à c), ainsi qu’avec l’article 8, paragraphes 1 et 2, de cette directive,

doit être interprété en ce sens que :

il s’oppose à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée.

Signatures

* Langue de procédure : le bulgare.