CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2025:905

ARRÊT DE LA COUR (cinquième chambre)

20 novembre 2025 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et libre circulation de ces données – Directive (UE) 2016/680 – Article 4, paragraphe 1, sous c) et e) – Minimisation du traitement des données – Limitation de la conservation des données à caractère personnel – Article 10 – Collecte et conservation de données biométriques et génétiques – Nécessité absolue – Article 6, sous a) – Obligation de distinguer entre les données à caractère personnel de différentes catégories de personnes – Législation nationale prévoyant la collecte de données biométriques et génétiques de toute personne soupçonnée ou accusée d’avoir commis une infraction pénale intentionnelle – Article 5 – Délais appropriés pour l’effacement ou pour la vérification régulière de la nécessité de la conservation de ces données – Absence de délai maximal de conservation – Évaluation de la nécessité de la conservation de données biométriques et génétiques par la police sur la base des règles internes – Article 8, paragraphe 2 – Licéité du traitement de ces données – Notion de “disposition du droit d’un État membre” – Possibilité de qualifier la jurisprudence nationale de “droit d’un État membre” »

Dans l’affaire C‑57/23,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Nejvyšší správní soud (Cour administrative suprême, République tchèque), par décision du 26 janvier 2023, parvenue à la Cour le 2 février 2023, dans la procédure

contre

Policejní prezidium,

LA COUR (cinquième chambre),

composée de M^me M. L. Arastey Sahún, présidente de chambre, MM. J. Passer, E. Regan (rapporteur), D. Gratsias et B. Smulders, juges,

avocat général : M. J. Richard de la Tour,

greffier : M. I. Illéssy, administrateur,

vu la procédure écrite et à la suite de l’audience du 28 novembre 2024,

considérant les observations présentées :

– pour JH, par M^es M. Mandzák, L. Nezpěvák et L. Trojan, advokáti,

– pour le gouvernement tchèque, par MM. M. Smolek, O. Serdula, J. Vláčil, M^mes T. Suchá et L. Březinová, en qualité d’agents,

– pour l’Irlande, par M^me M. Browne, Chief State Solicitor, MM. A. Joyce et D. O’Reilly, en qualité d’agents, assistés de M^me A. Mulligan, BL,

– pour le gouvernement néerlandais, par M. J. Langer, en qualité d’agent,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg, M^me P. Němečková et M. F. Wilman, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 27 février 2025,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, paragraphe 1, sous c) et e), de l’article 6, de l’article 8, paragraphe 2, et de l’article 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

2 Cette demande a été présentée dans le cadre d’un litige opposant JH au Policejní prezidium (direction de la police, République tchèque) (ci-après la « direction de la police tchèque ») au sujet, notamment, de la collecte de données biométriques et génétiques relatives à JH dans le cadre d’une procédure pénale ainsi que de leur conservation par la police tchèque.

Le cadre juridique

Le droit de l’Union

3 Les considérants 1, 2, 26, 33, 37 et 96 de la directive 2016/680 sont libellés comme suit :

« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne (ci-après dénommée [la] “Charte”) et l’article 16, paragraphe 1, du traité [FUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

(2) Les principes et les règles applicables en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données à caractère personnel. [...]

[...]

(26) Tout traitement de données à caractère personnel doit être licite, loyal et transparent à l’égard des personnes physiques concernées et n’être effectué qu’aux fins spécifiques fixées par la loi. Cela n’interdit pas en soi aux autorités répressives de mener des activités telles que des enquêtes discrètes ou de la vidéosurveillance. Ces activités peuvent être menées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, pour autant qu’elles soient déterminées par la loi et qu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des intérêts légitimes de la personne physique concernée. [...] Les personnes physiques devraient être informées des risques, règles, garanties et droits en ce qui concerne le traitement de données à caractère personnel les concernant et des modalités d’exercice de leurs droits par rapport au traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées au moment de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d’un examen périodique. Les États membres devraient établir des garanties appropriées pour les données à caractère personnel conservées pendant des périodes plus longues à des fins archivistiques dans l'intérêt public, à des fins scientifiques, statistiques ou historiques.

[...]

(33) Lorsque la présente directive fait référence au droit d’un État membre, à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, ce droit d’un État membre, cette base juridique ou cette mesure législative devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice et de la Cour européenne des droits de l’homme. Le droit des États membres qui réglemente le traitement des données à caractère personnel relevant du champ d’application de la présente directive devrait préciser au minimum les objectifs, les données à caractère personnel qui feront l’objet d’un traitement, les finalités du traitement et les procédures pour garantir l’intégrité et la confidentialité des données à caractère personnel et les procédures prévues pour la destruction de celles-ci, fournissant ainsi des garanties suffisantes vis-à-vis des risques d’utilisation abusive et d’arbitraire.

[...]

(37) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression “origine raciale” dans la présente directive n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Ces données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne s’accompagne de garanties appropriées pour les droits et libertés de la personne concernée fixées par la loi et ne soit permis dans des cas autorisés par la loi ; lorsqu’il n’est pas déjà autorisé par une telle loi, qu’il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne ; ou qu’il ne porte sur des données manifestement rendues publiques par la personne concernée. Des garanties appropriées pour les droits et des libertés de la personne concernée pourraient comprendre la possibilité de ne collecter ces données qu’en rapport avec d’autres données relatives à la personne physique concernée, la possibilité de sécuriser les données collectées de manière adéquate, des règles plus strictes pour l’accès du personnel de l’autorité compétente aux données et l’interdiction de la transmission de ces données. [...]

[...]

(96) Les États membres devraient disposer d’un délai maximal de deux ans à compter de la date d’entrée en vigueur de la présente directive pour sa transposition. Les traitements déjà en cours à cette date devraient être mis en conformité avec la présente directive dans un délai de deux ans après son entrée en vigueur. Toutefois, lorsque ces traitements ont lieu en conformité avec le droit de l’Union applicable avant la date d’entrée en vigueur de la présente directive, les exigences prévues par celle-ci concernant la consultation préalable de l’autorité de contrôle ne devraient pas s’appliquer aux opérations de traitement déjà en cours à ladite date, étant donné que ces exigences, de par leur nature même, doivent être satisfaites avant le traitement. [...]

[...] »

4 L’article 1er de cette directive, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :

« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »

5 L’article 2 de ladite directive, intitulé « Champ d’application », prévoit, à son paragraphe 1 :

« La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1. »

6 Aux termes de l’article 3 de la même directive, intitulé « Définitions » :

« Aux fins de la présente directive on entend par :

1. “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2. “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

12. “données génétiques”, les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question ;

13. “données biométriques”, les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;

[...] »

7 L’article 4 de la directive 2016/680, intitulé « Principes relatifs au traitement des données à caractère personnel », précise, à son paragraphe 1 :

« Les États membres prévoient que les données à caractère personnel sont :

a) traitées de manière licite et loyale ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées d’une manière incompatible avec ces finalités ;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;

[...] »

8 L’article 5 de cette directive, intitulé « Délais de conservation et d’examen », est rédigé en ces termes :

« Les États membres prévoient que des délais appropriés sont fixés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Des règles procédurales garantissent le respect de ces délais. »

9 L’article 6 de ladite directive, intitulé « Distinction entre différentes catégories de personnes concernées », prévoit :

« Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

a) les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

b) les personnes reconnues coupables d’une infraction pénale ;

c) les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ; et

d) les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux points a) et b). »

10 L’article 8 de la même directive, intitulé « Licéité du traitement », dispose :

« 1. Les États membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1^er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un État membre.

2. Une disposition du droit d’un État membre qui réglemente le traitement relevant du champ d’application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement. »

11 Aux termes de l’article 10 de la directive 2016/680, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel » :

« Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement :

a) lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un État membre ;

b) pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique ; ou

c) lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée. »

12 En vertu de l’article 63, paragraphe 1, de cette directive, les États membres devaient adopter et publier, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à ladite directive. En outre, les États membres sont tenus d’appliquer ces dispositions depuis cette même date.

13 Conformément à l’article 64 de la même directive, cette dernière est entrée en vigueur le 5 mai 2016.

Le droit tchèque

14 L’article 11 du zákon č. 273/2008 Sb., o Policii České republiky (loi no 273/2008 relative à la police de la République tchèque), dans sa version applicable au litige au principal (ci-après la « loi relative à la police tchèque »), intitulé « Proportionnalité des actes », dispose :

« Le policier et l’employé de la police sont tenus de :

[...]

c) agir de manière à ce qu’une éventuelle ingérence dans les droits et libertés des personnes qui font l’objet de leur acte, ou des personnes non concernées, n’excède pas ce qui est nécessaire pour atteindre l’objectif poursuivi par cet acte. »

15 L’article 65 de la loi relative à la police tchèque prévoit :

« (1) Dans le cadre de l’exécution de ses missions, la police peut, aux fins d’une identification future, dans le cas de

a) une personne poursuivie pour avoir commis une infraction pénale intentionnelle ou une personne qui a été informée qu’elle était soupçonnée d’avoir commis une telle infraction pénale,

b) une personne qui purge une peine privative de liberté pour avoir commis une infraction pénale intentionnelle,

c) une personne soumise à des mesures médicales coercitives ou à une rétention de sûreté, ou

d) une personne recherchée qui a été retrouvée et dont la capacité juridique est limitée,

prendre ses empreintes digitales, rechercher des particularités physiques, effectuer des mesures sur son corps, réaliser des enregistrements vidéo, audio et similaires ainsi que prélever des échantillons biologiques permettant d’obtenir des informations sur son capital génétique.

(2) Si, la personne s’y opposant, un acte prévu au paragraphe 1 ne peut être effectué, le policier a le droit de passer outre cette opposition après avoir vainement demandé à cette personne de s’y soumettre. La manière dont il passe outre ladite opposition doit être proportionnelle à l’intensité de celle-ci. Le policier ne peut passer outre l’opposition d’une personne dans le cas d’un prélèvement de sang ou d’un autre acte similaire portant atteinte à l’intégrité physique.

(3) Si un acte prévu au paragraphe 1 ne peut être effectué sur place, le policier a le droit de mander la personne concernée en vue de la réalisation de cet acte. Le policier libère cette personne une fois ledit acte effectué.

(4) Le policier rédige un rapport sur les actes ainsi réalisés.

(5) La police efface les données à caractère personnel obtenues en application du paragraphe 1 dès lors que leur traitement n’est pas indispensable afin de prévenir, de rechercher ou de détecter des infractions pénales ou de les poursuivre, ou d’assurer la sécurité de la République tchèque, l’ordre public ou la sécurité intérieure. »

16 L’article 79 de cette loi, intitulé « Dispositions fondamentales relatives au traitement des données à caractère personnel dans l’exercice de certaines missions de police », dispose :

« (1) Les paragraphes 2 à 6 et les articles 79a à 88 s’appliquent au traitement de données à caractère personnel à des fins de prévention, de recherche et de détection des infractions pénales, de poursuites en la matière, afin d’assurer la sécurité de la République tchèque ou de garantir l’ordre public et la sécurité intérieure, y compris à des fins de recherche de personnes et de choses.

(2) La police peut traiter les données à caractère personnel si cela est nécessaire pour atteindre les objectifs cités au paragraphe 1. La police peut traiter les données à caractère personnel également afin de protéger les intérêts importants d’une personne concernée qui sont liés aux objectifs cités au paragraphe 1.

[...] »

17 L’article 82 de ladite loi, intitulé « Vérification de la nécessité d’une poursuite du traitement des données à caractère personnel », est libellé comme suit :

« (1) La police vérifie au moins une fois tous les trois ans que les données à caractère personnel traitées aux fins mentionnées à l’article 79, paragraphe 1, sont toujours nécessaires à l’exécution de ses missions dans ce domaine.

(2) Aux fins de la vérification visée au paragraphe 1, la police est habilitée à exiger un extrait du casier judiciaire.

(3) Les autorités répressives et judiciaires, le Ministerstvo spravedlnosti (ministère de la Justice, République tchèque), l’Ústavní soud (Cour constitutionnelle, République tchèque) et le Kancelář prezidenta republiky (cabinet du président de la République, République tchèque) informent en continu la police, dans les limites de leurs compétences, aux fins de la vérification visée au paragraphe 1, de leurs décisions définitives, de la prescription de poursuites pénales, de l’exécution d’une peine ou des décisions du président de la République relatives à une procédure pénale, à des peines, à une amnistie ou à une grâce accordée. »

Le litige au principal et les questions préjudicielles

18 Par une décision du 11 décembre 2015, le service de détection de la corruption et de la criminalité financière du groupe de la police criminelle et d’enquête de la section de Plzeň (République tchèque), qui est un service de la police tchèque doté d’une compétence nationale, a engagé des poursuites pénales contre JH pour le délit de violation d’une obligation dans la gestion du patrimoine d’autrui.

19 Le 13 janvier 2016, la police tchèque a, tout d’abord, entendu JH dans le cadre de la procédure pénale concernée ainsi qu’ordonné et procédé à la réalisation des actes d’identification suivants, en dépit du désaccord de JH : un prélèvement des empreintes digitales de JH, un prélèvement buccal de celui-ci à partir duquel elle a créé un profil génétique, la prise de photos de JH et la rédaction d’une description de JH. Elle a, ensuite, enregistré ces informations dans les bases de données correspondantes.

20 Par un arrêt du 15 mars 2017, le Městský soud v Praze (cour municipale de Prague, République tchèque) a jugé que JH avait commis le délit de violation d’une obligation dans la gestion du patrimoine d’autrui, et ce par complicité, ainsi qu’un crime d’abus de pouvoir de la part d’un fonctionnaire. Ladite juridiction a infligé à JH une peine privative de liberté de trois ans avec sursis, une interdiction d’exercer dans l’administration publique des fonctions de direction, incluant la gestion d’un patrimoine immobilier et mobilier, pendant quatre ans, et l’a également condamné à réparer, dans la limite de ses possibilités, le dommage causé.

21 Le 8 mars 2016, JH a introduit un recours auprès du Městský soud v Praze (cour municipale de Prague) visant à faire constater que la réalisation des actes d’identification conformément à l’article 65 de la loi relative à la police tchèque, la conservation des informations et des échantillons obtenus, ainsi que la création d’une entrée dans les bases de données de la police tchèque à cette occasion constituaient une ingérence illégale dans son droit fondamental au respect de la vie privée.

22 Étant donné que, dans le cadre d’une autre affaire alors pendante, il avait déjà saisi l’Ústavní soud (Cour constitutionnelle, République tchèque) d’une demande d’appréciation de la constitutionnalité de l’article 65 de la loi relative à la police tchèque, le Městský soud v Praze (cour municipale de Prague) a suspendu l’examen du recours introduit par JH.

23 Par une décision du 22 mars 2022, l’Ústavní soud (Cour constitutionnelle) a rejeté la demande introduite par le Městský soud v Praze (cour municipale de Prague) tendant à ce que soit constatée l’inconstitutionnalité de l’article 65 de la loi relative à la police tchèque. À la suite de cette décision, cette dernière juridiction a repris l’examen du recours introduit par JH.

24 Par un arrêt du 23 juin 2022, le Městský soud v Praze (cour municipale de Prague) a fait droit au recours de JH, jugeant que les actes réalisés par la police tchèque le 13 janvier 2016 étaient illégaux. Par suite, cette juridiction a ordonné à la police tchèque d’effacer de ses bases de données toutes les données à caractère personnel résultant de ces actes.

25 Dans cet arrêt, ladite juridiction a souligné que le prélèvement de matériel génétique représentait une ingérence considérable dans le droit fondamental au respect de la vie privée de l’intéressé, protégé notamment à l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »), et à l’article 10, paragraphe 3, de la Listina základních práv a svobod (charte des droits et libertés fondamentaux de la République tchèque). Or, l’article 65 de la loi relative à la police tchèque ne fournirait pas d’indications suffisantes pour apprécier le caractère proportionné de cette ingérence. En effet, la seule vérification qu’exigerait ce dernier article serait que la police tchèque contrôle, avant d’effectuer un tel prélèvement, le caractère « intentionnel » de l’infraction commise.

26 Au demeurant, la même juridiction a relevé que JH était seulement poursuivi pour la commission d’un délit, à savoir une infraction pénale de moindre gravité, que sa peine privative de liberté était assortie d’un sursis, ce qui confirmerait la moindre gravité des faits reprochés, qu’il n’avait jamais été condamné auparavant dans une procédure pénale, qu’une récidive de sa part était peu probable et qu’il n’était pas certain que les infractions commises fussent de l’ordre des délits dont les auteurs commettraient à l’avenir une infraction pénale que les données à caractère personnel conservées dans les bases de données pourraient contribuer à identifier. Elle en a déduit que les actes d’identification réalisés par la police tchèque et faisant l’objet du litige au principal ne satisfaisaient pas à l’exigence de proportionnalité.

27 La direction de la police tchèque a introduit un pourvoi en cassation contre ledit arrêt devant le Nejvyšší správní soud (Cour administrative suprême, République tchèque), qui est la juridiction de renvoi.

28 Au soutien de son pourvoi, la direction de la police tchèque fait valoir que la finalité du traitement des données à caractère personnel est clairement formulée à l’article 65 de la loi relative à la police tchèque. Elle soutient également que, en l’occurrence, les services compétents de la police tchèque ont apprécié le caractère proportionné du prélèvement et de la conservation des données à caractère personnel de JH, prenant en considération le facteur de la récidive, la possible aggravation des actes et le fait que JH avait par le passé commis plusieurs contraventions.

29 En réponse, JH fait valoir notamment que les services de police tchèque ont procédé à des actes d’identification, sans avoir préalablement examiné le caractère proportionné de l’ingérence concernée. JH critique également l’absence de publicité des instructions de la police tchèque relatives à la réalisation d’actes d’identification.

30 La juridiction de renvoi souligne que, en vertu de sa jurisprudence la plus récente, le seul respect des exigences formelles posées à l’article 65, paragraphe 1, de la loi relative à la police tchèque, en particulier celle relative à la qualification d’infraction pénale « intentionnelle », ne suffit pas pour que la collecte et la conservation des données à caractère personnel visées à cet article puissent être considérées comme étant légales. Ainsi, les services de police auraient l’obligation d’apprécier la proportionnalité du prélèvement dans chaque cas concret, en tenant compte notamment du passé pénal, de la personnalité et du comportement de la personne concernée, de la gravité de l’infraction pénale pour laquelle cette personne a été convoquée en vue de la réalisation d’actes d’identification ainsi que, dans le cadre d’une demande d’effacement ex post, de la durée écoulée depuis que l’infraction pénale concernée a été commise.

31 En application de cette jurisprudence, les juridictions nationales auraient conclu à l’illégalité d’actes d’identification, tels que la collecte de données biométriques et génétiques, notamment dans le cas d’infractions n’impliquant aucune violence et commises par des personnes n’ayant jamais été condamnées.

32 C’est dans ce contexte que la juridiction de renvoi s’interroge sur la compatibilité avec la directive 2016/680 du régime juridique établi à l’article 65 de la loi relative à la police tchèque.

33 En premier lieu, cette juridiction se demande si les exigences établies par cette directive s’opposent à la collecte indifférenciée de données biométriques et génétiques pour toute personne soupçonnée d’avoir commis une infraction pénale intentionnelle.

34 D’une part, il résulterait de la jurisprudence de la Cour européenne des droits de l’homme relative au droit fondamental au respect de la vie privée, tel que garanti à l’article 8 de la CEDH, que les parties contractantes sont tenues d’établir une distinction entre les infractions pénales pour lesquelles des échantillons d’acide désoxyribonucléique (ADN) sont collectés en fonction de leur gravité pour la société. Les parties contractantes ne pourraient pas traiter de la même façon, d’une part, les auteurs d’infractions pénales graves, telles que celles commises avec violence, pour lesquels le prélèvement et la conservation d’échantillons d’ADN seraient légitimes, et, d’autre part, les auteurs d’infractions pénales moins graves.

35 D’autre part, les exigences dérivant du principe de proportionnalité, telles que, notamment, celle concrétisée, dans le champ d’application de la directive 2016/680, sous la forme du principe de minimisation du traitement des données et de l’obligation d’établir des distinctions entre différentes catégories de personnes concernées, prévus, respectivement, à l’article 4, paragraphe 1, sous c), de cette directive et à l’article 6 de celle-ci, soulèveraient des interrogations quant au point de savoir si établir des distinctions in abstracto au niveau législatif, en fonction, notamment, de la gravité des infractions envisagées, est suffisant ou s’il est nécessaire d’apprécier in concreto le caractère proportionné d’un prélèvement dans chaque cas spécifique.

36 En deuxième lieu, la juridiction de renvoi se demande si les exigences établies par la directive 2016/680 s’opposent à la conservation de données biométriques et génétiques sans que soit explicitement prévue une limitation dans le temps à cet égard. Par ailleurs, la réglementation nationale applicable ne fixerait pas de limite maximale à la durée de conservation des données d’identification. Or, selon la lecture que fait la juridiction de renvoi de la jurisprudence de la Cour européenne des droits de l’homme, celle-ci exigerait d’établir une telle limite maximale.

37 En troisième lieu, la juridiction de renvoi se demande si la jurisprudence des juridictions administratives tchèques est susceptible d’être qualifiée de « droit d’un État membre », au sens de l’article 8 de la directive 2016/680, lequel établit les conditions de licéité des traitements de données à caractère personnel.

38 En effet, l’article 65 de la loi relative à la police tchèque ne préciserait ni les conditions concrètes de conservation et les types d’informations pouvant être extraits de l’échantillon prélevé ni les conditions de conservation et d’effacement des données biométriques et génétiques, de sorte que cet article ne saurait satisfaire, à lui seul, aux exigences posées à l’article 8, paragraphe 2, de la directive 2016/680, lu en combinaison avec l’article 10 de celle-ci.

39 Certes, cet article 65 serait complété par des instructions du président de la police mettant en œuvre celui-ci, mais ces dernières n’étant ni des textes réglementaires ni publiées, elles ne pourraient en aucun cas se voir reconnaître la qualité de « droit d’un État membre », au sens de l’article 8, paragraphe 2, de la directive 2016/680.

40 Dès lors, la question se poserait de savoir si le droit d’un État membre peut être regardé comme prévoyant des garanties matérielles et procédurales suffisantes pour le traitement de données sensibles, au sens de l’article 10 de cette directive, telles que des données biométriques et génétiques, lorsque ces garanties sont apportées par la jurisprudence.

41 Dans ces conditions, le Nejvyšší správní soud (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Quel niveau de distinction entre les différentes personnes concernées l’article 4, paragraphe 1, sous c), ou l’article 6 de la directive 2016/680, lu en combinaison avec l’article 10 de celle-ci, requiert-il ? Une réglementation nationale qui permet la collecte de données génétiques de toutes les personnes soupçonnées ou poursuivies pour avoir commis une infraction pénale intentionnelle est-elle compatible avec le principe de minimisation du traitement des données à caractère personnel, de même qu’avec l’obligation d’établir une distinction entre différentes catégories de personnes concernées ?

2) Est-il conforme à l’article 4, paragraphe 1, sous e), de la directive 2016/680 que, au regard de la finalité générale de prévention, de recherche ou de détection des infractions pénales, la nécessité de conserver encore le profil ADN soit appréciée par les services de police sur le fondement de leurs prescriptions internes, ce qui dans la pratique revient souvent à conserver des données à caractère personnel sensibles pour une durée indéterminée en l’absence de toute limite de temps maximale de conservation de ces données ? Dans la négative, au regard de quels critères doit le cas échéant être apprécié le caractère proportionné dans le temps de la conservation des données à caractère personnel collectées et conservées à cette fin ?

3) Dans le cas des données à caractère personnel particulièrement sensibles relevant de l’article 10 de la directive 2016/680, quelles sont les conditions matérielles ou procédurales minimales d’obtention, de conservation et d’effacement de ces données devant être prévues dans le droit de l’État membre au moyen d’une “disposition de portée générale” ? La jurisprudence peut-elle elle aussi avoir la qualité de “droit d’un État membre”, au sens de l’article 8, paragraphe 2, de la directive 2016/680, lu en combinaison avec l’article 10 de celle-ci ? »

Sur les questions préjudicielles

Sur la troisième question

42 Par sa troisième question, qu’il convient d’examiner en premier lieu, la juridiction de renvoi demande, en substance, si les articles 8 et 10 de la directive 2016/680 doivent être interprétés en ce sens que, s’agissant de la collecte, de la conservation et de l’effacement de données biométriques et génétiques, la notion de « droit d’un État membre », au sens de ces dispositions, doit être comprise comme visant seulement une disposition de portée générale énonçant les conditions minimales de collecte, de conservation et d’effacement de telles données ou si la jurisprudence des juridictions nationales qui précise ces conditions peut également relever de cette notion.

43 À cet égard, il convient de rappeler que, conformément à l’article 3, point 2, de la directive 2016/680, lu à la lumière de l’article 3, points 12 et 13, de celle-ci, la collecte, la conservation et l’effacement de données biométriques et génétiques constituent des traitements de données à caractère personnel, au sens de cette directive.

44 L’article 4 de la directive 2016/680 énonce différents principes auxquels ces traitements sont soumis, lesquels traduisent, ainsi qu’il ressort des considérants 1 et 2 de cette directive, la manière dont, dans les limites prévues à l’article 52 de la Charte, le législateur de l’Union a entendu concrétiser, à l’égard desdits traitements, le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel, reconnu à l’article 8 de la Charte, lui-même étroitement lié au droit au respect de la vie privée, consacré à l’article 7 de celle-ci, en tenant compte de la nature spécifique des activités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution d’une sanction pénale.

45 Parmi ces principes, l’article 4, paragraphe 1, sous a), de la directive 2016/680 prévoit que toute donnée à caractère personnel doit être traitée de manière licite et loyale.

46 L’article 8, paragraphe 1, de la directive 2016/680 précise, à cet égard, que les États membres doivent prévoir qu’un traitement de données à caractère personnel relevant du champ d’application de cette directive n’est licite que si, et dans la mesure où, il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1er, paragraphe 1, de ladite directive, et où il est fondé sur le droit de l’Union ou le droit d’un État membre.

47 En outre, en vertu de l’article 8, paragraphe 2, de la même directive, le traitement de telles données n’est possible que si la disposition du droit d’un État membre qui réglemente ce traitement précise au moins les objectifs de ce traitement, les données à caractère personnel devant faire l’objet dudit traitement et les finalités de celui-ci.

48 S’agissant de certaines catégories de données à caractère personnel, telles que les données biométriques ou génétiques, l’article 10 de la directive 2016/680 vise à leur assurer une protection accrue en définissant des conditions renforcées de licéité du traitement de telles données [voir, en ce sens, arrêts du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia, C‑118/22, EU:C:2024:97, point 48, et du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable), C‑548/21, EU:C:2024:830, point 107]. En effet, ces catégories de données sont, comme le souligne le considérant 37 de cette directive, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux, car le contexte dans lequel de telles données sont traitées peut engendrer des risques importants pour les libertés et droits des personnes concernées.

49 Ainsi, conformément à l’article 10 de la directive 2016/680, tout traitement portant sur des données à caractère personnel relevant de l’une des catégories limitativement énumérées à cet article (ci-après les « données à caractère personnel sensibles ») doit être autorisé par le droit de l’Union ou par le droit d’un État membre.

50 Il s’ensuit que les articles 8 et 10 de la directive 2016/680 visent à préciser la portée de certains des principes énoncés à l’article 4 de cette directive, lesquels concrétisent, dans le domaine couvert par ladite directive, notamment le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel reconnu à l’article 8 de la Charte.

51 Partant, la notion de « droit d’un État membre » employée à ces articles 8 et 10 doit se comprendre comme matérialisant, dans le domaine couvert par la directive 2016/680, la condition énoncée à l’article 8, paragraphe 2, de la Charte, selon laquelle tout traitement de données à caractère personnel non opéré sur le fondement du consentement de l’intéressé doit être effectué en vertu d’un autre fondement légitime prévu par la loi, condition qui ne fait elle-même que refléter l’exigence posée à l’article 52 de la Charte selon laquelle toute limitation de l’exercice de droits fondamentaux reconnus par celle-ci doit être prévue par la loi. Cette notion a ainsi trait à la validité du recours au droit national comme base juridique d’un traitement de données à caractère personnel.

52 Or, d’une part, ainsi que l’a souligné M. l’avocat général au point 82 de ses conclusions, la Cour, tenant compte d’une jurisprudence constante de la Cour européenne des droits de l’homme, a jugé que le terme « loi », utilisé à l’article 8, paragraphe 2, de la Charte, dans l’expression « fondement prévu par la loi », doit être entendu dans son acception matérielle et non formelle (arrêt du 16 novembre 2023, Roos e.a./Parlement, C‑458/22 P, non publié, EU:C:2023:871, point 61). D’autre part, selon cette jurisprudence de la Cour européenne des droits de l’homme, ladite acception du terme « loi », dans l’expression « prévue par la loi », visée à l’article 8, paragraphe 2, de la CEDH, implique que ce terme vise le texte en vigueur tel que les juridictions compétentes l’ont interprété (voir, en ce sens, Cour EDH, 23 janvier 2025, H. W. c. France, CE:ECHR:2025:0123JUD 001380521, point 65).

53 Par ailleurs, ainsi qu’il découle de la jurisprudence de la Cour, si l’exigence selon laquelle toute limitation de l’exercice de droits fondamentaux reconnus par la Charte doit être prévue par la loi implique que l’acte qui permet l’ingérence dans ces droits définisse lui- même la portée de cette limitation, cette exigence n’exclut toutefois pas que, d’une part, la limitation en cause soit formulée dans des termes suffisamment ouverts pour pouvoir s’adapter à des cas de figure différents ainsi qu’aux changements de situations et, d’autre part, que le juge compétent puisse, le cas échéant, préciser, par voie d’interprétation, la portée concrète de ladite limitation au regard tant des termes mêmes de cet acte qui permet l’ingérence que de l’économie générale dudit acte et des objectifs que ce dernier poursuit (voir, par analogie, arrêt du 21 juin 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, point 114).

54 Dès lors, la notion de « droit d’un État membre », au sens des articles 8 et 10 de la directive 2016/680, lus à la lumière de l’article 8, paragraphe 2, de la Charte, doit être comprise comme étant susceptible de se référer à une disposition envisageant expressément la réalisation d’un traitement des données à caractère personnel relevant du champ d’application de cette directive, telle qu’interprétée par la jurisprudence des juridictions nationales.

55 En tout état de cause, ainsi qu’il est relevé au point 47 du présent arrêt, l’article 8, paragraphe 2, de la directive 2016/680 prévoit qu’un traitement de données à caractère personnel relevant du champ d’application de cette directive n’est possible que si la disposition du droit d’un État membre qui réglemente ce traitement en précise au moins les objectifs, les données à caractère personnel devant en faire l’objet et les finalités.

56 Or, à cet égard, il convient de relever que, d’une part, la référence au « droit » d’un État membre qui « réglemente » le traitement en cause implique que les objectifs, les données à caractère personnel devant faire l’objet du traitement et les finalités soient, au moins dans leur principe, prévus par une disposition de portée générale. D’autre part, cet article 8, paragraphe 2, vise, ainsi qu’il découle expressément du considérant 33 de ladite directive, à ce que le droit de l’État membre responsable du traitement soit clair et précis et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour et de la Cour européenne des droits de l’homme.

57 Selon la jurisprudence de la Cour européenne des droits de l’homme, toute mesure constituant la base juridique d’un traitement de données à caractère personnel doit avoir certaines qualités, à savoir, en substance, qu’elle doit être, tout d’abord, conforme aux normes de rang supérieur, ensuite, accessible et, enfin, suffisamment prévisible, c’est-à-dire à un degré raisonnable dans les circonstances de la cause, pour permettre aux individus concernés de régler leur conduite, ce qui suppose que cette mesure définisse avec une netteté suffisante l’étendue et les modalités d’exercice du pouvoir conférées aux autorités compétentes (voir en ce sens, notamment, Cour EDH, 26 avril 1979, Sunday Times c. Royaume-Uni, CE:ECHR:1979:0426JUD00065387, § 25 et 52 ; Cour EDH, 1er juillet 2008, Liberty et autres c. Royaume-Uni, CE:ECHR:2008:0701JUD005824300, § 62 et 63 ; Cour EDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, CE:ECHR:2008:1204JUD003056204, § 95).

58 De même, il ressort de la jurisprudence de la Cour que, pour satisfaire à l’exigence d’être prévue par la loi posée à l’article 52 de la Charte, une réglementation comportant une ingérence dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte doit prévoir des règles claires et précises régissant la portée et l’application d’une mesure et imposant un minimum d’exigences, de sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement leurs données contre les risques d’abus, ainsi que contre tout accès et toute utilisation illicites de ces données (voir arrêts du 8 avril 2014, Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 54, ainsi que du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 91).

59 L’article 8, paragraphe 2, de la directive 2016/680 visant à assurer le respect des exigences rappelées aux points 56 et 57 du présent arrêt, il s’ensuit que les objectifs poursuivis, les données à caractère personnel concernées et les finalités d’un traitement relevant de cette directive doivent ressortir avec suffisamment de clarté et de précision de la disposition réglementant ce traitement elle-même, pour que ce dernier puisse être considéré comme satisfaisant aux exigences d’être prévu par la loi, au sens de la jurisprudence de la Cour européenne des droits de l’homme et de l’article 52 de la Charte.

60 Eu égard à l’ensemble de ce qui précède, il convient de répondre à la troisième question que les articles 8 et 10 de la directive 2016/680 doivent être interprétés en ce sens que, s’agissant de la collecte, de la conservation et de l’effacement de données biométriques et génétiques, la notion de « droit d’un État membre », au sens de ces articles, doit être comprise comme visant une disposition de portée générale énonçant les conditions minimales de collecte, de conservation et d’effacement de telles données, telle qu’interprétée par la jurisprudence des juridictions nationales, pour autant que cette jurisprudence soit accessible et suffisamment prévisible.

Sur la première question

Sur la recevabilité

61 Dans ses observations écrites, la Commission européenne conclut à l’irrecevabilité de la première question au motif que le prélèvement de matériels génétiques de JH et les mesures biométriques de ce dernier opérés par la police tchèque ont eu lieu le 13 janvier 2016, soit avant la date d’entrée en vigueur de la directive 2016/680, qui est intervenue le 5 mai 2016, et avant l’expiration du délai de transposition de cette directive fixé, à l’article 63, paragraphe 1, de celle-ci, au 6 mai 2018.

62 À cet égard, il convient de rappeler que le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 20 mars 2025, Anib e.a., C‑728/22 à C‑730/22, EU:C:2025:200, point 48).

63 En l’occurrence, l’article 64 de la directive 2016/680 prévoit que celle-ci entre en vigueur le 5 mai 2016 tandis que l’article 63 de cette directive précise que les États membres doivent adopter et publier les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à celle-ci, au plus tard le 6 mai 2018.

64 Toutefois, il ressort du dossier dont dispose la Cour que les données à caractère personnel collectées au sujet de JH à partir des prélèvements génétiques et des relevés biométriques de ce dernier, le 13 janvier 2016, ont continué à être conservées dans les bases de données de la police tchèque et donc à être traitées après le 6 mai 2018.

65 Or, sous réserve des situations envisagées à l’article 4, paragraphe 2, de la directive 2016/680, il ressort de l’article 4, paragraphe 1, sous b), de cette directive que des données à caractère personnel ne peuvent pas faire l’objet de traitement si leur collecte n’a pas été justifiée par des finalités légitimes.

66 Par conséquent, ainsi que M. l’avocat général l’a souligné au point 34 de ses conclusions, les données à caractère personnel relevant de la directive 2016/680 qui ont été collectées de manière licite avant la date d’entrée en vigueur de cette directive, mais qui l’auraient été en violation des principes établis par cette directive si elles avaient été collectées après la date à laquelle ladite directive a été transposée ou, à défaut, après la date limite à laquelle celle-ci aurait dû l’être, à savoir le 6 mai 2018, ne peuvent pas être conservées après la date à laquelle ladite directive a été transposée ou, à défaut, après la date limite à laquelle celle-ci aurait dû l’être.

67 Ainsi, en l’occurrence, il n’apparaît pas de manière manifeste que la première question soit nécessairement dénuée de tout rapport avec la réalité ou l’objet du litige au principal ou encore que le problème soulevé soit de nature hypothétique, au motif, invoqué par la Commission, qu’elle porterait sur des données biométriques et génétiques collectées avant l’entrée en vigueur de la directive 2016/680.

68 Dans la mesure où, par ailleurs, la Cour dispose de tous les éléments de fait et de droit nécessaires pour lui permettre de répondre de façon utile à la première question, cette dernière doit être considérée comme étant recevable.

Sur le fond

69 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 6 ou l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu en combinaison avec l’article 10 de cette directive, doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale qui permet indistinctement la collecte de données biométriques et génétiques de toute personne poursuivie pour avoir commis une infraction pénale intentionnelle ou soupçonnée d’avoir commis une telle infraction.

70 À cet égard, s’agissant, en premier lieu, de l’article 6 de la directive 2016/680, il convient de rappeler que cet article fait obligation aux États membres de prévoir que le responsable du traitement établit, « le cas échéant et dans la mesure du possible », une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que celles mentionnées aux points a) à d) dudit article, à savoir, respectivement, les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale, les personnes reconnues coupables d’une infraction pénale, les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale et, enfin, les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, les personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes visées aux points a) et b) du même article.

71 Conformément à cette disposition, les États membres doivent donc veiller à ce que le responsable du traitement, « le cas échéant et dans la mesure du possible », opère une distinction claire entre les données des différentes catégories de personnes concernées de manière à ce que le même degré d’ingérence dans leur droit fondamental à la protection de leurs données à caractère personnel ne leur soit pas indifféremment imposé, quelle que soit la catégorie à laquelle elles appartiennent, ces catégories devant être établies essentiellement en fonction du statut pénal de l’intéressé.

72 Ainsi que le souligne l’expression « le cas échéant et dans la mesure du possible » qui figure à l’article 6 de la directive 2016/680, l’obligation de distinguer certaines catégories de personnes que cet article impose aux États membres n’est pas absolue mais dépend, notamment du point de savoir si, dans chaque cas d’espèce, une distinction claire entre ces catégories de personnes peut être opérée [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 84] et des finalités du traitement.

73 En l’occurrence, le gouvernement tchèque soutient que la référence faite, par la juridiction de renvoi, à la catégorie des personnes soupçonnées doit se comprendre comme visant les personnes qui, dans le cadre d’une procédure préliminaire accélérée, se sont vues communiquer des soupçons, ce qui, dans la législation nationale en cause au principal, nécessiterait, comme pour les personnes poursuivies, que suffisamment d’éléments démontrant que les intéressées ont commis une infraction aient été rassemblés.

74 Or, si tel devait être le cas, ce qu’il appartiendra à la juridiction de renvoi de vérifier, ces deux catégories de personnes pourraient être considérées, aux fins d’un traitement donné, comme relevant toutes deux de la catégorie visée par l’article 6, sous a), de la directive 2016/680, pour autant que les finalités poursuivies par le traitement concerné n’imposent pas d’établir une distinction entre lesdites deux catégories.

75 Par conséquent, l’article 6 de la directive 2016/680 doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet, indistinctement, la collecte de données biométriques et génétiques des personnes relevant de la catégorie des personnes « poursuivies pour avoir commis une infraction pénale intentionnelle » ainsi que des personnes relevant de la catégorie des personnes « soupçonnées d’avoir commis une telle infraction », au sens du droit national, lorsque les finalités de cette collecte n’imposent pas d’établir une distinction entre ces deux catégories de personnes dont les données sont susceptibles d’être collectées sur le fondement de cette règlementation.

76 En ce qui concerne, en second lieu, l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu en combinaison avec l’article 10 de cette directive, le premier de ces articles prévoit que les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées. Cette dernière exigence requiert ainsi le respect, par les États membres, d’un principe de minimisation du traitement des données au regard de l’objectif et de la finalité poursuivis par le traitement concerné.

77 L’article 10 de ladite directive prévoit, quant à lui, que, pour ce qui est des données à caractère personnel sensibles, dont les données biométriques et génétiques, le traitement doit satisfaire, outre à la condition de relever de l’un des trois cas de figure limitativement énumérés à ses points a) à c), à deux autres conditions, à savoir, d’une part, celle selon laquelle il doit exister des garanties appropriées pour les droits et libertés de la personne concernée et, d’autre part, celle selon laquelle le traitement envisagé doit répondre à une nécessité absolue.

78 Or, s’agissant de cette dernière condition, tout d’abord, celle-ci implique que cette nécessité soit appréciée de manière particulièrement rigoureuse au regard des finalités poursuivies par le traitement en cause et que, par suite, un tel traitement ne puisse être considéré comme étant nécessaire que dans un nombre limité de cas [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 118].

79 Ainsi, les finalités d’un traitement de données biométriques et génétiques à caractère personnel ne sauraient être désignées dans des termes à caractère trop général, mais requièrent d’être définies de manière suffisamment précise et concrète pour permettre d’évaluer la « nécessité absolue » de celui-ci [arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 124].

80 À cet égard, si certes la directive 2016/680 ne définit pas la notion de « finalités du traitement », il peut être relevé que l’article 8, paragraphe 2, de cette directive distingue expressément cette notion de celle d’ « objectifs du traitement ». Or, l’article 4, paragraphe 1, sous b), de ladite directive prévoit que les finalités poursuivies par un traitement de données à caractère personnel doivent être notamment déterminées et explicites et que ces données ne peuvent pas être traitées d’une manière incompatible avec ces finalités, tandis que l’article 4, paragraphe 1, sous c), de la même directive prévoit que c’est au regard desdites finalités que s’apprécie notamment le caractère adéquat, pertinent et non excessif des données à caractère personnel faisant l’objet de ce traitement.

81 Dès lors, il peut en être inféré que la notion d’« objectifs du traitement », au sens de cet article 8, paragraphe 2, renvoie aux finalités plus générales mentionnées à l’article 1er, paragraphe 1, de la directive 2016/680 que doit poursuivre un traitement pour relever de cette directive, tandis que celle de « finalités du traitement », au sens, notamment, de l’article 8, paragraphe 2, de ladite directive, doit se comprendre comme se référant aux buts spécifiques et concrets poursuivis par un traitement de données à caractère personnel au regard de la mission dont est investi le responsable du traitement, telle qu’une tâche spécifique liée à la prévention ou à la détection des infractions pénales, ou à la réalisation d’une enquête et de poursuites en la matière ou d’exécution de sanctions pénales.

82 Ensuite, étant donné que, ainsi qu’il ressort du considérant 26 de la directive 2016/680, lu à la lumière du principe de proportionnalité, pour les données à caractère personnel non sensibles, la condition de nécessité, au sens de cette directive, est satisfaite dès lors que la finalité du traitement concerné ne peut être raisonnablement atteinte de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, il y a lieu d’en déduire que la condition, pour le traitement des données à caractère personnel sensibles, de répondre à une nécessité absolue, requiert, pour sa part, que le responsable du traitement s’assure que la finalité poursuivie par le traitement concerné ne puisse pas être atteinte de manière aussi efficace en ayant recours à des catégories de données autres que celles énumérées à l’article 10 de la directive 2016/680 [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 126].

83 Par ailleurs, eu égard aux risques importants que représente le traitement des données à caractère personnel sensibles pour les droits et les libertés des personnes concernées, en particulier dans le contexte des missions des autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680, la condition de « nécessité absolue » exige qu’il soit tenu compte de l’importance particulière de la finalité poursuivie par le traitement concerné, une telle importance pouvant s’apprécier, notamment, en fonction de la nature de cette finalité, du fait que ce traitement sert un but spécifique et concret en lien avec la prévention d’infractions pénales ou de menaces contre la sécurité publique présentant un certain degré de gravité, la répression de telles infractions ou la protection contre de telles menaces, ainsi qu’à la lumière des circonstances spécifiques dans lesquelles ledit traitement est effectué [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 127].

84 En tout état de cause, s’agissant de la collecte de données biométriques et génétiques de personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction à des fins d’identification et de comparaison futures de ces personnes, le caractère absolument nécessaire de cette collecte doit tenir compte de l’ensemble des éléments pertinents, tels que, notamment, la nature et la gravité de l’infraction présumée pour laquelle elles sont mises en examen, les circonstances particulières de cette infraction, le lien éventuel de ladite infraction avec d’autres procédures en cours, les antécédents judiciaires ou le profil individuel des personnes en cause [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 132].

85 Enfin, la condition de « nécessité absolue » implique un contrôle particulièrement strict du respect du principe de minimisation du traitement des données concernées, énoncé à l’article 4, paragraphe 1, sous c), de cette directive [voir arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 125].

86 En particulier, s’agissant de la conservation ou de l’utilisation de données extraites à partir de l’ADN de personnes à des fins d’identification ou de comparaison, un tel principe implique que, afin d’apprécier la nécessité absolue de tels traitements, il soit dûment tenu compte de la possibilité de recourir exclusivement aux polymorphismes présents dans les zones non codantes de l’ADN, à savoir des zones dont il est admis qu’elles ne donnent aucune information sur l’ethnie ou les maladies génétiques de ces personnes.

87 Par conséquent, si un État membre peut se conformer à la directive 2016/680 soit en déléguant aux autorités compétentes le soin de veiller, dans chaque cas d’espèce, au respect de la condition, pour tout traitement de données à caractère personnel sensibles, de répondre à une nécessité absolue, soit en fixant, au niveau législatif, des critères d’appréciation que les autorités doivent appliquer par la suite de manière non discrétionnaire, il n’en demeure pas moins que, dans cette seconde hypothèse, ces critères doivent être de nature à remplir l’ensemble des exigences découlant de cette même condition, telles qu’énoncées aux points 77 à 83 du présent arrêt.

88 Ainsi, dans l’arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) (C‑205/21, EU:C:2023:49, point 135), la Cour a jugé qu’une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, que cette collecte est absolument nécessaire à la réalisation des objectifs spécifiques et concrets poursuivis et, d’autre part, que ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée, est contraire à cette condition de nécessité absolue.

89 Cela étant, alors que la collecte prévue par la réglementation en cause dans l’affaire ayant donné lieu à cet arrêt s’appliquait de manière impérative à l’égard de toutes les personnes mises en examen pour des infractions intentionnelles poursuivies d’office, la première question porte sur une réglementation qui n’accorde aux services de police qu’une faculté de procéder à un prélèvement de données biométriques et génétiques à l’égard des personnes poursuivies ou soupçonnées d’avoir commis une infraction intentionnelle.

90 Or, le fait qu’une réglementation confère une telle faculté aux services de police n’implique pas que le droit de l’État membre concerné permette que cette collecte soit systématique ou qu’elle puisse être opérée en méconnaissance notamment du principe de minimisation du traitement des données, énoncé à l’article 4, paragraphe 1, sous c), de la directive 2016/680, ou de la condition, pour les traitements concernés, de répondre à une nécessité absolue, prévue à l’article 10 de cette directive, pour autant que ce droit, en ce compris la jurisprudence des juridictions nationales, définisse de manière appropriée et suffisamment précise les finalités poursuivies par un tel traitement de données biométriques et génétiques, c’est-à-dire les buts spécifiques et concrets poursuivis par un traitement de données à caractère personnel au regard de la mission dont est investi le responsable du traitement, et qu’une telle faculté soit exercée conformément aux exigences exposées aux points 77 à 83 du présent arrêt.

91 Ainsi, il ressort des éléments dont dispose la Cour que, en l’occurrence, la jurisprudence nationale pose certaines exigences visant à veiller au respect de ce principe, telles que l’obligation pour la police, avant de procéder au prélèvement d’un échantillon d’ADN, de tenir compte, notamment, du passé pénal de l’auteur de l’infraction commise, de la gravité de cette dernière en fonction du type d’infraction concerné et des circonstances spécifiques de celle-ci impliquant un prélèvement d’échantillon, ainsi que de la personnalité de l’auteur des faits.

92 Dans cette situation, il revient aux juridictions nationales de vérifier, dans chaque cas, si la collecte réalisée l’a été par les services de police en méconnaissance des principes régissant le traitement des données à caractère personnel, énoncés à l’article 4 de la directive 2016/680, et des exigences particulières applicables aux traitements de données à caractère personnel sensibles, énoncées à l’article 10 de cette directive, tel qu’interprété à la lumière des articles 7 et 8 de la Charte.

93 À cet égard, il convient encore de souligner que la seule circonstance que l’infraction reprochée à une personne soit de nature économique et que la collecte des données biométriques et génétiques de cette personne survienne avant que celle-ci ne soit définitivement condamnée ne suffit pas à exclure qu’une telle collecte puisse être considérée comme répondant à une nécessité absolue, dès lors que, compte tenu des finalités poursuivies, cette collecte, en ce compris eu égard au type de données concerné, peut s’avérer absolument nécessaire, notamment pour permettre de déterminer si, en raison de son appartenance éventuelle à une organisation criminelle, ladite personne est susceptible d’avoir participé à d’autres infractions pour lesquelles des données de ce type pourraient être pertinentes, ou, s’il existe un risque de fuite, pour permettre son identification.

94 Eu égard à l’ensemble de ce qui précède, il convient de répondre à la première question que l’article 6 et l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu en combinaison avec l’article 10 de cette directive, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale qui permet, indistinctement, la collecte de données biométriques et génétiques de toute personne poursuivie pour avoir commis une infraction pénale intentionnelle ou soupçonnée d’avoir commis une telle infraction, pour autant que, d’une part, les finalités de cette collecte n’imposent pas d’établir une distinction entre ces deux catégories de personnes et que, d’autre part, les responsables du traitement soient tenus, conformément au droit national, en ce compris la jurisprudence des juridictions nationales, de respecter l’ensemble des principes et des exigences particulières énoncés aux articles 4 et 10 de ladite directive.

Sur la deuxième question

95 À titre liminaire, il convient de relever que, si, dans la formulation de la deuxième question, la juridiction de renvoi fait état d’une réglementation nationale ayant pour conséquence que les données à caractère personnel concernées sont, dans la plupart des cas, conservées pour une « durée indéterminée », il ressort des éléments du dossier dont dispose la Cour que, par « durée indéterminée », cette juridiction entend, en définitive, se référer à la circonstance qu’aucune durée maximale de conservation n’est spécifiée, et non à celle qu’une telle conservation serait illimitée dans le temps.

96 Par conséquent, il convient de comprendre que, par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous e), de la directive 2016/680 doit être interprété en ce sens qu’il s’oppose à une réglementation nationale en vertu de laquelle la nécessité de maintenir la conservation de données biométriques et génétiques est appréciée par les services de police sur la base de règles internes, sans que cette réglementation prévoie de durée maximale de conservation.

97 À cet égard, l’article 4, paragraphe 1, sous e), de la directive 2016/680 dispose que les États membres prévoient que les données à caractère personnel sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles ces données sont traitées.

98 S’agissant, en premier lieu, de la circonstance que la réglementation nationale concernée ne prévoit pas de durée maximale de conservation, il convient de rappeler que, conformément aux exigences de l’article 4, paragraphe 1, sous e), de la directive 2016/680, l’article 5 de cette directive impose aux États membres de prévoir la fixation de délais appropriés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver ces données, ainsi que des règles procédurales permettant de garantir le respect de ces délais.

99 En revanche, l’article 5 de ladite directive laisse le soin aux États membres de déterminer lesdits délais, pour autant qu’ils soient « appropriés », et de décider s’ils concernent l’effacement desdites données ou la vérification régulière de la nécessité de conserver celles-ci.

100 Certes, l’article 4, paragraphe 1, sous e), et l’article 5 de la directive 2016/680 doivent être lus en combinaison notamment avec l’article 10 de celle-ci, si bien que la conservation de données biométriques ou génétiques doit répondre à une nécessité absolue et présenter des garanties appropriées pour les droits et libertés de la personne concernée.

101 Toutefois, lorsqu’un État membre fixe des délais appropriés de vérification régulière de la nécessité de conserver des données à caractère personnel et que, à l’occasion de cette vérification, la nécessité absolue de prolonger cette conservation doit être appréciée, le droit de l’État membre concerné doit être considéré comme satisfaisant à de telles exigences. Ainsi, même lorsque les données conservées sont des données à caractère personnel sensibles, un tel État membre n’est pas dans l’obligation de définir des limites temporelles absolues pour la conservation de ces données, au-delà desquelles ces dernières devraient être automatiquement effacées (voir, en ce sens, arrêt du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia, C‑118/22, EU:C:2024:97, point 52).

102 En revanche, le caractère approprié de tels délais de vérification régulière requiert que, d’une part, conformément à l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680, lu à la lumière de l’article 52, paragraphe 1, de la Charte, les données à caractère personnel jusqu’alors conservées soient effacées, et ce dans les conditions prévues à l’article 16, paragraphes 2 et 3, de cette directive, si, à l’occasion de l’une des vérifications effectuées, la conservation des mêmes données n’apparaît plus comme étant absolument nécessaire et, par suite, s’avère excessive au regard des finalités poursuivies (voir, en ce sens, arrêt du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia, C‑118/22, EU:C:2024:97, points 45, 48 et 50 ainsi que jurisprudence citée).

103 D’autre part, eu égard aux exigences, prévues à l’article 4, paragraphe 1, sous c), de la directive 2016/680, pour toute donnée à caractère personnel d’être adéquate, pertinente et non excessive au regard des finalités pour lesquelles elles sont traitées, à la circonstance que cette disposition et l’article 8 de cette directive doivent être lus à la lumière des exigences découlant de l’article 52 de la Charte, ainsi qu’à l’obligation, prévue à l’article 6 de ladite directive, pour le responsable du traitement, d’établir, le cas échéant, une distinction claire entre les données à caractère personnel des différentes catégories de personnes concernées, ces délais de vérification ne sauraient être considérés comme étant appropriés si les changements de statut pénal de la personne concernée, considérés comme étant pertinents au regard de la finalité poursuivie par cette conservation, n’entraînent pas une obligation, pour le responsable du traitement, de réexaminer dans un délai raisonnable la nécessité de conserver les données relatives à cette personne.

104 En ce qui concerne, en second lieu, la circonstance que la nécessité de maintenir la conservation de données biométriques et génétiques soit appréciée par les services de police sur la base de règles internes, une telle circonstance n’est pas, en soi, contraire à l’article 8, paragraphe 2, de la directive 2016/680, pour autant que ces règles internes imposent à ces services de veiller au respect de la condition tenant à l’existence d’une nécessité absolue de conserver ces données et que la marge d’appréciation de ces services soit suffisamment encadrée par le droit national, y compris la jurisprudence des juridictions nationales.

105 En effet, si la circonstance que des règles soient internes, et donc non accessibles à l’ensemble des personnes dont les données à caractère personnel sont susceptibles de faire l’objet d’un traitement, a pour conséquence que de telles règles ne sauraient être invoquées par les autorités compétentes pour démontrer qu’elles respectent les exigences qui s’imposent à elles, cette circonstance n’a pas pour autant pour conséquence de rendre automatiquement illicites les traitements de données à caractère personnels décidés au vu de ces règles, mais implique que, le cas échéant, en cas de recours contre la décision de procéder à l’un de ces traitements, les services de police établissent devant la juridiction compétente, indépendamment de ces règles internes, que la condition de « nécessité absolue » a été dûment respectée.

106 En l’occurrence, d’une part, selon le gouvernement tchèque, il ressort notamment de l’article 65, paragraphe 5, de la loi relative à la police tchèque, ce qu’il revient à la juridiction de renvoi de vérifier, que les profils ADN des personnes poursuivies pour avoir commis une infraction pénale intentionnelle ou soupçonnées d’avoir commis une telle infraction doivent être effacés lorsque leur conservation n’est plus nécessaire au regard des objectifs poursuivis, c’est-à-dire lorsque ces personnes cessent d’être poursuivies ou suspectées et que ces personnes ne le sont pas dans le cadre d’une autre procédure pénale, ou qu’elles n’ont pas antérieurement commis d’autres crimes ou délits.

107 À cet égard, il convient de rappeler, toutefois, que la conservation de données biométriques et génétiques ne saurait être considérée comme répondant à l’exigence selon laquelle elle doit être autorisée uniquement « en cas de nécessité absolue », au sens de l’article 10 de la directive 2016/680, que si elle prend en considération non seulement le lien éventuel de la personne concernée avec d’autres procédures en cours ou encore les antécédents ou son profil, mais également la nature et la gravité de l’infraction ayant abouti à la condamnation pénale définitive, ou d’autres circonstances telles que le contexte particulier dans lequel cette infraction a été commise (voir, en ce sens, arrêt du 30 janvier 2024, Direktor na Glavna direktsia « Natsionalna politsia » pri MVR – Sofia, C‑118/22, EU:C:2024:97, point 67).

108 D’autre part, si le droit tchèque ne prévoit pas une durée maximale de conservation des données à caractère personnel collectées sur le fondement de l’article 65, paragraphe 1, de la loi relative à la police tchèque, l’article 82, paragraphe 1, de cette loi fait néanmoins obligation aux services de police de vérifier au moins une fois tous les trois ans que la conservation de ces données est toujours nécessaire à l’exécution de leurs missions.

109 Dès lors, il appartiendra à la juridiction de renvoi de déterminer si, eu égard aux finalités poursuivies par la conservation des données biométriques et génétiques concernées, un tel délai de vérification de trois ans peut être considéré comme étant approprié, étant toutefois précisé que, dans le cas contraire, l’effacement de ces données ne serait pas pour autant requis s’il devait être établi que leur conservation continue, en tout état de cause, de demeurer absolument nécessaire.

110 Eu égard à l’ensemble de ce qui précède, il convient de répondre à la deuxième question que l’article 4, paragraphe 1, sous e), de la directive 2016/680 doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale en vertu de laquelle la nécessité de maintenir la conservation de données biométriques et génétiques est appréciée par les services de police sur la base de règles internes, sans que cette réglementation prévoie une durée maximale de conservation, pour autant que ladite réglementation fixe des délais appropriés de vérification régulière de la nécessité de conserver ces données et que, à l’occasion de cette vérification, soit appréciée la nécessité absolue de prolonger leur conservation.

Sur les dépens

111 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (cinquième chambre) dit pour droit :

1) Les articles 8 et 10 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil,

doivent être interprétés en ce sens que :

s’agissant de la collecte, de la conservation et de l’effacement de données biométriques et génétiques, la notion de « droit d’un État membre », au sens de ces articles, doit être comprise comme visant une disposition de portée générale énonçant les conditions minimales de collecte, de conservation et d’effacement de telles données, telle qu’interprétée par la jurisprudence des juridictions nationales, pour autant que cette jurisprudence soit accessible et suffisamment prévisible.

2) L’article 6 et l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu en combinaison avec l’article 10 de cette directive,

doivent être interprétés en ce sens que :

ils ne s’opposent pas à une réglementation nationale qui permet, indistinctement, la collecte de données biométriques et génétiques de toute personne poursuivie pour avoir commis une infraction pénale intentionnelle ou soupçonnée d’avoir commis une telle infraction, pour autant que, d’une part, les finalités de cette collecte n’imposent pas d’établir une distinction entre ces deux catégories de personnes et que, d’autre part, les responsables du traitement soient tenus, conformément au droit national, en ce compris la jurisprudence des juridictions nationales, de respecter l’ensemble des principes et des exigences particulières énoncés aux articles 4 et 10 de ladite directive.

3) L’article 4, paragraphe 1, sous e), de la directive 2016/680

doit être interprété en ce sens que :

il ne s’oppose pas à une réglementation nationale en vertu de laquelle la nécessité de maintenir la conservation de données biométriques et génétiques est appréciée par les services de police sur la base de règles internes, sans que cette réglementation prévoie une durée maximale de conservation, pour autant que ladite réglementation fixe des délais appropriés de vérification régulière de la nécessité de conserver ces données et que, à l’occasion de cette vérification, soit appréciée la nécessité absolue de prolonger leur conservation.

Signatures

* Langue de procédure : le tchèque.