La Cour de justice de l’Union européenne, par un arrêt du 12 janvier 2023, précise l’articulation entre le régime spécifique de protection des données pénales et le droit commun. Un individu, initialement considéré comme victime d’une infraction commise dans un bar, se voit ultérieurement poursuivi au sein de la même procédure d’instruction. Parallèlement, le ministère public utilise des informations issues de dossiers classés sans suite pour assurer sa propre défense lors d’une action en responsabilité civile. Saisi d’un recours contre la décision d’une autorité de contrôle, le tribunal administratif de Blagoevgrad interroge la Cour sur la légalité de ces traitements successifs. Le problème juridique réside dans la définition des finalités de traitement au sens de la directive de 2016 et dans l’application du règlement général aux autorités publiques. La juridiction européenne affirme que les finalités de prévention et de poursuite sont distinctes, tout en soumettant la défense civile de l’État au cadre du droit commun.
I. La segmentation des finalités du traitement de données répressives
A. Le caractère autonome des phases de l’action publique
La Cour de justice souligne que les objectifs énumérés par la directive de 2016 correspondent à des finalités de traitement de données à caractère personnel spécifiques et distinctes. Elle rejette ainsi l’idée d’une finalité répressive globale qui engloberait indifféremment la détection des infractions, les enquêtes et les poursuites pénales ultérieures. Selon les juges, « un traitement de données à caractère personnel répond à une finalité autre que celle pour laquelle ces données ont été collectées » lors du passage de l’enquête aux poursuites. Cette distinction repose sur la nature différente des activités menées par les autorités compétentes durant chaque étape de la procédure pénale.
L’exigence de spécificité impose au responsable du traitement de vérifier que l’utilisation ultérieure des données reste nécessaire et proportionnée au but poursuivi. Le droit de l’Union autorise ce traitement sous réserve d’une base légale explicite permettant à l’autorité de réutiliser les informations collectées lors de l’enquête initiale. Cette analyse conduit naturellement à examiner comment la modification de la qualité juridique de la personne impacte la gestion de ses informations personnelles.
B. Les incidences de la mutation statutaire de la personne concernée
L’arrêt précise que le changement de statut d’une personne, passant de victime à poursuivie, oblige le responsable du traitement à opérer une distinction claire. La directive de 2016 impose effectivement de différencier les catégories de personnes selon qu’elles sont suspectes, condamnées ou victimes de faits répréhensibles. La Cour estime que cette obligation de distinction est autonome et ne suffit pas à définir la finalité du traitement de données en cause. Elle ajoute toutefois que le traitement est permis « indépendamment du fait que cette personne était considérée comme une victime au moment de ladite collecte ».
Cette mutation statutaire illustre la fluidité des procédures criminelles où l’élucidation progressive des faits peut transformer le rôle processuel des différents acteurs. Le respect des principes de limitation des finalités et de minimisation des données demeure alors le garant essentiel contre les ingérences disproportionnées des autorités publiques. Cet encadrement rigoureux de la sphère pénale trouve un écho particulier lorsque les données sortent du champ répressif pour intégrer un litige de nature civile.
II. L’encadrement de l’usage des données pénales dans le contentieux civil
A. L’application du droit commun aux autorités judiciaires en dehors du champ répressif
Dès lors que le ministère public agit pour défendre les intérêts de l’État devant une juridiction civile, ses activités sortent du cadre de la directive répressive. La Cour affirme que le Règlement général sur la protection des données s’applique intégralement lorsque l’autorité informe un tribunal de l’existence de dossiers pénaux. Cette solution garantit une protection uniforme des citoyens face à l’administration dès que celle-ci n’exerce plus ses missions de prévention ou de poursuite des infractions. L’utilisation d’informations nominatives dans le cadre d’un recours en responsabilité civile constitue donc un traitement au sens du droit commun européen.
Cette soumission au règlement général empêche les autorités publiques de s’affranchir des règles de protection sous couvert de leur statut institutionnel ou judiciaire spécifique. Les exceptions prévues pour la sécurité nationale ou les activités répressives font l’objet d’une interprétation stricte excluant la défense patrimoniale de l’État. Une fois le régime juridique déterminé, il convient d’identifier le fondement permettant la licéité d’un tel traitement de données par le parquet.
B. La justification du traitement par l’exécution d’une mission d’intérêt public
Le traitement de données effectué par le parquet pour assurer sa défense ne relève pas de ses intérêts légitimes mais de sa mission d’intérêt public. La Cour écarte l’application de l’article 6, paragraphe 1, sous f) du règlement général au profit de la base légale relative à l’autorité publique. Elle considère que la défense des intérêts juridiques et patrimoniaux de l’État constitue une mission d’intérêt public confiée par le droit national au ministère public. Un tel traitement est licite s’il s’avère « nécessaire à l’exercice d’une mission d’intérêt public » de défense des deniers publics et de la sécurité juridique.
Le juge national doit toutefois vérifier que cette communication d’informations respecte scrupuleusement le principe de minimisation des données au regard du litige civil. La production intégrale de dossiers pénaux non liés directement à l’affaire en cours pourrait effectivement excéder ce qui est strictement nécessaire à la défense. Le droit d’opposition de la personne concernée doit également être préservé afin de garantir un équilibre juste entre les prérogatives étatiques et les libertés fondamentales.
