CJUE, gr. ch., 21 mars 2024, n° C-61/22
COUR DE JUSTICE DE L’UNION EUROPEENNE
Arrêt
Annulation
PARTIES
Demandeur :
RL
Défendeur :
Landeshauptstadt Wiesbaden
COMPOSITION DE LA JURIDICTION
Président :
M. Lenaerts
Présidents de chambre :
M. von Danwitz, M. Biltgen, M. Csehi
Vice-président :
M. Bay Larsen
Juges :
M. Bonichot, M. Rodin, M. Gratsias, Mme Arastey Sahún, Mme Gavalec
Avocat général :
Mme Medina
Avocat :
Me Wytinck
ARRÊT DE LA COUR (grande chambre)
21 mars 2024 (*)
« Renvoi préjudiciel – Règlement (UE) 2019/1157 – Renforcement de la sécurité des cartes d’identité des citoyens de l’Union européenne – Validité – Base juridique – Article 21, paragraphe 2, TFUE – Article 77, paragraphe 3, TFUE – Règlement (UE) 2019/1157 – Article 3, paragraphe 5 – Obligation pour les États membres d’intégrer dans le support de stockage des cartes d’identité deux empreintes digitales dans des formats numériques interopérables – Article 7 de la charte des droits fondamentaux de l’Union européenne – Respect de la vie privée et familiale – Article 8 de la charte des droits fondamentaux – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 35 – Obligation de procéder à une analyse d’impact relative à la protection des données – Maintien des effets d’un règlement déclaré invalide dans le temps »
Dans l’affaire C‑61/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 13 janvier 2022, parvenue à la Cour le 1er février 2022, dans la procédure
RL
contre
Landeshauptstadt Wiesbaden,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice‑président, M. A. Arabadjiev, Mme A. Prechal, MM. E. Regan (rapporteur), T. von Danwitz, F. Biltgen et Z. Csehi, présidents de chambre, MM. J.‑C. Bonichot, S. Rodin, D. Gratsias, Mme M. L. Arastey Sahún et M. M. Gavalec, juges,
avocat général : Mme L. Medina,
greffier : M. D. Dittert, chef d’unité,
vu la procédure écrite et à la suite de l’audience du 14 mars 2023,
considérant les observations présentées :
– pour RL, par Me W. Achelpöhler, Rechtsanwalt,
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour le gouvernement belge, par M. P. Cottin et Mme A. Van Baelen, en qualité d’agents, assistés de Me P. Wytinck, advocaat,
– pour le gouvernement espagnol, par M. L. Aguilera Ruiz, en qualité d’agent,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour le Parlement européen, par Mmes G. C. Bartram, P. López-Carceller et M. J. Rodrigues, en qualité d’agents,
– pour le Conseil de l’Union européenne, par M. M. França et Mme Z. Šustr, en qualité d’agents,
– pour la Commission européenne, par M. H. Kranenborg, Mme E. Montaguti et M. I. Zaloguin, en qualité d’agents,
ayant entendu l’avocate générale en ses conclusions à l’audience du 29 juin 2023,
rend le présent
1 La demande de décision préjudicielle porte sur la validité du règlement (UE) 2019/1157 du Parlement européen et du Conseil, du 20 juin 2019, relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation (JO 2019, L 188, p. 67), et, en particulier, de son article 3, paragraphe 5.
2 Cette demande a été présentée dans le cadre d’un litige opposant RL à la Landeshauptstadt Wiesbaden (ville de Wiesbaden, capitale de Land, Allemagne) (ci-après la « ville de Wiesbaden ») au sujet du rejet par cette dernière de sa demande de délivrance d’une carte d’identité qui n’intègre pas ses empreintes digitales.
I. Le cadre juridique
A. Le droit de l’Union
1. Le règlement 2019/1157
3 Les considérants 1, 2, 4, 5, 17 à 21, 23, 26 à 29, 32, 33, 36, 40 à 42 et 46 du règlement 2019/1157 sont ainsi libellés :
« (1) Le traité [UE] souligne la détermination des États membres à faciliter la libre circulation des personnes, tout en assurant la sûreté et la sécurité de leurs peuples, en établissant un espace de liberté, de sécurité et de justice, conformément aux dispositions du traité [UE] et du traité [FUE].
(2) La citoyenneté de l’Union [européenne] confère à tout citoyen de l’Union le droit à la libre circulation sous réserve de certaines limitations et conditions. La directive 2004/38/CE du Parlement européen et du Conseil[, du 29 avril 2004, relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO 2004, L 158, p. 77),] donne effet à ce droit. L’article 45 de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée “Charte”) prévoit également la liberté de circulation et de séjour. La liberté de circulation implique le droit de sortir d’un État membre ou d’y entrer avec une carte d’identité ou un passeport en cours de validité.
[...]
(4) La directive [2004/38] prévoit que les États membres peuvent adopter les mesures nécessaires pour refuser, annuler ou retirer tout droit conféré par ladite directive en cas d’abus de droit ou de fraude. La falsification de documents ou la description fallacieuse d’un fait matériel concernant les conditions attachées au droit de séjour ont été identifiées comme des cas typiques de fraude dans le cadre de cette directive.
(5) Des différences considérables existent entre les niveaux de sécurité des cartes nationales d’identité délivrées par les États membres et des documents de séjour des ressortissants de l’Union résidant dans un autre État membre et des membres de leur famille. Ces différences augmentent le risque de falsification et de fraude documentaire et entraînent également des difficultés pratiques pour les citoyens lorsqu’ils cherchent à exercer leur droit à la libre circulation. Les statistiques du réseau d’analyse des risques de fraude documentaire dans l’Union indiquent que le nombre de cartes d’identité frauduleuses en circulation augmente avec le temps.
[...]
(17) Les éléments de sécurité sont nécessaires pour vérifier l’authenticité d’un document et pour établir l’identité d’une personne. L’établissement de normes minimales de sécurité et l’intégration de données biométriques dans les cartes d’identité et les cartes de séjour des membres de la famille qui n’ont pas la nationalité d’un État membre sont des étapes importantes pour rendre leur utilisation dans l’Union plus sûre. L’ajout de tels éléments d’identification biométriques devrait permettre aux citoyens de l’Union de profiter pleinement de leurs droits à la libre circulation.
(18) Le stockage d’une image faciale et de deux empreintes digitales (ci-après dénommées “données biométriques”) sur les cartes d’identité et les cartes de séjour, comme cela est déjà prévu pour les passeports et titres de séjour biométriques des ressortissants de pays tiers, combine de manière appropriée une identification et une authentification fiables avec une réduction du risque de fraude, dans l’optique de renforcer la sécurité des cartes d’identité et des cartes de séjour.
(19) De manière générale, les États membres devraient, aux fins de la vérification de l’authenticité du document et de l’identité du titulaire, vérifier en priorité l’image faciale et, si nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire, les États membres devraient également vérifier les empreintes digitales.
(20) Les États membres devraient veiller à ce qu’une vérification manuelle soit effectuée obligatoirement par du personnel qualifié lorsqu’une vérification des données biométriques ne confirme pas l’authenticité du document ou l’identité de son titulaire.
(21) Le présent règlement ne fournit pas de base juridique pour la création ou la tenue à jour de bases de données au niveau national pour le stockage de données biométriques dans les États membres, qui relève du droit national qui doit respecter le droit de l’Union en matière de protection des données. En outre, le présent règlement ne fournit pas de base juridique pour la création ou la tenue à jour d’une base de données centralisée au niveau de l’Union.
[...]
(23) Les spécifications du document 9303 de l’[Organisation de l’aviation civile internationale (OACI)] qui garantissent l’interopérabilité mondiale, y compris en ce qui concerne la lecture par machine et l’utilisation de l’inspection visuelle, devraient être prises en compte aux fins du présent règlement.
[...]
(26) Les États membres devraient veiller à ce que des procédures appropriées et efficaces soient mises en place pour le recueil des éléments d’identification biométriques et que ces procédures respectent les droits et principes énoncés dans la Charte, la convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe[, signée à Rome le 4 novembre 1950,] et la convention des Nations unies relative aux droits de l’enfant[, adoptée par l’Assemblée générale des Nations unies, le 20 novembre 1989 (Recueil des traités des Nations unies, vol. 1577, p. 3), et entrée en vigueur le 2 septembre 1990]. Les États membres devraient veiller à ce que l’intérêt supérieur de l’enfant soit une considération primordiale tout au long de la procédure de recueil. À cette fin, le personnel qualifié devrait recevoir une formation appropriée sur les pratiques adaptées aux enfants pour le recueil des éléments d’identification biométriques.
(27) Lorsque des difficultés se présentent pour recueillir les éléments d’identification biométriques, les États membres devraient veiller à ce que des procédures appropriées soient mises en place pour respecter la dignité de la personne concernée. Par conséquent, il y a lieu de tenir compte de considérations particulières relatives au genre et aux besoins spécifiques des enfants et des personnes vulnérables.
(28) L’introduction de normes minimales en matière de sécurité et de format pour les cartes d’identité devrait permettre aux États membres de s’appuyer sur l’authenticité de ces documents lorsque les citoyens de l’Union exercent leur droit à la libre circulation. L’introduction de normes de sécurité renforcées devrait offrir des garanties suffisantes aux autorités publiques et aux entités privées pour leur permettre de se fier à l’authenticité des cartes d’identité lorsqu’elles sont utilisées par les citoyens de l’Union à des fins d’identification.
(29) Un signe distinctif, se présentant sous la forme du code du pays à deux lettres de l’État membre délivrant le document, imprimé en négatif dans un rectangle bleu et entouré de douze étoiles jaunes, facilite l’inspection visuelle du document, notamment lorsque le titulaire exerce son droit à la libre circulation.
[...]
(32) Les États membres devraient prendre toutes les mesures nécessaires pour que les données biométriques identifient correctement la personne à laquelle une carte d’identité est délivrée. À cette fin, les États membres pourraient envisager de recueillir les éléments d’identification biométriques, en particulier l’image faciale, au moyen d’un enregistrement en direct par les autorités nationales délivrant les cartes d’identité.
(33) Les États membres devraient échanger entre eux les informations nécessaires pour accéder aux informations contenues sur le support de stockage sécurisé, les authentifier et les vérifier. Les formats utilisés pour le support de stockage sécurisé devraient être interopérables, notamment pour ce qui est des points de passage frontaliers automatisés.
[...]
(36) Les documents de séjour délivrés aux citoyens de l’Union devraient inclure des informations spécifiques afin de garantir leur identification comme tels dans tous les États membres. Cette mesure devrait faciliter la reconnaissance de l’exercice par un citoyen de l’Union de son droit à la libre circulation et des droits inhérents à cet exercice, mais l’harmonisation ne devrait pas excéder ce qui est approprié pour remédier aux lacunes des documents actuels. Les États membres sont libres de choisir le format dans lequel ces documents sont délivrés et pourraient opter pour un format qui respecte les spécifications du document 9303 de l’OACI.
[...]
(40) Le règlement (UE) 2016/679 du Parlement européen et du Conseil[, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le “RGPD”)] s’applique en ce qui concerne les données à caractère personnel à traiter dans le cadre de l’application du présent règlement. Il est nécessaire de préciser davantage les garanties applicables aux données à caractère personnel traitées, et en particulier aux données sensibles, telles que les éléments d’identification biométriques. Les personnes concernées devraient être informées de l’existence, dans leurs documents, du support de stockage contenant leurs données biométriques, y compris de son accessibilité sous une forme sans contact, ainsi que de tous les cas où les données contenues dans leurs cartes d’identité et documents de séjour sont utilisées. En tout état de cause, les personnes concernées devraient avoir accès aux données à caractère personnel traitées dans leurs cartes d’identité et documents de séjour et devraient avoir le droit de les faire rectifier au moyen de la délivrance d’un nouveau document dans lequel ces données erronées ou incomplètes sont corrigées ou complétées. Le support de stockage devrait être hautement sécurisé et les données à caractère personnel qu’il contient devraient être protégées efficacement contre l’accès non autorisé.
(41) Il convient que les États membres soient responsables du traitement correct des données biométriques, du recueil à l’intégration des données sur le support de stockage hautement sécurisé, conformément au [RGPD].
(42) Les États membres devraient être particulièrement vigilants lorsqu’ils coopèrent avec un prestataire de services extérieur. Une telle coopération ne devrait pas exclure la responsabilité des États membres découlant du droit de l’Union ou du droit national en cas de manquement aux obligations relatives aux données à caractère personnel.
[...]
(46) Étant donné que les objectifs du présent règlement, à savoir renforcer la sécurité pour faciliter l’exercice des droits à la libre circulation par les citoyens de l’Union et les membres de leur famille, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 [TUE]. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs. »
4 L’article 1er du règlement 2019/1157, intitulé « Objet », dispose :
« Le présent règlement renforce les normes de sécurité applicables aux cartes d’identité délivrées par les États membres à leurs ressortissants et aux documents de séjour délivrés par les États membres aux citoyens de l’Union et aux membres de leur famille lorsqu’ils exercent leur droit à la libre circulation. »
5 L’article 2 de ce règlement, intitulé « Champ d’application », énonce :
« Le présent règlement s’applique :
a) aux cartes d’identité délivrées par les États membres à leurs propres ressortissants, conformément à l’article 4, paragraphe 3, de la directive [2004/38].
Le présent règlement ne s’applique pas aux documents d’identification délivrés à titre provisoire et dont la durée de validité est inférieure à six mois.
b) aux attestations d’enregistrement délivrées conformément à l’article 8 de la directive [2004/38] aux citoyens de l’Union résidant depuis plus de trois mois dans un État membre d’accueil et aux documents attestant de la permanence du séjour délivrés conformément à l’article 19 de la directive [2004/38] aux citoyens de l’Union sur demande ;
c) aux cartes de séjour délivrées conformément à l’article 10 de la directive [2004/38] aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre et aux cartes de séjour permanent délivrées conformément à l’article 20 de la directive [2004/38] aux membres de la famille d’un citoyen de l’Union qui n’ont pas la nationalité d’un État membre. »
6 L’article 3 dudit règlement, intitulé « Normes de sécurité/format/spécifications », prévoit, à ses paragraphes 5 à 7 et 10 :
« 5. Les cartes d’identité intègrent un support de stockage hautement sécurisé qui contient une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables. Pour le recueil des éléments d’identification biométriques, les États membres appliquent les spécifications techniques établies par la décision d’exécution C(2018)7767 de la Commission[, du 30 novembre 2018, établissant les spécifications techniques du modèle uniforme de titre de séjour pour les ressortissants de pays tiers, et abrogeant la décision C(2002)3069].
6. Le support de stockage a une capacité suffisante pour garantir l’intégrité, l’authenticité et la confidentialité des données. Les données stockées sont accessibles sans contact et sécurisées comme le prévoit la décision d’exécution C(2018)7767. Les États membres échangent les informations nécessaires pour authentifier le support de stockage ainsi que pour consulter et vérifier les données biométriques visées au paragraphe 5.
7. Les enfants de moins de douze ans peuvent être exemptés de l’obligation de donner leurs empreintes digitales.
Les enfants de moins de six ans sont exemptés de l’obligation de donner leurs empreintes digitales.
Les personnes dont il est physiquement impossible de relever les empreintes digitales sont exemptées de l’obligation de les donner.
[...]
10. Lorsque les États membres stockent des données pour des services électroniques tels que des services d’administration en ligne ou de commerce électronique dans les cartes d’identité, ces données nationales doivent être physiquement ou logiquement séparées des données biométriques visées au paragraphe 5. »
7 Aux termes de l’article 5 de ce même règlement, intitulé « Suppression progressive » :
« 1. Les cartes d’identité qui ne satisfont pas aux exigences énoncées à l’article 3 cessent d’être valides à leur expiration ou au plus tard le 3 août 2031, la date retenue étant la date la plus proche.
2. Par dérogation au paragraphe 1 :
a) les cartes d’identité qui [...] ne comportent pas de ZLA fonctionnelle, telle que définie au paragraphe 3, cessent d’être valides à leur expiration ou au plus tard le 3 août 2026, la date retenue étant la date la plus proche ;
[...]
3. Aux fins du paragraphe 2, on entend par ZLA fonctionnelle :
a) une zone de lecture automatique, conforme à la partie 3 du document 9303 de l’OACI ; ou
b) toute autre zone de lecture automatique pour laquelle l’État membre de délivrance notifie les règles requises pour la lecture et l’affichage des informations qui y sont contenues, sauf si un État membre notifie à la Commission [européenne], au plus tard le 2 août 2021, qu’il est dans l’incapacité de lire et d’afficher ces informations.
[...] »
8 L’article 6 du règlement 2019/1157, intitulé « Informations minimales à fournir », dispose, à son premier alinéa :
« Les documents de séjour, lorsqu’ils sont délivrés par les États membres aux citoyens de l’Union, comportent au moins les informations suivantes :
[...]
f) les informations devant figurer sur les attestations d’enregistrement et les documents attestant de la permanence du séjour, délivrés respectivement conformément aux articles 8 et 19 de la directive [2004/38] ;
[...] »
9 L’article 10 de ce règlement, intitulé « Recueil d’éléments d’identification biométriques », prévoit :
« 1. Les éléments d’identification biométriques sont recueillis exclusivement par du personnel qualifié et dûment habilité désigné par les autorités chargées de délivrer les cartes d’identité ou les cartes de séjour, dans le but d’être intégrés sur le support de stockage hautement sécurisé visé à l’article 3, paragraphe 5, pour les cartes d’identité et à l’article 7, paragraphe 1, pour les cartes de séjour. Par dérogation à la première phrase, les empreintes digitales sont recueillies uniquement par le personnel qualifié et dûment autorisé de ces autorités, sauf dans le cas des demandes présentées aux autorités diplomatiques et consulaires de l’État membre.
Afin de garantir la cohérence des éléments d’identification biométriques avec l’identité du demandeur, ce dernier doit se présenter en personne au moins une fois au cours du processus de délivrance pour chaque demande.
2. Les États membres veillent à ce que des procédures appropriées et efficaces soient en place pour le recueil des éléments d’identification biométriques et que ces procédures respectent les droits et les principes énoncés dans la Charte, la convention de sauvegarde des droits de l’homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l’enfant.
Lorsque des difficultés se présentent pour recueillir les éléments d’identification biométriques, les États membres veillent à ce que des procédures appropriées soient mises en place pour garantir le respect de la dignité de la personne concernée.
3. Sauf s’ils sont nécessaires aux finalités du traitement dans le respect du droit de l’Union et du droit national, les éléments d’identification biométriques stockés aux fins de la personnalisation des cartes d’identité ou des documents de séjour sont conservés de manière très sécurisée et uniquement jusqu’à la date de remise du document et, en tout état de cause, pas plus de 90 jours à compter de la date de délivrance du document. Après ce délai, ces éléments d’identification biométriques sont immédiatement effacés ou détruits. »
10 L’article 11 dudit règlement, intitulé « Protection des données à caractère personnel et responsabilité », énonce, à ses paragraphes 4 et 6 :
« 4. La coopération avec les prestataires de services extérieurs n’exclut pas la responsabilité d’un État membre qui peut découler du droit de l’Union ou du droit national en cas de manquement aux obligations en matière de données à caractère personnel.
[...]
6. Les données biométriques stockées sur le support de stockage des cartes d’identité et des documents de séjour ne sont utilisées, conformément au droit de l’Union et au droit national, que par le personnel dûment autorisé des autorités nationales compétentes et des agences de l’Union pour vérifier :
a) l’authenticité de la carte d’identité ou du document de séjour ;
b) l’identité du titulaire grâce à des éléments comparables directement disponibles lorsque la loi exige la présentation de la carte d’identité ou du document de séjour. »
11 L’article 14 du même règlement, intitulé « Spécifications techniques supplémentaires », dispose, à ses paragraphes 1 et 2 :
« 1. Afin de garantir, le cas échéant, que les cartes d’identité et les documents de séjour visés à l’article 2, points a) et c), respectent les futures normes de sécurité minimales, la Commission établit, au moyen d’actes d’exécution, des spécifications techniques complémentaires sur :
a) les éléments et les exigences de sécurité complémentaires, y compris les normes renforcées de lutte contre la contrefaçon et la falsification ;
b) les spécifications techniques relatives au support de stockage des éléments biométriques visés à l’article 3, paragraphe 5, et à leur sécurisation, y compris la prévention de l’accès non autorisé et la facilitation de la validation ;
c) les exigences en matière de qualité et les normes techniques communes en ce qui concerne l’image faciale et les empreintes digitales.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 15, paragraphe 2.
2. Conformément à la procédure mentionnée à l’article 15, paragraphe 2, il peut être décidé que les spécifications visées au présent article sont secrètes et ne sont pas publiées. [...] »
2. Le RGPD
12 Le considérant 51 du RGPD énonce :
« Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. [...] Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. De telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du présent règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques [...] »
13 L’article 4 de ce règlement, intitulé « Définitions », est ainsi libellé :
« Aux fins du présent règlement, on entend par :
[...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;
[...] »
14 L’article 9 dudit règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », prévoit, à son paragraphe 1 :
« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »
15 L’article 35 du même règlement, intitulé « Analyse d’impact relative à la protection des données », dispose, à ses paragraphes 1, 3 et 10 :
« 1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
[...]
3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants :
a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
c) la surveillance systématique à grande échelle d’une zone accessible au public.
[...]
10. Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement. »
3. Le règlement (UE) 2016/399
16 L’article 8 du règlement (UE) 2016/399 du Parlement européen et du Conseil, du 9 mars 2016, concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO 2016, L 77, p. 1), tel que modifié par le règlement (UE) 2017/458 du Parlement européen et du Conseil, du 15 mars 2017 (JO 2017, L 74, p. 1), prévoit, à ses paragraphes 1 et 2 :
« 1. Les mouvements transfrontaliers aux frontières extérieures font l’objet de vérifications de la part des gardes‑frontières. Les vérifications sont effectuées conformément au présent chapitre.
[...]
2. À l’entrée et à la sortie, les personnes jouissant du droit à la libre circulation au titre du droit de l’Union sont soumises aux vérifications suivantes :
a) la vérification de l’identité et de la nationalité de la personne, ainsi que de l’authenticité et de la validité de son document de voyage pour le franchissement de la frontière, y compris par la consultation des bases de données pertinentes [...]
b) la vérification visant à établir qu’une personne jouissant du droit à la libre circulation au titre du droit de l’Union n’est pas considérée comme une menace pour l’ordre public, la sécurité intérieure, la santé publique ou les relations internationales de l’un des États membres ; [...]
En cas de doute sur l’authenticité du document de voyage ou sur l’identité de son titulaire, il est procédé à la vérification d’au moins un des identificateurs biométriques intégrés dans les passeports et les documents de voyage délivrés conformément au règlement (CE) no 2252/2004 [du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres (JO 2004, L 385, p. 1)]. Cette vérification porte également, dans la mesure du possible, sur les documents de voyage ne relevant pas dudit règlement.
[...] »
4. La directive 2004/38
17 L’article 4 de la directive 2004/38, intitulé « Droit de sortie », dispose, à ses paragraphes 1 et 3 :
« 1. Sans préjudice des dispositions concernant les documents de voyage, applicables aux contrôles aux frontières nationales, tout citoyen de l’Union muni d’une carte d’identité ou d’un passeport en cours de validité, ainsi que les membres de sa famille qui n’ont pas la nationalité d’un État membre munis d’un passeport en cours de validité, ont le droit de quitter le territoire d’un État membre en vue de se rendre dans un autre État membre.
[...]
3. Les États membres, agissant conformément à leur législation, délivrent à leurs citoyens, ou renouvellent, une carte d’identité ou un passeport indiquant leur nationalité. »
18 L’article 5 de cette directive, intitulé « Droit d’entrée », mentionne, à son paragraphe 1 :
« Sans préjudice des dispositions concernant les documents de voyage, applicables aux contrôles aux frontières nationales, les États membres admettent sur leur territoire le citoyen de l’Union muni d’une carte d’identité ou d’un passeport en cours de validité ainsi que les membres de sa famille qui n’ont pas la nationalité d’un État membre et qui sont munis d’un passeport en cours de validité.
Aucun visa d’entrée ni obligation équivalente ne peuvent être imposés au citoyen de l’Union. »
19 L’article 6 de ladite directive, intitulé « Droit de séjour jusqu’à trois mois », énonce :
« 1. Les citoyens de l’Union ont le droit de séjourner sur le territoire d’un autre État membre pour une période allant jusqu’à trois mois, sans autres conditions ou formalités que l’exigence d’être en possession d’une carte d’identité ou d’un passeport en cours de validité.
2. Les dispositions du paragraphe 1 s’appliquent également aux membres de la famille munis d’un passeport en cours de validité qui n’ont pas la nationalité d’un État membre et qui accompagnent ou rejoignent le citoyen de l’Union. »
20 L’article 8 de la directive 2004/38, intitulé « Formalités administratives à charge des citoyens de l’Union », prévoit, à ses paragraphes 1 et 3 :
« 1. Sans préjudice de l’article 5, paragraphe 5, pour des séjours d’une durée supérieure à trois mois, l’État membre d’accueil peut imposer aux citoyens de l’Union de se faire enregistrer auprès des autorités compétentes.
[...]
3. Pour la délivrance de l’attestation d’enregistrement, les États membres peuvent seulement exiger :
– du citoyen de l’Union auquel s’applique l’article 7, paragraphe 1, point a), qu’il présente une carte d’identité ou un passeport en cours de validité, une promesse d’embauche délivrée par l’employeur, une attestation d’emploi ou une preuve attestant d’une activité non salariée ;
– du citoyen de l’Union auquel s’applique l’article 7, paragraphe 1, point b), qu’il présente une carte d’identité ou un passeport en cours de validité et qu’il apporte la preuve qu’il satisfait aux conditions énoncées par cette disposition ;
– du citoyen de l’Union visé à l’article 7, paragraphe 1, point c), qu’il présente une carte d’identité ou un passeport en cours de validité, qu’il apporte la preuve qu’il est inscrit dans un établissement agréé et qu’il a souscrit une assurance maladie complète, et qu’il produise la déclaration ou tout autre élément équivalent visés à l’article 7, paragraphe 1, point c). Les États membres ne peuvent pas exiger que cette déclaration précise le montant des ressources. »
5. L’accord interinstitutionnel
21 Les points 12 à 14 de l’accord interinstitutionnel entre le Parlement européen, le Conseil de l’Union européenne et la Commission européenne « Mieux légiférer », du 13 avril 2016 (JO 2016, L 123, p. 1, ci-après l’« accord interinstitutionnel »), énoncent :
« 12. [...]
Les analyses d’impact constituent un outil visant à aider les trois institutions à statuer en connaissance de cause et ne remplacent pas les décisions politiques prises dans le cadre du processus décisionnel démocratique. [...]
Les analyses d’impact devraient porter sur l’existence, l’ampleur et les conséquences d’un problème et examiner si une action de l’Union est nécessaire ou non. Elles devraient exposer différentes solutions et, lorsque c’est possible, les coûts et avantages éventuels à court terme et à long terme, en évaluant les incidences économiques, environnementales et sociales d’une manière intégrée et équilibrée, sur la base d’analyses tant qualitatives que quantitatives. Les principes de subsidiarité et de proportionnalité devraient être pleinement respectés, de même que les droits fondamentaux. [...] Les analyses d’impact devraient se fonder sur des éléments d’information exacts, objectifs et complets et être proportionnées en ce qui concerne leur portée et les sujets qu’elles abordent.
13. La Commission procédera à une analyse d’impact de ses initiatives législatives [...] qui sont susceptibles d’avoir une incidence économique, environnementale ou sociale importante. Les initiatives figurant dans le programme de travail de la Commission ou dans la déclaration commune seront, en règle générale, accompagnées d’une analyse d’impact.
[...] Les résultats finals des analyses d’impact seront mis à la disposition du Parlement européen, du Conseil [de l’Union européenne] et des parlements nationaux et seront rendus publics parallèlement à l’avis/aux avis du comité d’examen de la réglementation lors de l’adoption de l’initiative de la Commission.
14. Lors de l’examen des propositions législatives de la Commission, le Parlement [...] et le Conseil tiendront pleinement compte des analyses d’impact de la Commission. À cet effet, les analyses d’impact sont présentées de façon à faciliter l’examen par le Parlement [...] et par le Conseil des choix opérés par la Commission. »
B. Le droit allemand
22 L’article 5 du Gesetz über Personalausweise und den elektronischen Identitätsnachweis (loi sur les cartes d’identité et la preuve d’identité électronique), du 18 juin 2009 (BGBl. I, p. 1346), dans sa version applicable aux faits au principal (ci‑après le « PAuswG »), intitulé « Modèle de carte d’identité ; données stockées », dispose, à son paragraphe 9 :
« Les deux empreintes digitales du demandeur [de carte d’identité] devant être conservées sur le support de stockage électronique en application du règlement [2019/1157] sont enregistrées sur le support de stockage et de traitement électronique de la carte d’identité sous la forme des empreintes à plat de l’index gauche et de l’index droit. Dans les cas d’absence d’index, de qualité insuffisante de l’empreinte digitale ou de blessure de la pulpe digitale, il conviendra d’y substituer l’empreinte à plat du pouce, du majeur ou de l’annulaire. Les empreintes digitales ne sont pas enregistrées lorsque le relevé des empreintes digitales est impossible pour des raisons médicales qui ne sont pas uniquement de nature temporaire. »
23 Aux termes de l’article 6, paragraphes 1 et 2, du PAuswG :
« (1) Les cartes d’identité sont délivrées pour une durée de validité de dix ans.
(2) Avant l’expiration de la validité d’une carte d’identité, une nouvelle carte d’identité peut être demandée s’il peut être justifié d’un intérêt légitime à la délivrance d’une nouvelle carte. »
24 L’article 9 du PAuswG, intitulé « Délivrance de la carte », énonce, à son paragraphe 1, première phrase :
« Les cartes d’identité ainsi que les cartes d’identité provisoires sont délivrées sur demande aux Allemands au sens de l’article 116, paragraphe 1, de la Loi fondamentale. »
25 L’article 28 du PAuswG, intitulé « Invalidité », prévoit, à son paragraphe 3 :
« Les dysfonctionnements affectant le support électronique de stockage et de traitement n’ont pas d’incidence sur la validité de la carte d’identité. »
II. Le litige au principal et la question préjudicielle
26 Le 30 novembre 2021, le requérant au principal a sollicité de la ville de Wiesbaden la délivrance d’une nouvelle carte d’identité, au motif que la puce électronique de son ancienne carte était défectueuse. Il a toutefois demandé que la nouvelle carte ne contienne pas ses empreintes digitales.
27 La ville de Wiesbaden a rejeté cette demande en se fondant sur un double motif. D’une part, le requérant au principal n’aurait pas droit à la délivrance d’une nouvelle carte d’identité puisqu’il était déjà en possession d’un document d’identité valable. En effet, conformément à l’article 28, paragraphe 3, du PAuswG, une carte d’identité conserverait sa validité même si sa puce électronique est défectueuse. D’autre part, et en tout état de cause, depuis le 2 août 2021, l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité serait obligatoire en vertu de l’article 5, paragraphe 9, du PAuswG, lequel transposerait l’article 3, paragraphe 5, du règlement 2019/1157.
28 Le 21 décembre 2021, le requérant au principal a introduit un recours devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), qui est la juridiction de renvoi, aux fins qu’il soit fait injonction à la ville de Wiesbaden de lui délivrer une carte d’identité sans que ses empreintes digitales ne soient collectées.
29 La juridiction de renvoi exprime des doutes quant à la légalité des deux motifs de la décision en cause au principal. S’agissant, en particulier, du second motif, elle incline à penser que la validité du règlement 2019/1157 ou, du moins, celle de l’article 3, paragraphe 5, de celui-ci serait contestable.
30 En premier lieu, la juridiction de renvoi se demande si ce règlement n’aurait pas dû être adopté sur le fondement de l’article 77, paragraphe 3, TFUE et, par suite, au terme de la procédure législative spéciale prévue par cette disposition, plutôt que sur la base de l’article 21, paragraphe 2, TFUE et par application de la procédure législative ordinaire. En effet, d’une part, l’article 77, paragraphe 3, TFUE se référerait spécifiquement à la compétence de l’Union pour arrêter, en autres, des dispositions en matière de carte d’identité et serait ainsi une disposition plus spécifique que l’article 21, paragraphe 2, TFUE. D’autre part, dans l’arrêt du 17 octobre 2013, Schwarz (C‑291/12, EU:C:2013:670), la Cour aurait jugé que le règlement no 2252/2004, en ce qu’il établit des normes pour les éléments biométriques intégrés dans les passeports, était valablement fondé sur l’article 62, point 2, sous a), CE, lequel correspondrait désormais à l’article 77, paragraphe 3, TFUE.
31 En deuxième lieu, la juridiction de renvoi invoque la possible existence d’un vice de procédure ayant entaché l’adoption du règlement 2019/1157. En effet, comme l’aurait souligné le Contrôleur européen de la protection des données (ci-après le « CEPD ») dans son avis 7/2018, du 10 août 2018, sur la proposition de règlement relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et d’autres documents (ci-après l’« avis 7/2018 »), le prélèvement et le stockage d’empreintes digitales constitueraient des traitements de données à caractère personnel devant faire l’objet d’une analyse d’impact en vertu de l’article 35, paragraphe 10, du RGPD. Or, en l’occurrence, une telle analyse n’aurait pas été réalisée. En particulier, le document accompagnant ladite proposition de règlement, intitulé « Impact assessment », ne pourrait être regardé comme étant une analyse d’impact au sens de cette disposition.
32 En troisième lieu, la juridiction de renvoi s’interroge plus spécifiquement sur la compatibilité de l’article 3, paragraphe 5, du règlement 2019/1157 avec les articles 7 et 8 de la Charte relatifs, respectivement, au respect de la vie privée et familiale et à la protection des données à caractère personnel. En effet, l’obligation faite aux États membres de délivrer des cartes d’identité dont le support de stockage contient deux empreintes digitales constituerait une limitation de l’exercice des droits reconnus par ces deux dispositions de la Charte, limitation qui ne pourrait être justifiée que si elle remplit les conditions posées à l’article 52, paragraphe 1, de la Charte.
33 Or, d’une part, ladite limitation pourrait ne pas répondre à un objectif d’intérêt général. Certes, la Cour a admis, dans l’arrêt du 17 octobre 2013, Schwarz (C‑291/12, EU:C:2013:670), que la lutte contre les entrées illégales de ressortissants de pays tiers sur le territoire de l’Union est un objectif reconnu par le droit de l’Union. Toutefois, la carte d’identité ne serait pas, au premier chef, un document de voyage, comme le passeport, et son objectif serait seulement de permettre la vérification de l’identité d’un citoyen de l’Union dans ses relations aussi bien avec des autorités administratives qu’avec des personnes privées tierces.
34 D’autre part, à supposer que ledit règlement poursuive un objectif d’intérêt général reconnu par le droit de l’Union, des doutes existeraient quant à la proportionnalité de cette même limitation. En effet, la solution retenue par la Cour dans l’arrêt du 17 octobre 2013, Schwarz (C‑291/12, EU:C:2013:670), ne serait pas transposable au règlement 2019/1157, car elle était relative aux passeports dont la détention, contrairement aux cartes d’identité, est facultative en Allemagne et dont l’utilisation poursuit un objectif différent.
35 En revanche, il ressortirait de l’avis 7/2018 que le fait d’intégrer et de stocker des empreintes digitales aurait une incidence considérable, susceptible de concerner jusqu’à 370 millions de citoyens de l’Union et de soumettre potentiellement 85 % de la population de l’Union au relevé obligatoire d’empreintes digitales. Or, cette incidence considérable, conjuguée au caractère très sensible des données traitées (une image faciale combinée à deux empreintes digitales), impliquerait que la limitation apportée à l’exercice des droits garantis aux articles 7 et 8 de la Charte, résultant du recueil obligatoire des empreintes digitales aux fins de l’établissement des cartes d’identité, est plus importante que pour les passeports, ce qui exigerait, en contrepartie, une justification plus forte ainsi qu’un examen attentif de la mesure en cause selon un critère de nécessité stricte.
36 En tout état de cause, la nécessité de procéder à un contrôle strict de proportionnalité découlerait également de l’article 9, paragraphe 1, du RGPD en vertu duquel le traitement de telles données biométriques est, en principe, interdit et ne peut être autorisé que dans des cas exceptionnels et strictement limités.
37 Dans ce contexte, si la juridiction de renvoi estime que l’utilisation de données biométriques réduit le risque qu’un document puisse être falsifié, elle éprouve des doutes sur le point de savoir si cette seule circonstance peut justifier l’ampleur de la limitation apportée au droit à la protection des données personnelles au regard, en particulier, des raisons suivantes.
38 Tout d’abord, dans son avis 7/2018, le CEPD aurait souligné que d’autres techniques d’impression sécurisée des documents d’identification, telles que les hologrammes ou les filigranes, étaient nettement moins intrusives tout en permettant également d’empêcher la falsification de ces documents et d’en vérifier l’authenticité. D’ailleurs, le fait que le droit allemand admet qu’une carte d’identité dont la puce électronique est défectueuse reste valable démontrerait que les éléments physiques, notamment les micro-impressions ou les surimpressions réactives aux ultraviolets, sont suffisants pour garantir la sécurité desdites cartes.
39 Ensuite, l’article 3, paragraphe 7, du règlement 2019/1157 autoriserait les États membres à exempter les enfants de moins de douze ans de l’obligation de donner leurs empreintes digitales et, en tout état de cause, leur imposerait d’exempter les enfants de moins de six ans de cette obligation, ce qui démontrerait que le prélèvement de deux empreintes digitales n’est pas strictement nécessaire.
40 Par ailleurs, l’article 3, paragraphe 5, du règlement 2019/1157 ne respecterait pas le principe de minimisation des données, énoncé à l’article 5 du RGPD, dont il ressort que le prélèvement et l’utilisation de données à caractère personnel doivent être adéquats, pertinents et limités à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En effet, s’il permet de favoriser l’interopérabilité des différents types de systèmes, le recueil de deux empreintes digitales complètes, et non pas seulement des points caractéristiques de ces empreintes (les « minuties »), accroîtrait également la quantité de données personnelles stockées et donc le risque d’usurpation d’identité en cas de fuite de données. Ce risque ne serait pas d’ailleurs négligeable, car les puces électroniques utilisées dans les cartes d’identité pourraient être lues par des scanners non autorisés.
41 Enfin et en substance, la limitation apportée à l’exercice des droits garantis aux articles 7 et 8 de la Charte pourrait ne pas être légitime puisque, dans son avis 7/2018, le CEPD aurait relevé que, lorsque le règlement 2019/1157 a été adopté, le nombre de cartes d’identité frauduleuses était relativement faible en proportion du nombre de cartes émises (38 870 cartes frauduleuses constatées entre l’année 2013 et l’année 2017) et que ce nombre était en baisse depuis plusieurs années.
42 C’est dans ce contexte que le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’obligation relative à l’intégration et au stockage d’empreintes digitales dans les cartes d’identité, prévue à l’article 3, paragraphe 5, du règlement [2019/1157], est-elle contraire à des normes de droit de l’Union de rang supérieur, en particulier :
a) à l’article 77, paragraphe 3, TFUE ;
b) aux articles 7 et 8 de la [Charte] ;
c) à l’article 35, paragraphe 10, du [RGPD],
et est-elle, par conséquent, invalide à l’un de ces titres ? »
III. Sur la question préjudicielle
43 Par sa question, la juridiction de renvoi cherche, en substance, à savoir si ce règlement 2019/1157 est invalide, en tout ou partie, aux motifs que, premièrement, il aurait été adopté sur une base juridique erronée, deuxièmement, il violerait l’article 35, paragraphe 10, du RGPD, et, troisièmement, il méconnaîtrait les articles 7 et 8 de la Charte.
A. Sur le premier motif d’invalidité, tiré du recours à une base juridique erronée
44 Le premier motif d’invalidité évoqué par la juridiction de renvoi porte sur le point de savoir si, eu égard notamment à la référence explicite aux cartes d’identité figurant à l’article 77, paragraphe 3, TFUE, ainsi qu’à la solution retenue dans l’arrêt du 17 octobre 2013, Schwarz (C‑291/12, EU:C:2013:670), le règlement 2019/1157 aurait dû être adopté sur le fondement de cet article 77, paragraphe 3, et en application de la procédure législative spéciale qu’il prévoit, et non, comme cela a été le cas, sur la base de l’article 21, paragraphe 2, TFUE.
1. Observations liminaires
45 Selon une jurisprudence constante, le choix de la base juridique d’un acte de l’Union doit être fondé sur des éléments objectifs susceptibles de faire l’objet d’un contrôle juridictionnel, parmi lesquels figurent la finalité et le contenu de cet acte (arrêts du 16 février 2022, Hongrie/Parlement et Conseil, C‑156/21, EU:C:2022:97, point 107, ainsi que du 16 février 2022, Pologne/Parlement et Conseil, C‑157/21, EU:C:2022:98, point 121).
46 En outre, il importe de relever que, lorsqu’il existe, dans les traités, une disposition plus spécifique pouvant constituer la base juridique de l’acte en cause, celui-ci doit être fondé sur cette disposition (arrêts du 6 septembre 2012, Parlement/Conseil, C‑490/10, EU:C:2012:525, point 44, ainsi que du 8 décembre 2020, Pologne/Parlement et Conseil, C‑626/18, EU:C:2020:1000, point 48 et jurisprudence citée).
47 Enfin, si l’examen d’un acte de l’Union démontre que celui-ci poursuit plusieurs finalités ou qu’il a plusieurs composantes et si l’une de ces finalités ou de ces composantes est identifiable comme étant principale ou prépondérante tandis que les autres ne sont qu’accessoires ou n’ont qu’une portée extrêmement limitée, la base juridique pour adopter cet acte doit être déterminée conformément à cette finalité ou composante principale [voir, en ce sens, arrêt du 20 novembre 2018, Commission/Conseil (AMP Antarctique), C‑626/15 et C‑659/16, EU:C:2018:925, point 77, ainsi que avis 1/19 (Convention d’Istanbul), du 6 octobre 2021, EU:C:2021:832, point 286].
2. Sur les champs d’application respectifs de l’article 21, paragraphe 2, TFUE et de l’article 77, paragraphe 3, TFUE
48 L’article 21, paragraphe 2, TFUE énonce que, si une action de l’Union apparaît nécessaire pour garantir à tout citoyen de l’Union le droit de circuler et de séjourner librement sur le territoire des États membres, et sauf si les traités ont prévu des pouvoirs d’action à cet effet, le Parlement et le Conseil, statuant conformément à la procédure législative ordinaire, peuvent arrêter des dispositions visant à faciliter l’exercice de ces droits.
49 Il en résulte que cette disposition confère à l’Union une compétence générale pour adopter les dispositions nécessaires aux fins de faciliter l’exercice du droit des citoyens de l’Union de circuler et de séjourner librement sur le territoire des États membres, visé à l’article 20, paragraphe 2, sous a), TFUE, sous réserve des pouvoirs d’action prévus à cet effet par les traités.
50 Or, à la différence de l’article 21, paragraphe 2, TFUE, l’article 77, paragraphe 3, TFUE prévoit explicitement de tels pouvoirs d’action en ce qui concerne l’adoption de mesures relatives aux passeports, aux cartes d’identité, aux titres de séjour ou à tout autre document assimilé délivrés aux citoyens de l’Union aux fins de faciliter l’exercice du droit, visé à l’article 20, paragraphe 2, sous a), TFUE, de circuler et de séjourner librement sur le territoire des États membres.
51 Il est vrai que l’article 77, paragraphe 3, TFUE figure dans le titre V de ce traité, consacré à l’espace de liberté, de sécurité et de justice et, plus précisément, dans le chapitre 2 de ce titre, intitulé « Politiques relatives aux contrôles aux frontières, à l’asile et à l’immigration ». Toutefois, selon l’article 77, paragraphe 1, TFUE, l’Union développe une politique visant à assurer tant l’absence de tout contrôle des personnes, quelle que soit leur nationalité, lorsqu’elles franchissent les frontières intérieures, que le contrôle des personnes et la surveillance efficace du franchissement des frontières extérieures, ainsi qu’à mettre en place progressivement un système intégré de gestion de ces frontières. Or, les dispositions concernant les passeports, les cartes d’identité, les titres de séjour ou tout autre document assimilé visées dans le titre de compétence prévu à cet article 77, paragraphe 3, font partie intégrante d’une telle politique de l’Union. En effet, s’agissant des citoyens de l’Union, ces documents leur permettent notamment d’attester de leur qualité de bénéficiaires du droit de circuler et de séjourner librement sur le territoire des États membres et donc d’exercer ce droit. Partant, ledit article 77, paragraphe 3, est susceptible de fonder l’adoption de mesures relatives auxdits documents si une telle action apparaît nécessaire pour faciliter l’exercice dudit droit, prévu à l’article 20, paragraphe 2, sous a), TFUE.
52 Cette interprétation de la portée matérielle de l’article 77, paragraphe 3, TFUE ne saurait être infirmée ni par l’évolution historique qu’ont connue les traités en matière de compétence de l’Union pour adopter des mesures relatives aux passeports, aux cartes d’identité, aux titres de séjour et à d’autres documents assimilés, à laquelle se réfèrent le Parlement, le Conseil et la Commission, ni par la circonstance, évoquée par le gouvernement allemand, selon laquelle cette disposition prévoit qu’elle s’applique « sauf si les traités ont prévu des pouvoirs d’action à cet effet ».
53 Certes, le traité de Lisbonne a supprimé la disposition auparavant énoncée à l’article 18, paragraphe 3, CE, qui excluait expressément la possibilité pour le législateur de l’Union de recourir à l’article 18, paragraphe 2, CE (devenu l’article 21, paragraphe 2, TFUE) comme base juridique pour l’adoption tant de « dispositions concernant les passeports, les cartes d’identité, les titres de séjour ou tout autre document assimilé » que de « dispositions concernant la sécurité sociale ou la protection sociale ». Toutefois, dans le même temps, ce traité a conféré expressément à l’Union un pouvoir d’action dans ces deux domaines, à savoir, d’une part, à l’article 21, paragraphe 3, TFUE pour ce qui est de la sécurité sociale et la protection sociale et, d’autre part, à l’article 77, paragraphe 3, TFUE s’agissant des dispositions concernant les passeports, les cartes d’identité, les titres de séjour ou tout autre document assimilé, et a soumis l’adoption des mesures dans lesdits domaines à une procédure législative spéciale, et notamment à l’unanimité au Conseil.
54 Dans ces conditions, il ne saurait être déduit de la suppression de la disposition auparavant énoncée à l’article 18, paragraphe 3, CE qu’il serait dorénavant possible d’adopter des « dispositions concernant les passeports, les cartes d’identité, les titres de séjour ou tout autre document assimilé » sur le fondement de l’article 21, paragraphe 2, TFUE. Au contraire, il résulte de l’évolution historique que les auteurs des traités ont, par l’article 77, paragraphe 3, TFUE, entendu conférer à l’Union une compétence plus spécifique pour l’adoption de telles dispositions visant à faciliter l’exercice du droit de circuler et de séjourner librement sur le territoire des États membres, garanti à l’article 20, paragraphe 2, sous a), TFUE, que la compétence plus générale prévue à cet article 21, paragraphe 2.
55 En outre, l’indication figurant à l’article 77, paragraphe 3, TFUE selon laquelle cette disposition s’applique « sauf si les traités ont prévu des pouvoirs d’action à cet effet » doit être comprise, eu égard à l’économie générale du traité FUE, en ce sens que les pouvoirs d’action ainsi visés sont ceux conférés non pas par une disposition ayant une portée plus générale, telle que l’article 21, paragraphe 2, TFUE, mais par une disposition encore plus spécifique.
56 Dès lors, l’adoption du règlement 2019/1157 ne pouvait être fondé sur l’article 21, paragraphe 2, TFUE qu’à la condition que la finalité ou la composante principale ou prépondérante de ce règlement se situe en dehors du champ d’application spécifique de l’article 77, paragraphe 3, TFUE, à savoir la délivrance des passeports, des cartes d’identité, des titres de séjour ou de tout autre document assimilé, aux fins de faciliter l’exercice du droit visé à l’article 20, paragraphe 2, sous a), TFUE.
3. Sur la finalité ou la composante principale ou prépondérante du règlement 2019/1157
57 En premier lieu, en ce qui concerne la finalité du règlement 2019/1157, l’article 1er de celui-ci énonce qu’il a pour objet de renforcer les normes de sécurité applicables aux cartes d’identité délivrées par les États membres à leurs ressortissants et aux documents de séjour délivrés par les États membres aux citoyens de l’Union et aux membres de leur famille lorsqu’ils exercent leur droit à la libre circulation.
58 Dans le même sens, le considérant 46 de ce règlement énonce que les objectifs de ce dernier consistent à « renforcer la sécurité » de ces documents de voyage et d’identité « pour faciliter l’exercice des droits à la libre circulation par les citoyens de l’Union et les membres de leur famille », ce que confirment également les considérants 1, 2, 5, 17, 28, 29 et 36 dudit règlement.
59 En second lieu, s’agissant du contenu du règlement 2019/1157, il convient de relever que ce dernier comporte seize articles. Les articles 1er et 2 de ce règlement en définissent, respectivement, l’objet et le champ d’application. Les articles 3 et 4 ainsi que 6 et 7 dudit règlement, qui en constituent les composantes principales, énoncent, entre autres, les exigences en termes de sécurité, de contenu, de format ou de spécifications que les cartes d’identité et les documents de séjour délivrés par les États membres doivent respecter, tandis que les articles 5 et 8 du même règlement prévoient la suppression progressive des cartes d’identité et des cartes de séjour ne satisfaisant pas aux exigences qu’il fixe. Enfin, les articles 9 à 16 du règlement 2019/1157 précisent la manière dont doivent être mises en œuvre les obligations qu’il prévoit, en particulier en ce qui concerne le recueil des éléments d’identification biométriques et la protection des données à caractère personnel.
60 Certes, l’article 2 du règlement 2019/1157 indique que celui-ci s’applique non seulement aux cartes d’identité délivrées par les États membres à leurs propres ressortissants, mais également aux attestations d’enregistrement délivrées conformément à l’article 8 de la directive 2004/38 aux citoyens de l’Union résidant depuis plus de trois mois dans un État membre d’accueil et aux documents attestant de la permanence du séjour délivrés conformément à l’article 19 de cette directive, lesquels attestations et documents ne sauraient être assimilés aux cartes d’identité, aux passeports ou à des titres de séjour. Toutefois, le règlement 2019/1157 ne contient aucune disposition régissant ces attestations et se borne à indiquer, à son article 6, premier alinéa, sous f), que les documents de séjour délivrés par les États membres aux citoyens de l’Union doivent contenir les informations devant figurer sur les attestations d’enregistrement et les documents attestant de la permanence du séjour délivrés conformément, respectivement, aux articles 8 et 19 de la directive 2004/38. En conséquence, la finalité et la composante de ce règlement qui se rattachent à ces attestations doivent être considérées comme ayant une portée extrêmement limitée, de sorte que la base juridique dudit règlement ne saurait être déterminée au regard de cette finalité ou de cette composante.
61 Dans ces conditions, il découle de la finalité et des composantes principales du règlement 2019/1157 que celui-ci figure au nombre des actes qui relèvent du champ d’application spécifique de l’article 77, paragraphe 3, TFUE, tel qu’identifié aux points 48 à 51 du présent arrêt.
62 En conséquence, en ayant adopté le règlement 2019/1157 sur le fondement de l’article 21, paragraphe 2, TFUE, le législateur de l’Union a méconnu l’article 77, paragraphe 3, TFUE et a eu recours à une procédure législative inappropriée.
63 Il s’ensuit que le premier motif d’invalidité évoqué par la juridiction de renvoi, tiré de ce que le règlement 2019/1157 a été adopté à tort sur le fondement de l’article 21, paragraphe 2, TFUE et en application de la procédure législative ordinaire, est de nature à entraîner l’invalidité de ce règlement.
B. Sur le deuxième motif d’invalidité, tiré du non-respect de l’article 35, paragraphe 10, du RGPD
64 Le deuxième motif d’invalidité évoqué par la juridiction de renvoi est présenté comme étant tiré de ce que le règlement 2019/1157 aurait été adopté sans qu’ait été réalisée une analyse d’impact relative à la protection des données, en méconnaissance de l’article 35, paragraphe 10, du RGPD.
65 À cet égard, il importe de relever que l’article 35, paragraphe 1, du RGPD dispose que, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. L’article 35, paragraphe 3, de ce règlement précise qu’une telle analyse est requise dans le cas d’un traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, dudit règlement, telles que les données biométriques aux fins d’identifier une personne physique de manière unique.
66 Étant donné que, en l’occurrence, le règlement 2019/1157 ne procède lui-même à aucune opération appliquée à des données ou à des ensembles de données à caractère personnel, mais se borne à prévoir l’accomplissement par les États membres de certains traitements en cas de demande de carte d’identité, force est de constater que l’adoption de ce règlement n’était pas subordonnée à la réalisation préalable d’une analyse de l’impact des opérations de traitement envisagées, au sens de l’article 35, paragraphe 1, du RGPD. Or, l’article 35, paragraphe 10, de ce règlement institue une dérogation à l’article 35, paragraphe 1, dudit règlement.
67 Il s’ensuit que, puisque, ainsi qu’il résulte de ce qui précède, l’article 35, paragraphe 1, du RGPD n’avait pas vocation à s’appliquer lors de l’adoption du règlement 2019/1157, cette adoption n’a pu méconnaître l’article 35, paragraphe 10, du règlement 2016/679.
68 Eu égard à ce qui précède, le deuxième motif, tiré de la méconnaissance de l’article 35, paragraphe 10, du RGPD, n’est pas de nature à entraîner l’invalidité du règlement 2019/1157.
C. Sur le troisième motif d’invalidité, tiré de l’incompatibilité de l’article 3, paragraphe 5, du règlement 2019/1157 avec les articles 7 et 8 de la Charte
69 Le troisième motif d’invalidité du règlement 2019/1157 évoqué par la juridiction de renvoi porte sur le point de savoir si l’obligation d’intégrer deux empreintes digitales complètes dans le support de stockage des cartes d’identité délivrées par les États membres, prévue à l’article 3, paragraphe 5, de ce règlement, emporte une limitation injustifiée des droits garantis aux articles 7 et 8 de la Charte.
1. Sur l’existence d’une limitation
70 L’article 7 de la Charte prévoit, notamment, que toute personne a droit au respect de sa vie privée. Quant à l’article 8, paragraphe 1, de celle-ci, il énonce que toute personne a droit à la protection des données à caractère personnel la concernant. Il découle de ces dispositions, lues conjointement, que, en principe, est susceptible de constituer une atteinte auxdits droits tout traitement des données à caractère personnel par un tiers (arrêt du 17 octobre 2013, Schwarz, C‑291/12, EU:C:2013:670, point 25).
71 En l’occurrence, l’article 3, paragraphe 5, du règlement 2019/1157 dispose que le support de stockage hautement sécurisé que doivent intégrer les cartes d’identité délivrées par les États membres à leurs propres ressortissants doit contenir des données biométriques, à savoir une image faciale et deux empreintes digitales dans des formats numériques interopérables.
72 Or, de telles données à caractère personnel permettent l’identification précise des personnes physiques concernées et revêtent une sensibilité particulière en raison des risques importants pour les libertés et les droits fondamentaux que leur utilisation est susceptible de présenter, ainsi qu’il ressort, en particulier, du considérant 51 du RGPD, règlement qui s’applique aux données en cause ainsi que le rappelle le considérant 40 du règlement 2019/1157.
73 Par conséquent, l’obligation d’intégrer deux empreintes digitales dans le support de stockage des cartes d’identité, prévue à l’article 3, paragraphe 5, du règlement 2019/1157, constitue une limitation tant du droit au respect de la vie privée que du droit à la protection des données à caractère personnel, consacrés respectivement aux articles 7 et 8 de la Charte.
74 En outre, cette obligation implique la réalisation préalable de deux opérations de traitement de données à caractère personnel successives, à savoir la collecte desdites empreintes auprès de la personne concernée puis leur stockage provisoire aux fins de la personnalisation des cartes d’identité, ces opérations étant régies par l’article 10 dudit règlement. Lesdites opérations constituent également des limitations des droits consacrés aux articles 7 et 8 de la Charte.
2. Sur la justification de la limitation
75 Ainsi qu’il résulte d’une jurisprudence constante, le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, respectivement garantis aux articles 7 et 8 de la Charte, ne sont pas des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société (voir, en ce sens, arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland, C‑793/19 et C‑794/19, EU:C:2022:702, point 63).
76 Des limitations peuvent donc être apportées à ces droits, pourvu que, conformément à l’article 52, paragraphe 1, première phrase, de la Charte, elles soient prévues par la loi et qu’elles respectent le contenu essentiel desdits droits. En outre, selon la seconde phrase de ce paragraphe, dans le respect du principe de proportionnalité, de telles limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. À cet égard, l’article 8, paragraphe 2, de la Charte précise que les données à caractère personnel doivent, notamment, être traitées « à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ».
a) Sur le respect du principe de légalité
77 En ce qui concerne l’exigence, posée à l’article 52, paragraphe 1, première phrase, de la Charte, selon laquelle toute limitation de l’exercice des droits reconnus par celle-ci doit être prévue par la loi, il importe de rappeler que cette exigence implique que l’acte qui permet l’ingérence dans ces droits doit définir lui‑même la portée de la limitation de l’exercice du droit concerné, étant précisé, d’une part, que cette exigence n’exclut pas que la limitation en cause soit formulée dans des termes suffisamment ouverts pour pouvoir s’adapter à des cas de figure différents ainsi qu’aux changements de situations et, d’autre part, que la Cour peut, le cas échéant, préciser, par voie d’interprétation, la portée concrète de la limitation au regard tant des termes mêmes de la réglementation de l’Union en cause que de son économie générale et des objectifs qu’elle poursuit, tels qu’interprétés à la lumière des droits fondamentaux garantis par la Charte (arrêt du 21 juin 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, point 114).
78 En l’occurrence, les limitations de l’exercice des droits fondamentaux garantis aux articles 7 et 8 de la Charte découlant de l’obligation d’intégrer deux empreintes digitales complètes dans le support de stockage des cartes d’identité délivrées par les États membres ainsi que les conditions d’application et la portée de ces limitations sont définies de manière claire et précise par l’article 3, paragraphe 5, et l’article 10, paragraphes 1 et 3, du règlement 2019/1157, adoptés par le législateur de l’Union selon la procédure législative ordinaire et dont les effets seront maintenus par le présent arrêt.
79 Par conséquent, lesdites limitations de l’exercice des droits fondamentaux garantis aux articles 7 et 8 de la Charte satisfont au principe de légalité visé à l’article 52, paragraphe 1, première phrase, de la Charte.
b) Sur le respect du contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte
80 Il y a lieu de constater que les informations fournies par les empreintes digitales ne permettent pas, à elles seules, d’avoir un aperçu de la vie privée et familiale des personnes concernées.
81 Dans ces conditions, la limitation qu’emporte l’obligation d’intégrer deux empreintes digitales dans le support de stockage des cartes d’identité délivrées par les États membres, prévue à l’article 3, paragraphe 5, du règlement 2019/1157, ne porte pas atteinte au contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte (voir, par analogie, arrêt du 21 juin 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, point 120).
c) Sur le respect du principe de proportionnalité
82 Ainsi qu’il ressort de l’article 52, paragraphe 1, seconde phrase, de la Charte, pour que des limitations de l’exercice des droits fondamentaux garantis par celle-ci puissent être apportées dans le respect du principe de proportionnalité, ces limitations doivent être nécessaires et répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.
83 Plus spécifiquement, les dérogations à la protection des données à caractère personnel et les limitations de celles-ci s’opèrent dans les limites du strict nécessaire, étant entendu que, lorsqu’un choix s’offre entre plusieurs mesures appropriées à la satisfaction des objectifs légitimes poursuivis, il convient de recourir à la moins contraignante de celles-ci. En outre, un objectif d’intérêt général ne saurait être légitimement poursuivi sans tenir compte du fait qu’il doit être concilié avec les droits fondamentaux concernés par la mesure en cause, ce en effectuant une pondération équilibrée entre, d’une part, l’objectif d’intérêt général et, d’autre part, les droits concernés, afin d’assurer que les inconvénients causés par cette mesure ne soient pas démesurés par rapport aux buts visés. Ainsi, la possibilité de justifier une limitation aux droits garantis aux articles 7 et 8 de la Charte doit être appréciée en mesurant la gravité de l’ingérence que comporte une telle limitation et en vérifiant que l’importance de l’objectif d’intérêt général poursuivi par cette limitation est en relation avec cette gravité (arrêt du 22 novembre 2022, Luxembourg Business Registers, C‑37/20 et C‑601/20, EU:C:2022:912, point 64 ainsi que jurisprudence citée).
84 En conséquence, pour vérifier si, en l’occurrence, les ingérences dans les droits garantis aux articles 7 et 8 de la Charte résultant de l’obligation d’intégrer deux empreintes digitales dans le support de stockage des cartes d’identité, prévue à l’article 3, paragraphe 5, du règlement 2019/1157, respectent le principe de proportionnalité, il convient d’examiner, premièrement, si cette mesure poursuit un ou plusieurs objectifs d’intérêt général reconnus par l’Union et est effectivement apte à réaliser ces objectifs, deuxièmement, si les ingérences qui en résultent sont limitées au strict nécessaire, en ce sens que lesdits objectifs ne pourraient raisonnablement être atteints de manière aussi efficace par d’autres moyens moins attentatoires à ces droits fondamentaux des personnes concernées, et, troisièmement, si lesdites ingérences ne sont pas disproportionnées par rapport aux objectifs, ce qui implique notamment une pondération de ces objectifs et de la gravité desdites ingérences (voir, en ce sens, arrêts du 22 novembre 2022, Luxembourg Business Registers, C‑37/20 et C‑601/20, EU:C:2022:912, point 66, ainsi que du 8 décembre 2022, Orde van Vlaamse Balies e.a., C‑694/20, EU:C:2022:963, point 42).
1) Sur la poursuite d’un ou de plusieurs objectifs d’intérêt général reconnus par l’Union et l’aptitude de la mesure à atteindre ces objectifs
i) Sur le caractère d’intérêt général des objectifs poursuivis par la mesure en cause
85 Conformément à son article 1er, le règlement 2019/1157 a pour objet de renforcer les normes de sécurité applicables, notamment, aux cartes d’identité délivrées par les États membres à leurs ressortissants lorsqu’ils exercent leur droit à la libre circulation.
86 Plus spécifiquement et ainsi qu’il ressort des considérants 4, 5, 17 à 20 et 32 du règlement 2019/1157, l’intégration des données biométriques, parmi lesquelles figurent deux empreintes digitales complètes, dans le support de stockage des cartes d’identité vise à garantir l’authenticité desdites cartes ainsi qu’à permettre l’identification fiable de leur titulaire, tout en contribuant, conformément aux considérants 23 et 33 ainsi qu’à l’article 3, paragraphe 5, de ce règlement, à l’interopérabilité des systèmes de vérification des documents d’identification, en vue de réduire le risque de falsification et de fraude documentaire.
87 Or, la Cour a déjà eu l’occasion de juger, à propos de la délivrance des passeports (voir, en ce sens, arrêt du 17 octobre 2013, Schwarz, C‑291/12, EU:C:2013:670, points 36 à 38) ainsi que de l’établissement d’un fichier d’identification des ressortissants de pays tiers (voir, en ce sens, arrêt du 3 octobre 2019, A e.a., C‑70/18, EU:C:2019:823, point 46 ainsi que jurisprudence citée), que la lutte contre la fraude documentaire, laquelle comprend, notamment, la lutte contre la fabrication de fausses cartes d’identité et contre l’usurpation d’identité, constitue un objectif d’intérêt général reconnu par l’Union.
88 Quant à l’objectif d’interopérabilité des systèmes de vérification des documents d’identification, celui-ci a également un tel caractère puisque, ainsi qu’il ressort du considérant 17 du règlement 2019/1157, il contribue à faciliter l’exercice, par les citoyens de l’Union, du droit que leur reconnaît l’article 20 TFUE de circuler et de séjourner librement sur le territoire des États membres.
ii) Sur l’aptitude de la mesure en cause à répondre effectivement aux objectifs d’intérêt général poursuivis
89 En l’occurrence, l’intégration de deux empreintes digitales complètes dans le support de stockage des cartes d’identité est apte à réaliser les objectifs d’intérêt général de lutte contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi que d’interopérabilité des systèmes de vérification, mis en avant par le législateur de l’Union pour justifier cette mesure.
90 En effet, tout d’abord, l’intégration de données biométriques, telles que des empreintes digitales, dans les cartes d’identité est susceptible de rendre plus difficile la fabrication de fausses cartes d’identité, dans la mesure où, notamment, conformément à l’article 3, paragraphe 5, du règlement 2019/1157, lu en combinaison avec l’article 14, paragraphes 1 et 2, de ce règlement, de telles données doivent être stockées selon des spécifications techniques précises et susceptibles d’être tenues secrètes.
91 Ensuite, l’intégration de telles données biométriques constitue un moyen permettant, conformément à l’article 11, paragraphe 6, et aux considérants 18 et 19 du règlement 2019/1157, de vérifier, de manière fiable, l’authenticité de la carte d’identité et l’identité du titulaire de la carte, et de réduire ainsi le risque de fraude.
92 Enfin, le choix du législateur de l’Union de prévoir l’intégration des empreintes digitales complètes apparaît également comme étant apte à réaliser l’objectif d’interopérabilité des systèmes de vérification des cartes d’identité puisque le recours aux empreintes digitales complètes permet d’assurer une compatibilité avec l’ensemble des systèmes automatisés d’identification des empreintes digitales utilisés par les États membres, alors même que de tels systèmes n’ont pas nécessairement recours au même mécanisme d’identification.
93 La juridiction de renvoi fait encore observer que l’article 3, paragraphe 7, du règlement 2019/1157 autorise, à son premier alinéa, les États membres à exempter du recueil de leurs empreintes digitales notamment les enfants de moins de douze ans et leur impose même, à son deuxième alinéa, d’exempter les enfants de moins de six ans de ce recueil.
94 Certes, une législation n’est propre à garantir la réalisation de l’objectif invoqué que si les mesures qu’elle prévoit répondent véritablement au souci de l’atteindre et si elles sont mises en œuvre de manière cohérente et systématique (voir, par analogie, arrêt du 5 décembre 2023, Nordic Info, C‑128/22, EU:C:2023:951, point 84 et jurisprudence citée).
95 Toutefois, le règlement 2019/1157 satisfait à cette exigence alors même qu’il prévoit des exemptions à l’obligation de procéder au recueil des empreintes digitales des enfants, dès lors que, ainsi qu’il ressort de son considérant 26, ces exemptions visent à tenir compte de l’intérêt supérieur de l’enfant.
96 Il en va de même s’agissant de la règle énoncée à l’article 5 du règlement 2019/1157, selon laquelle les cartes d’identité qui ne satisfont pas aux exigences énoncées à l’article 3 de ce règlement ne perdent leur validité qu’à leur expiration ou au plus tard le 3 août 2031. En effet, le législateur de l’Union pouvait estimer qu’une telle période transitoire était appropriée en vue d’éviter aux États membres la charge d’émettre de nouvelles cartes d’identité pour l’ensemble des personnes concernées dans une période très brève, sans pour autant mettre en cause l’efficacité sur le long terme des mesures prévues par ce règlement.
97 Quant à la circonstance que certains États membres prévoient dans leur législation que les cartes d’identité qu’ils délivrent demeurent valables nonobstant le caractère défectueux du support électronique de stockage, il suffit de relever que de telles législations ne sont compatibles avec le règlement 2019/1157 que pour autant que la période transitoire mentionnée au point précédent n’est pas écoulée.
2) Sur le caractère nécessaire du recours à la mesure en cause aux fins de réaliser les objectifs d’intérêt général poursuivis
98 S’agissant, en premier lieu, du principe même d’intégrer des empreintes digitales dans le support de stockage des cartes d’identité, il doit être relevé que les empreintes digitales constituent des moyens fiables et efficaces pour établir avec certitude l’identité d’une personne et que le procédé utilisé aux fins de la collecte de ces empreintes est simple à mettre en œuvre.
99 En particulier, comme l’a relevé Mme l’avocate générale au point 90 de ses conclusions, la seule insertion d’une image faciale constituerait un moyen d’identification moins efficace que l’insertion, en sus de cette image, de deux empreintes digitales, puisque le vieillissement, le mode de vie, la maladie ou une intervention chirurgicale esthétique ou reconstructrice peuvent altérer les caractéristiques anatomiques du visage.
100 Il est vrai que l’analyse d’impact réalisée par la Commission accompagnant la proposition de règlement à l’origine du règlement 2019/1157 a indiqué que l’option consistant à ne pas rendre obligatoire l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité devait être privilégiée.
101 Toutefois, outre le fait que la Commission elle-même a choisi de ne pas retenir cette option dans sa proposition législative, il convient de relever que, si l’accord interinstitutionnel prévoit, à son point 14, que, lors de l’examen des propositions législatives de la Commission, le Parlement et le Conseil doivent tenir pleinement compte des analyses d’impact de la Commission, ce même accord indique, à son point 12, que de telles analyses « constituent un outil visant à aider les trois institutions à statuer en connaissance de cause et ne remplacent pas les décisions politiques prises dans le cadre du processus décisionnel démocratique ». Par conséquent, quoique tenus de prendre en considération les analyses d’impact de la Commission, le Parlement et le Conseil n’en sont pas pour autant liés par le contenu de celles-ci, en particulier s’agissant des appréciations qui y figurent (voir, en ce sens, arrêt du 21 juin 2018, Pologne/Parlement et Conseil, C‑5/16, EU:C:2018:483, point 159 ainsi que jurisprudence citée).
102 En conséquence, le seul fait que le législateur de l’Union ait retenu une mesure différente et, le cas échéant, plus contraignante que celle recommandée au terme de l’analyse d’impact n’est pas de nature à démontrer qu’il a dépassé les limites de ce qui était nécessaire pour atteindre l’objectif visé (voir, en ce sens, arrêt du 4 mai 2016, Pillbox 38, C‑477/14, EU:C:2016:324, point 65).
103 En l’occurrence, l’analyse d’impact réalisée par la Commission a constaté que l’option consistant à rendre obligatoire l’intégration d’empreintes digitales dans le support de stockage des cartes d’identité était la plus efficace aux fins de la réalisation de l’objectif spécifique de lutte contre la fabrication de fausses cartes d’identité et d’amélioration de l’authentification documentaire. Dans ces conditions, l’option consistant à ne pas rendre obligatoire une telle intégration ne saurait, en tout état de cause, remettre en cause la nécessité, au sens de la jurisprudence rappelée au point 84 du présent arrêt, de la mesure retenue par le législateur de l’Union.
104 En second lieu, pour ce qui est de l’intégration des deux empreintes digitales complètes plutôt que de certains des points caractéristiques de ces empreintes (les « minuties »), d’une part, comme l’a relevé Mme l’avocate générale au point 93 de ses conclusions, les minuties ne présentent pas les mêmes garanties qu’une empreinte complète. D’autre part, l’intégration d’une empreinte complète est nécessaire à l’interopérabilité des systèmes de vérification des documents d’identification, ce qui constitue l’un des objectifs essentiels poursuivis. En effet, ainsi qu’il ressort du point 47 de l’avis 7/2018 et comme le souligne également la juridiction de renvoi, les États membres utilisent différentes technologies d’identification des empreintes digitales, de sorte que le fait de n’intégrer dans le support de stockage de la carte d’identité que certaines des caractéristiques d’une empreinte digitale aurait pour effet de compromettre la réalisation de l’objectif d’interopérabilité des systèmes de vérification des documents d’identification poursuivi par le règlement 2019/1157.
105 Il ressort des considérations qui précèdent que les limitations apportées aux droits fondamentaux garantis aux articles 7 et 8 de la Charte découlant de l’obligation d’intégrer deux empreintes digitales complètes dans le support de stockage apparaissent respecter les limites du strict nécessaire.
3) Sur l’existence d’une pondération entre, d’une part, la gravité de l’ingérence portée aux droits fondamentaux en présence et, d’autre part, les objectifs poursuivis par cette mesure
i) Sur la gravité de l’ingérence engendrée par la limitation à l’exercice des droits garantis aux articles 7 et 8 de la Charte
106 L’appréciation de la gravité de l’ingérence qu’opère une limitation aux droits garantis aux articles 7 et 8 de la Charte implique de tenir compte de la nature des données à caractère personnel concernées, en particulier du caractère éventuellement sensible de ces données, ainsi que de la nature et des modalités concrètes du traitement des données, en particulier du nombre de personnes qui ont accès à ces données et des modalités d’accès à ces dernières. Le cas échéant, doit également être prise en considération l’existence de mesures visant à prévenir le risque que ces données ne fassent l’objet de traitements abusifs.
107 En l’occurrence, la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte résultant du règlement 2019/1157 est certes susceptible de concerner un grand nombre de personnes, ce nombre ayant été évalué par la Commission dans son analyse d’impact à 370 millions d’habitants sur les 440 millions que comptait alors l’Union. Les empreintes digitales, en tant que données biométriques, revêtent, par nature, une sensibilité particulière, jouissant, ainsi qu’il ressort notamment du considérant 51 du RGPD, d’une protection spécifique en droit de l’Union.
108 Toutefois, il importe de souligner que le recueil et le stockage de deux empreintes digitales complètes ne sont autorisés par le règlement 2019/1157 qu’en vue de l’intégration de ces empreintes digitales dans le support de stockage des cartes d’identité.
109 En outre, il découle de l’article 3, paragraphe 5, de ce règlement, lu en combinaison avec l’article 10, paragraphe 3, de celui-ci, que, une fois cette intégration réalisée et la carte d’identité remise à la personne concernée, les empreintes digitales collectées sont conservées uniquement dans le support de stockage de ladite carte, laquelle est, en principe, physiquement détenue par cette personne.
110 Enfin, le règlement 2019/1157 prévoit un ensemble de garanties visant à limiter les risques que, à l’occasion de sa mise en œuvre, des données personnelles soient collectées ou utilisées à d’autres fins que la réalisation des objectifs qu’il poursuit, et ce non seulement en ce qui concerne les opérations de traitement de données personnelles que ce règlement rend obligatoires, mais aussi au regard des principaux traitements dont sont susceptibles de faire l’objet les empreintes digitales intégrées dans le support de stockage des cartes d’identité.
111 Ainsi, s’agissant, premièrement, de la collecte des données, l’article 10, paragraphes 1 et 2, du règlement 2019/1157 énonce que les éléments d’identification biométriques sont recueillis « exclusivement par du personnel qualifié et dûment habilité » et que ce personnel doit se conformer à « des procédures appropriées et efficaces pour le recueil des éléments d’identification biométriques », ces procédures devant respecter les droits et les principes énoncés dans la Charte, la convention de sauvegarde des droits de l’homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l’enfant. En outre, comme il a été relevé au point 93 du présent arrêt, l’article 3, paragraphe 7, de ce règlement contient des règles spéciales pour les enfants de moins de douze ans (premier et deuxième alinéas) ainsi que pour les personnes dont il est physiquement impossible de relever les empreintes digitales (troisième alinéa), ces dernières personnes étant « exemptées de l’obligation de les donner ».
112 Pour ce qui est, deuxièmement, du stockage des données, d’une part, le règlement 2019/1157 oblige les États membres à procéder au stockage, comme données biométriques, d’une image faciale et de deux empreintes digitales. À cet égard, le considérant 21 de ce règlement précise expressément que celui-ci ne fournit pas « de base juridique pour la création ou la tenue à jour de bases de données au niveau national pour le stockage de données biométriques dans les États membres, qui relève du droit national, qui doit respecter le droit de l’Union en matière de protection des données » pas plus qu’il ne fournit « de base juridique pour la création ou la tenue à jour d’une base de données centralisée au niveau de l’Union ». D’autre part, l’article 10, paragraphe 3, dudit règlement prévoit que ces « éléments d’identification biométriques [...] sont conservés [...] uniquement jusqu’à la date de remise du document et, en tout état de cause, pas plus de 90 jours à compter de la date de délivrance du document » et précise que, « [a]près ce délai, ces éléments d’identification biométriques sont immédiatement effacés ou détruits ».
113 Il en résulte notamment que l’article 10, paragraphe 3, du règlement 2019/1157 ne permet pas aux États membres de traiter les données biométriques à des fins autres que celles prévues par ce règlement. En outre, cette même disposition s’oppose à une conservation centralisée d’empreintes digitales allant au-delà du stockage provisoire de ces empreintes aux fins de la personnalisation des cartes d’identité.
114 Enfin, l’article 11, paragraphe 6, du règlement 2019/1157 évoque la possibilité que les données biométriques contenues dans le support de stockage sécurisé puissent être utilisées, conformément au droit de l’Union et au droit national, par le personnel dûment autorisé des autorités nationales compétentes et des agences de l’Union.
115 S’agissant du point a) de cette disposition, il n’autorise l’utilisation des données biométriques stockées sur le support de stockage des cartes d’identité et des documents de séjour qu’aux fins de vérifier l’authenticité de la carte d’identité ou du document de séjour.
116 Quant au point b) de ladite disposition, il prévoit que les données biométriques stockées sur le support de stockage des cartes d’identité et des documents de séjour peuvent être utilisées pour vérifier l’identité du titulaire « grâce à des éléments comparables directement disponibles lorsque la loi exige la présentation de la carte d’identité ou du document de séjour ». Or, un tel traitement étant susceptible de fournir des informations supplémentaires sur la vie privée des personnes concernées, il ne saurait avoir lieu qu’à des fins strictement limitées à l’identification de la personne concernée et dans des conditions précisément délimitées par la loi exigeant la présentation de la carte d’identité ou du document de séjour.
117 En ce qui concerne, troisièmement, la consultation des données biométriques enregistrées dans le support de stockage des cartes d’identité, il importe de souligner que le considérant 19 du règlement 2019/1157 pose un ordre de priorité dans l’emploi des moyens de vérification de l’authenticité du document et de l’identité du titulaire, en prévoyant que les États membres doivent « vérifier en priorité l’image faciale » et, si nécessaire, pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire, « vérifier les empreintes digitales ».
118 Pour ce qui est, quatrièmement, du risque d’accès non autorisé aux données stockées, l’article 3, paragraphes 5 et 6, du règlement 2019/1157 prévoit, pour limiter au maximum ce risque, que les empreintes digitales sont stockées sur un « support de stockage hautement sécurisé », ayant « une capacité et une aptitude suffisantes pour garantir l’intégrité, l’authenticité et la confidentialité des données ». De plus, il résulte de l’article 3, paragraphe 10, de ce règlement que, « lorsque les États membres stockent des données pour des services électroniques tels que des services d’administration en ligne ou de commerce électronique dans les cartes d’identité, ces données nationales doivent être physiquement ou logiquement séparées », notamment, des empreintes digitales collectées et stockées sur le fondement dudit règlement. Enfin, il ressort des considérants 41 et 42 ainsi que de l’article 11, paragraphe 4, du même règlement que les États membres restent responsables du traitement correct des données biométriques, y compris lorsqu’ils coopèrent avec des prestataires de services extérieurs.
ii) Sur l’importance des objectifs poursuivis
119 Ainsi qu’il a été rappelé au point 86 du présent arrêt, l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité vise à lutter contre la fabrication de fausses cartes d’identité et l’usurpation d’identité ainsi qu’à assurer l’interopérabilité des systèmes de vérification des documents d’identification. Or, à ce titre, elle est de nature à contribuer à la protection de la vie privée des personnes concernées ainsi que, plus largement, à la lutte contre la criminalité et le terrorisme.
120 En outre, une telle mesure permet de répondre au besoin, pour tout citoyen de l’Union, de disposer de moyens de s’identifier de manière fiable et, pour les États membres, de s’assurer que les personnes qui se prévalent de droits reconnus par le droit de l’Union en sont bien titulaires. Elle contribue ainsi, en particulier, à faciliter l’exercice par les citoyens de l’Union de leur droit à la liberté de circulation et de séjour, laquelle constitue également un droit fondamental garanti à l’article 45 de la Charte. Ainsi, les objectifs poursuivis par le règlement 2019/1157, notamment au moyen de l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité, ont une importance particulière non seulement pour l’Union et les États membres, mais également pour les citoyens de l’Union.
121 Par ailleurs, la légitimité et l’importance de ces objectifs ne sont nullement remises en cause par la circonstance, évoquée par la juridiction de renvoi, que l’avis 7/2018 faisait état, à ses paragraphes 24 à 26, de ce que seulement 38 870 cas de cartes d’identité frauduleuses ont été détectés entre l’année 2013 et l’année 2017 et que ce chiffre était en baisse depuis plusieurs années.
122 En effet, à considérer même que le nombre de cartes d’identité frauduleuses soit faible, le législateur de l’Union n’était pas tenu d’attendre que ce nombre soit en augmentation pour adopter des mesures visant à prévenir le risque d’utilisation de telles cartes, mais pouvait, notamment dans un souci de maîtrise des risques, anticiper une telle évolution, pour autant que les autres conditions relatives au respect du principe de proportionnalité fussent respectées.
iii) Mise en balance
123 Eu égard à ce qui précède, il doit être constaté que la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte résultant de l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité n’apparaît pas être, compte tenu de la nature des données en cause, de la nature et des modalités des opérations de traitement ainsi que des mécanismes de sauvegarde prévus, d’une gravité qui serait disproportionnée par rapport à l’importance des différents objectifs que cette mesure poursuit. Ainsi, une telle mesure doit être considérée comme étant fondée sur une pondération équilibrée entre, d’une part, ces objectifs et, d’autre part, les droits fondamentaux en présence.
124 Par conséquent, la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte ne méconnaît pas le principe de proportionnalité, de sorte que le troisième motif n’est pas de nature à entraîner l’invalidité du règlement 2019/1157.
125 Il découle de l’ensemble des considérations qui précèdent que le règlement 2019/1157 est invalide en ce qu’il a été adopté sur le fondement de l’article 21, paragraphe 2, TFUE.
IV. Sur le maintien dans le temps des effets du règlement 2019/1157
126 Les effets d’un acte déclaré invalide peuvent être maintenus pour des motifs de sécurité juridique, notamment lorsque les effets immédiats de l’arrêt constatant cette invalidité entraîneraient des conséquences négatives graves pour les personnes concernées (voir, en ce sens, arrêt du 17 mars 2016, Parlement/Commission, C‑286/14, EU:C:2016:183, point 67).
127 En l’occurrence, l’invalidation du règlement 2019/1157 avec effet immédiat serait susceptible de produire des conséquences négatives graves pour un nombre important de citoyens de l’Union, en particulier pour leur sûreté dans l’espace de liberté, de sécurité et de justice.
128 Dans ces conditions, la Cour décide qu’il y a lieu de maintenir les effets de ce règlement jusqu’à l’entrée en vigueur, dans un délai raisonnable qui ne saurait excéder deux ans à compter du 1er janvier de l’année suivant la date de prononcé du présent arrêt, d’un nouveau règlement, fondé sur l’article 77, paragraphe 3, TFUE, appelé à le remplacer.
V. Sur les dépens
129 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (grande chambre) dit pour droit :
1) Le règlement (UE) 2019/1157 du Parlement européen et du Conseil, du 20 juin 2019, relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation, est invalide.
2) Les effets du règlement 2019/1157 sont maintenus jusqu’à l’entrée en vigueur, dans un délai raisonnable qui ne saurait excéder deux ans à compter du 1er janvier de l’année suivant la date de prononcé du présent arrêt, d’un nouveau règlement, fondé sur l’article 77, paragraphe 3, TFUE, appelé à le remplacer.