Le 16 avril 2015, la Cour de justice de l’UE (CJUE) a rendu un arrêt considérant que les Etats membres ne sont pas obligés de garantir aux citoyens que les données biométriques contenues dans les passeports ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport. Cet arrêt a été prononcé dans le cadre des affaires Willems (C-446/12), Kooistra (C-447/12), Roest (C-448/12) et van Luijk (C-449/12) concernant des citoyens néerlandais qui, en 2012, avaient refusé de fournir leurs empreintes digitales pour la délivrance d’un passeport (M. Willems et Mmes Roest et Van Luijk) ou de fournir leurs empreintes digitales et une photo faciale pour la délivrance d’une carte d’identité (M. Kooistra) au motif que cela constituait une atteinte à leur intégrité physique et une limitation à leur droit à la protection de leur vie privée.
En effet, aux Pays-Bas, les données biométriques ne sont pas stockées uniquement dans le support du passeport ou de la carte d’identité, mais également dans des bases de données décentralisées (qui seront réunies, à terme, dans une base de données centralisée). En outre, les personnes concernées craignaient que les données biométriques ne soient utilisées à des fins judiciaires ou bien par les services de renseignements et de sécurité, alors qu’elles ne peuvent normalement être utilisées, en vertu du règlement (CE) n°444/2009, que pour vérifier l’authenticité du document et l’identité du titulaire.
Les demandes de carte d’identité ou de passeport avaient alors été rejetées par les autorités néerlandaises.
Saisi de ces affaires, le Conseil d’État néerlandais, Raad van State, a alors demandé à la Cour de justice de l’UE si les États membres devaient garantir aux citoyens que leurs données biométriques ne seront pas utilisées à des fins autres que la délivrance du passeport ou du document de voyage.
Dans son arrêt du 16 avril 2015, la CJUE a considéré que les cartes d’identité ne tombent pas dans le champ d’application du règlement de l’UE (qui ne couvre que les passeports et autres documents de voyage), si bien que l’affaire de M. Kooistra ne relève pas du droit de l’Union.
Concernant les autres affaires, la Cour a rappelé qu’aux fins de l’application du règlement européen, les données biométriques ne peuvent être utilisées que pour vérifier l’authenticité du passeport ou l’identité du titulaire. Cependant, le règlement n’empêche pas toute autre utilisation ou conservation de ces données en application de la législation nationale des États membres (article 4 du règlement CE n°444/2009), puisque cet aspect relève de la compétence exclusive des États membres, précise l’arrêt.
Il s’ensuit donc que les États membres ne sont pas obligés de garantir aux citoyens que leurs données biométriques ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage.