CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PAOLO MENGOZZI

présentées le 13 juin 2013 ( 1 )

Affaire C‑291/12

Michael Schwarz

contre

Stadt Bochum

[demande de décision préjudicielle formée par le Verwaltungsgericht Gelsenkirchen (Allemagne)]

«Espace de liberté, de sécurité et de justice — Normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres — Article 1er, paragraphe 2, du règlement (CE) no 2252/2004, tel que modifié par le règlement (CE) no 444/2009 — Droit à la protection des données à caractère personnel»

Table des matières

 

I – Introduction

 

II – Le cadre juridique

 

A – Le droit de l’Union

 

B – Le droit allemand

 

III – Le litige au principal et la question préjudicielle

 

IV – La procédure devant la Cour

 

V – Analyse juridique

 

A – Sur la prétendue insuffisance de la base juridique

 

1. Le contenu et la finalité du règlement no 2252/2004 tel que modifié

 

2. Le caractère idoine de l’article 62, point 2, sous a), CE comme base juridique du règlement no 2252/2004 tel que modifié

 

B – Sur la prétendue violation de l’obligation de consultation du Parlement

 

C – Sur la prétendue violation du droit fondamental à la protection des données à caractère personnel

 

1. Remarques liminaires sur la place des droits fondamentaux dans le contexte du règlement no 2252/2004 tel que modifié

 

2. L’obligation contenue à l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié constitue une atteinte au droit fondamental à la protection des données à caractère personnel prévue par la loi et poursuivant un objectif d’intérêt général reconnu par l’Union

 

3. Sur le caractère proportionné de l’atteinte

 

a) La limitation est apte à poursuivre l’objectif d’intérêt général reconnu par l’Union

 

b) L’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié est nécessaire à la réalisation de l’objectif d’intérêt général reconnu par l’Union

 

c) Remarques finales

 

VI – Conclusion

I – Introduction

1.

«Le recours à la biométrie dans les systèmes d’information n’est jamais anodin, surtout si le nombre d’individus concernés est très important. [E]n rendant possible la mesure des caractéristiques du corps humain par des machines et en permettant l’utilisation ultérieure de ces caractéristiques, la biométrie modifie définitivement la relation entre corps et identité. Même si les données biométriques ne sont pas accessibles à l’œil nu, des outils appropriés en permettent la lecture et l’utilisation, pour toujours et où que puisse se rendre la personne concernée.»

2.

Cet avertissement du Contrôleur européen de la protection des données ( 2 ) a une résonance particulière alors qu’il est aujourd’hui demandé à la Cour de statuer sur la validité, notamment au regard du droit fondamental à la protection des données à caractère personnel tel que consacré par la charte des droits fondamentaux de l’Union européenne (ci-après la «Charte»), de l’obligation, imposée aux États membres par le règlement (CE) no 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres ( 3 ), tel que modifié par le règlement (CE) no 444/2009 du Parlement européen et du Conseil, du 28 mai 2009 ( 4 ) (ci-après le «règlement no 2252/2004 tel que modifié»), de ne délivrer des passeports à leurs ressortissants qu’à la condition que ces derniers se soient soumis au relevé obligatoire de deux de leurs empreintes digitales dont l’image est, par ailleurs, stockée dans le passeport lui-même.

II – Le cadre juridique

A – Le droit de l’Union

3.

L’article 1er, paragraphe 2, du règlement no 2252/2004 énonçait que «[l]es passeports et les documents de voyage comportent un support de stockage qui contient une photo faciale. Les États membres ajoutent des empreintes digitales enregistrées dans des formats interopérables. Les données sont sécurisées et le support de stockage est doté d’une capacité suffisante afin de garantir l’intégrité, l’authenticité et la confidentialité des données».

4.

L’article 1er du règlement no 444/2009 a modifié l’article 1er, paragraphe 2, du règlement no 2252/2004 qui se lit désormais comme suit:

«Les passeports et les documents de voyage comportent un support de stockage de haute sécurité qui contient une photo faciale. Les États membres ajoutent deux empreintes digitales relevées à plat, enregistrées dans des formats interopérables. Les données sont sécurisées et le support de stockage est doté d’une capacité suffisante et de l’aptitude à garantir l’intégrité, l’authenticité et la confidentialité des données.»

B – Le droit allemand

5.

L’article 4, paragraphe 3, de la loi sur les passeports (Passgesetz) du 19 avril 1986, modifiée en dernier lieu par la loi du 30 juillet 2009 ( 5 ), dispose:

«En application du règlement [no 2252/2004], le passeport ordinaire, le passeport de service et le passeport diplomatique doivent comporter un support de stockage électronique contenant la photo, les empreintes digitales, la désignation des doigts correspondants, les indications relatives à la qualité des empreintes ainsi que celles figurant au paragraphe 2, deuxième phrase. Les données enregistrées doivent être protégées contre toute lecture, modification et effacement non autorisés. Il n’est pas établi de base de données fédérale pour les éléments biométriques au sens de la première phrase.»

III – Le litige au principal et la question préjudicielle

6.

M. Schwarz, de nationalité allemande, a sollicité, auprès des services compétents de la Stadt Bochum (la ville de Bochum), la délivrance d’un passeport tout en s’opposant au relevé obligatoire de ses empreintes digitales. Le 8 novembre 2007, considérant qu’un passeport ne pouvait être délivré sans le relevé obligatoire des empreintes digitales, lesdits services ont refusé, en invoquant l’article 4, paragraphe 3, de la loi sur les transports du 19 avril 1986, modifiée en dernier lieu par la loi du 30 juillet 2009, de délivrer ledit document.

7.

À la suite de cette décision, le requérant au principal a introduit un recours afin que la juridiction de renvoi enjoigne à la Stadt Bochum de lui délivrer un passeport sans relever ses empreintes digitales. À cette fin, il argue notamment du fait que l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié, qui constitue la source de l’obligation faite aux États membres de relever deux empreintes digitales de toute personne désirant se voir délivrer un passeport, serait invalide.

8.

Partageant les incertitudes du requérant au principal, la juridiction de renvoi doute de la suffisance de l’article 62, point 2, sous a), CE en tant que base juridique pour adopter l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié. En outre, elle s’interroge sur le fait de savoir si l’absence de consultation du Parlement européen, après que le Conseil de l’Union européenne a transformé la faculté de relever des empreintes digitales, initialement contenue dans le projet de règlement, en obligation, constitue un vice de procédure susceptible d’affecter la validité dudit article 1er. Enfin, elle fait remarquer qu’un autre motif d’invalidité de cet article pourrait être tiré du fait qu’il violerait le droit fondamental à la protection des données à caractère personnel découlant de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la «CEDH»), et consacré par l’article 8 de la Charte.

9.

C’est dans ces circonstances que le Verwaltungsgericht Gelsenkirchen a décidé de surseoir à statuer et, par décision de renvoi parvenue au greffe de la Cour le 12 juin 2012, de saisir cette dernière, sur le fondement de l’article 267 TFUE de la question préjudicielle suivante:

«Faut-il considérer comme valide l’article 1er, paragraphe 2, du règlement [no 2252/2004, tel que modifié par le règlement no 444/2009]?»

IV – La procédure devant la Cour

10.

Le requérant au principal, la Stadt Bochum, les gouvernements allemand et polonais, le Parlement, le Conseil ainsi que la Commission européenne ont déposé des observations écrites devant la Cour.

11.

Lors de l’audience qui s’est tenue le 13 mars 2013, ont formulé oralement leurs observations le requérant au principal, le gouvernement allemand, le Parlement, le Conseil ainsi que la Commission.

V – Analyse juridique

12.

J’examinerai les trois motifs d’invalidité allégués de manière successive, à savoir l’insuffisance de la base juridique, l’existence d’un vice de procédure qui aurait entaché l’adoption du règlement no 2252/2004 tel que modifié ainsi que la violation alléguée de l’article 8 de la Charte.

A – Sur la prétendue insuffisance de la base juridique

13.

Le règlement no 2252/2004, comme le règlement no 444/2009, a pour base juridique l’article 62, point 2, sous a), CE, aux termes duquel «[l]e Conseil, statuant conformément à la procédure visée à l’article 67, arrête […] 2) des mesures relatives au franchissement des frontières extérieure des États membres qui fixent […] a) les normes et les modalités auxquelles doivent se conformer les États membres pour effectuer les contrôles des personnes aux frontières extérieures».

14.

Le requérant au principal soutient que, de manière générale, l’article 18, paragraphe 3, CE ( 6 ) faisait interdiction aux institutions d’adopter une législation en matière de passeports détenus par les citoyens européens. En tout état de cause, une législation relative aux passeports détenus par les citoyens de l’Union ne pourrait être valablement fondée sur ledit article 62, car la notion de «contrôles des personnes aux frontières extérieures» au sens de cet article exclurait les mesures concernant les seuls citoyens de l’Union. En outre, les passeports délivrés aux citoyens de l’Union ne serviraient pas spécifiquement aux contrôles aux frontières extérieures de celle-ci. Enfin, l’obligation de relever les empreintes digitales prévue à l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié ne ressortirait pas du champ d’action décrit par l’article 62, point 2, sous a), CE, puisqu’elle ne relèverait pas de la notion de «normes» ou de «modalités auxquelles doivent se conformer les États membres pour effectuer les contrôles des personnes aux frontières extérieures».

15.

Il faut immédiatement écarter l’argument relatif à l’article 18, paragraphe 3, CE dont l’effet était seulement d’exclure que des dispositions relatives aux passeports puissent être adoptées sur le fondement des dispositions du traité relatives à la citoyenneté européenne et, plus précisément, sur le fondement de l’article 18, paragraphe 2, CE. Il ne découlait pas, en revanche, de l’article 18, paragraphe 3, CE une interdiction générale faite aux institutions d’adopter toute réglementation relative aux passeports.

16.

La contestation relative à l’utilisation exclusive de l’article 62, point 2, sous a), CE comme base juridique est plus sérieuse. Certes, la Cour a déjà été saisie d’un recours en annulation introduit à l’encontre du règlement no 2252/2004 par le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord ( 7 ). Dans le cadre de ce recours, la question de la base juridique a été à peine abordée par la Cour, de manière très générique ( 8 ). Elle semble n’avoir jamais douté du fait que le règlement no 2252/2004 était fondé sur une base juridique correcte. Cela étant, ladite question étant clairement posée à la Cour dans le cadre du présent renvoi préjudiciel et portant sur la validité de l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié, elle mérite un traitement plus approfondi dans le cadre des présentes conclusions.

17.

Or, pour vérifier si l’article 62, point 2, sous a), CE est idoine pour constituer la base juridique de l’acte en question, il y a lieu de rappeler l’affirmation itérative de la Cour selon laquelle, dans le cadre du système de compétences de l’Union européenne, «le choix de la base juridique d’un acte doit se fonder sur des éléments objectifs susceptibles de contrôle juridictionnel, parmi lesquels figurent, notamment, le but et le contenu de l’acte» ( 9 ). Afin de s’assurer de la suffisance de l’article 62, point 2, sous a), CE en tant que base juridique du règlement no 2252/2004 tel que modifié, il y a donc lieu, dans un premier temps, de déterminer la finalité et le contenu dudit règlement avant de vérifier si un tel contenu et une telle finalité pouvaient être adéquatement définis dans le cadre d’un règlement adopté sur le fondement d’une telle base juridique.

1. Le contenu et la finalité du règlement no 2252/2004 tel que modifié

18.

Quant à la finalité poursuivie, il ressort de l’intitulé même du règlement no 2252/2004 que celui-ci vise à établir des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports délivrés par les États membres.

19.

L’insertion dans les passeports d’éléments biométriques, parmi lesquels deux empreintes digitales, en même temps que l’harmonisation des éléments de sécurité, poursuit l’objectif de rendre plus fiable le lien entre le passeport et son détenteur et de lutter contre sa falsification et son utilisation frauduleuse ( 10 ), objectif qui a été jugé, selon la Cour, comme constituant la finalité du règlement no 2252/2004 ( 11 ).

20.

En outre, l’harmonisation des normes relatives aux éléments biométriques insérés dans les passeports tend à rendre cohérente l’approche au sein de l’Union en ce qui concerne lesdits éléments, notamment par rapport aux règles applicables en matière de visas délivrés aux ressortissants d’États tiers ( 12 ), afin que les passeports délivrés aux citoyens de l’Union ne présentent pas «des dispositifs de sécurité moins perfectionnés que ceux déjà prévus par les caractéristiques techniques du modèle type de visa et du modèle uniforme de titre de séjour pour les ressortissants de pays tiers» ( 13 ).

21.

Enfin, le considérant 9 du règlement no 2252/2004 mentionne «l’objectif fondamental que constituent l’instauration des normes de sécurité communes et l’intégration d’identificateurs biométriques interopérables», objectif qui nécessite, selon le législateur de l’Union, de fixer des règles pour tous les États membres qui mettent en œuvre la convention d’application de l’accord de Schengen du 14 juin 1985 ( 14 ). Partant, le règlement no 2252/2004 tel que modifié poursuit également l’objectif de «simplifier les contrôles aux frontières» ( 15 ) par l’harmonisation des normes de sécurité communes.

22.

À mon sens, l’objectif essentiel poursuivi par le règlement no 2252/2004 tel que modifié ne peut être saisi que s’il est replacé dans le contexte plus large du système dans lequel son adoption s’est inscrite, et une attention particulière doit être apportée aux rapports qu’il entretient avec le système né de l’accord de Schengen. Or, précisément, les considérants 10 à 14 rappellent que ledit règlement est conçu comme un développement des dispositions de l’acquis de Schengen, ce que la Cour a d’ailleurs eu l’occasion de confirmer ( 16 ). C’est dans le cadre de cet acquis que la politique de gestion intégrée des frontières extérieures des États membres participant au système né de l’accord de Schengen a été précisée, et plus particulièrement les règles relatives au franchissement des frontières extérieures. En harmonisant le contenu et les caractéristiques techniques des documents de voyage que les citoyens de l’Union doivent avoir en leur possession au moment du franchissement des frontières extérieures, l’objectif poursuivi par le législateur dans le cadre du règlement no 2252/2004 tel que modifié contribue, à l’évidence, à celui, plus large, de la sécurisation desdites frontières.

23.

Du point de vue de son contenu et en toute cohérence avec sa finalité, le règlement no 2252/2004 tel que modifié contient, ainsi, trois types de dispositions. D’une part, il y a celles qui concernent l’obligation du relevé des empreintes digitales en tant que tel, les exemptions à cette obligation et les cas dans lesquels le relevé est impossible ( 17 ). D’autre part, il y a les dispositions consacrées au régime général attaché aux données contenues dans les passeports ( 18 ). Les autres dispositions ainsi que l’annexe dudit règlement sont dédiées aux aspects purement techniques des normes de sécurité minimales que les États membres doivent respecter lorsqu’ils délivrent des passeports. Sans prétendre à l’exhaustivité, je me bornerai ici à mentionner les spécifications techniques relatives au support de stockage, au type d’enregistrement, à la procédure même du relevé, aux modalités de la sécurisation des données, aux techniques d’impression ainsi qu’aux modalités de lecture et de conservation des données ( 19 ). Le règlement no 2252/2004 tel que modifié procède ainsi «à l’harmonisation et à l’amélioration des normes de sécurité minimales auxquelles doivent répondre les passeports […] délivrés par les États membres et prévoit l’insertion, dans ces [passeports], d’un certain nombre d’éléments biométriques concernant les titulaires de tels documents» ( 20 ).

2. Le caractère idoine de l’article 62, point 2, sous a), CE comme base juridique du règlement no 2252/2004 tel que modifié

24.

Les éléments décrits plus haut pouvaient-ils être adoptés sur le fondement de l’article 62, point 2, sous a), CE? Je le crois.

25.

D’une part, les éléments harmonisés par le règlement no 2252/2004 tel que modifié visent à uniformiser le contenu et les normes de sécurité en ce qui concerne les passeports délivrés par les États membres aux citoyens européens. Contrairement à ce que soutient le requérant au principal, il est incorrect de soutenir que l’article 62, point 2, sous a), CE ne peut servir de base juridique qu’à des mesures qui seraient relatives aux contrôles aux frontières extérieures des ressortissants d’États tiers. Le libellé dudit article 62 ne contient pas une telle limitation puisqu’il se borne à viser «les contrôles des personnes». Il ressort, en outre, clairement de l’acquis de Schengen que les citoyens de l’Union sont, eux aussi, soumis à une vérification minimale au moment du franchissement des frontières extérieures de l’Union ( 21 ). Ce contrôle, tout comme, plus généralement, le renforcement des garanties en ce qui concerne les frontières extérieures, est un corollaire nécessaire de l’absence de contrôle aux frontières intérieures de l’Union en même temps qu’un préalable à la pleine jouissance de la liberté de circulation sur le territoire de l’Union. Le règlement no 2252/2004 tel que modifié porte donc bien sur «les contrôles des personnes aux frontières extérieures» au sens de l’article 62, point 2, sous a), CE ( 22 ).

26.

D’autre part, ledit règlement fait obligation aux États membres de délivrer des passeports dont le contenu et les caractéristiques techniques sont harmonisés. Ce faisant, le législateur de l’Union s’assure que le contrôle des citoyens de l’Union aux frontières extérieures se déroule sur la même base et que l’identité desdits citoyens est vérifiée par les autorités nationales aux divers points de passage sur la base des mêmes données. Partant, il a contribué à rendre encore plus intégrée la politique de gestion desdites frontières ( 23 ). Le fait qu’il soit mis à la disposition de la police aux frontières de l’Union, au moment du contrôle des passeports des citoyens de l’Union, un ensemble homogène de données sécurisées tend à renforcer le niveau de sécurité des contrôles tout en les facilitant.

27.

Certes, l’obligation de relever deux empreintes digitales se traduit par une opération qui se situe en amont du contrôle lui-même. Il n’empêche qu’elle conditionne, à l’évidence, l’exercice du contrôle en tant que tel. Il me paraît donc un peu artificiel de prétendre que des dispositions relatives aux données incluses dans les passeports et devant être contrôlées lors du franchissement des frontières extérieures de l’Union ne pourraient pas être adoptées sur la base juridique servant aux contrôles eux-mêmes. Une approche rationnelle du contenu et de l’interprétation à donner à l’article 62, point 2, sous a), CE impose de reconnaître que l’obligation de relever deux empreintes digitales dans les conditions prévues à l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié, en ce qu’elle constitue un préalable indissociable de l’exercice du contrôle aux frontières extérieures des citoyens de l’Union, relève bien de la notion de «normes et […] modalités auxquelles doivent se conformer les États membres pour effectuer les contrôles des personnes aux frontières extérieures».

28.

Pour l’ensemble des raisons exposées ci-dessus, je considère que l’article 62, point 2, sous a), CE constitue une base juridique appropriée pour l’adoption du règlement no 2252/2004 tel que modifié.

B – Sur la prétendue violation de l’obligation de consultation du Parlement

29.

Les mesures qui ont pour base juridique l’article 62, point 2, sous a), CE devaient être adoptées par le Conseil conformément à la procédure prévue à l’article 67 CE. À la date à laquelle le règlement no 2252/2004 a été adopté, ladite procédure prévoyait que le Parlement devait être consulté ( 24 ). Le requérant au principal soutient que cette procédure n’a pas été respectée dans la mesure où le Parlement a été consulté à propos d’une proposition de règlement qui ne prévoyait que la simple faculté, pour les États membres, de prélever les empreintes digitales, alors que cette faculté a été transformée, dans le projet final, en une obligation, sans que le Parlement n’ait eu à se prononcer à cet égard.

30.

Il faut d’emblée relever que le vice de procédure allégué par le requérant au principal vise la procédure ayant abouti à l’adoption de l’article 1er, paragraphe 2, du règlement no 2252/2004. Or, la question de validité posée par la juridiction de renvoi porte clairement sur la validité de l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié ( 25 ). Il n’est pas contesté que ce dernier a été adopté, conformément à la possibilité ouverte par l’article 67, paragraphe 2, CE, suivant la procédure visée à l’article 251 CE, c’est-à-dire la procédure de codécision. Le vice de procédure allégué par le requérant au principal n’est donc pas de nature à affecter la validité de l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié.

31.

Cela étant, et afin de clore toute controverse à ce sujet, je tiens, malgré tout, à formuler quelques rapides observations afin de démontrer que l’article 1er, paragraphe 2, du règlement no 2252/2004 – dans sa version originale donc – n’était pas davantage entaché d’un vice de procédure.

32.

D’une part, il ressort d’une jurisprudence itérative de la Cour que «l’obligation de consulter le Parlement au cours de la procédure législative, dans les cas prévus par le traité, implique l’exigence d’une nouvelle consultation à chaque fois que le texte finalement adopté, considéré dans son ensemble, s’écarte dans sa substance même de celui sur lequel le Parlement a déjà été consulté» ( 26 ). Or, s’il est vrai que la proposition de règlement du Conseil présentée par la Commission prévoyait seulement la possibilité pour les États membres d’ajouter, parmi les données stockées dans les passeports, des empreintes digitales ( 27 ) et que cette possibilité a été transformée en une obligation dans la version finale du règlement, une telle transformation ne saurait constituer une modification substantielle, au sens de la jurisprudence de la Cour, nécessitant une nouvelle consultation du Parlement. La question de savoir si le relevé était facultatif ou obligatoire n’était alors pas la question essentielle qui se posait, car le Parlement devait, de toute manière, tenir compte de la possibilité que tous les États membres pouvaient décider d’exercer cette faculté.

33.

D’autre part, il résulte des éléments chronologiques fournis à la Cour que la proposition de règlement a été transmise au Parlement le 25 février 2004. L’accord politique au sein du Conseil afin de transformer la faculté de relever les empreintes digitales en une obligation s’est dégagé le 26 octobre 2004. Un nouveau document accompagné d’une lettre d’information a été transmis par le Conseil au Parlement le 24 novembre 2004. L’avis du Parlement ( 28 ) a été rendu le 2 décembre 2004, soit – certes – peu de temps après cette transmission, mais la présence d’une référence aux nouvelles orientations du Conseil dans les visas tend à démontrer que, au moment où il a rendu son avis, le Parlement était pleinement informé de ce changement dans l’approche du Conseil, changement à propos duquel il n’a témoigné aucune sorte de réaction. Le Parlement ne s’est d’ailleurs pas plaint d’une violation de l’obligation de consultation ni n’a contesté, au cours de l’audience, les précisions apportées quant au déroulement de la procédure de consultation en ce qui concerne le règlement no 2252/2004.

34.

Pour ces raisons, et bien que je demeure convaincu que la question de la légalité de la procédure d’adoption de l’article 1er, paragraphe 2, du règlement no 2252/2004 soit dépourvue de pertinence pour le litige au principal, il y a lieu de conclure que l’absence de nouvelle consultation du Parlement, après la transformation de la faculté de relever les empreintes digitales aux fins de leur stockage dans les passeports en une obligation, n’a pas eu pour conséquence d’entacher ladite adoption d’un vice de procédure.

C – Sur la prétendue violation du droit fondamental à la protection des données à caractère personnel

35.

La demande de décision préjudicielle se bornant à indiquer que l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié violerait également «la liberté d’entrer et de sortir, l’article 17 du pacte international relatif aux droits civils et politiques ainsi que divers principes d’égalité et d’interdiction de discrimination», sans exposer les raisons pour lesquelles la validité dudit article devrait être examinée à la lumière de ces libertés et principes ni même vérifier s’ils sont pertinents dans le cadre d’un tel contrôle, et étant donné que les parties intéressées ayant pris part à la procédure devant la Cour, y compris le requérant au principal, ont concentré leurs observations sur la violation du droit fondamental à la protection des données à caractère personnel, le raisonnement qui va suivre portera exclusivement sur l’examen de la validité de l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié au regard de ce droit fondamental.

36.

L’article 8, paragraphe 1, de la Charte consacre le droit de toute personne «à la protection des données à caractère personnel la concernant». Or, les empreintes digitales sont, à l’évidence, des données à caractère personnel ( 29 ). Plus particulièrement, le paragraphe 2 dudit article prévoit que «[c]es données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification».

37.

Toute limitation apportée à ce droit doit respecter les prescriptions de l’article 52, paragraphe 1, de la Charte. Ainsi doit-elle être prévue par la loi, respecter le contenu essentiel du droit en question et le principe de proportionnalité, c’est-à-dire être nécessaire et répondre effectivement à des objectifs d’intérêt général reconnu par l’Union ou au besoin de protection des droits et libertés d’autrui.

38.

Avant de vérifier concrètement la validité de l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié par rapport à l’article 8 de la Charte, je souhaite rappeler que la question des droits fondamentaux est loin d’être étrangère audit règlement. Je m’attacherai ensuite à démontrer que l’atteinte au droit fondamental à la protection des données à caractère personnel que constitue l’obligation de prélever et de stocker, aux fins de leur lecture, l’image de deux empreintes digitales est prévue par la loi et poursuit un objectif d’intérêt général reconnu par l’Union. Enfin, je prendrai position sur le caractère proportionné de cette atteinte.

1. Remarques liminaires sur la place des droits fondamentaux dans le contexte du règlement no 2252/2004 tel que modifié

39.

De manière liminaire, il faut relever que, comme le rappelle le considérant 8 du règlement no 2252/2004, dans le domaine de la protection des données devant être traitées dans le cadre de la délivrance des passeports, la directive 95/46 s’applique. Ladite directive, qui est mentionnée dans les explications concernant l’article 8 de la Charte, consacre une série de principes fondamentaux, par ailleurs également imposés par la Cour européenne des droits de l’homme ( 30 ), tels que le traitement loyal et licite ainsi que la collecte à des fins déterminées, explicites et légitimes de données adéquates, pertinentes, non excessives au regard des finalités poursuivies, exactes, actualisées et conservées de manière non permanente. Elle pose également le principe de la nécessité du consentement de la personne à ce que ses données soient traitées, tout en prévoyant une série d’exceptions, comme l’exécution d’une mission d’intérêt public ou relevant de l’exercice de la puissance publique ou encore comme la réalisation de l’intérêt légitime poursuivi ( 31 ). Autre élément essentiel, cette directive impose un droit d’accès des personnes concernées par le traitement de données à caractère personnel à toute une série d’informations ( 32 ), un droit d’opposition, sous certaines conditions ( 33 ), ainsi qu’un droit de recours juridictionnel ( 34 ).

40.

En outre, l’article 1er bis du règlement no 2252/2004, introduit par le règlement no 444/2009, soumet explicitement les procédures nationales de relevé des éléments biométriques au respect des «garanties prévues par la [CEDH] et par la convention des Nations unies relative aux droits de l’enfant» et exige que ces procédures garantissent la dignité des personnes concernées en cas de difficultés rencontrées lors du relevé.

41.

Les garanties offertes par le règlement no 2252/2004 tel que modifié doivent donc être lues ensemble avec celles offertes par la directive 95/46 et les références qu’il contient à la CEDH et à la dignité des personnes. L’examen de la validité de l’article 1er, paragraphe 2, dudit règlement doit donc être nécessairement mené en gardant présents à l’esprit ces éléments essentiels.

2. L’obligation contenue à l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié constitue une atteinte au droit fondamental à la protection des données à caractère personnel prévue par la loi et poursuivant un objectif d’intérêt général reconnu par l’Union

42.

D’une part, le relevé obligatoire par les autorités nationales compétentes dans les conditions décrites à l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié, leur enregistrement et leur stockage dans les passeports ainsi que la possibilité offerte à la police aux frontières de lire ces données en l’absence du consentement de l’intéressé constituent, à l’évidence, une atteinte au droit reconnu à l’article 8 de la Charte. En effet, sauf à renoncer à la détention d’un passeport et, par conséquent, à tout déplacement dans la plupart des États tiers, les demandeurs ne peuvent s’opposer au relevé et au stockage de leurs empreintes digitales.

43.

D’autre part, il faut relever, en premier lieu, que l’atteinte résultant du relevé obligatoire des empreintes digitales doit être regardée comme étant «prévue par la loi», au sens de l’article 52, paragraphe 1, de la Charte puisque ce relevé est expressément prévu à l’article 1er, paragraphe 2, du règlement no 2252/2204 tel que modifié, qui répond également, par ailleurs, aux exigences d’accessibilité, de clarté et de prévisibilité, conformément à la jurisprudence de la Cour européenne des droits de l’homme ( 35 ).

44.

En second lieu, comme je l’ai déjà exposé précédemment ( 36 ), l’objectif général essentiel poursuivi par le règlement no 2252/2004 tel que modifié est celui de la sécurisation des frontières extérieures, par la mise en œuvre d’une politique de gestion intégrée desdites frontières. En outre, l’insertion des empreintes digitales stockées sur un support sécurisé dans un passeport vise à rendre plus fiable le lien entre le détenteur du document et le document lui-même et, ce faisant, rend la falsification et l’utilisation frauduleuse, donc l’immigration illégale, plus difficiles. Par ailleurs, la démarche du législateur était d’autant plus importante dans la perspective de la mise en place progressive d’un espace de sécurité, de liberté et de justice ( 37 ) et, comme je l’ai déjà dit, en raison de l’absence de contrôle aux frontières intérieures de l’Union.

45.

Il me semble clair que tous ces «sous-objectifs» participent à la réalisation de l’objectif général évoqué plus haut. Force est donc de constater que l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié, en imposant le relevé obligatoire de deux empreintes digitales en vue de leur enregistrement et de leur stockage dans les passeports, poursuit un objectif d’intérêt général reconnu par l’Union.

3. Sur le caractère proportionné de l’atteinte

46.

La limitation apportée au droit fondamental à la protection des données à caractère personnel doit encore respecter le principe de proportionnalité, c’est-à-dire être nécessaire et répondre effectivement à l’objectif poursuivi.

a) La limitation est apte à poursuivre l’objectif d’intérêt général reconnu par l’Union

47.

À cet égard, le requérant au principal conteste que le relevé obligatoire des empreintes digitales des citoyens de l’Union désireux de se voir délivrer un passeport soit un moyen apte à réaliser l’objectif visé et doute qu’il contribue de manière effective à la sécurisation des frontières extérieures. Il soutient, en substance, que la méthode biométrique choisie s’avérerait particulièrement insatisfaisante et serait, dans tous les cas, d’une utilité limitée pour les citoyens de l’Union auprès desquels le relevé ne serait pas possible pour des raisons de maladie, de blessure ou encore de brûlure. Ladite méthode ne pourrait garantir la réalisation de l’objectif poursuivi en raison de la fragilité intrinsèque de la puce de stockage dont la durée de vie serait largement inférieure à la durée de validité du passeport. Enfin, cette méthode présenterait un taux d’erreur important et ne serait pas suffisamment sûre pour garantir l’existence d’un lien absolument fiable entre le détenteur légitime du passeport et le document lui-même.

48.

Il paraît, cependant, peu contestable que, per se, l’ajout de données biométriques dans un passeport rende nécessairement, et non seulement, l’entreprise de falsification dudit passeport plus complexe, mais également le processus d’identification du détenteur légitime du passeport plus sûr, puisque les autorités en charge du contrôle aux frontières extérieures de l’Union ont désormais deux éléments biométriques à leur disposition, en sus de la photo faciale ( 38 ). Il est également indubitable que les données biométriques en question constituent, sauf rares exceptions, des données propres à individualiser et à identifier les personnes.

49.

Quant à l’argument tiré de la faillibilité de la méthode, il est correct d’affirmer que la reconnaissance par la comparaison des empreintes digitales n’est pas une méthode d’identification sûre à 100 % et qu’elle présente, en conséquence, un taux d’erreur supérieur à 0 % ( 39 ). Personne ne se risquerait, en outre, à soutenir que le passeport techniquement décrit par le règlement no 2252/2004 tel que modifié est un document infalsifiable. Pour autant, il est clair que le législateur de l’Union était pleinement dans son rôle en cherchant à compliquer la tâche des faussaires en rajoutant deux éléments biométriques et en approfondissant l’harmonisation des éléments de sécurité. Autrement dit, le fait que la méthode biométrique choisie soit faillible et qu’elle n’ait pas pour effet de faire du passeport un document totalement infalsifiable ou résistant à toute tentative de destruction ne saurait avoir pour conséquence de la rendre inapte à la réalisation de l’objectif poursuivi puisque – dois-je le rappeler – aucune méthode infaillible n’a été, à ce jour, établie. Sous certains aspects, d’ailleurs, cette faillibilité est compensée par des assouplissements apportés à l’obligation de relevé. Par exemple, lorsque le relevé des empreintes digitales ne serait pas satisfaisant du point de vue de l’identification, comme c’est notamment le cas pour les enfants, le législateur de l’Union a prévu un régime d’exemption ( 40 ).

b) L’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié est nécessaire à la réalisation de l’objectif d’intérêt général reconnu par l’Union

50.

Il faut ici vérifier que les institutions ont effectué une «pondération équilibrée entre l’intérêt de l’Union» ( 41 ) à consolider la sécurité de ses frontières extérieures et l’atteinte à la protection des données à caractère personnel des citoyens de l’Union désireux de se voir délivrer un passeport. Or, «les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire» ( 42 ) de sorte qu’il ne doit exister aucune mesure aussi efficace, mais moins attentatoire que celle dérogeant au droit fondamental à la protection des données à caractère personnel.

51.

Une question qui a particulièrement occupé les débats devant la Cour était celle du bien-fondé du choix du législateur en faveur de la méthode biométrique de la comparaison des empreintes digitales. Selon le requérant au principal, le législateur n’aurait pas développé et exposé, notamment d’un point de vue statistique, les raisons pour lesquelles il a jugé nécessaire, au moment de l’adoption des règlements no 2252/2004 et no 444/2009, d’imposer aux États membres l’insertion de deux empreintes digitales dans les passeports. Au final, c’est tout recours à une méthode biométrique, hormis la photo faciale, voire la nécessité même d’identifier de manière aussi précise les citoyens de l’Union aux frontières extérieures de celle-ci que le requérant au principal conteste ( 43 ). Il s’est notamment ému des possibilités de récupération, à l’insu de leurs titulaires, de l’image des empreintes digitales qui en feraient des données, au final, assez peu sécurisées ( 44 ) puisque chaque acte de notre vie quotidienne constitue autant d’occasion de laisser derrière nous les images de nos empreintes digitales. En outre, le niveau insuffisant de sécurisation de la puce de stockage ne permettrait pas de garantir que les données biométriques soient lues par les seules autorités autorisées. Au final, le niveau de l’atteinte infligée au droit fondamental garanti par l’article 8 de la Charte serait intolérable, car, premièrement, elle toucherait tous les citoyens de l’Union pour une période de dix ans, soit pour toute la durée de validité du passeport, deuxièmement, une ingérence se répéterait à chaque contrôle aux frontières extérieures, troisièmement, il existerait un risque réel de conservation dans des fichiers des données biométriques et, quatrièmement, l’identification par les empreintes digitales pourrait donner lieu à des dérives et présenterait des risques de stigmatisation de certaines catégories de personnes. Pour toutes ces raisons, M. Schwarz considère que l’atteinte au droit fondamental est sans rapport avec les difficultés réellement rencontrées lors des contrôles aux frontières extérieures de l’Union que ce soit en terme d’identification des citoyens de l’Union ou de lutte contre les tentatives d’entrée illégale sur le territoire de l’Union au moyen d’un passeport falsifié.

52.

S’il est vrai que l’exposé des motifs du règlement no 2252/2004 ne fait pas particulièrement apparaître les raisons pour lesquelles le choix du législateur s’est porté sur l’insertion des images des empreintes digitales, il explique néanmoins clairement le besoin de rendre cohérente l’approche adoptée pour les passeports des citoyens de l’Union par rapport aux documents de voyage délivrés aux ressortissants d’États tiers ( 45 ). Or, en ce qui concerne ces derniers documents, l’insertion desdites empreintes étaient déjà prévues ( 46 ). Par ailleurs, l’exposé des motifs fait également référence aux résultats des travaux de l’Organisation de l’aviation civile internationale (OACI), laquelle «a également choisi la photo numérisée comme principal élément d’identification biométrique interopérable, ainsi que les empreintes digitales et/ou l’image de l’iris» ( 47 ). En tout état de cause, l’ensemble des avis qui ont été rendus sur la thématique de l’insertion des données biométriques autres que la photo faciale soit par le contrôleur européen de la protection des données ( 48 ), soit par le groupe de travail de l’article 29 ( 49 ) ont tous mis en garde les institutions contre les risques intrinsèques du recours à la biométrie en général, mais n’ont jamais mis en cause le choix-même de l’image des empreintes digitales. Tous ces avis ont unanimement rappelé que le caractère par définition sensible des données biométriques nécessite des garanties spécifiques, mais n’ont jamais fait valoir que le choix des empreintes digitales comme élément biométrique supplémentaire à insérer dans les documents de voyage serait dénué de toute pertinence. Enfin, compte tenu du fait que, en principe, chaque individu est en mesure de fournir facilement une image de ses empreintes digitales et que ces dernières sont singulières en ce qu’elles lui sont propres, le législateur a pu, à mon sens légitimement, considérer que les empreintes digitales constituent un élément biométrique d’identification idoine afin de rendre le lien entre le passeport et son détenteur plus fiable en même temps qu’elles rendaient plus difficiles toute tentative d’utilisation frauduleuse ou de falsification.

53.

L’hypothèse d’une erreur manifeste du législateur de l’Union – la seule susceptible d’être sanctionnée lorsque, comme ici, il dispose, «dans un cadre technique complexe à caractère évolutif […], d’un large pouvoir d’appréciation, notamment quant à l’appréciation des éléments factuels d’ordre scientifique et technique hautement complexes pour déterminer la nature et l’étendue des mesures qu’il adopte» ( 50 ) – apparaît ainsi devoir être écartée, et ce d’autant plus que la Cour ne peut, dans un tel contexte, substituer son appréciation à celle du législateur à qui le traité a conféré cette tâche.

54.

Quant à l’existence de mesures alternatives moins attentatoires au droit fondamental à la protection des données à caractère personnel, le recours à l’iriscopie ne peut être considéré comme moins attentatoire. Il présente, en outre, un certain nombre d’inconvénients liés tant au coût intrinsèque de cette méthode – qui est brevetée – qu’au risque pour la santé que présente le procédé de scannage de l’iris ou encore au ralentissement que la vérification de la concordance de l’iris induirait pour les contrôles aux frontières extérieures de l’Union ( 51 ). Pour sa part, la seule insertion de la photo faciale est, certes, moins attentatoire, mais, compte tenu de l’évolution dans l’apparence physique dont elle est incapable de rendre compte, ne se révèle pas tout aussi efficace en cas de besoin, pour les autorités de contrôle, de confirmer l’identité d’une personne et son lien légitime avec le passeport qu’il présente.

55.

Quant à l’argument tiré de la possibilité de récupération des données par des tiers ou des États tiers ( 52 ), je me bornerai à relever que, pour la première hypothèse, les risques ne m’apparaissent pas moins importants dans le cas d’un système où le contrôle se fonderait seulement sur la photo faciale. Quant aux États tiers, je ne partage pas l’avis du requérant selon lequel l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié serait la cause de l’exposition des citoyens de l’Union au risque d’abus encouru dans ces États. Il suffit, à cet égard, de constater que l’Union n’a pas d’influence sur la détermination des formalités à accomplir par ses citoyens pour l’entrée sur le territoire des États tiers.

c) Remarques finales

56.

Le nombre d’empreintes digitales dont l’image doit être prélevée et stockée est limité à deux. L’obligation de relevé ne pèse que sur les citoyens de l’Union qui souhaitent voyager hors des frontières intérieures de celle-ci. L’utilisation de ces données doit être faite à des fins strictement déterminées: le règlement no 2252/2004 tel que modifié prévoit ainsi que les données ne sont utilisées «que pour vérifier» l’authenticité du passeport et l’identité du titulaire ( 53 ). Les données sont contenues dans le seul support de stockage sécurisé inséré dans le passeport, ce qui signifie que, en principe, le citoyen de l’Union est le seul détenteur de l’image de ses empreintes. Ledit règlement ne peut – et c’est un élément essentiel – servir de base juridique à la constitution par les États membres de bases de données stockant ces informations ( 54 ). La durée pour laquelle l’image des empreintes digitales est stockée dans le passeport apparaît également limitée, puisqu’elle correspond à la durée de validité du passeport.

57.

En tout état de cause, la vérification de la correspondance des empreintes digitales n’est pas systématique, mais intervient de manière aléatoire, par exemple si le contrôle sur la base de la seule photo faciale et des éléments contenus dans le passeport n’a pas éliminé tout doute quant à l’authenticité du passeport et/ou à l’identité de son détenteur. Les données – sécurisées – sont prélevées par du personnel qualifié et autorisé ( 55 ) et seules les autorités autorisées et disposant du matériel adéquat peuvent accéder à la lecture des données ( 56 ). L’individu dont les empreintes digitales ont été prélevées et stockées dispose d’un droit de vérification, de rectification et de suppression ( 57 ). Enfin, afin de limiter les inconvénients pouvant résulter des imperfections et des limites de la méthode comme de la technologie, il est prévu que «[l]e défaut de concordance n’affecte pas, en soi, la validité du passeport […] en ce qui concerne le franchissement des frontières extérieures» ( 58 ) et un régime dérogatoire est mis en place pour les enfants de moins de 12 ans, les personnes physiquement incapables de donner leurs empreintes digitales ou encore les personnes pour lesquelles le relevé est temporairement impossible ( 59 ). En consacrant de telles dérogations ou exemptions, le législateur de l’Union a ainsi veillé à protéger la dignité des personnes.

58.

Alors, oui, l’identification par la comparaison des empreintes digitales est une technique qui connaît des limites et, non, il ne m’est pas possible de dire que le règlement no 2252/2004 tel que modifié a mis en place un régime permettant d’exclure, de manière absolue, tout risque, y compris en termes d’utilisation frauduleuse et de contrefaçon. Cela étant, j’estime, au regard de l’ensemble des considérations qui précèdent et des précautions qui ont été prises, que le législateur a pris toutes les mesures nécessaires afin de garantir, dans toute la mesure du possible, le traitement loyal et licite des données personnelles requises pour la délivrance d’un passeport. Il est indéniable que, par son attitude mesurée, il a ainsi procédé à une pondération équilibrée des intérêts de l’Union en présence.

59.

Par conséquent, l’atteinte que l’article 1er, paragraphe 2, du règlement no 2252/2004 tel que modifié porte manifestement au droit fondamental à la protection des données à caractère personnel doit être jugée proportionnée.

VI – Conclusion

60.

Eu égard aux considérations qui précèdent, je suggère à la Cour de répondre comme suit à la question préjudicielle posée par le Verwaltungsgericht Gelsenkirchen:

L’examen de la question posée n’a révélé aucun élément de nature à affecter la validité de l’article 1er, paragraphe 2, du règlement (CE) no 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres, tel que modifié par le règlement (CE) no 444/2009 du Parlement européen et du Conseil, du 28 mai 2009.


( 1 ) Langue originale: le français.

( 2 ) Avis du 23 mars 2005 sur la proposition de règlement du Parlement européen et du Conseil concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (JO C 181, p. 13).

( 3 ) JO L 385, p. 1.

( 4 ) JO L 142, p. 1.

( 5 ) BGBl. I, p. 2437.

( 6 ) Aux termes duquel «[l]e paragraphe 2 [de l’article 18 CE] ne s’applique pas aux dispositions concernant les passeports, les cartes d’identité, les titres de séjour ou tout autre document assimilé […]». Cet article a été abrogé par le traité de Lisbonne.

( 7 ) Voir arrêt du 18 décembre 2007, Royaume-Uni/Conseil (C-137/05, Rec. p. I-11593).

( 8 ) Arrêt Royaume-Uni/Conseil, précité (points 54 et 56). La suffisance de la base juridique n’a pas davantage été mise en cause par l’avocat général: voir point 69 des conclusions de l’avocat général Trstenjak rendues dans l’affaire ayant donné lieu à l’arrêt Royaume-Uni/Conseil, précité.

( 9 ) Voir, entre autres, arrêt du 8 septembre 2009, Commission/Parlement et Conseil (C-411/06, Rec. p. I-7585, point 45 et jurisprudence citée).

( 10 ) Voir considérants 2 et 3 du règlement no 2252/2004 et considérant 2 du règlement no 444/2009. Alors que, aux termes du considérant 3 du règlement no 2252/2004, l’harmonisation des éléments de sécurité est présentée comme distincte de l’insertion des identificateurs biométriques, le considérant 4 dudit règlement mentionne «l’harmonisation des éléments de sécurité, y compris les identificateurs biométriques».

( 11 ) Arrêt Royaume-Uni/Conseil, précité (point 58).

( 12 ) Voir considérant 1 du règlement no 2252/2004 et considérant 1 du règlement no 444/2009.

( 13 ) Voir exposé des motifs de la proposition de règlement du Conseil établissant des normes pour les dispositifs de sécurité et les éléments biométriques intégrés dans les passeports des citoyens de l’UE [COM(2004) 116 final, du 18 février 2004, p. 4].

( 14 ) Acquis de Schengen – Convention d’application de l’Accord de Schengen du 14 juin 1985 entre les gouvernement des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes (JO 2000, L 239, p. 19, ci-après l’«accord de Schengen»).

( 15 ) Considérant 4 du règlement no 444/2009.

( 16 ) Arrêt Royaume-Uni/Conseil, précité (point 67).

( 17 ) Voir article 1er, paragraphes 2, 2bis et 2ter, du règlement no 2252/2004 tel que modifié.

( 18 ) Comme le droit de vérification ainsi que les conditions de rassemblement, de conservation et de lecture des données: voir article 4 du règlement no 2252/2004 tel que modifié.

( 19 ) Voir article 1er, paragraphes 1 et 2, article 2, article 3, paragraphe 2, article 4, paragraphes 2 et 3, ainsi que annexe I du règlement no 2252/2004 tel que modifié.

( 20 ) Arrêt Royaume-Uni/Conseil, précité (point 59).

( 21 ) Voir article 7 du règlement (CE) no 562/2006 du Parlement européen et du Conseil, du 15 mars 2006, établissant un code communautaire relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 105, p. 1). Cet article 7 a pour origine l’article 6 de la convention d’application de l’accord de Schengen. Or, le Conseil avait indiqué que l’article 62, point 2, sous a), CE constituait la base juridique appropriée pour l’article 6 de ladite convention d’application [voir annexe A de la décision du Conseil du 20 mai 1999 déterminant, conformément aux dispositions pertinentes du traité instituant la Communauté européenne et du traité sur l’Union européenne, la base juridique de chacune des dispositions ou décisions constituant l’acquis de Schengen (JO L 176, p. 17)].

( 22 ) L’exclusion des cartes d’identité du champ d’application du règlement no 2252/2004 confirme une telle conclusion (voir article 1er, paragraphe 3, du règlement no 2252/2004, resté inchangé à la suite de l’adoption du règlement no 444/2009).

( 23 ) Voir point 22 des présentes conclusions.

( 24 ) Article 67, paragraphe 1, CE.

( 25 ) Outre que la question posée par la juridiction de renvoi porte clairement et explicitement sur la version modifiée de l’article 1er, paragraphe 2, du règlement no 2252/2004, la Cour a interrogé le gouvernement allemand lors de l’audience, lequel a confirmé que, bien que la décision de refus de délivrer le passeport à M. Schwarz ait été opposée en 2007 – soit avant l’entrée en vigueur de ladite version modifiée –, le droit pertinent pour la résolution du litige au principal est, selon les règles de procédure nationale propres au type de recours introduit par le requérant au principal devant le juge de renvoi, le droit applicable au moment où ce juge rend sa décision.

( 26 ) Voir, parmi une jurisprudence abondante, arrêt du 10 juin 1997, Parlement/Conseil (C-392/95, Rec. p. I-3213, point 15 et jurisprudence citée).

( 27 ) Voir article 1er, paragraphe 2, de cette proposition de règlement.

( 28 ) Résolution législative du Parlement européen sur la proposition, présentée par la Commission, de règlement du Conseil [P6_TA(2004)0073].

( 29 ) Conformément à la définition donnée par l’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), et au constat de la Cour européenne des droits de l’homme [voir Cour eur. D. H., arrêt S. and Marper/Royaume-Uni du 4 décembre 2008, requête no 30562/04 et no 30566/04 (§ 81)].

( 30 ) Pour un rappel des principes généraux appliqués par la Cour européenne des droits de l’homme en la matière, voir Cour eur. D. H., arrêt M.K./France du 18 avril 2013, requête no 19522/09 (§ 33 et suiv.).

( 31 ) Respectivement, articles 6 et 7 de la directive 95/46.

( 32 ) Article 12 de la directive 95/46.

( 33 ) Article 14 de la directive 95/46.

( 34 ) Article 22 de la directive 95/46.

( 35 ) Sur ces exigences, voir Cour eur. D. H., arrêt M.K./France, précité (§ 30 et jurisprudence citée). Pour un exemple d’ingérence considérée par ladite Cour comme non prévue par la loi, voir Cour eur. D. H., arrêt Shimovolos/Russie du 21 juin 2011, requête no 30194/09 (§ 67 et suiv.).

( 36 ) Voir point 22 des présentes conclusions.

( 37 ) Voir article 61 CE.

( 38 ) La durée de validité du passeport étant, en principe, de dix ans, on peut aisément admettre que, en raison de l’évolution potentielle dans l’apparence du détenteur légitime du passeport, cette photo ne constitue pas un élément de contrôle très fiable ou, à tout le moins, suffisant.

( 39 ) Le taux d’erreur «normal» était estimé, en 2005, entre 0,5 % et 1 % (voir point 3.4.3 de l’avis du Contrôleur européen de la protection des données du 23 mars 2005, cité ci-dessus).

( 40 ) Article 1er, paragraphe 2 bis, sous a), du règlement no 2252/2004 tel que modifié.

( 41 ) Arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert (C-92/09 et C-93/09, Rec. p. I-11063, point 77).

( 42 ) Arrêt Volker und Markus Schecke et Eifert, précité (point 77 et jurisprudence citée).

( 43 ) Après avoir soutenu, dans ses écritures, que l’iriscopie constituait une mesure moins attentatoire au droit fondamental consacré à l’article 8 de la Charte, M. Schwarz a précisé sa position au cours de l’audience et a indiqué à la Cour que la seule méthode biométrique obligatoire tolérable en vue de l’identification des personnes serait la photo faciale. Il a également indiqué que, lors du contrôle aux frontières extérieures de l’Union, seule importerait la vérification de la nationalité de la personne et que la vérification de son identité complète serait dispensable.

( 44 ) M. Schwarz a invoqué tant des risques de récupération par des faussaires que des risques de récupération par des États tiers qui profiteraient du contrôle des passeports à leurs frontières pour récupérer les images des empreintes digitales des citoyens de l’Union contenues dans les passeports pour en faire un usage échappant à tout contrôle.

( 45 ) Voir p. 4 et 8 de la proposition de règlement, citée ci-dessus, et point 20 des présentes conclusions.

( 46 ) Voir p. 8 de la proposition de règlement, citée ci-dessus.

( 47 ) Ibidem, p. 8.

( 48 ) Avis du 23 mars 2005, cité ci-dessus; du 19 octobre 2005 sur la proposition de décision du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II), la proposition de règlement du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) et la proposition de règlement du Parlement européen et du Conseil sur l’accès des services des États membres chargés de l’immatriculation des véhicules au système d’information Schengen de deuxième génération (SIS II) (JO 2006, C 91, p. 38); du 27 octobre 2006 concernant la proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l’introduction d’éléments d’identification biométriques et de dispositions relatives à l’organisation de la réception et du traitement des demandes de visa (JO C 321, p. 38), et du 26 mars 2008 sur la proposition de règlement no 444/2009 (JO C 200, p. 1).

( 49 ) Avis 3/2005 du groupe de travail sur la protection des données, du 30 septembre 2005, sur l’application du règlement [no 2252/2004].

( 50 ) Arrêt du 8 juillet 2010, Afton Chemical (C-343/09, Rec. p. I-7027, point 28).

( 51 ) Sans parler du fait que, en tout état de cause, l’iriscopie ne présente pas davantage un taux d’erreur nul.

( 52 ) Sur ce point, le requérant au principal s’est fait l’écho, lors de l’audience, des préoccupations exprimées par le Bundesverfassungsgericht dans sa décision rendue le 30 décembre 2012 (1BvR 502/09).

( 53 ) Article 4, paragraphe 3.

( 54 ) Voir considérant 5 du règlement no 444/2009. Si les États membres font le choix de constituer une telle base de données, sa conformité au droit fondamental à la protection des données à caractère personnel pourrait être vérifiée, le cas échéant, par les juges nationaux, y compris constitutionnels, ainsi que par la Cour européenne des droits de l’homme.

( 55 ) Article 1er bis du règlement no 2252/2004 tel que modifié.

( 56 ) Lesquelles sont protégées par une clef à infrastructure publique.

( 57 ) Article 4, paragraphe 1, du règlement no 2252/2004 tel que modifié.

( 58 ) Article 4, paragraphe 3, du règlement no 2252/2004 tel que modifié.

( 59 ) Article 1er, paragraphes 2 bis et 2 ter, du règlement no 2252/2004 tel que modifié.