This document is an excerpt from the EUR-Lex website
Document 62022CJ0458
Judgment of the Court (Third Chamber) of 16 November 2023.#Robert Roos and Others v European Parliament.#Appeal – Public health – Access to the buildings of the European Parliament – Obligation to present a valid EU digital COVID-19 certificate – Decision of the Bureau of the European Parliament – Rules of Procedure of the Parliament – Rule 25 – Concept of ‘power to determine its own internal organisation’ – Article 8(2) of the Charter of Fundamental Rights of the European Union – Protection of personal data – Concept of a measure ‘laid down by law’ – Regulation (EU) 2018/1725 – Articles 5 and 6 – Concept of ‘Union law’ – Inclusion of the internal rules of a Union institution or body.#Case C-458/22 P.
Urteil des Gerichtshofs (Dritte Kammer) vom 16. November 2023.
Robert Roos u. a. gegen Europäisches Parlament.
Rechtssache C-458/22 P.
Urteil des Gerichtshofs (Dritte Kammer) vom 16. November 2023.
Robert Roos u. a. gegen Europäisches Parlament.
Rechtssache C-458/22 P.
ECLI identifier: ECLI:EU:C:2023:871
ARRÊT DE LA COUR (troisième chambre)
16 novembre 2023 (*)
« Pourvoi – Santé publique – Accès aux bâtiments du Parlement européen – Obligation de présenter un certificat COVID‑19 numérique de l’UE valide – Décision du bureau du Parlement européen – Règlement intérieur du Parlement – Article 25 – Notion de “pouvoir d’organisation interne” – Article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne – Protection des données à caractère personnel – Notion de mesure “prévue par la loi” – Règlement (UE) 2018/1725 – Articles 5 et 6 – Notion de “droit de l’Union” – Inclusion des règles internes d’une institution ou d’un organe de l’Union »
Dans l’affaire C‑458/22 P,
ayant pour objet un pourvoi au titre de l’article 56 du statut de la Cour de justice de l’Union européenne, introduit le 5 juillet 2022,
Robert Roos, demeurant à Poortugaal (Pays-Bas),
Anne-Sophie Pelletier, demeurant à Ixelles (Belgique),
Francesca Donato, demeurant à Palerme (Italie),
Virginie Joron, demeurant à Durningen (France),
Robert Jan Rooken, demeurant à Muiderberg (Pays-Bas),
Christine Anderson, demeurant à Fulda (Allemagne),
Annika Bruna, demeurant à L’Isle-Adam (France),
Silvia Limmer, demeurant à Pressek (Allemagne),
Joachim Kuhs, demeurant à Baden-Baden (Allemagne),
Marcellinus Jacobus Richardus Laurentius De Graaf, demeurant à Bonheiden (Belgique),
Mathilde Androuet, demeurant à Bailly (France),
Bernhard Zimniok, demeurant à Munich (Allemagne),
Nicolaus Fest, demeurant à Berlin (Allemagne),
représentés par Mes P. de Bandt, R. Gherghinaru et V. Heinen, avocats,
parties requérantes,
les autres parties à la procédure étant :
IC,
Rosa D’Amato, demeurant à Taranto (Italie),
Claude Gruffat, demeurant à Mulsans (France),
Damien Carême, demeurant à Argenteuil (France),
Benoît Biteau, demeurant à Sablonceaux (France),
parties demanderesses en première instance,
Parlement européen, représenté par Mmes S. Alves et A.‑M. Dumbrăvan, en qualité d’agents,
partie défenderesse en première instance,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan, N. Jääskinen et M. Gavalec (rapporteur), juges,
avocat général : Mme L. Medina,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 Par leur pourvoi, M. Robert Roos et les autres parties requérantes demandent l’annulation de l’arrêt du Tribunal de l’Union européenne du 27 avril 2022, Roos e.a./Parlement (T‑710/21, T‑722/21 et T‑723/21, ci-après l’« arrêt attaqué », EU:T:2022:262), par lequel celui-ci a rejeté leur recours tendant à l’annulation de la décision du bureau du Parlement européen, du 27 octobre 2021, sur des règles exceptionnelles en matière de santé et de sécurité régissant l’accès aux bâtiments du Parlement sur ses trois lieux de travail (ci-après la « décision litigieuse »).
Le cadre juridique
Le protocole no 7
2 Aux termes de l’article 7, premier alinéa, du protocole (no 7) sur les privilèges et immunités de l’Union européenne (JO 2016, C 202, p. 266, ci-après le « protocole no 7 »), « [a]ucune restriction d’ordre administratif ou autre n’est apportée au libre déplacement des membres du Parlement européen se rendant au lieu de réunion du Parlement européen ou en revenant. »
Le statut des députés
3 Aux termes de l’article 2, paragraphe 1, de la décision 2005/684/CE, Euratom du Parlement européen, du 28 septembre 2005, portant adoption du statut des députés au Parlement européen (JO 2005, L 262, p. 1, ci-après le « statut des députés ») « [l]es députés sont libres et indépendants ».
Le règlement intérieur de la cinquième législature
4 Dans sa version applicable au mois de mai 2004, le règlement intérieur du Parlement européen (ci-après le « règlement intérieur de la cinquième législature ») comportait un article 22, intitulé « Fonctions du Bureau », dont le paragraphe 2 prévoyait :
« Le Bureau règle les questions financières, d’organisation et administratives concernant les députés, l’organisation interne du Parlement, son secrétariat et ses organes. »
Le règlement intérieur de la huitième législature
5 Intitulé « Indépendance du mandat », l’article 2 du règlement intérieur du Parlement européen, dans sa version du mois de mars 2019 qui était applicable pendant la durée de la huitième législature (ci-après le « règlement intérieur de la huitième législature »), disposait, notamment, que « les députés exercent leur mandat de façon libre et indépendante et ne peuvent être liés par des instructions ni recevoir de mandat impératif ».
6 Intitulé « Privilèges et immunités », l’article 5 de ce règlement intérieur énonçait :
« 1. Les députés jouissent des privilèges et immunités prévus par le protocole no 7 [...]
2. Dans l’exercice de ses pouvoirs relatifs aux privilèges et aux immunités, le Parlement s’emploie à conserver son intégrité en tant qu’assemblée législative démocratique et à assurer l’indépendance des députés dans l’exercice de leurs fonctions. L’immunité parlementaire n’est pas un privilège personnel du député, mais une garantie d’indépendance du Parlement dans son ensemble et de ses députés.
[...]
4. Aux fins de l’exercice de leurs fonctions parlementaires, tout député dispose du droit de participer activement aux travaux des commissions et délégations du Parlement conformément aux dispositions du présent règlement intérieur.
[...] »
7 Intitulé « Fonctions du Bureau », l’article 25 dudit règlement intérieur était ainsi libellé :
« [...]
2. Le Bureau règle les questions financières, d’organisation et administratives concernant l’organisation interne du Parlement, son secrétariat et ses organes.
3. Le Bureau règle les questions financières, d’organisation et administratives concernant les députés sur proposition du secrétaire général ou d’un groupe politique.
[...] »
Le statut des fonctionnaires
8 L’article 1er sexies du statut des fonctionnaires de l’Union européenne (ci-après le « statut des fonctionnaires ») prévoit, à son paragraphe 2 :
« Les fonctionnaires en activité bénéficient de conditions de travail qui respectent les normes de santé et de sécurité appropriées, au moins équivalentes aux prescriptions minimales applicables en vertu des mesures arrêtées dans ces domaines en application des traités. »
Le règlement (UE) 2018/1725
9 Le considérant 23 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39), énonce :
« Le droit de l’Union visé dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les personnes qui y sont soumises, conformément aux exigences énoncées dans la [c]harte [des droits fondamentaux de l’Union européenne (ci-après la “Charte”)] et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [, signée à Rome le 4 novembre 1950]. »
10 L’article 4 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1 :
« Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;
[...]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; [...] (limitation de la conservation) ;
[...] »
11 Intitulé « Licéité du traitement », l’article 5 dudit règlement énonce :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’institution ou l’organe de l’Union ;
b) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
e) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
2. Le fondement du traitement visé au paragraphe 1, points a) et b), est inscrit dans le droit de l’Union. »
12 L’article 6 du même règlement, intitulé « Le traitement à une autre fin compatible », est ainsi libellé :
« Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 25, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte [de certaines conditions].
[...] »
13 L’article 25 du règlement 2018/1725, qui se rapporte aux « [l]imitations », prévoit :
« 1. Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions et organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
a) la sécurité nationale, la sécurité publique ou la défense des États membres ;
[...]
c) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
d) la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques ;
[...]
h) la protection de la personne concernée ou des droits et libertés d’autrui ;
[...]
2. En particulier, les actes juridiques ou règles internes visés au paragraphe 1 contiennent des dispositions spécifiques, le cas échéant, en ce qui concerne :
a) les finalités du traitement ou des catégories de traitement ;
b) les catégories de données à caractère personnel ;
c) l’étendue des limitations introduites ;
d) les garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
e) la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) la durée de conservation et les garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ; et
g) les risques pour les droits et libertés des personnes concernées.
[...] »
Le règlement (UE) 2021/953
14 Le considérant 48 du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (JO 2021, L 211, p. 1), énonce :
« Le règlement (UE) 2016/679 du Parlement européen et du Conseil[, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le “RGPD”),] s’applique au traitement des données à caractère personnel effectué lors de la mise en œuvre du présent règlement. Le présent règlement établit le fondement juridique pour le traitement des données à caractère personnel au sens de l’article 6, paragraphe 1, point c), et de l’article 9, paragraphe 2, point g), du [RGPD], nécessaire à la délivrance et à la vérification des certificats interopérables prévus par le présent règlement. [...] Les États membres peuvent traiter des données à caractère personnel à d’autres fins, si la base juridique pour le traitement de ces données à d’autres fins, y compris les durées de conservation y afférentes, est prévue par le droit national, qui doit respecter le droit de l’Union en matière de protection des données et les principes d’effectivité, de nécessité et de proportionnalité, et devrait contenir des dispositions indiquant clairement la portée et l’étendue du traitement, la finalité spécifique concernée, les catégories d’entités pouvant vérifier le certificat ainsi que les garanties nécessaires pour prévenir les discriminations et les abus, compte tenu des risques pour les droits et libertés des personnes concernées. [...] »
15 Aux termes de l’article 2, point 2, de ce règlement :
« Aux fins du présent règlement, on entend par :
“certificat COVID numérique de l’UE” : certificat interopérable contenant des informations sur la vaccination, les résultats des tests ou le rétablissement du titulaire délivré dans le contexte de la pandémie de COVID-19 ».
16 Intitulé « Certificat COVID numérique de l’UE », l’article 3 dudit règlement dispose, à son paragraphe 1 :
« Le cadre du certificat COVID numérique de l’UE permet la délivrance, la vérification et l’acceptation transfrontières de l’un des certificats suivants :
a) un certificat confirmant que le titulaire a reçu un vaccin contre la COVID-19 dans l’État membre qui délivre le certificat (ci-après dénommé “certificat de vaccination”) ;
b) un certificat confirmant que le titulaire a été soumis à un test [d’amplification des acides nucléiques (TAAN) pour diagnostiquer la COVID-19 et qui est considéré par l’Organisation mondiale de la santé (OMS) et le Centre européen de prévention et de contrôle des maladies (ECDC) comme la méthode la plus fiable de dépistage des cas et des contacts] ou à un test rapide de détection d’antigènes figurant sur la liste commune et actualisée des tests rapides de détection d’antigènes pour le diagnostic de la COVID-19 établie sur la base de la recommandation du Conseil du 21 janvier 2021, effectué par des professionnels de la santé ou par du personnel qualifié chargé des tests dans l’État membre qui délivre le certificat, et indiquant le type de test, la date à laquelle il a été effectué et le résultat du test (ci-après dénommé “certificat de test”) ;
c) un certificat confirmant que, à la suite du résultat positif d’un test TAAN effectué par des professionnels de la santé ou par du personnel qualifié chargé des tests, le titulaire s’est rétabli d’une infection par le SARS-CoV-2 (ci-après dénommé “certificat de rétablissement”).
[...] »
17 Les articles 5 à 7 du règlement 2021/953 sont respectivement consacrés au « [c]ertificat de vaccination », au « [c]ertificat de test » et au « [c]ertificat de rétablissement ».
18 Intitulé « Protection des données à caractère personnel », l’article 10 de ce règlement prévoit, à son paragraphe 2 :
« Aux fins du présent règlement, les données à caractère personnel contenues dans les certificats délivrés en vertu du présent règlement sont traitées aux seules fins de l’accès aux informations contenues dans le certificat et de la vérification de ces informations afin de faciliter l’exercice du droit à la libre circulation au sein de l’Union durant la pandémie de COVID-19. [...] »
Les antécédents du litige
19 Les antécédents du litige sont exposés aux points 2 à 16 de l’arrêt attaqué et peuvent être résumés comme suit.
20 Dans le cadre de la crise sanitaire causée par la pandémie de COVID‑19, le législateur de l’Union a notamment adopté le règlement 2021/953. Sur le fondement de ce règlement, certains États membres, dont le Royaume de Belgique, la République française et le Grand-Duché de Luxembourg, sur le territoire desquels le Parlement a son siège ou ses lieux de travail, ont mis en place des applications nationales du certificat COVID numérique de l’UE et étendu leur utilisation, notamment à l’accès à certains évènements, bâtiments ou transports, en vue de limiter la propagation du virus SARS-CoV-2 et de préserver la santé publique.
21 Depuis le début de la crise sanitaire au mois de mars 2020, le Parlement a adopté diverses mesures dans l’objectif de protéger la santé des députés, du personnel et des autres personnes présentes dans ses bâtiments, tout en garantissant la capacité du Parlement d’assurer ses fonctions essentielles telles que définies par les traités. Ces mesures temporaires ont régulièrement été prorogées ou modifiées au gré de l’évolution de la situation épidémiologique. Ont notamment été mis en place des procédures exceptionnelles temporaires afin de permettre aux députés de participer à distance aux débats et aux votes, ainsi qu’un régime de télétravail intégral, qui a été remplacé, à compter du 1er septembre 2021, par un régime de télétravail reposant sur une base volontaire. À cette date, la présence physique devait alors redevenir le mode de travail par défaut, conformément à l’article 20 du statut des fonctionnaires.
22 En dépit des mesures de distanciation et des précautions sanitaires mises en place et malgré une couverture vaccinale estimée à plus de 80 % du personnel, dès le mois de septembre 2021, un nombre croissant de cas de transmission ont été détectés au sein du Parlement.
23 Aussi le bureau du Parlement (ci-après le « Bureau ») a-t-il adopté, le 27 octobre 2021, la décision litigieuse qui imposait, pour une période allant du 3 novembre 2021 au 31 janvier 2022, à toute personne souhaitant accéder aux bâtiments du Parlement, dans ses trois lieux de travail, de présenter un certificat COVID numérique de l’UE valide. Il pouvait s’agir, conformément à l’article 3, paragraphe 1, du règlement 2021/953, d’un certificat de vaccination, d’un certificat de test négatif ou d’un certificat de rétablissement.
24 Le considérant 11 de cette décision indiquait que ces mesures poursuivaient un double objectif, puisqu’elles visaient, d’une part, à assurer le respect par l’institution de son obligation légale, découlant des traités, de revenir aux procédures normales et, d’autre part, à fournir des garanties suffisantes pour protéger la vie et la santé de toutes les personnes présentes dans les locaux du Parlement.
25 Par ailleurs, les considérants 22 à 25 de ladite décision énonçaient :
« (22) Le règlement (UE)°2018/1725 s’applique au traitement des données à caractère personnel dans le cadre de la lecture automatisée des certificats.
(23) Le Contrôleur européen de la protection des données a confirmé dans ses orientations que les institutions de l’Union peuvent en principe traiter les certificats COVID numériques de l’UE ou les certificats équivalents dans le respect des exigences juridiques strictes établies par le règlement (UE) 2018/1725 aux fins du retour des membres du personnel sur leur lieu de travail, et demande à ces institutions de réévaluer régulièrement les mesures prises.
(24) Selon les orientations du [Comité européen de la protection des données (ci-après le “CEPD”)], les certificats COVID numériques de l’UE ou les certificats équivalents contiennent des données médicales sensibles, et leur traitement doit donc satisfaire au moins aux exigences visées à l’article 10 du règlement (UE) 2018/1725. Le traitement des données contenues dans les certificats COVID numériques de l’UE ou les certificats équivalents est nécessaire aux fins de la protection de la santé des députés et du personnel du Parlement. Par conséquent, l’article 10, paragraphe 2, points g) et i), lus conjointement avec l’article 5, paragraphe 1, point a), du règlement (UE) 2018/1725, constituent un fondement juridique approprié pour le traitement licite des données contenues dans les certificats, car le traitement en question est nécessaire pour protéger la santé publique et limiter la propagation du coronavirus.
(25) Conformément à l’article 39 du règlement (UE) 2018/1725, une analyse d’impact relative à la protection des données a été réalisée afin de déterminer si l’opération de traitement envisagée est conforme à ce règlement. Cette analyse a conclu que l’opération de traitement envisagée est nécessaire et proportionnée au regard des objectifs de celle-ci et qu’elle respecte les principes de protection des données consacrés par ledit règlement. En outre, les mesures techniques et organisationnelles mises en place garantissent la sécurité des données à caractère personnel et protègent les droits des personnes concernées. »
26 Enfin, l’article 4 de la décision litigieuse disposait, à ses paragraphes 1 à 4 :
« 1. Les données à caractère personnel extraites du certificat ou du certificat équivalent lors du processus de lecture du code sont traitées conformément au règlement (UE) 2018/1725.
2. La finalité du traitement des données issues du processus de lecture du code est strictement limitée à l’autorisation d’accès aux bâtiments du Parlement. Les données à caractère personnel traitées lors du processus de lecture du code ne sont utilisées à aucune autre fin.
3. Seules les données à caractère personnel relatives au nom du porteur du certificat ou du certificat équivalent ainsi qu’à l’authenticité et à la validité de celui-ci sont traitées et affichées lors du processus de lecture du code.
4. Les données à caractère personnel contenues dans le certificat ou le certificat équivalent, qu’elles soient vérifiées par contrôle visuel ou par lecture du code, ne sont en aucun cas stockées, enregistrées ou conservées, en interne ou en externe, ni transmises à un autre organe de l’Union ou à un tiers. »
Le recours devant le Tribunal et l’arrêt attaqué
27 Par requête déposée au greffe du Tribunal le 4 novembre 2021, les requérants ont introduit un recours tendant à l’annulation de la décision litigieuse. Au soutien de leur recours, les requérants avançaient quatre moyens. Ceux-ci étaient tirés, premièrement, de l’absence de base juridique valable de la décision litigieuse pour créer des effets à l’égard des membres du Parlement, deuxièmement, de la contrariété de cette décision aux principes de liberté et d’indépendance des membres du Parlement et aux immunités qui leur sont conférées par le traité, troisièmement, de la violation des principes généraux relatifs au traitement des données à caractère personnel et, quatrièmement, d’une atteinte injustifiée au droit au respect de la vie privée et à la protection des données personnelles, au droit à l’intégrité physique, au droit à la liberté et à la sûreté ainsi qu’au droit à l’égalité en droit et à la non-discrimination.
28 Le Tribunal a rejeté chacun de ces quatre moyens comme étant non fondés et, par voie de conséquence, le recours.
Les conclusions des parties
29 Par leur pourvoi, les requérants demandent à la Cour :
– d’annuler les points 1 et 2 du dispositif de l’arrêt attaqué, et
– de condamner le Parlement à supporter les dépens de la présente procédure devant la Cour, y compris les frais d’avocat.
30 Le Parlement demande à la Cour :
– de rejeter le pourvoi et
– de condamner les requérants aux dépens.
Sur le pourvoi
31 Les requérants avancent, à l’appui de leur pourvoi, deux moyens, tirés, premièrement, d’une erreur de droit que le Tribunal aurait commise en considérant que la décision litigieuse reposait sur une base juridique valide et, deuxièmement, d’une violation du principe de limitation des finalités du traitement des données à caractère personnel et du principe de légalité.
Sur le premier moyen
32 Par ce premier moyen, dirigé contre les points 68 à 90 de l’arrêt attaqué, les requérants soutiennent que le Tribunal a commis une erreur de droit en jugeant que l’article 25, paragraphe 2, du règlement intérieur de la huitième législature constituait une base légale correcte pour, d’une part, limiter l’accès aux bâtiments du Parlement aux seules personnes disposant d’un certificat COVID numérique de l’UE valide et, d’autre part, fonder le traitement de données à caractère personnel hautement sensibles des requérants. En statuant ainsi, le Tribunal aurait méconnu l’article 8 et l’article 52, paragraphes 1 et 3, de la Charte, l’article 7 du protocole no 7, l’article 2 du statut des députés, l’article 5, paragraphe 2, du règlement 2018/1725, l’obligation de motivation de ses arrêts consacrée à l’article 36 et à l’article 53, premier alinéa, du statut de la Cour de justice de l’Union européenne, le principe général du droit du parallélisme des formes ainsi que le principe de la hiérarchie des normes.
Sur la première branche, tirée de ce que l’article 25, paragraphe 2, du règlement intérieur de la huitième législature ne saurait fonder la limitation de l’accès aux bâtiments du Parlement
– Argumentation des parties
33 Les requérants reprochent au Tribunal d’avoir jugé que la limitation de l’accès aux bâtiments du Parlement aux seules personnes disposant d’un certificat COVID numérique de l’UE valide relève des questions d’organisation interne du Parlement, de sorte qu’une telle mesure pouvait être fondée sur l’article 25, paragraphe 2, du règlement intérieur de la huitième législature. Or, ainsi qu’ils l’ont précisé dans leur mémoire en réplique, une erreur dans le choix de la base juridique d’un acte pourrait emporter son annulation lorsque cette erreur est susceptible d’influer sur le contenu, la procédure d’adoption ou le mode de vote de cet acte. Tel serait le cas en l’espèce, puisque la décision litigieuse a été soustraite, à tort, à tout débat démocratique et à toute possibilité d’amendements.
34 Premièrement, le Tribunal aurait, à tort, interprété largement les compétences d’organisation interne du Parlement en admettant, implicitement, mais nécessairement, que cette disposition déroge à l’article 7 du protocole no 7 et à l’article 2 du statut des députés.
35 À cet égard, l’article 7, premier alinéa, de ce protocole prévoirait qu’aucune restriction d’ordre administratif ou autre n’est apportée au libre déplacement des membres du Parlement se rendant au lieu de réunion du Parlement ou en revenant. En outre, contrairement à ce qu’a conclu le Tribunal au point 132 de l’arrêt attaqué, les privilèges et les immunités reconnus à l’Union par ledit protocole ne revêtiraient pas uniquement un caractère fonctionnel. Les membres du Parlement jouiraient en effet d’un droit subjectif et fondamental de se déplacer librement dans le cadre de l’exercice de leur mandat, sans restriction d’ordre administratif ou autre, conformément à l’article 2 du statut des députés.
36 En se bornant à rappeler que le Parlement peut, en se fondant sur son règlement intérieur de la huitième législature, « prendre les mesures appropriées en vue d’assurer son bon fonctionnement et le déroulement de ses procédures », le Tribunal se serait uniquement appuyé sur le considérant 2 de la décision litigieuse. Il en aurait déduit, à tort, aux points 68 à 72 de l’arrêt attaqué, que cette décision a été valablement adoptée en ce qu’elle a pour objectif de permettre un retour à un régime de travail en présentiel afin d’assurer la continuité des activités du Parlement, de garantir la pleine application de toutes les procédures habituelles et de rétablir son rôle complet et illimité en tant qu’institution de l’Union démocratiquement élue. Or, ce pouvoir d’organisation interne du Parlement devrait être exercé dans le plein respect des prérogatives de chacun des membres de l’institution et, partant, de leurs droits fondamentaux, ainsi qu’il résulte de l’arrêt du 7 mai 1991, Nakajima/Conseil (C‑69/89, EU:C:1991:186, point 49). En outre, la question de savoir si une institution de l’Union a dépassé les limites de son pouvoir d’organisation interne devrait être appréciée au regard non pas du contexte sanitaire existant à l’époque de l’adoption de la décision litigieuse, mais des normes de droit supérieures qui limitent, de manière constante, l’exercice d’un tel pouvoir par les institutions de l’Union.
37 En procédant ainsi, le Tribunal aurait commis une erreur de droit en omettant d’évaluer si des mesures aussi restrictives que celles mises en place par le Bureau pouvaient valablement être adoptées sans outrepasser les limites de ses pouvoirs d’organisation interne ni violer des normes telles que l’article 7, premier alinéa, du protocole no 7 ou l’article 2 du statut des députés. Les requérants estiment, par conséquent, que le Tribunal a conclu, de manière erronée, au point 88 de l’arrêt attaqué, que leur argument selon lequel l’article 25, paragraphe 2, du règlement intérieur de la huitième législature ne pouvait fonder l’adoption de mesures contraires au statut des députés ou au protocole no 7 ne concerne pas la question de la base juridique appropriée de la décision litigieuse.
38 Deuxièmement, le point 74 de l’arrêt attaqué serait également entaché d’une erreur de droit. En effet, le droit d’accès permanent des députés européens aux bâtiments du Parlement aurait été créé non pas par l’article 1er, paragraphe 1, de la décision du Bureau du 3 mai 2004 établissant les règles relatives aux laissez-passer, mais au cours de l’année 1965, ainsi qu’en témoignent les articles 7 et 8 du protocole (no 36) sur les privilèges et immunités des Communautés européennes (1965) (JO 2006, C 321E, p. 318).
39 En outre, alors que l’article 22, paragraphe 2, du règlement intérieur de la cinquième législature prévoyait que « [l]e Bureau règle les questions financières, d’organisation et administratives concernant les députés, l’organisation interne du Parlement son secrétariat et ses organes », l’expression « les députés » aurait été supprimée de l’article 25 du règlement intérieur de la huitième législature. Il s’ensuivrait que le Tribunal ne pouvait pas, sans commettre d’erreur de droit, juger, au point 74 de l’arrêt attaqué, qu’« il est cohérent que [le Bureau] ait adopté la décision litigieuse sur le fondement de la même base juridique, conformément au principe de parallélisme des formes ». En tout état de cause, le Tribunal aurait appliqué, de manière erronée, le principe général de droit du parallélisme des formes puisque la décision litigieuse ne viserait ni à remplacer, ni à rectifier, ni même à abroger la décision du Bureau du 3 mai 2004.
40 Le Parlement estime, à titre principal, qu’est inopérante l’allégation selon laquelle l’article 25, paragraphe 2, du règlement intérieur de la huitième législature ne pourrait fonder l’adoption de mesures allant à l’encontre du statut des députés ou du protocole no 7.
41 À titre subsidiaire, il considère que la première branche du premier moyen n’est pas fondée.
– Appréciation de la Cour
42 En premier lieu, s’agissant de l’argument résumé aux points 34 à 37 du présent arrêt, il résulte d’une jurisprudence constante de la Cour, d’une part, que le Parlement est autorisé à prendre, en vertu du pouvoir d’organisation interne que lui attribue l’article 232 TFUE et dans l’intérêt d’une bonne administration, des mesures appropriées en vue d’assurer son bon fonctionnement et le déroulement de ses procédures (voir, en ce sens, arrêts du 10 février 1983, Luxembourg/Parlement, 230/81, EU:C:1983:32, point 38 ; du 10 juillet 1986, Wybot, 149/85, EU:C:1986:310, point 16, ainsi que du 28 novembre 1991, Luxembourg/Parlement, C‑213/88 et C‑39/89, EU:C:1991:449, point 29). D’autre part, s’il incombe au juge de l’Union de s’assurer que le Parlement n’a pas outrepassé la marge d’appréciation qui lui est reconnue dans l’exercice de son pouvoir d’organisation interne (voir, en ce sens, arrêts du 10 février 1983, Luxembourg/Parlement, 230/81, EU:C:1983:32, point 56, ainsi que du 28 novembre 1991, Luxembourg/Parlement, C‑213/88 et C‑39/89, EU:C:1991:449, point 36), il n’en reste pas moins que le Parlement dispose, dans cet exercice, d’une large marge d’appréciation (voir, en ce sens, arrêt du 10 juillet 1986, Wybot, 149/85, EU:C:1986:310, point 17).
43 Or, en l’occurrence, il n’apparaît pas manifeste que le Parlement ait excédé cette marge d’appréciation en adoptant, sur la base de l’article 25, paragraphe 2, du règlement intérieur de la huitième législature, la décision litigieuse. Ainsi que l’a jugé à bon droit le Tribunal aux points 70 et 72 de l’arrêt attaqué, cette décision, qui vise à limiter l’accès aux bâtiments du Parlement aux seules personnes disposant d’un certificat COVID numérique de l’UE valide, relève des questions d’organisation interne du Parlement, au sens de l’article 25, paragraphe 2, du règlement intérieur de la huitième législature. En effet, selon son considérant 2, ladite décision a pour objectif de permettre un retour à un régime de travail en présentiel afin d’assurer la continuité de ses activités dans le cadre des procédures normales découlant des traités, de garantir la pleine application de toutes les procédures habituelles prévues par son règlement intérieur et de rétablir son rôle complet et illimité en tant qu’institution de l’Union démocratiquement élue, qui représente directement les citoyens au niveau de l’Union.
44 Par ailleurs, il convient de constater que, dans la mesure où les requérants invoquent une incompatibilité entre la décision litigieuse et l’article 7 du protocole no 7 ainsi que l’article 2 du statut des députés, l’argument soulevé au soutien de la première branche du premier moyen est inopérant.
45 En effet, les requérants se bornent à critiquer les points 68 à 72 ainsi que le point 88 de l’arrêt attaqué, sans toutefois contester, dans le cadre de la première branche du premier moyen, les points 95 à 122 de cet arrêt, dans lesquels le Tribunal a conclu que la décision litigieuse était compatible avec l’article 7 du protocole no 7 et l’article 2 du statut des députés.
46 Ce premier grief doit donc être rejeté comme n’étant pas fondé.
47 En ce qui concerne, en second lieu, l’argument résumé aux points 38 et 39 du présent arrêt, il convient de constater que les requérants opèrent une lecture erronée du point 74 de l’arrêt attaqué. En effet, le Tribunal y a indiqué non pas que le droit d’accès permanent des députés aux bâtiments du Parlement avait été créé ou instauré à l’article 1er, paragraphe 1, de la décision du Bureau du 3 mai 2004, mais seulement que cette disposition établissait ce droit d’accès. Il s’ensuit que ledit point doit être compris comme signifiant que ladite disposition concrétisait ou régissait au moment des faits le droit d’accès permanent des députés aux bâtiments du Parlement.
48 Par ailleurs, tout d’abord, même si le Tribunal, à l’instar des requérants, s’est focalisé, aux points 69 et 70 de l’arrêt attaqué, sur l’article 25, paragraphe 2, du règlement intérieur de la huitième législature, les visas de la décision litigieuse se réfèrent à cet article dans sa globalité. D’ailleurs, au point 74 de cet arrêt, le Tribunal a mentionné ledit article pris dans son entièreté. Or, le paragraphe 3 du même article dispose que « [l]e Bureau règle les questions financières, d’organisation et administratives concernant les députés sur proposition du secrétaire général ou d’un groupe politique ». Il s’ensuit que, en toute hypothèse, l’article 25, paragraphes 2 et 3, du règlement intérieur de la huitième législature couvre le même champ d’application que l’article 22, paragraphe 2, du règlement intérieur de la cinquième législature.
49 Ensuite, dès lors que le Parlement entendait, en adoptant la décision litigieuse, ainsi que cela résulte du considérant 11 de celle-ci, « fournir des garanties suffisantes pour protéger la vie et la santé de toutes les personnes présentes dans [s]es locaux », le Tribunal a pu considérer que le Parlement pouvait s’appuyer sur le seul article 25, paragraphe 2, du règlement intérieur de la huitième législature. En effet, puisqu’il souhaitait réglementer non pas, spécifiquement, la situation des députés, mais, plus largement, celle de toutes les personnes présentes dans ses locaux, le Parlement pouvait se fonder sur cette disposition, libellée en des termes généraux. La définition des modalités d’accueil de toutes les personnes souhaitant se rendre dans ses bâtiments concerne l’organisation interne du Parlement, au sens large.
50 Enfin, les requérants n’ayant pas démontré l’absence d’équivalence entre l’article 22, paragraphe 2, du règlement intérieur de la cinquième législature et l’article 25 du règlement intérieur de la huitième législature, le Tribunal n’a pas commis d’erreur de droit en jugeant cohérent, au point 74 de l’arrêt attaqué, le fait que le Bureau « ait adopté la décision [litigieuse], sur le fondement de la même base juridique, conformément au principe du parallélisme des formes ».
51 Il découle des motifs qui précèdent que la première branche du premier moyen doit être rejetée.
Sur la seconde branche, tirée de ce que l’article 25, paragraphe 2, du règlement intérieur de la huitième législature ne saurait fonder le traitement de données à caractère personnel hautement sensibles
– Argumentation des parties
52 Les requérants allèguent que, contrairement à ce qu’a jugé le Tribunal aux points 75 à 90 de l’arrêt attaqué, la décision litigieuse n’a pas les qualités requises pour constituer une « loi », au sens de l’article 8, paragraphe 2, de la Charte ou, a fortiori, du « droit de l’Union », au sens de l’article 5, paragraphe 2, du règlement 2018/1725. Une autorisation expresse du législateur de l’Union aurait donc été nécessaire pour que le Bureau puisse adopter la décision litigieuse.
53 Tout d’abord, s’il est établi que, au niveau national, la notion de « loi » doit être entendue dans son acception matérielle, il en irait différemment en ce qui concerne les actes des institutions de l’Union, pour lesquels prévaudrait une conception formelle de cette notion.
54 Il s’ensuivrait que la décision litigieuse, en ce qu’elle a été adoptée par le Bureau sur le fondement de l’article 25, paragraphe 2, du règlement intérieur de la huitième législature, lui-même adopté sur le fondement de l’article 232 TFUE, ne peut être considérée comme étant une « loi » ou un « acte législatif ». En décider autrement, à l’instar du Tribunal au point 74 de l’arrêt attaqué, reviendrait à étendre indûment la possibilité pour les organes du Parlement, tel le Bureau, de restreindre les libertés fondamentales ainsi que les privilèges et les immunités des requérants, sans l’aval du législateur de l’Union.
55 Ensuite, la décision litigieuse ne constituerait pas non plus une « loi », même dans son acception matérielle, au sens de l’article 8, paragraphe 2, de la Charte. En effet, cette décision prévoirait seulement que le Parlement est tenu de respecter le règlement 2018/1725 dans la mise en œuvre de cette décision. Un renvoi aussi vague et abstrait ne satisferait à l’évidence pas aux exigences d’accessibilité et de prévisibilité auxquelles doit répondre une « loi », en vertu de l’article 8, paragraphe 2, de la Charte, lu à la lumière de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, et de l’article 52, paragraphe 1, de la Charte.
56 En jugeant que ladite décision satisfait à ces exigences au seul motif qu’elle prévoit l’application du règlement 2018/1725 au traitement des données à caractère personnel dans le cadre de la lecture automatisée des certificats, le Tribunal aurait, d’une part, appliqué, de manière erronée, aux points 85 à 87 de l’arrêt attaqué, l’article 8 de la Charte, lu à la lumière de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, et, d’autre part, violé son obligation de motivation. En effet, il résulterait notamment de l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 91), que les personnes dont les données à caractère personnel sont concernées doivent disposer de garanties suffisantes permettant de protéger efficacement leurs données contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données.
57 Au surplus, le CEPD aurait souligné, dans ses orientations du 9 août 2021, concernant le retour sur le lieu de travail et le dépistage de l’état d’immunité ou d’infection au COVID par les institutions européennes (ci-après les « orientations du 9 août 2021 »), que le traitement de données à caractère personnel dans le cadre du certificat COVID numérique de l’UE doit reposer sur une base légale et faire l’objet d’une mesure d’exécution. À ce titre, le CEPD aurait suggéré que l’article 1er sexies, paragraphe 2, du statut des fonctionnaires peut constituer une telle base légale pour un tel traitement. Cette disposition serait toutefois inapplicable aux requérants, les membres du Parlement ne relevant pas de ce statut.
58 Le Parlement estime que la seconde branche du premier moyen est, pour partie, non fondée et, pour partie, inopérante. En effet, l’argument selon lequel l’article 1er sexies, paragraphe 2, du statut des fonctionnaires ne peut fonder l’adoption de mesures prévoyant le traitement des données à caractère personnel des membres du Parlement serait inopérant puisqu’il ne concerne pas la question de savoir si la décision litigieuse est une « loi », au sens de l’article 8, paragraphe 2, de la Charte, et si elle pouvait être fondée sur l’article 25, paragraphe 2, du règlement intérieur de la huitième législature.
– Appréciation de la Cour
59 En vue d’examiner l’argumentation des requérants, la Cour estime approprié d’apprécier, dans un premier temps, si la décision litigieuse constitue une « loi », au sens de l’article 8, paragraphe 2, de la Charte, et, dans l’affirmative, d’évaluer, dans un second temps, si cette décision répond aux exigences d’accessibilité et de prévisibilité sur lesquelles s’est fondé le Tribunal dans l’arrêt attaqué. En effet, eu égard à la jurisprudence de la Cour européenne des droits de l’homme pertinente, dont il convient de tenir compte aux fins de l’interprétation de ladite disposition, les termes « prévue par la loi » figurant à cette dernière disposition non seulement imposent que la mesure concernée ait une base légale en droit interne, mais impliquent également que celle-ci soit accessible aux justiciables et prévisible dans ses effets (voir, en ce sens, Cour EDH, arrêt du 24 janvier 2017, Paradiso et Campanelli c. Italie, CE:ECHR:2017:0124JUD002535812, § 169).
60 Ainsi, en premier lieu, il convient de rappeler que, aux termes de l’article 8, paragraphe 2, première phrase, de la Charte, les données à caractère personnel « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ». Le traitement des données à caractère personnel peut, dès lors, faire l’objet d’un traitement en vertu d’un fondement légitime prévu par la loi, ce qui implique que l’ingérence dans le droit à la protection des données à caractère personnel des personnes concernées doit être prévue par une base légale définissant, de manière claire et précise, la portée de la limitation de l’exercice de ce droit (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 175).
61 Premièrement, ainsi que le Tribunal l’a souligné à bon droit au point 81 de l’arrêt attaqué, il résulte d’une jurisprudence constante de la Cour européenne des droits de l’homme que, dans l’expression « prévue par la loi », le terme « loi » doit être entendu dans son acception matérielle, et non pas formelle, ce qui peut inclure notamment des textes de rang infralégislatif (Cour EDH, 18 juin 1971, De Wilde, Ooms et Versyp c. Belgique, requêtes nos 2832/66, 2835/66 et 2899/66, ECHR:1971:0618JUD000283266, § 93).
62 De la même manière, la Cour a considéré qu’un règlement de la Commission européenne, qui, conformément à l’article 289, paragraphe 3, TFUE, ne pouvait être qualifié d’« acte législatif de l’Union » dès lors qu’il n’avait pas été adopté par procédure législative, comportait une ingérence « prévue par la loi » (arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 66).
63 Deuxièmement, l’article 25, paragraphe 1, sous a), c), d) et h), du règlement 2018/1725 autorise les institutions et les organes de l’Union à adopter des règles internes en vue de limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 de ce règlement dans la mesure où ses dispositions correspondent aux droits et aux obligations prévus aux articles 14 à 22 dudit règlement, lorsqu’une telle limitation respecte l’essence des libertés et des droits fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, notamment, la sécurité publique des États membres, d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, la sécurité interne des institutions et des organes de l’Union, ou encore la protection de la personne concernée ou des droits et des libertés d’autrui.
64 Or, la décision litigieuse constitue précisément une telle « mesure interne » susceptible d’être adoptée sur le fondement de l’article 25, paragraphe 1, sous a), c), d) ou h), du même règlement.
65 Troisièmement, ainsi que l’a fait valoir le Parlement dans son mémoire en réponse, une interprétation restrictive de l’article 8, paragraphe 2, de la Charte priverait d’effet utile l’article 232 TFUE, puisqu’elle impliquerait l’impossibilité pour les institutions d’adopter des décisions prévoyant le traitement de données à caractère personnel afin d’organiser leur fonctionnement et celui de leurs services.
66 Quatrièmement, il est constant que la décision litigieuse prévoit le traitement des données à caractère personnel concernées conformément au règlement 2018/1725.
67 Il découle des motifs qui précèdent que la décision litigieuse constitue une base légale suffisante, au sens de l’article 8, paragraphe 2, de la Charte. Dès lors, c’est à juste titre que le Tribunal a jugé, au point 84 de l’arrêt attaqué, que le Parlement n’avait pas besoin d’une autorisation expresse du législateur de l’Union pour pouvoir adopter la décision litigieuse.
68 S’agissant, en second lieu, de la question de savoir si cette décision satisfait aux critères de clarté et de précision et peut, par conséquent, être considérée comme étant accessible et prévisible dans ses effets, il convient de relever, d’une part, que, ainsi que l’a constaté le Tribunal au point 173 de l’arrêt attaqué sans que cela ne soit contesté par les requérants, la décision litigieuse a été, conformément à son article 6, paragraphe 1, affichée de manière visible à tous les points d’accès aux bâtiments du Parlement dans lesquels il était procédé à une vérification.
69 D’autre part, il résulte de la jurisprudence de la Cour qu’une réglementation permettant une ingérence dans le droit à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences, de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données (arrêt du 8 avril 2014, Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 54).
70 À cet égard, le Tribunal a affirmé, au point 85 de l’arrêt attaqué, que la décision litigieuse remplissait ces deux critères. Pour ce faire, il a mis en exergue, au point 87 dudit arrêt, les considérants 22 à 25 ainsi que l’article 4 de cette décision.
71 À cet égard, il ressort principalement des considérants 22 à 25 de la décision litigieuse qu’il découle des orientations du 9 août 2021 que les institutions de l’Union peuvent, en principe, traiter les certificats COVID numériques de l’UE ou les certificats équivalents sous réserve de respecter les exigences juridiques strictes établies par le règlement 2018/1725 aux fins du retour des membres du personnel sur leur lieu de travail.
72 En outre, il importe de constater que l’article 4 de la décision litigieuse décrit la portée et les modalités de traitement des données à caractère personnel extraites du certificat COVID numérique de l’UE. Bien qu’elle renvoie de manière générale au règlement 2018/1725, cette disposition est ainsi suffisamment claire et précise pour être considérée comme étant accessible et prévisible dans ses effets.
73 Dans ces conditions, c’est à bon droit que le Tribunal a constaté, aux points 85 à 87 de l’arrêt attaqué, que, eu égard à ses considérants 22 à 25 ainsi qu’à son article 4, la décision litigieuse répond aux exigences rappelées au point 69 du présent arrêt.
74 Il s’ensuit que la seconde branche du premier moyen doit être rejetée et, partant, ce moyen pris dans son ensemble.
Sur le second moyen
75 Le second moyen se subdivise en deux branches. La première est tirée d’une erreur de droit commise par le Tribunal en jugeant, aux points 147 à 153 de l’arrêt attaqué, que le Parlement était habilité à traiter les données à caractère personnel contenues dans les certificats COVID nationaux des requérants, afin de restreindre l’accès aux bâtiments de cette institution, alors que cette finalité n’était prévue ni par le droit belge ni par le droit français. La seconde branche est dirigée contre les points 155 et 156 de cet arrêt, qui comporteraient une erreur de droit en ce que le Tribunal y a considéré que le traitement de données à caractère personnel réalisé par le Parlement était couvert par l’exception prévue à l’article 6 du règlement 2018/1725.
76 Ce faisant, l’arrêt attaqué méconnaîtrait l’article 4, paragraphe 1, sous a) à c), et les articles 5 et 6 de ce règlement, ainsi que l’obligation de motivation des arrêts du Tribunal consacrée à l’article 36 et à l’article 53, premier alinéa, du statut de la Cour de justice de l’Union européenne.
Sur la première branche, tirée d’une utilisation par le Parlement des données à caractère personnel relatives à la santé des requérants à une fin autre que celle pour laquelle elles avaient initialement été collectées
– Argumentation des parties
77 Les requérants indiquent que, au moyen des applications CovidScan BE, puis CovidCheck.lu, les agents du service de sécurité du Parlement ont lu et scanné des codes-barres contenant des données à caractère personnel hautement sensibles relatives à leur santé. En outre, ces données auraient été collectées et stockées au niveau national dans le cadre de la mise en œuvre du règlement 2021/953. Au moyen desdites applications, ces agents auraient donc interrogé les bases de données nationales pour vérifier le statut des requérants (vacciné, testé négatif ou rétabli de la maladie) lorsque ces derniers souhaitaient accéder aux bâtiments du Parlement. Ce faisant, la décision litigieuse autoriserait un traitement de données à caractère personnel pour une finalité qui n’était pas prévue au niveau national.
78 Or, il ressortirait clairement du considérant 48 de ce règlement que, si les États membres souhaitaient utiliser les données à caractère personnel traitées dans le cadre de la mise en œuvre du certificat COVID numérique de l’UE à d’autres fins que celles prévues par ce même règlement, ils devaient prévoir une base juridique nationale spécifique à cette fin et respecter strictement les dispositions du RGPD. À cet égard, le CEPD aurait souligné, au point 6.1 de ses orientations du 9 août 2021, que « [l]es institutions de l’[Union] qui envisagent d’utiliser les certificats comme moyen d’atténuer le risque d’infection sur le lieu de travail doivent se référer à la législation nationale de leur État membre d’accueil pour vérifier si la base juridique de la mise en œuvre du système au niveau national permet cette utilisation, et se référer aux orientations sanitaires nationales concernant l’utilisation des certificats au lieu de travail ».
79 Pourtant, ni le législateur belge ni le législateur français n’auraient prévu une base juridique spécifique pour autoriser l’utilisation des données à caractère personnel contenues dans les certificats COVID numériques de l’UE afin d’accéder au lieu de travail ou au parlement national.
80 En octroyant au traitement de données à caractère personnel relatives à la santé des requérants une finalité autre que celle pour laquelle ces données ont été initialement collectées et traitées, la décision litigieuse violerait donc l’article 4, paragraphe 1, sous a) à c), du règlement 2018/1725, contrairement à ce que le Tribunal a jugé aux points 147 à 153 de l’arrêt attaqué.
81 Dans son mémoire en réponse, le Parlement soutient que les requérants n’avancent aucun argument visant spécifiquement à critiquer l’arrêt attaqué et à démontrer que le raisonnement du Tribunal, aux points 147 à 153 de cet arrêt, serait entaché d’une erreur de droit. La première branche du deuxième moyen tendrait ainsi à obtenir un simple réexamen de la requête présentée devant le Tribunal et devrait, par conséquent, être déclarée comme étant manifestement irrecevable.
82 En outre, le Parlement fait valoir que les requérants ne développent aucune argumentation à l’appui de leur conclusion selon laquelle la décision litigieuse violerait les principes de licéité, de loyauté et de transparence ainsi que le principe de minimisation des données, consacrés à l’article 4, paragraphe 1, sous a) et c), du règlement 2018/1725. Ces arguments devraient donc, en tout état de cause, être rejetés comme étant manifestement irrecevables.
83 Dans ces conditions, le Parlement estime que la première branche du second moyen doit être déclarée comme étant, à titre principal, irrecevable et, à titre subsidiaire, non fondée.
84 Dans leur mémoire en réplique, les requérants contestent le fait que la première branche de leur second moyen a simplement pour objet d’obtenir un réexamen de la requête. En effet, le pourvoi comporterait bien une argumentation visant spécifiquement à critiquer l’arrêt attaqué, les requérants s’appuyant simplement, à cet effet, sur des arguments de droit qu’ils avaient déjà soulevés devant le Tribunal.
85 Dans son mémoire en duplique, le Parlement conclut au caractère inopérant de l’allégation selon laquelle les actes permettant le traitement, par le Parlement, des données à caractère personnel contenues dans ces certificats afin de restreindre l’accès à ses bâtiments devraient être des actes législatifs. En effet, cette allégation, qui n’a pas été soulevée dans le cadre du second moyen, ne serait pas de nature à infirmer les constatations opérées par le Tribunal aux points 147 à 153 de l’arrêt attaqué. De fait, ceux-ci porteraient sur la nécessité d’une base juridique en droit national pour le traitement des données à caractère personnel contenues dans le certificat COVID numérique de l’UE à une autre finalité que celle prévue dans le règlement 2021/953.
– Appréciation de la Cour
86 Ainsi que l’a fait valoir le Parlement dans son mémoire en réponse, les requérants se bornent, dans le cadre de cette branche, à solliciter un réexamen de la requête qu’ils ont soumise au Tribunal en première instance.
87 Certes, ils prétendent, dans leur réplique, que leur pourvoi comporte, à ses points 49, 50 et 70, une argumentation visant spécifiquement à critiquer l’arrêt attaqué.
88 Toutefois, il convient de relever que le point 49 de la requête en pourvoi se borne à introduire les deux branches composant ce second moyen et à identifier les points critiqués de l’arrêt attaqué, tandis que le point 50 énumère les différentes dispositions du droit de l’Union que le Tribunal aurait méconnues. Quant au point 70 de cette requête, il conclut le raisonnement consacré au second moyen dans son ensemble et se contente de constater la violation de certaines des dispositions mentionnées audit point 50.
89 En revanche, les points 51 à 63 du pourvoi, qui constituaient le cœur de l’argumentation des requérants relative à la première branche du second moyen, étaient uniquement dirigés contre la décision litigieuse.
90 La première branche du second moyen doit donc être déclarée comme étant irrecevable, faute pour les requérants d’avoir indiqué de façon précise les éléments critiqués de l’arrêt dont l’annulation est demandée, ainsi que les arguments juridiques qui soutiennent de manière spécifique cette demande (arrêt du 11 septembre 2014, MasterCard e.a./Commission, C‑382/12 P, EU:C:2014:2201, point 215).
91 En tout état de cause, cette branche est inopérante. En effet, les requérants soutiennent que les législations belge et française n’ont jamais prévu la possibilité de traiter leurs données à caractère personnel collectées dans ces pays en vue de permettre à leurs titulaires d’accéder aux sièges du Parlement situés à Bruxelles (Belgique) et à Strasbourg (France). Or, il est patent qu’un traitement des données poursuivant une telle finalité doit être recherché dans le droit de l’Union lui-même, et non pas dans le droit des États membres, ainsi que le Tribunal l’a jugé aux points 147 à 154 de l’arrêt attaqué. Dans ces conditions, l’absence de fondement en droit belge et en droit français pour utiliser les résultats des certificats numériques de l’UE afin d’autoriser l’accès au Parlement ne saurait affecter la légalité de la décision litigieuse.
92 Enfin, l’argument des requérants selon lequel la décision litigieuse aurait dû être adoptée non pas par le Bureau, mais par un acte législatif doit être rejeté, dès lors qu’il ressort de l’examen de la première branche du premier moyen qu’une décision du Bureau constitue une « loi », au sens de l’article 8, paragraphe 2, de la Charte.
93 Il convient, dès lors, de rejeter la première branche du second moyen comme étant irrecevable.
Sur la seconde branche, tirée d’une violation de l’article 6 du règlement 2018/1725
– Argumentation des parties
94 Les requérants estiment que, contrairement à ce qu’a jugé le Tribunal aux points 150, 155 et 156 de l’arrêt attaqué, le Bureau ne pouvait pas autoriser le traitement de leurs données à caractère personnel en vertu de l’article 6 du règlement 2018/1725. En effet, en l’espèce, il serait évident que les requérants n’ont pas consenti librement à la nouvelle finalité de traitement de leurs données à caractère personnel par le Parlement. En outre, ce traitement ne serait pas non plus fondé « sur le droit de l’Union », une décision du Bureau, adoptée en vertu de son pouvoir d’organisation interne, ne pouvant être considérée comme relevant du « droit de l’Union ». Le Parlement n’aurait pas démontré que les conditions d’application posées à l’article 6 du règlement 2018/1725 étaient réunies. En tout état de cause, le Tribunal aurait manqué à son obligation de motivation, l’arrêt attaqué ne permettant pas de comprendre de quelle manière le Parlement a réalisé la vérification prévue à cet article.
95 Le Parlement rétorque que l’affirmation des requérants selon laquelle une décision du Bureau du Parlement, adoptée en vertu de son pouvoir d’organisation interne, ne saurait relever du « droit de l’Union » ne trouve aucun appui dans le règlement 2018/1725. En outre, le traitement des données à caractère personnel prévu par la décision litigieuse aurait pour objectif tant la protection de la santé publique que la reprise des activités normales du Parlement. Un tel traitement poursuivrait donc l’un des objectifs visés à l’article 25, paragraphe 1, sous c), de ce règlement. Il s’ensuit que le Parlement n’aurait pas eu l’obligation de vérifier si ce traitement était conforme à l’article 6 dudit règlement, de sorte que la seconde branche du second moyen devrait être rejetée comme étant non fondée.
96 Le Parlement ajoute que, pour cette même raison, l’argument des requérants selon lequel le Tribunal aurait manqué à son devoir de motivation en ce que l’arrêt attaqué ne contient aucun motif permettant de comprendre de quelle manière le Parlement aurait réalisé la vérification prévue à l’article 6 du règlement 2018/1725 est inopérant.
97 Dans leur mémoire en réplique, les requérants avancent, notamment, que, dans son mémoire en réponse, le Parlement cherche à combler le défaut de motivation de l’arrêt attaqué en étayant les raisons pour lesquelles les conditions visées à l’article 6 de ce règlement doivent être considérées comme étant satisfaites en l’espèce. Or, il n’appartiendrait pas au Parlement de remédier au défaut de motivation de l’arrêt attaqué.
– Appréciation de la Cour
98 En premier lieu, il convient de relever que, dès lors qu’il résulte de l’examen de la première branche du premier moyen que la décision litigieuse constitue une « loi », au sens de l’article 8, paragraphe 2, de la Charte, cette décision relève nécessairement, ainsi que le Tribunal l’a constaté au point 150 de l’arrêt attaqué, du « droit de l’Union », au sens de l’article 6 du règlement 2018/1725.
99 En second lieu, au point 156 de l’arrêt attaqué, le Tribunal a constaté, à juste titre, qu’il ressort du libellé même du considérant 24 de la décision litigieuse que le traitement des données à caractère personnel institué par le Bureau avait pour objectif la protection de la santé publique, de sorte que ce traitement poursuivait un objectif important d’intérêt public général de l’Union, au sens de l’article 25, paragraphe 1, sous c), du règlement 2018/1725. Or, il ne lui incombait d’ailleurs pas de rechercher si ce traitement poursuivait également d’autres objectifs visés à l’article 25, paragraphe 1, de ce dernier (voir, par analogie, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 71).
100 Il ressort clairement de ce point de l’arrêt attaqué que le Tribunal n’a pris position que sur cette seule condition d’application de l’article 6 dudit règlement. S’agissant de l’examen de la question de savoir si la décision litigieuse constituait une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 25, paragraphe 1, du même règlement, le Tribunal a renvoyé aux développements consacrés à l’examen du quatrième moyen en annulation soulevé par les requérants.
101 Or, dans le cadre de leur pourvoi, les requérants ne contestent aucunement les points 194 à 209, 217 à 225, 228 à 236, pas plus que les points 240 à 256 de l’arrêt attaqué. Dans ces conditions, il n’y a pas lieu pour la Cour de vérifier l’appréciation portée par le Tribunal sur le quatrième moyen soulevé devant lui. L’argument des requérants tiré d’une violation, par le Tribunal, de son obligation de motivation est ainsi, au demeurant, inopérant.
102 Il découle des motifs qui précèdent que la seconde branche du second moyen doit être écartée comme étant, en partie, inopérante et, en partie, non fondée, de sorte que le pourvoi doit être rejeté dans son intégralité.
Sur les dépens
103 En vertu de l’article 184, paragraphe 2, de son règlement de procédure, lorsque le pourvoi n’est pas fondé, la Cour statue sur les dépens.
104 Aux termes de l’article 138, paragraphe 1, de ce règlement, applicable à la procédure du pourvoi en vertu de l’article 184, paragraphe 1, dudit règlement, toute partie qui succombe est condamnée aux dépens s’il est conclu en ce sens. Le Parlement ayant conclu à la condamnation des requérants et ces derniers ayant succombé en leur pourvoi, il y a lieu de les condamner aux dépens.
Par ces motifs, la Cour (troisième chambre) déclare et arrête :
1) Le pourvoi est rejeté.
2) M. Robert Roos et les autres parties requérantes sont condamnés aux dépens.
Jürimäe |
Piçarra |
Safjan |
Jääskinen |
Gavalec |
Ainsi prononcé en audience publique à Luxembourg, le 16 novembre 2023.
Le greffier |
La présidente de chambre |
A. Calot Escobar |
K. Jürimäe |
* Langue de procédure : le français.