–

pentru RL, de W. Achelpöhler, Rechtsanwalt;

–

pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

–

pentru guvernul belgian, de P. Cottin și A. Van Baelen, în calitate de agenți, asistați de P. Wytinck, advocaat;

–

pentru guvernul spaniol, de L. Aguilera Ruiz, în calitate de agent;

–

pentru guvernul polonez, de B. Majczyna, în calitate de agent;

–

pentru Parlamentul European, de G. C. Bartram, P. López‑Carceller și J. Rodrigues, în calitate de agenți;

–

pentru Consiliul Uniunii Europene, de M. França și Z. Šustr, în calitate de agenți;

–

pentru Comisia Europeană, de H. Kranenborg, E. Montaguti și I. Zaloguin, în calitate de agenți,

1

Cererea de decizie preliminară privește validitatea Regulamentului (UE) 2019/1157 al Parlamentului European și al Consiliului din 20 iunie 2019 privind consolidarea securității cărților de identitate ale cetățenilor Uniunii și a documentelor de ședere eliberate cetățenilor Uniunii și membrilor de familie ai acestora care își exercită dreptul la liberă circulație (JO 2019, L 188, p. 67) și în special a articolului 3 alineatul (5) din acesta.

2

Această cerere a fost formulată în cadrul unui litigiu între RL, pe de o parte, și Landeshauptstadt Wiesbaden (orașul Wiesbaden, capitala landului, Germania) (denumit în continuare „orașul Wiesbaden”), pe de altă parte, în legătură cu respingerea de către acesta din urmă a cererii sale de eliberare a unei cărți de identitate care să nu includă amprentele sale digitale.

3

Considerentele (1), (2), (4), (5), (17)-(21), (23), (26)-(29), (32), (33), (36), (40)-(42) și (46) ale Regulamentului 2019/1157 au următorul cuprins:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

[…]

4

Articolul 1 din Regulamentul 2019/1157, intitulat „Obiect”, prevede:

„Prezentul regulament consolidează standardele de securitate aplicabile cărților de identitate eliberate de statele membre propriilor cetățeni, precum și documentelor de ședere eliberate de statele membre cetățenilor Uniunii și membrilor familiilor acestora, atunci când își exercită dreptul la liberă circulație.”

5

Articolul 2 din acest regulament, intitulat „Domeniul de aplicare”, prevede:

„Prezentul regulament se aplică:

6

Articolul 3 din regulamentul menționat, intitulat „Standarde de securitate/model/specificații”, prevede la alineatele (5)-(7) și (10):

„(5)   Cărțile de identitate includ un suport de stocare de înaltă securitate, care conține o imagine facială a titularului cărții și două amprente digitale, în modele digitale interoperabile. Pentru colectarea elementelor biometrice de identificare, statele membre aplică specificațiile tehnice prevăzute în Decizia de punere în aplicare C(2018) 7767 a Comisiei [din 30 noiembrie 2018 de stabilire a specificațiilor tehnice pentru modelul uniform de permis de ședere pentru resortisanții țărilor terțe și de abrogare a Deciziei C(2002) 3069].

(6)   Suportul de stocare trebuie să aibă o capacitate suficientă pentru a garanta integritatea, autenticitatea și confidențialitatea datelor. Datele stocate sunt accesibile fără contact direct și sunt securizate, astfel cum se prevede în Decizia de punere în aplicare C(2018) 7767. Statele membre fac schimb de informații necesare pentru autentificarea mediului de stocare și pentru accesul la datele biometrice menționate la alineatul (5) și pentru verificarea acestora.

(7)   Copiii sub 12 ani pot fi exonerați de obligația de a se supune amprentării digitale.

Copiii sub 6 ani sunt exonerați de obligația de a se supune amprentării digitale.

Persoanele pentru care prelevarea amprentelor digitale este fizic imposibilă sunt exonerate de obligația de a se supune amprentării digitale.

[…]

(10)   În cazul în care statele membre stochează în cărțile de identitate date pentru servicii electronice cum ar fi e‑guvernarea și comerțul electronic, astfel de date naționale trebuie să fie separate în mod fizic sau logic de datele biometrice menționate la alineatul (5).”

7

Potrivit articolului 5 din același regulament, intitulat „Eliminarea treptată”:

„(1)   Cărțile de identitate care nu îndeplinesc cerințele prevăzute la articolul 3 încetează să fie valabile la data expirării lor sau [cel târziu la] 3 august 2031, oricare dintre aceste date survine mai întâi.

(2)   Prin derogare de la alineatul (1):

[…]

(3)   În sensul alineatului (2), un MRZ funcțional înseamnă:

[…]”

8

Articolul 6 din Regulamentul 2019/1157, intitulat „Informații minime care trebuie indicate”, prevede la primul paragraf:

„Documentele de ședere, atunci când sunt eliberate de statele membre pentru cetățenii Uniunii, trebuie să indice cel puțin următoarele elemente:

[…]

[…]”

9

Articolul 10 din acest regulament, intitulat „Colectarea elementelor biometrice de identificare”, prevede:

„(1)   Elementele biometrice de identificare sunt colectate exclusiv de către un personal calificat și autorizat în mod corespunzător, desemnat de autoritățile responsabile pentru eliberarea de cărți de identitate sau permise de ședere, cu scopul de a fi integrate pe suportul de stocare cu un grad înalt de securitate prevăzut la articolul 3 alineatul (5) pentru cărți de identitate și la articolul 7 alineatul (1) pentru permise de ședere. Prin derogare de la prima teză, amprentele digitale sunt prelevate exclusiv de personalul calificat și autorizat în mod corespunzător al acestor autorități, cu excepția cazului în care se depun cereri la autoritățile diplomatice și consulare ale statului membru.

În vederea asigurării coerenței elementelor biometrice de identificare cu identitatea solicitantului, solicitantul se prezintă personal cel puțin o dată în cursul procesului de eliberare pentru fiecare cerere.

(2)   Statele membre se asigură că există proceduri corespunzătoare și eficace pentru colectarea elementelor biometrice de identificare și că procedurile respective respectă drepturile și principiile prevăzute în Cartă, în Convenția pentru apărarea drepturilor omului și a libertăților fundamentale și în Convenția Organizației Națiunilor Unite privind drepturile copilului.

În cazul în care sunt întâmpinate dificultăți în colectarea elementelor biometrice de identificare, statele membre se asigură că există proceduri corespunzătoare care garantează respectarea demnității persoanei în cauză.

(3)   În afara cazului în care sunt necesare în scopul prelucrării în conformitate cu dreptul Uniunii și dreptul intern, elementele biometrice de identificare stocate în scopul personalizării cărților de identitate sau a documentelor de ședere sunt păstrate într‑un mod foarte sigur și numai până la data ridicării documentului și, în orice caz, nu mai mult de 90 de zile de la data producerii documentului respectiv. După această perioadă, aceste elemente biometrice de identificare sunt imediat șterse sau distruse.”

10

Articolul 11 din regulamentul menționat, intitulat „Protecția datelor cu caracter personal și răspunderea”, prevede la alineatele (4) și (6):

„(4)   Cooperarea cu prestatorii externi de servicii nu exclude nicio răspundere a unui stat membru care poate decurge din dreptul Uniunii sau din dreptul intern pentru încălcări ale obligațiilor în ceea ce privește datele cu caracter personal.

[…]

(6)   Datele biometrice stocate pe suportul de stocare al cărților de identitate și al documentelor de ședere sunt utilizate, în conformitate cu dreptul Uniunii și dreptul intern, numai de către personalul autorizat în mod corespunzător al autorităților naționale competente și al agențiilor Uniunii, cu scopul de a verifica:

11

Articolul 14 din același regulament, intitulat „Specificații tehnice suplimentare”, prevede la alineatele (1) și (2):

„(1)   Pentru a se asigura, dacă este cazul, respectarea standardelor minime de securitate viitoare pentru cărțile de identitate și documentele de ședere menționate la articolul 2 literele (a) și (c), Comisia stabilește, prin intermediul unor acte de punere în aplicare, specificații tehnice suplimentare cu privire la următoarele aspecte:

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 15 alineatul (2).

(2)   În conformitate cu procedura prevăzută la articolul 15 alineatul (2), se poate decide ca specificațiile prevăzute la prezentul articol să fie secrete și să nu fie publicate. […]”

12

Considerentul (51) al RGPD enunță:

„Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. […] Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice […].”

13

Articolul 4 din acest regulament, intitulat „Definiții”, are următorul cuprins:

„În sensul prezentului regulament:

[…]

[…]

[…]”

14

Articolul 9 din regulamentul menționat, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, prevede la alineatul (1):

„Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

15

Articolul 35 din același regulament, intitulat „Evaluarea impactului asupra protecției datelor”, prevede la alineatele (1), (3) și (10):

„(1)   Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.

[…]

(3)   Evaluarea impactului asupra protecției datelor menționată la alineatul (1) se impune mai ales în cazul:

[…]

(10)   Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic în dreptul Uniunii sau al unui stat membru sub incidența căruia intră operatorul, iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni specifice în cauză și deja s‑a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări a impactului general în contextul adoptării respectivului temei juridic, alineatele (1)-(7) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.”

16

Articolul 8 din Regulamentul (UE) 2016/399 al Parlamentului European și al Consiliului din 9 martie 2016 cu privire la Codul Uniunii privind regimul de trecere a frontierelor de către persoane (Codul Frontierelor Schengen) (JO 2016, L 77, p. 1), astfel cum a fost modificat prin Regulamentul (UE) 2017/458 al Parlamentului European și al Consiliului din 15 martie 2017 (JO 2017, L 74, p. 1), prevede la alineatele (1) și (2):

„(1)   Circulația transfrontalieră la frontierele externe face obiectul unor verificări din partea polițiștilor de frontieră. Verificările se efectuează în conformitate cu prezentul capitol.

[…]

(2)   La intrare și la ieșire, persoanele care beneficiază de dreptul la liberă circulație în temeiul dreptului Uniunii sunt supuse următoarelor verificări:

În cazul în care există îndoieli cu privire la autenticitatea documentului de călătorie sau la identitatea titularului său, se verifică cel puțin unul dintre elementele biometrice de identificare integrate în pașapoartele și în documentele de călătorie emise în conformitate cu Regulamentul (CE) nr. 2252/2004 [al Consiliului din 13 decembrie 2004 privind standardele pentru elementele de securitate și elementele biometrice integrate în pașapoarte și în documente de călătorie emise de statele membre (JO 2004, L 385, p. 1, Ediție specială, 01/vol. 5, p. 155)]. În măsura în care este posibil, această verificare se efectuează și în ceea ce privește documentele de călătorie care nu intră sub incidența regulamentului respectiv.

[…]”

17

Articolul 4 din Directiva 2004/38, intitulat „Dreptul de ieșire”, prevede la alineatele (1) și (3):

„(1)   Fără a aduce atingere dispozițiilor privind documentele de călătorie aplicabile controalelor la frontierele naționale, toți cetățenii Uniunii care dețin cărți de identitate valabile sau pașapoarte valabile și membrii familiei acestora care nu au cetățenia unui stat membru și care dețin pașapoarte valabile au dreptul de a părăsi teritoriul unui stat membru pentru a se deplasa în alt stat membru.

[…]

(3)   Hotărând în conformitate cu legislația proprie, statele membre eliberează și reînnoiesc cetățenilor lor cărțile de identitate sau pașapoartele care le atestă cetățenia.”

18

Articolul 5 din această directivă, intitulat „Dreptul de intrare”, menționează la alineatul (1):

„Fără a aduce atingere dispozițiilor privind documentele de călătorie aplicabile controalelor la frontierele naționale, statele membre permit intrarea pe teritoriul lor a cetățenilor Uniunii care dețin cărți de identitate valabile sau pașapoarte valabile, precum și a membrilor familiilor acestora care nu au cetățenia unui stat membru și care dețin pașapoarte valabile.

Cetățenilor Uniunii nu le pot fi impuse vize de ieșire [a se citi «de intrare»] și nici alte formalități echivalente.”

19

Articolul 6 din directiva menționată, intitulat „Dreptul de ședere pentru o perioadă de cel mult trei luni”, prevede:

„(1)   Cetățenii Uniunii au dreptul de ședere pe teritoriul altui stat membru pe o perioadă de cel mult trei luni fără nicio altă condiție sau formalitate în afara cerinței de a deține o carte de identitate valabilă sau un pașaport valabil.

(2)   Dispozițiile alineatului (1) se aplică și membrilor de familie care dețin un pașaport valabil, care nu au cetățenia unui stat membru și care îl însoțesc pe cetățeanul Uniunii ori se alătură acestuia.”

20

Articolul 8 din Directiva 2004/38, intitulat „Formalitățile administrative referitoare la cetățenii Uniunii”, prevede la alineatele (1)-(3):

„(1)   Fără a aduce atingere articolului 5 alineatul (5), pentru perioade de ședere ce depășesc trei luni, statul membru gazdă poate cere cetățenilor Uniunii să se înregistreze la autoritățile competente.

[…]

(3)   Pentru a elibera certificatul de înregistrare, statul membru poate solicita numai următoarele:

21

Punctele 12-14 din Acordul interinstituțional între Parlamentul European, Consiliul Uniunii Europene și Comisia Europeană din 13 aprilie 2016 privind o mai bună legiferare (JO 2016, L 123, p. 1, denumit în continuare „acordul interinstituțional”) au următorul cuprins:

„12. […]

Evaluările impactului constituie un instrument menit să ajute cele trei instituții să ia decizii în deplină cunoștință de cauză și nu înlocuiesc deciziile politice din cadrul procesului decizional democratic. […]

Evaluările impactului ar trebui să analizeze existența, amploarea și consecințele problemei și chestiunea necesității unei eventuale acțiuni la nivelul Uniunii. Acestea ar trebui să evidențieze soluții alternative și, dacă este posibil, costurile și beneficiile potențiale pe termen scurt și lung, evaluând consecințele economice, sociale și pentru mediu în mod integrat și echilibrat și utilizând atât analize calitative, cât și cantitative. Ar trebui respectate pe deplin principiile subsidiarității și proporționalității, precum și drepturile fundamentale. […] Evaluările impactului ar trebui să se bazeze pe informații corecte, obiective și complete și să fie proporționale cu sfera lor de aplicare și cu obiectivele urmărite.

13. Comisia va evalua impactul inițiativelor sale legislative […] care ar putea avea efecte semnificative din punct de vedere economic, social sau de mediu. Inițiativele incluse în programul de lucru al Comisiei sau în declarația comună vor fi însoțite, în general, de o evaluare a impactului.

[…] În momentul adoptării inițiativei Comisiei, rezultatele finale ale evaluărilor impactului vor fi puse la dispoziția Parlamentului European, a Consiliului [Uniunii Europene] și a parlamentelor naționale și vor fi făcute publice, împreună cu avizul (avizele) Comitetului de control normativ.

14. La analizarea propunerilor legislative ale Comisiei, Parlamentul […] și Consiliul vor ține seama pe deplin de evaluările impactului realizate de Comisie. În acest scop, evaluările impactului sunt prezentate astfel încât să faciliteze analizarea de către [Parlament] și Consiliu a alegerilor făcute de Comisie.”

22

Articolul 5 din Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Legea privind cărțile de identitate și dovada electronică a identității) din 18 iunie 2009 (BGBl. I, p. 1346), în versiunea aplicabilă faptelor din litigiul principal (denumit în continuare „PAuswG”), intitulat „Model de carte de identitate; date stocate”, prevede la alineatul (9):

„Cele două amprente digitale ale solicitantului [cărții de identitate] care trebuie să fie păstrate pe suportul electronic de stocare conform [Regulamentului 2019/1157] sunt înregistrate pe suportul electronic de stocare și de prelucrare a cărții de identitate sub forma amprentei plane a degetului arătător stâng și drept. În cazul în care lipsește un deget arătător, calitatea amprentei digitale este insuficientă sau vârful degetului este vătămat, se stochează ca substitut amprenta plană fie a degetului mare, fie a degetului mijlociu, fie a degetului inelar. Amprentele digitale nu sunt stocate în cazul în care prelevarea acestora este imposibilă din motive medicale care nu sunt doar de natură temporară.”

23

Potrivit articolului 6 alineatele (1) și (2) din PAuswG:

„(1)   Cărțile de identitate se eliberează pentru o perioadă de valabilitate de zece ani.

(2)   Înainte de expirarea valabilității unei cărți de identitate, se poate solicita o nouă carte de identitate în cazul în care poate fi justificat un interes legitim în eliberarea unei noi cărți.”

24

Articolul 9 din PAuswG, intitulat „Eliberarea cărții”, prevede la alineatul (1) prima teză:

„Cărțile de identitate, precum și cărțile de identitate provizorii se eliberează, la cerere, cetățenilor germani în sensul articolului 116 alineatul (1) din Legea fundamentală.”

25

Articolul 28 din PAuswG, intitulat „Nevaliditate”, prevede la alineatul (3):

„Defecțiunile care afectează suportul electronic de stocare și de prelucrare nu afectează validitatea cărții de identitate.”

26

La 30 noiembrie 2021, reclamantul din litigiul principal a solicitat orașului Wiesbaden eliberarea unei noi cărți de identitate pentru motivul că cipul electronic al vechii sale cărți era defect. Acesta a solicitat însă ca noua carte să nu conțină amprentele sale digitale.

27

Orașul Wiesbaden a respins această cerere întemeindu‑se pe un dublu motiv. Pe de o parte, reclamantul din litigiul principal nu ar fi avut dreptul la eliberarea unei noi cărți de identitate întrucât deținea deja un document de identitate valabil. Astfel, în conformitate cu articolul 28 alineatul (3) din PAuswG, o carte de identitate își păstrează valabilitatea chiar dacă cipul electronic al acesteia este defect. Pe de altă parte și în orice caz, începând de la data de 2 august 2021, integrarea a două amprente digitale pe suportul de stocare al cărților de identitate era obligatorie în temeiul articolului 5 alineatul (9) din PAuswG, care transpune articolul 3 alineatul (5) din Regulamentul 2019/1157.

28

La 21 decembrie 2021, reclamantul din litigiul principal a introdus o acțiune la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), care este instanța de trimitere, pentru a obliga orașul Wiesbaden să îi emită o carte de identitate fără să îi fie colectate amprentele digitale.

29

Instanța de trimitere exprimă îndoieli cu privire la legalitatea celor două motive ale deciziei în discuție în litigiul principal. În ceea ce privește în special al doilea motiv, aceasta înclină să considere că validitatea Regulamentului 2019/1157 sau cel puțin cea a articolului 3 alineatul (5) din acesta ar fi contestabilă.

30

În primul rând, instanța de trimitere ridică problema dacă acest regulament nu ar fi trebuit să fie adoptat mai curând în temeiul articolului 77 alineatul (3) TFUE și, prin urmare, la finalul procedurii legislative speciale prevăzute de această dispoziție, decât în temeiul articolului 21 alineatul (2) TFUE și în procedură legislativă ordinară. Astfel, pe de o parte, articolul 77 alineatul (3) TFUE se referă în mod specific la competența Uniunii de a adopta, între altele, dispoziții referitoare la cărțile de identitate și ar fi deci o dispoziție specială în raport cu articolul 21 alineatul (2) TFUE. Pe de altă parte, în Hotărârea din 17 octombrie 2013, Schwarz (C‑291/12, EU:C:2013:670), Curtea a statuat că Regulamentul nr. 2252/2004, întrucât stabilește standarde pentru elementele biometrice integrate în pașapoarte, se întemeiază în mod valabil pe articolul 62 punctul 2 litera (a) CE care corespunde în prezent articolului 77 alineatul (3) TFUE.

31

În al doilea rând, instanța de trimitere invocă posibila existență a unui viciu de procedură care a afectat adoptarea Regulamentului 2019/1157. Astfel, după cum a subliniat Autoritatea Europeană pentru Protecția Datelor (denumită în continuare „AEPD”) în Avizul 7/2018 din 10 august 2018 referitor la propunerea de regulament privind consolidarea securității cărților de identitate ale cetățenilor Uniunii și a altor documente (denumit în continuare „Avizul 7/2018”), prelevarea și stocarea amprentelor digitale ar constitui prelucrări de date cu caracter personal care trebuie să facă obiectul unei evaluări a impactului în temeiul articolului 35 alineatul (10) din RGPD. Or, în speță, o asemenea evaluare nu a fost realizată. În special, documentul care însoțește respectiva propunere de regulament, intitulat „Impact assessment”, nu ar putea fi considerat ca fiind o evaluare a impactului în sensul acestei dispoziții.

32

În al treilea rând, instanța de trimitere ridică mai precis problema compatibilității articolului 3 alineatul (5) din Regulamentul 2019/1157 cu articolele 7 și 8 din cartă, referitoare la respectarea vieții private și de familie și, respectiv, la protecția datelor cu caracter personal. Astfel, obligația impusă statelor membre de a elibera cărți de identitate al căror suport de stocare conține două amprente digitale ar constitui o restrângere a exercițiului drepturilor recunoscute de aceste două dispoziții ale cartei, restrângere care nu ar putea fi justificată decât dacă îndeplinește condițiile prevăzute la articolul 52 alineatul (1) din cartă.

33

Or, pe de o parte, restrângerea menționată ar putea să nu răspundă unui obiectiv de interes general. Desigur, Curtea a admis în Hotărârea din 17 octombrie 2013, Schwarz (C‑291/12, EU:C:2013:670), că prevenirea intrării ilegale a resortisanților unor țări terțe pe teritoriul Uniunii este un obiectiv recunoscut de dreptul Uniunii. Cu toate acestea, cartea de identitate nu ar fi în principal un document de călătorie, precum pașaportul, iar obiectivul său ar fi numai de a permite verificarea identității unui cetățean al Uniunii în relațiile sale atât cu autorități administrative, cât și cu terțe persoane private.

34

Pe de altă parte, presupunând că regulamentul menționat urmărește un obiectiv de interes general recunoscut de dreptul Uniunii, ar exista îndoieli cu privire la proporționalitatea acestei restrângeri. Astfel, soluția reținută de Curte în Hotărârea din 17 octombrie 2013, Schwarz (C‑291/12, EU:C:2013:670), nu ar putea fi transpusă în cazul Regulamentului 2019/1157 întrucât se referea la pașapoartele a căror deținere, spre deosebire de cărțile de identitate, este facultativă în Germania și a căror utilizare urmărește un obiectiv diferit.

35

În schimb, din Avizul 7/2018 ar reieși că integrarea și stocarea amprentelor digitale ar avea un impact considerabil, putând afecta până la 370 de milioane de cetățeni ai Uniunii și ar supune potențial 85 % din populația Uniunii prelevării obligatorii de amprente digitale. Or, acest impact considerabil, coroborat cu caracterul foarte sensibil al datelor prelucrate (o imagine facială combinată cu două amprente digitale), ar semnifica faptul că restrângerea adusă exercițiului drepturilor garantate la articolele 7 și 8 din cartă, ce rezultă din colectarea obligatorie a amprentelor digitale în scopul întocmirii cărților de identitate, este mai importantă decât pentru pașapoarte, fapt care ar impune, în schimb, o justificare mai solidă, precum și o examinare atentă a măsurii în cauză potrivit unui criteriu de necesitate strictă.

36

În orice caz, necesitatea de a efectua un control strict al proporționalității ar decurge de asemenea din articolul 9 alineatul (1) din RGPD, potrivit căruia prelucrarea unor astfel de date biometrice este, în principiu, interzisă și nu poate fi autorizată decât în cazuri excepționale și strict limitate.

37

În acest context, deși instanța de trimitere consideră că utilizarea unor date biometrice reduce riscul ca un document să poată fi falsificat, are îndoieli dacă această împrejurare singură poate justifica amploarea restrângerii aduse dreptului la protecția datelor cu caracter personal, având în vedere în special următoarele motive.

38

Mai întâi, în Avizul 7/2018, AEPD a subliniat că alte tehnici de imprimare securizată a documentelor de identificare precum hologramele sau filigranele sunt în mod clar mai puțin intruzive, permițând totodată prevenirea falsificării acestor documente și verificarea autenticității lor. De altfel, faptul că dreptul german recunoaște valabilitatea unei cărți de identitate al cărei cip electronic este defect ar demonstra că elementele fizice, în special microimprimările sau supraimprimările care reacționează la ultraviolete, sunt suficiente pentru a garanta securitatea cărților respective.

39

În continuare, articolul 3 alineatul (7) din Regulamentul 2019/1157 autorizează statele membre să exonereze copiii sub 12 ani de obligația de a se supune amprentării digitale și, în orice caz, le impune acestora să exonereze copiii sub 6 ani de această obligație, ceea ce ar demonstra că prelevarea a două amprente digitale nu este strict necesară.

40

Pe de altă parte, articolul 3 alineatul (5) din Regulamentul 2019/1157 nu ar respecta principiul reducerii la minimum a datelor, enunțat la articolul 5 din RGPD, din care reiese că colectarea și utilizarea datelor cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Astfel, colectarea a două amprente digitale întregi, și nu doar a punctelor caracteristice ale acestor amprente („minuțiile”), deși permite favorizarea interoperabilității diferitelor tipuri de sisteme, ar crește de asemenea cantitatea de date cu caracter personal stocate și, prin urmare, riscul de uzurpare a identității în cazul unei scurgeri de date. De altfel, acest risc nu ar fi neglijabil, întrucât cipurile electronice utilizate în cărțile de identitate ar putea fi citite de scanere neautorizate.

41

În sfârșit și în esență, restrângerea adusă exercițiului drepturilor garantate la articolele 7 și 8 din cartă ar putea să nu fie legitimă, întrucât, în Avizul 7/2018, AEPD a arătat că, atunci când a fost adoptat Regulamentul 2019/1157, numărul de cărți de identitate frauduloase era relativ scăzut proporțional cu numărul de cărți emise (38870 de cărți frauduloase constatate în perioada 2013-2017) și că acest număr era în scădere de mai mulți ani.

42

În acest context, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a decis să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Obligația privind integrarea și stocarea amprentelor digitale în cărțile de identitate, în conformitate cu articolul 3 alineatul (5) din Regulamentul [2019/1157], încalcă dreptul Uniunii de rang superior, în special:

și, din această cauză, este nevalidă pentru unul dintre motive?”

43

Prin intermediul întrebării formulate, instanța de trimitere solicită în esență să se stabilească dacă Regulamentul 2019/1157 este nevalid, în tot sau în parte, pentru motivul că, în primul rând, ar fi fost adoptat pe baza unui temei juridic eronat, în al doilea rând, ar încălca articolul 35 alineatul (10) din RGPD și, în al treilea rând, nu ar respecta articolele 7 și 8 din cartă.

44

Primul motiv de nevaliditate evocat de instanța de trimitere privește aspectul dacă, având în vedere în special trimiterea explicită la cărțile de identitate care figurează la articolul 77 alineatul (3) TFUE, precum și soluția reținută în Hotărârea din 17 octombrie 2013, Schwarz (C‑291/12, EU:C:2013:670), Regulamentul 2019/1157 ar fi trebuit să fie adoptat în temeiul acestui articol 77 alineatul (3) și în procedura legislativă specială pe care o prevede, iar nu, astfel cum s‑a întâmplat, în temeiul articolului 21 alineatul (2) TFUE.

45

Potrivit unei jurisprudențe constante, alegerea temeiului juridic al unui act al Uniunii trebuie să se întemeieze pe elemente obiective, care pot fi supuse unui control jurisdicțional, printre care figurează finalitatea și conținutul acestui act (Hotărârea din 16 februarie 2022, Ungaria/Parlamentul și Consiliul, C‑156/21, EU:C:2022:97, punctul 107, precum și Hotărârea din 16 februarie 2022, Polonia/Parlamentul și Consiliul, C‑157/21, EU:C:2022:98, punctul 121).

46

În plus, trebuie arătat că, atunci când există în tratate o dispoziție specială ce poate constitui temeiul juridic al actului în cauză, acesta trebuie să se întemeieze pe dispoziția respectivă (Hotărârea din 6 septembrie 2012, Parlamentul/Consiliul,C‑490/10, EU:C:2012:525, punctul 44, precum și Hotărârea din 8 decembrie 2020, Polonia/Parlamentul și Consiliul, C‑626/18, EU:C:2020:1000, punctul 48 și jurisprudența citată).

47

În sfârșit, dacă examinarea unui act al Uniunii demonstrează că acesta urmărește mai multe finalități sau că are mai multe componente și dacă una dintre aceste finalități sau dintre aceste componente poate fi identificată ca fiind principală sau preponderentă, iar celelalte nu sunt decât accesorii sau au o sferă de aplicare extrem de limitată, temeiul juridic pentru adoptarea acestui act trebuie determinat în conformitate cu această finalitate sau componentă principală [a se vedea în acest sens Hotărârea din 20 noiembrie 2018, Comisia/Consiliul (ZMP Antarctica),C‑626/15 și C‑659/16, EU:C:2018:925, punctul 77, precum și Avizul 1/19 (Convenția de la Istanbul) din 6 octombrie 2021, EU:C:2021:832, punctul 286].

48

Articolul 21 alineatul (2) TFUE prevede că, în cazul în care o acțiune a Uniunii se dovedește necesară pentru a garanta oricărui cetățean al Uniunii dreptul de liberă circulație și ședere pe teritoriul statelor membre și tratatele nu au prevăzut puteri de acțiune în acest sens, Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, pot adopta dispoziții menite să faciliteze exercitarea acestor drepturi.

49

Rezultă că această dispoziție conferă Uniunii o competență generală de a adopta dispozițiile necesare în vederea facilitării exercitării dreptului cetățenilor Uniunii de liberă circulație și ședere pe teritoriul statelor membre, prevăzut la articolul 20 alineatul (2) litera (a) TFUE, sub rezerva puterilor de acțiune prevăzute în acest sens de tratate.

50

Or, spre deosebire de articolul 21 alineatul (2) TFUE, articolul 77 alineatul (3) TFUE prevede în mod explicit astfel de atribuții pentru adoptarea de măsuri privind pașapoartele, cărțile de identitate, permisele de ședere sau oricare alt document asimilat emis cetățenilor Uniunii în scopul facilitării exercitării dreptului de liberă circulație și ședere pe teritoriul statelor membre prevăzut la articolul 20 alineatul (2) litera (a) TFUE.

51

Este adevărat că articolul 77 alineatul (3) TFUE figurează în titlul V din acest tratat, consacrat spațiului de libertate, securitate și justiție, mai precis în capitolul 2 din acest titlu, intitulat „Politici privind controlul la frontiere, dreptul de azil și imigrarea”. Cu toate acestea, potrivit articolului 77 alineatul (1) TFUE, Uniunea dezvoltă o politică care urmărește să asigure atât absența oricărui control asupra persoanelor la trecerea frontierelor interne, indiferent de cetățenie, cât și controlul persoanelor și supravegherea eficace la trecerea frontierelor externe, precum și să introducă treptat un sistem integrat de administrare a acestor frontiere. Or, dispozițiile privind pașapoartele, cărțile de identitate, permisele de ședere sau orice alt document asimilat vizate în cadrul competenței prevăzute la acest articol 77 alineatul (3) fac parte integrantă dintr‑o asemenea politică a Uniunii. Astfel, în ceea ce îi privește pe cetățenii Uniunii, aceste documente le permit mai ales să ateste calitatea lor de beneficiari ai dreptului de liberă circulație și de ședere pe teritoriul statelor membre și implicit să își exercite acest drept. Prin urmare, articolul 77 alineatul (3) menționat poate constitui temeiul adoptării unor măsuri privind documentele respective dacă o astfel de acțiune este necesară pentru a facilita exercitarea dreptului prevăzut la articolul 20 alineatul (2) litera (a) TFUE.

52

Această interpretare a domeniului material de aplicare al articolului 77 alineatul (3) TFUE nu poate fi infirmată nici de evoluția istorică pe care au cunoscut‑o tratatele în materia competenței Uniunii de a adopta măsuri privind pașapoartele, cărțile de identitate, permisele de ședere și alte documente asimilate, la care se referă Parlamentul, Consiliul și Comisia, nici de împrejurarea, evocată de guvernul german, potrivit căreia această dispoziție prevede aplicarea ei „[în cazul în care] tratatele nu au prevăzut atribuții în acest sens”.

53

Într‑adevăr, Tratatul de la Lisabona a eliminat dispoziția prevăzută anterior la articolul 18 alineatul (3) CE, care excludea în mod expres posibilitatea legiuitorului Uniunii de a recurge la articolul 18 alineatul (2) CE [devenit articolul 21 alineatul (2) TFUE] ca temei juridic pentru adoptarea atât a „dispozițiilor referitoare la pașapoarte, cărți de identitate, permise de ședere sau oricare alt document asimilat”, cât și a „dispozițiilor referitoare la securitatea socială sau protecția socială”. Totuși, în același timp, acest tratat a conferit în mod expres Uniunii o competența de acțiune în aceste două domenii, și anume, pe de o parte, la articolul 21 alineatul (3) TFUE, pentru securitatea socială și protecția socială, și, pe de altă parte, la articolul 77 alineatul (3) TFUE, pentru pașapoarte, cărți de identitate, permise de ședere sau oricare alt document asimilat, adoptarea măsurilor în domeniile menționate fiind supusă unei proceduri legislative speciale și îndeosebi unanimității în cadrul Consiliului.

54

În aceste condiții, din eliminarea dispoziției prevăzute anterior la articolul 18 alineatul (3) CE nu se poate deduce că de acum ar fi posibil să se adopte „dispoziții referitoare la pașapoarte, cărți de identitate, permise de ședere sau oricare alt document asimilat” în temeiul articolului 21 alineatul (2) TFUE. Dimpotrivă, din evoluția istorică rezultă că, prin articolul 77 alineatul (3) TFUE, autorii tratatelor au intenționat să confere Uniunii o competență mai specifică pentru adoptarea unor astfel de dispoziții care urmăresc să faciliteze exercitarea dreptului de liberă circulație și de ședere pe teritoriul statelor membre, garantat la articolul 20 alineatul (2) litera (a) TFUE, decât competența mai generală prevăzută la acest articol 21 alineatul (2).

55

În plus, indicația care figurează la articolul 77 alineatul (3) TFUE, potrivit căreia această dispoziție se aplică „[în cazul în care] tratatele nu au prevăzut atribuții în acest sens”, trebuie înțeleasă, având în vedere economia generală a Tratatului FUE, în sensul că atribuțiile astfel vizate nu sunt cele conferite printr‑o dispoziție cu aplicabilitate mai generală, precum articolul 21 alineatul (2) TFUE, ci printr‑o dispoziție și mai specifică.

56

Prin urmare, adoptarea Regulamentului 2019/1157 nu se putea întemeia pe articolul 21 alineatul (2) TFUE decât cu condiția ca finalitatea sau componenta principală ori preponderentă a acestui regulament să se situeze în afara domeniului de aplicare specific al articolului 77 alineatul (3) TFUE, și anume eliberarea pașapoartelor, a cărților de identitate, a permiselor de ședere sau a oricărui alt document asimilat, în scopul facilitării exercitării dreptului menționat la articolul 20 alineatul (2) litera (a) TFUE.

57

În primul rând, în ceea ce privește finalitatea Regulamentului 2019/1157, articolul 1 prevede că acesta urmărește consolidarea standardelor de securitate aplicabile cărților de identitate eliberate de statele membre propriilor cetățeni, precum și documentelor de ședere eliberate de statele membre cetățenilor Uniunii și membrilor familiilor acestora, atunci când își exercită dreptul la liberă circulație.

58

În același sens, considerentul (46) al acestui regulament enunță că obiectivele acestuia din urmă constau în „consolidarea securității” acestor documente de călătorie și de identitate pentru „facilitarea exercitării drepturilor la liberă circulație de către cetățenii Uniunii și de către membrii de familie ai acestora”, aspect confirmat și de considerentele (1), (2), (5), (17), (28), (29) și (36) ale regulamentului menționat.

59

În al doilea rând, în ceea ce privește conținutul Regulamentului 2019/1157, trebuie arătat că acesta cuprinde 16 articole. Articolele 1 și 2 din acest regulament definesc obiectul și, respectiv, domeniul de aplicare ale acestuia. Articolele 3 și 4, precum și articolele 6 și 7 din regulamentul menționat, care constituie componentele sale principale, prevăd printre altele cerințele privind securitatea, conținutul, modelul sau specificațiile pe care trebuie să le respecte cărțile de identitate și documentele de ședere eliberate de statele membre, în timp ce articolele 5 și 8 din același regulament prevăd eliminarea treptată a cărților de identitate și a permiselor de ședere care nu îndeplinesc cerințele pe care le stabilește. În sfârșit, articolele 9-16 din Regulamentul 2019/1157 precizează modul în care trebuie puse în aplicare obligațiile pe care le prevede, în special în ceea ce privește colectarea elementelor biometrice de identificare și protecția datelor cu caracter personal.

60

Desigur, articolul 2 din Regulamentul 2019/1157 prevede că acesta se aplică nu doar cărților de identitate eliberate de statele membre propriilor cetățeni, ci și certificatelor de înregistrare eliberate în conformitate cu articolul 8 din Directiva 2004/38 cetățenilor Uniunii care locuiesc mai mult de trei luni într‑un stat membru gazdă și documentelor care atestă șederea permanentă, eliberate în conformitate cu articolul 19 din această directivă, certificate și documente care nu pot fi asimilate cărților de identitate, pașapoartelor sau permiselor de ședere. Cu toate acestea, Regulamentul 2019/1157 nu conține nicio dispoziție care să reglementeze aceste certificate și se limitează să indice, la articolul 6 primul paragraf litera (f), că documentele de ședere eliberate de statele membre cetățenilor Uniunii trebuie să conțină informațiile care trebuie incluse în certificatele de înregistrare și în documentele care atestă șederea permanentă, eliberate în conformitate cu articolul 8 și, respectiv, cu articolul 19 din Directiva 2004/38. În consecință, finalitatea și componenta acestui regulament care au legătură cu aceste certificate trebuie considerate ca având o sferă de aplicare extrem de limitată, astfel încât temeiul juridic al regulamentului menționat nu poate fi determinat în raport cu această finalitate sau cu această componentă.

61

În aceste condiții, din finalitatea și din componentele principale ale Regulamentului 2019/1157 rezultă că acesta se numără printre actele care intră în domeniul specific de aplicare al articolului 77 alineatul (3) TFUE, astfel cum este identificat la punctele 48-51 din prezenta hotărâre.

62

În consecință, prin adoptarea Regulamentului 2019/1157 în temeiul articolului 21 alineatul (2) TFUE, legiuitorul Uniunii a încălcat articolul 77 alineatul (3) TFUE și a recurs la o procedură legislativă necorespunzătoare.

63

Rezultă că primul motiv de nevaliditate evocat de instanța de trimitere, întemeiat pe faptul că Regulamentul 2019/1157 a fost adoptat în mod eronat în temeiul articolului 21 alineatul (2) TFUE și în cadrul procedurii legislative ordinare, este de natură să determine nevaliditatea acestui regulament.

64

Al doilea motiv de nevaliditate evocat de instanța de trimitere este prezentat ca fiind întemeiat pe faptul că Regulamentul 2019/1157 a fost adoptat fără să se fi efectuat o evaluare a impactului referitoare la protecția datelor, cu nerespectarea articolului 35 alineatul (10) din RGPD.

65

În această privință, trebuie arătat că articolul 35 alineatul (1) din RGPD prevede că, având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. Articolul 35 alineatul (3) din acest regulament precizează că o astfel de evaluare se impune în cazul prelucrării pe scară largă a unor categorii speciale de date menționate la articolul 9 alineatul (1) din regulamentul respectiv, cum ar fi datele biometrice pentru identificarea unică a unei persoane fizice.

66

Dat fiind că, în speță, Regulamentul 2019/1157 nu impune el însuși nicio operațiune aplicată datelor sau seturilor de date cu caracter personal, ci se limitează să prevadă efectuarea de către statele membre a anumitor prelucrări în cazul solicitării unei cărți de identitate, trebuie să se constate că adoptarea acestui regulament nu era condiționată de realizarea prealabilă a unei evaluări a impactului operațiunilor de prelucrare avute în vedere, în sensul articolului 35 alineatul (1) din RGPD. Or, articolul 35 alineatul (10) din RGPD instituie o derogare de la articolul 35 alineatul (1) din regulamentul menționat.

67

Rezultă că, întrucât, astfel cum rezultă din cele ce precedă, articolul 35 alineatul (1) din RGPD nu avea vocația de a fi aplicat în cadrul adoptării Regulamentului 2019/1157, adoptarea lui nu putea să aducă atingere articolului 35 alineatul (10) din Regulamentul 2016/679.

68

Având în vedere cele precedă, al doilea motiv, întemeiat pe încălcarea articolului 35 alineatul (10) din RGPD, nu este de natură să determine nevaliditatea Regulamentului 2019/1157.

69

Al treilea motiv de nevaliditate a Regulamentului 2019/1157 evocat de instanța de trimitere privește aspectul dacă obligația de a integra două amprente digitale întregi pe suportul de stocare al cărților de identitate emise de statele membre, prevăzută la articolul 3 alineatul (5) din acest regulament, implică o restrângere nejustificată a drepturilor garantate la articolele 7 și 8 din cartă.

70

Articolul 7 din cartă prevede printre altele că orice persoană are dreptul la respectarea vieții sale private. Potrivit articolului 8 alineatul (1) din aceasta, orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Din aceste dispoziții coroborate reiese că, în principiu, orice prelucrare a datelor cu caracter personal de către un terț poate constitui o atingere adusă drepturilor menționate (Hotărârea din 17 octombrie 2013, Schwarz,C‑291/12, EU:C:2013:670, punctul 25).

71

În speță, articolul 3 alineatul (5) din Regulamentul 2019/1157 prevede că suportul de stocare de înaltă securitate pe care trebuie să îl includă cărțile de identitate eliberate de statele membre propriilor cetățeni trebuie să conțină date biometrice, mai precis o imagine facială și două amprente digitale în modele digitale interoperabile.

72

Or, asemenea date cu caracter personal permit identificarea precisă a persoanelor fizice vizate și prezintă o sensibilitate deosebită ca urmare a riscurilor considerabile pe care utilizarea lor le poate prezenta la adresa libertăților și drepturilor fundamentale, astfel cum reiese în special din considerentul (51) al RGPD, regulament care se aplică datelor în cauză, după cum amintește considerentul (40) al Regulamentului 2019/1157.

73

În consecință, obligația de a integra două amprente digitale pe suportul de stocare al cărților de identitate, prevăzută la articolul 3 alineatul (5) din Regulamentul 2019/1157, constituie o restrângere atât a dreptului la respectarea vieții private, cât și a dreptului la protecția datelor cu caracter personal, consacrate la articolul 7 și, respectiv, la articolul 8 din cartă.

74

În plus, această obligație implică realizarea prealabilă a două operațiuni de prelucrare a datelor cu caracter personal succesive, și anume colectarea amprentelor menționate de la persoana vizată, apoi stocarea lor provizorie în scopul personalizării cărților de identitate, aceste operațiuni fiind reglementate de articolul 10 din regulamentul menționat. Operațiunile respective constituie de asemenea restrângeri ale drepturilor consacrate la articolele 7 și 8 din cartă.

75

Astfel cum rezultă dintr‑o jurisprudență constantă, dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, garantate la articolul 7 și, respectiv, la articolul 8 din cartă, nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate (a se vedea în acest sens Hotărârea din 20 septembrie 2022, SpaceNet și Telekom Deutschland, C‑793/19 și C‑794/19, EU:C:2022:702, punctul 63).

76

Prin urmare, pot fi impuse restrângeri ale acestor drepturi cu condiția ca, în conformitate cu articolul 52 alineatul (1) prima teză din cartă, ele să fie prevăzute de lege și să respecte substanța acestor drepturi. În plus, potrivit celei de a doua teze a acestui alineat, prin respectarea principiului proporționalității, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. În această privință, articolul 8 alineatul (2) din cartă precizează că datele cu caracter personal trebuie, printre altele, să fie prelucrate „în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege”.

77

În ceea ce privește cerința prevăzută la articolul 52 alineatul (1) prima teză din cartă, potrivit căreia orice restrângere a exercițiului drepturilor recunoscute prin aceasta trebuie să fie prevăzută de lege, trebuie amintit că cerința menționată presupune ca actul care permite ingerința în aceste drepturi să definească el însuși întinderea restrângerii exercițiului dreptului în cauză, precizându‑se, pe de o parte, că această cerință nu exclude ca restrângerea în cauză să fie formulată în termeni suficient de deschiși pentru a se putea adapta la situații diferite, precum și la schimbările situațiilor și, pe de altă parte, că Curtea poate, dacă este cazul, să precizeze, pe calea interpretării, întinderea concretă a restrângerii atât în raport cu înșiși termenii reglementării Uniunii în cauză, cât și cu economia sa generală și cu obiectivele pe care le urmărește, astfel cum sunt interpretate în lumina drepturilor fundamentale garantate de cartă (Hotărârea din 21 iunie 2022, Ligue des droits humains,C‑817/19, EU:C:2022:491, punctul 114).

78

În speță, restrângerile exercițiului drepturilor fundamentale garantate la articolele 7 și 8 din cartă care decurg din obligația de a integra două amprente digitale întregi pe suportul de stocare al cărților de identitate emise de statele membre, precum și condițiile de aplicare și întinderea acestor restrângeri sunt definite în mod clar și precis la articolul 3 alineatul (5) și la articolul 10 alineatele (1) și (3) din Regulamentul 2019/1157, adoptate de legiuitorul Uniunii potrivit procedurii legislative ordinare și ale căror efecte vor fi menținute prin prezenta hotărâre.

79

În consecință, restrângerile menționate ale exercițiului drepturilor fundamentale garantate la articolele 7 și 8 din cartă respectă principiul legalității prevăzut la articolul 52 alineatul (1) prima teză din cartă.

80

Trebuie să se constate că informațiile furnizate de amprentele digitale nu oferă, prin ele însele, o perspectivă completă asupra vieții private și de familie a persoanelor în cauză.

81

În aceste condiții, restrângerea pe care o implică obligația de a integra două amprente digitale pe suportul de stocare al cărților de identitate eliberate de statele membre, prevăzută la articolul 3 alineatul (5) din Regulamentul 2019/1157, nu aduce atingere substanței drepturilor fundamentale consacrate la articolele 7 și 8 din cartă (a se vedea prin analogie Hotărârea din 21 iunie 2022, Ligue des droits humains,C‑817/19, EU:C:2022:491, punctul 120).

82

Astfel cum reiese din articolul 52 alineatul (1) a doua teză din cartă, pentru ca restrângerile exercițiului drepturilor fundamentale garantate de aceasta să poată fi impuse prin respectarea principiului proporționalității, aceste restrângeri trebuie să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.

83

Mai precis, derogările de la protecția datelor cu caracter personal și limitările acestora se efectuează în limitele strictului necesar, altfel spus, atunci când este posibilă alegerea între mai multe măsuri adecvate pentru îndeplinirea obiectivelor legitime urmărite, trebuie să se recurgă la cea mai puțin constrângătoare dintre ele. În plus, un obiectiv de interes general nu poate fi în mod legitim urmărit fără a ține seama de faptul că trebuie conciliat cu drepturile fundamentale vizate de măsura amintită prin crearea unui echilibru între, pe de o parte, obiectivul de interes general și, pe de altă parte, drepturile în cauză, pentru a se asigura că inconvenientele cauzate de această măsură nu sunt disproporționate în raport cu scopurile vizate. Astfel, posibilitatea de a justifica o restrângere a drepturilor garantate de articolele 7 și 8 din cartă trebuie să fie apreciată măsurând gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângerea respectivă se raportează la această gravitate (Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers,C‑37/20 și C‑601/20, EU:C:2022:912, punctul 64, precum și jurisprudența citată).

84

În consecință, pentru a verifica dacă, în speță, ingerințele în drepturile garantate la articolele 7 și 8 din cartă care rezultă din obligația de a integra două amprente digitale pe suportul de stocare al cărților de identitate, prevăzută la articolul 3 alineatul (5) din Regulamentul 2019/1157, respectă principiul proporționalității, trebuie să se examineze, în primul rând, dacă această măsură urmărește unu sau mai multe obiective de interes general recunoscute de Uniune și este efectiv aptă să realizeze aceste obiective, în al doilea rând, dacă ingerințele care rezultă din acestea sunt limitate la strictul necesar, în sensul că obiectivele menționate nu ar putea fi în mod rezonabil atinse la fel de eficient prin alte mijloace care afectează mai puțin aceste drepturi fundamentale ale persoanelor în cauză, și, în al treilea rând, dacă ingerințele respective nu sunt disproporționate în raport cu obiectivele, ceea ce implică printre altele o ponderare a acestor obiective și a gravității ingerințelor menționate (a se vedea în acest sens Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers,C‑37/20 și C‑601/20, EU:C:2022:912, punctul 66, precum și Hotărârea din 8 decembrie 2022, Orde van Vlaamse Balies și alții, C‑694/20, EU:C:2022:963, punctul 42).

85

Conform articolului 1 din Regulamentul 2019/1157, scopul acestuia este de a consolida standardele de securitate aplicabile, printre altele, cărților de identitate eliberate de statele membre propriilor cetățeni atunci când își exercită dreptul la liberă circulație.

86

Mai precis, și astfel cum reiese din considerentele (4), (5), (17)-(20) și (32) ale Regulamentului 2019/1157, integrarea datelor biometrice, printre care figurează două amprente digitale întregi, pe suportul de stocare al cărților de identitate urmărește să garanteze autenticitatea cărților menționate, precum și să permită identificarea fiabilă a titularului lor, contribuind în același timp, în conformitate cu considerentele (23) și (33), precum și cu articolul 3 alineatul (5) din acest regulament, la interoperabilitatea sistemelor de verificare a documentelor de identificare în vederea reducerii riscului de falsificare și de fraudă a documentelor.

87

Or, în ceea ce privește eliberarea pașapoartelor (a se vedea în acest sens Hotărârea din 17 octombrie 2013, Schwarz,C‑291/12, EU:C:2013:670, punctele 36-38), precum și înființarea unui sistem de evidență a resortisanților din țări terțe (a se vedea în acest sens Hotărârea din 3 octombrie 2019, A și alții, C‑70/18, EU:C:2019:823, punctul 46, precum și jurisprudența citată), Curtea a avut deja ocazia să statueze că combaterea fraudei privind documentele, care include printre altele combaterea realizării de cărți de identitate false și a uzurpării identității, constituie un obiectiv de interes general recunoscut de Uniune.

88

În ceea ce privește obiectivul de interoperabilitate a sistemelor de verificare a documentelor de identificare, și acesta are un asemenea caracter, întrucât, astfel cum reiese din considerentul (17) al Regulamentului 2019/1157, el contribuie la facilitarea exercitării de către cetățenii Uniunii a dreptului de liberă circulație și de ședere pe teritoriul statelor membre, care le este recunoscut de articolul 20 TFUE.

89

În speță, integrarea a două amprente digitale întregi pe suportul de stocare al cărților de identitate este aptă să realizeze obiectivele de interes general privind combaterea realizării de cărți de identitate false și a uzurpării identității, precum și interoperabilitatea sistemelor de verificare, invocate de legiuitorul Uniunii pentru a justifica această măsură.

90

Astfel, mai întâi, integrarea de date biometrice precum amprentele digitale în cărțile de identitate este susceptibilă să îngreuneze realizarea de cărți de identitate false, în măsura în care, în special, potrivit articolului 3 alineatul (5) din Regulamentul 2019/1157 coroborat cu articolul 14 alineatele (1) și (2) din acest regulament, asemenea date trebuie să fie stocate în conformitate cu specificații tehnice precise și susceptibile de a fi păstrate secrete.

91

În continuare, integrarea unor asemenea date biometrice constituie un mijloc care permite, conform articolului 11 alineatul (6) și considerentelor (18) și (19) ale Regulamentului 2019/1157, să se verifice în mod fiabil autenticitatea cărții de identitate și identitatea titularului cărții și să se reducă astfel riscul de fraudă.

92

În sfârșit, alegerea legiuitorului Uniunii de a prevedea integrarea amprentelor digitale întregi este de asemenea aptă să realizeze obiectivul privind interoperabilitatea sistemelor de verificare a cărților de identitate, deoarece utilizarea amprentelor digitale întregi permite asigurarea unei compatibilități cu ansamblul sistemelor automatizate de identificare a amprentelor digitale utilizate de statele membre, chiar dacă astfel de sisteme nu recurg neapărat la același mecanism de identificare.

93

Instanța de trimitere mai arată că articolul 3 alineatul (7) din Regulamentul 2019/1157 autorizează statele membre, la primul paragraf, să exonereze în special copiii sub 12 ani de obligația de a se supune amprentării digitale și le impune chiar, la al doilea paragraf, să exonereze de această obligație copiii sub 6 ani.

94

Desigur, o legislație nu poate garanta realizarea obiectivului invocat decât dacă măsurile pe care le prevede răspund cu adevărat preocupării privind atingerea acestuia și dacă sunt puse în aplicare în mod coerent și sistematic (a se vedea prin analogie Hotărârea din 5 decembrie 2023, Nordic Info,C‑128/22, EU:C:2023:951, punctul 84 și jurisprudența citată).

95

Cu toate acestea, Regulamentul 2019/1157 îndeplinește această cerință, chiar dacă prevede exonerarea copiilor de obligația de a se supune amprentării digitale, din moment ce, astfel cum reiese din considerentul (26) al acestuia, exonerările respective urmăresc să țină seama de interesul superior al copilului.

96

Situația este aceeași în ceea ce privește norma enunțată la articolul 5 din Regulamentul 2019/1157, potrivit căreia cărțile de identitate care nu îndeplinesc cerințele prevăzute la articolul 3 din acest regulament își pierd valabilitatea numai la data expirării lor sau cel târziu la 3 august 2031. Astfel, legiuitorul Uniunii putea estima că o asemenea perioadă tranzitorie era adecvată pentru a evita ca statele membre să emită noi cărți de identitate pentru toate persoanele vizate într‑o perioadă foarte scurtă, fără a pune însă în discuție eficacitatea pe termen lung a măsurilor prevăzute de acest regulament.

97

În ceea ce privește împrejurarea că anumite state membre prevăd în legislația lor că, în pofida caracterului defectuos al suportului electronic de stocare, cărțile de identitate pe care le eliberează își păstrează valabilitatea, este suficient să se arate că astfel de legislații nu sunt compatibile cu Regulamentul 2019/1157 decât în măsura în care nu s‑a scurs perioada tranzitorie menționată la punctul precedent.

98

În ceea ce privește, în primul rând, însuși principiul integrării amprentelor digitale pe suportul de stocare al cărților de identitate, trebuie să se rețină că amprentele digitale constituie mijloace fiabile și eficiente pentru a stabili cu certitudine identitatea unei persoane și că procedeul utilizat pentru colectarea acestor amprente este simplu de pus în aplicare.

99

În special, astfel cum a arătat doamna avocată generală la punctul 90 din concluzii, simpla introducere a unei imagini faciale ar constitui un mijloc de identificare mai puțin eficient decât introducerea, în plus față de această imagine, a două amprente digitale, întrucât îmbătrânirea, modul de viață, boala sau o intervenție chirurgicală estetică sau reconstructivă pot altera trăsăturile anatomice ale feței.

100

Este adevărat că evaluarea impactului realizată de Comisie, care însoțește propunerea de regulament aflată la originea Regulamentului 2019/1157, a arătat că opțiunea neobligativității integrării a două amprente digitale pe suportul de stocare al cărților de identitate trebuia privilegiată.

101

Cu toate acestea, pe lângă faptul că însăși Comisia a ales să nu rețină această opțiune în propunerea sa legislativă, trebuie arătat că, deși acordul interinstituțional prevede la punctul 14 că, la analizarea propunerilor legislative ale Comisiei, Parlamentul și Consiliul trebuie să țină seama pe deplin de evaluările impactului realizate de Comisie, același acord arată la punctul 12 că astfel de evaluări „constituie un instrument menit să ajute cele trei instituții să ia decizii în deplină cunoștință de cauză și nu înlocuiesc deciziile politice din cadrul procesului decizional democratic”. În consecință, deși sunt obligate să țină seama de evaluările impactului realizate de Comisie, Parlamentul European și Consiliul nu sunt totuși ținute de conținutul acestora, în special în ceea ce privește aprecierile care figurează în acestea (a se vedea în acest sens Hotărârea din 21 iunie 2018, Polonia/Parlamentul și Consiliul, C‑5/16, EU:C:2018:483, punctul 159, precum și jurisprudența citată).

102

În consecință, simplul fapt că legiuitorul Uniunii a luat o măsură diferită și, după caz, mai constrângătoare decât cea recomandată în urma evaluării impactului nu este de natură să demonstreze că a depășit limitele a ceea ce era necesar pentru atingerea obiectivului urmărit (a se vedea în acest sens Hotărârea din 4 mai 2016, Pillbox 38,C‑477/14, EU:C:2016:324, punctul 65).

103

În speță, evaluarea impactului realizată de Comisie a constatat că opțiunea obligativității integrării amprentelor digitale pe suportul de stocare al cărților de identitate era cea mai eficientă pentru realizarea obiectivului specific de combatere a realizării de cărți de identitate false și de îmbunătățire a autentificării documentelor. În aceste condiții, opțiunea neobligativității unei astfel de integrări nu poate, în orice caz, să pună sub semnul îndoielii necesitatea măsurii luate de legiuitorul Uniunii, în sensul jurisprudenței amintite la punctul 84 din prezenta hotărâre.

104

În al doilea rând, în ceea ce privește integrarea mai curând a două amprente digitale complete decât a unora dintre punctele caracteristice ale acestor amprente („minuțiile”), pe de o parte, după cum a arătat doamna avocată generală la punctul 93 din concluzii, minuțiile nu oferă aceleași garanții ca o amprentă întreagă. Pe de altă parte, integrarea unei amprente întregi este necesară pentru interoperabilitatea sistemelor de verificare a documentelor de identificare, ceea ce constituie unul dintre obiectivele esențiale urmărite. Astfel, după cum reiese din cuprinsul punctului 47 din Avizul 7/2018 și cum subliniază și instanța de trimitere, statele membre utilizează diferite tehnologii de identificare a amprentelor digitale, astfel încât faptul de a integra pe suportul de stocare al cărții de identitate doar unele dintre caracteristicile unei amprente digitale ar avea ca efect compromiterea realizării obiectivului de interoperabilitate a sistemelor de verificare a documentelor de identificare urmărit de Regulamentul 2019/1157.

105

Din considerațiile care precedă reiese că restrângerile aduse drepturilor fundamentale garantate la articolele 7 și 8 din cartă care decurg din obligația de a integra două amprente digitale întregi pe suportul de stocare respectă limitele strictului necesar.

106

Aprecierea gravității ingerinței pe care o produce o restrângere a drepturilor garantate la articolele 7 și 8 din cartă presupune să se țină seama de natura datelor cu caracter personal în cauză, în special de caracterul eventual sensibil al acestor date, precum și de natura și de modalitățile concrete de prelucrare a datelor, în special de numărul de persoane care au acces la aceste date și de modalitățile de acces la acestea din urmă. Dacă este cazul, trebuie luată în considerare și existența unor măsuri de prevenire a riscului unor prelucrări abuzive a acestor date.

107

În speță, restrângerea exercițiului drepturilor garantate la articolele 7 și 8 din cartă care rezultă din Regulamentul 2019/1157 este, desigur, susceptibilă să privească un număr mare de persoane, acest număr fiind apreciat de Comisie în evaluarea impactului la 370 de milioane de locuitori din cei 440 de milioane de locuitori pe care îi avea la acel moment Uniunea. Amprentele digitale, ca date biometrice, sunt, prin natura lor, de o sensibilitate deosebită, beneficiind de o protecție specifică în dreptul Uniunii, după cum reiese în special din considerentul (51) al RGPD.

108

Cu toate acestea, trebuie subliniat că colectarea și stocarea a două amprente digitale întregi nu sunt autorizate de Regulamentul 2019/1157 decât pentru integrarea acestor amprente digitale pe suportul de stocare al cărților de identitate.

109

În plus, din articolul 3 alineatul (5) din regulamentul menționat coroborat cu articolul 10 alineatul (3) din acesta rezultă că, odată realizată această integrare și cartea de identitate ridicată de persoana în cauză, amprentele digitale colectate sunt păstrate numai pe suportul de stocare al cărții menționate, care este, în principiu, deținută fizic de această persoană.

110

În sfârșit, Regulamentul 2019/1157 prevede un ansamblu de garanții care urmăresc limitarea riscurilor ca datele cu caracter personal să fie, la momentul punerii lui în aplicare, colectate sau utilizate în alte scopuri decât realizarea obiectivelor pe care le urmărește și aceasta nu numai în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal care devin obligatorii în temeiul acestui regulament, ci și în raport cu principalele prelucrări la care pot fi supuse amprentele digitale integrate pe suportul de stocare al cărților de identitate.

111

Astfel, în ceea ce privește, în primul rând, colectarea datelor, articolul 10 alineatele (1) și (2) din Regulamentul 2019/1157 prevede că elementele biometrice de identificare sunt colectate „exclusiv de către un personal calificat și autorizat în mod corespunzător” și că acest personal trebuie să respecte „proceduri corespunzătoare și eficace pentru colectarea elementelor biometrice de identificare”, aceste proceduri trebuind să respecte drepturile și principiile prevăzute în cartă, în Convenția pentru apărarea drepturilor omului și a libertăților fundamentale și în Convenția Organizației Națiunilor Unite privind drepturile copilului. În plus, după cum s‑a arătat la punctul 93 din prezenta hotărâre, articolul 3 alineatul (7) din acest regulament conține norme speciale pentru copiii sub 12 ani (primul și al doilea paragraf), precum și pentru persoanele pentru care prelevarea amprentelor digitale este fizic imposibilă (al treilea paragraf), aceste din urmă persoane fiind „exonerate de obligația de se supune amprentării digitale”.

112

În ceea ce privește, în al doilea rând, stocarea datelor, pe de o parte, Regulamentul 2019/1157 obligă statele membre să efectueze stocarea, ca date biometrice, a unei imagini faciale și a două amprente digitale. În această privință, considerentul (21) al acestui regulament precizează în mod expres că acesta nu oferă „un temei juridic pentru crearea sau menținerea unor baze de date la nivel național pentru stocarea datelor biometrice în statele membre, care este o chestiune de drept intern care trebuie să respecte dreptul Uniunii privind protecția datelor” și nici nu oferă „un temei juridic pentru crearea sau menținerea unei baze de date centralizate la nivelul Uniunii”. Pe de altă parte, articolul 10 alineatul (3) din regulamentul menționat prevede că aceste „[elemente] biometrice de identificare […] sunt păstrate […] numai până la data ridicării documentului și, în orice caz, nu mai mult de 90 de zile de la data producerii documentului” și precizează că, „[d]upă această perioadă, aceste elemente biometrice de identificare sunt imediat șterse sau distruse”.

113

Din cele de mai sus rezultă în special că articolul 10 alineatul (3) din Regulamentul 2019/1157 nu permite statelor membre să prelucreze datele biometrice în alte scopuri decât cele prevăzute de acest regulament. În plus, aceeași dispoziție se opune unei stocări centralizate a amprentelor digitale care depășește stocarea provizorie a acestor amprente în scopul personalizării cărților de identitate.

114

În sfârșit, articolul 11 alineatul (6) din Regulamentul 2019/1157 menționează posibilitatea ca datele biometrice conținute pe suportul de stocare securizat să poată fi utilizate, în conformitate cu dreptul Uniunii și cu dreptul intern, de către personalul autorizat în mod corespunzător al autorităților naționale competente și al agențiilor Uniunii.

115

În ceea ce privește litera (a) a acestei dispoziții, ea nu permite utilizarea datelor biometrice stocate pe suportul de stocare al cărților de identitate și al documentelor de ședere decât cu scopul de a verifica autenticitatea cărții de identitate sau a documentului de ședere.

116

În ceea ce privește litera (b) a dispoziției menționate, aceasta prevede că datele biometrice stocate pe suportul de stocare al cărților de identitate și al documentelor de ședere pot fi utilizate cu scopul de a verifica identitatea titularului „pe baza elementelor comparabile direct disponibile în cazul în care este obligatorie, conform legii, prezentarea cărții de identitate sau a documentului de ședere”. Or, o astfel de prelucrare, fiind susceptibilă să furnizeze informații suplimentare cu privire la viața privată a persoanelor vizate, nu poate avea loc decât în scopuri strict limitate la identificarea persoanei în cauză și în condiții precis delimitate de lege care impun prezentarea cărții de identitate sau a documentului de ședere.

117

În ceea ce privește, în al treilea rând, consultarea datelor biometrice înregistrate pe suportul de stocare al cărților de identitate, trebuie subliniat că considerentul (19) al Regulamentului 2019/1157 stabilește o ordine de prioritate în utilizarea mijloacelor de verificare a autenticității documentului și a identității titularului, prevăzând că statele membre trebuie „să verifice în primul rând imaginea facială” și, atunci când este necesar pentru a confirma fără îndoială autenticitatea documentului și identitatea titularului, „să verifice […] amprentele digitale”.

118

În ceea ce privește, în al patrulea rând, riscul de acces neautorizat la datele stocate, articolul 3 alineatele (5) și (6) din Regulamentul 2019/1157 prevede, pentru a minimiza acest risc, că amprentele digitale sunt stocate pe un „suport de stocare de înaltă securitate”, având „o capacitate suficientă pentru a garanta integritatea, autenticitatea și confidențialitatea datelor”. În plus, din articolul 3 alineatul (10) din acest regulament rezultă că, „în cazul în care statele membre stochează în cărțile de identitate date pentru servicii electronice cum ar fi e‑guvernarea și comerțul electronic, astfel de date naționale trebuie să fie separate în mod fizic sau logic”, printre altele, de amprentele digitale colectate și stocate în temeiul regulamentului menționat. În sfârșit, din considerentele (41) și (42), precum și din articolul 11 alineatul (4) din același regulament reiese că statele membre rămân responsabile de prelucrarea corespunzătoare a datelor biometrice, inclusiv atunci când cooperează cu prestatori externi de servicii.

119

Astfel cum s‑a amintit la punctul 86 din prezenta hotărâre, integrarea a două amprente digitale pe suportul de stocare al cărților de identitate urmărește combaterea realizării de cărți de identitate false și a uzurpării identității, precum și asigurarea interoperabilității sistemelor de verificare a documentelor de identificare. Or, în acest sens, ea este de natură să contribuie la protecția vieții private a persoanelor în cauză, precum și, în sens mai larg, la combaterea criminalității și a terorismului.

120

În plus, o asemenea măsură permite să se răspundă nevoii oricărui cetățean al Uniunii de a dispune de mijloace de a se identifica în mod fiabil și, pentru statele membre, de a se asigura că persoanele care se prevalează de drepturile recunoscute de dreptul Uniunii sunt într‑adevăr titularele acestora. Ea contribuie în acest mod în special la facilitarea exercitării de către cetățenii Uniunii a dreptului lor la libertatea de circulație și ședere, care constituie de asemenea un drept fundamental garantat la articolul 45 din cartă. Astfel, obiectivele urmărite de Regulamentul 2019/1157, în special prin integrarea a două amprente digitale pe suportul de stocare al cărților de identitate, au o importanță deosebită nu numai pentru Uniune și pentru statele membre, ci și pentru cetățenii Uniunii.

121

Pe de altă parte, legitimitatea și importanța acestor obiective nu sunt nicidecum puse la îndoială de împrejurarea, evocată de instanța de trimitere, că Avizul 7/2018 menționa, la alineatele (24)-(26), că în perioada 2013-2017 au fost detectate numai 38870 de cazuri de cărți de identitate frauduloase și că această cifră era în scădere de mai mulți ani.

122

Astfel, chiar considerând că numărul de cărți de identitate frauduloase este scăzut, legiuitorul Uniunii nu era obligat să aștepte ca acest număr să crească pentru a adopta măsuri prin care să prevină riscul de utilizare a unor asemenea cărți, ci putea, cu precădere din motive de control al riscurilor, să anticipeze o asemenea evoluție în măsura în care celelalte condiții referitoare la respectarea principiului proporționalității au fost respectate.

123

Având în vedere cele ce precedă, trebuie să se constate că restrângerea exercițiului drepturilor garantate la articolele 7 și 8 din cartă care rezultă din integrarea a două amprente digitale pe suportul de stocare al cărților de identitate nu este, ținând seama de natura datelor în cauză, de natura și de modalitățile operațiunilor de prelucrare, precum și de mecanismele de salvgardare prevăzute, de o gravitate care ar fi disproporționată în raport cu importanța diferitelor obiective pe care le urmărește această măsură. Astfel, o asemenea măsură trebuie considerată ca fiind întemeiată pe o ponderare echilibrată între aceste obiective, pe de o parte, și drepturile fundamentale în cauză, pe de altă parte.

124

În consecință, restrângerea exercițiului drepturilor garantate la articolele 7 și 8 din cartă nu încalcă principiul proporționalității, astfel încât al treilea motiv nu este de natură să determine nevaliditatea Regulamentului 2019/1157.

125

Din ansamblul considerațiilor care precedă rezultă că Regulamentul 2019/1157 este nevalid întrucât a fost adoptat în temeiul articolului 21 alineatul (2) TFUE.

126

Efectele unui act declarat nevalid pot fi menținute pentru motive de securitate juridică, în special în cazul în care efectele imediate ale hotărârii prin care se constată această nevaliditate ar avea consecințe negative grave pentru persoanele în cauză (a se vedea în acest sens Hotărârea din 17 martie 2016, Parlamentul/Comisia,C‑286/14, EU:C:2016:183, punctul 67).

127

În speță, invalidarea Regulamentului 2019/1157 cu efect imediat ar putea produce consecințe negative grave pentru un număr semnificativ de cetățeni ai Uniunii Europene, în special pentru siguranța lor în spațiul de libertate, securitate și justiție.

128

În aceste condiții, Curtea decide că este necesar să se mențină efectele acestui regulament până la intrarea în vigoare, într‑un termen rezonabil care nu poate depăși doi ani începând de la data de 1 ianuarie a anului următor datei pronunțării prezentei hotărâri, a unui nou regulament, întemeiat pe articolul 77 alineatul (3) TFUE, care să îl înlocuiască.

129

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară: