La CJUE condamne le profilage policier français : une brèche dans les fichiers biométriques

17/4/26

Le 19 mars 2026, la Cour de justice de l'Union européenne a rendu un arrêt retentissant baptisé "Comdribus" : la France viole le droit européen en collectant systématiquement les empreintes digitales et photographies de suspects sans nécessité démontrée ni obligation de justification. Une décision qui remet en cause la philosophie même des fichiers TAJ et FAED — et qui concerne directement tous les organismes traitant des données sensibles.

Ce qui s'est passé

Tout commence en 2020. HW, un manifestant participant à une action d'Extinction Rebellion sur les Champs-Élysées, est interpellé par la police pour manifestation non déclarée. Comme dans la quasi-totalité des gardes à vue, les forces de l'ordre lui demandent son code de téléphone et ses données biométriques — empreintes et photographie — pour alimenter les bases de données policières. HW refuse. En France, ce refus constitue en lui-même un délit, indépendamment de la suite de la procédure. HW sera finalement acquitté des charges initiales, mais poursuivi uniquement pour avoir refusé de donner ses données biométriques.

Son avocate saisit la CJUE d'une question préjudicielle : l'article 55-1 du Code de procédure pénale, qui autorise la collecte systématique d'empreintes et photographies dès l'existence de "raisons plausibles de soupçonner" une infraction, est-il compatible avec le droit européen ? La réponse de la Cour, rendue le 19 mars 2026, est un non catégorique.

Pourquoi c'est important

L'enjeu juridique est fondamental. Les empreintes digitales et photographies sont des données biométriques, catégorisées comme données sensibles au sens du RGPD. Leur traitement est interdit en principe, et n'est autorisé que s'il est "strictement nécessaire". Ce n'est pas une nuance de langage — c'est une exigence de fond qui impose que :

Or, la France fait exactement l'inverse. Le TAJ (Traitement des Antécédents Judiciaires) contient aujourd'hui 9 millions de photographies, base légale de la reconnaissance faciale policière. Le FAED (Fichier Automatisé des Empreintes Digitales) en recense 6,5 millions. Ces chiffres vertigineux témoignent d'une logique de collecte préventive et de masse — "au cas où" — que la CJUE vient de déclarer incompatible avec les droits fondamentaux de la Charte européenne.

La Cour relève également que la loi française n'impose aucune obligation aux policiers de justifier la collecte auprès des personnes concernées. Une violation supplémentaire : sans information, l'individu ne peut pas exercer efficacement son droit de recours, pourtant garanti par le RGPD et la Charte.

Le gouvernement français avait tenté de se défendre en arguant que la collecte relevait du "pouvoir discrétionnaire" des officiers de police. La CJUE a balayé cet argument, invitant les juridictions nationales à examiner la réalité des pratiques sur le terrain — et non le seul texte de loi.

Ce que ça change pour les organisations

L'arrêt Comdribus a des implications qui vont bien au-delà de la police. Il rappelle avec force que le critère de "nécessité stricte" n'est pas une formalité : chaque traitement de données biométriques doit être individuellement justifié, proportionné, et documenté. C'est précisément l'objet de l'analyse d'impact (AIPD) que le RGPD impose pour tout traitement à risque élevé.

Pour les DPO et responsables conformité, les enseignements pratiques sont clairs :

À noter : dans la continuité de la dynamique réglementaire européenne, l'EDPB a récemment adopté un template standardisé pour structurer les AIPD. Un outil directement utile pour les organismes qui doivent revoir leurs traitements de données sensibles à la lumière de cet arrêt.

Ce que Leto pense de cette décision

L'arrêt Comdribus est historique, et pas seulement pour la France. Il établit clairement que même les États membres de l'UE ne peuvent se soustraire à l'exigence de "nécessité stricte" pour le traitement des données biométriques — quelle que soit la justification sécuritaire avancée. La logique du "fichage préventif de masse" est incompatible avec les droits fondamentaux européens.

La balle est maintenant dans le camp du ministère de l'Intérieur, qui devra expliquer comment il entend réformer l'article 55-1 et traiter les millions d'enregistrements potentiellement illicites dans le TAJ et le FAED. Pour les organisations privées, cette décision est un rappel utile : le RGPD n'est pas un texte de principe — c'est du droit dur, que la CJUE n'hésite pas à faire respecter jusque dans les pratiques quotidiennes des forces de l'ordre.

Sources : EDRi / La Quadrature du Net · Arrêt Comdribus, CJUE, 19 mars 2026 (curia.europ

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026