CJUE mars 2026 : le fichage biométrique automatique des suspects déclaré illégal — ce qui change pour le TAJ et le FAED

La Cour de justice de l'Union européenne a jugé, en mars 2026, que la collecte systématique de données biométriques imposée par le droit français aux personnes mises en cause viole les droits fondamentaux européens. Cet arrêt majeur frappe au cœur deux des fichiers les plus utilisés par les services d'enquête : le Traitement des Antécédents Judiciaires (TAJ) et le Fichier Automatisé des Empreintes Digitales (FAED). Pour les justiciables, les avocats pénalistes et les services de police judiciaire, les implications sont immédiates et profondes. Cet article vous explique ce qui change, pourquoi, et ce que le législateur français devra faire pour se mettre en conformité.

Contexte juridique

La France impose depuis des décennies une collecte quasi automatique des données biométriques des suspects, sans individualisation suffisante du contrôle.

Les fichiers en question

Le droit français organise, à travers plusieurs textes réglementaires, une collecte étendue de données biométriques dès le stade de la garde à vue ou de la mise en cause, bien avant toute condamnation définitive. Deux fichiers cristallisent le débat :

• Le TAJ (Traitement des Antécédents Judiciaires), créé par le décret n° 2012-652 du 4 mai 2012, consolidé aux articles R. 40-26 à R. 40-34 du Code de procédure pénale. Il contient les photographies et signalements de plusieurs millions de personnes, dont des mis en cause jamais condamnés. Selon les données du ministère de l'Intérieur publiées en 2024, le TAJ répertoriait alors plus de 19 millions de fiches, dont environ 8 millions concernant des personnes jamais condamnées.
• Le FAED (Fichier Automatisé des Empreintes Digitales), prévu par le décret n° 87-249 du 8 avril 1987, qui centralise empreintes digitales et palmaires. Il comptait, selon le rapport annuel de la CNIL de 2024, près de 7,2 millions de profils.

Ces fichiers alimentent directement les systèmes de reconnaissance biométrique automatisée utilisés par les forces de l'ordre, y compris des dispositifs couplés à des algorithmes d'intelligence artificielle pour l'identification par comparaison faciale ou dactyloscopique.

Le cadre européen applicable

L'arrêt de la CJUE s'inscrit dans le cadre de la directive 2016/680 du 27 avril 2016, relative au traitement des données personnelles par les autorités compétentes à des fins de prévention et de détection des infractions pénales. Cette directive, transposée en droit français par la loi n° 2018-493 du 20 juin 2018, exige que tout traitement de données biométriques — catégorie particulièrement sensible au sens de son article 10 — repose sur une nécessité absolue, soit strictement proportionné à la finalité poursuivie, et s'accompagne de garanties appropriées.

L'AI Act européen, entré en vigueur en août 2024, renforce cette architecture : il classe les systèmes d'identification biométrique à distance dans la catégorie des systèmes à haut risque (Annexe III), voire interdit certains usages en temps réel dans les espaces publics (article 5, §1, point h).

Analyse approfondie

L'arrêt de mars 2026 censure l'automaticité du fichage biométrique, faute de contrôle individualisé et de proportionnalité réelle.

Ce que dit la CJUE

La Cour, statuant sur renvoi préjudiciel d'une juridiction française, a jugé que la législation française méconnaît l'article 10 de la directive 2016/680 en ce qu'elle rend la collecte biométrique quasi automatique dès lors qu'une personne est mise en cause, sans exiger de l'autorité compétente qu'elle apprécie in concreto la nécessité de cette collecte pour chaque individu. En d'autres termes : le principe de proportionnalité stricte exige une décision individualisée, pas un fichage de masse par défaut.

La Cour rappelle que les données biométriques constituent des données "de catégorie particulière" dont le traitement ne peut être autorisé que s'il est strictement nécessaire, selon une jurisprudence constante (voir notamment CJUE, 26 avril 2022, Ligue des droits humains, C-817/19, ECLI:EU:C:2022:491, concernant le PNR belge).

La violation identifiée

Plusieurs griefs sont retenus par la Cour :

1. Absence de décision individualisée : la loi française ne prévoit pas que l'officier de police judiciaire ou le magistrat évalue la nécessité du prélèvement biométrique au cas par cas.
2. Durées de conservation excessives : le TAJ conserve les données jusqu'à 20 ans pour les délits, 40 ans pour les crimes — des durées jugées disproportionnées en l'absence de condamnation.
3. Insuffisance du droit d'effacement : la procédure de retrait des données, prévue à l'article 230-8 du Code de procédure pénale, est jugée trop peu accessible et trop peu effective en pratique.
4. Couplage avec l'IA d'identification : l'alimentation automatique des algorithmes de reconnaissance faciale à partir de données collectées sans contrôle suffit à consacrer l'illicéité de l'ensemble du dispositif.

Tableau comparatif : droit français actuel vs exigences CJUE

Implications pratiques

Cet arrêt ouvre des voies de recours immédiates pour les personnes fichées et contraint l'État français à réformer sa législation en urgence.

Pour les justiciables et leurs avocats

L'arrêt de la CJUE a effet direct dans l'ordre juridique français, en ce qu'il interprète une directive dont les dispositions sont suffisamment précises et inconditionnelles. Cela signifie, concrètement :

• Toute personne dont les données biométriques ont été collectées sans décision individualisée peut invoquer la non-conformité devant les juridictions françaises, y compris pour contester la recevabilité de preuves obtenues via le TAJ ou le FAED.
• Les avocats pénalistes peuvent dès à présent soulever des exceptions de nullité fondées sur l'article 802 du Code de procédure pénale, combiné à la directive 2016/680, si une identification biométrique illicitement obtenue a servi de fondement à une mise en examen ou une condamnation.
• La CNIL, dont les pouvoirs ont été renforcés par la loi Informatique et Libertés modifiée, peut être saisie d'une plainte en effacement. En 2025, la Commission avait déjà reçu plus de 4 200 demandes liées aux fichiers de police, un chiffre en hausse de 30 % par rapport à 2023 selon son rapport annuel.

Pour l'État et le législateur

Le gouvernement français se trouve dans une situation délicate : il doit mettre en conformité le TAJ et le FAED sans démanteler des outils jugés essentiels par les services d'enquête. Deux voies s'ouvrent :

Perspective 1 — Réforme a minima : instaurer une décision motivée de l'OPJ, soumise à validation du procureur, avant tout prélèvement biométrique. Réduire les durées de conservation et simplifier le droit d'effacement. Cette approche préserve les fichiers existants mais impose une charge procédurale accrue.

Perspective 2 — Réforme structurelle : repenser l'architecture des fichiers en distinguant clairement les données des personnes condamnées de celles des mis en cause non jugés, en soumettant toute interrogation par algorithme d'IA à une autorisation judiciaire préalable. Cette voie s'inscrit pleinement dans l'esprit de l'AI Act et de la directive 2016/680, mais suppose un travail législatif de plusieurs années.

Les services de police, par la voix de leurs syndicats, plaident pour la préservation des fichiers : selon une étude de la Direction centrale de la police judiciaire de 2024, le TAJ et le FAED contribuaient à l'élucidation de 34 % des affaires criminelles dans lesquelles ils étaient consultés. Supprimer ou vider ces outils aurait un impact opérationnel considérable.

Points clés à retenir

• La CJUE a jugé en mars 2026 que la collecte systématique et automatique de données biométriques des suspects par le droit français viole la directive 2016/680 sur la protection des données en matière pénale.
• Le TAJ et le FAED sont directement visés : leurs modalités d'alimentation, leurs durées de conservation et l'insuffisance du droit d'effacement sont jugées non conformes au droit européen.
• Le principe de proportionnalité stricte impose une décision individualisée pour chaque collecte biométrique — le fichage par défaut est interdit.
• L'AI Act, en vigueur depuis août 2024, renforce l'arsenal européen en classant les systèmes d'identification biométrique en catégorie à haut risque, ce qui exige des garanties supplémentaires lorsqu'ils sont alimentés par des fichiers policiers.
• Les avocats pénalistes peuvent agir dès maintenant en soulevant des exceptions de nullité lorsqu'une identification biométrique contestable a fondé une mise en cause.
• Le législateur français a l'obligation de réformer sa législation pour la mettre en conformité, sous peine d'une procédure en manquement devant la CJUE.
• Aucun délai de mise en conformité n'est expressément fixé par l'arrêt, mais la primauté du droit européen s'applique immédiatement aux litiges en cours.

Questions fréquentes

Qu'est-ce que l'arrêt de la CJUE de mars 2026 change concrètement pour les suspects fichés en France ?

L'arrêt rend illicite le fichage biométrique automatique des personnes mises en cause sans décision individualisée. Toute personne concernée peut demander l'effacement de ses données auprès de la CNIL ou contester devant le juge pénal l'utilisation faite de ces données dans une procédure.

Peut-on faire effacer ses données du TAJ ou du FAED après cet arrêt ?

Oui. La procédure d'effacement prévue à l'article 230-8 du Code de procédure pénale reste le canal principal, mais l'arrêt de la CJUE renforce la position des demandeurs en imposant que ce droit soit effectif et accessible. Une saisine de la CNIL constitue également une voie parallèle efficace.

L'arrêt remet-il en cause toutes les enquêtes basées sur la reconnaissance biométrique ?

Pas rétroactivement de manière automatique. Cependant, si une mise en examen ou une condamnation repose de manière déterminante sur une identification obtenue via une collecte illicite, un avocat peut soulever la nullité de l'acte fondé sur cette preuve, conformément à l'article 802 du Code de procédure pénale.

Qu'est-ce que la directive 2016/680 et pourquoi s'applique-t-elle aux fichiers policiers français ?

La directive 2016/680 encadre le traitement des données personnelles par les autorités policières et judiciaires au sein de l'Union européenne. Transposée en France par la loi du 20 juin 2018, elle s'applique directement aux fichiers comme le TAJ et le FAED, qui traitent des données à des fins de prévention et de détection des infractions pénales.

La reconnaissance faciale par la police est-elle interdite en France après cet arrêt ?

L'arrêt ne l'interdit pas explicitement, mais il conditionne son licéité à des garanties strictes : décision individualisée de collecte des données sources, encadrement de l'algorithme conforme à l'AI Act, et contrôle judiciaire. En l'état du droit français, l'usage d'une reconnaissance faciale alimentée par des données collectées illicitement devient juridiquement fragile.

Quel est le délai pour que la France se mette en conformité ?

L'arrêt de la CJUE ne fixe pas de délai explicite. Toutefois, la primauté du droit européen s'applique immédiatement. Si la France tarde à réformer sa législation, la Commission européenne pourrait engager une procédure en manquement au titre de l'article 258 TFUE, exposant l'État à des astreintes financières.

Cet arrêt concerne-t-il aussi les mineurs mis en cause ?

Oui, et avec une acuité particulière. Les mineurs mis en cause dont les données biométriques ont été collectées bénéficient des mêmes protections, renforcées par le principe de l'intérêt supérieur de l'enfant consacré par la Convention internationale des droits de l'enfant et repris dans la jurisprudence de la CJUE. L'effacement de leurs données devrait être encore plus facilement accordé.

Les entreprises privées utilisant des bases de données biométriques policières sont-elles également concernées ?

Indirectement. Toute entité privée qui accède au TAJ ou au FAED dans un cadre légalement autorisé (sociétés de sécurité privée agréées, par exemple) voit la licéité de ces accès fragilisée si les données à la source ont été collectées en violation de la directive 2016/680. Le risque de responsabilité solidaire mérite d'être anticipé par les services juridiques concernés.

Article rédigé sur la base de l'arrêt de la CJUE de mars 2026, de la directive 2016/680/UE, des articles R. 40-26 à R. 40-34 et 230-8 du Code de procédure pénale, du rapport annuel de la CNIL 2024, des données du ministère de l'Intérieur 2024, et de la jurisprudence CJUE C-817/19 (Ligue des droits humains, 26 avril 2022). Mis à jour au 30 avril 2026.