Protection des données à caractère personnel

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel.

ACTE

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs].

SYNTHÈSE

La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).

La directive ne s'applique pas au traitement de données:

• effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques;
• mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État.

La directive vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant les principes relatifs à la légitimation des traitements de données et à la qualité des données.

Le traitement des données est licite uniquement:

• si la personne concernée a indubitablement donné son consentement; ou
• s'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie; ou
• s'il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou
• s'il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée; ou
• s'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou un tiers; ou
• il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

Les principes relatifs à la qualité des données, qui doivent être appliqués dans le cadre de toutes les activités licites de traitement des données, sont les suivants:

• les données à caractère personnel doivent notamment être traitées loyalement et licitement, et collectées pour des finalités déterminées, explicites et légitimes. Elles doivent en outre être adéquates, pertinentes, non excessives, exactes et, si nécessaire, mises à jour. Elles doivent être conservées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées;
• les catégories particulières de traitements: doit être interdit le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. Cette disposition est assortie de réserves concernant, par exemple, le cas où le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou aux fins de la médecine préventive et des diagnostics médicaux.

La personne concernée par le traitement des données peut exercer les droits suivants:

• le droit d'obtenir des informations: un certain nombre d'informations (identité du responsable du traitement, finalités du traitement, destinataires des données, etc.) doivent être fournies par le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant;
• le droit d'accès de ces personnes aux données: toute personne concernée doit avoir le droit d'obtenir du responsable du traitement;
• le droit d'opposition aux traitements de données: la personne concernée doit avoir le droit de s'opposer, pour des raisons légitimes, à ce que des données la concernant fassent l'objet d'un traitement. Elle doit également pouvoir s'opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de prospection. Elle doit enfin être informée avant que des données ne soient communiquées à des tiers à des fins de prospection et doit se voir offrir le droit de s'opposer à cette communication.

Autres points pertinents concernant le traitement des données:

• les exceptions et limitations des droits de la personne concernée: les principes relatifs à la qualité des données, à l'information de la personne concernée, au droit d'accès et à la publicité des traitements peuvent voir leur portée limitée afin de sauvegarder, entre autres, la sûreté de l'État, la défense, la sécurité publique, la poursuite d'infractions pénales, un intérêt économique ou financier important d'un État membre ou de l'UE ou la protection de la personne concernée;
• la confidentialité et la sécurité des traitements: toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données personnelles, ne peut les traiter que sur instruction du responsable du traitement. Par ailleurs, le responsable du traitement doit mettre en œuvre les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé;
• la notification des traitements auprès d'une autorité de contrôle: le responsable du traitement doit adresser une notification à l'autorité de contrôle nationale préalablement à la mise en œuvre d'un traitement. Des examens préalables sur les risques éventuels au regard des droits et libertés des personnes concernées sont effectués par l'autorité de contrôle après réception de la notification. La publicité des traitements doit être assurée et les autorités de contrôle doivent tenir un registre des traitements notifiés.

Toute personne doit disposer d'un recours juridictionnel en cas de violation des droits qui sont garantis par les dispositions nationales applicables au traitement en question. En outre, les personnes ayant subi un dommage du fait d'un traitement illicite de leurs données personnelles ont le droit d'obtenir réparation du préjudice subi.

Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés. Cependant, même si un transfert ne peut avoir lieu si le niveau de protection n'est pas garanti, les exceptions à cette règle dans la directive sont nombreuses (par exemple, la personne concernée autorise elle-même le transfert, le traitement est nécessaire à la conclusion d'un contrat ou à l'exécution d'une mission d'intérêt public ou encore l'État membre autorise les règles de conduite contraignantes ou les clauses contractuelles types).

La directive vise à favoriser l'élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.

Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Un groupe de protection des personnes à l'égard du traitement des données à caractère personnel est institué, composé de représentants des autorités de contrôle nationales, de représentants des autorités de contrôle des institutions et organismes communautaires, et d'un représentant de la Commission.

ACTES LIÉS

RAPPORT DE MISE EN ŒUVRE

Communication de la Commission au Parlement européen et au Conseil, du 7 mars 2007, intitulée: «Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données» [ COM (2007) 87 final - Non publié au Journal officiel].

La présente communication examine le travail réalisé dans le cadre du Programme de travail pour une meilleure mise en application de la directive sur la protection des données contenu dans le Premier rapport sur la mise en œuvre de la directive 95/46/CE. La Commission indique que la mise en application s'est améliorée puisque tous les États membres ont transposé la directive. Elle précise que la directive ne devrait pas être modifiée.

Elle ajoute qu'elle:

• poursuivra son travail avec les États membres et, le cas échéant, lancera des procédures officielles d'infraction;
• préparera une communication interprétative pour certaines dispositions de la directive;
• poursuivra la mise en œuvre du programme de travail;
• présentera, en cas d'évolution technologique majeure dans un domaine spécifique, une législation sectorielle au niveau de l'UE;
• poursuivra sa coopération avec ses partenaires extérieurs, en particulier les États-Unis.

Rapport de la Commission, du 15 mai 2003, intitulé «Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE)» [ COM (2003) 265 final - Non publié au Journal officiel].

Le rapport fait notamment état des résultats des consultations menées par la Commission sur l'évaluation de la directive 95/46/CE auprès des gouvernements, institutions, fédérations d'entreprises, associations de consommateurs et citoyens. Les résultats des consultations montrent que peu de contributeurs ont plaidé pour une révision de la directive. En outre, après consultation des États membres, la Commission a pris acte du fait qu'une majorité d'entre eux et, également, des autorités nationales de contrôle, n'estimaient pas nécessaire de modifier la directive au stade actuel.

En dépit des retards et des lacunes constatés dans sa mise en œuvre, la directive a rempli son objectif principal qui est de lever les obstacles à la libre circulation des données à caractère personnel entre les États membres. La Commission estime par ailleurs que l'objectif visant à garantir un haut niveau de protection dans la Communauté a été atteint puisque la directive a fixé certaines normes de protection des données parmi les plus élevées au monde.

D'autres objectifs de la politique du marché intérieur ne sont cependant pas aussi bien atteints. La législation en matière de protection des données diverge encore notablement entre les États membres. Or, ces disparités empêchent les organisations multinationales de définir des politiques paneuropéennes en matière de protection des données. La Commission a annoncé qu'elle ferait le nécessaire pour remédier à cette situation en évitant, dans la mesure du possible, de recourir à une action formelle.

S'agissant du niveau général de respect de la législation sur la protection des données dans l'UE, trois difficultés sont à relever:

• un manque de ressources affectées à la mise en œuvre;
• un respect très inégal par les responsables du traitement des données;
• un niveau apparemment faible de connaissance de leurs droits par les personnes concernées, pouvant être à l'origine du phénomène précédent.

Afin d'assurer une meilleure application de la directive sur la protection des données, la Commission a adopté un programme de travail comportant un certain nombre d'actions devant être menées entre l'adoption du présent rapport et la fin 2004. Ces actions comprennent les initiatives suivantes:

• discussions avec les États membres et les autorités chargées de la protection des données sur les changements à apporter à leur législation nationale pour la rendre intégralement conforme aux exigences de la directive;
• association des pays candidats aux efforts visant à une application de meilleure qualité et plus uniforme de la directive;
• amélioration de la notification de l'ensemble des actes légaux transposant la directive;
• simplification des conditions des transferts internationaux de données;
• promotion des technologies renforçant la protection de la vie privée;
• promotion de l'auto-réglementation et des codes de conduite européens.

DIRECTIVE «VIE PRIVÉE ET COMMUNICATIONS ÉLECTRONIQUES»

Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») [Journal officiel L 201 du 31 juillet 2002].

Cette directive a été adoptée en 2002 en même temps qu'un nouveau dispositif législatif appelé à encadrer le secteur des communications électroniques. Elle contient des dispositions sur un certain nombre de thèmes plus ou moins sensibles, tels que la conservation des données de connexion par les États membres à des fins de surveillance policière (rétention des données), l'envoi de messages électroniques non sollicités, l'usage des témoins de connexion («cookies») et l'inclusion des données personnelles dans les annuaires publics.

Le règlement (UE) n^o 611/2013 énonce les règles relatives à la notification des violations de données à caractère personnel par les fournisseurs de services de communications électroniques accessibles au public lorsque les données de leurs clients sont perdues, volées ou autrement compromises.

S'il y a violation de données à caractère personnel et si celles-ci sont compromises, la directive 2002/58/CE exige des fournisseurs qu'ils notifient ces violations aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Le règlement (UE) 611/2013 prévoit des «mesures techniques d’application» destinées à clarifier l'application de ces obligations.

Les fournisseurs doivent notamment:

• informer les autorités nationales compétentes de l'incident dans un délai de 24 heures à compter du constat de la violation afin de limiter sa propagation;
• tenir compte du type de données compromises lorsqu'ils décident s'ils doivent en informer les abonnés et les particuliers (données financières, courriers électroniques, fichiers journaux de l'internet, historiques de navigation, etc.);
• communiquer aux autorités nationales compétentes et/ou aux abonnés et particuliers concernés les détails de l'incident, le type de données concernées et les mesures prises pour remédier au problème.

CLAUSES CONTRACTUELLES TYPES POUR LE TRANSFERT DES DONNÉES VERS DES PAYS TIERS

Décision 2004/915/CE du 27 décembre 2004, modifiant la décision 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers [Journal officiel L 385 du 29.12.2004].

La Commission européenne a approuvé de nouvelles clauses contractuelles types que les entreprises peuvent utiliser pour assurer des garanties adéquates lors du transfert de données à caractère personnel de l'UE vers des pays tiers. Ces nouvelles clauses seront ajoutées à celles qui existent déjà dans le cadre de la décision de la Commission de juin 2001 (voir ci-dessous).

Décision 2001/497/CE de la Commission, du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE [Journal officiel L 181 du 4.7.2001].

Cette décision définit les clauses contractuelles types qui assureront un niveau de protection adéquat des données à caractère personnel transférées de l'UE vers des pays tiers. La décision fait obligation aux États membres de reconnaître que les sociétés ou organismes qui utilisent de telles clauses types dans des contrats relatifs à des transferts de données à caractère personnel vers des pays tiers assurent un «niveau de protection adéquat» des données.

Décision de la Commission 2010/87/UE relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil [Journal officiel L 39 du 12.02.2010].

Décisions de la Commission constatant le niveau de protection adéquat des données à caractère personnel dans divers pays tiers en vertu de l'art. 25 (6): pour l'instant, la Commission a attesté que l'Andorre, l'Argentine, l'Australie, le Canada (entreprises commerciales), la Suisse, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, la Nouvelle-Zélande, l'Uruguay et les principes de la sphère de sécurité du ministère du commerce des États-Unis d'Amérique assuraient un niveau de protection adéquat.

PROTECTION DES DONNÉES PAR LES INSTITUTIONS ET ORGANES DE LA COMMUNAUTÉ

Règlement n^o 45/2001/CE du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données [Journal officiel L 8 du 12.1.2001].

Ce règlement vise à assurer la protection des données à caractère personnel dans le cadre des institutions et des organes de l'Union européenne. Le texte prévoit:

• des dispositions garantissant un niveau de protection élevé aux données à caractère personnel traitées par les institutions et les organes communautaires;
• l'établissement d'une instance de surveillance indépendante chargée de contrôler l'application de ces dispositions.

dernière modification 08.03.2014