This document is an excerpt from the EUR-Lex website
Protection des données à caractère personnel
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel.
ACTE
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs].
SYNTHÈSE
La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).
La directive ne s'applique pas au traitement de données:
La directive vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant les principes relatifs à la légitimation des traitements de données et à la qualité des données.
Le traitement des données est licite uniquement:
Les principes relatifs à la qualité des données, qui doivent être appliqués dans le cadre de toutes les activités licites de traitement des données, sont les suivants:
La personne concernée par le traitement des données peut exercer les droits suivants:
Autres points pertinents concernant le traitement des données:
Toute personne doit disposer d'un recours juridictionnel en cas de violation des droits qui sont garantis par les dispositions nationales applicables au traitement en question. En outre, les personnes ayant subi un dommage du fait d'un traitement illicite de leurs données personnelles ont le droit d'obtenir réparation du préjudice subi.
Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés. Cependant, même si un transfert ne peut avoir lieu si le niveau de protection n'est pas garanti, les exceptions à cette règle dans la directive sont nombreuses (par exemple, la personne concernée autorise elle-même le transfert, le traitement est nécessaire à la conclusion d'un contrat ou à l'exécution d'une mission d'intérêt public ou encore l'État membre autorise les règles de conduite contraignantes ou les clauses contractuelles types).
La directive vise à favoriser l'élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.
Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Un groupe de protection des personnes à l'égard du traitement des données à caractère personnel est institué, composé de représentants des autorités de contrôle nationales, de représentants des autorités de contrôle des institutions et organismes communautaires, et d'un représentant de la Commission.
RÉFÉRENCES
Acte |
Entrée en vigueur |
Délai de transposition dans les États membres |
Journal officiel |
Directive 95/46/CE |
13.12.1995 |
24.10.1998 |
JO L 281 du 23.11.1995 |
Acte(s) modificatif(s) |
Entrée en vigueur |
Délai de transposition dans les États membres |
Journal officiel |
Règlement (CE) no1882/2003 |
20.11.2003 |
- |
JO L 284 du 31.10.2003 |
Les modifications et corrections successives de la directive 95/46/CE ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.
ACTES LIÉS
RAPPORT DE MISE EN ŒUVRE
Communication de la Commission au Parlement européen et au Conseil, du 7 mars 2007, intitulée: «Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données» [ COM (2007) 87 final - Non publié au Journal officiel].
La présente communication examine le travail réalisé dans le cadre du Programme de travail pour une meilleure mise en application de la directive sur la protection des données contenu dans le Premier rapport sur la mise en œuvre de la directive 95/46/CE. La Commission indique que la mise en application s'est améliorée puisque tous les États membres ont transposé la directive. Elle précise que la directive ne devrait pas être modifiée.
Elle ajoute qu'elle:
Rapport de la Commission, du 15 mai 2003, intitulé «Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE)» [ COM (2003) 265 final - Non publié au Journal officiel].
Le rapport fait notamment état des résultats des consultations menées par la Commission sur l'évaluation de la directive 95/46/CE auprès des gouvernements, institutions, fédérations d'entreprises, associations de consommateurs et citoyens. Les résultats des consultations montrent que peu de contributeurs ont plaidé pour une révision de la directive. En outre, après consultation des États membres, la Commission a pris acte du fait qu'une majorité d'entre eux et, également, des autorités nationales de contrôle, n'estimaient pas nécessaire de modifier la directive au stade actuel.
En dépit des retards et des lacunes constatés dans sa mise en œuvre, la directive a rempli son objectif principal qui est de lever les obstacles à la libre circulation des données à caractère personnel entre les États membres. La Commission estime par ailleurs que l'objectif visant à garantir un haut niveau de protection dans la Communauté a été atteint puisque la directive a fixé certaines normes de protection des données parmi les plus élevées au monde.
D'autres objectifs de la politique du marché intérieur ne sont cependant pas aussi bien atteints. La législation en matière de protection des données diverge encore notablement entre les États membres. Or, ces disparités empêchent les organisations multinationales de définir des politiques paneuropéennes en matière de protection des données. La Commission a annoncé qu'elle ferait le nécessaire pour remédier à cette situation en évitant, dans la mesure du possible, de recourir à une action formelle.
S'agissant du niveau général de respect de la législation sur la protection des données dans l'UE, trois difficultés sont à relever:
Afin d'assurer une meilleure application de la directive sur la protection des données, la Commission a adopté un programme de travail comportant un certain nombre d'actions devant être menées entre l'adoption du présent rapport et la fin 2004. Ces actions comprennent les initiatives suivantes:
DIRECTIVE «VIE PRIVÉE ET COMMUNICATIONS ÉLECTRONIQUES»
Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») [Journal officiel L 201 du 31 juillet 2002].
Cette directive a été adoptée en 2002 en même temps qu'un nouveau dispositif législatif appelé à encadrer le secteur des communications électroniques. Elle contient des dispositions sur un certain nombre de thèmes plus ou moins sensibles, tels que la conservation des données de connexion par les États membres à des fins de surveillance policière (rétention des données), l'envoi de messages électroniques non sollicités, l'usage des témoins de connexion («cookies») et l'inclusion des données personnelles dans les annuaires publics.
Le règlement (UE) no 611/2013 énonce les règles relatives à la notification des violations de données à caractère personnel par les fournisseurs de services de communications électroniques accessibles au public lorsque les données de leurs clients sont perdues, volées ou autrement compromises.
S'il y a violation de données à caractère personnel et si celles-ci sont compromises, la directive 2002/58/CE exige des fournisseurs qu'ils notifient ces violations aux autorités nationales compétentes et, dans certains cas, aux abonnés et aux particuliers concernés. Le règlement (UE) 611/2013 prévoit des «mesures techniques d’application» destinées à clarifier l'application de ces obligations.
Les fournisseurs doivent notamment:
CLAUSES CONTRACTUELLES TYPES POUR LE TRANSFERT DES DONNÉES VERS DES PAYS TIERS
Décision 2004/915/CE du 27 décembre 2004, modifiant la décision 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers [Journal officiel L 385 du 29.12.2004].
La Commission européenne a approuvé de nouvelles clauses contractuelles types que les entreprises peuvent utiliser pour assurer des garanties adéquates lors du transfert de données à caractère personnel de l'UE vers des pays tiers. Ces nouvelles clauses seront ajoutées à celles qui existent déjà dans le cadre de la décision de la Commission de juin 2001 (voir ci-dessous).
Décision 2001/497/CE de la Commission, du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE [Journal officiel L 181 du 4.7.2001].
Cette décision définit les clauses contractuelles types qui assureront un niveau de protection adéquat des données à caractère personnel transférées de l'UE vers des pays tiers. La décision fait obligation aux États membres de reconnaître que les sociétés ou organismes qui utilisent de telles clauses types dans des contrats relatifs à des transferts de données à caractère personnel vers des pays tiers assurent un «niveau de protection adéquat» des données.
Décision de la Commission 2010/87/UE relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil [Journal officiel L 39 du 12.02.2010].
Décisions de la Commission constatant le niveau de protection adéquat des données à caractère personnel dans divers pays tiers en vertu de l'art. 25 (6): pour l'instant, la Commission a attesté que l'Andorre, l'Argentine, l'Australie, le Canada (entreprises commerciales), la Suisse, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, la Nouvelle-Zélande, l'Uruguay et les principes de la sphère de sécurité du ministère du commerce des États-Unis d'Amérique assuraient un niveau de protection adéquat.
PROTECTION DES DONNÉES PAR LES INSTITUTIONS ET ORGANES DE LA COMMUNAUTÉ
Règlement no 45/2001/CE du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données [Journal officiel L 8 du 12.1.2001].
Ce règlement vise à assurer la protection des données à caractère personnel dans le cadre des institutions et des organes de l'Union européenne. Le texte prévoit:
dernière modification 08.03.2014