La protection des données personnelles en Europe

Harmoniser la protection des citoyens

Qu’est qu’une donnée personnelle ? La directive de 1995 sur la protection des données définit la donnée personnelle comme « toute information concernant une personne physique identifiée ou identifiable » soit : le nom, le prénom, la photo mais aussi les empreintes digitales et autre donnée biométrique.

Les données indirectement personnelles sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification comme par exemple le numéro de sécurité sociale, un numéro client ou un numéro d’employé. Plus largement, dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et elle est à ce titre protégée par la loi.

La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue le socle commun à tous les pays de l’Union européenne en matière de protection des données personnelles.

Cette directive définit ce qu’est une donnée à caractère personnelle et pose les principes de la qualité de la donnée, la légitimation de son traitement, le type de catégories récoltées autorisée, le droit d’accès des personnes à leurs données, le consentement de délivrance des données et le droit d’opposition, la confidentialité et la sécurité des traitements, ainsi que sa notification. L’article 29 de la directive a institué un groupe de travail (le G29) réunissant l’ensemble des CNIL européennes : celui-ci a pour mission de contribuer à l’élaboration des normes européennes (adoption de recommandations) et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques concernant les traitements de données personnelles.

La directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Plusieurs actes législatifs sont venus compléter cette directive :

• le règlement du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données
• la décision du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE
• la décision du 27 décembre 2004, modifiant celle de 2001, en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers • la directive du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
• le rapport de la Commission du 15 mai 2003 intitulé « Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE) »
• la communication de la Commission du 7 mars 2007, intitulée « Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données »

Vers un nouveau règlement pour la protection des données personnelles

Même si la directive a permis une certaine harmonisation, il existe actuellement une fragmentation des législations des Etats membres en terme de données personnelles. Bien qu’inspirées de la même directive, les législations françaises et anglaises, par exemple, divergent en de nombreux points comme la définition même de la donnée personnelle, ou encore les conditions de transferts et de traitement.

Le 25 janvier 2012, Viviane Reding, vice-présidente de la Commission européenne en charge de la justice, a rendu public un nouveau projet de règlement relatif à la protection des données personnelles. La plupart des Etats membres ont retoqué cette première copie et réclamé la poursuite de la réflexion, jugeant que l’équilibre entre la protection du citoyen et les intérêts économiques des acteurs du numérique n’était pas respecté.

Avec le scandale PRISM (les révélations sur les accès de la NSA aux données stockées par Google, Facebook, YouTube, Microsoft, Yahoo!, Skype, AOL et Apple) qui a éclaté au cours de l’été 2013, la Commission a imposé un nouvel agenda très resserré, avec pour objectif de faire adopter le projet de règlement avant son renouvellement et celui du Parlement européen, au premier semestre 2014.

Parmi les mesures phares que contiennent ce nouveau projet de règlement, on peut citer la notification des violations de traitements de données personnelles, les analyses d’impacts préalables pour les traitements les plus « risqués », le durcissement de la définition du consentement, la création de nouveaux droits concernant l’oubli et la portabilité des données, des sanctions qui pourraient aller jusqu’à 2% du chiffre d’affaires mondial, et la place centrale faite au « Délégué à la protection des données » (évolution de la fonction actuelle de CIL, pour « Correspondant Informatique et Libertés »).

La Commission LIBE du Parlement a approuvé, lundi 20 octobre, le projet de règlement relatif à la protection des données personnelles. Les eurodéputés devront encore approuver le texte en séance plénière. En parallèle va s’ouvrir le trilogue, c’est-à-dire les négociations entre le Parlement et le Conseil de l’UE, co-législateurs, ainsi que la Commission européenne. Cette phase de discussions s’annonce d’ores et déjà longue et compliquée.

Références

• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
• Règlement du Parlement et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données