Numérique

La protection des droits fondamentaux : données privées, droit à l'oubli

Protection des donness (c) istock

La protection des données à caractère personnel n'est pas un enjeu européen totalement nouveau. Un cadre législatif relatif au traitement et à la circulation de ces données existe en effet depuis 1995, date de la première directive européenne en matière. Depuis, une nouvelle proposition a été élaborée par la Commission en 2012, avant que les révélations sur le programme PRISM de surveillance de la NSA en 2013 ne viennent troubler l'opinion publique européenne. Aujourd'hui, les discussions autour de ce sujet sont toujours en cours au sein de l'Union européenne.

Protéger les données personnelles, après le scandale NSA

Réseaux sociaux, PC, smartphones… Comment protéger davantage sa vie numérique et ses données personnelles ? Avec le scandale PRISM qui a révélé en 2013 l’existence d’un programme de surveillance mis en place par les Etats-Unis et donnant accès aux données personnelles stockées par Google, Facebook, Microsoft, Yahoo!, Skype ou encore Apple, la protection des données à caractère personnel et le respect de la vie privée sont devenus une préoccupation majeure en Europe.

A la suite de ce scandale qui a éclaté en juin 2013 et après six mois d’enquête, le Parlement européen a adopté le 12 mars 2014 une résolution sur la surveillance électronique de masse des citoyens européens. Cette résolution, qui concerne le programme de surveillance de l'Agence américaine de sécurité nationale (NSA), les organismes de surveillance de plusieurs États membres et leur impact sur les droits fondamentaux des citoyens de l'Union européenne, appelle entre autres à rompre avec l'accord TFTP (un programme de surveillance du financement du terroriste avec les Etats-Unis). Cette demande fait suite aussi aux allégations d'espionnage par la NSA des données bancaires de citoyens de l'UE gérées par l'entreprise belge SWIFT.

Selon l’Eurobaromètre publié le 24 juin 2015, deux tiers des Européens se disent préoccupés par la perte de contrôle de leurs données personnelles sur le net, tandis que seulement 15% des personnes interrogées ont le sentiment de maîtriser la circulation de leurs informations en ligne. Il est en effet devenu impossible d’échapper au partage d’informations privées sur le web. En s’inscrivant sur un réseau social ou en réservant un vol en ligne par exemple, vous communiquez votre nom, prénom, adresse... Les données circulent, mais où vont-elles ? Comment les protéger ?

La proposition de réforme de la Commission de 2012

Pour répondre à ces questions qui restent encore aujourd’hui en suspens, la Commission européenne a proposé en janvier 2012 sous l'ère Barroso II, une réforme globale des règles en matière de protection des données dans l’UE (IP/12/46).

L’objectif est de redonner aux citoyens le contrôle de leurs propres données, tout en simplifiant par ailleurs l’environnement réglementaire des entreprises afin de ne pas pénaliser le secteur de l’économie numérique (projet de marché unique numérique lancé en 2015 par la Commission Juncker). Le texte attend aujourd’hui la fin des négociations en trilogue entre Commission, Parlement et Conseil, qui ont débuté au mois de juin 2015. L’ambition commune est de parvenir à un accord final d’ici à la fin de l’année.

L’accord revu par le Parlement comporte plusieurs points : le droit à l’oubli numérique, c'est-à-dire le pouvoir de demander le retrait de certaines informations enregistrées en ligne, y est renforcé pour les particuliers ainsi que l’obligation d’appliquer les règles européennes pour les entreprises établies hors d’Europe et qui souhaitent traiter au sein de l’Union.

Le règlement prévoit également des sanctions pour les entreprises enfreignant les règles relatives à la protection des données, avec des amendes qui pourraient atteindre 1 million d’euros ou 2 % du chiffre d’affaires annuel global de l’entreprise et qui seraient délivrées par les différentes autorités nationales chargées de la protection des données.

La directive européenne de 1995

Qu'est qu'une donnée personnelle ?

La directive de 1995 sur la protection des données définit la donnée personnelle comme "toute information concernant une personne physique identifiée ou identifiable" soit : le nom, le prénom, la photo mais aussi les empreintes digitales et autre donnée biométrique.

Les données indirectement personnelles sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification comme par exemple le numéro de sécurité sociale, un numéro client ou un numéro d’employé. Plus largement, dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et elle est à ce titre protégée par la loi.

Si de nouvelles règles de protection sont en cours de discussion pour stimuler le marché unique numérique de l’UE, la problématique n’est pas nouvelle.

La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue en effet actuellement le socle commun à tous les pays de l’Union européenne en matière de protection des données personnelles.

Cette directive définit ce qu'est une donnée à caractère personnel et pose les principes de la qualité de la donnée, la légitimation de son traitement, le type de catégories récoltées autorisée, le droit d'accès des personnes à leurs données, le consentement de délivrance des données et le droit d'opposition, la confidentialité et la sécurité des traitements, ainsi que sa notification.

L’article 29 de la directive a institué un groupe de travail (le G29) réunissant l’ensemble des CNIL européennes : celui-ci a pour mission de contribuer à l’élaboration des normes européennes (adoption de recommandations) et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques concernant les traitements de données personnelles.

La directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Plusieurs actes sont venus étoffer cette directive :

  • le règlement du 18 décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données ;
  • la décision du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE ;
  • la décision du 27 décembre 2004, modifiant celle de 2001, en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers ;
  • la directive du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
  • le rapport de la Commission du 15 mai 2003 intitulé "Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE)" ;
  • la communication de la Commission du 7 mars 2007, intitulée "Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données".

La directive de 1995 ainsi que les actes subséquents ont tous étés adoptés afin de mettre en œuvre deux droits affirmés par la Charte des droits fondamentaux de l'Union européenne, soit le droit au respect de la vie privée et familiale (article 7) et le droit à la protection des données à caractère personnel (article 8).

A venir

Toujours basée sur la Charte des droits fondamentaux ainsi que sur l’article 16 du Traité sur le fonctionnement de l’Union européenne (FUE), qui fournit la base juridique de la politique de l’Union sur le système de protection des données personnelles, la nouvelle proposition de la Commission suit depuis 2012 son cours. "Je suis convaincue que nous parviendrons à un accord final avec le Parlement européen et le Conseil d’ici à la fin de l’année", a assuré le 15 juin dernier, Vera Jourová, commissaire européenne à la Justice, aux consommateurs et à l'égalité des genres.