Derniers articles publiés

La protection des droits fondamentaux : données privées, droit à l'oubli

Actualité 31.08.2017

La protection des données à caractère personnel n'est pas un enjeu européen totalement nouveau. Un cadre législatif relatif au traitement et à la circulation de ces données existe en effet depuis 1995. Pour autant, la définition d'une stratégie numérique européenne visant à la création d'un véritable marché unique numérique, mais également les révélations sur le programme PRISM de surveillance de la NSA ont renforcé la nécessité d'une révision des législations relative à la protection des données personnelles.  Un "paquet sur la protection des données" a ainsi été voté par les eurodéputés en 2016 afin d'améliorer la sécurité juridique des citoyens européens. Les Etats membres ont jusqu'en mai 2018 pour transposer ces textes en droit national.

Protection des données (c) istock

Harmoniser la protection des données personnelles des citoyens

La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données demeure actuellement le socle commun à tous les pays de l’Union européenne en matière de protection des données personnelles.

Cette directive définit ce qu'est une donnée à caractère personnel et pose les principes de la qualité de la donnée, la légitimation de son traitement, le type de catégories récoltées autorisée, le droit d'accès des personnes à leurs données, le consentement de délivrance des données et le droit d'opposition, la confidentialité et la sécurité des traitements, ainsi que sa notification.

L'article 29 de cette directive d'octobre 1995 a également permis la création d'un groupe qui rassemble, tous les deux mois, les représentants des autorités nationales de protection des données (l'équivalent de la Commission nationale de l'informatique et des libertés – CNIL, en France). Ce groupe surnommé "G29" a pour objectif d'adopter des recommandations concernant la protection des données personnelles, et notamment à destination de la Commission européenne.

Qu'est qu'une donnée personnelle ?
Le règlement de 2016 abrogeant la directive de 1995 sur la protection des données définit la donnée personnelle comme "toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". C'est également le cas d'une photo mais aussi des empreintes digitales et autre donnée biométrique.

La directive a été transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Plusieurs actes législatifs sont venus compléter cette directive :

  • le règlement du 18 décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données
  • la décision du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE
  • la décision du 27 décembre 2004, modifiant celle de 2001, en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers
  • la directive du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
  • le rapport de la Commission du 15 mai 2003 intitulé "Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE)"
  • la communication de la Commission du 7 mars 2007, intitulée "Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données"

Bien que la directive de 1995 ait permis une certaine harmonisation, il existe toutefois une fragmentation des législations des Etats membres en termes de données personnelles. Les législations françaises et anglaises, par exemple, divergent en de nombreux points comme la définition même de la donnée personnelle, ou encore les conditions de transferts et de traitement. Comme l'explique le règlement de 2016, il subsiste donc "une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne."

Les nouvelles règles du paquet législatif de 2016

Le 25 janvier 2012, Viviane Reding, ancienne vice-présidente de la Commission européenne en charge de la justice, a rendu public un nouveau projet de règlement relatif à la protection des données personnelles. La plupart des Etats membres ont retoqué cette première copie et réclamé la poursuite de la réflexion, jugeant que l’équilibre entre la protection du citoyen et les intérêts économiques des acteurs du numérique n’était pas respecté.

Après 20 mois de débats et 250 heures de négociations informelles entre les groupes politiques, les parlementaires ont finalement voté le "paquet sur la protection des données" composé d'un règlement et d'une directive, en avril 2016. Les Etats membres ont à présent jusqu'en mai 2018 pour transposer cette directive en droit national.

Le règlement concerne le traitement des données personnelles. Il adapte ainsi la directive de 1995 aux évolutions de l'environnement numérique. Comme l'explique Carole Ulmer, directrice d'études pour le think tank Confrontations Europe : "L'esprit du texte est clair : il s'agit de donner une vision commune de la protection des données personnelles en Europe et de renforcer le droit des individus sur leurs données."

Parmi les nouvelles règles prévues par la directive, on trouve notamment "le droit à l'oubli". Ainsi, si une personne demande à une entreprise d'effacer certaines données, l'entreprise doit s'exécuter et transmettre la demande à toute partie qui duplique ces données. On trouve également différentes mesures qui permettent à chacun d'être informé de l'utilisation de ses données personnelles. Trois articles visent à changer le fonctionnement des politiques de vie privée rédigées "en petits caractères". Les informations devront être transmises dans un langage "simple et clair" afin que la personne donne un consentement clair et explicite quant au traitement de ses données. Deux autres articles stipulent que les entreprises doivent informer les utilisateurs ou clients en cas de piratage des données.

L'objectif est également d'encourager les entreprises à mettre en œuvre une bonne gouvernance des données ainsi que des méthodes qui respectent le principe de protection des données dès la conception du produit qu'elles proposent. En cas d'infraction, des amendes pouvant atteindre jusqu'à 4% du chiffre d'affaire mondial de l'entreprise sont prévues par le règlement.

La directive concerne quant à elle les transferts de données nationaux et transnationaux. Ces données sont également protégées par le règlement, mais avec certaines adaptations. L'objectif est de faciliter la coopération des différentes autorités répressives nationales.

Le bouclier sur la vie privée entre l'UE et les Etats-Unis : "EU-US Privacy Shield"

En février 2016, la Commission européenne a informé qu'un accord entre l'UE et les Etats-Unis concernant les échanges de données transatlantiques a été conclu. Entré en vigueur en août 2016, ce mécanisme assure que les données personnelles européennes transmises à des entreprises américaines soient soumises à des règles qui garantissent un niveau de protection adéquat et proche de celui proposé par l'Union européenne. 

 

Pour en savoir plus :