Protection des données à caractère personnel

La protection des données à caractère personnel et le respect de la vie privée sont des droits fondamentaux majeurs. Le Parlement européen a toujours insisté sur la nécessité de maintenir une approche équilibrée entre renforcement de la sécurité et sauvegarde des Droits de l'homme, notamment en ce qui concerne la protection des données et la vie privée. La réforme de la protection des données entreprise par l'Union consolidera les droits des citoyens en leur permettant de mieux contrôler leurs données et en veillant à préserver la protection de leur vie privée à l'ère numérique.

Base juridique

Article 16 du traité sur le fonctionnement de l'Union européenne (traité FUE);

Articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne.

Objectifs

L'Union doit veiller au respect permanent du droit fondamental à la protection des données, consacré dans la charte des droits fondamentaux de l'Union européenne. La position de l'Union en matière de protection des données à caractère personnel doit être renforcée dans le cadre de toutes les politiques européennes, y compris celles qui concernent le maintien de l'ordre et la prévention de la criminalité, ainsi que dans le domaine des relations internationales, en particulier dans une société mondialisée caractérisée par une évolution rapide des technologies.

Réalisations

a.Un nouveau cadre institutionnel

1.Le Traité de Lisbonne

Avant l'entrée en vigueur du Traité de Lisbonne, la législation relative à la protection des données dans l'espace de liberté, de sécurité et de justice (ELSJ) était divisée entre le premier pilier (protection des données collectées à des fins privées et commerciales, en utilisant la méthode communautaire) et le troisième pilier (protection des données collectées à des fins répressives, au niveau intergouvernemental). En conséquence, les processus décisionnels applicables à chacun de ces deux domaines suivaient des règles différentes. La structure en piliers a disparu dans le Traité de Lisbonne, qui renforce les bases nécessaires à l'élaboration d'un système de protection des données plus clair et plus efficace, tout en prévoyant de nouveaux pouvoirs pour le Parlement européen, celui-ci devenant colégislateur. L'article 16 du traité FUE établit que le Parlement européen et le Conseil fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union.

2.Le programme de Stockholm et le Conseil européen de juin 2014

À la suite des programmes de Tampere et de La Haye (octobre 1999 et novembre 2004, respectivement), le Conseil européen a approuvé, en décembre 2009, un nouveau programme pluriannuel relatif à l'ELSJ pour la période 2010-2014: le programme de Stockholm. Dans ses conclusions de juin 2014, le Conseil européen a défini des orientations stratégiques pour la programmation législative et opérationnelle dans l'espace de liberté, de sécurité et de justice pour les années à venir, conformément à l'article 68 du traité FUE. L'un des principaux objectifs est l'amélioration de la protection des données personnelles dans l'UE.

b.Principaux instruments législatifs en matière de protection des données

1.Charte des droits fondamentaux de l'Union européenne

Les articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne considèrent le respect de la vie privée et la protection des données à caractère personnel comme des droits fondamentaux étroitement liés, mais distincts. La charte est intégrée au Traité de Lisbonne et revêt un caractère juridiquement contraignant pour les institutions et les organes de l'Union européenne, ainsi que pour les États membres lors de la mise en œuvre du droit de l'Union.

2.Conseil de l'Europe
a.La convention no 108 de 1981

La Convention no 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel est le premier instrument international juridiquement contraignant adopté dans le domaine de la protection des données. Elle vise à «garantir [..] à toute personne physique [..] le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant».

b.Convention européenne des Droits de l'homme (CEDH)

L'article 8 de la convention européenne de sauvegarde des Droits de l'homme et des libertés fondamentales du 4 novembre 1950 introduit le droit au respect de la vie privée et familiale: «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance».

3.Les instruments législatifs de l'Union en vigueur dans le domaine de la protection des données

Du fait de l'ancienne structure en piliers, il existe, à l'heure actuelle, différents instruments législatifs. Au nombre de ceux-ci figurent certains instruments relevant de l'ancien premier pilier, tels que la directive 95/46/CE sur la protection des données, la directive 2002/58/CE (modifiée en 2009) sur la vie privée et les communications électroniques, la directive 2006/24/CE sur la conservation des données (invalidée par la Cour de justice de l'Union européenne le 8 avril 2014 car elle porte une atteinte grave au respect de la vie privée et à la protection des données) et le règlement (CE) no 45/2001 sur le traitement des données à caractère personnel par les institutions et organes communautaires, ainsi que des instruments relevant de l'ancien troisième pilier, tels que la décision-cadre du Conseil de novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la police et de la justice pénale. Un nouveau cadre juridique global sur la protection des données au niveau de l'Union européenne doit entrer en vigueur prochainement (voir plus bas).

a.La directive 95/46/CE sur la protection des données

La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est l'acte législatif principal en matière de protection des données à caractère personnel au sein de l'Union européenne. Cette directive établit des conditions générales de licéité des traitements de données à caractère personnel ainsi que les droits des personnes concernées, et prévoit l'établissement d'autorités indépendantes de contrôle dans les États membres. La directive dispose que le traitement de données à caractère personnel n'est autorisé que si la personne concernée a donné son consentement explicite à un tel traitement et qu'elle en a été préalablement informée.

b.Décision-cadre 2008/977/JAI du Conseil

La décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale réglemente la protection des données dans l'ancien troisième pilier. Ce secteur n'est pas pris en charge par la directive 95/46/CE, qui s'applique au traitement des données à caractère personnel dans l'ancien premier pilier. La décision-cadre ne s'applique qu'aux données policières et judiciaires échangées entre États membres, autorités de l'Union européenne et systèmes associés, et non aux données internes.

4.Le contrôleur européen de la protection des données et le groupe de travail «Article 29»

Le contrôleur européen de la protection des données (CEPD) est une autorité de contrôle indépendante, qui veille à ce que les institutions et organes de l'Union respectent leurs obligations en matière de protection des données, telles qu'elles sont fixées dans le règlement (CE) n45/2001 sur la protection des données. Le CEPD a pour principales fonctions le contrôle, la consultation et la coopération. Le groupe de travail «Article 29» est un organe consultatif indépendant sur la protection des données et la vie privée, institué au titre de l'article 29 de la directive sur la protection des données. Il se compose de représentants des autorités nationales de l'Union compétentes en matière de protection des données, du CEPD et de la Commission. Il émet des recommandations, des avis et des documents de travail. Le groupe de travail «Article 29» sera remplacé par le comité européen de la protection des données dans le cadre du règlement général sur la protection des données.

5.Réforme de la protection des données dans l'UE

Le 25 janvier 2012, la Commission a publié un vaste train de mesures législatives visant à réformer la législation de l'Union sur la protection des données. La proposition de réforme a pour but de garantir la protection des données à caractère personnel dans l'ensemble de l'Union, d'accroître le contrôle des utilisateurs sur leurs propres données et de réduire les coûts pour les entreprises. Les évolutions technologiques et la mondialisation ont profondément modifié les modes de collecte, d'obtention et d'utilisation des données. Par ailleurs, les 28 États membres ont mis en œuvre les règles de 1995 chacun de manière différente. L'adoption d'une législation unique permettra de mettre fin à la fragmentation actuelle et aux charges administratives coûteuses qui en découlent. La présente initiative contribuera au renforcement de la confiance des consommateurs dans les services en ligne et à l'indispensable relance de la croissance, de l'emploi et de l'innovation en Europe. Le train de mesures comprend une communication politique traitant des objectifs politiques majeurs de la réforme, une proposition de règlement général visant à actualiser les principes ancrés dans la directive de 1995 sur la protection des données et une proposition de directive consacrée au traitement des données à caractère personnel dans le domaine de la coopération policière et judiciaire. En décembre 2015, le Parlement (au niveau des commissions) et le Conseil (au niveau des ambassadeurs) sont parvenus à un accord sur les nouvelles règles de protection des données au terme de presque trois années de négociations ardues. Dès que le règlement et la directive auront été formellement adoptés, les textes officiels seront publiés au Journal officiel; les nouvelles dispositions entreront en vigueur deux ans après.

Rôle du Parlement européen

Le Parlement a toujours insisté sur la nécessité de parvenir à un équilibre entre le renforcement de la sécurité et la protection de la vie privée et des données à caractère personnel. Il a adopté diverses résolutions sur ces questions sensibles, s'intéressant tout particulièrement au fichage ethno-racial, à la décision du Conseil de Prüm sur la coopération transfrontalière dans la lutte contre le terrorisme et la criminalité transfrontalière, à l'utilisation de scanners corporels pour renforcer la sécurité aérienne, aux données biométriques des passeports et aux instructions consulaires communes, à la gestion des frontières, à l'internet et à l'extraction des données.

Le Traité de Lisbonne a introduit plus de responsabilité et de légitimité dans l'ELSJ, généralisant ainsi, à quelques exceptions près, la méthode communautaire, qui comprend notamment le vote à la majorité au Conseil et la procédure législative ordinaire (anciennement «codécision»). En ce qui concerne les accords internationaux, une nouvelle procédure, dite d'approbation, a été introduite. Le Parlement a utilisé ces pouvoirs en février 2010, lorsqu'il a rejeté l'application provisoire de l'accord sur le programme de surveillance du financement du terrorisme (TFTP, anciennement «accord SWIFT») sur le transfert des données bancaires aux États-Unis aux fins de la lutte contre le terrorisme. À la suite de l'adoption de la résolution du Parlement du 8 juillet 2010, l'accord TFTP est entré en vigueur en août 2010. En juillet 2011, la Commission a adopté une communication relative à un système européen de surveillance du financement du terrorisme (SSFT), au sujet duquel le Parlement a exprimé des doutes. En novembre 2013, la Commission a annoncé son intention de renoncer, à ce stade, à présenter une proposition concernant l'instauration d'un SSFT dans l'Union.

L'accord sur les dossiers passagers (PNR) entre l'Union européenne et les États-Unis concernant le traitement et le transfert des données PNR par les compagnies aériennes au ministère de la sécurité intérieure des États-Unis constitue une autre source de profonde inquiétude. Après l'approbation du Parlement, le Conseil a adopté, en avril 2012, une décision relative à la conclusion du nouvel accord qui a remplacé le précédent accord entre l'Union européenne et les États-Unis sur les dossiers passagers, en vigueur provisoirement depuis 2007.

En février 2011, la Commission a déposé une proposition de directive relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (système PNR de l'Union européenne). En juin 2013, le Parlement a décidé en session plénière de renvoyer le dossier à la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) qui, en avril 2013, avait voté contre la proposition de l'Union relative au système PNR, jugeant celui-ci disproportionné et non respectueux des droits fondamentaux. Depuis, le dossier de l'Union concernant le système PNR se trouve dans une impasse. Depuis les attaques terroristes survenues à Paris en 2015 et l'inquiétude que suscitent à présent d'éventuelles menaces pour la sécurité intérieure de l'Union du fait de «combattants étrangers», le débat entourant la proposition PNR de l'Union est de nouveau à l'ordre du jour. En décembre 2015, le Parlement (au niveau des commissions) et le Conseil (au niveau des ambassadeurs) sont parvenus à une solution de compromis dans ce dossier sensible, qui permettra aux États membres, sans toutefois les y obliger, de collecter des données PNR sur une série de vols intracommunautaires. Après approbation finale par le Parlement et le Conseil, la directive de l'Union relative au PNR devra être transposée dans les législations nationales dans un délai de deux ans.

Le Parlement sera associé au processus d'approbation d'un accord-cadre juridiquement contraignant avec les États-Unis sur l'échange d'informations et la protection des données, appelé également «accord-cadre». L'objectif est d'assurer un niveau élevé de protection des informations personnelles transférées dans le cadre de la coopération transatlantique dans la lutte contre le terrorisme et la criminalité organisée. La signature du Judicial Redress Act par le Président Obama, en février 2016, a ouvert la voie à la signature de l'accord-cadre entre l'Union et les États-Unis, qui a été paraphé en septembre 2015.

Parallèlement, la Commission s'emploie à mettre en place le «bouclier UE-USA sur la vie privée» afin de garantir un niveau élevé de protection des données aux transferts de données commerciales. Le «bouclier sur la vie privée» reflète les exigences formulées par la Cour de justice de l'Union européenne dans l'arrêt qu'elle a prononcé en octobre 2015, qui a déclaré invalide l'ancienne «sphère de sécurité».

Le 12 mars 2014, le Parlement a adopté une résolution sur le programme de surveillance de l'Agence américaine de sécurité nationale (NSA), les organismes de surveillance de plusieurs États membres et leur impact sur les droits fondamentaux des citoyens de l'Union européenne et sur la coopération transatlantique dans le domaine de la justice et des affaires intérieures. Cette résolution a marqué la conclusion d'une enquête du Parlement d'une durée de six mois sur la surveillance électronique de masse des citoyens européens, lancée à la suite des révélations de juin 2013 concernant l'espionnage auquel se seraient livrés les États-Unis et certains pays de l'Union. Dans sa résolution, le Parlement appelle de ses vœux la suspension de l'application des principes de la sphère de sécurité (normes non contraignantes de protection des données destinées aux entreprises hors Union qui transmettent les données personnelles de citoyens européens aux États-Unis) et de l'accord TFTP.

Le Parlement a été associé, au titre de la procédure législative ordinaire, à l'approbation de la réforme de la protection des données (voir chapitre précédent). Les nouvelles règles de protection des données consolideront les droits fondamentaux des citoyens à l'ère numérique et faciliteront les échanges commerciaux en simplifiant les règles applicables aux sociétés dans un marché numérique unique.

Alessandro Davoli

06/2016