La protection des données à caractère personnel

La protection des données à caractère personnel et le respect de la vie privée sont des droits fondamentaux majeurs. Le Parlement européen a toujours insisté sur la nécessité de maintenir une approche équilibrée entre renforcement de la sécurité et sauvegarde des Droits de l’homme, notamment en ce qui concerne la protection des données et la vie privée. De nouvelles règles de l’Union relatives à la protection des données, qui renforcent les droits des citoyens et qui, à l’ère numérique, simplifient les règles que les entreprises doivent respecter sont entrées en vigueur en mai 2018.

Base juridique

Article 16 du traité sur le fonctionnement de l’Union européenne (traité FUE)

Articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne

Objectifs

L’Union doit veiller au respect permanent du droit fondamental à la protection des données, consacré dans la charte des droits fondamentaux de l’Union européenne. La position de l’Union en matière de protection des données à caractère personnel doit être renforcée dans le cadre de toutes les politiques européennes, y compris celles qui concernent le maintien de l’ordre et la prévention de la criminalité, ainsi que dans le domaine des relations internationales, en particulier dans une société mondialisée caractérisée par une évolution rapide des technologies.

Réalisations

A. Cadre institutionnel

1. Le traité de Lisbonne

Avant l’entrée en vigueur du traité de Lisbonne, la législation relative à la protection des données dans l’espace de liberté, de sécurité et de justice (ELSJ) était divisée entre le premier pilier (protection des données collectées à des fins privées et commerciales, en utilisant la méthode communautaire) et le troisième pilier (protection des données collectées à des fins répressives, au niveau intergouvernemental). En conséquence, les processus décisionnels applicables à chacun de ces deux domaines suivaient des règles différentes. La structure en piliers a disparu dans le traité de Lisbonne, qui renforce les bases nécessaires à l’élaboration d’un système de protection des données plus clair et plus efficace, tout en prévoyant de nouveaux pouvoirs pour le Parlement européen, celui-ci devenant colégislateur. L’article 16 du traité FUE dispose que le Parlement européen et le Conseil fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union.

2. Orientations stratégiques au sein de l’espace de liberté, de sécurité et de justice

À la suite des programmes de Tampere et de La Haye (respectivement en octobre 1999 et en novembre 2004), le Conseil européen a approuvé, en décembre 2009, le programme pluriannuel relatif à l’ELSJ pour la période 2010-2014: le programme de Stockholm. Dans ses conclusions de juin 2014, le Conseil européen a défini les orientations stratégiques pour la programmation législative et opérationnelle dans l’espace de liberté, de sécurité et de justice pour les années à venir, conformément à l’article 68 du traité FUE. L’un des principaux objectifs est l’amélioration de la protection des données personnelles dans l’Union européenne.

B. Les principaux instruments législatifs en matière de protection des données

1. La charte des droits fondamentaux de l’Union européenne

Les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne considèrent le respect de la vie privée et la protection des données à caractère personnel comme des droits fondamentaux étroitement liés, mais distincts.

2. Le Conseil de l’Europe

a. La convention no 108 de 1981

La convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel fut le premier instrument international juridiquement contraignant adopté dans le domaine de la protection des données. Elle vise à garantir à toute personne physique «le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant». Le protocole modifiant la convention vise à élargir son champ d’application, à relever le niveau de protection des données et à la rendre plus efficace.

b. La convention européenne des Droits de l’homme (CEDH)

L’article 8 de la convention européenne de sauvegarde des Droits de l’homme et des libertés fondamentales du 4 novembre 1950 introduit le droit au respect de la vie privée et familiale: «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance».

3. Les instruments législatifs de l’Union en vigueur dans le domaine de la protection des données

a. Le règlement général sur la protection des données (RGPD)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) est entré en vigueur en mai 2018. Il vise à protéger tous les citoyens européens contre les violations de la vie privée et des données à caractère personnel dans un monde de plus en plus numérique et il met aussi en place un cadre plus clair et plus cohérent pour les entreprises. Parmi les droits dont jouissent les citoyens figurent un consentement, déclaré par un acte positif clair, au traitement de leurs données à caractère personnel, le droit de recevoir des informations claires et compréhensibles à ce sujet, le «droit à l’oubli» (tout citoyen peut demander l’effacement de ses données), le droit de transférer leurs données à un autre fournisseur de services (par exemple lors du passage d’un réseau social à un autre) et le droit d’être informés lorsque leurs données ont été piratées. Ces nouvelles règles s’appliquent à toutes les entreprises présentes sur le marché européen, même si elles n’ont pas leur siège dans l’Union européenne. En outre, le règlement prévoit la possibilité d’imposer des mesures correctrices, comme des avertissements ou des injonctions, voire des amendes, aux entreprises qui enfreindraient les règles.

b. La directive en matière de protection des données dans le domaine répressif

La directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil est entrée en vigueur en mai 2018. Elle protège le droit des citoyens à la protection de leurs données à caractère personnel lorsque celles-ci sont utilisées par les autorités répressives. Elle garantit que les données à caractère personnel des victimes, des témoins et des personnes soupçonnées d’avoir commis un délit sont dûment protégées, et facilite la coopération transfrontalière en vue de lutter contre le terrorisme et la criminalité.

c. Directive «vie privée et communications électroniques»

La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») a été modifiée par la directive 2009/136/CE du 25 novembre 2009.

La nouvelle proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») est en cours d’examen.

d. Règlement sur le traitement des données à caractère personnel par les institutions et organes de l’Union

Le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE, est entré en vigueur le 11 décembre 2018.

e. Articles consacrés à la protection des données dans des actes législatifs sectoriels spécifiques

Outre les actes législatifs principaux consacrés à la protection des données évoqués ci-dessus, des dispositions spécifiques relatives à la protection des données sont également intégrées à des actes législatifs sectoriels spécifiques, tels que:

  • l’article 13 (sur la protection des données à caractère personnel) de la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière,
  • le chapitre VI (sur les garanties relatives à la protection des données) du règlement (UE) 2016/794 du Parlement européen et du conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol)
  • et le chapitre VIII (sur la protection des données) du règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen.

4. Les principaux accords internationaux de l’Union relatifs aux transferts de données

a. Transferts de données commerciales : décisions relatives à l’adéquation du niveau de protection des données

Au titre de l’article 45 du RGPD, la Commission a le pouvoir de déterminer si un pays tiers assure un niveau de protection des données adéquat en se basant soit sur la législation nationale du pays soit sur les engagements internationaux qu’il a pris.

Le Parlement a adopté plusieurs résolutions faisant état de préoccupations relatives aux flux de données transatlantiques.

b. Accord-cadre UE-États-Unis:

Dans le cadre de la procédure d’approbation, le Parlement a été associé à l’approbation de l’accord entre les États-Unis et l’Union européenne relatif à la protection des informations à caractère personnel afin de prévenir et de détecter les infractions pénales et de procéder aux enquêtes et poursuites en la matière. Cet accord est également connu sous le nom d’«accord-cadre». Son objectif est d’assurer un niveau élevé de protection des informations personnelles transférées dans le cadre de la coopération transatlantique à des fins répressives, à savoir dans la lutte contre le terrorisme et la criminalité organisée.

c. Accords relatifs aux données des dossiers passagers (PNR) entre l’Union et les États-Unis, l’Union et l’Australie et l’Union et le Canada

L’Union a signé des accords bilatéraux relatifs aux données des dossiers des passagers (PNR) avec les États-Unis, l’Australie et le Canada. Parmi les données des dossiers des passagers figurent les informations fournies par les passagers lors de la réservation ou de l’enregistrement de leur vol ainsi que les données recueillies à des fins commerciales par les transporteurs aériens. Les données des dossiers des passagers peuvent être utilisées par les services répressifs pour lutter contre la criminalité grave et le terrorisme.

d. Programme de surveillance du financement du terrorisme UE-États-Unis (TFTP)

L’Union européenne a signé un accord bilatéral avec les États-Unis sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis d’Amérique aux fins du programme de surveillance du financement du terrorisme.

5. Aspects liés à la protection des données dans des résolutions sectorielles spécifiques

Plusieurs résolutions du Parlement relatives à différents domaines d’action abordent également la question de la protection des données afin de garantir la cohérence avec la législation générale de l’Union en matière de protection des données et avec la protection de la vie privée dans ces secteurs spécifiques.

6. Autorités européennes de contrôle de la protection des données

Le contrôleur européen de la protection des données (CEPD) est une autorité de contrôle indépendante, qui veille à ce que les institutions et organes de l’Union respectent leurs obligations en matière de protection des données. Le CEPD a pour principales fonctions le contrôle, la consultation et la coopération.

Le comité européen de la protection des données, anciennement le groupe de travail «article 29», a le statut d’organe de l’Union. Il jouit de la personnalité juridique et dispose d’un secrétariat indépendant. Il rassemble des représentants des autorités nationales de l’Union compétentes en matière de protection des données, du CEPD et de la Commission. Le comité possède des compétences étendues afin de connaître des litiges entre les autorités nationales compétentes et dispense des conseils sur des concepts essentiels du RGPD et de la directive en matière de protection des données dans le domaine répressif.

Rôle du Parlement européen

Le Parlement, en faisant de la protection de la vie privée une priorité politique, a joué un rôle de premier plan dans l’élaboration de la législation de l’Union dans le domaine de la protection des données à caractère personnel. Par ailleurs, dans le cadre de la procédure législative ordinaire, il a œuvré à la réforme de la protection des données sur un pied d’égalité avec le Conseil. Il a en outre achevé ses travaux sur la dernière pièce majeure du puzzle, le nouveau règlement «vie privée et communications électroniques», et attend avec impatience que le Conseil fasse de même pour pouvoir entamer les négociations.

Le Parlement supervise étroitement les accords internationaux en matière de transferts de données. Que ce soit par l’intermédiaire de la procédure d’approbation ou par celui de rapports d’initiative, il s’est assuré de faire entendre sa voix. De plus, avant de procéder au vote relatif à l’accord sur les données des dossiers des passagers entre l’Union et le Canada, le Parlement a décidé de demander l’avis de la Cour de justice, conformément à l’article 218, paragraphe 11 du traité FUE, dans une résolution du 25 novembre 2014. Dans l’avis qu’elle a rendu, publié le 26 juillet 2017, la Cour a établi que l’accord sur les données des dossiers des passagers ne pouvait être conclu sous sa forme actuelle. En effet, plusieurs dispositions étaient incompatibles avec le droit fondamental à la protection des données à caractère personnel.

Comme il s’est assuré que les règles de l’Union en matière de protection des données soient correctement mises en œuvre, le Parlement se concentrera désormais très probablement sur le suivi de la mise en application de la législation.

 

Kristiina Milt