Protection des données à caractère personnel

Mercredi 4 janvier 2012, par webmaster // CADRE JURIDIQUE

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d’un organisme national indépendant chargé de la protection de ces données.

ACTE

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

SYNTHÈSE

La présente directive s’applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu’aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).

La directive ne s’applique pas au traitement de données :

  • effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques ;
  • mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l’État.

La directive vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant des principes directeurs déterminant la licéité de ces traitements. Ces principes portent sur :

  • la qualité des données : les données à caractère personnel doivent notamment être traitées loyalement et licitement, et collectées pour des finalités déterminées, explicites et légitimes. Elle doivent en outre être exactes et, si nécessaire, mises à jour ;
  • la légitimation des traitements de données : le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ou si le traitement est nécessaire :
    • à l’exécution d’un contrat auquel la personne concernée est partie ; ou
    • au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; ou
    • à la sauvegarde de l’intérêt vital de la personne concernée ; ou
    • à l’exécution d’une mission d’intérêt public ; ou
    • à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ;
  • les catégories particulières de traitements : doit être interdit le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. Cette disposition est assortie de réserves concernant, par exemple, le cas où le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou aux fins de la médecine préventive et des diagnostics médicaux ;
  • l’information des personnes concernées par les traitements de données : un certain nombre d’informations (identité du responsable du traitement, finalités du traitement, destinataires des données, etc.) doivent être fournies par le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant ;
  • le droit d’accès de ces personnes aux données : toute personne concernée doit avoir le droit d’obtenir du responsable du traitement :
    • la confirmation que des données la concernant sont ou ne sont pas traitées et la communication des données faisant l’objet des traitements ;
    • la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive - notamment en raison du caractère incomplet ou inexact des données - ainsi que la notification de ces modifications aux tiers auxquels les données ont été communiquées ;
  • les exceptions et limitations : les principes relatifs à la qualité des données, à l’information de la personne concernée, au droit d’accès et à la publicité des traitements peuvent voir leur portée limitée afin de sauvegarder, entre autres, la sûreté de l’État, la défense, la sécurité publique, la poursuite d’infractions pénales, un intérêt économique ou financier important d’un État membre ou de l’UE ou la protection de la personne concernée ;
  • le droit d’opposition aux traitements de données : la personne concernée doit avoir le droit de s’opposer, pour des raisons légitimes, à ce que des données la concernant fassent l’objet d’un traitement. Elle doit également pouvoir s’opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de prospection. Elle doit enfin être informée avant que des données ne soient communiquées à des tiers à des fins de prospection et doit se voir offrir le droit de s’opposer à cette communication ;
  • la confidentialité et la sécurité des traitements : toute personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données personnelles, ne peut les traiter que sur instruction du responsable du traitement. Par ailleurs, le responsable du traitement doit mettre en œuvre les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé ;
  • la notification des traitements auprès d’une autorité de contrôle : le responsable du traitement doit adresser une notification à l’autorité de contrôle nationale préalablement à la mise en œuvre d’un traitement. Des examens préalables sur les risques éventuels au regard des droits et libertés des personnes concernées sont effectués par l’autorité de contrôle après réception de la notification. La publicité des traitements doit être assurée et les autorités de contrôle doivent tenir un registre des traitements notifiés.

Toute personne doit disposer d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question. En outre, les personnes ayant subi un dommage du fait d’un traitement illicite de leurs données personnelles ont le droit d’obtenir réparation du préjudice subi.

Les transferts de données à caractère personnel d’un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés. En revanche, ils ne peuvent être effectués vers un pays tiers ne disposant pas d’un tel niveau de protection, sauf dérogations limitativement énumérées.

La directive vise à favoriser l’élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.

Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Un groupe de protection des personnes à l’égard du traitement des données à caractère personnel est institué, composé de représentants des autorités de contrôle nationales, de représentants des autorités de contrôle des institutions et organismes communautaires, et d’un représentant de la Commission.

RÉFÉRENCES

Directive 95/46/CE, entrée en vigueur le 13/12/1995

Règlement (CE) n°1882/2003, entré en vigueur le 20/11/2003

P.-S.

© Union européenne, 1995-2012