La protection des données personnelles en droit communautaire
Transcript of La protection des données personnelles en droit communautaire
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
UNIVERSITE DE MONTPELLIER I.
FACULTE DE DROIT – IDEDH.
MEMOIRE Master 2 Recherche
Droit européen des droits de l’homme.
LA PROTECTION DES DONNEES PERSONNELLES EN
DROIT COMMUNAUTAIRE.
Par Monsieur Farid BOUGUETTAYA.
Mémoire réalisé sous la direction de Monsieur Rostane MEHDI.
Montpellier. Année 2006
1
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Remerciements. Au travers de ces quelques lignes, je tiens à exprimer ma profonde
reconnaissance envers celles et ceux qui m’ont aidé ou soutenu durant l’élaboration de ce mémoire.
Mes remerciements iront tout d’abord à mon directeur de mémoire, Monsieur
Rostane Mehdi pour les précieux conseils qu’il a pu me donner tout au long de l’élaboration de ce travail, et la grande disponibilité dont il a fait preuve en répondant toujours à mes interrogations avec une grande rapidité.
Je remercie également ma famille, mes amis, qui par leur soutien, leurs
sourires, leur patience, ou leurs conseils méritent largement de figurer sur cette page.
2
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
SOMMAIRE
Introduction. Première Partie. La volonté d’assurer une protection élevée des données personnelles dans le marché intérieur. Chapitre I. Un fondement économique justifiant une réglementation communautaire : le bon fonctionnement du marché intérieur.
• Section I. Une intervention communautaire visant à favoriser la libre circulation des données personnelles.
• Section II. L’étendue de l’intervention communautaire.
Chapitre II. Un objectif prévalent : Une large protection des données personnelles en tant que droit fondamental.
• Section I. La protection des données personnelles comme droit fondamental de l’Union européenne.
• Section II. Des définitions et un champ d’application visant à favoriser un
champ d’application étendu. Deuxième Partie. Des mesures efficaces pour une protection élevée des données personnelles par le droit communautaire. Chapitre I. Des règles juridiques permettant un traitement licite des données personnelles.
• Section I. Les droits conférés à la personne concernée.
• Section II. Les obligations imposées au responsable du traitement. Chapitre II. Des dispositions garantissant l’effectivité de la protection des données personnelles.
• Section I. L’arsenal organique institué par la Communauté européenne pour la protection des données personnelles.
• Section II. La nécessaire réglementation communautaire des flux
transfrontalières de données personnelles. Conclusion.
3
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
TABLE DES ABREVIATIONS. Aff. Affaire
ASMP Académie des sciences morales et politiques.
Bull. Bulletin officiel (Bull. CE ou Bull. UE)
CBP United States Bureau of Customs and Border Protection. Bureau des
douanes et de la protection des frontières des Etats-Unis.
CDFUE Charte des droits fondamentaux de l’Union européenne.
CE Communauté européenne
CECA Communauté économique du charbon et de l’acier.
CEDH Convention européenne de sauvegarde des droits de l’homme et des
libertés fondamentales.
CEDH Cour européenne des droits de l’homme.
CEE Communauté économique européenne.
CEEA Communauté européenne à l’énergie atomique.
CEPD Contrôleur européen à la protection des données.
Cf. Confer
CIG Conférence intergouvernementale.
CJCE Cour de justice des communautés européennes.
CNIL Commission nationale informatique et libertés.
Contrib. Contribution.
CRID Centre de recherche informatique et droit.
Doc. Document.
JAI Justice et affaires intérieures.
JDT dt. eur. Journal des tribunaux droit européen.
JO Journal officiel.
JOCE Journal officiel des communautés européennes.
4
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
LGDJ Librairie générale de jurisprudence.
NTIC Nouvelles technologies de l’information et de la communication.
OCDE Organisation pour le développement et la coopération économique.
ONG Organisation non gouvernementale.
ONU Organisation des nations unies.
Op. Cit. Opus Citatum. Précédemment cité.
p. Page.
PESC Politique étrangère et de sécurité commune.
PGD Principe général du droit.
PNR Passenger Name Record. Données de dossiers passagers.
Pp. De la page…à la page…
PUF Presses universitaires de France.
RAE. Revue des affaires européennes.
RDLI Revue Lamy droit de l’immatériel.
RDUE Revue du droit de l’Union européenne
Rec. Recueil de la jurisprudence de la CJCE et du TPI.
Rev. Révision.
RFDAP Revue française d’Administration publique.
RFDC Revue française de droit constitutionnel.
RMCUE Revue du marché commun et de l’Union européenne.
RMUE Revue du marché unique européen.
RTDE Revue trimestrielle de droit européen.
RTDH Revue trimestrielle des droits de l’homme
RUDH Revue universelle des droits de l’homme.
SID Système d’information des douanes.
SIS Système d’information Schengen.
TCE Traité instituant la Communauté européenne.
TPI Tribunal de première instance.
TUE Traité instituant l’Union européenne.
UE Union européenne.
5
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Introduction.
La crainte d’un Etat Orwellien. Très tôt, certains auteurs se sont intéressés aux
risques que pouvaient courir les individus du fait de l’accumulation d’informations les
concernant par les pouvoirs publics. Le roman le plus frappant et le plus moderne à la fois
quant aux craintes que peuvent ressentir les citoyens est certainement « 1984 » de Georges
Orwell publié en 19481. Dans son récit futuriste, l’auteur décrit une société qui par maints
égards ressemble étrangement à la société contemporaine : le pouvoir y engrange des
informations, instaure un réel contrôle sur les individus, une surveillance sociale accrue
enfreignant visiblement le droit au respect de la vie privée. Près de soixante ans après sa
parution, la dystopie d’Orwell pourrait presque passer pour un roman sociologique, tant
les individus craignent qu’un Etat trop curieux ou malveillant voire d’autres organismes
publics comme privés, s’immiscent exagérément dans leur vie privée. Une telle crainte
n’est pas à considérer comme une paranoïa si souvent observée aujourd’hui en tous
domaines, mais correspond à une éventualité très probable voire à une réalité niée par les
pouvoirs publics. En effet, un article paru dans le Monde en 1974, « SAFARI, ou la
chasse aux français »2, révélait déjà les risques d’une telle intrusion dans la vie privée de
chacun par l’accumulation et l’interconnexion de données nominatives les concernant.
Aujourd’hui, le 26ème rapport annuel de la Commission Nationale Informatique et Libertés
(CNIL), rendu début Avril 2006 lui permet de renouveler son inquiétude sur la
constitution de fichiers de données personnelles inquiétants pouvant violer les libertés
individuelles3.
La révolution informatique : l’émergence d’une société de l’information. Ces
dernières décennies, les moyens techniques de la communication ont connu une véritable
explosion. Les progrès constants de l’informatique et plus récemment des nouvelles
technologies de l’information et des communications ont favorisée une augmentation
1 Georges Orwell, 1984, Trad. Par Amélie Audiberti, Gallimard, Paris, Folio 822. 438 p. 2 Il s’agissait d’un projet d’interconnexion des banques de données à l’aide d’un identifiant unique construit à partir du code de l’INSEE (numéro national d’identité). Article de Philippe Boucher publié dans le journal Le Monde du 21 mars 1974 3 CNIL, 26ème rapport d’activité, année 2005. Il s’agit en particulier des fichiers de police judiciaire STIC et JUDEX.
6
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
conséquente de la vitesse de traitement de l’information, des capacités de stockage de
l’information, et des capacités de communication au point que certains auteurs ont pu
parler de l’avènement d’une société de l’information.
Pour tenter de définir un tant soit peu une telle société, reprenons les mots de Pierre
Tabatoni qui se réfère « aux effets des innovations dans les techniques informatiques et de
télécommunications, sous ses formes numérisées, interactives, très rapides, et d’accès à
l’information […] ». Et l’auteur d’ajouter « c’est donc tout le domaine de l’expression et
de la communication qui est transformé ; il est au cœur de la vie privée et de l’exercice
des libertés »4. On saisit alors l’impact de la société de l’information sur le quotidien des
individus.
Les nouvelles techniques de communication disposent incontestablement d’atouts.
Dominique Wolton explique clairement qu’Internet tient certainement son succès du fait
qu’il est apparu comme la figure d’une utopie, celle d’une « société où les hommes sont
libres, susceptibles de s’émanciper par eux-mêmes »5. Mais à juste titre, le sociologue
tient à distinguer la technique et les valeurs qu’il faut préserver, et considérer
sérieusement les menaces que fait peser l’informatique sur les libertés. Les progrès liés
aux nouvelles technologies de l’information, couplés à la globalisation, permettent à la
fois la massivité, l’instantanéité et la simultanéité des informations au niveau mondial.
Ainsi, elles sont l’objet de différents enjeux : enjeux économiques, politiques, sociaux,
culturels, et juridiques, et l’on peut raisonnablement s’interroger sur l’utilisation qui sera
faite des informations concernant les individus dans ce monde que Mac Luhan a pu
qualifier de « village planétaire »6. Les individus ne sont-ils pas confrontés à de plus
grands risques d’atteintes à leurs libertés, et en particulier à leur vie privée dès lors que les
informations les concernant peuvent être traitées d’une façon largement facilitée par
l’informatique et autres nouvelles technologies ? En effet, il apparaît que les individus
pourraient être en quelque sorte pistés grâce aux nouvelles technologies, simplement en
utilisant cartes de crédits, téléphones portables, Internet etc.… Le respect de la vie privée
auquel chacun aspire risque sérieusement d’en pâtir.
4 Pierre Tabatoni, Vie privée, une notion et des pratiques complexes, in La protection de la vie privée dans la société de l’information, Cahier des sciences morales et politiques, Avant propos, t.1, p.3. 5 Dominique Wolton, Internet et après ? Une théorie critique des nouveaux médias, Flammarion, Paris, 1999, 240p. 6 Marshall Mac Luhan, Guerre et paix dans le village planétaire, 1968.
7
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Le droit au respect de la vie privée. Les progrès considérables et continus des
nouvelles technologies de l’information comportent certes de grands avantages, mais des
inconvénients paraissent envisageables, notamment quant à la multiplication des atteintes
au droit à la vie privée qui pourrait résulter de l’accumulation d’informations concernant
les individus. Un rappel de l’importance du droit à la vie privée, et une modeste tentative
de définition des contours de cette notion semblent utiles en tant que préalable à une
explication de la nécessaire protection des individus faces aux NTIC.
La Déclaration universelle des droits de l’homme, proclamée à Paris le 10 décembre 1948,
sera le 1er texte international de protection des droits de l’homme à reconnaître la
protection de la vie privée. L’article 12 dispose ainsi que « nul ne sera l'objet d'immixtions
arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes
à son honneur et à sa réputation […] ». L’article 17 du Pacte international relatif aux
droits civils et politiques reprend la même formulation. La Convention européenne de
sauvegarde des droits de l’homme et des libertés fondamentales signée le 4 novembre
1950 et entrée en vigueur le 3 septembre 1953 ira dans le même sens en reconnaissant en
son article 8§1 que « toute personne a droit au respect de sa vie privée et familiale, de son
domicile et de sa correspondance ». La protection de la vie privée a aussi été reconnue
par la Convention américaine des droits de l’homme adoptée en 1969, en son article 11.
Enfin, intéressons nous à la construction communautaire, et au fait que la Charte des
droits fondamentaux de l’Union européenne proclamée en 2000 contienne un article 7
consacré au respect de la vie privée et familiale. Le Charte n’est certes pas contraignante
pour le moment, mais ces dispositions soulignent que les Etats membres ont pu se mettre
d’accord pour considérer le respect de la vie privée comme un droit fondamental.
Rappelons par ailleurs que si les traités communautaires ne contiennent pas de
dispositions concernant le respect de la vie privée, la Cour de justice des communautés
européennes peut être amenée à en assurer la protection par la technique des principes
généraux du droit communautaire qui comme l’affirme la Cour dans l’arrêt Stauder7 du
12 novembre 1969, comprennent les droits fondamentaux de la personne. La CJCE
continuera en ajoutant, dans un arrêt Internationale Handelsgesellschaft8 rendu en 1970,
7 CJCE, 12 novembre 1969, aff. 29/69, Stauder, Rec. 1969, p.419. Notons que la CJCE, dans cette affaire, devait répondre à une question préjudicielle concernant implicitement le respect de la vie privée. 8 CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969, p.419.
8
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
qu’elle s’inspire alors des traditions constitutionnelles communes. Deux autres arrêts de
principe de la Cour de Luxembourg sont également à citer : l’arrêt Nold9 du 14 mai 1974
dans lequel la Cour fait une première référence implicite à la Convention européenne des
droits de l’homme, et l’arrêt Rutili10, rendu un an plus tard, dans lequel la Cour fait cette
fois ci expressément référence à la Convention européenne des droits de l’homme qui
devient ainsi une source privilégiée pour la protection des droits fondamentaux dans
l’ordre juridique communautaire. En protégeant les droits reconnus par la CEDH, la Cour
de justice doit incontestablement protéger la vie privée.
Il est légitime de s’interroger sur le sens de cette notion de vie privée, ou du concept
de privacy cher aux anglo-saxon élevé aujourd’hui au rang de droit fondamental.
Les juristes s’accordent unanimement pour considérer que le texte fondateur de la vie
privée est un article paru dans la Revue de droit d’Harvard en 1890 avec pour titre « The
right of privacy »11. Les deux juristes américains auteurs de cet article, Warren et
Brandeis, ont défini ce droit comme the right to be left alone, soit le droit d’être laissé
seul. Ce droit sera précisé par la Cour suprême des Etats-Unis comme celui de toute
personne de prendre seule les décisions dans sa sphère privée12. La définition a été
régulièrement étendue et la privacy ne représente plus le seul right to be left alone. Cette
définition américaine de la privacy a été très influente.
La reconnaissance d’un droit subjectif au respect de la vie privée a pour conséquence
immédiate que toute atteinte à ce droit devient condamnable en tant que tel sans qu’il soit
besoin que la personne concernée apporte la preuve d’un préjudice spécial qu’elle aurait
éprouvée.
Pour les besoins de notre réflexion sur la protection des données personnelles par le
droit communautaire, il semble utile de relever la distinction opérée par le professeur
Pierre Kayser entre deux aspects de la vie privée : le secret de la vie privée et la liberté de
la vie privée. Pour l’auteur, la liberté de la vie privée correspond au « pouvoir d’une
personne de se comporter comme elle l’entend dans cette partie de sa vie »13. « La liberté
de la vie privée, qui est le principe, est la réunion de plusieurs libertés physiques, comme
la liberté corporelle, la liberté d’aller et venir, morales, comme la liberté des 9 CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491. 10 CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p. 1219. 11 Warren et Brandeis, The right of privacy, Harvard Law Revue, 1890. 12 Griswold vs. Connecticut. 381. U.S. 479, 486. (1965). 13 P. Kayser, La protection de la vie privée par le droit. Protection du secret de la vie privée. Presses universitaires d’Aix-Marseille, Economica, 3ème éd. 605p.
9
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
croyances »14. Le secret de la liberté correspond à « la protection d’un intérêt privé : une
personne peut valablement consentir à la divulgation de sa vie privée. Elle a la maîtrise du
secret de sa vie privée qui est aussi seulement un aspect du pouvoir qu’elle exerce sur
elle »15. Le secret de la vie privée est l’aspect qui correspond à notre étude. Pour autant,
nous garderons à l’esprit qu’une atteinte au secret de la vie privée peut influer
indirectement sur la liberté de la vie privée, et vice-versa. Les atteintes au secret de la vie
privée sont en effet diverses. Le professeur Kayser relevait notamment la divulgation de la
vie privée, l’investigation dans la vie privée des individus, ou encore la conservation d’un
document relatif à la vie privée.
De plus, comme le relevait Madame El-Atmani dans sa thèse consacrée à « la protection
des données à caractère personnel dans l’Union européenne », la privacy signifie,
« premièrement qu’une personne dispose d’une sphère privée, et, deuxièmement, qu’elle a
le droit de contrôler le flux d’informations concernant sa vie privée »16.
Nous comprenons ainsi aisément que la société de l’information dont nous avons
présenté les principaux traits caractéristiques est particulièrement perturbante eu égard aux
risques d’atteintes aux droits des personnes qu’elle comporte. Et les nouvelles
technologies impliquent indiscutablement de prévoir une protection des données
personnelles. En outre, la société de consommation n’est pas étrangère aux craintes
exprimées, et l’on peut noter que les informations relatives à des individus, les données
personnelles, sont convoitées par certaines entreprises ou firmes multinationales dont
l’influence et la puissance apparaît parfois inquiétante, celles-ci souhaitant constituer
fichiers clients et autres bases de données comportementales pour leurs études de marché
et s’adapter aux préférences et modes de vie de leurs clients. Des entreprises vont même
jusqu’à collecter puis vendre illégalement des données à caractère personnel qui serviront
de fichiers marketing utiles à d’autres entreprises voulant faire connaître leurs activités à
des clients potentiels. Par ailleurs, les administrations sont intéressées par de telles
données, ne serait-ce que pour les recensements, ou encore la recherche et la sécurité…
Quelles que soient les fins poursuivies, les progrès technologiques ont nourri les craintes
des défenseurs des libertés individuelles, et une protection des données personnelles par le
droit est rapidement apparue comme nécessaire. L’ombre de Big brother planerait-elle au- 14 P. Kayser, Op. Cit. p.12. 15 P. Kayser, Op. Cit. p.12. 16 Fatima El Atmani, La protection des données personnelles dans l’Union européenne, Thèse de droit privé soutenu à la faculté de Montpellier, Septembre 1996 p. 13.
10
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
dessus de chacun de nous ? Pour empêcher les atteintes au droit au respect de la vie privée
par l’utilisation illicite et attentatoire aux libertés, de données concernant les individus, il a
fallu faire appel au droit. La protection des données personnelles s’est alors constituée
rapidement comme un droit qu’il fallait nécessairement protéger dans une société
démocratique.
La protection des données personnelles. Dès la fin des années soixante-dix, face aux
risques d’atteintes à la vie privée ou encore à l’identité des personnes, certains Etats se
sont doté d’une législation protectrice des individus et des données à caractère personnel
les concernant. En effet, la constitution de fichiers révélateurs d’informations précises sur
le quotidien des individus a largement alerté l’opinion publique.
La première loi au monde visant la protection des données personnelles a été adoptée par
la Land de Hesse, en Allemagne. Cette loi de 1970 mettait en place une instance
indépendante chargée de surveiller les traitements de données personnelles. Les autres
Länder suivirent l’exemple et une loi fédérale fut adoptée en 1977, révisée en 1990. C’est
néanmoins la Suède qui adoptera la première une loi nationale de protection des données à
caractère personnel en 1973.
En France, est adoptée une loi relative à l’informatique, aux fichiers et aux libertés en
1978 (loi n°78-17 du 6 janvier 1978)17, dont l’article 1er précise l’objectif :
« l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer
dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité
humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques ». Cette même loi met en place la Commission nationale informatique et
libertés (CNIL), autorité administrative indépendante chargée de veiller à la protection des
données personnelles. La réglementation française est apparue comme un modèle en la
matière, et cela grâce aussi à l’apport de la doctrine et de la jurisprudence de la CNIL.
Rapidement, il est apparu évident qu’une protection efficace des données à caractère
personnel nécessitait une réelle collaboration interétatique en raison de la multiplication
des flux transnationaux. En effet, les différences entre réglementations nationales
concernant la protection des données personnelles étaient trop sensibles pour qu’une
harmonisation des niveaux de protection ne soit pas opérée.
17 Loi 78-17 relative à l’informatique, aux fichiers et aux libertés, JO du 7 janvier 1978, p.227.
11
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
L’Organisation pour la coopération et le développement économique (OCDE) tout
d’abord, en 1980, a élaboré des lignes directrices préconisant l’harmonisation des
législations nationales en privilégiant la libre circulation des données personnelles tout en
contribuant à la protection des droits de l’homme. Le Conseil de l’Europe par la suite,
s’est intéressé à la protection de telles données personnelles en adoptant la Convention n°
108 du 28 janvier 1981 sur le traitement automatisé des données à caractère personnel,
visant à concilier le respect de la vie privée et la libre circulation de l’information. Les
nations unies adoptent leurs lignes directrices en la matière au travers de la résolution
n°45/95 du 14 décembre 1990. Protéger les données personnelles, la vie privée, tout en
permettant la libre circulation de ces données, et de l’information, devient une
préoccupation générale. Néanmoins ces textes diffèrent de par leurs objectifs et de par leur
valeur juridique. En effet, il est évident que les règles édictées par l’OCDE visent avant
tout à permettre de favoriser les progrès économiques par la suppression des entraves aux
flux internationaux de données personnelles. Quoiqu’il en soit, les lignes directrices
constituent une très grande avancée et sont toujours un texte de référence au niveau
international même si leur grand inconvénient est de ne pas être contraignantes. La
Convention n°108 du Conseil de l’Europe elle, est dotée d’une force juridique
contraignante et bénéficie de surcroît d’un garantie unique en droit international public, la
Cour européenne des droits de l’homme, devant laquelle tout individu justiciable d’un Etat
partie à cette Convention pourra former un recours contre un Etat enfreignant ce texte.
Qu’en est-il de l’approche opérée par le droit communautaire ?
La Communauté européenne est intervenue dans le domaine de la protection des
données personnelles dès 1995, avec l’adoption de la directive 95/46/CE du Parlement
européen et du Conseil du 24 Octobre 1995, relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données18. Néanmoins, les travaux de préparation de cette directive
sont bien plus antérieurs et la première proposition de directive sur la protection des
données personnelles date de 199019. L’intitulé même de cette directive souligne les
enjeux qui doivent être mis en balance dans un tel domaine : d’une part le droit
communautaire vise à établir la libre circulation des données personnelles considérées
18 JOCE 23 novembre 1995 n°L 281, p.31. 19 JOCE 5 novembre 1990 n° C 277, p.3.
12
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
comme des marchandises semble-t-il20, ou à tout le moins comme des information
amenées à accompagné les personnes, travailleurs ou non, les services, les capitaux, dans
leurs dépassements de frontières. D’autre part, la Communauté européenne intervient pour
protéger les libertés et en particulier la vie privée en décidant d’assurer cette protection au
niveau de la Communauté. Notons que la directive ne dit pas protéger les données
personnelles, mais protéger les personnes à l’égard du traitement de données personnelles.
Nous considérerons que cette distinction ne relève que de la sémantique tant la protection
à l’égard du traitement de données passe par des règles encadrant les données personnelles
elles-mêmes, et tant il est évident qu’une protection des données personnelles passe par la
protection de la personne concernée qui se voit ainsi conférer des droits.
A la suite du premier texte communautaire, des directives distinctes traitent plus
particulièrement d’autres domaines où une protection des données personnelles est
nécessaire : la directive 97/66/CE concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des télécommunications,
modifiées par la directive 2002/58/CE du 12 juillet 2002 sur le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques. De même, a été adopté un article 286 du traité, un règlement 45/2001 sur la
protection des données personnelles par les institutions et organes communautaires, et
l’article 8 de la Charte des droits fondamentaux de l’Union européenne est consacré à ce
droit.
La construction communautaire dont les buts premiers étaient économiques semble
s’intéresser de plus en plus aux droits des personnes, aux droits fondamentaux du citoyen
européen.
La protection des données personnelles par le droit communautaire est-elle seulement un
moyen d’assurer un fonctionnement optimal du marché intérieur, ou est-ce le marché
intérieur qui sert de fondement prétexte à une intervention communautaire dans le
domaine de la vie privée ? Il est également intéressant d’étudier de quelle manière l’Union
européenne assure la protection des données personnelles ? Une réglementation régionale
est-elle nécessaire ? Suffisante ? Efficace ? Aux fins de répondre à ces interrogations, il
faudra analyser les modalités de protection des données personnelles prévues par le droit
communautaire, l’étendue de cette protection, les différents niveaux de contrôle de cette
protection.
20 Guy Braibant, Données personnelles et société de l’information, Rapport au Premier ministre, La documentation française, 1998, 291 p.
13
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Approche choisie et difficultés de la démarche. En tentant d’adopter une approche
comparatiste de la protection des données personnelles, nous nous attellerons à étudier de
manière constructive la protection des données à caractère personnel telle qu’elle est
assurée par le droit communautaire. Toute la difficulté de la démarche réside dans les
particularités de la matière elle-même. Relevant à la fois de l’ordre juridique national,
communautaire, voire international, et de multiples branches du droit : droit public, droit
civil, droit pénal, droit de l’informatique, droit de la communication, droits
fondamentaux… pour ne citer qu’eux, la protection des données personnelles se révèle
être un objet d’étude complexe, et pour le moins insaisissable. Néanmoins, nous
attacherons à analyser ce qui fait la particularité de la protection des données personnelles
offerte par le droit communautaire en la comparant dans la mesure du possible à la
protection offerte par le Conseil de l’Europe et par le droit national, en particulier par la
loi française relative à l’informatique, aux fichiers et aux libertés. Par ailleurs, lorsque cela
s’avèrera d’un intérêt particulier, nous comparerons la protection des données
personnelles selon l’approche européenne à celle opérée par le droit américain.
. Il conviendra de s’intéresser au fait que la Communauté européenne, dans son
action pour la protection des données personnelles, a recherché dès les origines, à assurer
un niveau de protection élevé. Quand bien même le fondement et les enjeux paraissent
essentiellement économiques de par l’insistance sur la libre circulation des données, ce
droit est devenu un droit fondamental que la Communauté a décidé de protéger. (Partie
1ère). Protection d’un droit fondamental oblige, il est nécessaire que des mesures efficaces
soient prévues pour que la protection des données personnelles soit garantie de manière
effective. La nature particulière de ce droit et des flux de données personnelles nécessitent
des adaptations spécifiques (Partie 2nde)
14
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Première partie : La volonté d’assurer une protection élevée des
données personnelles dans le marché intérieur.
Si la Communauté européenne est intervenue pour protéger les données personnelles,
dans un domaine si lié à la protection des droits et libertés fondamentaux, c’est avant tout
pour des raisons économiques. Le raisonnement a été le suivant : pour assurer le bon
fonctionnement du marché intérieur, et éviter que les disparités entre législations nationales
ne l’entravent excessivement en limitant les flux de données en son sein, la protection des
données personnelles doit être assurée au niveau communautaire. Le droit communautaire est
alors intervenu par une directive générale en 1995, puis par d’autres textes plus sectoriels. Il a
ainsi été décidé que les dispositions nationales relatives à la protection des données
personnelles devaient être harmonisées pour que les données personnelles circulent librement
sur le territoire de la Communauté. (Chapitre 1er). Mais intervenant dans un tel domaine où les
Etats avaient déjà pris en considération le fait que les personnes craignaient des atteintes à
leurs droits fondamentaux et en particulier à leur droit à la vie privée, la Communauté s’est
vue contrainte de viser un haut niveau de protection. Elevé au rang de droit fondamental par
de nombreux Etats, par la jurisprudence de la Cour EDH, et plus récemment par la Charte des
droits fondamentaux de l’Union européenne, le droit à la protection des données personnelles,
tel que garanti par le droit communautaire, bénéficie d’un champ d’application
exceptionnellement large en raison de définitions non restrictives retenues pour les notions
fondamentales. La protection des personnes physiques à l’égard du traitement de données
personnelles en résultant est évidemment élevée. (Chapitre 2).
15
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Chapitre 1. Un fondement économique justifiant une réglementation
communautaire: le bon fonctionnement du marché intérieur.
Dans un marché intérieur de plus en plus intégré et dans lequel les flux d’informations
en général ne cessent de croître, les données à caractère personnel doivent circuler librement.
En effet, qu’il s’agisse des personnes, des services, des capitaux, ou des marchandises, des
données personnelles sont utilisées lors de leur circulation dans la Communauté européenne.
Les données personnelles étant susceptibles d’être qualifiées de biens, la libre circulation des
marchandises trouve à s’appliquer de manière privilégiée. (Section 1ère) Il importe alors que
les législations nationales soient rapprochées pour que la circulation de données personnelles
ne soit pas gênée sur le territoire communautaire. (Section 2ème).
Section 1 : Une intervention communautaire visant à favoriser la libre
circulation des données personnelles.
Alors que le commerce intracommunautaire n’a cessé de se développer, et que
l’informatique est aujourd’hui un des moyens de commercer qui connaît la plus forte
croissance, le marché intérieur est particulièrement concerné et intéressé par une protection
des données personnelles par le droit communautaire afin que celles-ci circulent sans
limitation sur le territoire de la Communauté (Paragraphe 1er). Les libertés économiques du
traité instituant la Communauté européenne seront exercées sans restrictions avec la mise en
place de principes communs aux Etats membres dans le domaine de la protection des données
personnelles. Ces dernières pourront alors circuler librement. (Paragraphe 2nd).
Paragraphe premier: Les enjeux importants pour le marché intérieur.
L’intervention de la Communauté pour protéger les données personnelles et assurer
leur libre circulation vise clairement des objectifs économiques. Le rapprochement des
législations nationales de chacun des Etats membres de la Communauté est le moyen de
favoriser le bon fonctionnement du marché intérieur tout en recherchant un niveau de
protection élevé, conformément aux prescriptions de l’article 95 TCE qui fonde l’action de la
Communauté.
16
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
A) Le renforcement du marché intérieur.
1) Le fondement de l’intervention communautaire.
Comme nous le savons, la Communauté européenne n’a pas compétence pour légiférer
en matière de protection de la vie privée. L’adoption d’une directive générale relative à la
protection des données personnelles s’inscrit ainsi dans un contexte de parachèvement du
marché intérieur. En se fondant directement sur l’article 100 A du traité instituant la
communauté européenne, devenu article 95 TCE après la renumérotation opérée par le Traité
d’Amsterdam, le conseil européen et le Parlement affichent clairement leur ambition de
renforcer le marché intérieur en adoptant la directive 95/46/CE relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données.
En effet, l’article 95 TCE inséré dans les traités par l’Acte unique européen en 1986,
s’applique par dérogation à l’article 94 du traité, et permet au Conseil, après consultation du
Comité économique et social, d’arrêter les « mesures relatives au rapprochement des
dispositions législatives, réglementaires et administratives des Etats membres qui ont pour
objet l’établissement et le fonctionnement du marché intérieur ». Pour Denys Simon, l’article
95 « apparaît comme l’instrument privilégié de la réalisation du marché intérieur »21. Ainsi,
cet article renvoie à l’article 14 TCE dont le paragraphe 2 définit le marché intérieur comme «
un espace sans frontières intérieures dans lequel la libre circulation des marchandises, des
personnes, des services et des capitaux est assurée ». Dès lors, l’objectif affiché de cette
intervention communautaire pour protéger les données personnelles n’est autre que
l’établissement et le fonctionnement du marché intérieur. L’article 95 du traité constitue la
disposition privilégiée lorsqu’il s’agit d’éviter que des réglementations techniques ne
constituent des entraves au commerce intracommunautaire22. L’utilisation de cet article,
contrairement à l’article 94 TCE, ne se limite pas à la nécessité d’une incidence directe sur la
réalisation du marché commun. Plus souple, cet article permet d’intervenir pour la réalisation
d’objectifs ayant trait au marché intérieur et les dispositions à rapprocher doivent « avoir pour
objet l’établissement et le fonctionnement du marché intérieur »23. Cette vocation à
s’appliquer largement de l’article 95 du traité est une précision permettant de comprendre que
la Communauté intervient dans un domaine lié aux droits fondamentaux.
21 D. Simon, in « Traité instituant la C.E.E : commentaire article par article ». p.553. 22 Cf. Commentaire Mégret. 23 Article 95 TCE
17
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Une intervention nécessaire au bon fonctionnement du marché intérieur.
Si l’on s’intéresse au texte de la directive générale sur la protection des données
personnelles ainsi qu’aux travaux préparatoires ayant abouti à son adoption, on retrouve
clairement cet objectif d’achèvement du marché intérieur. Dès le premier considérant de la
directive de 1995, sont rappelés avec force les objectifs de la Communauté, et une référence
est clairement faite à la méthode fonctionnaliste des pères fondateurs de l’Europe : « réaliser
une union sans cesse plus étroite entre les peuples européens […] assurer par une action
commune le progrès économique et social en éliminant les barrières qui divisent l’Europe »24.
L’intervention communautaire en matière de protection des données personnelles comporte
alors un objectif d’intégration économique indéniable, mais comme nous le verrons par la
suite, d’autres objectifs ont leur importance. La Communauté cherche alors à établir autant
que faire se peut l’équilibre entre les différentes exigences. Il reste que la protection
communautaire des données personnelles concerne directement et explicitement le marché
intérieur.
Le considérant 5 de la directive souligne ainsi que « l’intégration économique et sociale
résultant de l’établissement et du fonctionnement du marché intérieur […] va nécessairement
entraîner une augmentation sensible des flux transfrontaliers de données à caractère personnel
entre tous les acteurs de la vie économique et sociale des Etats membres ». L’espace sans
frontière que constitue le marché intérieur doit permettre une libre circulation de ces données.
Quels sont les enjeux ? Une question simpliste qui appellera une réponse simple mais claire
mérite d’être posée : pourquoi finalement les données doivent-elles circuler librement dans le
marché intérieur ?
La raison la plus évidente d’une intervention communautaire pour assurer la protection
des données personnelles est que dans un espace sans frontière où doivent circuler librement
personnes, services, capitaux et marchandises, des disparités dans les législations des Etats
membres peuvent constituer une entrave au fonctionnement du marché intérieur. Concernant
la protection des données personnelles, le raisonnement peut paraître poussé exagérément en
faveur d’une intervention de la Communauté qui étendrait son champ d’intervention au-delà
des compétences qui lui on été attribuées expressément par les Etats membres25. Pourtant, il
est clair que des disparités législatives trop importantes entre les Etats membres pourraient
24 Ne retrouve-t-on pas dans ce 1er considérant de la directive 95/46/CE, des termes proches de ceux utilisés dans la déclaration Schumann ? 25 Sur ce point, voir notamment Anne Meyer-Heine, Le droit constitutionnel français, instrument de remise en cause de la proposition de directive communautaire relative à « la protection des personnes physiques à l’égard du traitement et de la circulation des données à caractère personnel. RFDC 1995 n°23, p. 637 et s.
18
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
être la cause de dysfonctionnements du marché intérieur, et c’est ce qui ressort clairement des
travaux préparatoires et de l’exposé des motifs de la directive 95/46/CE. Or, le droit
communautaire, sous de vives impulsions politiques26, a activement œuvré pour la garantie
des libertés communautaires.
B) Une intervention nécessitant une protection élevée dans le marché intérieur.
1) Le rapprochement de mesures nationales ayant pour objet la protection de droits
fondamentaux.
Si la Communauté européenne a pu adopter une directive générale concernant les
données personnelles, c’est au vu de dispositions nationales législatives, réglementaires, et
administratives en ce domaine ayant une incidence sur le fonctionnement du marché intérieur.
En effet, l’article 95 du traité pose cette condition préalable pour une intervention
communautaire. L’initiative de toute mesure communautaire revient alors à la Commission,
qui, conformément au troisième alinéa de l’article 95, se voit imposer de prendre pour base un
niveau de protection élevé pour les propositions en matière de santé, de sécurité, de protection
de l’environnement et de protection des consommateurs. Une réglementation concernant les
données personnelles, en particulier leur protection et leur circulation, entre-t-elle dans les
catégories prévues par l’article 95 alinéa 3 du traité pour imposer un niveau de protection
élevé ? On pourrait dans un premier temps tenter de rattacher la protection des données
personnelles à la protection des consommateurs. En effet tout ressortissant d’un Etat membre
de la Communauté, lorsqu’il est appréhendé en tant que consommateur, réclame et mérite que
les données personnelles le concernant fassent l’objet d’une protection certaine. Mais
rattacher cette matière à la protection des consommateurs n’est-elle pas soit trop réductrice
des domaines concernés par l’utilisation et le traitement de données personnelles, soit trop
extensive de la notion de consommateur, qui concernerait alors tout individu ? Car on l’aura
compris, la protection des données personnelles ne doit pas concerner seulement les
consommateurs, mais doit s’adresser à tout individu, en raison des larges éventualités de
traitement de données personnelles, par des entreprises on en conviendra, mais aussi par des
administrations, des associations, des syndicats… La directive 95/46/CE nous donne un
élément de réponse dans son dixième considérant, où après avoir rappelé l’objet des
législations nationales relatives au traitement des données à caractère personnel : le respect
des droits et libertés fondamentaux, notamment du droit à la vie privée, est précisé que l’objet
26 Nous pensons évidemment au livre blanc de 1985 sur l’achèvement du marché intérieur, instigué par Jacques Delors. Puis à l’Acte unique européen de 1986.
19
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
de ces mesures nationales justifie que le rapprochement des législations nationales ne
conduise pas à affaiblir la protection qu’elles assurent, mais doit au contraire avoir pour
objectif de garantir un niveau élevé de protection dans la Communauté. On peut alors
considérer que pour la Commission européenne, ainsi que pour les autres institutions qui lui
emboîtement le pas, le respect des droits et libertés fondamentaux constitue une catégorie
pour laquelle toute proposition de rapprochement de mesures nationales sur le fondement de
l’article 95 TCE doit avoir pour base un niveau de protection élevé. L’alinéa 3 de l’article 95
paraissait pourtant exhaustif et précis dans sa rédaction. Une telle approche montre clairement
que si les enjeux sont indéniables pour le marché intérieur d’un point de vue économique, ils
ne le sont pas moins pour la protection des droits fondamentaux. Nous insisterons sur ce point
dans une partie étudiant le caractère fondamental de la protection des données personnelles.
2) L’obligation de prendre pour base un niveau de protection élevé.
La Communauté européenne a explicitement indiqué qu’elle recherchait un niveau de
protection élevé des données personnelles en adoptant la directive du 24 octobre 1995. Ainsi,
nous pouvons lire que l’objectif est de « garantir un niveau élevé de protection dans la
Communauté »27. Ensuite, est clairement précisé que « les principes de la protection des
droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la
présente directive précisent et amplifient ceux qui sont contenus dans la convention, du 28
janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel »28. Cette disposition répond aux exigences de
certains Etats membres qui craignaient qu’un rapprochement des législations ne revienne à
effectuer un nivellement vers le bas dans des domaines où ils auraient pu opérer une
protection plus intense, ce qui a conduit à l’article 95 alinéa 3 TCE. Même si pour certains
auteurs, comme Jacqueline Dutheil de la Rochère29, cette condition est davantage politique
que juridique, elle semble satisfaisante, et les impulsions politiques sont parfois
convenablement retranscrites dans le droit. L’ambition est alors évidente : quand bien même
les enjeux sont économiques, il ne s’agit pas de léser les individus. Bien au contraire, les
données personnelles les concernant doivent être largement protégées. Pour autant, il ne faut
pas perdre de vue qu’une telle protection vise à garantir les libertés économiques du marché
intérieur. Et en ce sens, les rédacteurs de la directive ont pris soin de préciser que seront
27 Considérant n°10 de la directive 95/46 CE. 28 Considérant n°11. 29 Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, p.96.
20
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
notamment précisés et amplifiés les principes contenus dans la convention n°108 du Conseil
de l’Europe.
Paragraphe second : Un domaine soumis aux libertés économiques du TCE.
Le commerce contemporain est largement renouvelé par les progrès technologiques, et
aujourd’hui, qui n’a jamais effectué d’achats par carte à puce ? Par téléphone ? Par Internet ?
Des données à caractère personnel sont alors utilisées. En plus de cela, les mouvements de
services, de capitaux, de personnes et de marchandises n’ont cessé de croître dans la
Communauté, entraînant avec eux des informations personnelles. La libre circulation des
données personnelles se trouve au cœur d’enjeux économiques importants, visant à ce que le
commerce intracommunautaire ne soit pas freiné dans sa progression continue.
A) Les enjeux économiques.
1) Une problématique actuelle.
L’essor des nouvelles technologies de l’information et des communications n’a pas
échappé au secteur économique qui a pu ainsi traiter de plus en plus rapidement des
informations concernant des individus : clients, employés, partenaires, concurrents, simples
citoyens… Ainsi, le marché des données personnelles a connu une certaine croissance et
certaines firmes se sont même spécialisées dans la collecte et la vente de bases de données
permettant entre autres d’établir a partir d’un certain nombre d’informations le profil de
clients, de tenter de prévoir leur comportement et réaction vis-à-vis de certains produits. Les
données personnelles sont donc devenues un réel enjeu économique. Est-il nécessaire de
rappeler à nouveau que l’objectif premier des communautés était purement économique30 ? Il
ne nous le semble pas. On comprend néanmoins aisément qu’un marché intérieur qui se veut
sans frontières intérieures, qui a réussi à abaisser les tarifs douaniers au sein du territoire
communautaire, l’Union douanière étant réalisée depuis 1988, se doit de permettre la libre
circulation de telles informations. Dans le cas contraire, il pourrait y avoir d’importantes
atteintes aux règles de concurrence auxquelles est particulièrement attachée la Commission.
Le secteur privé est donc directement concerné par la libre circulation des données
personnelles, mais le secteur public n’est pas en reste, et les administrations, douanes,
institutions communautaires, systèmes d’information communautaires, ont aussi tout intérêt à 30 Cette objectif est particulièrement clair dans le traité CECA signé en 1951 et dans les traités CEE et CEEA signés à Rome en 1957.
21
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
ce que les données personnelles puissent circuler librement au sein de la Communauté. En
effet, les données personnelles sont également nécessaires aux institutions et organes de la
Communauté pour assurer les missions qui sont les leurs, ainsi que dans les autres piliers de
l’Union européenne, en particulier pour les systèmes d’information relavant du troisième
pilier.
2) La garantie des libertés économiques du TCE.
Quatre grandes libertés fondent le marché intérieur : la liberté de circulation des
marchandises, des personnes, des services et des capitaux. Le respect de ces libertés est
nécessaire au bon fonctionnement du marché intérieur, mais il n’est pas suffisant, et il faut
également que les administrations et les entreprises ne faussent pas la libre concurrence. Il
s’avère que les législations nationales concernant la protection des données personnelles
peuvent, de par leurs divergences, et exigences différentes, influer sur chacune de ces libertés,
de façon plus ou moins directe.
Concernant la libre circulation des personnes, une protection communautaire des
données personnelles a été une suite logique, les données personnelles étant appelées à suivre
tout individu, travailleur, ou simple citoyen lors des franchissements de frontières, ou plus
spécifiquement lors du passage d’un Etat membre à un autre Etat membre. Plus largement, on
peut considérer que des législations nationales protectrices des données personnelles peuvent
avoir des conséquences sur la libre circulation des travailleurs. Ulf Brühann a pu ainsi estimer
que la liberté prévue à l’article 39 TCE, qui concerne aussi les travailleurs salariés dans
l’industrie de l’information, encourage « la communication d’informations publiques et
politiques par l’intermédiaire d’autres Etats membres »31.
De même, les travailleurs indépendants de l’industrie de l’information et les entreprises ont le
droit de s’établir dans un autre Etat de la Communauté conformément à l’article 43 du Traité
CE. Dès lors qu’il y a établissement dans un autre Etat membre, il peut y avoir incidemment
déplacement de données personnelles, concernant par exemple des clients. Des dispositions
nationales relatives à la protection des données personnelles empêchant un tel transfert
parallèlement à la libre circulation d’un travailleur salarié ou non ne saurait être admises dans
le cadre du marché intérieur.
Pour ce qui est de la libre circulation des services, l’article 49 TCE prévoit que « les
restrictions à la libre prestation des services à l’intérieur de la Communauté sont interdites à
31 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », RMCUE, n°428, mai 1999 pp. 328-341.
22
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’égard des ressortissants des Etats membres établis dans un pays de la Communauté autre que
celui du destinataire de la prestation ». Dans les hypothèses relevant du droit communautaire,
la libre prestation de services implique un passage de frontières32. On conçoit que des
mesures nationales concernant la protection des données personnelles peuvent indirectement
empêcher que la libre prestation de services soit exercée de manière satisfaisante.
La libre circulation des capitaux et des paiements semble moins exposée aux
législations nationales protégeant les données à caractère personnel, mais pourtant il n’en est
rien, et l’on peut imaginer que des paiements devant passer d’un Etat membre à un autre
nécessitent des données concernant les individus concernés. De même, les paiements
effectués électroniquement d’un Etat membre vers un autre sont de plus en plus fréquents. Le
fonctionnement du marché intérieur implique que la libre circulation des ces données soit
alors permise.
La libre circulation des marchandises, la plus importante des libertés économique du
traité instituant la Communauté européenne est également concernée par les réglementations
sur les données personnelles, mais de manière plus large et plus directe au point qu’elle
nécessite de plus longs développements.
B) Les données personnelles comme bien économique.
1) Des données pouvant être qualifiées de marchandises au sens du droit communautaire.
Avant d’étudier le statut des données personnelles pour le droit communautaire,
intéressons nous à leur nature juridique. Que représente juridiquement cet objet non identifié
que l’on nomme données personnelles ?
Comme le souligne le professeur Jean Frayssinet, la « nécessité de concilier la libre
circulation des données personnelles dans le cadre du marché unique, […] tend à assimiler les
données personnelles à des biens immatériels susceptibles d’appropriation »33. La notion de
bien immatériel, synonyme de la notion de bien incorporel, peut être définie comme « une
valeur économique, objet de droits, qui n’a pas de réalité sensible mais qui tire son existence
de la construction juridique »34. Les données personnelles possèdent bien une valeur
économique, même si paradoxalement la personne concernée n’en est pas toujours consciente,
32 Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, p.59. Trois situations peuvent se présenter de manière schématique : le prestataire se rend dans un autre Etat membre pour fournir une prestation ; le destinataire se déplace vers un autre Etat membre pour recevoir une prestation ; la prestation elle-même franchit une frontière sans qu’il y ait de déplacement de personnes. 33 J. Frayssinet, in Droit de l’Informatique et de l’Internet,J. Frayssinet, J. Devèze, A. Lucas, p.50, PUF, Paris, Thémis droit privé, 747p. 34 Lexique des termes juridiques. Dalloz. p.243.
23
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
et sont bien l’objet de droits dont la personne concernée est le titulaire, elles n’ont pas de
réalité sensible au même titre que toute information35, et le statut qui leur est conféré par le
droit leur confère une existence. Il s’agit donc d’un bien immatériel, et la phrase du Doyen
Carbonnier selon laquelle « les biens sont les choses vues par le droit » serait suffisante pour
en convenir36.
A la lecture attentive des traités, on constate que les institutions communautaires n’ont
pas pris le soin d’y définir clairement ce qui devait être entendu par le terme
« marchandises ». C’est alors la Cour de justice des communautés européennes, usant de ses
talents d’interprète37 qui est venue préciser la définition d’une marchandise au sens
communautaire. Dans l'affaire Commission contre Italie38, jugée le 10 décembre 1968, la
Cour les définit comme « tous produits appréciables en argent ou susceptibles, comme tels, de
former l'objet de transactions commerciales ». Il est alors clair que la notion de marchandises
telle qu’elle est entendue par le droit communautaire, englobe toute sorte de biens. Les
données personnelles appréhendées comme des biens immatériels peuvent alors entrer dans la
catégorie des marchandises et être directement concernées par la libre circulation des
marchandises, objectif fondamental depuis le traité de Rome en 1957.
2) La libre circulation des marchandises appliquée aux données personnelles.
La libre circulation des marchandises est, parmi les libertés économiques du
traité instituant la Communauté européenne, celle qui s’applique prioritairement aux données
personnelles, celle qui est le plus directement concernée par toute législation protégeant les
données personnelles. Le titre de la directive « données personnelles » confirme cette analyse
en concernant directement la libre circulation des données personnelles. Les données
personnelles peuvent dès lors entrer dans une telle définition et être soumises en tant que
telles à la libre circulation des marchandises. Mais en plus de la circulation des données
personnelles elles-mêmes, la libre circulation des marchandises pouvant servir de support aux
35 Pour une analyse intéressante du statut de l’information, voir P. Catala, Ebauche d’une théorie juridique de l’information, in , Le Droit à l'épreuve du numérique, jus ex machina, Paris, PUF, coll. « Droit, éthique, société », mai 1998 36 J. Carbonnier, Droit civil, tome 3. Les biens, 19ème éd. PUF, Paris, Thémis. Cité par André Lucas in Droit de l’informatique et de l’Internet., Op. Cit. 37 Voir notamment Jean Boulouis, « A propos de la fonction normative de la jurisprudence : remarques sur l’œuvre jurisprudentielle de la Cour de justice des communautés européennes », Mélanges Waline, LGDJ, Paris, 1974, p.1491, Rostane Mehdi, « La justice communautaire », in Dictionnaire de la justice, L. Cadiet (sous dir.), PUF, Paris, 2004, p.736. 38 CJCE, 10 décembre 1968, Commission contre Italie, affaire 7/68, recueil, 1968, p. 618.
24
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
données personnelles : disquettes, disques durs, CD Rom, clés USB, ou autres supports
techniques, doit aussi être assurée.
Cette liberté implique que les marchandises circulent librement dans la Communauté afin que
le commerce intracommunautaire ne soit pas entravé. Pour répondre à une telle interrogation,
revenons sur une jurisprudence communautaire bien connue par laquelle la CJCE interdit
toute mesure d’effet équivalent à des restrictions quantitatives et prévoit des dérogations à
cette interdiction. L’interdiction des mesures d’effet équivalent à des restrictions quantitatives
est prévue aux articles 28 et 29 TCE, mais la Cour de justice de Communautés européennes a
dû en préciser les contours.
Dans l'arrêt Dassonville du 11 juillet 1974, la CJCE énonce ainsi « que toute
réglementation commerciale des Etats membres susceptible d'entraver directement ou
indirectement, actuellement ou potentiellement le commerce intracommunautaire est à
considérer comme mesure d'effet équivalent à des restrictions quantitatives »39. Imaginons
alors l’hypothèse ou un Etat aurait soumis le commerce de certains produits techniques à un
respect drastique de normes de protection des données personnelles, rendant l’accès à son
marché national plus compliqué pour les marchandises provenant d’un autre Etat membre.
Une telle législation, même si elle devait affecter indirectement ou seulement potentiellement
le commerce intracommunautaire, aurait pu vraisemblablement constituer une mesure d’effet
équivalent à une restriction quantitative. Une telle hypothèse n’est que fiction puisqu’elle ne
s’est pas présentée à la Cour de justice, et il faut souligner qu’en la matière l’approche du juge
communautaire est très liée à l’étude de chaque cas d’espèce, et à une analyse minutieuse du
respect du principe de proportionnalité et de nécessité. Mais une telle situation aurait pu se
présenter avant l’adoption d’une directive protégeant les données à caractère personnel dans
l’Union européenne.
Quoiqu’il en soit, des restrictions à la libre circulation des marchandises et à
l’interdiction des mesures d’effet équivalent à des restrictions quantitatives peuvent être
admises par le droit communautaire. Elles sont prévues par l’article 30 TCE qui dispose que
l’interdiction des restrictions quantitatives entre Etats membres « ne [fait] pas obstacle aux
interdictions ou restrictions d’importation, d’exportation ou de transit pour des raisons de
moralité publique, d’ordre public […] » et ce dès lors qu’il n’y a ni discrimination arbitraire
ni restriction déguisée dans le commerce entre Etats membres. Aurait-on pu admettre une
législation nationale se fondant sur le droit au respect de la vie privée, et des droits
39 CJCE, 11 juillet 1974, Dassonville, affaire 8/74, recueil, 1974, p. 837, point 5
25
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
fondamentaux, en faisant valoir que de tels droits relèvent de l’ordre public ? Il nous semble
que de tels arguments auraient pu être reçus, d’autant plus que la CJCE a par la suite
développé une jurisprudence plus permissive à partir de son arrêt Cassis de Dijon rendu le 20
février 1979 en estimant que « les obstacles à la libre circulation intracommunautaire résultant
des disparités des législations nationales relatives à la commercialisation des produits (...)
doivent être acceptées dans la mesure où ces prescriptions peuvent être reconnues comme
étant nécessaires pour satisfaire à des exigences impératives, tenant notamment à l'efficacité
des contrôles fiscaux, à la protection de la santé publique, à la loyauté des transactions
commerciales et à la défense des consommateurs »40. La théorie dite des exigences
impératives va permettre à la CJCE d’être plus large sur la notion de mesures d’effet
équivalent, et plus stricte sur les dérogations possibles à la libre circulation des marchandises.
La Cour resserrera la définition des mesures d’effet équivalent dans son arrêt Keck et
Mithouard41 par lequel elle modifie sa jurisprudence Cassis de Dijon en affirmant que les
mesures nationales qui limitent ou interdisent certaines modalités de vente ne relèvent pas de
l'article 30 (devenu article 28 du Traité CE) dès lors que ces mesures s'appliquent à tous les
opérateurs agissant sur le territoire national et qu'elles affectent de la même manière, en droit
comme en fait, la commercialisation de produits nationaux et celle de produits en provenance
d'autres États membres. Ainsi un Etat aurait pu, sous l’ère de l’arrêt Keck et Mithouard,
limiter le commerce de certains produits sur son territoire dans un but de protection des
données personnelles à partir du moment où il le fait de manière non discriminatoire.
Comme nous venons de le voir, la protection des données à caractère personnel a été
élaborée pour le bon fonctionnement du marché intérieur, et en particulier pour que les
données puissent circuler librement entre les Etats membres de l’Union européenne.
Néanmoins, les Etats qui légiféraient en la matière, quand bien même ils couraient le risque
d’entraver la libre concurrence et les libertés économiques, agissaient dans un but de
protection des droits fondamentaux et en particulier du droit au respect de la vie privée. Avant
même qu’un contentieux n’ait pu naître dans ce domaine, la Communauté européenne a
utiliser toutes les potentialités de l’article 100 A du traité CE pour rapprocher les dispositions
nationales instituant des restrictions au marché intérieur, en permettant de les éliminer. En
plus de la directive générale « données personnelles » et des directives sectorielles qui nous
40 CJCE, 20 février 1979, Rewe Zentral contre Bundesmonopolverwaltung für Branntwein affaire du « Cassis de Dijon », affaire 120/78, recueil, 1979, p. 649, attendu 8 41 CJCE, 24 novembre 1993, Keck et Mithouard, Aff. Jointes C-267/91 et C-268/91. Rec. 1993, pp. I-6097.
26
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
intéressent particulièrement, il y a lieu d’étudier d’autres textes sur la protection des données
personnelles relevant de l’ordre juridique communautaire.
Section 2 : Une harmonisation complète des législation nationales sur la
protection des données personnelles?
La directive 95/46/CE tend à harmoniser les règles nationales de protection des
données personnelles, domaine particulièrement sensible, comme le démontrent les nombreux
retards et difficultés rencontrés lors de la transposition du texte. (Paragraphe 1er). Mais
l’étendue de l’intervention communautaire est bien plus large que la directive générale de
1995, et concerne aujourd’hui d’autres secteurs comme les communications électroniques, ou
encore le commerce électronique. De même, le droit communautaire a décidé de soumettre les
institutions et organes communautaires au respect de règles contraignantes en la matière,
signe fort de l’importance du droit à la protection des données personnelles. (Paragraphe 2nd).
Paragraphe premier : L’étendue de l’harmonisation opérée par la directive
95/46 CE.
Le professeur Kovar explique que le rapprochement des législations est « un instrument
destiné à permettre l’intervention de la Communauté là où le Traité ne prévoit pas lui-même
des règles nécessaires à l’établissement et au fonctionnement du marché commun »42. En
effet, notons qu’il ne s’agit pas ici d’interdire aux Etats membres de légiférer pour garantir
une protection des individus à l’égard du traitement de données personnelles, mais plutôt de
reprendre une action en cette matière au niveau communautaire afin de pouvoir assurer une
protection équivalente dans les Etats membres, et par là même, permettre la libre circulation
des données personnelles43.
A) Une harmonisation complète ? 42 R. Kovar, in Traité instituant la C.E.E : commentaire article par article, V. Constantinesco, J-P Jacqué, R. Kovar, D. Simon, Economica, Paris, 1992, 1648, p.549. 43 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », RMCUE, n°428, mai 1999 pp. 328-341.
27
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
1) Les différents degrés d’harmonisation possibles.
Bien que le traité utilise alternativement les termes de « rapprochement des
législations », « harmonisation », ou « coordination des législations », nous ne nous livrerons
pas à un exercice d’interprétation sémantique tant ces termes ont acquis un sens équivalent
aujourd’hui. Nous nous intéresserons plutôt aux différentes méthodes et portées d’une
harmonisation.
Il ressort de la doctrine et de la jurisprudence communautaire que les mesures
d’harmonisation des législations nationales peuvent revêtir une étendue plus ou moins large.
On a pu ainsi parler d’harmonisation totale en opposition à l’harmonisation optionnelle,
d’harmonisation complète en contraste à une harmonisation partielle, ainsi que
d’harmonisation progressive, et d’harmonisation minimale44.
Avant de définir brièvement les contours de chacune de ces méthodes de rapprochement des
législations systématisées par la doctrine, précisons que ces distinctions ne préjugent pas de la
qualité de la mesure communautaire, et sont même neutres à ce sujet, chacune de ces
méthodes pouvant ou non être suffisante pour le bon fonctionnement du marché intérieur.
Concernant l’harmonisation totale, il s’agit de la situation dans laquelle une directive impose
des règles qui couvrent tout le champ matériel concerné. Les Etats membres sont alors
dessaisis de leur compétence au profit d’une compétence communautaire exclusive. Si cette
méthode a l’avantage d’instaurer des prescriptions impératives identiques au niveau
communautaire, elle présente l’inconvénient d’être potentiellement trop rigide et a pu parfois
se voir opposer la résistance des Etats45. A l’inverse, l’harmonisation optionnelle est celle qui
laisse aux Etats membres la possibilité de maintenir des dispositions nationales dans la
matière concernée tout en prescrivant des règles harmonisées. Le professeur Mattera parle
d’un « système de « cohabitation » de la règle communautaire avec la règle nationale »46.
Le deuxième degré d’harmonisation a conduit à une distinction entre harmonisation complète
et harmonisation partielle. On parle d’harmonisation partielle lorsque subsiste, à côté de ce
qui est harmonisé totalement, des domaines non couverts par la réglementation
communautaire. Une harmonisation totale n’est donc pas forcément une harmonisation
complète47.
44 Commentaire Mégret. Le droit de la C.E.E. T.5. Dispositions fiscales – Rapprochement des législations. D. Calleja, D. Vignes, R. Wägenbaur (dir.), Ed. de l’Université de Bruxelles, Bruxelles, coll. Etudes européennes, 2ème éd. 1993. 427p. p.33 et s. 45 Alfonso Mattera, Le Marché unique européen. Ses règles, son fonctionnement, Jupiter, 2 p.180 et s. 46 Alfonso Mattera, Op. Cit. p.181. 47 Certains auteurs ont pu noter, à juste titre, qu’il s’agit là peut-être d’un « emploi bien subtil des qualificatifs ». Voy. 47 Commentaire Mégret. Op. Cit. p.33-34.
28
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
On peut encore constater l’existence d’une harmonisation progressive, qui fonctionnerait par
étapes. Enfin, la doctrine a systématisée une dernière méthode, dite d’harmonisation
minimum ou minimale, qui laisse aux Etats membres la possibilité de prendre des mesures
plus strictes.
2) L’étendue de l’harmonisation opérée par la directive générale de 1995.
La directive de 1995 relative à la protection des données personnelles dans la
Communauté européenne constitue la mesure générale de protection des données personnelles
par le droit communautaire. Elle est le droit commun d’une telle protection. Il convient
d’étudier l’étendue de l’harmonisation opérée par ce texte. Mais nous admettrons, avec le
Professeur Dutheil de la Rochère, que « les intentions du législateur ne ressortent pas toujours
clairement des textes adoptés, ce qui rend difficile la détermination de la portée exacte de
l’harmonisation et de la marge de compétence normative laissée aux Etats »48.
En ce qui concerne la directive 95/46 CE, l’article 4 nous indique que sont concernés à la fois
les traitements transfrontaliers de données personnelles, et également ceux s’effectuant
seulement à un niveau interne. Dans tous les cas, c’est le droit national adopté en vertu de la
directive qui s’applique. On s’approche alors de la définition d’une harmonisation totale.
Ensuite, si l’on s’intéresse à l’objectif de l’harmonisation opérée, qui est d’établir un niveau
équivalent de protection des données personnelles dans la Communauté pour permettre leur
libre circulation, l’on peut affirmer qu’il s’agit d’une harmonisation qui est également
complète. En effet, quand bien même les Etats membres peuvent apporter des précisions, ce
n’est que dans le cadre de ce qui est fixé dans la directive. Les Etats « ne sauraient modifier ce
cadre en fixant des règles plus sévères ou moins sévères »49. Cette idée ressort clairement de
l’article 5 de la directive qui dispose que « les États membres précisent, dans les limites des
dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à
caractère personnel sont licites ». Le fait qu’il s’agisse d’une harmonisation complète est
confirmé par le fait que même les dérogations ou autorisations à prendre des mesures plus
poussées sont prévues par le texte, relevant ainsi du droit communautaire.
En tout état de cause, on peut affirmer qu’il ne s’agit pas d’une harmonisation minimale, les
Etats n’étant pas seulement obligés de se conformer aux exigences minimum du texte
48 Jacqueline Dutheil de la Rochère, Op. Cit. p.101. 49 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », Op. Cit.
29
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
communautaire, mais aussi incités à orienter leurs choix de transposition en visant la limite
supérieure du cadre fixé50.
B) L’état des transpositions de la directive « données personnelles ».
1) Une directive aujourd’hui largement transposée.
L’état actuel des transpositions de la directive par les Etats membres de la
Communauté européenne est satisfaisant. En effet, la majorité des Etats ont transposé cette
directive, avec plus ou moins de résistance et de bonne volonté. Le délai de trois ans imposé
par la directive51 pour que les mesures nationales s’y conforment a rarement été respecté52.
On peut distinguer trois vagues de transposition de la directive de manière schématique.
Dans le premier cas de figure, rangeons les Etats qui ont transposé la directive dans les
délais impartis ou avec un très léger retard. La Grèce, l’Italie, le Portugal, la Suède, la
Belgique et le Royaume-Uni ont été exemplaires en transposant la directive avant la fin de
l’année 1998. L’Espagne, l’Autriche et la Finlande ont adopté des lois de transposition de la
directive « données personnelles » au cours de l’année 1999 ce qui ne constitue qu’un léger
retard non condamnable.
Ensuite, d’autres Etats ont connu un certain retard dans l’adoption de mesures de
transposition53. En décembre 1999, la Commission a décidé de poursuivre la France,
l'Allemagne, l'Irlande, le Luxembourg et les Pays-Bas devant la Cour européenne de justice
pour défaut de notification de l'ensemble des mesures nécessaires à la mise en œuvre de la
directive 95/46/CE. Les Pays-Bas et l'Allemagne ayant procédé à cette notification, la
Commission a clos l'action judiciaire contre ces deux pays. L'Irlande a notifié une
transposition partielle en 2001.
La France a notifié la loi de 1978 sur la protection des données, de sorte que la
procédure contre cet État a été abandonnée. La France a annoncé par la même occasion son
intention de faire passer une nouvelle loi qui n'a cependant été adoptée que très récemment.
Le Parlement français a transposé la Directive 95/46/CE du 24 octobre 1995 en droit national
50 Considérants 9 et 10 de la directive. 51 Article 32.1 de la directive 95/46 CE. 52 Nous nous basons notamment sur le 8ème rapport annuel du groupe de travail « article 29 » sur la protection des données portant sur « l’état de la protection des personnes à l’égard du traitement des données à caractère personnel dans l’Union européenne et les pays tiers », ainsi que sur un document de la Commission européenne sur l’état de transposition de la directive 95/46/CE disponible uniquement en anglais à l’adresse http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm 53 Voir le rapport de la Commission – Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */
30
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
par une loi longuement attendue qui a été adoptée le 6 août 200454. Il a été décidé de
conserver la Loi «Informatique et libertés» du 6 janvier 1978 mais de la réviser
complètement, conformément à ce que préconisait le rapport Braibant55. Les principes
essentiels de protection des données restent inchangés, mais des changements importants ont
été apportés aux dispositions de la Loi du 6 janvier 1978 qui se rapportent à la structure et à la
philosophie d’ensemble (champ d’application, création d’un délégué à la protection des
données, nouveaux pouvoirs accordés à la Commission Nationale de l’Informatique et des
Libertés).
Dans le cas du Luxembourg, l'action de la Commission a conduit à la condamnation de ce
pays par la Cour de justice pour manquement à ses obligations56. La directive a alors été mise
en œuvre par le biais d'une nouvelle loi qui est entrée en vigueur en 2002.
Enfin, la troisième vague de transposition concerne les dix Etats qui ont adhéré à
l’Union européenne le 1er mai 2004. Lors de l’adoption de la directive « données
personnelles » le 24 octobre 1995, les Etats membres de l’Union européenne étaient au
nombre de quinze. Dix nouveaux Etats les ont rejoint en 2004, et même si les modalités de
l’élargissement peuvent être critiquables sous certains aspects, il faut reconnaître que ces Etats
ont fait un formidable travail d’adaptation aux exigences juridiques communautaires. Tous
possèdent aujourd’hui une loi nationale concernant les données personnelles, conforme à la
directive 95/46/CE, et certains s’y étaient conformés bien avant leur entrée dans l’Union.
2) Les difficultés rencontrées.
Les quelques difficultés sont liées à la nature même de la mesure choisie par la
Communauté pour légiférer dans le domaine de la protection des données personnelles. En
effet, en agissant par le biais d’une directive, la Communauté visait à rapprocher les
législations des Etats membres, mais courrait le risque d’être confrontée aux inconvénients
d’une directive. L’article 249 alinéa 3 du traité CE dispose ainsi que « la directive lie tout
Etat membre destinataire quant au résultat à atteindre tout en laissant aux instances nationales
la compétence quant à la forme et aux moyens ». Les Etats membres destinataires sont alors
soumis à une obligation de résultat : celle de transposer la directive dans leur droit national
dans les délais prescrits. Dès lors, le risque est couru que les délais ne soient pas respectés, et
le cas s’est largement présenté concernant la directive « données personnelles » comme nous
54 JO 7 août 2004, p.14063. 55 Guy Braibant, Op. Cit. 56 CJCE, 4 octobre 2001, Commission contre Luxembourg, Aff. 450/00.
31
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
venons de le voir. Néanmoins, on peut noter d’une part que la rapidité grecque et espagnole
pour transposer la directive est due aussi au fait qu’aucune disposition nationale en la matière
n’existait, et comme le soulignait Guy Braibant, dans son rapport intitulé « Données
personnelles et Société de l’information »57, il est plus facile de créer ex nihilo, que lorsqu’un
important corpus législatif existe déjà. Cet argument sert peut être aussi de prétexte à
expliquer le retard français pour se conformer à la directive, et peut être utilisé également
pour expliquer le retard de l’Allemagne, autre Etat précurseur en la matière. En sens inverse,
la Suède qui était précurseur aussi, démontre qu’en faisant preuve de bonne volonté, la
transposition de la directive était réalisable dans les délais impartis. Pour aller dans le sens des
Etats retardataires, notons que la Commission elle-même a reconnu que la mise en œuvre
d’une telle directive « qui laisse une latitude importante aux Etats membres mais leur impose
en même temps de considérer un grand nombre de détails, est assurément une tâche
complexe »58. Quoiqu’il en soit, la Commission considère que ces retards sont des
manquements qu’elle a le devoir de constater et de condamner. C’est ainsi qu’elle engage une
procédure en manquement contre plusieurs Etats, qui ne sera poursuivi que pour le
Luxembourg que la Cour de justice condamnera pour manquement dans une décision du 4
octobre 200159. Ces retards ont certainement gêné l’application de la directive, quand bien
même la Cour peut reconnaître à certaines directives un effet direct après expiration du délai
de transposition et à condition qu’elles soient suffisamment inconditionnelles, claires et
précises60, et elles ne donnent pas une grande marge d’appréciation à l’autorité nationale pour
sa mise en oeuvre61. La CJCE juge au cas par cas, et concernant la directive 95/46 CE, elle a
pu juger, dans son arrêt Rechnungshof, rendu le 20 mai 200362, que les dispositions de
l’article 6§1 –c) de la directive, qui disposent que les données personnelles doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont
collectées et pour lesquelles elles sont traitées ultérieurement » sont d’effet direct, ainsi que 57Guy Braibant, Op. Cit. 58 Voir le rapport de la Commission – Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */ 59 CJCE 4 octobre 2000 Commission c/ Luxembourg. Aff C 450/00. « En ne prenant pas, dans le délai prescrit, toutes les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le grand-duché de Luxembourg a manqué aux obligations qui lui incombent en vertu de l'article 32 de cette directive ». 60 Voir notamment CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337, Rec. 1337R-CH. Goffin, JDT droit eur, 1975, p.154 ; G. Lyon-Caen, RTDE, 1976, p.141 ; D. Wyatt, European Law Review, et CJCE, 5 avril 1979, Ratti Aff. 148/78. 61 En ce sens, CJCE, 2 Août 1993, Marshall Aff. C-271/91, Rec. I.4361. 62CJCE, 20 mai 2003 Rechnungshof Österreichischer Rundfunk, affaires jointes C-465/00, C-138/01 et C-139/01. RTDH, 2004, 724 obs. C. Maubernard..
32
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’article 7 points c) et e) qui prévoit qu’un traitement de données personnelles ne peut être
effectué que si « il est nécessaire au respect d'une obligation légale à laquelle le responsable
du traitement est soumis » et « est nécessaire à l'exécution d'une mission d'intérêt public ou
relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le
tiers auquel les données sont communiquées ».
Enfin, le rapport rendu par la Commission relève, alors que tous les Etats membres de
l’Union s’étaient conformés à la directive « données personnelles », qu’il y a un réel manque
d’harmonisation. Selon ce rapport, certaines divergences sont constatées, en violation de la
législation communautaire, ou comme ayant un impact négatif sur le marché intérieur. Des
difficultés dans l’application de la directive ont donc été rencontrées, mais l’existence des
dispositions s’y conformant est encore jeune et devrait aller en s’améliorant.
Paragraphe second : Les autres textes de l’ordre communautaire relatifs à
la protection des données personnelles.
La directive 95/46 CE représente la directive générale, ou directive cadre en
matière de protection des données personnelles. Mais elle n’est pas la seule directive
communautaire assurant une telle protection. Elle a ainsi pu donner naissance à des directives
sectorielles, et déploie aussi son influence dans d’autres textes spécifiques régissant des
domaines où les principes de la protection des données personnelles doivent être respectés.
Ces principes ont par ailleurs été étendus aux traitements de données effectués par des
organes ou institutions communautaires.
A) Les mesures sectorielles.
1) Les directives sectorielles concernant le secteur des communications électroniques.
Le 15 décembre 1997, le Parlement et le Conseil ont ainsi adopté une directive 97/66
CE concernant le traitement des données à caractère personnel et la protection de la vie privée
dans le secteur des télécommunications63. Prenant en compte les progrès très rapides des
technologies de l’information et des télécommunications et en particulier l’utilisation de plus
en plus généralisée de l’Internet, la Communauté européenne décide d’abroger cette directive
et de la remplacer par la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur des
63 Directive 97/66/CE du 15 décembre 1997, JOCE du 30 janvier 1998, n°L 24 p.1.
33
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
communications électroniques64 afin de mieux « garantir la protection des données
personnelles et de la vie privée » en s’adaptant à l’ « évolution des marchés et des
technologies de services de communications électroniques »65. Cette directive se fonde
expressément sur la directive du 24 octobre 1995, qui reste applicable aux aspects qui
n’entrent pas dans le cadre de la protection assurée par cette directive. En d’autres termes, par
application de l’adage Specialia generalibus derogant66 , la nouvelle directive s’applique au
secteur des communications électroniques mais la directive de 1995 reste le droit général. En
ce domaine encore, c’est le marché intérieur qui fonde l’intervention de la Communauté, et
l’exposé des motifs indique clairement qu’ « il convient d’harmoniser les dispositions
législatives, réglementaires et techniques adoptées par les États membres en ce qui concerne
la protection des données à caractère personnel, de la vie privée et des intérêts légitimes des
personnes morales dans le secteur des communications électroniques afin d’éviter de créer des
obstacles au marché intérieur des communications électroniques conformément à l’article 14
du traité ». A l’instar de la directive de 1995, l’objectif est explicitement d’assurer le bon
fonctionnement du marché intérieur et de mettre en balance cet objectif avec la protection des
données personnelles. L’article 1er § 1 est très clair à ce sujet67.
L’article 17 de cette directive prévoyait qu’elle devait être transposée avant le 31 octobre
2003. Nul besoin de préciser que beaucoup d’Etats ont été en retard pour mettre leur
législation en conformité avec cette directive, et la Cour de justice a condamné le
Luxembourg68, la Belgique69, et les Pays-Bas70 pour manquement à leur obligation
communautaire de prendre toutes mesures utiles pour se conformer à la directive.
Toujours dans l’optique de s’adapter aux évolutions technologiques, a été adoptée une
nouvelle directive 2006/24/CE 71 du Parlement européen et du Conseil du 15 mars
2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de
services de communications électroniques accessibles au public ou de réseaux publics de
communications, et modifiant la directive 2002/58/CE. Les Etats membres devront s’y
64 Directive 2002/58/CE du 12 juillet 2002, JOCE du 31 juillet 2002, n° L 202/37. 65 Considérant n°4 de la directive 2002/58/CE. 66 Les lois spéciales dérogent aux lois qui ont une portée générale. 67 Article 1 § 1 de la directive 2002/58/ CE : « La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté ». 68 CJCE 11 juin 2005, Commission contre Luxembourg, aff C-375/04 JO C 143 du 11 juin 2005 p.14 ; 69 Même jour Commission contre Belgique, aff. C-376/04 JO C 143 du 11 juin 2005 p.14 ; 70 CJCE 24 juin 2001, Commission contre Pays Bas, aff C-350/02. 71 Directive 2006/24/CE du 15 mars 2006, JOCE du 13 avril 2006, n°L 105/54.
34
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
conformer avant le 15 septembre 2007. Dans le cadre de la conservation de données générées
dans le domaine couvert par cette directive, soit les données utilisées pour retrouver et
identifier la source d’une communication électronique ou téléphonique comme l’adresse IP
d’un ordinateur, la destination, la date, la durée, le type de communications, la directive tend à
harmoniser les législations nationales et prévoit en particulier que la conservation de ces
données doit aller de six mois à deux ans maximum.
2) La directive « commerce électronique » ou la protection des données personnelles par un
mécanisme de connexité.
Avec la croissance exceptionnelle qu’a connu le commerce électronique ces dernières
années, une organisation comme la Communauté européenne ne pouvait pas rester sans
intervenir en ce domaine qui pour sûr concerne directement le marché intérieur et les objectifs
premiers de l’intégration communautaire. En outre, nous pouvons observer que « l’Internet et
le Marché intérieur ont pour point commun de supprimer les frontières physiques pour le
premier, juridiques pour le second » ce qui implique « la mise en place d’un cadre juridique
communautaire fondé sur l’expérience et les concepts du droit du Marché intérieur […] pour
promouvoir le commerce électronique dans la Communauté […] »72. Le domaine couvert par
la directive concerne tous les services de la société de l'information. En effet, dans les termes
de la directive, les activités relevant du commerce électronique sont des « services de la
société de l’information » définis comme étant tout service à distance, fourni par voie
électronique et à la demande individuelle. La conception est assez large, mais qu’en est-il de
la protection des données personnelles en ce domaine où largement utilisées, le risque est
d’autant plus couru de voir la vie privée et les droits fondamentaux des individus non
respectés. La réponse communautaire à la question de la protection des données personnelles
dans le commerce électronique est alors très cohérente, puisque le considérant 14 de la
directive « commerce électronique » dispose de manière satisfaisante que « la protection des
personnes physiques à l’égard du traitement des données à caractère personnel est uniquement
régie par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995
relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données et par la directive 97/66/CE du
Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données
à caractère personnel et la protection de la vie privée dans le secteur des télécommunications,
72 Emmanuel Crabit, « La directive sur le commerce électronique. Le projet Méditerranée », RDUE, n°4 2000 pp. 749-833.
35
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
qui sont pleinement applicables aux services de la société de l’information ». Ainsi, la
référence aux deux directives de 1995 et 1997 permet de reprendre la protection déjà établie
en droit communautaire pour les besoins du commerce électronique. Elle est particulièrement
nécessaire concernant le marketing direct, en particulier les spams, soit les communications
commerciales non sollicitées par le biais de l’Internet.
La reprise de ces principes est importante notamment concernant le droit d’opposition
qualifié d’opt out et le droit d’information préalable de l’existence du droit de s’opposer
qualifiée d’opt in, deux systèmes contenus dans les directives communautaires et qui sont
applicables au commerce électronique.
Une autre directive importante est à signaler qui reprend aussi les principes de la
directive 95/46/CE en matière de protection des données personnelles : la directive
1999/93/CE pour un cadre communautaire sur les signatures électroniques73, dont l’article
8.1. dispose que «Les États membres veillent à ce que les prestataires de service de
certification et les organismes nationaux responsables de l'accréditation ou du contrôle
satisfassent aux exigences prévues par la directive 95/46/CE du Parlement européen et du
Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données ».
B) Les autres mesures de l’ordre juridique communautaire : une protection appliquée
aux organes et institutions communautaires
1) L’inscription de cette protection dans le droit communautaire primaire : l’article 286 TCE
Comme nous venons de le voir, la Communauté s’est attelée à protéger les individus à
l’égard du traitement de leurs données personnelles dès le début des années 1990, ce qui s’est
concrétisé dans un premier temps par la directive du 24 octobre 1995. On aboutissait à une
situation paradoxale dans laquelle les institutions communautaires incitaient les Etats
membres à assurer une protection équivalente des données personnelles en harmonisant leur
législations par le biais d’une directive, mais sans qu’elles ne soient soumises elles mêmes à
une telle protection. Cependant, il était devenu nécessaire que les institutions et organes
communautaires soient soumis à un système contraignant de protection des données
personnelles pour différentes raisons.
73 Directive 1999/93/CE du 13 décembre 1999, JOCE du 19 janvier 2000, L 13/12.
36
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Premièrement, la Communauté européenne ayant clairement affirmé son engagement dans la
protection des droits fondamentaux, elle ne pouvait pas être dégagée de toute obligation de
protéger les données à caractère personnel.
Ensuite, l’évolution importante de l’utilisation des réseaux de communication dans la
Communauté, en particulier pour le traitement de données personnelles rendait une telle
protection nécessaire74.
Enfin, l’établissement et le fonctionnement du marché intérieur et la mise en place d’un
espace de liberté, de sécurité et de justice impliquent un échange croissant d’informations
entre les Etats membres, mais aussi entre les administrations nationales et les administrations
communautaires. Seul un niveau de protection suffisant des données personnelles justifierait
alors un tel échange75.
Le traité d'Amsterdam a constitué un nouveau tournant pour la protection des données76, dans
la mesure où il a introduit le libellé actuel de l'article 286 du traité CE, selon lequel les
principes de la directive 95/46/CE doivent s'appliquer aux institutions et organes de la
Communauté à partir du 1er janvier 1999. Nous pensons que les principes de la directive
97/66 trouvent aussi à s’appliquer ici et donc aujourd’hui ceux de la directive 2002/58/CE qui
l’abroge et la remplace. L’article 286 TCE dispose en effet en son paragraphe 1er qu’ « à partir
du 1er janvier 1999, les actes communautaires relatifs à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données sont applicables aux institutions et organes institués par le présent traité ou sur la
base de celui-ci ». La technique du renvoi choisie dans cette disposition a pour but de rendre
équivalent le niveau de protection et de permettre toute transmission de données aux
administrations communautaires77. En outre, le second paragraphe de l’article 286 charge le
Conseil d’instituer « un organe indépendant de contrôle chargé de surveiller l’application
desdits actes communautaires aux institutions et organes communautaires […] ». Le Conseil
adoptera alors le règlement 45/2001 du 18 décembre 2000.
74 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », Op. Cit. 75 Cf. Francesco Maiani, « Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation présente et perspectives de développement », RTD eur. 38 (2), avril-juin 2002, pp. 283-309. 76 Joaquin Bayo Delgado, contrôleur européen adjoint de la protection des données, « La protection des données dans les administrations de la Communauté européenne » Exposé présenté lors de la "Rencontre européenne sur les meilleures pratiques publiques en matière de protection des données" disponible à l’adresse http://www.edps.eu.int/publications/speeches/05-08_article_DP_institutions_FR.pdf et sur le site du contrôleur européen à la protection des données. 77 . Francesco Maiani, « Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation présente et perspectives de développement », Op. Cit.
37
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Le règlement 45/2001.
Le 18 décembre 2000, sur la base de l’article 286 du traité instituant la Communauté
européenne, le Parlement et le Conseil ont adopté le règlement 45/01 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel par les
institutions et organes communautaires et à la libre circulation de ces données78. En plus
d’instituer un contrôleur européen à la protection des données conformément aux
prescriptions de l’article 286 paragraphe 2 TCE, ce règlement retranscrit la protection offerte
par les directives 95/46 CE et 97/66 CE pour les traitements de données effectués par les
institutions et organes communautaires. Son adoption est plus que satisfaisante et permet de
voir les institutions et organes communautaires soumis aux principes de la protection des
données personnelles reconnus par le droit communautaire. Il était en effet impératif que la
protection des personnes à l’égard du traitement de données à caractère personnel soit étendue
aux autorités communautaires elles mêmes et il est de bonne augure que les principes déjà
reconnus soient repris en ce sens afin de renforcer la sécurité juridique et la cohérence de la
protection des données par le droit communautaire. Le considérant n°12 du règlement nous
indique en effet qu’ « il y a lieu d'assurer dans l'ensemble de la Communauté une application
cohérente et homogène des règles de protection des libertés et droits fondamentaux des
personnes à l'égard du traitement des données à caractère personnel ».
78 Règlement (CE) n°45/01 publié au JOCE L 8/2001 p.1.
38
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Chapitre 2. Un objectif prévalent : Une large protection des données
personnelles en tant que droit fondamental.
Droit fondamental issu du droit à la vie privée, le droit à la protection des données
personnelles touchent en réalité à l’ensemble des droits et libertés fondamentaux, et c’est
certainement ce qui explique l’importance cruciale d’une protection large des données
personnelles. Ce droit devra être concilié avec d’autres droits fondamentaux, et pose
différentes questions juridiques, notamment celle du rapport du droit communautaire de la
protection des données personnelles avec le droit de la CEDH en la matière. (Section 1ère). Le
caractère fondamental du droit à la protection des données personnelles a conduit la
Communauté européenne à lui reconnaître une place importante par la combinaison de
définitions extensives qui permettent de déterminer un champ d’application relativement
large, quand bien même il connaît quelques failles (Section 2ème).
Section 1. La protection des données personnelles comme droit fondamental
de l’Union européenne.
Issu du droit à la vie privée, dont on craignait qu’il soit largement bafoué par
l’utilisation généralisée de l’informatique pour le traitement de l’information et la création de
fichiers, le droit fondamental à la protection des données personnelles s’est aujourd’hui
émancipé et constitue un droit fondamental à part entière, même si ses liens avec le droit à la
vie privée restent ténus. (Paragraphe 1er). La reconnaissance de ce droit moderne par le droit
communautaire entraîne différentes questions sur ses rapports avec d’autres droits
fondamentaux et avec les libertés économiques communautaires, tout en renouvelant des
questions déjà existantes sur les rapports entre le droit communautaire et le droit de la CEDH
en matière de protection des droits fondamentaux. (Paragraphe 2nd).
Paragraphe Premier. La consécration d’un droit fondamental issu du droit
à la vie privée.
Intimement lié au droit au respect de la vie privée dont il est une émanation comme le
démontre par exemple la jurisprudence de la Cour européenne des droits de l’homme sur
39
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’article 8 de la CEDH, le droit à la protection des données personnelles est un droit
transversal en ce qu’il permet la protection de nombreux autres droits fondamentaux.
L’inscription de ce droit dans une disposition distincte de celle reconnaissant le droit à la vie
privée par les rédacteurs de la Charte des droits fondamentaux révèle l’importance et
l’autonomie du droit à la protection des données personnelles.
A. Un droit fondamental composante du droit à la vie privée ?
1) Une protection étroitement liée au droit au respect de la vie privée.
a) La protection du secret de la vie privée.
Protéger les données personnelles, ou plus spécialement protéger les individus à
l’égard du traitement de données personnelles les concernant, est clairement une protection du
secret de la vie privée. En effet, l’accumulation de données personnelles dans le quotidien des
individus est une réelle menace au secret de la vie privée. Une administration, une entreprise,
ou une personne pourrait très bien savoir, par une simple collecte et comparaison de données
personnelles, quelles sont les habitudes commerciales d’une personne par les achats qu’elle
effectuerait par carte de crédit, quels sont ses centres d’intérêts, par les cookies, ou fichiers
témoins semés lors d’une utilisation d’Internet79, quel est son état de santé, s’il est possible de
consulter sa carte vitale, qui sont ses proches, par les informations contenues dans son
téléphone portable…Bref, le secret de la vie privée pourrait être en danger. Jean-Claude Soyer
met en exergue les risques courus du fait des nouvelles technologies en affirmant qu’elles
mettent en place « une surveillance implacable autant qu'insidieuse, une attention scrutatrice
et détentrice de tous les détails permettant de reconstituer, dans ses moindres détails, la
parcelle de vie privée mise sous observation »80. Et l’auteur d’ajouter, sans exhaustivité
aucune que « l'informatique aux fabuleux bienfaits comporte, un revers, une aptitude
effrayante : la mémoire totale, instantanée. À la fois par la minutie, l'immensité, la fréquence
des informations recensées sur la vie quotidienne, donc largement privée ; […] d'où s'ensuit la
facilité des rapprochements et recoupements les plus inattendus, mais d'autant plus
révélateurs. Comme l'ombre du grand frère, insidieusement, s'est allongée! Elle couvre toutes
les communications, et leurs conversations : heures d'appel, numéros de l'appelant et de
l'appelé... Le grand frère surveille aussi les déplacements des individus : quiconque paie par
79 Voir notamment Jean-Marc Dinant, Les traitements invisibles sur Internet, in Cahiers du CRID n°16, Bruylant, 1999, pp.271-294. 80 Jean-Claude Soyer, l’avenir de la vie privée face aux effets pervers du progrès et de la vertu, p.8-9, in la protection de la vie privée dans la société de l’Information, Cahiers des sciences morales et politiques, tomes I-V, sous dir. Pierre Tabatoni.
40
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
badge, carte de crédit, chèque (et comment ne jamais le faire en pratique ?) laisse une trace
indélébile. Le grand frère contrôle dès lors l'immensité des achats quotidiens, leur type, leur
nombre, leur fréquence. L'e-mail n'a pas de secret pour lui, c'est le cas de le dire. Et qui
navigue sur Internet s'expose à ce que subrepticement, par simple cookie, un espion se niche
dans l'ordinateur personnel »81. Pour résumer, la vie privée courre de graves risques du fait de
l’utilisation de données personnelles.
Les différents textes communautaires, internationaux et nationaux de protection des données
à caractère personnel recherchent à protéger le secret de la vie privée. A ce propos, la
directive « données personnelles » du 24 octobre 1995 énonce dès son article 1er qui précise
son objectif, qu’elle vise à « la protection des libertés et droits fondamentaux des personnes
physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère
personnel », et les considérants de la directive ne se réfèrent pas moins de sept fois au droit à
la vie privée, marquant ainsi la préoccupation particulière de le protéger82. Toutefois, il ne
faudrait pas confondre droit au respect de la vie privée, et protection des données
personnelles. Si une mauvaise utilisation de données personnelles peut porter atteinte au droit
à la vie privée d’une personne, toute utilisation de données personnelles ne constitue pas une
telle atteinte. De même, les données personnelles n’ont pas toutes trait à la vie privée.83 Ainsi,
la protection des données personnelles est étroitement liée à la protection de la vie privée,
même si les deux notions ne se recouvrent pas entièrement. Le contrôleur européen à la
protection des données explique ainsi que la protection des données personnelles est plus
large que le droit à la vie privée, puisqu’elle touche à d’autres droits fondamentaux, mais
qu’elle est aussi plus stricte puisqu’elle n’intervient qu’en cas de traitement de données
personnelles84. Il reste que la protection des données personnelles, dans ses objectifs, dans sa
raison d’être et dans son histoire, est une composante du droit à la vie privée, et les données
personnelles, en tant que composante du droit à la vie privée, doivent faire l’objet d’une
attention particulière85.
81 Jean-Claude Soyer, l’avenir de la vie privée face aux effets pervers du progrès et de la vertu, Op. Cit. p.9. 82 La directive 97/66 CE ainsi que la directive 2002/58/CE visent aussi le respect du droit à la vie privée. 83 Guy Braibant affirme ainsi que « les éléments qui ont trait à l'individu et à sa vie familiale entrent dans le cadre de la vie privée, et qu'en revanche, les informations relatives au patrimoine et à la vie professionnelle ne bénéficient pas de la même protection », in Données personnelles et société de l’information, Rapport au Premier ministre. La documentation française. 84 Peter J. Hustinx, Data protection in the European Union, 21 avril 2005, disponible à l’adresse http://www.edps.eu.int/publications/speeches/05-04-21_Data_Protection_EN.pdf85 Alexandre Maitrot de la Motte, Le droit au respect de la vie privée, in La protection de la vie privée dans la société de l’Information, Chapitre 17, p.2. Cahiers des sciences morales et politiques, tomes I-V, sous dir. Pierre Tabatoni.
41
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
b) L’importance explicite de l’article 8 de la CEDH.
Comme nous le savons, la Convention européenne des droits de l’homme revêt une
importance particulière en droit communautaire. La jurisprudence Nold86 puis Rutili87 de la
Cour de Luxembourg a mis en avant l’importance des traités internationaux de protection des
droits de l’homme, et en particulier de la Convention européenne des droits de l’homme, dont
la Cour de justice s’inspire pour révéler et garantir le respect par la technique des principes
généraux du droit. En outre, depuis le Traité d’Amsterdam, l’article 6§2 du traité sur l’Union
européenne énonce que « l’Union respecte les droits fondamentaux, tels qu’ils sont garantis
par la Convention européenne des droits de l’homme et de sauvegarde des libertés
fondamentales […] en tant que principes généraux du droit communautaire ». Concernant le
droit à la vie privée, c’est l’article 8 de la Convention européenne des droits de l’homme qui
trouve à s’appliquer et figure parmi les préoccupations de premier ordre dans le droit
communautaire de protection des données personnelles, la Convention étant devenue « la
source matérielle principale des droit fondamentaux en tant que principes généraux du droit
communautaire »88. Et concernant notre réflexion sur la protection des données personnelles,
le considérant n°10 de la directive 95/46/ CE relative à la protection des données personnelles
vise clairement « le respect des droits et libertés fondamentaux, notamment du droit à la vie
privée reconnu également dans l'article 8 de la Convention européenne de sauvegarde des
droits de l'homme et des libertés fondamentales et dans les principes généraux du droit
communautaire ». C’est donc clairement le droit à la vie privée tel que reconnu par l’article 8
de la Convention européenne des droits de l’homme notamment qui fonde la protection des
données personnelles par le droit communautaire. Un parallèle peut ici être fait avec la loi
française « Informatique et libertés » qui pose que l’informatique « ne doit porter atteinte ni à
l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou
publiques »89. Si la vie privée est principalement protégée par l’article 9 du Code civil en
France, il ne faudrait pas oublier l’importance de l’article 8 de la Convention européenne des
droits de l’homme qui s’applique directement en droit français et rejoint ainsi le droit
communautaire de protection des données personnelles. Mais les différents textes relatifs à la
protection des données personnelles, s’ils montrent un attachement particulier au droit au
86 CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491. 87 CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p. 1219 88 Fréderic Sudre, Droit européen et international des droits de l’homme, Presses universitaires de France, PUF, Paris, coll. Droit fondamental, 7ème éd. 2005. p.143. 89 Article 1er Loi Informatique et Libertés.
42
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
respect de la vie privée, ne s’y limitent pas, et concernent plus largement la protection de tous
les droits et libertés fondamentaux.
2) Une protection liée à la garantie de plusieurs autres droits fondamentaux.
Malgré l’importance du lien entre protection des données personnelles et droit au
respect de la vie privée, et même s’il faut reconnaître que cette relation entre les deux notions
est quasi exclusive, il semble que d’autres droits fondamentaux puissent être atteints dans leur
substance par une mauvaise utilisation de données à caractère personnel. Il est vrai que les
textes communautaires et la jurisprudence de la CJCE ne visent explicitement que le droit à la
vie privée qui est ainsi le terrain de jeu privilégié du non respect des principes relatifs à une
bonne utilisation de données personnelles. Cela dit, une lecture attentive du texte fondateur de
la protection des données personnelles en droit communautaire indique que si le droit à la vie
privée peut être atteint plus directement ou plus fréquemment, il n’est pas le seul, puisque la
directive du 24 octobre 1995 précise qu’elle vise à ce que les Etats membres protègent les
« libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à
l'égard du traitement des données à caractère personnel »90 L’emploi du terme « notamment »
nous indique que si la vie privée est visée, elle n’est pas le seul droit fondamental concerné.
Interrogeons nous alors sur les droits fondamentaux qui pourraient être concernés par une
mauvaise utilisation de données personnelles.
Parmi les droits fondamentaux les plus importants, inhérents à la notion même d’humanité, la
dignité humaine91 pourrait à notre sens, être atteinte par une utilisation de données
personnelles visant à nuire à une personne voire une catégorie de personnes. Imaginons un cas
où les individus seraient fichés selon leur ethnie voire leur orientation sexuelle ou selon des
données bioéthiques, et que de ce fichier dépendent un recrutement, une surveillance accrue,
voire l’interdiction d’accès à certains services… Si la vie privée serait concernée, il semble
que la dignité humaine serait aussi touchée, ainsi que le droit à l’égalité. Dans le même sens,
ne peut on pas penser que les droits de liberté seraient atteints par la collecte de données
personnelles permettant de connaître les faits et gestes d’un individu, voire de deviner certains
de ses goûts, de ses opinions ? On pense alors à des atteintes possibles à la liberté en générale,
90 Article 1er de la directive 95/46/ CE relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, Op. Cit. 91 Si la CEDH ne reconnaît pas le droit à la dignité humaine, la Cour a pu utiliser ce terme notamment dans un arrêt C.R c. Royaume-Uni du 22 novembre 1995. De même, on peut considérer que ce droit est présent dans chacun des droits fondamentaux De nombreuses constitutions nationales reconnaissent le droit à la dignité humaine, en particulier l’Allemagne dont la Loi fondamentale y est très attachée. Enfin, la CDFUE contient un article 1er intitulé « Dignité humaine ».
43
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
mais aussi à la liberté de religion, de conscience, d’opinion… N’en revient-on pas à nouveau
à une atteinte à la vie privée dans son aspect vie privée liberté ? Nous pouvons répondre par
l’affirmative en considérant cette atteinte de manière indirecte.
Enfin, si l’on peut considérer les données personnelles comme des biens immatériels92, il faut
alors admettre qu’elles sont susceptibles d’appropriation, et l’on peut légitimement penser que
le droit de propriété, reconnu à l’article 1er du protocole 1 à la Convention européenne des
droits de l’homme, reconnu par la jurisprudence de la Cour de justice des communautés
européennes93, ainsi que par l’article 17 de la Charte des droits fondamentaux de l’Union
européenne peut être atteint lors de la collecte et de l’utilisation de données personnelles,
même si le raisonnement semble trop exagéré et peu envisageable en l’état actuel du droit.
Ces quelques exemples hypothétiques montrent que la protection des données personnelles ne
vise pas à la seule garantie du droit à la vie privée, mais peut aussi permettre le respect
d’autres droits fondamentaux. Comme l’affirme le professeur Frayssinet, « la protection
bénéficie à l’ensemble des droit et libertés fondamentaux et même au-delà »94.
B. La consécration d’un droit fondamental à part entière.
1) Un droit fondamental potentiellement Principe général du droit communautaire.
a) Par la protection que lui accordent la CEDH et la Convention 108.
Les juges de Luxembourg protègent le droit à la vie privée reconnu par la Convention
européenne des droits de l’homme en son article 8. Or, l’article 8 de la CEDH ne vise pas
expressément la protection des données personnelles, et il faut s’intéresser à la jurisprudence
de la Cour européenne des droits de l’homme pour connaître de cette protection. A ce propos,
l’arrêt de la Cour de Strasbourg rendu le 26 mars 1987 Leander contre Suède a son
importance puisqu’il s’agit de la première décision dans laquelle la Cour considère que la
mémorisation et la communication de données personnelles constitue une atteinte à la vie
privée95. En l’espèce, la Cour n’a pas conclu à la violation de l’article 8, mais l’important est
que l’utilisation de données personnelles soit reconnue comme pouvant porter atteinte au droit
à la vie privée. Par ailleurs, la Cour affirme clairement que « la protection des données à
93 CJCE 13 décembre 1979, Hauer, Aff. 44/79, Rec.1979 3727. 94 J. Frayssinet, Op. Cit. p30. 95CEDH 26 mars 1987 Leander c. Suède § 48 : « Le registre secret de la police renfermait sans contredit des données relatives à la vie privée de M. Leander. Tant leur mémorisation que leur communication, assorties du refus d’accorder à M. Leander la faculté de les réfuter, portaient atteinte à son droit au respect de sa vie privée, garanti par l’article 8 par. 1 »
44
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au
respect de la vie privée et familiale garanti par l’article 8 de la convention »96.
Cette approche des juges de Strasbourg sera confirmée par la suite, et dans un arrêt
Amman c. Suisse rendu le 16 février 200097, dans lequel la Cour, après avoir rappelé sa
jurisprudence Leander, précise que « le terme « vie privée » ne doit pas être interprété de
façon restrictive. En particulier, le respect de la vie privée englobe le droit pour l’individu de
nouer et développer des relations avec ses semblables ; de surcroît, aucune raison de principe
ne permet d’exclure les activités professionnelles ou commerciales de la notion de « vie
privée » » et de conclure à l’applicabilité de l’article 8 dans une affaire où une fiche avait été
établie concernant le requérant, sur laquelle il était indiqué que ce dernier était un « contact
auprès de l’ambassade russe » et faisait « du commerce de différentes sortes avec la société ».
La Cour européenne des droits de l’homme élabore donc une jurisprudence qui étend
l’applicabilité de l’article 8 à la protection des données personnelles, et notons que dans cet
arrêt Amman, la Cour relève en sus que son approche correspond à celle de la convention 108
du Conseil de l’Europe. L’interprétation extensive de la notion de vie privée par la Cour
européenne va jusqu’à considérer, dans un arrêt Rotaru de 2000, que « des données de nature
publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique,
recueillies et mémorisées dans les fichiers tenus par les pouvoirs publics »98. Ainsi, si la
CJCE garantissait la protection des données personnelles en tant que principe général du droit
en s’inspirant de l’article 8 de la CEDH, et qu’au surplus elle reprenait la jurisprudence de la
CEDH, l’interprétation ne pourrait être qu’extensive.
En outre, l’existence d’une convention du Conseil de l’Europe spécialement consacrée
à la protection des personnes à l’égard du traitement automatisé de données personnelles
(Convention 108) est révélatrice d’une certaine émancipation du droit à la protection des
données personnelles quand bien même il reste très lié au droit au respect à la vie privée. La
CEDH a pris l’habitude, lorsqu’elle utilise l’article 8 pour la protection des données
personnelles, de faire expressément référence à la Convention du Conseil de l’Europe de 1981
ce qui devrait inspirer également le juge communautaire lors d’une éventuelle reconnaissance
de la protection des données personnelles en tant que principe général du droit.
b) En tant que droit issu des traditions constitutionnelles communes
96 CEDH 27 août 1997, MS c. Suède. § 41. 97 CEDH 16 février 2000, Amman c. Suisse. Spéc. §.65. 98 CEDH, 4 mai 2000, Rotaru c.Roumanie, §43.
45
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
La Cour de justice des communautés européennes ne se contente pas d’élaborer ses
principes généraux du droit communautaire en s’inspirant des textes internationaux de
protection des droits de l’homme, et plus particulièrement de la CEDH, mais puise également
dans les traditions constitutionnelles communes aux Etats membres conformément à sa
jurisprudence Internationale Handelsgesellschaft99. Or, cette notion même de traditions
constitutionnelles communes aux Etats membres est pour le moins insaisissable, et d’autant
plus dans une Europe à vingt-cinq. Il parait effectivement difficile de savoir si la notion de
traditions constitutionnelles communes signifie que toutes les constitutions des Etats membres
reconnaissent ce droit, ou seulement un certain nombre, mais alors quel nombre, une
majorité ? Simple ? Absolue ? Seulement plusieurs Etats et donc à partir de deux ? Si l’on
considère qu’il suffit que le droit soit protégé par plusieurs constitutions nationales, alors
intéressons nous à la question de savoir si parmi les Etats membres certains ont des
dispositions de valeur constitutionnelle qui protègent les données personnelles. Avant
l’adoption de la directive 95/46 CE, seuls trois Etats membres voyaient leur Constitution
contenir des dispositions relatives à la protection des données personnelles : les Pays-Bas,
l’Espagne100, et le Portugal101. L’article 10 de la Constitution des Pays-Bas du 17 février 1983
dispose ainsi en son paragraphe 2 que «la loi fixe des règles en vue de la protection de la vie
privée à l’égard de l’enregistrement et de la communication de données à caractère
personnel ». Concernant l’Espagne, c’est la Constitution du 27 décembre 1978 qui contient un
article 18-4 selon lequel « la loi limitera l’usage de l’informatique pour garantir l’honneur et
l’intimité personnelle et familiale des citoyens et le plein exercice de leurs droits ». Pour ce
qui est du Portugal, la Constitution du 2 avril 1976, révisée en 1982 puis dans sa version
consécutive à la modification du 8 juillet 1989 qui vise à la protection des données
personnelles. Trois Etats sur quinze avaient alors dans leur Constitution des dispositions pour
la protection des données personnelles. On aurait pu y voir une tradition constitutionnelle
commune dont la protection aurait été étendue aux autres Etats en tant que principe général du
droit communautaire102. Quoiqu’il en soit, la Cour de justice des communautés européennes
n’a pas eu à reconnaître un principe général de droit communautaire de la protection des
données personnelles, aucune affaire en ce domaine ne lui ayant été soumise avant les années
2000, faute de compétence communautaire certainement, même si la Cour protège les droits 99 CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969, p.419 100 Cf. Juan-Francisco Mestre Delgado, La protection des données personnelles en Espagne, RFDAP, n°89, janvier-mars 1999, 63 et s. 101 Fatima El Atmani, La protection des données à caractère personnel dans l’Union européenne, Thèse de droit privé soutenue à la faculté de droit de Montpellier en Septembre 1996. p. 307 et s. 102 L’exemple s’est présenté pour le PGD de confiance légitime, CJCE, Töpfer, 1978.
46
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
fondamentaux depuis le début des années 1970. Depuis l’adoption de la directive 95/46/CE du
24 octobre 1995, d’autres états ont pu prévoir des dispositions constitutionnelles protégeant
les données personnelles. Le Royaume-Uni en fait certainement parti puisque qu’outre-
manche, la loi est la Constitution103 et qu’ainsi, la loi de transposition de la directive
95/46/CE, loi de 1998 sur la Protection des Données, qui est entrée en vigueur le 1er mars
2000, a valeur constitutionnelle. En théorie ainsi, la CJCE pourrait un jour reconnaître le
principe général du droit communautaire de protection des données à caractère personnel. Le
cas ne s’est pas encore présenté, et les affaires soumises à la CJCE concernant la protection
des données personnelles n’ont pas données lieu à une telle affirmation. En tout état de cause,
la valeur de droit fondamental a été reconnue à la protection des données personnelles dans un
texte qui n’a pas encore valeur contraignante : la Charte des droits fondamentaux de l’Union
européenne.
2) Une consécration dans la Charte des droits fondamentaux de l’Union européenne.
a) l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
En prévoyant une disposition spécifique pour la protection des données à caractère
personnel, la Charte des droit fondamentaux de l’Union européenne se distingue de sa grande
sœur du Conseil de l’Europe qu’est la CEDH qui protège la vie privée et les données
personnelles par un seul article, l’article 8 CEDH104. Le texte de l’Union européenne
proclamé à Nice le 7 décembre 2000105 protège lui aussi le respect de la vie privée et
familiale, dans un article très proche de l’article 8 de la Convention européenne qui dispose
que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses
communications ». Dans une disposition distincte, la Charte des droit fondamentaux de
l’Union européenne garanti la protection des données à caractère personnel, ce qui peut être
interprété comme une autonomisation du droit à la protection des données personnelles par
rapport au droit au respect de la vie privée. En tout état de cause, les rédacteurs de la Charte
des droits fondamentaux ont pris en compte l’importance de ce droit qui méritait d’être
contenu dans une disposition indépendante, et se sont largement conformés à la mission de
103 Adage selon lequel « The constitution is the law ». 104 Comme nous l’avons vu précédemment, c’est par une jurisprudence dynamique que la Cour européenne a inclue la protection des données personnelles dans les garanties de l’article 8 CEDH. 105La Charte a été publié au Journal officiel des Communautés européennes en tant qu’accord interinstitutionnel. JOCE, n° C 364, 18 décembre 2000. Voir Guy Braibant, La Charte des droits fondamentaux de l’Union européenne. Témoignages et commentaires.Ed. du Seuil. 2001.
47
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
visibilité et de lisibilité qui leur était confiée par le mandat de Cologne106. Dans un article
composé de trois paragraphes qui a le grand mérite d’être synthétique et très facile d’accès, la
Charte des droits fondamentaux de l’Union européenne énonce que « 1. Toute personne a
droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent
être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne
concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le
droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le
respect de ces règles est soumis au contrôle d'une autorité indépendante. » Qu’apporte cet
article 8 de la Charte des droits fondamentaux ? Le premier apport de la Charte est
certainement de constituer une synthèse utile et accessible des principes généraux de la
protection des données personnelles en droit communautaire107. D’un point de vue matériel,
les trois paragraphes de l’article 8 de la Charte n’apportent rien, mais d’un point de vue
formel, ils permettent de saisir rapidement les principes généraux de la protection des données
personnelles. Nous pensons, comme M. Guillot, que « c’est justement parce que [la protection
des données] est confrontée à un trop plein de textes plutôt qu’à un vide juridique que les trois
paragraphes de l’article 8 s’avèrent utiles »108. Notons que si la Charte des droits
fondamentaux n’a pour l’heure pas de force juridique obligatoire, cela n’empêche aucunement
la protection des données personnelles selon les principes qu’elle énonce, d’autant plus que
comme le précisent les explications officielles de la Charte, l’article se fonde sur du droit
positif contraignant en la matière : l’article 286 TCE, la directive 95/46 CE, l’article 8 de la
CEDH, et la Convention n°108 du Conseil de l’Europe.
b) La constitutionnalisation de cet article.
La Charte des droits fondamentaux ne possède certes aucune force juridique
contraignante telle qu’elle a été proclamée à Nice en 2000, mais tout porte à croire que cet
état de fait sera modifié dans les années à venir, et les Etats membres semblent d’accord pour
aller en ce sens. Il semble en effet difficile que la Charte ne déploie pas à terme ses effets
106 Les membres de la Convention chargée de l’élaboration de la Charte des droits fondamentaux de l’Union européenne avaient en effet eu mandat, lors du Conseil européen de Cologne, de Il s’agissait précisément, selon les conclusions du Conseil, « d’ancrer l’importance exceptionnelle [des droits fondamentaux] et leur portée de manière visible pour les citoyens de l’Union ». Cf. Conclusions de la Présidence du Conseil européen de Cologne, décision du conseil concernant l’élaboration d’une Charte des droits fondamentaux de l’Union européenne, points 44 et 45 (Bull. UE n°6-1999, point I.18) et annexe IV, p. 43 (Bull. UE n°6-1999). 107 Philippe Ch. –A. Guillot, La personne, être social, La sphère privée. Personnalité et patrimoine. In La France face à la Charte des droits fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen, Bruylant, Bruxelles, 2005 694p. 108 Philippe Ch. –A. Guillot, La personne, être social, La sphère privée. Personnalité et patrimoine, Op. Cit. p.320.
48
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
juridiques dans une Union européenne qui cherche une légitimation politique et davantage de
crédit vis-à-vis des citoyens européens. Le traité établissant une Constitution pour l’Europe
signé par les vingt-cinq Etats membres de l’Union européenne intègre ainsi en son corps la
Charte des droits fondamentaux de l’Union européenne, qui en constitue la deuxième partie,
dont l’article II-68 est la reprise littérale de l’article 8 de la Charte. Pour le moment, l’avenir
du traité établissant une Constitution pour l’Europe est très flou, la France ayant refusé de le
ratifier lors du référendum du 29 mai 2005, et les Pays-Bas ayant voté dans le même sens le
1er juin 2005. Sur les vingt-cinq Etats membres, seuls deux ont refusé la ratification, quinze
ont ratifié le traité, et les huit restants ont suspendu ou reporté la question. Il reste que
quelques voies seulement sont envisageables : soit l’on ne pense plus possible la ratification
unanime du traité, et à moins de trouver une autre solution pour la Charte, elle n’aura pas
force contraignante ; soit l’on propose un nouveau traité constitutionnel avec la reprise de la
Charte, soit l’on espère une éventuelle consécration jurisprudentielle de la Charte, mais la
Cour de justice des communautés européennes n’est pas favorable à cette hypothèse pour le
moment. En tout état de cause, comme nous l’avons expliqué, l’apport de la Charte en matière
de protection des données personnelles est assez restreint, même si la visibilité et
l’intelligibilité de la protection mise en œuvre par le droit communautaire ne sont pas rien.
Paragraphe second. Les questions inhérentes à la fondamentalité du droit à
la protection des données personnelles en droit communautaire.
Le droit à la protection des données personnelles nous interroge sur sa conciliation
avec la liberté d’expression, autre droit fondamental, qui peut faire l’usage de données à
caractère personnel pour s’exercer. De même, il devra être concilié avec des libertés
économiques, à moins qu’ils ne priment sur elles ? Les potentialités de la reconnaissance de
ce droit par la Communauté européenne, droit reconnu également par l’article 8 de la CEDH
et la convention 108 du Conseil de l’Europe, semblent larges.
A. La nécessaire conciliation avec d’autres droits et libertés fondamentaux.
1) Liberté d’expression contre protection des données personnelles
La question se pose de savoir ce qu’il en est de la confrontation du droit à la protection
des données personnelles avec le droit à la liberté d’expression. En effet, on comprend très
49
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
bien qu’une personne usant de sa liberté d’expression pourrait avoir à utiliser, à divulguer, des
données personnelles en portant atteinte à la protection qui est due aux individus en vertu du
droit communautaire. Que faire alors ? La protection des données personnelles doit-elle
l’emporter sur la liberté d’expression, ou l’inverse ? La question est d’autant plus délicate que
les deux droits ont une valeur juridique identique. Reconnu par l’article 10 de la Convention
européenne des droits de l’homme, par la Cour de justice des communautés européennes par
le biais de la technique des principes généraux du droit communautaire, et plus récemment
par l’article 11 de la Charte des droits fondamentaux intitulé « liberté d’expression et
d’information ». La Cour de justice a eu à juger d’une atteinte à la protection des données
personnelles par une personne invoquant sa liberté d’expression dans une affaire Bodil
Lindquist qui a donné lieu à un arrêt de la CJCE du 6 novembre 2003109. En l’espèce,
Madame Lindquist, paroissienne et formatrice bénévole de l’Eglise protestante de Suède,
avait créé un site Internet de son ordinateur personnel pour permettre aux paroissiens
préparant leur confirmation d’obtenir facilement les informations qu’ils souhaitaient
connaître. Un lien avait été établi avec le site de l’Eglise protestante de Suède, et des
poursuites furent engagées sur le fondement de la loi suédoise de transposition de la directive
95/46/CE. Pour sa défense, Madame Lindquist invoquait le droit à la liberté d’expression. La
Cour juge que « Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes,
une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et
libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la
convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales,
signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales
chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un
juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par
l'ordre juridique communautaire ». Est alors souligné que le droit communautaire de la
protection des données personnelles ne vise pas à empêcher la liberté d’expression, mais un
juste équilibre entre les deux droits doit être assuré.
2) Libertés économiques confrontées à la protection des données personnelles.
La question d’une éventuelle hiérarchie entre les droits fondamentaux et les libertés
économiques que reconnaît le droit communautaire pose toujours problème à la doctrine110.
109 CJCE 6 novembre 2003 Bodil Lindquist, Aff. C-101/01, Rec. I-12992. 110 Théodore Georgopoulos, Libertés fondamentales communautaires et droits fondamentaux européens : la guerre n’aura pas lieu, Les Petites Affiches, 8 janvier 2004, pp. 8-14
50
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Et pour cause ! La question se pose de savoir comment le juge communautaire doit agir
lorsqu’un droit fondamental se trouve confronté à une liberté économique fondamentale. Dans
le domaine de la protection des données personnelles, où la directive 95/46/CE concilie
protection des données et libre circulation de ces données, la question peut se poser de
manière accrue. Faute d’affaire ayant opposé le droit fondamental à la protection des données
personnelles à une liberté fondamentale, intéressons nous à la jurisprudence communautaire
concernant la confrontation entre droits fondamentaux et libertés fondamentales que nous
pourrons transposer par analogie à l’hypothèse où la protection des données personnelles
serait en cause.
La confrontation d’un droit fondamental à une liberté fondamentale nous rappelle
l’affaire de la guerre des fraises111, où les producteurs français empêchant la libre circulation
de marchandises espagnoles invoquaient leur liberté d’expression et de réunion. Relevant que
la liberté de circulation en cause ainsi que les droits fondamentaux n’étaient pas absolus, la
CJCE, s’intéressant à l’intention de l’Etat français, stigmatise son abstention et fait prévaloir
la libre circulation des marchandises.
Plus récemment, et dans un sens contraire, la Cour a eu à juger d’une espèce à plusieurs
égards proche de celle de la guerre des fraises, qui a donnée lieu à un arrêt Schmidberger
rendu le 12 juin 2003112 . Dans cette affaire où l’Etat autrichien a décidé de fermer l’autoroute
du Brenner pour permettre l’organisation d’un rassemblement d’une association de défense de
l’environnement, la société de transport Schmidberger invoquant une atteinte à la libre
circulation des marchandises se voit opposer le droit fondamental de la liberté d’expression et
de réunion. Le juge communautaire rappelle d’une part que la libre circulation des
marchandises constitue l'un des principes fondamentaux dans le système du traité, mais
qu’elle peut, sous certaines conditions, faire l'objet de restrictions113. D’autre part, il insiste
sur le fait que « si les droits fondamentaux en cause dans l'affaire au principal sont
expressément reconnus par la CEDH et constituent des fondements essentiels d'une société
démocratique, il résulte toutefois du libellé même du paragraphe 2 des articles 10 et 11 de
cette convention que les libertés d'expression et de réunion sont également susceptibles de
faire l'objet de certaines limitations justifiées par des objectifs d'intérêt général »114. Ainsi, la
situation présente la particularité de voir s’opposer des droits et libertés situés au même
111 CJCE 9 décembre 1997, Commission c. France, C-265/95, Rec. P.I-6959. 112 CJCE 12 juin 2003, Schmidberger, Aff. C-112/00, obs. A. Rigaux et D. Simon, Europe 2003, n°8-9 ; RTDH 2004, 435, note C. Vial ; JDI, 2004, 545, obs. R.Mehdi 113 CJCE Schmidberger, pt. 78. 114 CJCE Schmidberger, pt. 79.
51
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
niveau dans la hiérarchie des normes, et dont la protection n’est pas absolue. Le juge aurait pu
établir une hiérarchie entre les droits fondamentaux et les libertés fondamentales
communautaires, mais de manière plus judicieuse, il les a articulés « en les conciliant plus
qu’en les hiérarchisant, les impératifs liés à la sauvegarde d’une liberté communautaire
fondamentale (la libre circulation des marchandises) et de droits fondamentaux […] »115. La
Cour conclu alors à la non violation du droit communautaire en soulignant que les autorités
nationales, compte tenu du large pouvoir d'appréciation qui doit leur être reconnu en la
matière, ont raisonnablement pu considérer que l'objectif légitimement poursuivi par ledit
rassemblement ne pouvait pas en l'occurrence être atteint par des mesures moins restrictives
des échanges intracommunautaires. Quoiqu’il en soit, l’on peut ajouter qu’en raison de
l’existence d’une directive d’harmonisation concernant les données personnelles, il ne devrait
plus y avoir lieu à une confrontation entre la protection des données personnelles et une des
libertés fondamentales communautaires, la protection devant alors être considérée comme
équivalente dans tous les Etats membres aux fins de permettre la libre circulation des données
sur tout le territoire de l’Union européenne.
B. La question des rapports entre droit communautaire et droit de la CEDH.
1) La question de l’adhésion de l’Union européenne à la CEDH.
Dans son avis 2/94 rendu le 28 mars 1996116, la Cour de justice des communautés
européennes constate que l’adhésion de la Communauté européenne à la Convention
européenne des droits de l’homme nécessite une modification préalable du traité instituant
une Communauté européenne117. « Une telle modification du régime de la protection des
droits de l’homme dans la Communauté, dont les implications institutionnelles seraient
également fondamentales tant pour la Communauté que pour les Etats membres, revêtirait une
envergure constitutionnelle et dépasserait donc par sa nature les limites de l’article 235. Elle
ne serait être réalisée que par la voie d’une modification du traité ». La question de l’adhésion
de l’Union ou de la Communauté peut légitimement se poser pour la protection des données
personnelles à partir du moment où, comme nous l’avons vu, l’article 8 de la Convention est
interprété par la Cour européenne des droits de l’homme comme protégeant les données à
115 Rostane Mehdi, Op. Cit. 116 CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté européenne à la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Rec. I. 1759. RMUE, 1996, p.220, F. Berrod ; JDI, 1997, p. 516, V. Constantinesco; CDE, 1996, p.555, O. de Schutter et Y. Lejeune ; Rec. Dalloz-Sirey, 1996, Jur., p.449, J.-F. Renucci ; Europe, juin 1996, p.624, D. Simon ; RTDE, 1996, p. 467, P. Wachsmann. 117 Voir notamment D. Simon, « L’avis 2/94 du 28 mars 1996, sur l’adhésion de la communauté à la convention européenne des droits de l’Homme », Europe, Chronique, juin 1996, p.1 s.
52
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
caractère personnel. Le débat a été relancé récemment. La nécessité de l’adhésion, loin d’être
oubliée ou mise de côté par la proclamation de la Charte de l’Union européenne, est au
contraire revenue au centre des débats, et de très nombreux auteurs vont en ce sens. La
proclamation de la Charte des droits fondamentaux relance le débat quant à la nécessité de
l’adhésion de l’Union européenne à la Convention européenne des droits de l’homme.
L’adhésion semble pour certains être la clé qui permettra de garantir l’uniformité requise dans
l’interprétation et l’application de dispositions similaires de la Convention du Conseil de
l’Europe et de la Charte, dont l’article 8 protège les données personnelles, et par conséquent
d’assurer l’efficacité du système de Strasbourg. Le traité établissant une Constitution pour
l’Europe prévoit, que l’Union doit adhérer à la Convention européenne des droits de
l’homme. En effet, l’article I-9(2) du traité établissant une Constitution pour l’Europe habilite
l’Union à adhérer à la Convention européenne des droits de l’homme118. Tout dépendra
désormais de la ratification ou non du traité établissant une Constitution pour l’Europe dont
on sait qu’elle est largement remise en question depuis les refus français et hollandais en
2005. Malgré tout, l’intérêt d’une telle adhésion paraît très réduit aujourd’hui d’un point de
vue matériel, étant donné que la Cour européenne elle-même reconnaît que l’Union
européenne protège les droits fondamentaux de manière satisfaisante119, et qu’il est ainsi
conféré une présomption de conventionalité aux actes communautaires par la CEDH120. D’un
point de vue formel, la situation est toute autre, et une adhésion de l’Union à la CEDH
permettrait certainement d’ouvrir les recours aux particuliers désireux de faire valoir leurs
droits alors que la Cour de justice des communautés européennes a fermement refusé de
prendre une telle responsabilité121. Mais comme nous le verrons, pour ce qui est de la
protection des données personnelles, si les voies de recours offertes aux particuliers sont
plutôt restreintes devant le juge, d’autres moyens sont mis en œuvre pour leur permettre de
faire valoir leurs droits.
118 Cet article dispose : « L'Union adhère à la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales. Cette adhésion ne modifie pas les compétences de l'Union telles qu'elles sont définies dans la Constitution ». 119 CEDH 30 juin 2005, Bosphorus contre Irlande Req. n° 45036/98. 120 CEDH Bosphorus contre Irlande, § 165 : « La Cour estime pouvoir considérer que la protection des droits fondamentaux offerte par le droit communautaire est, et était à l'époque des faits, « équivalente » (au sens du paragraphe 155 ci-dessus) à celle assurée par le mécanisme de la Convention. Par conséquent, on peut présumer que l'Irlande ne s'est pas écartée des obligations qui lui incombaient au titre de la Convention lorsqu'elle a mis en œuvre celles qui résultaient de son appartenance à la Communauté européenne (paragraphe 156 ci-dessus) ». 121 CJCE, 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00 P, Rec. I-66-77. Europe, octobre 2002, p.7, note F. Berrod et F. Mariotte; Rec. Dalloz, 2002 Jur. P.2825, P. Cassia ; AJDA, 2002, p.868 ; JDT. Droit européen, n°92, 2002, p.199.
53
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) La question de l’adhésion de l’Union européenne à la convention 108 du Conseil de
l’Europe.
Avant que la Communauté européenne n’adopte la directive 95/46/ CE, l’idée avait été
avancée d’adhérer à la Convention n°108 du Conseil de l’Europe. Cette convention qui
constitue le premier texte international de protection des données à caractère personnel
contraignant entré en vigueur en 1985 a directement inspiré la directive que la Communauté
européenne a adopté en 1995, alors pourquoi ne pas avoir adhéré à ce texte du Conseil de
l’Europe qui présente l’avantage d’être ouvert à la signature d’un plus grand nombre d’Etats
européens, quarante et un précisément, et donc d’avoir un champ d’application rationae loci
potentiellement plus large. Demandons nous au préalable si la Communauté est en mesure
d’adhérer à une telle convention, si elle peut ratifier un traité international relevant d’une autre
organisation internationale, surtout lorsque celui-ci est soumis au contrôle d’un organe
juridictionnel spécifique? L’ordre juridique communautaire en tant que tel n’exclut pas
l’association de la Communauté à un mécanisme de contrôle juridictionnel fondé sur un
accord international. En effet, le 14 décembre 1991, la CJCE avait, dans un avis 1/91122 sur
l’espace économique européen, expressément reconnu que la Communauté pouvait conclure
des accords internationaux prévoyant l’existence d’autorités juridictionnelles externes dont les
décisions auraient force obligatoire. En outre, la Cour de Luxembourg a accepté en 1994123 la
possibilité pour la Communauté d’adhérer à l’Organisation mondiale du commerce, dont le
mécanisme de règlement des conflits prévoit également des décisions liant les parties dans des
domaines qui appartiennent même aux compétences fondamentales de la Communauté, tels
que la libre circulation des biens et des services, ou le droit de la concurrence. Ainsi, rien ne
s’opposerait à ce que la Communauté adhère à la Convention 108 du Conseil de l’Europe.
En ce sens, la Commission européenne présentait, le 13 septembre 1990, une
« recommandation de déclaration du Conseil concernant l’ouverture de négociations en vue
de l’adhésion des Communautés européennes à la convention du conseil de l’Europe pour une
protection des personnes à l’égard du traitement automatisé des données à caractère
personnel »124. Le but était évidemment de mettre en oeuvre des règles communautaires
compatibles avec celle de la Convention du Conseil de l’Europe, et d’être aussi compatible
avec les législations nationales qui avaient déjà ratifié, ou étaient sur le point de ratifier la
Convention 108. A partir du 24 octobre 1995 et l’adoption du texte communautaire de
122 Cf. CJCE, Avis 1/91 du 14 décembre 1991. Recueil 1991 I.6079 (chapitres 39 et 40). 123 Cf. CJCE, Avis 1/94 du 15 novembre 1994. Recueil 1994 I.5276. 124 COM (90) 314 fin. Du 13 septembre 1990, p.109 et s.
54
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
référence en matière de protection des données personnelles, on pouvait s’interroger sur
l’utilité d’une telle adhésion de la Communauté européenne à la Convention 108, d’autant
plus que le texte communautaire reprend clairement les principes posés par la Convention en
les précisant et en les amplifiant. Manifestant sa volonté de voir les communautés
européennes adhérer à sa Convention n°108 sur la protection des personnes à l’égard du
traitement de données personnelles, le Conseil de l’Europe a adopté des amendements à la
Convention 108 pour aller en ce sens125. La communauté peut dès lors adhérer à la
Convention 108, mais avant toute chose il est nécessaire que tous les Etats membres de la
Communauté signent en ce sens, et ce n’est pas encore le cas126.
Section 2 : Des définitions et un champ d’application visant à favoriser une
protection étendue.
Les définitions des objets de la protection et des personnes concernées telle qu’elle
ressort de la directive 95/46/CE et des autres textes s’y référant est plutôt large, et permet un
champ d’application matériel sensé couvrir l’ensemble des situations où un traitement de
données personnelles est effectué dans le champ d’application du droit communautaire.
(Paragraphe 1er). Néanmoins, la protection des données personnelles par le droit
communautaire ne couvre pas certains domaines qui certes ne relèvent pas pour la plupart du
pilier communautaire, mais mériterait que les données personnelles y soient protégées de la
même façon. (Paragraphe 2nd).
Paragraphe premier : Des dispositions pour un haut niveau de protection.
Les notions de « données personnelles », de « traitement de données personnelles » et
de « fichiers de données personnelles » telles qu’elles doivent être entendues au sens du droit
125 Amendements à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108) permettant l'adhésion des Communautés Européennes adoptés par le Comité des ministre à Strasbourg, le 15 juin 1999. 126 La liste des pays ayant acceptée cette adhésion est consultable à l’adresse http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_donn%E9es/documents/instruments_juridiques_internationaux/Liste_notifications.asp#TopOfPage.
55
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
communautaire sont précisément définies dans la directive 95/46/CE127. L’acception large qui
est retenue pour chacune de ces notions semble aller dans le sens d’une protection élevée des
données personnelles dans la Communauté européenne qui permet sans aucun doute un
champ d’application tout aussi étendu.
A) Des définitions vastes.
1) La définition des objets de la protection.
a) la notion de données à caractère personnel.
Les termes « données personnelles » nous semblent plus adaptés que ceux de
« données nominatives » qui étaient utilisés pas la loi française de 1978 même si la différence
n’est que terminologique128. La notion communautaire est bien plus moderne et adaptée aux
évolutions technologiques et la loi française du 6 août 2004 transposant la directive reprend
exactement les mêmes termes.
Premièrement, la directive définit la notion de donnée personnelle comme « toute
information concernant une personne physique identifiée ou identifiable » en son article 2 a).
La Convention 108 du Conseil de l’Europe avait une définition bien plus succincte en
qualifiant de donnée à caractère personnel «toute information concernant une personne
physique identifiée ou identifiable». Par rapport au texte du Conseil de l’Europe, la directive
95/46 CE a le mérite de préciser dans la suite de l’article 2 a), qu’ « est réputée identifiable une
personne qui peut être identifiée, directement ou indirectement, notamment par référence à un
numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle ou sociale ». Les précisions
apportées par la directive communautaire vont dans le sens d’une protection élevée et plus
particulièrement du considérant 11 de la directive en vertu duquel les dispositions qu’elle
contient « précisent et amplifient [les principes] qui sont contenus dans la convention, du 28
janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel »129. La directive évite de définir la notion
d’information, ce qui implique que toute information relative à un individu est visée, quelque
127Les directives sectorielles 97/66/CE et 2002/58/CE renvoient à ces mêmes définitions, ainsi que les autres textes communautaires prévoyant des dispositions concernant la protection des données personnelles. 128 M-C Ponthoreau, « La directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », RFDA janv-févr. 1997 pp.125-137. 129 A ce propos, la Convention 108 du Conseil de l’Europe n’apportait aucune précision, et le rapport explicatif de la Convention explique simplement que l’on parle de données personnelles lorsque les personnes sont facilement identifiables.
56
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
soit sa forme130 et il est satisfaisant que les sons et images soient concernés131 ce qui permet
en soi de protéger largement les personnes concernées. Le droit communautaire est clair sur le
fait que l’information doit concerner une personne physique, et exclut donc les personnes
morales de la protection qu’il garanti132. La précision de la directive selon laquelle
l’identification de la personne peut être directe ou indirecte est révélatrice encore une fois du
haut niveau de protection souhaité dans la Communauté. La protection ne s’applique donc pas
seulement aux informations qui concernent directement une personne comme le nom ou le
domicile, mais également celles qui de manière indirecte constituent des éléments permettant
d’identifier clairement une personne et qui relèvent souvent des nouvelles technologies : on
peut citer un numéro de téléphone, une adresse email, un numéro de carte bancaire ou encore
de données propres à la personne comme sa voix, ses empreintes digitales, son ADN ou
même ses données biométriques133. Ensuite, il ressort de la réglementation communautaire
que la précision selon laquelle la personne physique doit être identifiée ou identifiable, doit se
lire à la lumière du considérant n°26 de la directive qui énonce que « pour déterminer si une
personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être
raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre
personne, pour identifier ladite personne ». On s’intéresse alors à la situation des données
rendues anonymes auxquelles les principes de la protection communautaire ne s’appliquent
pas, toujours en conformité avec le but de protéger les personnes physiques identifiées ou
identifiables par le biais de données les concernant, mais tout en souhaitant permettre la libre
circulation des données lorsque aucun risque n’est avéré.
b) la notion de traitement de données à caractère personnel.
Ensuite, la définition retenue de la notion de traitement de données à caractère
personnel est également très large, dans un but de protection englobante et élevée dans la
Communauté européenne. Le traitement de données personnelles est défini par l’article 2 b)
de la directive de manière à ce que toute opération portant sur des données personnelles soit
130 cf. M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet. « La protection des données personnelles en droit communautaire », JDT doit européen, 1997 n°40, 41 et 42. 131 Considérant 14 de la directive 95/46 CE du 24 octobre 1995. 132 La Convention 108 du Conseil de l’Europe prévoit pour sa part la possibilité pour les Etats signataires d’appliquer la Convention aux « groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique ». Même si la directive 95/46 ne prévoit pas une telle possibilité puisqu’elle ne concerne que les personnes physiques, rien n’empêche un Etats d’établir une telle extension de cette protection à des personnes morales dans son droit national. 133 Voir notamment Claudine Guerrier, Protection des données personnelles et applications biométriques en Europe, Communication commerce électronique, 1er juillet 2003, n°7, pp.17-22.
57
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
visée : « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés
automatisés et appliquées à des données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme
de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage,
l'effacement ou la destruction ». L’apport essentiel de cette définition novatrice et de ne pas
établir de distinction de régime entre les traitements automatisés et les traitements non
automatisés, alors que de nombreuses législations s’appliquaient de manière distincte, comme
la loi « informatique et libertés » de 1978 qui prévoyaient des obligations restreintes pour les
fichiers manuels. La protection communautaire dépasse là encore celle offerte par la
Convention n°108 dès lors que celle-ci ne s’applique qu’aux traitements automatisés des
données à caractère personnel comme son intitulé l’indique. Les rédacteurs de la directive
explicitent la raison d’une équivalence de régime entre traitements automatisés et traitements
non automatisés au considérant n°27 en affirmant que le champ de la protection ne doit pas
dépendre de la technique utilisée sauf à créer de graves risques de détournement.
Par ailleurs, la définition communautaire des traitements de données personnelles est
excessivement large en considérant qu’une seule opération est susceptible de constituer un
traitement, et la liste contenue à l’article 2 b) est largement complète. La protection de la
personne concernée vise alors tout le processus du traitement à partir de la collecte. La
Convention 108 du Conseil de l’Europe, même si elle assure une protection large, ne va pas
aussi loin que la directive dans les différentes opérations considérées comme des traitements,
et ne vise pas par exemple la collecte de données134.
c) la notion de fichier de données à caractère personnel (fichier).
Certains auteurs se sont félicité du fait que la directive 95/46 CE prenne le soin de
définir la notion de fichier afin qu’elle ne soit pas confondue avec le traitement de données
personnelles135. La directive défini ainsi le fichier de la manière suivante : « tout ensemble
structuré de données à caractère personnel accessibles selon des critères déterminés, que cet
ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
La définition retenue par la Convention n°108 est équivalente, la seule différence apportée par
la directive est de préciser que l’ensemble d’informations doit être structuré pour constituer
134 Article 2 c) de la convention n°108 : «traitement automatisé» s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion 135 En ce sens, voy. David Martin, « La directive 95/46 CE (protection des données) et sa transpositions en droit français. Gaz. Pal. 1998, pp.601-613.
58
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
un fichier. Cette définition aide à la clarté de la protection concernant le traitement manuel de
données personnelles, et le considérant n°27 permet de comprendre que si la directive
s’applique indistinctement aux traitement automatisés et aux traitements non automatisés de
données personnelles, pour ce qui est des traitements non automatisés, ses dispositions ne
s’appliquent qu’aux fichiers, et non pas aux dossiers non structurés. Cette définition
empêchera les nombreux critiques de la directive 95/46/CE de considérer que son champ
d’application est trop large en tous points. Ici, le législateur communautaire, par un effort de
clarté permet de rendre la protection des personnes physiques à l’égard du traitement non
automatisé des données personnelles moins illusoire, en le limitant aux fichiers, et en écartant
les dossiers non structurés, tout en retenant une conception large de la notion de fichier de
données personnelles, qui ne couvre pas seulement les fichiers compacts, mais également
ceux décentralisés ou répartis de manière fonctionnelle ou géographique.
2) Les définitions relatives aux personnes concernées.
A l’instar des définitions concernant les objets de la protection, les définitions
concernant les personnes en cause : « responsable du traitement », « sous-traitant », « tiers »,
« destinataire des données » et « consentement de la personne concernée » ont pour ambition
de permettre une protection étendue des données personnelles.
a) Le responsable du traitement
La définition du responsable du traitement est essentielle dès lors qu’une fois convenu
que l’on se trouve en présence d’un traitement de données personnelles, il faut pouvoir
déterminer la personne qui devra respecter les règles et obligations découlant de la
réglementation relative à la protection des données personnelles. Selon l’article 2 d) de la
directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données, le
responsable du traitement est « la personne physique ou morale, l'autorité publique, le service
ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les
moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du
traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou
communautaires, le responsable du traitement ou les critères spécifiques pour le désigner
peuvent être fixés par le droit national ou communautaire ». Le texte communautaire reprend
ici à quelques modifications près les termes de l’article 2 d) de la Convention 108 du Conseil
de l’Europe à la différence que la Convention visait le « maître du fichier ». Le texte
communautaire est alors un peu plus large, et cela est dû à la définition du traitement de
59
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
données à caractère personnel retenue par le droit communautaire. La loi française du 6 août
2004 modifiant la loi de 1978 et transposant la directive 95/46/CE reprend ces termes. La
définition communautaire tente de couvrir toutes les catégories de responsables possibles :
personne physique ou morale, autorité publique ou non, responsable seul ou conjointement.
L’amplitude de cette définition vise à notre sens à ce qu’un responsable puisse toujours être
déterminé et soumis aux obligations lui incombant en vertu du droit communautaire dès lors
qu’il y a traitement de données à caractère personnel. En tout état de cause, le responsable du
traitement est celui qui détermine les finalités et les moyens du traitement.
b) Le sous-traitant
Il est satisfaisant que la réglementation communautaire ne se limite pas à désigner le
seul responsable du traitement mais également le sous traitant, ce qui permet d’établir ainsi
une responsabilité à différents degrés et participe d’une meilleure efficacité de la protection
des individus à l’égard du traitement des données personnelles. Cette notion de sous-traitant,
qualifié malencontreusement de « sous-traitement » par la directive est une des nouveautés
par rapport aux dispositions contenues dans la Convention 108 du Conseil de l’Europe. Le
législateur communautaire énonce que le sous-traitant est « la personne physique ou morale,
l'autorité publique, le service ou tout autre organisme qui traite des données à caractère
personnel pour le compte du responsable du traitement ». Il s’agit donc d’une personne ou
d’un organisme qui même s’il dispose des moyens d’effectuer le traitement de données
personnelles, ne peut pas en déterminer les finalités étant entendu qu’il agit pour le compte du
responsable du traitement. Une telle notion permet une protection élevée en ce sens qu’elle
servira à obliger toute personne qui agit pour le compte du responsable du traitement,
personne juridiquement distincte, à respecter les obligations relatives à la protection des
personnes physiques à l’égard du traitement des données personnelles telles qu’énoncées par
le droit communautaire. De manière satisfaisante, le responsable du traitement ne peut
désigner un sous-traitant pour soustraire le traitement de données personnelles aux obligations
communautaires auxquelles il doit se conformer.
c) Le tiers
Autre nouveauté de la directive communautaire du 24 octobre 1995 par rapport
notamment à la Convention 108, la notion de tiers qui représente « la personne physique ou
morale, l'autorité publique, le service ou tout autre organisme autre que la personne
concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous
l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les
60
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
données »136. Cette notion a pour intérêt, toujours dans une optique de protection élevée des
données personnelles, de garantir à la personne concernée certains droits même vis-à-vis
d’une personne qui n’est ni le responsable du traitement ni un sous-traitant, notamment un
droit d’information. Le tiers peut être destinataire des données, mais ce n’est pas toujours le
cas, c’est pourquoi la directive « données personnelles » prend le soin de définir à part la
notion de destinataire des données.
d) Le destinataire des données.
Le destinataire des données est « la personne physique ou morale, l'autorité publique,
le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non
d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le
cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des
destinataires »137. La nouvelle distinction peut paraître par trop subtile et le destinataire des
données sera le plus souvent un tiers. Malgré tout, la directive vise là encore à couvrir toutes
les situations possibles pour que les principes qu’elles prévoient s’appliquent, à des degrés
différents certes, à toutes les catégories de personnes, à toutes les situations envisageables.
e) Le consentement de la personne concernée.
La seule définition concernant directement la personne concernée par le traitement de
données est relative à son consentement, qui est défini à l’article 2 e) de la directive de 1995
comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne
concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un
traitement ». La directive a le grand mérite de définir le consentement de la personne
concernée là où le législateur français est resté timide138 tout comme le Conseil de l’Europe
dans sa Convention 108139. Ainsi, il devient théoriquement impossible qu’une personne fasse
l’objet d’un traitement de données personnelles la concernant sans qu’elle ait pu exprimer son
consentement, de manière libre donc sans pression, on pense là aux pressions économiques
qui pourraient être exercée ; de manière spécifique, soit sur des traitements précis avec des
finalités et un responsable déterminés, et enfin informée ce qui laisse prévoir certains des
droits dont la personne disposera pour tout traitement de données personnelles, notamment
des droits d’information.
136 Article 2 f) de la directive 95/46 CE. 137 Article 2 g) de la directive 95/46 CE. 138 La loi informatique et libertés de 1978 ne contient pas de définition du consentement de la personne concernée. 139 Même si différentes recommandation du Comité des ministres du Conseil de l’Europe y ont recourt. En particulier la recommandation R (97) 5 sur la protection des données médicales.
61
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
B) Un champ d’application large.
1) Le champ d’application matériel.
a) Un champ d’application étendu.
En définissant le champ d’application de la protection des données personnelles en
droit communautaire en énonçant qu’elle « s'applique au traitement de données à caractère
personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à
caractère personnel contenues ou appelées à figurer dans un fichier »140 la directive 95/46 CE
du 24 octobre 1995 couvre l’ensemble des traitements de données personnelles. La
détermination du champ d’application de la réglementation communautaire dépend alors de
deux conditions cumulatives141. D’une part, il faut répondre à la question de savoir si l’on est
en présence de données personnelles, condition première qui si elle n’est pas réalisée,
empêche d’aller plus loin. D’autre part, si la réponse à la première question est affirmative, il
faut se demander si ces données à caractère personnel font l’objet d’un traitement, et si oui,
l’existence d’un traitement de données personnelles entraîne l’application de la directive
95/46/CE. Les définitions explicitées plus tôt dans notre étude permettent de deviner
l’exceptionnelle étendue du champ d’application de la protection assurée par le droit
communautaire : traitement de données personnelles effectué par une personne physique, une
personne morale, traitement automatisé ou non, relevant du secteur public ou privé... Ce
champ d’application est bien plus large que celui de la Convention du Conseil de l’Europe qui
s’applique aux « fichiers et aux traitements automatisés de données à caractère personnel dans
les secteurs public et privé »142, et cela est lié à la définition plus stricte retenue pour la notion
de traitement de données à caractère personnel.
La directive étant rédigée de manière technologiquement neutre, c’est à dire sans être
applicable distinctement selon les technologies utilisées pour le traitement des données,
l’étendue du champ d’application de la protection assurée n’en est que renforcée. En effet,
tout traitement de données personnelles est alors concerné, que la technologie utilisée soit
connue ou non encore existante, et même lorsque le traitement est effectué manuellement.
En outre, nous pouvons nous interroger sur le sort réservé aux données relevant d’un fichier
non automatisé. La directive du 24 octobre 1995 s’applique alors aux données « contenues ou
appelées à figurer dans un fichier ». Or, le sort de toute donnée collectée n’est-il pas à terme
de figurer dans un fichier ? Et au surplus, comment peut-on savoir ou exclure au moment de
140 Article 3.1 de la directive 95/46 CE. 141 Cf. Jean Frayssinet in Droit de l’informatique et de l’Internet, Op. Cit. p.72 et s. 142 Article 3.1 de la Convention 108 du Conseil de l’Europe.
62
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
la collecte de données que celles-ci soient appelées à être contenues dans un fichier ? Il
semble que le champ d’application sera encore étendu par cette imprécision.
b) Une application qui couvre le droit communautaire.
Le paragraphe second de l’article 3 de la directive 95/46 CE qui définit donc le champ
d’application du texte s’attache à définir le champ d’application matériel non du point de vue
de la nature du traitement en cause mais d’un point de vue juridique. En effet, il énonce que la
directive « ne s'applique pas au traitement de données à caractère personnel mis en œuvre
pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit
communautaire ». Avant d’étudier les domaines d’activité qui sont hors du champ
d’application de la directive qui sont énoncés à la suite de son article 3.2, intéressons nous à
son champ d’application positif, qui par une reformulation a contrario de la première phrase
couvre tout traitement de données personnelles mis en œuvre pour l’exercice d’activités qui
relèvent du champ d’application du droit communautaire. Applicable dans les domaines
couverts par le droit communautaire et rien que dans ces domaines, plutôt que de considérer
que le champ d’application est alors limité, nous choisirons d’adopter une position relevant
que le champ d’application du droit communautaire n’est pas rien et qu’il est même en
constante extension au gré des domaines de compétence que décident de lui attribuer les
Etats. Il faut ici rappeler que le traité de Maastricht a inauguré une structure en piliers pour
l’Union européenne qui comprend alors un premier pilier qui est la Communauté européenne,
qui fonctionne sur un mode supranational avec des institutions et organes propres qui crée un
droit spécifique : le droit communautaire, marqué par une réelle intégration. Un second pilier
concernant la politique étrangère et de sécurité commune (PESC) et un troisième consacré à la
justice et aux affaires intérieures (JAI) devenu le pilier de la « coopération policière et
judiciaire en matière pénale » sont également chapeautés par l’Union. Ces deux derniers
piliers fonctionnent sur le mode intergouvernemental, par le biais de négociations et décisions
entre les Etats membres et ne sont donc pas couverts par le champ d’application du droit
communautaire. Voyons alors ce qui est compris dans le champ d’application communautaire.
En tant qu’organisation internationale, la Communauté ne dispose pas de compétences en soi
mais ne bénéficie théoriquement que de compétences d’attribution. L’alinéa premier du traité
instituant la Communauté européenne va en ce sens en disposant que « la Communauté agit
dans les limites des compétences qui lui sont conférées et des objectifs qui lui sont assignés
dans le présent traité ». Or, on constate que les domaines relevant de la compétence
communautaire n’ont cessé d’augmenter au fil des traités, et de plus en plus d’activités qui
relevaient à l’origine des deuxième et troisième piliers ont été communautarisées. Comme le
63
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
souligne le professeur Jean Frayssinet, « la tendance est à l’extension du champ
communautaire dans des domaines comme la sécurité publique, la défense, le droit pénal, ce
qui amènera à reconsidérer ce point de la directive en fonction de l’avènement de textes
particuliers »143. En outre, dernier signe de cette communautarisation de domaines ne relevant
pas du pilier communautaire, le traité établissant une Constitution pour l’Europe prévoit la
fusion des trois piliers dans un ensemble dénommé « droit de l’Union européenne ».
2) Le champ d’application territorial.
Quant à son champ d’application territorial la directive précise en son article 4 qui
concerne le droit national applicable le critère de l’établissement du responsable du
traitement. L’établissement doit être entendu comme le lieu d’exercice effectif d’une activité
au moyen d’une installation stable, quelle qu’en soit la forme juridique. Dans l’hypothèse où
un même responsable d’un traitement de données personnelles est établi dans plusieurs Etats
membres, la directive prévoit qu’il doit assurer le respect des obligations lui incombant en
vertu du droit national de chacun des Etats dans lequel il est établi. Cette disposition ne
devrait avoir que peu d’impact sur les régimes différents qui seraient appliqués dans chacun
des Etats membres de la Communauté européenne à partir du moment où en transposant la
directive 95/46/CE, les Etats membres devraient avoir des lois nationales relativement
proches concernant la protection des données personnelles. Il devient ainsi impossible pour un
responsable de traitement de données personnelles établi dans un Etat membre de la
Communauté d’échapper au respect de la réglementation communautaire.
L’alinéa b de l’article 4 prévoit la possibilité où la loi nationale peut s’appliquer à des
traitements de données personnelles dans le cas où le responsable du traitement n’est pas
établi sur le territoire de l’Etat membre en vertu du droit international public, ce qui confère
un effet extraterritorial à la directive.
Enfin, pour permettre la protection la plus large pour les personnes concernées, est prévu un
cas où un responsable non établi dans un Etat membre mais qui utilise des moyens situés dans
un Etat membre pour le traitement des données personnelles, se voit appliquer le droit
communautaire contenu dans la directive du 24 octobre 1995.
143 Jean Frayssinet, Op. Cit. p.73 Dans le même sens, David Martin, Op. Cit. constate que « l’histoire de la Communauté et de l’Union européenne montre que la tendance est inexorablement à la communautarisation progressive de domaines jusqu’à présent réservés à la compétence nationale ».
64
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Paragraphe second : Une protection élevée mais néanmoins perfectible.
Quand bien même la directive 95/46/CE dispose d’un champ d’application plutôt
large, il n’en demeure pas moins qu’il n’est pas illimité, et connaît certaines exceptions.
Quoiqu’il en soit, les traitements de données personnelles exclus du champ d’application de la
directive sont généralement des traitements effectués dans des domaines non soumis au droit
communautaire. Le champ d’application de la directive n’est-il pas illusoire ?
A) Un champ d’application excluant les traitements de données personnelles dans le
cadre des IIème et IIIème piliers.
1) L’exclusion des traitements effectués dans le cadre des IIème et IIIème piliers.
Si l’article 3 paragraphe 1 de la directive de 1995 relative à la protection des personnes
physiques à égard du traitement des données personnelles énonce le champ d’application
matériel du texte de manière positive, le paragraphe 2 formule négativement ce champ
d’application, permettant ainsi de déterminer les domaines qui ne sont pas couverts par la
protection communautaire. Ainsi, sont exclus du champ d’application de la directive les
traitements de données personnelles effectués dans le cadre d’« activités qui ne relèvent pas
du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du
traité sur l'Union européenne ». Toutes les activités ne relevant pas du droit communautaire
sont visées, mais la directive 95/46/CE autant que les autres textes communautaires relatifs à
la protection des données personnelles précisent que cela concerne donc les activités relevant
des titres V et VI du traité sur l’Union européenne, auxquels il convient donc de s’intéresser.
Le titre V du Traité sur l’Union européenne concerne la politique étrangère et de
sécurité commune (PESC). Compétence régalienne classique, la politique étrangère ne relève
pas du droit communautaire, et pour ce qui est de la PESC, celle-ci ne fonctionne que sur le
mode intergouvernemental, soit par négociation entre les Etats membres, qui conservent
jalousement leurs compétences en la matière même s’ils acceptent de coopérer au niveau
européen pour agir plus efficacement dans le cadre des objectifs de la PESC144. Comme toute
activité, les activités liées à la PESC sont susceptibles d’utiliser des données à caractère
personnel, et nécessiterait alors une certaine protection.
Pour ce qui est du troisième pilier, le titre VI du traité sur l’Union européenne concerne la
coopération policière et judiciaire en matière pénale. Un tel domaine d’activité a bien entendu
144 Cf. Les objectifs énoncés à l’article 11 TUE.
65
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
à connaître des données personnelles, et il est regrettable que la directive du 24 octobre 1995
n’y soit pas applicable, ce domaine n’étant pas compris dans le champ du droit
communautaire. Plus particulièrement, ce sont les systèmes d’information mis en œuvre dans
le cadre de troisième pilier qui peuvent poser un réel problème s’ils ne sont pas soumis aux
règles de la protection des données personnelles, mais la situation est en évolution.
2) La situation des systèmes d’information européens du troisième pilier.
Avec l’instauration de la libre circulation des personnes, des mesures compensatoires
ont dû être mises en œuvre dans l’espace de liberté, de sécurité et de justice que constitue
l’Union européenne. Dans le cas de tels systèmes, des fichiers de données personnelles sont
mis en place, souvent alimentés par les Etats membres eux-mêmes145. Différents systèmes
d’information existent ainsi dans l’Union.
Le plus connu est certainement le système d'information Schengen (SIS)146, qui est un
système informatique européen à grande échelle créé pour compenser la suppression des
contrôles aux frontières intérieures de l'espace Schengen. Le SIS permet aux autorités
compétentes des États membres d'échanger des informations aux fins du contrôle des
personnes et des objets aux frontières extérieures ou à l'intérieur du territoire, ainsi que pour la
délivrance de visas et de permis de séjour. Un autre système important est Europol147, qui a
pour tâche de traiter des renseignements relatifs aux activités criminelles en améliorant
l’efficacité des services compétents des États membres et leur coopération en ce qui concerne
la prévention et la lutte contre les formes graves de criminalité internationale organisée et le
terrorisme. Un système d’information des douanes (SID) a également été créé en 1995148. Ces
trois systèmes d’information ont été mis en place dans le cadre du IIIème pilier et ne se voient
pas appliquer les principaux textes communautaires de protection des données personnelles,
en particulier la directive 95/46 CE. La protection n’est pas nulle puisque les Conventions
adoptées pour la mise en place de ces systèmes prévoient le respect de la Convention 108 du
Conseil de l’Europe ainsi que de la recommandation R (87) 15 du comité des ministres du
Conseil de l’Europe relative à la réglementation de l’utilisation des données à caractère
145 Cf. Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la protection des données personnelles au niveau européen », JDI juillet-aout-septembre 2005 pp.609-635. 146 Cf. . Convention d’application des accords Schengen. JOCE n° L239, 22 septembre 2000, p.19. En particulier art. 92 à 119. 147 Convention portant création d’un office européen de police (Europol), JOCE, n°C 316, 27 novembre 1995, p.2. 148 Convention sur l’emploi de l’informatique dans le domaine des douanes, JOCE, n° C 316 27 novembre 1995, p.34.
66
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
personnel dans le secteur de la police149, mais il ne s’agit que d’une protection minimale et
certaines voix se sont légitimement levées face à une telle situation illustrant une réelle
incohérence dans la protection des données personnelles dans l’Union européenne150. Une
protection respectant les règles de la directive dans toute la Communauté aurait pu paraître
souhaitable, mais certains auteurs ont estimé que les règles de la directive 95/46 CE n’aurait
pas forcément amélioré la protection des données personnelles dans tous les systèmes
d’information du troisième pilier de l’Union, sauf peut être dans le cadre d’Europol où une
adaptation serait souhaitable151.
B) Les autres domaines non soumis au droit communautaire et les limites de la directive.
1) Les autres domaines non soumis à la directive 95/46 CE
a) L’exclusion des traitements de « souveraineté » et des domaines relatifs au droit
pénal.
Après l’exclusion des traitements de données personnelles effectués dans le cadre
d’activités relevant des titres V et VI du traité sur l’Union européenne, l’article 3 paragraphe 2
de la directive exclut du champ d’application de la directive les traitements « ayant pour objet
la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État
lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l’Etat
relatives à des domaines du droit pénal ». Là encore, la directive aurait pu se contenter de la
définition de son champ d’application défini à l’article 3 paragraphe 1, les matières énoncées
ici n’étant pas du domaine du droit communautaire, il était logique que la directive ne s’y
applique pas. On pourrait penser que ces domaines relèvent logiquement de la PESC ou des
activités de la JAI, mais malgré la proximité des matières, il y a une distinction à faire entre ce
qui relève des politiques communes et des politiques nationales en matière de sécurité, de
défense, de sûreté de l’Etat et de droit pénal, où l’on peut très bien imaginer l’existence de
traitement de données personnelles distincts, appartenant à des fichiers exclusivement
nationaux. C’est encore une fois la souveraineté des Etats et leur désir de conserver les
compétences régaliennes traditionnelles qui justifient l’exclusion de tels traitements de la
protection assurée par la directive communautaire du 24 octobre 1995. Quoiqu’il en soit, la
non protection des individus à l’égard des traitements intervenant en ces domaines est
149 Recommandation R (87) 15 du 17 septembre 1987 du Comité des ministres du Conseil de l’Europe relative à la réglementation de l’utilisation des données à caractère personnel dans le secteur de la police 150 Le Parlement européen s’est récemment exprimé en ce sens, de même que le CEPD dans divers avis. 151 Francesco Maiani, Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation et perspectives de développement, Op. Cit.
67
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
inacceptable, d’autant plus que de graves violations des droits fondamentaux y sont
encourues. Néanmoins, si la Communauté européenne ne peut intervenir en de tels domaines,
cela ne signifie pas que les Etats ne doivent pas intervenir, et il appartient alors aux
législateurs nationaux de mettre en place une protection en ces domaines.
b) L’exclusion des traitements à usage privé.
Enfin, l’alinéa 2 de l’article 3 de la directive 95/46 CE prévoit sa non application aux
traitements effectués « par une personne physique pour l'exercice d'activités exclusivement
personnelles ou domestiques ». La lecture du considérant 12 de la directive nous précise
quelque peu l’objet de cette disposition de la directive en donnant pour exemple la
correspondance ou la tenue d’un répertoire d’adresse. On comprend que l’utilisation de
données personnelles pour un usage strictement personnel ne peut normalement pas nuire à la
personne concernée et qu’il relève du droit à la vie privée de la personne qui les utilise. On
peut toutefois s’interroger sur la possibilité d’utiliser des données personnelles sur un blog ou
un site Internet personnel. Nous pourrions raisonner en considérant qu’une telle utilisation,
sur un support pouvant être consulté par d’autres personnes peut enfreindre les obligations
découlant de la directive 95/46/CE du 24 octobre 1995. La Cour de justice des Communautés
européennes vient nous conforter dans cette hypothèse avec son arrêt Bodil Lindquist du 6
novembre 2003152. En l’espèce, Madame Lindquist, paroissienne et formatrice bénévole de
l’Eglise protestante de Suède, avait créé un site Internet de son ordinateur personnel pour
permettre aux paroissiens préparant leur confirmation d’obtenir facilement les informations
qu’ils souhaitaient connaître. Un lien avait été établi avec le site de l’Eglise protestante de
Suède, et des poursuites furent engagées sur le fondement de la loi suédoise de transposition
de la directive 95/46/CE. Le juge suédois posait une question sur le fait de savoir si la création
d’une telle page Internet relevait des exceptions prévues à l’article 3§2 de la directive. Etant
donné que les activités de Mme Lindquist n’étaient pas économiques mais principalement
bénévoles et religieuses, la CJCE s’intéresse surtout à l’exception prévue en cas d’activités
purement domestiques ou à usage privé, mais juge que cette exception doit être interprétée
« comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou
familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à
caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont
rendues accessibles à un nombre indéfini de personnes »153.
152 CJCE 6 novembre 2003, Bodil Lindquist, aff C-101-01. 153 CJCE Bodil Lindquist, point 47 de l’arrêt.
68
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Un champ d’application trop large ?
Comme nous venons de le voir, le champ d’application de la directive du 24 octobre
1995 est plutôt large, même s’il connaît des exclusions classiques du droit communautaire,
celles-ci pouvant évoluer à l’avenir ou encore être compensées par des dispositions de droit
national. Les définitions précisées par la directive permettant de déterminer le domaine
d’application de la directive sont très étendues pour que la protection des données à caractère
personnel prévue par le droit communautaire trouve à s’appliquer dans de très nombreuses
situations. Or, on peut s’interroger sur la pertinence de définitions si larges que le champ
d’application se trouve exceptionnellement étendu. Le champ de la protection n’en est-il pas
trop accru, imposant de trop importantes obligations au responsable d’un traitement de
données personnelles, et par là même illusoire ? S’il est vrai que des définitions vastes
participent d’un niveau élevé de la protection des personnes physiques à l’égard du traitement
de données à caractère personnel, une trop grande étendue peut avoir pour effet non désirable
d’affaiblir cette protection, reflet de bonnes intentions mais qui serait difficile à mettre en
œuvre. Or, ce dont les individus ont besoin, c’est d’une protection effective. Nathalie Mallet-
Poujol pense par exemple, concernant la définition donnée par la directive de la notion de
données personnelles, qu’elle est « ambiguë et présente le risque de trop englober de données
et, paradoxalement, d’affadir une protection par un champ d’application trop étendu, mal
compris ou jugé utopique »154. Le questionnement mérite d’être posé, mais le contrôle mis en
place devrait éviter que la protection des données personnelles assurée par le droit
communautaire ne soit pas effective.
154 Nathalie Mallet-Poujol, « La réforme de la loi « Informatique et libertés », RFDAP, n°89, janvier-mars 1999, pp. 49-62.
69
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Deuxième partie : Des mesures efficaces pour une protection
élevée des données personnelles par le droit communautaire.
Le droit fondamental à la protection des données personnelles ainsi reconnu par le
droit communautaire, et l’ambition d’assurer une protection élevée de ce droit, les mesures
nécessaires à sa garantie doivent permettre son exercice dans des conditions satisfaisantes.
Pour ce faire, des conditions de licéité des traitements de données personnelles ont été
prévues, et pour qu’ils soient mis en œuvre de manière efficace, les principes communautaires
de protection des données personnelles ont trouvé leur expression dans des droits conférés à la
personne concernée ainsi que dans des obligations incombant au responsable du traitement.
(Chapitre 1er). Mais la reconnaissance de droits et d’obligations dans le domaine de la
protection des données personnelles est loin d’être suffisante, et des dispositions appropriées
doivent permettre la mise en œuvre des principes reconnus. Par conséquent, en plus de prévoir
une série d’autorités chargés du contrôle de l’application du droit communautaire de la
protection des données personnelles pour garantir l’effectivité de cette protection, il a fallu
prendre en compte des spécificités de la matière : le caractère largement international des flux
de données impliquant que les flux transfrontalières de données personnelles soient
réglementer, et l’utilité d’une protection des données personnelles allant au-delà du cadre
communautaire à l’heure où la mondialisation, le terrorisme international, et les progrès
technologiques et en particulier l’Internet, ne connaissent plus la notion de frontière. (Chapitre
2).
70
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Chapitre I. Des règles juridiques permettant un traitement licite des
données personnelles.
La Communauté européenne recherche donc à permettre la libre circulation des
données personnelles d’une part, et à protéger le droit fondamental à la protection des
données personnelles d’autre part. L’équilibre à mettre en place implique que les personnes
puissent être actrices de la protection de leurs données en bénéficiant de droits d’information,
d’accès, d’opposition et d’intervention sur les données les concernant (Section 1ère), tandis
que le responsable du traitement de données doit se voir imposer des obligations
correspondantes, d’information, de respect de la qualité des données, de sécurité des
traitements… Le but étant que la licéité des traitements de données, passant par le respect de
conditions précises de légitimation des traitements, permette à la fois d’assurer la protection
des personnes, et par conséquent, de ne pas interdire le traitement de données ou les flux
intracommunautaires de données personnelles. (Section 2ème).
Section 1. Les droits conférés à la personne concernée.
La personne concernée par le traitement de données à caractère personnel se voit
reconnaître de nombreux droits d’information et d’intervention qu’elle pourra exercer pour
faire valoir efficacement son droit à la protection des données personnelles. (Paragraphe 1er).
Quoiqu’il en soit, ces droits ne sont pas absolus et connaissent de nombreuses exceptions
prévues par le droit communautaire, qui elles mêmes nous paraissent limitées pour assurer au
mieux la protection des personnes concernées. (Paragraphe 2nd).
Paragraphe Premier. Des droits liés à l’information et à l’intervention de la
personne concernée.
Lors de toute collecte de données personnelles, il est souhaitable que la personne
concernée soit informée, ait un droit d’accès, et si elle le souhaite, puisse intervenir sur ses
données. Les dispositions du droit communautaire conférant des droits à la personne
concernées semblent satisfaisantes.
71
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
A. Des droits d’information.
Le vingt-cinquième considérant de la directive communautaire explique que les
principes de la protection des données personnelles doivent trouver leur expression dans les
droits donnés aux personnes « d'être informées sur celui-ci, de pouvoir accéder aux données,
de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines
circonstances ». On comprend qu’une protection efficace des données personnelles passe par
l’octroi de droit aux personnes concernées.
1). Un droit d’information satisfaisant.
Pouvant être considéré comme « une forme de nouveau droit de l’homme
moderne »155, le droit à l’information nous apparaît d’une importance fondamentale s’agissant
de la protection des données personnelles, pour éviter notamment dans la mesure la plus large
possible que des données soient collectées et traitées à l’insu de la personne. Déjà reconnu par
la loi française de 1978 en tant que droit de curiosité, le droit à l’information implique que la
personne dont les données sont traitées puisse obtenir certains renseignements. Le droit
communautaire de la protection des données à caractère personnel prévoit un tel droit à
l’article 12 de la directive 95/46 CE du 24 octobre 1995 dont le a) premier tiret dispose que
« les États membres garantissent à toute personne concernée le droit d'obtenir du responsable
du traitement: a) sans contrainte, à des intervalles raisonnables et sans délais ou frais
excessifs:- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi
que des informations portant au moins sur les finalités du traitement, les catégories de
données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels
les données sont communiquées ». Néanmoins, il nous semble que le droit d’information ne
se retrouve dans cette disposition que par une interprétation large de celle-ci. Il reste que cette
disposition est étroitement liée à un véritable droit à la curiosité.
Pour être plus précis quant au droit d’information de la personne concernée, référons
nous plutôt aux articles 10 et 11 de la directive qui correspondent à l’obligation du
responsable du traitement d’informer la personne concernée. Si le responsable du traitement a
l’obligation d’informer la personne dont les données sont traitées, alors il n’est pas exagéré de
considérer que cette obligation correspond à un réel droit d’information pour la personne. Les
articles 10 et 11 permettent de déterminer que la personne concernée a droit d’être informée
de l’identité du responsable du traitement ou de son représentant, des finalités du traitement,
et de toute information supplémentaire telle que les destinataires ou catégories de destinataires
155 J. Frayssinet, in « Droit de l’informatique et de l’Internet », Op. Cit. p.99.
72
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
des données, le fait de savoir si la réponse aux questions est obligatoire ou non ainsi que les
conséquences d’une absence de réponse, et enfin de l’existence d’un droit d’accès et de
rectification des données. L’apport de la directive est d’étendre un tel droit d’information aux
données qui n’ont pas été collectées auprès de la personne concernée, ce qui la distingue de la
loi française de 1978 et de la Convention 108 du Conseil de l’Europe dont la directive
amplifie ainsi la protection156. En outre, les différentes informations dont il revient à la
personne concernée de connaître sont beaucoup plus larges dans la directive que dans le texte
français.
Dans le domaine des communications électroniques, la directive 2002/58 CE qui abroge et
remplace la directive 97/66 CE prévoit aussi un droit d’information de la personne concernée
par un traitement de données relatives au trafic concernant un réseau de communications
électroniques157, par un traitement de données de localisation autres que les données relatives
au trafic158, et par leur inscription dans un annuaire d’abonnés159, ces informations étant ici un
préalable au consentement de la personne concernée pour le traitement considéré. Par ailleurs,
conformément à la directive 95/46/CE qui reste le cadre général de la protection des données
personnelles, la directive 2002/58/CE confère à la personne concernée des droits
d’information, mais il est notable qu’elle prévoit en plus un droit d’information lorsque des
fichiers témoins sont collectés de manière licite et à des fins légitimes160
Pour ce qui est des traitements de données personnelles effectués par les institutions et
organes communautaires, le règlement n°45/2001 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel par les institutions et
organes communautaires et à la libre circulation de ces données met en place dès règles
équivalentes en ses articles 11 et 12, et le droit d’information de la personne concernée est là
aussi reconnu aussi bien dans le cas où les données sont collectées auprès de la personne
concernée que dans celui où elles le sont auprès d’un tiers, et se déduit là encore des
obligations d’information du responsable.
156 La Convention 108 relative à la protection des personnes à l’égard du traitement automatisé de données à caractère personnel prévoit ainsi en son article 8 a) que toute personne doit pouvoir « connaître l'existence d'un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier ». 157 Directive n°2002/58 CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Article 6 4). 158 Article 9 1). Directive 2002/58 CE. 159 Article 12 1). Directive 2002/58 CE 160 Considérant 25 de la directive 2002/58/CE.
73
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Précisons enfin que le droit d’information dont bénéficie toute personne qui voit ses
données être traitées ne doit pas être confondu avec le droit d’accès aux informations, même
si très lié à lui, il ne va pas aussi loin, consistant en une simple curiosité, un simple
renseignement.
2). Le droit d’accès.
Reconnu à l’article 12 de la directive, le droit d’accès aux données traitées consiste à
obtenir communication des données qui font l’objet d’un traitement. Si la directive 95/46 CE
paraît laconique sur le droit d’accès pour certains auteurs, car elle ne parle pas de droit
d’accès dans la rédaction de ses dispositions161, il faut souligner que la section V du texte
s’intitule « droit d’accès de la personne concernée aux données » et que l’article 12, seul à
composer cette section, s’intitule « droit d’accès ». Il faut toutefois reconnaître que la lecture
de l’article 12 demande réflexion pour interpréter le a) premier tiret comme un droit général
d’être informé. Par ailleurs, ce droit est aussi un des éléments nécessaire au droit d’accès de la
personne concerné, ce qui complique encore la compréhension et la distinction entre
information et accès. Avec la même sagacité, on lit dans le second tiret du a) de l’article 12, le
droit d’accès conféré aux personnes dont les données sont traitées. Les Etats membres sont
alors tenus de leur garantir, sans contrainte, à des intervalles raisonnables et sans délais ou
frais excessifs le droit d’obtenir « la communication, sous une forme intelligible, des données
faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des
données ». Notons que ce droit est également reconnu dans la convention 108 du Conseil de
l’Europe, dans des termes approximativement identiques. La directive innove en permettant
d’accéder à des informations révélant l’origine des données, nouveauté importante et d’une
grande utilité lorsque les données n’ont pas été collectées auprès d’elle. On imagine les
potentialités d’une telle disposition dans un contexte ou le marketing direct permet à des
entreprises de disposer de données concernant une personne sans que celle-ci les lui ait
communiquées. Il sera possible de savoir quelle est l’origine de cette communication.
Le fait que les données doivent être communiquées sous une forme intelligible entre dans
l’objectif d’accessibilité et de transparence, afin que la personne puisse lire et déterminer
quelles données la concernant font l’objet d’un traitement, dans quel but, et par quelle
personne ou organisme.
161 Jean Frayssinet, Op. Cit., p.102.
74
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Pour le domaine particulier des communications électroniques, la directive
2002/58/CE ne cite pas explicitement le droit d’accès de la personne concerné, mais la
reconnaissance d’un tel droit semble évidente dès lors que les principes de la directive de
1995 trouvent à s’appliquer et que le droit d’accès nous paraît être inhérent aux droits
d’information et d’intervention reconnus. Néanmoins, ce droit semble difficile à mettre en
œuvre lorsque la collecte de données est effectuée à l’insu de la personne.
L’accès aux données personnelles traitées par les institutions ou organes communautaires est
aussi un droit reconnu par le règlement 45/2001162, qui reprend les principes de la directive
95/46 CE dans un souci de cohérence de la protection communautaire des données
personnelles. Notons enfin qu’un droit d’accès est expressément prévu par la convention
d'application de l'accord de Schengen du 19 juin 1990. Aux termes de l'article 109 de la
convention, toute personne a le droit d'accéder aux données la concernant enregistrées dans le
système d'information Schengen.
Le droit d’accès implique des droits de rectification des données à intégrer plus largement
dans des droits d’intervention sur les données personnelles, que le droit communautaire
garanti largement.
B. Des droits d’intervention sur les données.
1). Un droit de rectification, d’effacement ou de verrouillage.
Le droit d’accès aux données personnelles a pour conséquence logique de permettre à
la personne dont les données sont traitées de pouvoir les rectifier, la possibilité d’intervenir
sur les données personnelles traitées apparaît ainsi comme le prolongement nécessaire du
droit d’accès163. En ce sens, l’article 12 b) de la directive 95/46 CE prévoit que les Etats
doivent garantir aux personnes concernées « selon le cas, la rectification, l'effacement ou le
verrouillage des données dont le traitement n'est pas conforme à la présente directive,
notamment en raison du caractère incomplet ou inexact des données ». Les droits de
rectification et d’effacement sont prévus dans la convention 108 du Conseil de l’Europe164 ce
qui confirme de nouveau la compatibilité des deux textes. En outre, les Etats membres de la
Communauté européenne disposant d’une législation protectrice des données personnelles
prévoyaient de telles dispositions, notamment la France, où la loi dite « Informatique et
162 Article 13 du règlement 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. 163 Fatima El Atmani, Op. Cit. p.121. 164 Article 8 c) de la Convention 108.
75
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
libertés » dans sa version antérieure à 2004 contenaient des dispositions sur les droits de
rectification et d’effacement, et dans sa version intervenue en transposition de la directive du
24 octobre 1995, reprend également la notion de verrouillage prévue par la directive. Le
verrouillage des données est en effet une innovation apportée par la directive, qui s’inspire ici
du droit allemand de la protection des données165. Le principe d’un blocage possible des
données s’étend désormais dans tous les Etats de la Communauté. Les hypothèses de mise en
œuvre des droits de rectification, effacement ou verrouillage des données sont limitées aux
cas où le traitement n'est pas conforme à la directive, notamment en raison du caractère
incomplet ou inexact des données. Cette précision marque la large étendue du droit de
rectification qui peut ainsi être mis en œuvre dès lors qu’une disposition de la directive est
concernée. Une limite peut néanmoins être soulevée, en ce que la directive laisse la charge de
la preuve du manquement à la personne concernée par le traitement de données166, mais cette
limite n’est que peu surprenante au regard de l’objectif de libre circulation des données visé
par la directive et de non entrave au traitement de données dans les cas de respect des
principes élaborés pour la protection des données personnelles.
Pour ce qui est de la directive 2002/58/CE, les droits d’intervention sont expressément
précisés pour les données personnelles contenues dans les annuaires d’abonnés. L’article 12.2
prévoyant en outre que ce droit doit être gratuit.
Le règlement 45/2001 garanti de tels droits de rectification, de verrouillage et d’effacement
des données faisant l’objet d’un traitement de la part des institutions et organes
communautaires, et ce texte est plus détaillé et rend ces différents droits d’intervention plus
visibles en les séparant dans trois articles distincts167. En outre, le règlement est plus précis
que la directive concernant les hypothèses où le verrouillage des données peut être demandé,
permettant une telle possibilité lorsque l’exactitude des données est contestée par la personne
concernée, lorsqu’elles ne sont plus utiles au responsable pour exécuter sa mission, ou que
leur traitement est illicite et que la personne concerné préfère qu’elles soient verrouillées
plutôt qu’effacées.
2). Un droit d’opposition.
165 David Martin, Op. Cit. p. 608. 166 Cf. M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 167 Article 14 « rectification », article 15 « verrouillage », article 16 « effacement ».
76
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
En plus des droits de modification, d’effacement et de verrouillage des données
personnelles, la directive communautaire de 1995 confère à la personne concernée un droit
d’opposition prévu à son article 14.
Le a) de l’article 14 impose aux Etats membres de prévoir le droit « de s'opposer à tout
moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce
que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition
contraire du droit national. En cas d'opposition justifiée, le traitement mis en oeuvre par le
responsable du traitement ne peut plus porter sur ces données ». Ce droit que contenait déjà la
loi française de 1978, n’est pas prévu par la Convention du Conseil de l’Europe, la directive
apporte alors un progrès pour la protection des personnes. En effet, le droit d’opposition
constitue un vrai rempart face aux traitements de données personnelles non désirés, peut être
le seul vrai rempart, empêchant la naissance même d’un traitement de données. Cependant, le
droit d’opposition n’est pas absolu, la directive laisse ainsi aux Etats la possibilité d’y déroger
en prévoyant des dispositions contraires. Par ailleurs, les termes de l’article 14 a) imposent
une obligation minimale aux Etats, celle de reconnaître un droit d’opposition au moins dans
les cas visés à l’article 7 points e) et f), soit lorsqu’il est nécessaire à l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité publique, soit lorsqu’il est nécessaire à la
réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers
auxquels les données sont communiquées.
L’article 14 b) de la directive concerne également le droit d’opposition à des traitements dont
le but serait la prospection. Il n’est pas précisé par les dispositions de la directive si cela
concerne la prospection commerciale ou tout type de prospection. Le droit d’opposition à des
traitements de données à des fins de prospection est plus facile à exercer dans la mesure où il
n’est plus nécessaire d’avancer des raisons prépondérantes et légitimes tenant à la situation
particulière de la personne. Deux hypothèses sont prévues par la directive : dans la première,
la personne dispose d’un droit de s'opposer, sur demande et gratuitement, au traitement des
données à caractère personnel la concernant envisagé par le responsable du traitement à des
fins de prospection. Dans la seconde, elle bénéficie du droit d'être informée avant que des
données à caractère personnel ne soient pour la première fois communiquées à des tiers ou
utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le
droit de s'opposer, gratuitement, à ladite communication ou utilisation. Cette dernière
disposition est plus que satisfaisante car elle permet à la personne de refuser un traitement des
données la concernant lorsqu’il serait effectué à des fins de prospection, alors qu’un premier
traitement est intervenu. Il semble clairement qu’une disposition de ce type aille dans le sens
77
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
d’une protection élevée des données personnelles, et permette d’éviter la multiplication des
traitements de prospection sans que la personne concernée n’ait son mot à dire.
Parmi les règles spéciales garanties par la directive 2002/58/CE dans le secteur des
communications électroniques, le droit d’opposition est également reconnu, mais son
énonciation claire n’est formulée que dans le considérant n°25.
Conformément à l’article 17 du règlement 45/2001, il est aussi possible de s’opposer à
un traitement de données personnelles effectué par une institution ou un organe
communautaire lorsque la personne concernée avance des raisons impérieuses et légitimes
tenant à sa situation particulière, ce qui correspond au droit d’opposition prévu par la directive
du 24 octobre 1995.
Paragraphe second. Des exceptions générales.
Les textes communautaires de protection des données personnelles prévoient des
exceptions et limitations aux droits des personnes concernées qui concernent généralement
l’intérêt général par le biais de traitements de souveraineté, ou afin de permettre l’exercice
d’autres droits, libertés ou activités. Cela dit, les différentes exceptions sont limitées eu égard
aux conditions strictes de leur mise en œuvre et aux domaines spécifiques où elles ont lieu de
s’appliquer.
A. Des exceptions liées aux traitements de souveraineté.
1) L’intérêt général.
a) Les limitations liées à l’intérêt général.
C’est l’article 13 de la directive « données personnelles » du 24 octobre 1995 qui
énonce les cas d’exceptions ou de limitations à certains droits ou obligations contenus dans la
directive. Pour ce qui est des droits de la personne concernée par le traitement de données,
sont visés les articles 10, 11 paragraphe 1 et 12. Ainsi, ce sont les droits d’être informé et
d’accéder aux données personnelles qui sont soumis à ces limites, le droit d’accès entraînant
avec lui le droit de rectifier, d’effacer, ou de verrouiller les données. Le droit de s’opposer à
ce que ses données fassent l’objet d’un traitement reconnu à l’article 14 de la directive n’est
pas visé.
L’article 13 de la directive pose ainsi une série de limitations possibles aux droits en cause
dont la plupart concerne directement l’intérêt général et la souveraineté nationale. Ainsi, les
78
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Etats membres peuvent prendre des mesures législatives pour limiter les droits suscités
lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder la sûreté de
l'État, la défense, la sécurité publique, la prévention et la poursuite d’infractions pénales,
l’intérêt économique et financier d’un Etat membre ou de l’Union européenne. Ces types de
limitations sont classiquement retenus, et dans le cadre de l’intervention communautaire, ces
dispositions peuvent même sembler redondantes avec l’article 3 de la directive concernant
son champ d’application et qui précise que des traitements effectués dans ces domaines liés à
la souveraineté de l’Etat en sont exclus. La convention 108 prévoit le même type de
restrictions en son article 9 dont le a) permet de déroger à certains droits et obligations pour
des motifs tenant à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts
monétaires de l'Etat ou à la répression des infractions pénales. Les préoccupations sont
largement comparables, et sont facilement admises par les Etats qui se réservent ainsi des
domaines de libertés dans les dispositions concernant la protection des données personnelles.
La loi française de 1978 contenait déjà des notions similaires, et sa version de 2004 ne déroge
pas à la règle.
Le domaine des communications électroniques connaît le même type d’exceptions par la
directive 2002/58/CE, puisque son article 15 intitulé « application de certaines dispositions de
la directive 95/46/CE » les reprend en se référant directement à l’article 13 paragraphe 1 de la
directive « données personnelles ». Par ailleurs, le droit communautaire permet les mêmes
exceptions et limitations pour les traitements effectués par les institutions ou organes
communautaires conformément à l’article 20 du règlement 45/2001.
b) Quant aux droits et libertés d’autrui et au domaine de la recherche scientifique et
des statistiques.
Parmi la liste de limitations possibles aux droits des personnes fichées, un cas ne concerne
pas directement l’Etat et la souveraineté nationale, il s’agit du cas prévu à l’article 13, 1. g),
qui permet à un Etat de limiter ces droits lorsque cela est nécessaire pour sauvegarder « la
protection de la personne concernée ou des droits et libertés d’autrui ». Une lecture de
l’exposé des motifs de la directive telle que modifiée en 1992 nous indique que ces droits
comprennent les secrets d’affaires de tiers, les règles du secret professionnel auxquelles sont
soumis les professions juridiques et médicales notamment, et plus généralement la protection
des droits de l’homme168. Le considérant 42 de la directive nous éclaire encore sur le sens à
donner à cette disposition en donnant un exemple de limitation possible qui serait de préciser
168 COM (92) 422 final – SYN 287, p. 26. Voir aussi Fatima El Atmani, Op. Cit. p.159.
79
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un
professionnel de la santé. La convention du Conseil de l’Europe contient une disposition
similaire à son article 9, 2. b).
Les organes et institutions communautaires peuvent ici aussi prévoir une telle exception
comme le prévoit l’article 20 du règlement communautaire n°45/2001.
Le second paragraphe de l’article 13 de la directive 95/46/CE prévoit une possibilité
d’exception au seul droit d’accès et de rectification dont bénéficie la personne concernée pour
les traitements effectués aux fins de la recherche scientifique ou d’établissement de
statistiques. Une disposition semblable est prévue dans le cadre du Conseil de l’Europe, où la
convention n°108 dispose en son article 9, 3 que « des restrictions à l'exercice des droits visés
[…] peuvent être prévues par la loi pour les fichiers automatisés de données à caractère
personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu'il n'existe
manifestement pas de risques d'atteinte à la vie privée des personnes concernées ». Le droit
français quant à lui allait déjà en ce sens avant même l’adoption de la directive communautaire,
par le biais de la loi n°94-548 du 1er juillet 1994 relative au traitement de données nominatives
ayant pour fin la recherche dans le domaine de la santé et modifiant la loi de 1978169.
2) Des exceptions limitées ?
a) L’imposition de mesures législatives
Il est frappant que le législateur communautaire impose aux Etats membres
d’intervenir par des mesures législatives s’ils souhaitent prévoir des exceptions ou limitations
aux droits des personnes, ainsi qu’aux obligations des responsables. La directive 95/46/CE
énonce dans son article 13 que les États membres « peuvent prendre des mesures législatives
visant à limiter la portée des obligations et des droits […] ». David Martin relève alors qu’une
telle précision est notable puisque de façon générale les directives n’indiquent pas
l’instrument juridique à utiliser170. De plus, au-delà de la directive du 24 octobre 1995, la
directive n°2002/58/CE prévoit elle aussi que les Etats membres peuvent adopter des mesures
législatives visant à limiter la portée de droits et obligations qu’elle reconnaît. Comment
interpréter l’imposition de mesures législatives pour permettre aux Etats de prévoir des
exceptions et limitations aux droits de la personne concernée et aux obligations du
responsable quand on sait d’une part que les autres dispositions de la directive concernent
169 Loi n° 94-548 du 1er juillet 1994 modifiant la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés Journal officiel du 2 juillet 1994. 170 David Martin, Op. Cit. p.608.
80
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
plus généralement des dispositions nationales, et d’autre part que l’article 32 de la directive de
1995 invitent les Etats membres à mettre « en vigueur les dispositions législatives,
réglementaires et administratives nécessaires pour se conformer à la présente directive au plus
tard à l'issue d'une période de trois ans à compter de son adoption », sans se limiter ainsi à des
dispositions législatives. Deux interprétations pourront alors être données de ce traitement
particulier pour les dérogations et exceptions aux droits que nous avons étudiés : soit le
législateur communautaire a considéré que ces dérogations intéressant pour la plupart la
souveraineté de l’Etat, l’importance des domaines dont il s’agit nécessitait une intervention
parlementaire et des mesures de rang législatif, mais il nous semble que ce serait s’ingérer
dans les fonctionnements institutionnels de chaque Etat membre qui pour les domaines liés à
leur souveraineté, ne devrait pas se voir imposer de choix d’instruments juridiques. Soit, et
nous pencherons davantage pour cette hypothèse, la Communauté européenne a jugé que des
exceptions et limitations aux droits des personnes dont les données sont traitées ne devaient
pas être adoptées trop facilement notamment par voie réglementaire ou administrative, et le
choix de mesures législatives n’a d’autre but que de rendre plus délicate la mise en place de
telles exceptions, ou à tout le moins qu’elles puissent être prévues seulement dans les limites
du nécessaire, ce que confirment les conditions strictes établies par le droit communautaire
pour ces dispositions.
b) Des conditions strictes.
Pour que les exceptions et limitations étudiées puissent être mises en place, il faut,
selon les dispositions de la directive 95/46/CE, que la limitation constitue une « mesure
nécessaire » à la sauvegarde des intérêts évoqués : sûreté de l’Etat, défense, sécurité
publique… Comme le relevait un auteur avisé, la formulation rappelle étrangement celle
utilisée par la Convention européenne des droits de l’homme dans les clauses d’ordre public
que contiennent certains de ses articles171, et le même auteur de se demander « a quand une
disposition communautaire franchissant le dernier pas et autorisant une restriction prévue par
la loi et constituant une mesure qui, dans une société démocratique, est nécessaire à la
sauvegarde d’intérêts publics importants ? ». Le législateur communautaire a peut être
entendu cette interrogation, en tout état de cause, la directive 2002/58/CE est beaucoup plus
précise et permet une limitation lorsqu’elle « constitue une mesure nécessaire, appropriée et
proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale -
c’est-à-dire la sûreté de l’État - la défense et la sécurité publique, ou assurer la prévention, la
171 David Martin, Op. Cit. p.609.
81
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du
système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la
directive 95/46/CE ». Les mesures législatives qu’un Etat pourrait prendre pour limiter
certains des droits accordés à la personne concernée ne doivent donc pas être prises à la légère
en tant que les conditions de leur adoption sont strictement établies par le droit
communautaire, ce qui va dans le sens d’une tendance à la non limitation des droits de la
personne (et des obligations du responsable du traitement) pour autant que cette non
limitation soit envisageable.
B. D’autres types de limites.
1) Face à la liberté d’expression.
L’article 9 de la directive 95/46/CE dispose que « Les États membres prévoient, pour
les traitements de données à caractère personnel effectués aux seules fins de journalisme ou
d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au
chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier
le droit à la vie privée avec les règles régissant la liberté d'expression ». Les droits de la
personne concernée peuvent donc s’en trouver affectés, mais ce type de disposition permettant
de concilier le droit des personnes à une protection de leurs données personnelles et la liberté
d’expression n’est pas nouveau et à titre d’exemple, la loi française relative à l’informatique,
aux fichiers et aux libertés contenaient déjà une disposition de ce type en son article 33. Une
telle limite posée par le droit communautaire ne doit donc pas être inquiétante, d’autant plus
qu’elle vise à permettre le meilleur exercice d’un autre droit fondamental, la liberté
d’expression, en particulier dans le domaine de la presse et dans le domaine artistique.
Cependant, alors que les possibilités de limitations par la loi française étaient limitées172, celle
de la directive paraissent plus large en s’appliquant par exemple à toutes les conditions de
licéité du traitement.
L’éclairage que nous apporte le considérant 37 de la directive va en ce sens
notamment en insistant sur le fait que le traitement de données à caractère personnel à des fins
de journalisme ou d'expression artistique ou littéraire, doit bénéficier de dérogations ou de
limitations de certaines dispositions de la présente directive dans la mesure où elles sont
nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté
d'expression, et notamment la liberté de recevoir ou de communiquer des informations, telle
172 Elles concernaient les flux transfrontalières de données et les données dites “sensibles”.
82
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
que garantie notamment à l'article 10 de la convention européenne des droits de l'homme.
Selon la directive, il incombe aux Etats de prévoir les dérogations et limitations nécessaires en
ce qui concerne les mesures générales relatives à la légalité du traitement des données. On
comprend que le domaine de la presse peut inquiéter les individus quant au respect de leur vie
privée, et ce davantage avec l’avènement de nouvelles technologies de l’information et des
communications. Il reviendra alors aux Etats, tout en permettant la liberté d’expression, de
garantir une protection satisfaisante des données personnelles.
2) Qu’en est-il des droits de la personne concernée par les systèmes d’information européens.
Les systèmes d’information de l’Union européenne ne prévoient que peu de droits
d’information, d’accès et de rectification des données personnelles aux personnes concernées.
Concernant les systèmes permettant un droit d’accès aux données traitées et par suite un droit
de rectification, il faut noter que certains pays ne permettent qu’un droit d’accès indirect.
Certes le droit d’accès existe, et c’est une bonne chose, mais l’accès indirect implique que la
personne adresse sa demande de droit d'accès à l'autorité nationale de protection des données
de l'État auprès duquel elle forme sa demande. La vérification des informations enregistrées
dans le SIS est effectuée, par l'autorité de protection des données, de la même façon que pour
les fichiers de police qui intéressent la sûreté de l'État, la défense ou la sécurité publique. En
outre, les systèmes d’informations européens que sont le SIS, le SID, et Europol ne relevant
pas du droit communautaire, ils sont soumis à la recommandation R (87)15 du comité des
ministres du Conseil de l’Europe relative à la réglementation de l’utilisation des données à
caractère personnel dans le secteur de la police, recommandation non contraignante, et à la
Convention 108 du Conseil de l’Europe, à certains égards moins protectrice que la directive
communautaire.
Section 2. Les obligations imposées au responsable du traitement.
Face aux droits de la personne concernée, le responsable du traitement se voit imposer
bon nombre d’obligations auxquelles il devra se conformer pour effectuer un traitement licite
de données personnelles (Paragraphe 1er). Mais le droit communautaire de la protection des
données personnelles ne visent pas à imposer de trop lourdes formalités au responsable du
traitement et prévoit donc de nombreuses simplifications pour les obligations de notification
83
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
en particulier. La responsabilité et les sanctions encourues sont quant à elles laissées à la
discrétion des Etats membres dans une large mesure. (Paragraphe 2nd).
Paragraphe premier. Les principes relatifs à la licéité du traitement de
données personnelles.
Le première partie du considérant 25 de la directive de 1995 énonce que « les
principes de la protection doivent trouver leur expression, […], dans les obligations mises à la
charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui
traitent des données, ces obligations concernant en particulier la qualité des données, la
sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le
traitement peut être effectué ». Pendant nécessaire à l’octroi de droits à la personne concernée
par le traitement, ces différentes obligations sont utiles pour une protection efficace des
données personnelles.
A. Des obligations liées à la qualité des données.
1) Quant à la qualité des données.
L’article 6 de la directive 95/46/CE énonce différents principes relatifs à la qualité des
données qui devront être respectés par le responsable du traitement. Ces conditions relatives à
la qualité des données correspondent à l’article 5 de la Convention 108 du Conseil de
l’Europe, dont les rédacteurs du texte communautaire se sont ici encore inspirés. Le
paragraphe second de l’article 6 de la directive « données personnelles » nous indique que le
respect des principes posés aux premiers paragraphes de cet article incombe au responsable du
traitement, il s’agit donc d’obligations à sa charge. Concernant les principes relatifs à la
qualité des données, l’article 6 a) impose aux Etats de mettre en œuvre les dispositions
nécessaires pour que les données soient traitées loyalement et licitement. Il nous est aisé de
comprendre le sens du principe de licéité des données, celui-ci ayant logiquement sa place
dans un texte juridique. Ce qui est licite, littéralement ce qui est permis par la loi,
correspondra dans le cadre de la directive à ce qui est conforme aux principes de la protection
des données personnelles par la directive. Quant au principe de loyauté, il faut admettre qu’il
84
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
est bien plus flou173, et qu’il entraîne avec lui des considérations morales. L’appréciation
finale appartiendra ainsi au juge ou à l’autorité de contrôle174. Le b) de l’article 6 paragraphe
1er énonce que les données doivent être « collectées pour des finalités déterminées, explicites
et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces
finalités ». Le principe de finalité ainsi consacré, nous l’étudierons plus amplement par la
suite eu égard à son importance dans le dispositif de protection des données personnelles. Le
c) impose que les données soient adéquates, pertinentes et non excessives au regard des
finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées
ultérieurement. Cette disposition exigeante quant à la qualité des données est rédigée de la
même manière que l’article 5 c) de la Convention 108. Par ailleurs, en vertu de l’article 6, 1.
d), les données doivent être exactes, et si nécessaire mises à jour. On retrouve là une exigence
visant à l’authenticité, l’exactitude des données que l’on pourrait peut être rapprocher du
principe de loyauté qu’impose la directive. En tout état de cause, l’exactitude et la mise à jour
des données constitue une obligation de moyen pour le responsable du traitement, puisque la
directive poursuit en précisant que « toutes les mesures raisonnables doivent être prises pour
que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont
collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ».
Enfin, l’article 6 paragraphe 1er e) dispose que les données « doivent être conservées sous une
forme permettant l'identification des personnes concernées pendant une durée n'excédant pas
celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour
lesquelles elles sont traitées ultérieurement ». La directive est assez claire sur ces différentes
conditions, qui reprennent la rédaction de la Convention du Conseil de l’Europe sur la
protection des données personnelles. L’ancienne loi française « Informatique est libertés »
prévoyait que les données ne devaient pas être collectées par un moyen frauduleux, déloyal ou
illicite175. Désormais, et suite à la transposition de la directive du 24 octobre 1995, la
nouvelle loi « Informatique et libertés » contient un article 6 rédigé en des termes très proche
de l’article 6 de la directive, et reprend les mêmes principes relatifs à la qualité des données.
Notons que parmi les principes de la directive relatifs à la qualité des données, ceux disposant
que les données doivent être « adéquates, pertinentes et non excessives au regard des finalités
173 Jean Frayssinet, Droit de l’informatique et de l’Internet, Op. Cit. p. 126. 174 Après de nombreux avis de la CNIL tentant de définir cette notion, la Cour de cassation a pu considérer qu’est « déloyal le fait de recueillir à leur insu, des adresses électroniques personnelles des personnes physiques sur l’espace public d’Internet, ce procédé faisant obstacle à leur droit d’opposition ». Cass. Crim. 14 mars 2006, pourvoi 05-83423. 175 Ancien article 25 de la loi de 1978.
85
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement » ont
été jugées d’effet direct par la CJCE dans son arrêt Rechnungshof du 12 juin 2003176.
2) La consécration du principe de finalité.
C’est le b) du premier paragraphe de l’article 6 de la directive de 1995 qui consacre
le plus clairement le principe de finalité en énonçant que les données doivent être collectées
pour des finalités déterminées et légitimes. Contenu également dans l’article 5 de la
Convention 108 du Conseil de l’Europe, le principe de finalité n’avait pas été prévu en des
termes clairs par la loi française du 6 janvier 1978 pourtant novatrice et en avance à bien
d’autres égards. Pour autant, il n’était pas exclu des principes français de protection des
données personnelles, et la CNIL avait éclairci la portée du principe. Selon les termes de
Nathalie Mallet-Poujol, elle a effectué un réel travail de « débroussaillage » dans la
conception même de ce principe177. La transposition de la directive permet à la loi
française d’être plus claire sur la reconnaissance de ce principe de finalité du traitement.
Ainsi, le responsable du traitement se trouve obligé de respecter le principe d’une finalité
déterminée et explicite178. Un traitement de données qui n’aurait pas de finalité précise, ou
qui serait « mis en œuvre à toutes fins utiles »179 serait donc interdit ? Il nous semble qu’un
tel traitement ne serait pas autorisé par les principes communautaires de la protection des
données personnelles. Il s’agit de connaître à l’avance les limites dans lesquelles peut agir
le responsable du traitement de données personnelles, et en ce sens, le principe de finalité
s’apparente à l’exigence de prévisibilité de la loi imposée par la Cour européenne des droits
de l’homme dans sa jurisprudence relative à l’article 8 de la CEDH. On peut également
voir dans une telle exigence une idée de transparence lors d’un traitement de données
personnelles qui s’associe aisément avec le droit d’information des personnes concernées.
Le b) de l’article 6 paragraphe 1 de la directive impose également que la finalité soit
légitime, ce qui a conduit certains auteurs à y voir une référence indirecte à l’article 8 § 2
de la CEDH180 et à interpréter cette exigence supplémentaire avec la notion de « nécessaire
dans une société démocratique » propre au droit de la CEDH. Le respect du principe de
finalité implique ensuite que les données collectées ne puissent pas être traitées
ultérieurement de manière incompatible avec ces finalités. Comme le soulignait le
176 CJCE 12 juin 2003, Rechnungshof. 177 Nathalie Mallet-Poujol, « La réforme de la loi « informatique et libertés » », RFDAP, Op. Cit. p.59. 178 Article 6, 1. b) de la directive 95/46/CE. 179Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 180 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit.
86
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
professeur Frayssinet, cette précision illustre le fait que la directive raisonne « comme si la
finalité d’un traitement était un élément stable, un traitement correspondant à une
finalité »181. En conséquence, la finalité annoncée lors du premier traitement, soit au
moment de la collecte, devrait être respectée ultérieurement. On peut toutefois s’interroger
sur le fait de savoir si tout traitement ultérieur qui n’est pas strictement conforme à la
finalité annoncée au départ sera interdit, ou si des traitements ultérieurs n’entrant pas en
contradiction avec la finalité initialement annoncée seront possibles. Il est en tout cas
heureux que la directive prévoit qu’un traitement ultérieur à des fins historiques,
statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États
membres prévoient des garanties appropriées. L’intention n’est évidemment pas de freiner
toutes activités par des interdictions absolues, et les domaines visés peuvent donc, mais il
s’agit d’une possibilité seulement, bénéficier d’un régime dérogatoire. Le principe de
finalité a largement fait réagir la doctrine, et la directive démontre l’importance qu’elle lui
accorde en s’y référant à plusieurs reprises dans son texte. Une telle obligation à respecter
par le responsable du traitement nous semble efficace et satisfaisant pour la protection des
personnes à l’égard du traitement de données à caractère personnel et l’on ne peut que se
féliciter de l’inscription explicite d’un tel principe182, qui devra être prévu dans chacune
des législations des Etats membres de l’Union européenne.
B. Les principes relatifs au traitement de données personnelles
1) De strictes conditions pour la légitimation du traitement de données personnelles.
a) Les conditions posées par le droit communautaire.
Après avoir imposé différentes conditions précises relatives à la qualité des données traitées,
la directive 95/46/CE impose au responsable du traitement des conditions toute aussi précises
sur les modalités de légitimation des traitements. L’article 7 de la directive prévoit six cas
dans lesquels un traitement de données personnelles peut être effectué dont certains
constituent une réelle innovation, tout autant que l’inscription d’un article relatif à la
légitimation des traitements, que ni la Convention 108 du Conseil de l’Europe, ni la loi
française du 6 janvier 1978 ne contenait. Le premier cas dans lequel un traitement peur être
effectué est celui où la personne concernée a indubitablement donné son consentement. Cette
référence au consentement de la personne est une des grandes innovations de la directive et
181 Jean Frayssinet, in Droit de l’informatique et de l’Internet, Op. Cit. p.127. Notons que le même commentaire est fait concernant le principe de finalité tel que reconnu dans la loi française. 182 M-C Ponthoreau, « La directive n°95/46/CE du 24 octobre 1995, RFDA, Op. Cit. p.129.
87
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’un des traits caractéristiques de la protection des données personnelles offerte par le droit
communautaire. En effet, la Convention 108 n’allait pas jusqu’à reconnaître un tel principe et
la loi française non plus. Cette nouveauté doit être considérée comme un « principe fort »183
qui vise à garantir la protection la plus large de la personne dont les données seront traitées. Il
faudra entendre la notion de consentement au sens où l’entend le droit communautaire, soit au
sens qui lui est donné à l’article 2 h) dont nous avons déjà relevé l’audace. Ce principe posé, il
semble que le système de l’opt in soit préféré au système de l’opt out pour permettre un
traitement de données184. Ajoutons que la nécessité d’un consentement indubitable fera
certainement naître un large contentieux notamment face à des pratiques nouvelles telles que
le spamming ou d’autres pratiques plus traditionnelles telles que la prospection téléphonique.
Il reste que si le principe d’un consentement indubitable à tout traitement de données
personnelles est une grande innovation, la directive prévoit d’autres cas de légitimation des
traitements qui dérogent au principe du consentement. L’article 7 poursuit ainsi en permettant
un traitement de données lorsque « b) il est nécessaire à l'exécution d'un contrat auquel la
personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la
demande de celle-ci, ou c) il est nécessaire au respect d'une obligation légale à laquelle le
responsable du traitement est soumis ou, d) il est nécessaire à la sauvegarde de l'intérêt vital
de la personne concernée, ou e) il est nécessaire à l'exécution d'une mission d'intérêt public ou
relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le
tiers auquel les données sont communiquées ». Le b) se référant à un traitement nécessaire à
un contrat auquel la personne concernée est partie on peut y voir l’existence implicite d’un
consentement. Ces différentes hypothèses n’appellent que peu de commentaires, et
représentent en définitive les cas les plus fréquents de légitimation d’un traitement de
données. En outre, la Cour de justice des communautés européennes qui s’était vu interroger
par des juges autrichiens sur l’application directe de l’article 7 c) et e) a jugé que ces
dispositions étaient directement applicables et dès lors, un particulier pourra les invoquer
devant un juge national pour que soient écartées des règles de droit interne contraires à ces
dispositions185. Enfin, la directive 95/46/CE prévoit un dernier cas de légitimation d’un
183 Jean Frayssinet, Op. Cit. p130. 184 Les systèmes d’opt in consistent à demander à la personne de manifester clairement son accord pour un traitement de données personnelles, généralement en cochant une case d’acceptation qui est conforme à la nécessité d’obtenir le consentement de la personne ; les systèmes d’opt out consistent à présumer que la personne accepte le traitement de données personnelles la concernant, généralement en précochant une case d’agrément, et seul le décochage de la case lui permet de manifester son refus de voir ses données traitées. 185 CJCE, 20 mai 2003, Rechnungshof Österreichischer Rundfunk, affaires jointes C-465/00, C-138/01 et C-139/01.
88
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
traitement de données en son article 7 f) qui permet un traitement lorsque celui-ci est
« nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou
par le ou les tiers auxquels les données sont communiquées ». Et le législateur communautaire
de poursuivre en précisant que ce dernier cas ne vaut qu’à la condition que ne prévalent pas
l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une
protection au titre de l'article 1er paragraphe 1. Ce que prévoit le f) de l’article 7, c’est donc
une balance des intérêts en présence avec l’objet même de la directive, ce qui permet de
penser que cette condition sera la condition essentielle d’application de l’article 7186.
b) Le principe de l’interdiction du traitement de données sensibles et ses dérogations.
L’article 8 de la directive 95/46/CE relative à la protection des données personnelles
pose un principe clair en son paragraphe premier : L’interdiction de tout traitement portant
sur des catégories particulières de données, que l’on peut qualifier aussi de données sensibles
en référence au langage utilisé par la législation française. Est alors interdit tout traitement de
données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les
convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement
des données relatives à la santé et à la vie sexuelle. Une liste comparable est inscrite dans la
Convention 108 de Conseil de l’Europe à quelques approximations près187. La loi française
de 1978 contenait également une telle liste de données sensibles, et la version intervenue en
transposition de la directive du 24 octobre 1995 la complète en interdisant les traitements de
données relatives à la santé, ce qui n’était pas prévu à l’origine.
Nonobstant la mise en place d’un principe d’interdiction des traitements de données sensibles,
trait marquant des principes du droit communautaire concernant la protection des données
personnelles, la directive prévoit par la suite toute une série d’exceptions à cette interdiction
qui illustrent la souplesse du texte communautaire. En premier lieu, lorsque la personne
concernée donne son consentement à un traitement de données sensibles, celui-ci peut être
autorisé. Mais fort heureusement, la directive prévoit une barrière à cette dérogation lorsque la
loi nationale prévoit que le consentement ne permet pas de lever l’interdiction, puisque les
effets du consentement ne doivent pas être absolus188. Ensuite, un traitement de données
sensibles peut être effectué lorsqu’il est nécessaire pour « respecter les obligations et les droits
186 David Martin, Op. Cit., p.607. 187 Selon l’article 6 de la Convention 108, sont interdits les traitements révélant « l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuel ». On remarque l’absence des traitements de données révélant l’appartenance syndicale. 188 On comprend les dérives qui pourraient avoir lieu dans le cas contraire notamment concernant des données génétiques.
89
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
spécifiques du responsable du traitement en matière de droit du travail ». Mais là encore la
directive apporte un tempérament à cette dérogation, et ne la permet que lorsqu’un tel
traitement est autorisé par une législation nationale qui prévoit des garanties adéquates.
Notons que la loi française relative à l’informatique, aux fichiers, et aux libertés ne reprend
pas ce cas, celui-ci ne correspondant à aucune réalité en France, « contrairement à d’autres
pays où par exemple la législation nationale peut prévoir le prélèvement à la source par
l’employeur des cotisations syndicales ou des contributions fiscales aux églises »189. Sont
aussi exclus de l’interdiction de traitement, ceux qui sont nécessaires à la défense des intérêts
vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée
se trouve dans l'incapacité physique ou juridique de donner son consentement. De même, est
prévue une possibilité de déroger à l’interdiction pour la réalisation par une association à but
non lucratif de ses activités légitimes, à condition que seuls les membres de l’association
soient concernés. La levée de l’interdiction concerne enfin les traitements de données
manifestement rendues publiques par la personne concernée ou qui sont nécessaires à la
constatation, à l'exercice ou à la défense d'un droit en justice.
Le paragraphe 3 de l’article 8 de la directive dispose que l’interdiction ne s’applique pas
lorsque le traitement des données est nécessaire aux fins de la médecine préventive, ou
d’autres aspects liées à la gestion médicale, et que le traitement des données est effectué par
une personne travaillant dans le domaine de la santé soumise au secret professionnel. Les
paragraphes 4 et 5 quant à eux prévoient la même levée de l’interdiction pour un motif
d’intérêt public important, ou pour ce qu’il convient d’appeler les données « judiciaires »190.
Lorsqu’un Etat estime nécessaire de mettre en œuvre des dérogations du type de celles
prévues aux paragraphes 4 et 5, les Etats doivent en faire notification à la Commission, et
l’obligation imposée au responsable du traitement est plus forte, en ce que ces données sont
traitées sous contrôle de l’autorité publique. Enfin, une dérogation est prévue pour les
traitements d’identifiants nationaux, ce que prévoyait déjà la loi française de 1978. On peut
toutefois espérer que cette dernière dérogation sera interprétée avec précaution par les Etats
membres, et en tout état de cause les conditions de légitimation des traitements resteront
toujours à respecter par les responsables de traitements.
189 Marie-Laure Laffaire, Protection des données à caractère personnel, Op. Cit. p.130. 190 Il s’agit du traitement de données traitement de données relatives « aux infractions, aux condamnations pénales ou aux mesures de sûreté ».
90
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Des obligations de transparence et de sécurité pour une meilleure protection de la personne
concernée.
a) Une obligation d’information.
Une protection efficace des personnes dont les données font l’objet d’un traitement
passe forcément par la mise en place d’une obligation d’information de la personne
concernée. Cette obligation est nécessaire pour assurer le droit d’information de la personne,
et constitue un des droits classiquement prévus en matière de protection des données
personnelles. Quel a pu alors être l’apport du droit communautaire pour un droit qui était
traditionnellement reconnu aux personnes concernées par un traitement de leurs données
personnelles ?
La directive a le mérite d’imposer, par le biais de son article 10, la mise en place de telles
obligations à tous les Etats membres de l’Union européenne, soit quinze Etats lors de
l’adoption du texte, vingt-cinq aujourd’hui, et vingt-sept très prochainement, ce qui permettra
aux personnes de voir leur droit d’information lors de la collecte de données personnelles être
respecté sur tout le territoire communautaire. En outre, et c’est là un des apports principaux de
la directive du 24 octobre 1995 concernant l’obligation d’informer les personnes concernées,
cette obligation est étendue à l’hypothèse où les données sont collectées auprès d’un tiers par
l’article 11 de la directive.
Mais la directive ne se limite pas à la seule extension de l’obligation d’information au
cas de collecte auprès d’un tiers, elle est également beaucoup plus protectrice quant aux types
d’informations qui doivent être fournis aux personnes concernées191.
Ainsi, selon l’article 10 de la directive, lorsque les données sont collectées auprès de la
personne concernée, et dans le cas où cette personne n’est pas déjà informée, elle doit être
informée de l’identité du responsable du traitement ou de son représentant, des finalités du
traitement, et de toute information supplémentaire telle que les destinataires ou catégories de
destinataires des données, le fait de savoir si la réponse aux questions est obligatoire ou non
ainsi que les conséquences d’une absence de réponse, et enfin de l’existence d’un droit
d’accès et de rectification des données192. Concernant ces informations supplémentaires,
l’article 10 précise toutefois que ces informations doivent être fournies « dans la mesure où,
compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces 191 Cf. David Martin, Op. Cit.p.608. 192 La loi française relative l’informatique, aux fichiers et aux libertés du 6 janvier 1978 connaissait déjà cette obligation d’informer la personne du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d’un défaut de réponse, des personnes destinataires des informations et de l’existence d’un droit d’accès et de rectification. (Article 27). L’article 32 de la loi dans sa nouvelles version est conforme aux article 10 et 11 de la directive 95/46 CE.
91
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée
un traitement loyal des données ». Ainsi, tout dépend de l’interprétation qui est faite de cette
dernière précision lors de la transposition de la directive.
L’article 11 lui, prévoit que dans le cas où les données ne sont pas collectées auprès de la
personne concernée, elle doit être informée, sauf si elle a déjà été informée, de l’identité du
responsable ou de son représentant, des finalités du traitement, ces types d’information étant
les mêmes que lorsque c’est l’article 10 de la directive qui est applicable, et ensuite, doivent
être communiqués toute information supplémentaire telle que les catégories de données
concernées, les destinataires ou catégories de destinataires des données, et l’existence d’un
droit d’accès et de rectification, le fait de savoir si la réponse aux questions est obligatoire
étant alors remplacé par une information sur les catégories de données concernées. L’article
11 prévoit lui aussi une précision concernant ces informations supplémentaires rédigée dans
les mêmes termes et appelant les mêmes commentaires.
b) Une obligation de confidentialité et de sécurité.
L’obligation de confidentialité inscrite dans la directive 95/46/CE est novatrice et a
pour originalité de s’adresser à toute la chaîne des personnes susceptibles d’intervenir à un
traitement de données personnelles. Est ainsi prévu par l’article 16 de la directive que toute
personne « agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi
que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les
traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales ».
Cette disposition permettra en outre d’établir la responsabilité en cas de violation des
principes de protection des données personnelles, et s’accorde avec les droits de la personne
concernée. Un principe équivalent est inscrit dans la Convention 108.
En outre, une obligation de sécurité est imposée par l’article 17 de la directive. Il s’agit
cette fois, en plus des obligations d’information, transparence et de confidentialité, de mettre
en œuvre les mesures techniques et d’organisation appropriées pour protéger la personne
concernée. La croissance et la bonne santé des entreprises établissant des logiciels et systèmes
de sécurité reflètent la montée en puissance de la protection des données personnelles193.
L’obligation qui incombe au responsable du traitement est une obligation de moyen, comme
nous l’indique la rédaction de l’article et le fait que le responsable doive tenir compte de
« l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard
des risques présentés par le traitement et de la nature des données à protéger ». En tout état de
193 Voir notamment Louise Cadoux, « Solutions techniques de protection de la vie privée », pp.42-53, in « La protection de la vie privée dans la société de l’information », dir. P. Tabatoni, Op. Cit. .
92
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
cause, le droit communautaire lui prescrit de tout mettre en œuvre pour garantir que les
données soient protégées d’une destruction accidentelle ou illicite, de la perte accidentelle,
l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte
des transmissions de données dans un réseau. On pense notamment à des systèmes de
cryptage194. Si la loi française de 1978 contenait une obligation similaire, c’est la doctrine de
la CNIL qui a développé sa portée dans un sens proche de celui donné par le droit
communautaire195. Enfin, quand bien même la convention 108 du Conseil de l’Europe
prévoyait aussi une disposition relative à la sécurité des données196, elle n’était pas aussi
précise que la directive, et la portée de l’obligation posée par le droit communautaire est plus
large étant donné que les traitements effectués par un sous-traitant sont aussi réglementés.
Paragraphe second. Entre simplifications des obligations de déclaration et
mise en cause de la responsabilité.
Un des domaines où le législateur communautaire laisse le plus de libertés aux
autorités nationales est certainement celui de la mise en cause de la responsabilité, et des
sanctions encourues. Par ailleurs, la directive paraît adaptée aux réalités actuelles en
prévoyant des simplifications possibles de l’obligation de notification, et en intégrant des
solutions très inspirées de l’autorégulation comme le correspondant à la protection des
données.
A. Un régime de déclaration simplifié.
1) L’obligation de notification des traitements de données personnelles.
a) Le principe d’une notification obligatoire.
Alors que la Convention 108 du Conseil de l’Europe était muette sur l’existence d’une
obligation de notification des traitements de données personnelles, l’article 18 de la directive
communautaire du 24 octobre 1995 dispose que « les États membres prévoient que le
responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à
l'autorité de contrôle visée à l'article 28 préalablement à la mise en œuvre d'un traitement
194 Voir notamment Mireille Campana, « La cryptographie », pp.54-62, in « La protection de la vie privée dans la société de l’information », dir. P. Tabatoni, Op. Cit. . 195 Jean Frayssinet, Droit de l’informatique et de l’Internet, Op. Cit., p.162. 196 Article 7 de la Convention 108.
93
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même
finalité ou des finalités liées ». Le principe est donc que le responsable du traitement est
soumis à une obligation de notification des traitements qu’il met en œuvre. La loi française du
6 janvier 1978 prévoyait un tel système mais de manière plus restreinte que la directive
95/46/CE. En effet, alors que l’on doit souligner l’avancée de la directive qui ne distingue pas
selon que le traitement de données est effectué dans le secteur public ou dans le secteur privé,
l’ancienne loi française était bien plus stricte à l’égard du secteur public pour lequel elle
imposait pour ainsi dire un régime d’autorisation, que pour le secteur privé, une simple
déclaration auprès de la CNIL était suffisante. La loi française modifiée le 6 août 2004 prend
acte de cette avancée et supprime cette distinction de régime qui n’avait d’ailleurs plus de
fondement197. Seuls les traitements automatisés ou partiellement automatisés sont visés, et
notons que le principe de finalité a son importance ici aussi puisque des traitements ayant une
finalité proche doivent être notifiés.
Toujours dans un but de transparence et de protection élevée des personnes dont les
données personnelles sont traitées, l’article 19 de la directive est très précis quant au contenu
de la notification. En prévoyant un minimum de six catégories d’informations que les Etats
membres devront imposer aux responsables du traitement lors de la notification, le texte
communautaire vise à permettre d’apprécier si le traitement est légitime ou non. Ainsi,
l’article 19 de la directive impose au responsable du traitement d’indiquer, lors de la
notification, ses coordonnées ou celles de son représentant, les finalités du traitement dont
l’indication sera d’une grande utilité si un contentieux venait à apparaître, une description des
personnes ou catégories de personnes concernées ainsi que les données s’y rapportant.
Ensuite, le e) de l’article 19 impose que soit mentionné dans la notification si un transfert de
données est envisagé à destination d’un pays tiers, soit d’un pays non membres de l’Union
européenne, et où la protection des données pourrait ne pas être satisfaisante. Le f) impose
que la notification contienne une description générale permettant d'apprécier de façon
préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en
application de l'article 17. Cette disposition est très satisfaisante pour que l’obligation de
sécurité des traitements précédemment évoquée ne reste pas lettre morte et puisse le cas
échant être contrôlée. Enfin, dans un souci de mise à jour, de cohérence, et de protection
effective, le paragraphe 2 de l’article 19 dispose que les Etats doivent prévoir une disposition
197 Il est vrai qu’en 1978, ce sont surtout les fichiers des administrations qui faisaient craindre aux individus des atteintes à leur vie privée. Désormais, les inquiétudes concernent autant, si ce n’est plus, les entreprises privées.
94
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
qui précise au responsable du traitement les modalités de notification à l'autorité de contrôle
des changements affectant les informations visées au paragraphe 1er.
b) Les simplifications et dérogations permises.
La lecture de l’article 18 de la directive « données personnelles » nous permet de dire que les
dérogations et simplifications à l’obligation de notification sont larges. Néanmoins, de telles
atténuations de l’obligation posée au paragraphe 1er ne doivent pas être inquiétantes d’une
part car la directive ne laisse qu’une possibilité de déroger à l’obligation, dont il reviendra à
chaque Etat de préciser les conditions dans son droit national. Et d’autre part car les
simplifications et dérogations ne signifient pas qu’aucun contrôle ne sera effectué, mais
reflètent plutôt l’intention du droit communautaire d’être plus pragmatique, d’éviter la
lourdeur administrative et procédurale pour chaque traitement de données, tout en conservant
certaines garanties de la protection et en mettant en place un contrôle a posteriori plus
fréquent que le contrôle a priori. Il nous semble que ce faisant, est évité le risque d’une
protection trop illusoire qui serait inadaptée aux progrès technologiques et hors de la réalité
tant dans la pratique des conditions de notification préalable trop contraignantes ont pu
conduire à ce que certains traitements ne soient pas déclarés du tout. Les considérants 51 et 52
nous indiquent clairement le souci de garantir une protection suffisante malgré les
simplifications et exonérations, en soulignant que leur bénéfice « ne dispense le responsable
du traitement de données d'aucune des autres obligations découlant de la présente
directive »198 et qu’en tout état de cause, « le contrôle a posteriori par les autorités
compétentes doit être en général considéré comme une mesure suffisante »199. Quelles sont
alors ces possibilités de simplifications et d’exonérations de l’obligation de notification
qu’offre le droit communautaire ?
Il est tout d’abord possible de prévoir une notification simplifiée pour les traitements qui
ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.
Le responsable du traitement sera alors soumis à une obligation de notification simplifiée
ne contenant que des informations sur les finalités des traitements, les données ou
catégories de données traitées, la ou les catégories de personnes concernées, les
destinataires ou catégories de destinataires auxquels les données sont communiquées et la
durée de conservation des données, ou pourra même être dispensé de notification. La CNIL
s’est exprimée en faveur de ce système afin de ne pas empêcher toute efficacité de son
198 Considérant 51 de la directive 95/46/CE. 199 Considérant 52 de la directive.
95
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
action et du dispositif de protection des données personnelles plus généralement200. Notons
que la CNIL, comme nombre de commissions qui existaient dans d’autres pays européens,
avait mis en place un système de normes simplifiées qui même s’il allait moins loin, visait
les mêmes buts201. Ensuite, d’autres cas de simplification et dérogation à l’obligation de
notification sont prévus par la directive. Les Etats peuvent ainsi prévoir que l’obligation ne
s’applique pas aux registres destinés à l'information du public et ouverts à la consultation
du public ou de toute personne justifiant d'un intérêt légitime selon l’article 18 paragraphe
3 de la directive, à la condition que ce but soit le seul. Les traitements de données effectués
par une fondation, une association ou tout autre organisme à but non lucratif et à finalité
politique, philosophique, religieuse ou syndicale, qui se rapporte à ses membres ou aux
personnes qui entretiennent avec lui des contacts réguliers peuvent aussi bénéficier du
même type de facilités. Enfin, les Etats peuvent prévoir d’aller plus loin pour les
traitements non automatisés, mais en même temps prévoir des simplifications pour leur
notification. On le comprend, la tentative de simplification de la part de la Communauté
européenne est louable, mais l’ampleur des choix qui sont laissés aux Etats semble peu
conforme à un souci d’harmonisation202. La protection serait-elle du même niveau dans
deux Etats ayant fait des choix diamétralement opposés quant à l’obligation de
notification ? Pour le droit communautaire, le respect des autres principes de la directive et
l’existence d’un contrôle a posteriori font barrière contre une possibilité d’abaissement du
niveau de protection.
2) Une innovation importante portant la marque de l’autorégulation : le détaché à la
protection des données.
Inspiré par le droit allemand de la protection des données personnelles203, le
législateur communautaire permet aux Etats qui le souhaitent de prévoir la possibilité de mise
en place d’un détaché à la protection des données personnelles, qui entre clairement dans une
optique de diminution du formalisme trop lourd dont faisait preuve certaines législations
nationales au premier rang desquelles on peut placer la loi française, et s’inscrit sans conteste
dans une logique d’acceptation grandissante de principes d’autorégulation et permet par la
200 CNIL, 18ème rapport d’activité, 1997, La documentation française, p.38. 201 Nathalie Mallet-Poujol, La réforme de la loi « Informatique et liberté », Op. Cit, p.60. 202 Cf. le Rapport de la Commission européenne - Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */ 203 L’expérience allemande du Datenschutzbeauftragter a été très concluante.
96
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
même occasion de répandre la connaissance des principes relatifs à la protection des données
personnelles de manière plus efficace, en se faisant à l’intérieur même d’une entreprise.
Selon l’article 18 de la directive du 24 octobre 1995, la mise en place d’un détaché à la
protection des données personnelles, ou d’un correspondant chargé de la protection des
données personnelles, constitue une des hypothèses où peut être prévue une limitation ou une
dérogation à l’obligation de notification qui incombe au responsable du traitement. Le droit
communautaire ne se contente pas de prévoir la possibilité de mettre en place un tel détaché,
mais prévoit aussi certaines de ses attributions et des garanties auxquelles il doit satisfaire.
Ainsi, pour ce qui est de ses attributions, la directive précise que le détaché doit assurer
l’application interne des dispositions nationales de la directive. Cela revient à prévoir
l’existence, au sein d’une entreprise, d’une personne chargée de la protection des données
personnelles. De plus, le détaché à la protection des données est chargé de tenir un registre
des traitements de données effectués par le responsable, avec la précision de certaines
informations204 : les coordonnées du responsable du traitement, les finalités poursuivies, une
description des données ou catégories de personnes concernées et des données les concernant,
les destinataires auxquels les données sont susceptibles d’être communiquées, ainsi que les
transferts de données envisagés vers des pays tiers. Ensuite, pour ce qui est des garanties du
détaché, la directive impose que le détaché fasse preuve d’indépendance dans ses missions.
Les dispositions de la directive n’empêchent pas le droit national de prévoir d’autres
exigences comme nous l’indique l’emploi de l’adverbe « notamment » dans la phrase «un
détaché à la protection des données à caractère personnel chargé notamment […] ».
Prévue ni par la convention 108 du conseil de l’Europe, ni par la loi française
« informatique et libertés », cette innovation d’origine allemande a déjà fait bonne impression
en France. Qu’en est-il de la mise en place de ce détaché en France, qui sera qualifié de
« correspondant informatique et libertés » selon la terminologie du droit national ? Après la
transposition de la directive 95/46/CE en droit français par la loi du 6 août 2004 modifiant la
loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il était nécessaire
que des mesures réglementaires d’application soient prises, notamment concernant la mise en
place d’un détaché à la protection des données personnelles. C’est chose faite avec l’adoption
du décret n°2005-1309 du 20 octobre 2005205. Parmi les règles d’application les plus
attendues, celles relatives au correspondant à la protection des données avaient une place de
204 L’article 18 renvoi aux informations prévues l’article 21 2) qui lui-même renvoie aux informations énumérées à l'article 19 paragraphe 1 points a) à e). 205 Décret n°2005-1309, 20 octobre 2005, JO 22 octobre 2005, p. 16769.
97
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
choix206. Ce nouveau personnage que la CNIL qualifie d’ « incontournable dans le paysage de
la protection des données à caractère personnel »207 a vu sont statut être précisé. Il doit
disposer de la liberté d’action et de l’autorité indispensables pour recommander des solutions
à l’abri des conflits d’intérêt, conformément à l’exigence d’indépendance posée par le droit
communautaire. Face à l’inquiétude de certains parlementaires français, le Conseil
constitutionnel saisi de la loi du 6 août 2004 a validé l’institution du correspondant à la
protection des données en estimant qu’il était entouré d’un ensemble de précautions relatives
à son indépendance, son rôle et ses qualifications208. Le correspondant doit avoir des
connaissances juridiques relatives à la protection des données à caractère personnel, à
l’informatique, sans oublier le domaine d’activité propre du responsable des traitements.
Enfin, il peut aussi bien être choisi au sein de l’organisme qu’à l’extérieur, et l’on conviendra
avec certains observateurs qu’un correspondant extérieur à l’organisme s’il était indépendant
juridiquement, le serait beaucoup moins économiquement209. Le sénateur Alex Türk,
président de la CNIL, expliquait que « le système des correspondants permettra de voir
remonter vers la CNIL des dossiers qui ne sont pas connus aujourd’hui »210. La CNIL indique
qu’au 22 mars 2006, 170 organismes ont désigné un correspondant, le nombre de
correspondants s’élevant à 79211. Quelques mois seulement après le décret d’application de la
nouvelle loi informatique et libertés, on peut donc parler de succès. L’avenir et la pratique
nous répondront sur la question de son efficacité.
B. Une large marge d’appréciation laissée aux Etats quant à la responsabilité et aux
sanctions à mettre en œuvre.
1) L’engagement de responsabilité du responsable du traitement
a) Les différents recours comme préalable à l’engagement de responsabilité.
A partir du moment où la personne concernée par le traitement de données doit
bénéficier d’un droit de recours, et plus largement à partir du moment où le droit
communautaire lui confère des droits, il faut que les Etats mettent en place des recours
206 Jean Frayssinet, « Le décret n°2005-1309 pris pour l’application de la loi modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés »,RLDI, décembre 2005, n°11 p. 24 et s. 207 CNIL, 26 ème rapport d’activité, 2006, p.27. 208 Conseil Constitutionnel, décision n°2004-499 DC du 29 juillet 2004. 209 Gilles Vercken, Gwendoline Van Ossl et Céline Serpagli, « Le « correspondant à la protection des données » : une création inachevée ? », RLDI, octobre 2005, n°9, p.58 et s. 210 Alex Türk, débats devant l’Assemblée Nationale, avril 2004, cité par Marie-Laure Laffaire, La protection des données à caractère personnelle, p.195. 211 Site internet de la CNIL, www.cnil.fr, rubrique « approfondir », « dossiers », « correspondant ».
98
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
juridictionnels pour qu’elle puisse faire valoir ses droits. En effet, la directive prévoit qu’en
cas de non-respect des droits des personnes concernées par le responsable du traitement de
données, un recours juridictionnel doit être prévu par les législations nationales. Il ne s’agit
pas ici d’étudier le droit au juge212, mais plutôt de s’intéresser à l’engagement de
responsabilité du responsable du traitement. L’article 23 de la directive 95/46/CE prévoit que
toute personne dont les droits sont violés « a le droit d'obtenir du responsable du traitement
réparation du préjudice subi ». Il s’agit alors mutatis mutandis d’une obligation de réparation
des dommages causés lors d’un traitement de données qui est à la charge du responsable du
traitement. La directive 2002/58/CE applicable spécifiquement à la protection de la vie privée
dans le secteur des communications électroniques contient des dispositions strictement
analogues puisqu’elle se contente de renvoyer aux dispositions de la directive 95/46/CE213.
b) Les causes d’exonération de la responsabilité.
Selon l’article 23.2, « Le responsable du traitement peut être exonéré partiellement ou
totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est
pas imputable ». Cette disposition pour le moins laconique peut être éclaircie par le
considérant 55 de la directive qui nous indique que le responsable du traitement peut être
exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable,
notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de
force majeure. Or, si l’on comprend l’exonération de responsabilité lorsque la personne
concernée commet une faute, on peut valablement s’interroger sur le type de fautes pouvant
être exonératoire de la responsabilité. De même, il faut s’interroger sur ce que serait un cas
de force majeure empêchant de respecter les principes de protection des données à caractère
personnel. La directive est muette sur ce point contrairement à la proposition modifiée de
directive du 16 octobre 1992 qui précisait qu’une exonération de responsabilité pour cause de
force majeure pouvait être établie s’il l’on prouvait que des mesures de sécurité appropriées
avaient été prises pour couvrir les dommages résultant d’une perte ou d’une destruction de
données ou d’un accès non autorisé. Là encore le domaine des communications connaît les
mêmes causes d’exonération conformément à la directive 2002/58/CE qui applique les
dispositions correspondantes de la directive 95/46/CE.
212 Même si l’objectif est le même que celui énoncé dans l’arrêt Johnston qui consacre le droit au juge en énonçant que « chaque personne a droit à un recours effectif devant une juridiction compétente ». CJCE, 15 mai 1986, Johnston, Aff. 222/84, Rec. P.1651. Pt 18. 213 Article 15.2 de la directive 2002/58/CE.
99
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Des sanctions laissées à la discrétion des Etats membres.
a) Une large marge de manœuvre laissée aux Etats.
L’article 24 de la directive « données personnelles » du 24 octobre 1995 pose le
principe de sanctions en cas de violation des règles relatives à la protection des données
personnelles. Encore une fois, la directive laisse de larges choix aux Etats membres en
disposant simplement que « les États membres prennent les mesures appropriées pour assurer
la pleine application des dispositions de la présente directive et déterminent notamment les
sanctions à appliquer en cas de violation des dispositions prises en application de la présente
directive ». L’article 15.2 de la directive 2002/58/CE prévoit l’application de ces principes au
secteur des communications électroniques. Nul doute que les sanctions ne seront pas les
mêmes en fonctions des Etats membres et de leurs traditions juridiques différentes, le
législateur national ayant le choix entre des sanctions pécuniaires, pénales, administratives…
Quoiqu’il en soit, le même principe est posé dans la Convention 108 du Conseil de l’Europe
dont l’article 10 dispose que « chaque Partie s'engage à établir des sanctions et recours
appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de
base pour la protection des données énoncés dans le présent chapitre ».
b) Le risque de créer ces paradis de données que l’on craignait tant.
Et si la grande marge de manœuvre laissée aux Etats membres de la Communauté
européenne quant à la responsabilité et les sanctions encourues aboutissait à créer de telles
divergences entre les législations des Etats membres, qu’il serait plus intéressant pour un
responsable de traitement d’être soumis à la loi de protection des données personnelles d’un
Etat plutôt que d’un autre ? Et si les craintes de voir apparaître des « paradis de données »
comme il existe des paradis fiscaux ne venait pas des règles de licéité et de légitimation des
traitements, mais plutôt des différences dans les règles liées aux responsabilités et aux
sanctions encourues ? La directive ne nous donne pas de réponse rassurante sur ces questions,
mais l’on peut espérer que l’obligation de coopération loyale qu’ont les Etats membres en
vertu de l’article 10 du traité instituant la Communauté européenne restreigne les risques de
divergences, ou encore que les contrôles qui seront effectués par les autorités nationales ainsi
que par les autorités communautaires visent à réduire de telles disparités qui d’une part ne
sont que potentielles, et d’autre part n’auront pas forcément les conséquences évoquées.
100
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Chapitre II. Des dispositions garantissant l’effectivité de la protection
des données personnelles.
Le droit communautaire a saisi une des nécessités essentielles pour une protection des
données à caractère personnel qui ne soit pas illusoire : instituer des autorités de contrôle qui
veilleront à la bonne application des principes en vigueur, et le cas échéant contrôleront les
traitements de données personnelles effectués. Le Communauté européenne impose alors aux
Etats membres de se doter d’autorités de contrôle indépendantes dont certains des pouvoirs et
des missions sont déterminés par le droit communautaire, et prévoit par ailleurs des autorités
au niveau communautaire pour le contrôle de l’application des principes de la protection des
données personnelles essentiellement contenus dans la directive 95/46/CE. (Section 1ère).
Réaliste, le droit communautaire prévoit également des dispositions lui permettant de
contrôler les flux transfrontalières de données personnelles au départ de la Communauté.
Mais le réalisme devrait conduire à percevoir au plus vite qu’à terme, seule une protection
internationale efficace des données personnelles pourra porter ses fruits. (Section 2ème).
Section 1. L’arsenal organique institué par la Communauté européenne
pour la protection des données personnelles.
Il convient de parler d’un véritable arsenal organique institué par la Communauté
européenne car celle-ci, en plus de prévoir que chaque Etat membre doit disposer d’une
autorité nationale de contrôle indépendante (Paragraphe 1er), met en place un groupe similaire
au niveau européen, le groupe de l’article 29, ainsi qu’un comité chargé d’assister la
Commission européenne, tout comme un contrôleur à la protection des données pour les
traitements effectués par les organes et institutions communautaires. Les systèmes
d’information européen crées hors du droit communautaire possèdent des autorités de
contrôle communes, mais dont le contrôle semble bien plus restreint. (Paragraphe 2nd).
101
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Paragraphe premier. Les autorités nationales contrôlant la protection des
données personnelles.
La nécessité de mettre en place des autorités de contrôle indépendantes au niveau
national est inspirée de l’expérience de la plupart des Etats qui disposaient d’une législation
dans le domaine de la protection des données personnelles. La directive 95/46/CE va jusqu’à
préciser certaines des missions qui leur sont confiées, ainsi que leurs pouvoirs, le tout pour
une bonne application des dispositions nationales prises en application du droit
communautaire.
A. La mise en place d’autorités nationales de contrôle.
1) Une spécificité européenne.
a) L’existence d’autorités de contrôle indépendantes pour la protection des données
personnelles.
La protection des données à caractère personnel par le droit communautaire présente la
particularité d’exiger des Etats membres qu’ils mettent en place une ou plusieurs autorités de
contrôle. Aucune obligation n’est imposée quant à la composition ou l’organisation de telles
autorités, et malgré le fait que la directive soit exigeante sur la mise en place d’autorités de
contrôle214, elle laisse une grande souplesse aux Etats quant à la composition et l’organisation
des ces autorités chargées de surveiller l’application des dispositions adoptées en application
de la directive sur le territoire de l’Etat membre dont elles relèvent. Une condition importante
ressort néanmoins de l’article 28 de la directive 95/46/CE qui prévoit que « ces autorités
exercent en toute indépendance les missions dont elles sont investies », condition que le
considérant 62 de la directive qualifie d’ « élément essentiel de la protection des personnes à
l'égard du traitement des données à caractère personnel ». En tout état de cause, il est difficile
dans la pratique de vérifier que ces autorités sont pleinement indépendantes. L’intérêt d’une
autorité exerçant ses missions en toute indépendance est évidemment que les intérêts de la
personne concernée pèsent autant dans la balance que ceux du responsable, personne privée
ou publique215, et ce d’autant plus en matière de protection des libertés, notamment ici du
droit à la vie privée. L’autorité de contrôle mise en place ne devra donc pas être soumise à
l’influence d’un pouvoir quelconque. Comme le souligne Yves Poullet, l’intervention
214 David Martin, Op. Cit.p.610. 215 H. Maisl, « Les autorités de contrôle et la défense de la vie privée », in Actes du colloque du 15 novembre 1996 : Privacy : new risks and opportunities, Bruxelles, Cahiers du CRID, n°13, 1997, p.79.
102
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
d’autorités de contrôle indépendantes dans la protection des données personnelles « distingue
fondamentalement l’option européenne de celles présente dans les autres instruments
internationaux de protection » 216. Il est évident que cette particularité constitue l’un des traits
marquants de la protection des données personnelles par le droit communautaire, et l’article 8
de la Charte des droits fondamentaux de l’Union européenne vient renforcer l’importance de
telles autorités en contenant, à son paragraphe 3, une disposition énonçant que le respect des
règles qu’elle contient relatives à la protection des données à caractère personnel est soumis
au contrôle d’une autorité indépendante.
b) Les autorités de contrôle dans les Etats membres.
Les premières lois nationales de protection des données personnelles avaient eu
l’initiative de mettre en place des autorités spécialisées dans le contrôle de la protection des
données personnelles. La loi du land de Hesse en Allemagne, première loi relative à la
protection des données personnelle en 1970 consacrait déjà l’existence d’une autorité de
protection des données. La loi suédoise de 1973 fit de même, ainsi que la loi française de
1978. D’autres pays suivirent, permettant de distinguer quelques modèles européens
d’autorités chargées de la protection des données.
Pour ce qui est de la CNIL en France, sa création dès 1978 est une innovation majeure
du droit français dans la mesure où elle a été la première autorité administrative indépendante.
Sa composition est de dix-sept membres qui sont élus par les assemblées ou les juridictions
auxquelles ils appartiennent. La Commission agit librement et élit son président parmi ses
membres. Elle ne reçoit d’instruction d’aucune autorité et les ministres, autorités publiques,
dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action pour quelque
motif que ce soit et doivent prendre des décisions utiles pour faciliter sa tâche. Enfin, le
président de la CNIL, pour le moment le sénateur Alex Türk, choisit librement ses
collaborateurs. On peut donc parler d’une autorité réellement indépendante, et la réputation de
la CNIL largement positive parmi les citoyens va logiquement en ce sens, lui accordant
beaucoup de crédit. Différents pays ont suivi le modèle français, notamment la Belgique avec
la Commission pour la protection de la vie privée, largement inspirée de la CNIL, ou encore
l’Espagne, avec la Agencia de Proteccion de Datos. La Comissào Nacional de Potecçào de
Dados – Informatizados, Commission portugaise de protection des données, est également
basée sur le même modèle. Il existe un second modèle d’autorité de protection des données
personnelles, initié par la loi britannique de 1984, modifié par le Data protection Act de 1998,
216 Y. Poullet, L’autorité de contrôle : « vues » de Bruxelles. RFDAP, n°89, janvier-mars 1999, pp. 69-81.
103
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
qui met en place une autorité composée d’un commissaire unique chargé de la protection des
données, le Data Protection Commissioner. Ce modèle a largement inspiré notamment le
modèle irlandais, qui crée une autorité similaire dès 1988. Enfin, le troisième modèle
européen que nous pouvons distinguer est le modèle issu de la législation allemande, où sont
cumulées d’une part une autorité fédérale de protection des données personnelles, la
Bundesbeauftragte für den Datenschutz, et d’autre part des autorités de protection des
données propres à chaque Land. La directive 95/46/CE prend note des différents cas de figure
pouvant se présenter dans les Etats membres de la Communauté européenne et prévoit qu'une
ou plusieurs autorités publiques de protection des données doivent être mises en place par les
Etats. La directive ne précisant pas la composition de telles autorités, toutes les configurations
pourront se présenter du moment que l’autorité est publique, et surtout qu’elle exerce ses
missions en toute indépendance.
2) Le rôle des autorités de contrôle.
a) Un rôle de contrôle et consultatif
Les autorités de contrôle prévues par le droit communautaire ont pour rôle de
surveiller la bonne application des règles de protection des données personnelles. En outre,
selon l’article 28 paragraphe 2, elles ont un rôle consultatif obligatoire pour les Etats
membres, lorsqu’ils élaborent des mesures réglementaires ou administratives relatives à la
protection des droits et libertés des personnes à l'égard du traitement de données
personnelles. Néanmoins, la directive n’impose aucunement aux Etats membres que les
autorités en cause émettent des avis conformes. Il appartient aux différents Etats de décider
de la nature et de la portée des avis qu’elles émettent. En dehors de ce rôle de surveillance,
elles disposent également d’un rôle tendant à alerter les individus ainsi que les autorités des
risques encourus. Certains ont pu parler d’un rôle tendant à « éveiller les consciences »217
tandis que d’autres ont qualifié ces autorités de « chien de garde »218. L’autorité est alors
assimilé à un organe qui « aboie face aux initiatives de l’Etat, s’informe, surveille, dénonce,
manie le bâton, joue de son influence, en appelle au public »219. Quelle que soit la formule
utilisée, on comprend l’utilité de ce genre d’autorités dans un domaine où les libertés
individuelles, au premier rang desquelles se trouve le droit à la vie privée, sont menacées par
l’utilisation de technologies toujours plus innovantes. La directive prévoit alors que l’autorité 217 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 218 D.H Flaherty, Protecting privacy in a surveillance society, Chapel Hill, N.C., 1989, p.281 et s; cité par Y. Poullet, in L’autorité de contrôle : « vues » de Bruxelles, Op. Cit. p.72. 219 Y. Poullet, in L’autorité de contrôle : « vues » de Bruxelles, Op. Cit. p.72.
104
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
de contrôle publie régulièrement un rapport sur son activité220. La CNIL était déjà conforme
à ces prescriptions communautaires, et son rapport d’activité publié tous les ans est toujours
riche d’enseignements. Notons enfin que l’autorité de contrôle possède un champ d’action
très large dans la mesure où comme nous l’avons expliqué, les définitions données par la
directive des notions de données personnelles et de traitement de données personnelles
permettent un champ d’application étendu. Pour revenir au cas de la Commission française
« Informatique et libertés », la transposition de la directive de 1995 par la loi du 6 août 2004
permet à la CNIL de voir son contrôle étendu aux traitements de données constitués par des
images et des sons, ce qui n’était pas possible avec la loi ancienne. D’autres avancées
peuvent être constatées avec la directive communautaire qui démontre alors sa modernité qui
est son premier atout.
b) Un contrôle a posteriori renforcé.
Plutôt que d’imposer de lourds contrôles a priori nécessitant l’autorisation ou à tout le
moins une notification parfois lourde de précisions à l’autorité de contrôle, la directive met en
place un système tendant au renforcement du contrôle a posteriori plus efficace et surtout plus
réaliste dans une société de l’information où les traitements de données personnelles licites et
légitimes ne doivent pas être freinés par trop de formalisme et d’exigences procédurales. Nous
l’avons vu, l’article 20 de la directive consacré aux contrôles préalables impose aux Etats de
préciser les traitements susceptibles de présenter des risques particuliers au regard des droits
et libertés des personnes concernées et doivent veiller à ce que de tels traitements soient
examinés avant leur mise en œuvre. L’objectif de la directive est ici clair : il ne s’agit
nullement de supprimer tout contrôle préalable, mais en raison de la nécessité d’une action
efficace des autorités de contrôle, il faut, autant que faire se peut, que les contrôles préalables
se concentrent sur les traitements à risques. De nombreuses simplifications sont ainsi prévues
qui sont compensées par l’existence de plus en plus fréquente de contrôles a posteriori, et ce
dans tous les Etats membres de la Communauté européenne, en application des dispositions
de la directive « données personnelles ».
En France, c’est avec satisfaction que de nombreux auteurs ont accueilli, parmi les
réformes concernant la CNIL, celles permettant un glissement vers un contrôle a posteriori,
qu’avait préconisées le président Braibant dans son rapport au premier ministre en vue de la
transposition de la directive 95/46/CE en droit français221. La CNIL devrait ainsi pouvoir se
220 Article 28 § 5 de la directive 95/46/CE. 221 Guy Braibant, Données personnelles et société de l’information, Rapport au Premier ministre. La documentation française, 1998, 291 p.
105
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
concentrer davantage sur les traitements de données personnelles réellement susceptibles de
poser problème, contrairement à ce que prévoyait le système de la loi de 1978 dans sa version
ancienne qui avait abouti à ce que « l’attribution d’autorisations préalables [occupe] 75% des
activités de la CNIL, qui ne pouvait dès lors opérer aucun contrôle »222. La loi française du 6
août 2004 conserve toutefois un contrôle a priori dans certains cas, mais de manière dirons-
nous complexe, difficile à saisir, qui aboutit à « un montage de type usine à gaz, source
d’insécurité juridique »223 selon les mots du professeur Frayssinet. Quoiqu’il en soit, ce
glissement heureux vers davantage de contrôles a posteriori ne saurait être possible sans
l’octroi de pouvoirs suffisants aux autorités de contrôles. La directive précise alors certains de
leurs pouvoirs d’investigation et d’intervention.
B. Les pouvoirs et missions des autorités dans l’Union européenne.
1) des pouvoirs potentiellement larges
a) Des pouvoirs d’investigation et de saisine.
Selon l’article 28 de la directive communautaire de protection des données
personnelles, toute autorité de contrôle doit disposer de pouvoirs d’investigation. Le texte de
la directive nous en donne quelques exemples tels que le pouvoir d'accéder aux données
faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à
l'accomplissement de sa mission de contrôle.
La loi « Informatique et libertés » du 6 janvier 1978 attribuait déjà à la CNIL des
pouvoirs d’investigation, mais la loi nouvelle a pour apport d’en préciser davantage les
contours. Même si certaines précisions ne viennent que confirmer ce qui se pratiquait, le texte
a le mérite d’énoncer explicitement certaines pratiques. Est ainsi prévu que les membres de la
CNIL et les agents habilités « peuvent demander communication de tous documents
nécessaire à l’accomplissement de leur mission ». Aucune condition tenant au support
électronique ou non de l’information n’est alors posée224. Autre signe des pouvoirs forts
d’intervention qui sont accordés aux membres de la CNIL et aux agents habilités, ceux-ci
peuvent, conformément à l’article 44 de la nouvelle loi « informatique et libertés », accéder de
6 heures à 21heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, 222 Alexandre Maitrot de la Motte, « La réforme de la loi informatique et libertés et le droit au respect de la vie privée », Op. Cit. 223 Jean Frayssinet, « La loi relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 : continuité et/ou rupture ? » Op. Cit. 224 Julien le Clainche, « Pouvoirs a posteriori de la CNIL : les risques de l’excès de prudence », RLDI n°11 décembre 2005 p.43 et s.
106
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
installations ou établissements servant à la mise en œuvre d’un traitement de données
personnelles et qui sont à usage professionnel. Les parties de ces lieux affectées au domicile
privé ne sont pas concernées.
Peut être pouvons nous rattacher aux pouvoirs d’investigation de l’autorité de contrôle,
les pouvoirs de saisine dont elle doit disposer, tant ces deux pouvoirs nous paraissent
intimement liés l’un à l’autre. Selon les dispositions communautaires, l’autorité de contrôle de
l’article 28 doit pouvoir soit ester en justice, soit être en mesure de porter les violations des
dispositions nationales prises en vertu de la directive à la connaissance de l’autorité judiciaire.
Il s’agit logiquement de donner tout effet utile aux pouvoirs de l’autorité de contrôle. Dès lors
qu’elle dispose de pouvoirs d’investigation lui permettant de constater toute violation des
règles de protection des données personnelles établies par le droit communautaire, l’autorité
judiciaire doit en connaître d’une manière ou d’une autre. Le système français a choisi de ne
pas adopter la possibilité de permettre à l’autorité de contrôle d’ester en justice, mais celle-ci
peut néanmoins user de son pouvoir de saisine de l’autorité judiciaire tel que prévu à l’article
11-2 e) de la loi française dans sa version du 6 août 2004. Notons que le passage par la CNIL
n’est pas une obligation pour la personne estimant que ses droits de protection à l’égard des
traitements de données personnelles ont été méconnus, et elle peut elle-même saisir l’autorité
judiciaire directement. Le pouvoir de saisine de la CNIL n’est qu’un mécanisme
supplémentaire permettant le cas échéant de saisir l’autorité judiciaire si nécessaire.
b) Des pouvoirs d’intervention.
Dans un souci d’efficacité, il est logique d’attribuer aux autorités de contrôle des
pouvoirs d’intervention assez larges. En effet, sans de tels pouvoirs, la mise en place de ces
autorités quand bien même elles disposeraient des pouvoirs d’investigations suscités ne
pourrait qu’être vaine. La directive 95/46/CE prévoit alors que les autorités de contrôle
doivent disposer de « pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre
des avis préalablement à la mise en œuvre des traitements, conformément à l'article 20, et
d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage,
l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un
traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du
traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques ».
Pour ce qui est du pouvoir de rendre des avis préalables, le lien est très étroit avec le
pouvoir de contrôle et de surveillance qui est conféré à l’autorité de contrôle. Il faut toutefois
préciser que si une autorité de contrôle comme la CNIL peut émettre des avis et
107
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
recommandations dans le cadre de son rôle de régulation, elle ne dispose pas d’un pouvoir
réglementaire même s’il semble que l’on se dirige sur cette voie. Herbert Maisl estime alors
que l’autorité de contrôle, organe de régulation, obtient peu à peu le pouvoir d’intervenir
pleinement et de manière autoritaire pour assurer l’effectivité des règles dont elle doit
surveiller l’application.225 En outre, le pouvoir qui est conféré à l’autorité de contrôle exclut
toujours le pouvoir de réglementer en adoptant des règles de droit impersonnelles et
générales226. En tout état de cause, les autorités de contrôles mises en place dans les différents
Etats européens agissent le plus souvent par voie de décisions obligatoires, quand bien même
il s’agit de décisions individuelles, et c’est certainement la raison pour laquelle la directive
95/46/CE prévoit la possibilité de former un recours juridictionnel contre les décisions de ces
autorités faisant grief227.
Concernant les autres pouvoirs d’intervention prévus par la directive, ceux permettant
à l’autorité de contrôle d’ordonner le verrouillage, l’effacement, la destruction ou
l’interdiction, temporaire ou définitive d’un traitement de données personnelles correspondent
finalement aux droit d’intervention sur les données personnelles que possède la personne
concernée en vertu de la directive. Il est évident que si la personne concernée doit bénéficier
de droits qu’elle pourra utilement exercer, il faut que l’autorité de contrôle dispose de
pouvoirs effectifs rendant possible l’exercice de ces droits. La CNIL, en vertu des dispositions
de la loi française modifiée bénéficie à ce titre de pouvoirs d’injonction envers le responsable
du traitement.
De plus, il semble que selon la directive communautaire, l’autorité communautaire
doit bénéficier d’un pouvoir de sanction dont la portée n’est pourtant nullement précisée. On
peut toutefois déduire une telle possibilité d’une part des sanctions que les Etats doivent
prévoir pour toute violation des dispositions nationales prises en application de la directive228,
et d’autre part de la possibilité prévu à l’article 28 de la directive de prévoir que les autorités
nationales puissent adresser un avertissement ou une admonestation au responsable du
traitement, l’admonestation devant être entendue comme le fait de faire une sévère
réprimande à quelqu'un229. Il est remarquable que le législateur français ait profité de
l’occasion de transposition de la directive « données personnelles » pour accroître les
225 H. Maisl, « Les autorités de contrôle et la vie privée », cité par Yves Poullet, in « L’autorité de contrôle : « vues » de Bruxelles ». Op. Cit. 226 Yves Poullet, Op. Cit. p.74. 227 Article 28 paragraphe 3 de la directive 95/46/CE. 228 Article 20 de la directive 95/46/CE. 229 Dictionnaire de l’Académie française, 8ème éd. (1932-5).
108
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
pouvoirs de sanction de la CNIL. Un pouvoir de sanction pécuniaire est ainsi reconnu à la
CNIL par l’article 21 de la loi nouvelle. « Proportionnée à la gravité des manquements
commis et aux avantages tirés de ce manquement », la sanction pécuniaire peut aller jusqu’à
150 000 euros, ou même 300 000 euros en cas de récidive dans les cinq ans230. Il est toutefois
impossible pour la CNIL de sanctionner financièrement l’Etat, mais cela ne doit pas être
étonnant étant donné que de nombreux traitements effectués par l’Etat ne relèvent pas du
champ d’application de la directive communautaire, et qu’en outre, la CNIL n’ayant pas de
personnalité morale, cela « conduirait l’Etat à être condamné à se verser une somme d’argent
à lui-même »231. En plus de ces pouvoirs répressifs nouveaux reconnus à la CNIL, elle
dispose désormais de pouvoirs d’urgence, non imposés par le droit communautaire mais qui
sont à relever néanmoins.
2) Une obligation de coopération entre autorités.
Enfin, la directive prévoit une coopération entre les autorités de contrôle de chaque
Etat membre de la Communauté. Cette obligation correspond à celle prévue à l’article 13.3 de
la Convention 108 du Conseil de l’Europe qui prévoit une coopération entre les parties qui se
manifeste notamment par la fourniture d’informations entres autorités nationales lorsque la
demande est formulée. Malgré tout, la directive 95/46/CE du 24 octobre 1995 semble aller
plus loin que la Convention du Conseil de l’Europe, à partir du moment où après avoir précisé
les missions et pouvoirs des autorités de contrôle, elle prévoit que «les autorités de contrôle
coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions,
notamment en échangeant toute information utile ». Il est logique que les différentes autorités
de contrôle chargées de surveiller l’application des dispositions nationales prises sur le
fondement de la directive du 24 octobre 1995 doivent collaborer, cette collaboration
permettant d’une part une certaine cohérence dans une protection qui trouve désormais le
même fondement dans chaque Etat suite à l’harmonisation opérée, et d’autre part un échange
de vues souhaitable entre des autorités appliquant les mêmes principes de protection des
données et qui seront tôt ou tard confrontées à des problèmes similaires, l’expérience des uns
pouvant toujours être utiles aux autres dans une Communauté de droit comme la
Communauté européenne et plus largement l’Union européenne.
230 Le montant ne devant toutefois pas excéder 5% du chiffre d’affaires hors taxe, en application de l’article 47 de la loi relative à l’informatique, aux fichiers et aux libertés. 231 Julien le Clainche, Op. Cit. p.46.
109
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Paragraphe second. Les autorités communautaires pour la protection des
données personnelles.
Une des grandes originalités de la directive 95/46/CE est de mettre en place, à côté des
autorités nationales de contrôle, un groupe européen à la protection des données, dont le rôle
est principalement consultatif. Cette autorité n’est pas la seule au niveau communautaire, et
sont aussi prévus un comité et un contrôleur européens à la protection des données, avec des
tâches spécifiques. D’autres autorités existent en dehors du cadre communautaire.
A. Les organes mis en place par la directive 95/46/CE
1) Le « groupe de l’article 29 ».
En plus d’imposer aux Etats membres l’obligation d’instituer une autorité nationale de
contrôle en matière de protection des données personnelles, la Communauté européenne crée
une autorité spécifique au niveau européen par le biais de l’article 29 de la directive
95/46/CE, ce qui lui a valu la dénomination de « groupe de l’article 29 ». Les dispositions de
la directive lui confèrent un caractère consultatif et indépendant. Sur la question de
l’indépendance, il n’aurait pu en aller autrement si l’on considère d’une part que les autorités
nationales de contrôle sont soumises à un tel principe d’indépendance, même si les
observateurs les plus sceptiques pourraient répondre que l’obligation d’indépendance est bien
plus forte pour les autorités nationales dans la mesure où celles-ci disposent de réels pouvoirs
de contrôle contrairement au groupe de l’article 29. D’autre part, cette obligation nous semble
d’autant plus logique que le groupe institué par l’article 29 de la directive « données
personnelles » est composé principalement de représentants des autorités nationales dont le
principe de l’indépendance a été affirmé clairement par le droit communautaire. Les autres
membres du groupe de protection des données personnelles sont le représentant de l'autorité
ou des autorités créées pour les institutions et organismes communautaires, soit le contrôleur
européen à la protection des données, et un représentant de la Commission européenne. De
plus, l’indépendance est favorisée par le fait que chaque membre du groupe est désigné par
l'institution, l'autorité ou les autorités qu'il représente ce qui contribue à accroître par la même
occasion l’indépendance de ces groupes. D’autres dispositions de la directive vont en ce sens,
comme le fait que le groupe élise lui-même son président ou encore qu’il établisse son propre
règlement intérieur.
110
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
S’il faut accueillir avec faveur le fait que la Communauté ait institué un groupe
européen de protection des données personnelles, on peut s’interroger sur le réel caractère
novateur de cet organe. N’existe-il pas en dehors du groupe de l’article 29, d’autres groupes
de protection des données personnelles à vocation internationale qui l’auraient précédé ? Si
l’on s’intéresse à ce qui se passe du côté du Conseil de l’Europe, on remarque que la
Convention 108 contient trois articles, 18, 19, et 20, consacrés à la mise en place d’un comité
consultatif chargé de formuler des propositions ou de donner des avis aux Etats parties en vue
de résoudre les problèmes posés par le traitement automatisé des données232. En outre, une
initiative spontanée des autorités de contrôle existantes a vu le jour en 1994 en réaction au
projet de directive communautaire233 : la conférence des commissaires européens pour la
protection des données personnelles. Ajoutons qu’une conférence internationale des
commissaires à la protection des données personnelles voit régulièrement les représentants
d’autorités de contrôle du monde entier se rencontrer pour discuter des différentes questions
liées à la protection des données personnelles depuis plus de vingt années234.
Le groupe de l’article 29 a donc des prédécesseurs, mais sa mise en place reste une
chose satisfaisante d’autant que dans une Communauté de droit, l’application des règles
issues d’une directive nécessite une certaine cohérence vers laquelle permet de tendre le
groupe de l’article 29. Les termes mêmes de la directive indiquent que le groupe contribue à
la mise en œuvre homogène des dispositions nationales prises en application de la
directive235. Notons que les missions du groupe sont étendues au domaine des
communications électronique par la directive 2002/58/CE qui prévoit en son article 15 que
« le groupe de protection des personnes à l’égard du traitement des données à caractère
personnel, institué par l’article 29 de la directive 95/46/CE, remplit aussi les tâches visées à
l’article 30 de ladite directive en ce qui concerne les matières couvertes par la présente
directive, à savoir la protection des droits et des libertés fondamentaux ainsi que des intérêts
légitimes dans le secteur des communications électroniques »236 ce qui permettra une
application homogène des dispositions de la directive 2002/58/CE ou à tout le moins une
interprétation convergente, et un échange de vues satisfaisant entre les membres du groupe de
l’article 29, représentant d’autorités nationales de protection des données personnelles. 232 Voir en particulier le rapport explicatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108). 233 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 234 La dernière conférence internationale des commissaires à la protection des données personnelles a eu lieu à Montreux (Suisse) les 14 et 15 septembre 2005. 235 Article 30, 1. a) de la directive 95/46/CE. 236 La directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications
111
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Les missions du groupe précisées à l’article 30 de la directive sont limitées à des
fonctions consultatives, de recommandation et d’information concernant la protection des
données personnelles au sein de la Communauté. Il conseille en effet la Commission et émet
un avis sur le niveau de protection garanti dans des pays tiers, la conseille sur tout projet de
modification de la directive ou de mesures additionnelles dans le domaine de la protection des
données à caractère personnel, donne un avis sur les codes de conduites élaborés au niveau
communautaire, ce qui entre encore dans le cadre de l’objectif d’assurer l’homogénéité dans
l’application des dispositions issues de la directive, et peut émettre spontanément des
recommandations dans ce domaine. Les avis et recommandations qu’il formule à la
Commission, s’ils ne la lient pas, ne doivent pas rester sans suite, et la Commission doit
informer le groupe des suites qu’elle leur donne. Le rapport annuel établi par le groupe de
l’article 29 est publié, et, à l’instar des rapports élaborés par les autorités nationales, revêt un
fort caractère informatif et pédagogique.
2) Le comité.
La directive 95/46/CE instaure également un comité qui assiste la Commission
européenne. Instauré selon la procédure de « comitologie » et par une décision de 1987237, le
comité mis en place par l’article 31 de la directive 95/46/CE relève des organes créés par le
pouvoir législatif dans des actes juridiques de droit communautaire dérivé pour aider la
Commission dans l'exercice de ses compétences d'exécution. De tels comités existent dans
presque tous les secteurs politiques importants. Ainsi, la mise en place d’un comité dans le
domaine de la protection des données à caractère personnel, en plus d’aider à la bonne
exécution du droit communautaire de protection des données, nous confirme l’importance
politique de la protection des données personnelles. Le comité institué par l’article 31 de la
directive du 24 octobre 1995 est composé des représentants des Etats membres ainsi que du
représentant de la Commission, qui en est le président. Le rôle du comité pour la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et la libre
circulation de ces données dans le cadre de l’assistance qu’il offre à la Commission, consiste
principalement à émettre des avis sur les projets de décision de la Commission. Plus
particulièrement, le comité rend régulièrement des avis concernant le transfert de données à
caractère personnel vers des Etats tiers, s’exprimant sur les projets de décisions de la
Commission sur le niveau de protection des données garanti dans les Etats tiers. Cette
237 JOCE n° L 197 du 18.7.1987, p.33.
112
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
assistance de la Commission par un comité est souhaitable et satisfaisante dans la mesure où
les transferts de données personnelles vers un Etat tiers, une fois le niveau de protection
reconnu comme adéquat, pourra avoir lieu au départ de tout Etat membre de la Communauté.
Le fait qu’un comité composé de représentants des Etats membres puisse se prononcer sur des
projets de décision de cette importance permet aux Etats membres de tenter de s’entendre sur
la réalité de ce qu’il faut attendre d’un niveau de protection adéquat pour les pays tiers, et
d’aller dans le sens d’une approche homogène de cette exigence. Le vote à la majorité
qualifiée avec la pondération prévue à l’article 205 alinéa 2 du traité souligne une fois de plus
l’importance des enjeux en cause, certains Etats de par leur importance économique,
démographique, et politique, pesant alors plus lourd lors des votes des avis qui seront émis
par le comité238.
B. Les autres organes de protection des données personnelles.
1) Le contrôleur européen à la protection des données (CEPD).
Les dispositions du droit communautaire visant à étendre l’application des règles
applicables en matière de protection des données personnelles aux institutions et organes
institués sur la base du traité instituant la Communauté européenne ne se sont pas limitées à
poser cette obligation de manière symbolique, mais a été prévu un moyen de garantir
l’effectivité de la protection qui doit être accordé aux personnes à l’égard du traitement de
données personnelles par les institutions ou organes communautaires. A cet effet, l’article 286
alinéa 2 TCE prévoit que « le Conseil […] institue un organe indépendant de contrôle chargé
de surveiller l’application desdits actes communautaires aux institutions et organes
communautaires […] ». Le règlement 45/2001/CE relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel par les institutions et
organes communautaires et à la libre circulation de ces données adopté le 18 décembre 2000
sur le fondement de l’article 286 du traité contient un chapitre V consacré à cette autorité de
contrôle indépendante que le règlement dénomme Contrôleur européen à la protection des
données. Sont alors précisés les modalités de sa nomination ainsi que celles de la nomination
de contrôleur adjoint239, puis son statut et les conditions générales d'exercice des fonctions de
contrôleur européen de la protection des données ainsi que des précisions quant aux
ressources humaines et financières dont il dispose240. Notons que le statut du contrôleur
238 Le président du comité, représentant de la Commission, ne prend pas part au vote. 239 Article 42 du règlement 45/2001/CE. 240 Article 43 du règlement 45/2001/CE.
113
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
européen est, de manière surprenante, assimilé aux institutions pour ce qui est des questions
relatives à son personnel. L’étonnement provient du fait que cette disposition contenue à
l’article 43 paragraphe 6 du règlement semble manifestement illégale241. En effet, le strict
respect de la hiérarchie des normes imposait qu’une telle disposition constituant une
modification de statut ne puisse être effectuée que par les modalités prévues à l’article 283
TCE et non pas par un simple article d’un règlement arrêté par le Parlement et le Conseil. Ces
précisions apportées, intéressons nous davantage au CEPD en étudiant les garanties dont il
dispose et dont il doit faire preuve, ses fonctions et ses compétences.
Comme ce qui a été exigé pour les autorités nationales de contrôle instituées par
l’article 28 de la directive 95/46/CE, le règlement 2001/45/CE, tout comme l’imposait
l’article 286 du traité, prévoit que le contrôleur à la protection des données bénéficie de
garanties d’indépendance. Selon l’article 44, cette exigence se manifeste par le fait qu’il
n’accepte ni ne sollicite d’instruction de personne, qu’il ne peut exécuter aucune autre activité
professionnelle rémunérée ou non pendant l’exercice de ses fonctions, et enfin, après la
cessation de ses activités en tant que CEPD, il est tenu de respecter les devoirs d'honnêteté et
de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages. De plus,
l’article 45 du règlement soumet le contrôleur au secret professionnel pendant et après la
durée de son mandat.
Concernant les missions du CEPD, le règlement 45/2001 distingue entre les fonctions qu’il
doit exercer et les compétences qui lui sont accordées. La distinction peut paraître difficile à
saisir. Pour Pierre-Alexandre Ferral, « il s’agit de distinguer […] ses missions des moyens
d’action qui lui sont offerts pour réaliser celles-ci ».242 Pour ce qui est de ses fonctions,
conformément à l’article 46 du règlement 45/2001, le contrôleur européen doit tout d’abord
entendre et examiner les réclamations de toute personne concernée par un traitement de
données la concernant effectué par un organe ou une institution communautaire. Il doit
informer la personne concernée des résultats de son examen. Par ailleurs, il effectue des
enquêtes et assure logiquement l'application du présent règlement et de tout autre acte
communautaire relatif à la protection des personnes physiques à l'égard du traitement de
données à caractère personnel par une institution ou un organe communautaire243. Le contrôle
opéré par cette autorité est donc bien plus large qu’un contrôle qui serait limité à l’application
241 Cf. Pierre-Alexandre Ferral, « Un pas supplémentaire vers la reconnaissance et la protection d’un droit fondamental dans l’Union européenne, le règlement (CE) N°45/2001 », RMCUE, n°450, juillet-août 2001. 242 Cf. Pierre-Alexandre Ferral, « Un pas supplémentaire vers la reconnaissance et la protection d’un droit fondamental dans l’Union européenne, le règlement (CE) N°45/2001 », Op. Cit. 243 La CJCE, dans l’exercice de ses fonctions juridictionnelles, est exclue de ce contrôle.
114
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
du règlement, ce qui est satisfaisant dans la mesure où cela permet une cohérence dans la
protection des données personnelles au sein de la Communauté. Parmi les fonctions qu’il
exerce, le CEPD assure également un rôle de conseil auprès des organes et institutions
communautaires, et doit s’informer de tout ce qui concerne son domaine d’activité. Dans le
système de protection des données personnelles institué par la Communauté, le contrôleur
doit également avoir sa place, et à cet égard il doit coopérer à la fois avec les autorités
nationales de contrôle mentionnées à l’article 28 de la directive 95/46/CE, et avec les organes
de contrôle créés dans le troisième pilier de l’Union européenne, dans le domaine de la justice
et des affaires intérieures. Parmi les fonctions du contrôleur européen à la protection des
données méritant d’être soulignées, il doit participer aux activités du groupe de protection des
personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de
la directive 95/46/CE. Ces dernières fonctions sont d’une grande utilité pour assurer la
cohérence de la protection des données personnelles dans la Communauté, et plus largement
dans l’Union, les autorités nationales, communautaires et du pilier JAI étant appelées à avoir
des échanges avec le contrôleur européen et souvent aussi entre elles. Enfin, des fonctions
classiques de contrôle préalable des traitements lui étant notifiés et de tenu d’un registre
recensant ces traitements doivent être remplies par cette autorité.
Les compétences du CEPD sont également très larges. Elles sont énumérées à l’article
47 du règlement 45/2001, qui lui permet de conseiller les personnes dans l’exercice de leurs
droits, saisir le responsable du traitement en cas de violation alléguée des dispositions
régissant le traitement des données à caractère personnel, adresser un avertissement ou une
admonestation au responsable du traitement, ordonner la rectification, le verrouillage,
l'effacement ou la destruction de toutes les données traitées en violation des dispositions
communautaires en la matière, interdire temporairement ou définitivement un traitement,
saisir l'institution ou l'organe concerné et, si nécessaire, le Parlement européen, le Conseil et
la Commission, saisir la CJCE dans les conditions prévues par le traité, ou encore intervenir
dans les affaires portées devant la CJCE. Notons que le CEPD est intervenu pour la première
fois devant la Cour dans l’affaire Parlement contre Conseil ayant conduit à l’arrêt du 30 mai
2006244, ou le contrôleur intervient au soutien du Parlement européen. Enfin, parmi les
compétences accordées au contrôleur européen par le règlement du 18 décembre 2000, figure
l’habilitation d’obtenir l'accès à toutes les données à caractère personnel et à toutes les
informations nécessaires à ses enquêtes, accès qu’il peut obtenir d’un responsable de
244 CJCE 30 MAI 2006, Parlement contre Conseil et Commission, Aff. Jointes C-317/04 et C-318/04.
115
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
traitement ou d’une institution ou d’un organe communautaire. Et également l'accès à tous les
locaux dans lesquels un responsable du traitement ou une institution ou un organe
communautaire exerce ses activités s'il existe un motif raisonnable de supposer que s'y exerce
une activité visée par le règlement étudié.
2) Le rôle d’autres organes européens créés en dehors du droit communautaire.
Si le droit produit dans le cadre du pilier communautaire institue un réel arsenal
organique dont les autorités disposent de pouvoirs qui nous semblent appropriés pour assurer
une protection efficace et effective des données personnelles, les règles juridiques
communautaires en vigueur, soit principalement la directive 95/46/CE, la directive
2002/58/CE, et le règlement 45/2001 ne sont applicables qu’au pilier communautaire et donc
ni au pilier Politique Extérieure et de Sécurité Commune (PESC), ni au pilier Justice et
Affaires Intérieures (JAI), dénommé plus fréquemment « coopération policière et judiciaire en
matière pénale » depuis 1999. Or, trois importants systèmes d’information européens relèvent
du troisième pilier, et bénéficient donc de garanties moins élevées en matière de protection
des données personnelles245. Malgré tout, les systèmes d’information européens du troisième
pilier de l’Union européenne mettent en place des autorités de contrôle communes chargées
de surveiller la protection des données personnelles traitées dans les domaines considérés en
plus d’imposer aux Etats parties de désigner des autorités nationales de contrôle. Les trois
systèmes étudiés instituent des autorités sensiblement comparables.
Tout d’abord, le Système d’information Schengen comprend, conformément à l’article
114 de la Convention d’application de l’Accord de Schengen246, un système dans lequel les
Etats parties doivent chacun désigner une autorité de contrôle chargé d’exercer un contrôle
indépendant du fichier de la partie nationale du Système d’information Schengen et de
vérifier que le SIS ne cause pas d’atteinte aux droits de la personne concernée. Pour ce qui est
de la protection des données personnelles, aucune référence n’est faite aux instruments
communautaires, et ce sont plutôt la convention 108 du Conseil de l’Europe et la
Recommandation R (87)15 du comité des ministres du Conseil de l’Europe visant à
réglementer l’utilisation des données à caractère personnel dans le secteur de la police qui doit
constituer le niveau de protection minimum.
245 Cf. Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la protection des données personnelles au niveau européen », Op. Cit. 246 Convention d’application de l’accord de Schengen, JOCE n°L 239, 22 septembre 2000, p.19.
116
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Pour ce qui est d’Europol247 l’article 14 de la Convention du 26 juillet 1995 nous
informe qu’ici aussi le niveau de protection des données doit être au moins correspondant à
celui qui résulte la convention 108 du Conseil de l’Europe et la Recommandation R (87)15 du
comité des ministres du Conseil de l’Europe. Concernant le contrôle de la protection des
données dans le cadre du système d’informations relevant d’Europol, celui-ci est opéré à la
fois à l’échelle nationale et à l’échelle d’Europol. L’article 23 de la Convention du 26 juillet
1995 impose à chaque Etat membre de désigner une autorité de contrôle nationale chargée de
contrôler en toute indépendance que l’introduction, la consultation et la transmission, sous
quelque forme que ce soit, à Europol, de données personnelles par cet Etat sont licites. En
outre, l’autorité nationale s’assure que les droits des personnes ne sont pas lésés. Au niveau
d’Europol, est instituée une autorité de contrôle commune indépendante par l’article 24 de la
Convention Europol. Cette autorité a pour charge de surveiller l’activité d’Europol afin de
s’assurer que le stockage, le traitement et l’utilisation des données dont disposent les services
d’Europol ne portent pas atteinte aux droits de la personne. Le contrôle porte également sur la
licéité de la transmission des données qui ont pour origine Europol. La composition de cette
autorité de contrôle commune comprend au moins deux membres de chacune des autorités de
contrôle nationales. Si une telle composition est satisfaisante par ses effets sur la cohérence de
la protection des données au sein d’Europol, de même que l’obligation d’assistance d’Europol
envers l’autorité de contrôle commune, il semble que les pouvoirs dont dispose cette autorité
sont très limités et le niveau de protection des données personnelles recherché assez bas.
Certes, il ne s’agit pas d’un domaine du droit communautaire, et les plus optimistes
considéreront qu’il est déjà remarquable qu’une autorité de contrôle soit instituée dans un
domaine relevant de la coopération intergouvernementale, et plus encore de la sécurité.
Le troisième système d’information européen ne relevant pas du pilier communautaire
est le Système d’information des douanes (SID) mis en place par la Convention du 26 juillet
1995 sur l’emploi de l’informatique dans le domaine des douanes248 . En plus d’imposer aux
Etats membres d’adopter une législation qui offre un niveau de protection au moins égal à
celui de la Convention 108 du Conseil de l’Europe249 , la Convention, comme pour Europol,
s’attache d’une part à donner une rôle à des autorités nationales de contrôle, et à instituer une
autorité de contrôle commune. En effet, l’article 17 de la Convention impose aux Etats
247 Convention établie sur a base de l’article K.3 du traité sur l’Union européenne portant création d’un office européen de police (Europol) JOCE n°C 316, 27 novembre 1995, p.2. 248 Convention établie sur a base de l’article K.3 du traité sur l’Union européenne, sur l’emploi de l’informatique dans le domaine des douanes, JOCE, n°C 316, 27 novembre 1995, p.34. 249 Article 13 de la Convention sur l’emploi de l’informatique dans le domaine des douanes.
117
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
membres de désigner une ou plusieurs autorités nationales chargées du contrôle de la
protection des données personnelles pour contrôler de manière indépendante les données
personnelles introduites dans le SID. Encore une fois, le rôle qui leur est attribué est un rôle
de contrôle, en particulier quant aux droits des personnes concernées, qui ne doivent pas être
violés par le traitement et l’exploitation des données contenues dans le SID. De plus, comme
c’est le cas pour Europol, est instituée une autorité de contrôle commune composée là encore
de deux membres de chaque autorité de contrôle nationale. Pour l’autorité commune de
contrôle du SID, est précisé que les fonctions qu’elle exerce doivent être conforme à la
Convention du 25 juillet 1995, mais aussi à la Convention 108 du Conseil de l’Europe en
tenant compte de la recommandation R (87) 15 du comité des ministres du Conseil de
l’Europe. L’autorité a une mission de surveillance, fonction classique des autorités de
contrôle, et rédige un rapport sur ses activités. Néanmoins, les mêmes remarques pourront être
formulées que pour le contrôle de la protection des données personnelles effectué dans le
cadre d’Europol, quand bien même le domaine est ici aussi sensible et relève de la
souveraineté de l’Etat.
Section 2. La nécessaire réglementation communautaire des flux
transfrontaliers de données personnelles.
Si la réglementation des transferts de données personnelles vers des pays tiers est un
des principes les plus audacieux du droit communautaire en cette matière qui pourrait peut
être imposer le modèle communautaire de protection des données tant les exigences sont
élevées comme le démontre le cas de transfert de données personnelles vers les Etats-Unis,
(Paragraphe 1er), une réglementation des flux internationaux de données personnelles qui se
limiterait strictement au cadre communautaire serait vaine face à l’effacement des frontières
étatiques causé notamment par Internet et par la mondialisation. (Paragraphe 2nd)
Paragraphe premier. La nécessité d’une protection adéquate de la part des
Etats tiers.
Pour que la protection des données personnelles garantie par le droit communautaire
soit efficace, il fallait que les données, une fois sorties du territoire communautaire, ne
118
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
puissent pas être utilisées à toutes fins et sans aucune précaution. En sens inverse, les
conséquences auraient pu être désastreuses. Fort heureusement, la directive du 24 octobre
1995 prévoit des dispositions réglementant le transfert de données vers des Etats tiers.
A. Les transferts de données personnelles vers les Etats tiers.
1) Le principe d’une interdiction de transfert de données hors de la Communauté européenne.
a) L’interdiction de transferts de données vers des pays tiers n’offrant pas une
protection adéquate.
La réglementation des flux transfrontalières de données personnelles, vers des pays
tiers à l’Union européenne, par la directive 95/46/CE est une des innovations majeures du
droit communautaire en matière de protection des données personnelles, une des dispositions
les plus efficaces pour assurer une protection effective des données personnelles à l’heure de
la mondialisation où celles-ci circulent de plus en plus rapidement et de plus en plus
fréquemment. Les lignes directrices de l’OCDE et la Convention n°108 du Conseil de
l’Europe visaient elles aussi à permettre la libre circulation des données, le premier texte à des
fins principalement économiques, le second pour faciliter la libre circulation de l’information
tout en protégeant le droit à la vie privée. Néanmoins, ces deux textes internationaux
n’avaient pas envisagé le cas de transferts de données vers des pays non signataires,
prévoyant simplement des principes de protection des données à caractère personnel pour les
Etats parties250. La directive communautaire du 24 octobre 1995 a également pour but
premier de supprimer les obstacles aux échanges nécessaires au bon fonctionnement du
marché intérieur et à une plus grande intégration économique entre Etats membres de la
Communauté européenne. Pour autant, il ne s’agit pas de permettre un transfert aveugle de
données personnelles vers tout Etat, la directive ayant un autre objectif qui est de protéger les
personnes physiques à l’égard du traitement de données personnelles. En ce sens, la directive
européenne a été le premier instrument juridique international comportant des règles claires
sur les questions de transferts de données vers des pays tiers. Un principe fort est alors posé
par l’article 25 de la directive qui est de ne pas permettre le transfert de données personnelles
hors de la Communauté lorsque la protection offerte n’est pas adéquate. En clair, la protection
des données personnelles assurée au niveau communautaire empêche les Etats membres de
restreindre les flux de données entre eux, renforçant ainsi le marché intérieur et la
Communauté, mais ne permet pas en principe le transfert vers des pays tiers sauf lorsque la
250 Rappelons à toutes fins utiles, que seule la Convention n°108 possède une force juridique contraignante, les lignes directrices de l’OCDE s’assimilant davantage à des principes que les Etats sont fortement invités à suivre.
119
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
protection assurée par le pays tiers en cause est considérée comme adéquate. L’article 25
alinéa 1er de la directive dispose en effet que « les États membres prévoient que le transfert
vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées
à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du
respect des dispositions nationales prises en application des autres dispositions de la présente
directive, le pays tiers en question assure un niveau de protection adéquat ». Que doit-on alors
entendre par un « niveau de protection adéquate » ?
b) L’appréciation du caractère adéquat de la protection offerte dans les pays tiers.
La directive de 1995 nous éclaire à l’alinéa 2 de l’article 25 en précisant les éléments à
prendre en considération pour apprécier le caractère adéquat de la protection. Les éléments
que nous fourni l’article 25.2 sont assez larges, et pourtant ils ne sont pas exhaustifs et
d’autres éléments pourront être pris en compte pour évaluer le caractère adéquat ou non de la
protection offerte dans un pays tiers. La disposition étudiée prévoit ainsi que « Le caractère
adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les
circonstances relatives à un transfert ou à une catégorie de transferts de données; en
particulier, sont prises en considération la nature des données, la finalité et la durée du ou des
traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales
ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et
les mesures de sécurité qui y sont respectées ». Pour déterminer l’approche d’une appréciation
de la protection adéquate, référons nous à l’analyse du professeur Yves Poullet, qui qualifie
cette approche de trois manières : une approche au cas par cas, une approche souple et
ouverte, et une approche fonctionnelle251. L’approche opérée lors de l’appréciation de
l’adéquation de la protection des données est une approche au cas par cas dès lors que la
directive impose d’évaluer la situation de la protection des données dans un pays tiers par
rapport « à un transfert ou à une catégories de transferts de données » déterminés. Il faut
prendre en considération la situation de ces traitements pour évaluer si la protection qui est
offerte par l’Etat tiers est adéquate.
Ensuite, l’approche est souple et ouverte, en ce sens que l’appréciation doit être faite en
utilisant des éléments qui révèlent la prise en compte de particularités propres et évolutives de
la protection offerte dans chaque Etat, et encore des spécificités de chaque flux
transfrontalière de données. Enfin, l’approche est fonctionnelle, ce qui signifie que
251 Yves Poullet, « Pour une justification des articles 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontières et de protection des données ». Communication – Commerce électronique, Décembre 2003, pp.9-21.
120
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’évaluation s’effectue tant « par rapport aux risques d’atteintes à la protection des données
[…] que par rapport aux mesures spécifiques ou générales mises en place par le responsable
des données dans le pays tiers »252.
Il convient de préciser que l’évaluation de la protection des données personnelles par
un Etat tiers doit être effectuée sans rechercher à appliquer tels quels les principes de la
directive européenne. Yves Poullet écrit à ce sujet qu’il ne faut pas faire preuve
d’ « impérialisme européen », et rechercher s’il y a « similarité fonctionnelle », ce qui revient
à rechercher dans le pays tiers vers lequel un transfert de données personnelles est souhaité,
s’il possède des éléments remplissant les fonctions recherchées pour une protection adéquate
des données personnelles. Nous pouvons utilement nous interroger sur la notion de protection
adéquate, en nous demandant par rapport à quoi la protection offerte par un Etat tiers doit être
adéquate ? Quels instruments de protection de l’Etat tiers doivent être pris en considération
pour l’évaluation du caractère adéquat de la protection offerte ? Sur la question du système de
référence à utiliser pour évaluer le caractère adéquate ou non de la protection, la directive ne
répond pas, mais nous pourrons considérer logiquement qu’il s’agit des principes de fond de
la protection des données personnelles tels qu’ils sont garantis par la directive253, et
concernant les instruments qu’il est possible de prendre en compte, et plus généralement les
éléments de protection pouvant être retenus, à partir du moment où la directive ne présente
qu’une liste indicative des éléments à considérer, tout élément lié au flux de données ou à la
protection des données personnelles pourra être pris en compte.
Ces différents éléments à considérer lors de l’évaluation de la protection des données
dans un pays tiers peuvent être lourds et pratiquement impossibles à réaliser par chacun des
Etats membres de la Communauté qui serait alors conduit à évaluer le niveau de protection au
regard de chaque traitement, catégorie de traitement, législation de protection des données en
vigueur dans l’Etat tiers de destination. Ainsi, la directive 95/46/CE prévoit des cas où la
Commission pourra décider du caractère adéquat de la protection offerte. En ce sens, l’article
25.6 de la directive prévoit que la Commission peut constater « qu'un pays tiers assure un
niveau de protection adéquat […] en raison de sa législation interne ou de ses engagements
internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue
de la protection de la vie privée et des libertés et droits fondamentaux des personnes ». La
référence au paragraphe 5 de l’article 25 renvoie à la possibilité dont dispose la Commission
d’engager des négociations en vue de remédier à la non adéquation de la protection offerte par 252 Yves Poullet, Op. Cit. p.10. 253 Yves Poullet, Op. Cit, p.10.
121
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
un Etat tiers. Aujourd’hui, la Commission a déjà rendu plusieurs décisions constatant la
protection adéquate dans des Etats tiers, plus précisément pour l’Argentine254, le Canada255,
la Suisse256, Guernesey257, l’île de Man. De même, une protection adéquate à été reconnue
sous certaines conditions pour les Etats-Unis258, et des décisions antérieures concernant des
pays entrés dans l’Union européenne le 1er mai 2004, comme la Roumanie, avaient été
rendues, qui ne méritent pas que l’on s’y attarde. Dès lors que la Commission rend une
décision constatant l’adéquation de la protection des données dans un Etat tiers, les Etats
membres de la Communauté doivent permettre le transfert de données vers ce pays259, sauf
bien évidemment lorsqu’il s’avère que les normes de protection ne sont pas respectées,
comme il ressort des décisions d’adéquation précitées.
2) L’exception : Transfert possible dans certaines hypothèses.
Si le principe est clairement que les données à caractère personnel ne peuvent circuler
librement qu’entre pays accordant une protection adéquate aux personnes dont les données
sont transférées, des exceptions sont prévues à l’article 26 de la directive « données
personnelles », qui permettent que des données soient transférées vers un pays tiers
n’accordant pas une telle protection quand le transfert a lieu, malgré tout, dans des conditions
garantissant sa sécurité. Deux types d’exceptions sont prévus par l’article 26 de la directive :
d’une part, des exceptions tenant de manière générale aux traitements de données personnelles
susceptibles de faire l’objet d’un transfert vers un Etat tiers. D’autre part, des exceptions
tenant aux garanties offertes par le responsable d’un traitement de données établi dans un Etat
tiers n’offrant pas de protection adéquate.
Pour ce qui est des exceptions possibles au regard d’éléments liés proprement au traitement de
données, la première exception possible est celle où la personne concernée a indubitablement
donné son consentement au transfert envisagé. Comme nous avons déjà eu l’occasion de le
voir, le consentement de la personne concernée est défini strictement par la directive
95/46/CE qui considère qu’il s’agit de « toute manifestation de volonté, libre, spécifique et
informée par laquelle la personne concernée accepte que des données à caractère personnel la 254 Décision de la Commission C (2003)1731 du 30 juin 2003 - JOCE L 168, 5.7.2003. 255 Décision de la Commission C 2002/2/CE du 20.12.2001 - JOCE L 2/13 du 4.1.2002 256 Décision de la Commission 2000/518/CE du 26.7.2000 -JOCE L 215/1 du 25.8.2000 257 Décision de la Commission du 21 novembre 2003 sur la protection adéquate des données personnelles en Guernesey - JOCE. L 308, 25.11.2003 258 Le transfert de données personnelles fait l’objet de plus longs développements dans le « B. » de ce paragraphe. 259 L’article 25.6 de la directive 95/46/CE dispose en effet que « Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission ».
122
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
concernant fassent l'objet d'un traitement ». Imposant que le consentement de la personne
concernée soit indubitable pour que soit permis un transfert des données la concernant vers un
Etat tiers n’offrant pas un niveau de protection adéquat, la directive pose un principe strict qui
implique en définitive que la personne accepte, en connaissance de cause, que des données
personnelles la concernant soit transférées vers un Etat tiers où la protection offerte n’est pas
considéré comme étant d’un niveau adéquat. La théorie volontariste du droit semble ici
atteindre un haut niveau dans les possibilités d’exceptions prévues par la directive.
Ensuite, d’autres exceptions sont prévues par la directive, dans l’hypothèse où le
transfert envisagé est nécessaire à l'exécution d'un contrat entre la personne concernée et le
responsable du traitement, dans celle où il est nécessaire à la conclusion ou à l'exécution d'un
contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du
traitement et un tiers, dans le cas où le transfert est nécessaire ou rendu juridiquement
obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice
ou la défense d'un droit en justice, dans le cas où il est nécessaire à la sauvegarde de l'intérêt
vital de la personne concernée ou enfin, si il intervient au départ d'un registre public qui est
destiné à l'information du public et est ouvert à la consultation du public ou de toute personne
justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation
sont remplies dans le cas particulier260. Ces différentes hypothèses où il est possible de
déroger au principe d’interdiction de la libre circulation des données personnelles hors de la
Communauté lorsque le niveau de protection offert par un Etat tiers n’est pas reconnu comme
étant adéquat sont sensiblement proches des différentes conditions de légitimation des
traitements de données prévues à l’article 7 de la directive 95/46/CE. Il semble que les
rédacteurs du texte aient recherchée une certaine cohérence entre les principes permettant le
traitement des données personnelles et ceux permettant un transfert de telles données dans le
cas où le pays tiers de destination n’offre pas de protection adéquate. Il convient toutefois de
relever l’insistance sur les transferts nécessaires à l’exécution d’obligations contractuelles, et
la disparition de la condition relative au respect d’une obligation légale. Par ailleurs relevons
que les dérogations à l’interdiction de transfert de données vers un pays dont la protection
n’est pas adéquate présentent une autre condition qui ne fait pas partie de celles permettant la
légitimation d’un traitement de données, dans l’hypothèse où le « transfert intervient au départ
d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation du public ou de toute personne justifiant
260 Ces possibilités de dérogations sont prévues à l’article 26.1 a) à f) de la directive 95/46/CE.
123
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont
remplies dans le cas particulier ». Cela revient à considérer que dès lors qu’un traitement de
données personnelles est effectué pour l’information du public, les données traitées peuvent
être transférées vers tout Etat tiers, même sans protection de données personnelles adéquate.
Le raisonnement peut aller jusqu’à se demander si un tel transfert n’est pas possible aussi vers
un Etat ne protégeant pas du tout les données personnelles, et les individus courent alors de
graves risques d’atteintes à leurs droits et libertés fondamentaux.
Parmi les dérogations possibles à l’interdiction de transférer des données personnelles
vers un Etat tiers ne garantissant pas une protection adéquate au sens de la directive du 24
octobre 1995, une autre catégorie comprend des exceptions possibles en raison de garanties
suffisantes offertes par le responsable du traitement dans un tel Etat tiers. L’article 26.2 de la
directive précise qu’il peut s’agir notamment de garanties résultant de clauses contractuelles
appropriées, mais d’autres moyens sont possibles, et l’on peut valablement penser à un
responsable de traitement de données dans un Etat tiers qui respecterait un code de conduite
que la directive met en avant à son article 27. S’agissant de clauses contractuelles, la
Commission européenne a adopté des clauses contractuelles type le 15 juin 2001261, dont
l’utilisation purement volontaire de la part des entreprises situées dans des pays tiers, permet
de reconnaître qu’elles garantissent une protection adéquate et autoriser ainsi un transfert de
données personnelles. Cette mesure semble satisfaisante car si elle permet le transfert de
données personnelles vers un pays tiers dans lequel la protection n’est pas suffisante, elle
n’oublie pas la protection des individus et impose ainsi que soient respectés la vie privée et les
droits et libertés fondamentaux des personnes.
B. Le cas de transfert de données vers les Etats-Unis.
1) L’insuffisance de la protection des données personnelles aux Etats Unis.
Comme pour les autres Etats tiers à la Communauté européenne, les dispositions de la
directive relative à un transfert de données vers les Etats-Unis impliquent qu’un tel transfert
n’est pas autorisé si la protection des données personnelles qui y est offerte n’est pas
considérée comme adéquate. Les exceptions qui viennent d’être étudiées pour les Etats tiers
s’appliquent aussi pour les transferts de données envisagés vers les Etats-Unis, mais la
situation particulière de cet Etat, partenaire commercial privilégié de la Communauté
européenne, et les négociations qui ont eu lieu dans certains domaines pour permettre le
261 Décision C (2001)497 CE, JOCE L 181/19, 4 juillet 2001.
124
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
transfert de données depuis l’Europe vers les Etats-Unis mérite que des développements plus
longs soient consacrés aux transferts de données personnelles vers ce pays.
Toujours attachés à certaines libertés, notamment dans le domaine économique, les
Etats-Unis imposent le moins de règles possibles aux entreprises américaines. Ainsi, dans les
relations marchandes, les Etats-Unis comptent sur la réglementation par les acteurs du
marché. Or, il semble que l'autorégulation ou la réglementation par les acteurs du marché ne
peut pas régler des questions qui ne relèvent pas des relations marchandes. En effet, la « main
invisible » d’Adam Smith262 selon qui « Chaque individu, en poursuivant son intérêt, est
amené à remplir une fin qui n'entre nullement dans ses intentions » ne peut pas
convenablement fonctionner dans des domaines où l’intérêt recherché n’est pas économique.
Même si l’on peut penser qu’une entreprise pourrait trouver pour intérêt à des actions proches
de l’éthique de s’offrir une bonne image auprès d’une clientèle qui serait alors satisfaite. Dès
lors, dans des domaines liés à la protection des droits de l’homme, de l’environnement, ou
plus largement de l’éthique, les pouvoirs publics américains, qui comptent davantage sur
l’autorégulation que sur l’imposition de règles juridiques impératives, s’opposent clairement à
l’approche généralement suivie en Europe où la réglementation est largement préférée. En
matière de protection des données personnelles, quand bien même les Etats-Unis sont
soucieux de la protection de la vie privée, l’absence de règles générales, claires, et
suffisamment protectrices a conduit la Communauté européenne, usant de son instrument
qu’est la directive 95/46/CE, a considéré que le niveau de protection des données personnelles
aux Etats-Unis n’était pas adéquat et ne devait donc pas pouvoir être effectué sauf exceptions.
En effet, aux Etats-Unis la protection de la vie privée et des données à caractère personnel est
assurée par un ensemble complexe de réglementations sectorielles, tant au niveau fédéral que
des États263. La divergence de conception en matière de protection des données personnelles
en Europe et aux Etats-Unis a conduit à ne pas considérer le niveau de protection américain
comme adéquat. Mais compte tenu de l’inquiétude qui a été ressentie à la fois par les pouvoirs
publics américains et par les entreprises américaines, notamment les grandes multinationales
échangeant nombre d’informations avec des filiales, partenaires ou clients situés en Europe, a
conduit a négocié des principes rendant adéquate la protection des données personnelles par
certains acteurs américains.
262Adam Smith, Recherche sur la nature et les causes de la richesse des nations, 1776. 263 Voir notamment l’avis 1/99 du groupe de l’article 29, WP.15 5092/98/FR/final
125
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
2) Les systèmes optionnels mis en place pour le transfert de données personnelles vers les
Etats-Unis.
a) Les principes du Safe harbor.
Craignant que les transferts de données personnelles depuis l’Europe vers les Etats-
Unis ne soient largement empêchés par les dispositions de la directive 95/46/CE relatives aux
transferts transfrontaliers de données personnelles, les autorités américaines on entamé de
longues négociations avec la Communauté afin de mettre en place certains principes de
protection adéquats264. La Commission européenne a négocié avec le ministère du commerce
des États-Unis certains principes et directives relatifs au transfert de données correspondant à
des principes formulés par la directive communautaire. Ces principes du Safe harbor, ou de la
« sphère de sécurité » guident les organisations américaines dans l’application d’une
protection adéquate pour les données à caractère personnel. Si une organisation américaine
décide volontairement d’adhérer aux principes de la « sphère de sécurité », cela signifie que
ladite organisation est tenue d’observer ces principes, de déclarer publiquement son adhésion
et d’obtenir la certification du ministère du commerce des Etats-Unis. le fait que le
Department of Commerce américain soit à l’origine de ces principes de Safe Harbor et le
constat suivant lequel « l’effectivité de ces principes dépend d’organes juridictionnels
officiels, en particulier de la Federal Trade Commission » plaideraient selon le professeur
Yves Poullet, pour y voir non une autoréglementation an sens strict mais, selon la
qualification récemment retenue par les débats de l’OCDE, un « effective mix », c’est-à-dire
un système alliant les vertus de l’autoréglementation et l’autorité de la puissance publique265.
Quoiqu’il en soit, l’adhésion aux principes du Safe harbor reste largement guidée par la libre
volonté des entreprises américaines. La Commission européenne a adopté le 26 juillet 2000
une décision d’adéquation qui reconnaît que ces principes de la « Sphère de sécurité »
assurent une protection adéquate pour les besoins des transferts de données à caractère
personnel depuis l'Union européenne266. Ils se fondent sur sept principes qui devront être
respectés par toute entreprise y adhérant. Sont notamment énoncés le principe de notification
qui implique que chaque personne soit informée de la collecte de données la concernant dans
des conditions satisfaisantes, le principe de choix qui permet d’utiliser les données collectées
à une fin particulière dans un autre but, le principe de transfert ultérieur visant à garantir que
les données ne soient pas transférées ultérieurement à un organisme n’assurant pas une 264 Carole Moal-Nuyts, Le transfert de données à caractère personnel vers les Etats-Unis conformément au droit européen, RTDE, 38, 3, juillet-septembre 2002,451-470. 265 Yves Poullet, « Les Safe harbor principles : une protection adéquate ? » Juriscom.net, 17 juin 2000. 266 Décision de la Commission 2000/520/CE du 26 juillet.2000 - JOCE L 215/7 du of 25 août 2000.
126
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
protection adéquate, le principe d’accès, le principe d’application. Par ailleurs, la « sphère de
sécurité » comprend aussi parmi ses règles les réponses à seize « questions fréquemment
posées » tendant à éclairer l’interprétation des principes, ainsi que des courriers ayant été
échangés entre le Federal trade commission et la Commission européenne. Notons enfin que
si l’adhésion aux principes du Safe harbor permet le transfert de données personnelles depuis
l’Europe vers les Etats-Unis, cette possibilité n’est ni définitive ni absolue. En effet,
l’adhésion doit être renouvelée chaque année et le renouvellement n’est possible que si
l’entreprise a convenablement respecté les principes du Safe harbor durant l’année écoulée.
De plus, le champ d’application du Safe harbor est limité à certains secteurs de l’industrie,
soit aux entreprises relevant de la Federal Trade Commission, soit du ministère des transports
américains.
b) Le cas du transfert de données des dossiers passagers (PNR)
En dehors du domaine du commerce entre les Etats-Unis et l’Europe, les autorités
américaines se sont inquiétées de l’interdiction du transfert de données personnelles vers les
Etats-Unis dans un autre domaine, tout aussi préoccupant outre-atlantique : la sécurité et la
lutte contre le terrorisme. En effet, à la suite des attaques terroristes du 11 septembre 2001, les
États-Unis ont adopté une législation stricte267 disposant que les transporteurs aériens assurant
des liaisons à destination, au départ ou à travers le territoire des États-Unis sont tenus de
fournir aux autorités américaines un accès électronique aux données contenues dans leurs
systèmes de réservation et de contrôle des départs, dénommées Passenger Name Records
(PNR). Estimant que ces dispositions pouvaient entrer en conflit avec la législation
communautaire et celle des États membres en matière de protection des données, la
Commission a entamé des négociations avec les autorités américaines ayant abouti à
l’adoption d’un document contenant des engagements de la part du Bureau des douanes et de
la protection des frontières des États-Unis (le United States Bureau of Customs and Border
Protection, (CBP)). Divers avis du « groupe de l’article 29 » ont souligné les risques
d’atteinte à la protection des droits et libertés fondamentaux, et en particulier au droit à la
protection des données personnelles268.
À l’issue de ces négociations, la Commission a adopté, le 14 mai 2004, une décision
d’adéquation constatant que le CBP assure un niveau de protection adéquat des données PNR 267 Aviation and transportation security Act du 19 novembre 2001, et Enhanced border security and visa entry reform Act du 5 mai 2002. 268 Avis du 13 juin 2003 Niveau de protection assuré aux Etats-Unis pour la transmission des données passagers WP 78 MARKT/11070/03/FR ; Avis 2/2004 du 29 janvier 2004 sur la protection adéquate des données personnelles contenues dans les dossiers des passagers aériens transférés au bureau des douanes et de la protection des frontières des Etats-Unis (US CBP) WP 87 MARKT/10019/04/FR
127
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
transférées depuis la Communauté269. Le Conseil a, le 17 mai 2004, adopté une seconde
décision approuvant la conclusion d’un accord entre la Communauté européenne et les États-
Unis sur le traitement et le transfert de données PNR par des transporteurs aériens établis sur
le territoire des États membres de la Communauté au CBP270. Cet accord a été signé à
Washington le 28 mai 2004 et est entré en vigueur le même jour.
Le Parlement européen exprimant de nombreuses réserves sur l’approche juridique
choisie, il formule une demande d’avis à la CJCE et demande à la Commission et au Conseil
de ne pas adopter de décision sur le transfert de données PNR vers les Etats-Unis avant que la
Cour n’ait rendu son avis. Les jours suivants, la Commission comme le Conseil adoptent les
décisions précitées, ce qui conduit le Parlement à retirer sa demande d’avis et à choisir la voie
contentieuse en demandant l’annulation des deux décisions sur le fondement de l’article 230
du traité. Ce litige conduira à l’arrêt de la CJCE rendu le 30 mai 2006 Parlement contre
Conseil et Commission271. Suivant sagement le raisonnement et les conclusions très riches de
l’avocat général Philippe Léger présentées le 22 novembre 2005, la Cour de Luxembourg
décide d’annuler la décision du Conseil concernant la conclusion d’un accord entre la
Communauté européenne et les Etats-Unis sur le traitement et le transfert de données
personnelles, et la décision de la Commission relative au niveau de protection adéquat de ces
données. Concernant la décision d’adéquation, le Parlement avait soulevé six moyens
d’annulation : le choix erroné de l’article 95 du traité comme base juridique, la violation de
l’article 300 paragraphe 3 alinéa 2 du traité en raison d’une modification de la directive
95/46/CE, la violation du droit à la protection des données personnelles, la violation du
principe de proportionnalité, l’insuffisante motivation de la décision, et la violation du
principe de coopération loyale énoncé à l’article 10 du traité. A l’étude de la première
branche du premier moyen, tirée d’une violation de l’article 3, paragraphe 2, premier tiret, de
la directive, la Cour estime que le transfert des données PNR au CBP constitue un traitement
ayant pour objet la sécurité publique et les activités de l’État relatives à des domaines du droit
pénal et d’ajouter, comme le soutenait le Parlement et comme l’avait relevé l’avocat général,
que « S’il est juste de considérer que les données PNR sont initialement collectées par les
compagnies aériennes dans le cadre d’une activité qui relève du droit communautaire, à savoir
269 Décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d'Amérique (JO L 235, p. 11). 270 Décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par des transporteurs 271 CJCE, 30 mai 2006, Parlement contre Conseil et Commission, affaires jointes C-317/04 et C-318/04
128
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
la vente d’un billet d’avion qui donne droit à une prestation de services, toutefois, le
traitement des données qui est pris en compte dans la décision d’adéquation possède une
nature tout autre. En effet, cette décision, […] ne vise pas un traitement de données nécessaire
à la réalisation d’une prestation de services, mais considéré comme nécessaire pour
sauvegarder la sécurité publique et à des fins répressives »272. Pour la Cour, la décision
d’adéquation concerne un traitement de données à caractère personnel au sens de l’article 3,
paragraphe 2, premier tiret, de la directive qui rappelons-le, définit négativement son champ
d’application. La Cour décide, sans même examiner les autres moyens, que la décision doit
alors être annulée en ce qu’elle ne relève pas du champ d’application de la directive
95/46/CE.
A l’encontre de la décision d’adéquation, le Parlement soulève quatre moyens qui sont
l’excès de pouvoir, la violation des principes essentiels de la directive 95/46/CE, la violation
des droits fondamentaux et la violation du principe de proportionnalité. La CJCE fait droit à la
demande du Parlement qui estime que l’article 95 CE ne constitue pas, pour la décision
2004/496, une base juridique appropriée. Elle annule ainsi la décision du Conseil de manière
encore plus laconique273 et sans examiner les autres moyens.
La décision de la Cour est satisfaisante en son résultat, même s’il l’on peut regretter
que la Cour se limite à une analyse du champ d’application de la directive et de la base
juridique de l’accord passé par la Communauté avec les Etats-Unis. En effet, sans aller
jusqu’à évaluer le niveau de protection des données personnelles, ce qui ne relève pas de ses
compétences, la Cour aurait pu tenter d’aller plus loin dans son analyse et étudier à tout le
moins la conformité des décisions en cause avec les principes de protection des données
personnelles contenus dans la directive 95/46/CE. Une telle approche nous aurait peut être
éclairé davantage sur ce qu’il faut entendre par niveau adéquat de protection des données
personnelles. Quoiqu’il en soit, les décisions en cause n’ayant pas de base légale et se
trouvant hors du champ d’application de la directive, la Cour a choisi de rendre un arrêt sage
qui a le mérite d’annuler des décisions dangereuses pour les droits et libertés fondamentaux
des personnes. On sent poindre derrière ce litige, les mots de la Cour européenne des droits de
l’homme qui avec plus d’audace, dans un arrêt Klass contre Allemagne274 où le juge de
Strasbourg énonce que « les États contractants ne disposent pas […] d’une latitude illimitée
272 Point 56 de l’arrêt. 273 Elle énonce que « l’accord vise le même transfert de données que la décision d’adéquation et donc des traitements de données qui sont, ainsi qu’il a été exposé ci-dessus, exclus du champ d’application de la directive ». Point 68 de l’arrêt. 274 CEDH, Klass contre Allemagne, 6 septembre 1978, Requête n°5029/71.
129
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
pour assujettir à des mesures de surveillance secrète les personnes soumises à leur juridiction.
Consciente du danger, inhérent à pareille loi, de saper, voire de détruire, la démocratie au
motif de la défendre, elle affirme qu’ils ne sauraient prendre, au nom de la lutte contre
l’espionnage et le terrorisme, n’importe quelle mesure jugée par eux appropriée »275. Nous
considérons qu’il en va de même pour la protection des données personnelles par la
Communauté européenne.
Paragraphe second. Les difficultés liées à l’Internet et au caractère
international des flux de données personnelles.
Différents facteurs laissent pour le moins sceptiques sur l’efficacité d’une protection
des données personnelles à l’échelle communautaire au regard de l’internationalisation des
flux de données personnelles dans une société mondialisée où l’Internet est en passe de
devenir le média le plus utilisé. Une protection mondiale est-elle envisageable ? Elle serait en
tout cas le meilleur moyen de protéger les données de leur collecte jusqu’à leur dernière
utilisation.
A. La problématique de la protection des données sur Internet.
1) Le caractère insaisissable d’Internet : une « utopie » zone de non droit ?
Dans son ouvrage dédié à l’analyse de l’Internet et de sa place dans la communication,
Internet et après ? Une théorie critique des nouveaux médias276, Dominique Wolton se
demande si Internet peut constituer une utopie ? Pour lui, Internet est bel est bien devenu la
figure d’une utopie « au cœur de l’idéal individualiste libéral », une réelle utopie mondialiste
de l’information et de la communication. Revenons alors au sens du terme utopie, qui
concernant l’Internet, nous aidera à comprendre la difficulté de réglementer les flux de
données y circulant. C’est Thomas More qui en 1516 a forgé le terme d’utopie tel que nous le
connaissons aujourd’hui277, avec deux interprétations possibles. La première qui n’apparaît
que très rarement dans l’œuvre de More est basée sur le mot Eutopia, le préfixe grec Eu
signifiant bon, et topia, de topos signifiant lieu, il s’agit du « bon lieu ». Cette interprétation
275 Point 49 de l’arrêt de la CEDH Klass contre Allemagne précité. 276 Dominique Wolton, Op. Cit. 277 Thomas More Utopia. Traduction Marie Delcourt, Flammarion, Paris, GF n°460,1987, 256p. (Première parution 1516).
130
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
n’est pas celle qui nous intéresse. En effet, le plus fréquemment, Thomas More a eu recours à
l’orthographe Utopia, l’utilisation du préfixe privatif U conduisant à l’interprétation suivante :
l’Utopie signifierait un « non lieu », un lieu qui ne se trouve nulle part, un lieu qui n’existe
pas. Et c’est à cette acception du terme Utopie auquel on doit s’intéresser ici, car si pour
certains Internet constitue une Utopie, c’est peut être aussi car il ne s’agit pas d’un lieu
matériel, localisable, et réel. Internet est plutôt un réseau constitué de différents réseaux
interconnectés dans le monde et qui permet l’échange d’informations, biens immatériels par
excellence. En gardant à l’esprit cette analogie, on pourra comprendre plus facilement la
difficulté de réglementer un domaine aussi insaisissable que l’Internet, sur lequel il est
difficile d’avoir prise, et d’effectuer des contrôles effectifs et efficaces. L’utilisation du réseau
Internet permet à un individu situé dans n’importe quel Etat de consulter des informations
stockées sur un serveur situé n’importe où, ce qui implique que l’Internet brouille les réflexes
habituels du droit et de bien d’autres matières nécessitant de localiser tous les lieux propres à
un échange d’informations, de pouvoir les réglementer. Les flux de données personnelles via
le réseau Internet font face également à de larges difficultés de protection, tant les flux sont
rapides, difficiles à contrôler, et largement internationaux. Et les formes d’atteintes aux
données personnelles deviennent de plus en plus protéiformes et parfois invisibles. Non
seulement les problématiques existantes se développent, concernant la collecte, la
mémorisation, le traitement, la diffusion des données personnelles, mais en plus, de nouveaux
problèmes apparaissent : les blogs, le spamming, la cybercriminalité, la cybersurveillance...
Finalement, comme l’exprime brillamment le professeur Frayssinet, « l’Internet focalise tous
les problèmes de la protection des données personnelles en jouant un rôle de révélateur et de
catalyseur, en posant la question de l’adaptation des systèmes juridiques de protection
préexistant »278. Le droit communautaire de la protection des données personnelles se trouve
donc face à une difficulté de taille, qui se pose également aux droits nationaux : comment
protéger les données personnelles sur l’Internet ?
2) La protection assurée par le droit communautaire.
Comme la plupart des législations nationales, européennes ou non, le droit
communautaire a choisi d’appliquer un principe dit de neutralité technologique. Les textes
communautaires régissant la protection des données personnelles sont donc applicables aux
cas de traitements de données personnelles sur Internet. Néanmoins, il n’existe pas de textes
278 Jean Frayssinet, La protection des données personnelles est-elle assurée sur l’Internet.
131
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
spécifiques concernant la protection des données personnelles sur Internet, même si la
directive 2002/58/CE traite du cas particulier de la protection de la vie privée dans le domaine
des communications électroniques, domaine plus large que l’Internet puisqu’il couvre aussi
les communications par téléphones portables. La première observation est donc que le droit
communautaire protège les données personnelles sur Internet, mais pas par le biais d’un texte
spécifique. Quoiqu’il en soit, comme l’énonce clairement la directive 95/46/CE en son
considérant 68, il est envisageable à l’avenir qu’un texte communautaire sectoriel ait à
connaître plus spécifiquement de la protection des données à caractère personnel dans ce
réseau aux aspects si singuliers. Les principes de protection des données contenus dans la
directive de 1995 sont donc applicables au domaine de l’Internet. Il n’est pas utile de rappeler
ici ces principes que l’on a étudiés tout au long de nos développements précédents. Toutefois,
quelques questions doivent se poser plus précisément. Tout d’abord, les principes de la
directive concernant le transfert de données personnelles vers des pays tiers à la Communauté
est-il suffisamment protecteur des droits des personnes sur Internet ?
La directive 95/46/CE a pour conséquence de permettre la liberté de circulation des
données personnelles dans la Communauté qui devient une sorte d’enclos protecteur des
données personnelles et plus largement des droits et libertés fondamentaux des personnes.
Cette protection s’applique à l’Internet comme nous venons de le voir, mais une divergence
non négligeable est à noter : si la Communauté protège les données circulant en son sein et
contrôle également les transferts de données vers des pays tiers, dans le domaine de l’Internet,
les frontières n’existent pas. Chaque personne, où qu’elle se trouve sur la planète, peut
accéder à un site Internet lorsqu’elle dispose des outils nécessaires. Le droit communautaire
de la protection des données personnelles semble alors être confronté à un problème : La
consultation d’un site Internet depuis un Etat tiers, le site étant crée et/ou hébergé dans
l’Union européenne doit-elle être considérée comme un transfert de données personnelles vers
un Etat tiers ? L’arrêt Bodil Lindquist rendu par la CJCE le 6 novembre 2003279 peut peut-être
nous donner quelques éclaircissements à ce sujet. En l’espèce, c’est bien la création d’un site
Internet par une citoyenne suédoise qui a conduit le juge suédois a poser des questions
préjudicielles à la Cour de justice des communautés européennes. Parmi les cinq questions
posées à la CJCE, la cinquième revient à rechercher si l’on peut considérer qu’existe un
transfert de données personnelles vers un pays tiers au sens de l’article 25 de la directive
95/46/CE lorsqu’une personne située dans un Etat membre, inscrit sur une page Internet,
279 CJCE Bodil Lindqvist, aff. C-101/01, rec. I-12992
132
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
stockée auprès d’une personne physique ou morale située dans cet Etat ou dans un autre Etat
membre, des données personnelles. Les données étant ainsi accessibles à toute personne se
connectant à Internet, et même des personnes se trouvant dans un Etat tiers. La seconde partie
de la question est de savoir si la réponse est la même lorsqu’en réalité, aucun ressortissant
d’un pays tiers n’a pris connaissance de ces données, et que la page est stockée physiquement
dans un pays tiers. Sans doute embarrassée par une telle question demandant une
interprétation délicate d’une des dispositions les plus importantes de la directive 95/46/CE, la
Cour prend soin de commencer par rappeler que la directive ne définit pas la notion de
transfert vers un pays tiers, et les caractéristiques particulières de l’Internet280. La Cour prend
en considération la nature technique des opérations effectuées lors de la création de pages
Internet, ainsi que l’objectif et l’économie du chapitre IV de la directive qui concerne le
transfert de données personnelles vers des pays tiers. En l’espèce, pour avoir accès aux
données inscrites sur le site Internet de Mme Lindqvist, une personne devait non seulement se
connecter à celui-ci mais aussi effectuer, par une démarche personnelle, les actions
nécessaires pour consulter lesdites pages. Les données personnelles n’étaient donc pas
automatiquement envoyées vers des personnes ne souhaitant pas à l’origine les consulter.
Pour la Cour, cela conduit à s’intéresser alors à l’infrastructure informatique du fournisseur
d’hébergement où la page est stockée. Rappelant que le régime mis en place par le chapitre IV
de la directive est un régime spécial pour assurer un contrôle des transferts de données vers
les pays tiers, et qu’au surplus il n’y a aucune précision sur l’utilisation d’Internet, la Cour
estime que l’on ne saurait présumer que le législateur communautaire avait l'intention
d'inclure prospectivement dans la notion de «transfert vers un pays tiers de données»
l'inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur
une page Internet. Par ailleurs, le raisonnement de la CJCE la conduit à réaliser que la
règlementation des transferts de données personnelles sur l’Internet s’avère pratiquement
impossible, en reconnaissant non sans regret que si l'article 25 de la directive 95/46 était
interprété en ce sens qu'il existe un «transfert vers un pays tiers de données» chaque fois que
des données à caractère personnel sont chargées sur une page Internet, ce transfert serait
nécessairement un transfert vers tous les pays tiers où existent les moyens techniques
nécessaires pour accéder à Internet […]dès que la Commission constaterait, en application de
l'article 25, paragraphe 4, de la directive 95/46, qu'un seul pays tiers n'assure pas un niveau de 280 Le point 58 de l’arrêt énonce ainsi que « Les informations qui se trouvent sur Internet peuvent être consultées par un nombre indéfini de personnes résidant dans des lieux multiples et presque à tout moment. Le caractère ubiquitaire de ces informations résulte notamment du fait que les moyens techniques utilisés dans le cadre d'Internet sont relativement simples et de moins en moins coûteux ».
133
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
protection adéquat, les États membres seraient obligés d'empêcher toute mise sur Internet de
données à caractère personnel »281. Et de conclure que les opérations en cause ne constituent
pas un transfert de données vers un pays tiers et qu’il n’y a pas lieu de rechercher si une
personne d’un pays tiers a eu accès à la page Internet. Il reste que lorsque l’on se met à la
place d’un internaute dont les données personnelles pourront être consultées d’un Etat tiers, et
le cas échéant être traitées dans le non respect des principes communautaires de protection des
données personnelles, on ne peut se satisfaire de la solution proposée, solution qui semble
davantage résignée que convaincue.
B. Vers une protection mondiale des données personnelles ?
1) La nécessité d’une protection mondiale.
Deux phénomènes plus ou moins récents, et liés entre eux, permettent de plaider
aujourd’hui pour la mise en place d’une protection mondiale des données personnelles. Il
s’agit d’une part de la mondialisation dont nous étudierons les traits principaux, et du
terrorisme international, en particulier des lois sécuritaires qu’il entraîne, qui oblige les Etats à
coopérer davantage entre eux. Ces deux phénomènes, de par leur nature internationale,
rendent vaine toute réglementation strictement nationale concernant la protection des données
à caractère personnel. Qu’en est-il alors de la réglementation communautaire ? Il semble là
encore que si au sein de la Communauté la protection des données assurée sera satisfaisante et
permettra au surplus la libre circulation des données, elle n’est pas suffisante dans une planète
nous paraissant de plus en plus petite de par l’accroissement incessant des flux de toutes
sortes.
Pour ce qui est de la mondialisation, il faut tenter de définir ce phénomène que
d’aucuns utilisent parfois sans fondement ou seulement dans le domaine économique. Terme
apparu en France dans les années 1990 en traduction du mot anglais globalization, la
mondialisation consiste en la construction d’un espace où les échanges se font librement et
dans tous les domaines. Il ne s’agit donc pas de se limiter aux échanges commerciaux, et la
mondialisation concerne alors l’échange d’images, d’idées, de cultures, d’informations… Le
marché intérieur de la Communauté européenne a-t-il pour avenir un marché international ?
S’il n’est pas possible de répondre aujourd’hui à une telle question, il est en revanche possible
de comprendre que l’internationalisation des échanges de toutes sortes implique que certaines
interventions de protection se fassent désormais à l’échelle mondiale. De la même manière
281 Point 69 de l’arrêt.
134
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
que la protection de l’environnement ne saurait être effectuée qu’à une échelle nationale ou
communautaire, il nous semble que la protection des données personnelles ne saurait être
efficace à terme sans que certaines dispositions au moins dépassent le cadre national ou
régional. Les dispositions de la directive 95/46/CE concernant le transfert de données
personnelles vers les Etats tiers sont un premier pas intéressant dans la tentative de protéger
les données à caractère personnel en dehors même du champ de compétence territorial de la
Communauté, mais l’évolution des technologies et en particulier l’exemple de l’Internet en
montrent les limites pratiques. Enfin, un simple raisonnement par analogie permet de
considérer que si l’intervention communautaire en matière de protection des données
personnelles s’est justifiée par l’augmentation des flux principalement économiques entre les
Etats membres, l’explosion des flux mondiaux de marchandises, capitaux, services…, qui
entraînent avec eux nombre d’informations parfois liées à des personnes, rend nécessaire à
son tour une protection appropriée des données à caractère personnel.
Ensuite, le terrorisme a ces dernières années pris une ampleur telle que certains Etats
se sont dotés de législations permettant une surveillance importante des individus pouvant
parfois porter atteinte à leurs droits et libertés, et en particulier à leurs données personnelles.
A titre d’exemple, le « Patriot Act » voté aux Etats-Unis en octobre 2001 permet, en
application de sa section 215, que le FBI exige que lui soient communiquées des données dont
disposeraient des sociétés américaines et leurs filiales, quand bien même celles-ci
proviendraient de l’extérieur des Etats-Unis, et ce sans que les personnes concernées en aient
été informées. Cette situation inquiétante pour les droits fondamentaux des personnes au
premier chef desquels le droit à la vie privée et le droit à la protection des données
personnelles ne paraît avoir de solution satisfaisante que dans une coopération accrue au
niveau international, et sans doute à terme dans des principes internationaux contraignants de
protection des données personnelles, quand bien même une protection mondiale des données
semble pour l’heure difficile à envisager.
2) La difficile mise en place d’une protection mondiale des données personnelles.
Dans son rapport au Premier ministre Données personnelles et société de
l’information, Guy Braibant termine par considérer que des efforts devraient aussi être
réalisés au-delà du cadre européen282. La mise en œuvre d’une protection internationale des
données personnelles n’est pas une chose aisée. Premier obstacle à une telle action, les
282 Guy Braibant, Données personnelles et Société de l’Information, Op. Cit.
135
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
différences de points de vue et d’approche entre cultures juridiques différentes. De manière
générale, l’approche européenne considérant le droit à la protection des données personnelles
comme un droit fondamental dont les pouvoirs publics doivent nécessairement assurer le
respect s’oppose à l’approche américaine basée sur l’autorégulation qui attend des opérateurs
économiques d’assurer eux-mêmes cette protection. Néanmoins, l’autorégulation n’empêche
pas les autorités américaines d’intervenir soit lorsque l’opinion publique semble
particulièrement concernée et inquiète, et les groupes de pressions américains sont très
efficaces pour alerter les autorités, soit lorsqu’il s’avère patent que dans un domaine donné,
l’autorégulation ne suffit plus, et les opérateurs nécessitent des règles claires à appliquer. Il
faut d’ailleurs noter que quelques règles de protection des données personnelles existent outre
atlantique, mais sont trop disparates et très sectorielles. De plus, certains scandales
d’utilisation de données personnelles ont commencé à éveiller les consciences, ce qui peut
laisser envisager sur le moyen terme, une intervention plus claire des pouvoirs publics283. Si
les Etats-Unis en venaient à intervenir législativement pour protéger les données personnelles,
ils conviendraient certainement de la nécessité d’une réglementation internationale, et la
coopération avec la Communauté européenne serait sans nul doute essentielle.
Un moyen d’agir au niveau international pour la protection des données personnelles
serait certainement de confier cette tâche à une organisation internationale. L’Assemblée
générale de l’ONU a adopté, le 14 décembre 1990, des principes directeurs pour la
réglementation des fichiers informatisés contenant des données à caractère personnel284. Les
principes qui y sont proposés pourraient être considérés comme un fonds commun de la
protection des données à caractère personnel. Cela dit, les règles qui y sont énoncées ne sont
aucunement contraignantes, et il est fort douteux que la Communauté européenne s’en
contente tant elles sont minimales et très peu protectrices des personnes en comparaison avec
les règles communautaires qui deviennent un modèle en la matière.
Pour terminer, on peut se demander utilement si en définitive, la Communauté
européenne ne pourrait pas tenter de déployer ses propres règles juridiques de protection des
données personnelles vers des Etats tiers. Sans faire preuve d’ « impérialisme européen », il
faut admettre que les principes de la directive 95/46/CE sont complets, et qu’au surplus les
règles qu’elle contient concernant les transferts de données personnelles vers des pays tiers
pourraient conduire à une adaptation des règles communautaires, étant entendu que chaque
283 Nous pensons notamment au scandale de la société Double Click qui revendait les données personnelles qu’elle collectait. 284 Résolution de l’Assemblé générale de l’ONU 45/95 du 14 décembre 1990.
136
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
pays les adapterait selon les spécificités de son système, et ainsi tendre vers un fonds commun
du droit de la protection des données personnelles dont la Communauté serait à l’origine. En
tout état de cause, nous pensons comme Yves Poullet, que la Communauté, au travers de
l’Union européenne a un devoir de protéger les données personnelles en dehors même de son
territoire285, et cela pourrait devenir un des traits caractéristiques de son action extérieure.
285 Yves Poullet, « Pour une justification des articles 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontalières et de protection des données », Op. Cit.
137
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Conclusion.
L’intervention de la Communauté européenne pour protéger les données personnelles
est apparue au départ comme surprenante. Aujourd’hui, la Communauté européenne et plus
largement l’Union européenne, agissent dans de plus vastes domaines qu’en 1990, date de la
première proposition de directive pour la protection des données personnelles. L’adoption
depuis lors d’autres textes que la directive 95/46/CE, comme la directive protégeant la vie
privée dans le domaine des communications électroniques, le règlement 45/2001 pour la
protection des personnes à l’égard des traitements de données personnelles effectués par les
institutions ou organes communautaires, ainsi que la Charte des droits fondamentaux de
l’Union européenne et son article 8 nous donnent l’impression que la Communauté
européenne s’est prise au jeu de la protection des données personnelles et recherche
aujourd’hui davantage à protéger le droit fondamental à la protection des données
personnelles qu’à renforcer le marché intérieur. Il est vrai que le marché intérieur est
aujourd’hui une nécessité acquise et que la Communauté vise à créer un espace démocratique
où les droits de l’homme sont respectés286. L’approche est satisfaisante et se distingue
clairement de l’approche américaine qui laisse plus de place à l’autorégulation des acteurs du
marché et aux intérêts privés pour protéger les données personnelles. Quand bien même elle
est critiquable par certains aspects, il faut reconnaître à l’approche américaine un atout :
l’absence de règles juridiques, ou leurs disparités et incohérences forcent davantage les
citoyens, le plus souvent les groupes de pressions et autres associations de défense de droits
de l’homme, à éveiller les consciences, et ce n’est pas rien dans un domaine où le droit ne
suffit pas, mais où l’action de chacun est nécessaire pour que la protection des données à
caractère personnel soit efficace et effective. Benjamin Constant ne pensait-il pas, dans un
sens identique, que les modernes agissent bien moins sur la scène publique pour que des
droits leurs sont reconnus car ils disposent de nombreuses déclarations et se complaisent en
quelque sorte dans les garanties qui leur sont offerte287 ? Peut-être que le droit américain
permet de ne pas tomber dans cet inconvénient.
Pour en revenir à la protection des données personnelles par le droit communautaire, si
l’accumulation de textes peut paraître difficile à saisir et pourrait rendre la protection moins
efficace en créant une sorte d’insécurité juridique, il est satisfaisant qu’une certaine cohérence 286 Jean-Louis Quermonne, L’Europe en quête de légitimité, 287 Benjamin Constant, De la liberté des anciens comparée à celle des modernes.
138
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
soit recherchée d’une part par des renvois de plus en plus fréquents aux principes de la
directive 95/46/CE, et d’autre part grâce à l’existence d’autorités de contrôle chargées de
vérifier la bonne application des principes de la directive de 1995 tout comme ceux de la
directive 2002/58/CE, et il faut ici saluer le formidable travail d’interprétation et de pédagogie
effectué par le groupe de l’article 29. Au niveau national, pour reprendre l’exemple français
que nous avons suivi le long de notre étude, la CNIL effectue un travail de conseil et de
contrôle tout aussi remarquable.
Qu’en est-t-il alors de l’efficacité de la protection des données personnelles en droit
communautaire ? Nos démonstrations permettent de penser que le droit communautaire,
protégeant les données personnelles en tant que droit fondamental, a prévu un haut niveau de
protection des données, des droits et obligations appropriés, et des mécanismes de contrôle
divers visant à la plus grande effectivité de la protection des données personnelles en droit
communautaire. En outre, le droit communautaire va jusqu’à réglementer les transferts de
données personnelles vers les Etats tiers et se permet ainsi de déterminer si le niveau de
protection dans un pays tiers lui semble adéquat ou non.
Le droit communautaire des données personnelles nous convainc en ce que la
protection qu’il offre est bien plus large que celle qu’offrait la convention 108 du Conseil de
l’Europe. Par ailleurs, pour ce qui est de notre autre référent, la loi française relative à
l’informatique et libertés de 1978, quand bien même elle assurait un niveau de protection
élevé, elle n’était plus adaptée aux évolutions de la société, et nécessitait une large
modernisation. La version nouvelle de la loi « Informatique et libertés » regorge
d’innovations adoptées en application du droit communautaire. Si certaines craintes ou
critiques ont été formulées concernant un éventuel abaissement du niveau de protection en
France, ce n’est pas à notre sens en raison de la directive communautaire, même si celle-ci
laisse de larges choix aux Etats. Il nous semble que la nouvelle loi « Informatique et libertés »
souffre surtout d’un manque de cohérence dans son organisation, mais que le niveau de
protection des données personnelles ne devrait pas être abaissé.
Les perspectives sont de différents ordres. En premier lieu, des négociations plus
fructueuses devront être engagées au niveau international, pour que la protection des données
personnelles réponde aux réalités de notre société mondialisée, et en particulier, le
rapprochement entre les autorités américaines et européennes en ce domaine est inévitable
pour que la protection des données personnelles soit plus satisfaisante.
Ensuite, devra être renforcée et précisée l’étendue de l’harmonisation, et avant tout la mesure
de cette harmonisation en approfondissant la coopération entre autorités nationales de
139
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
contrôle, ou en procédant à une étude plus poussée de la protection offerte dans chacun des
Etats membres de la Communauté.
Par ailleurs, il est clair que de nouveaux défis se présentent au législateur européen,
notamment concernant l’Internet qui apparaît comme étant le domaine le moins sûr pour la
protection des données personnelles.
Enfin, il est utile de s’intéresser à l’utilisation qui s’avère plus fréquente de nouvelles données
personnelles qui présentent de nouveaux dangers. Nous pensons ici aux données
biométriques, aux données génétiques, à l’ADN, que le droit communautaire ne réglemente
pas spécifiquement et qui pourront poser de nouvelles problématiques dans les années à venir.
140
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Liste des décisions.
Cour de justice des communautés européennes.
• CJCE, 10 décembre 1968, Commission contre Italie, affaire 7/68, Rec. 1968, p. 618
• CJCE, 12 novembre 1969, aff. 29/69, Stauder, Rec. 1969
• CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969,
p.419.
• CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491.
• CJCE, 11 juillet 1974, Dassonville, affaire 8/74, Rec, 1974, p. 837
• CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337
• CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p.
1219.
• CJCE, 20 février 1979, Rewe Zentral contre Bundesmonopolverwaltung für
Branntwein affaire du « Cassis de Dijon », affaire 120/78, Rec., 1979, p. 649, attendu
8
• CJCE, 5 avril 1979, Ratti, aff. 148/78.
• CJCE 13 décembre 1979, Hauer, Aff. 44/79, Rec.1979 3727
• CJCE, Avis 1/91 du 14 décembre 1991. Rec 1991 I.6079
• CJCE, 2 Août 1993, Marshall Aff. C-271/91, Rec. I.4361.
• CJCE, 24 novembre 1993, Keck et Mithouard, Aff. Jointes C-267/91 et C-268/91. Rec.
1993, pp. I-6097.
• CJCE 5 octobre 1994, X c/ Commission C-404/92.
• CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté européenne à la
Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Rec. I.
1759.
• CJCE 9 décembre 1997, Commission c. France, C-265/95, Rec. P.I-6959.
• CJCE 24 juin 2001, Commission contre Pays Bas, aff C-350/02.
• CJCE, 4 octobre 2001, Commission contre Luxembourg, Aff. 450/00.
• CJCE 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00 P, Rec. I-66-77.
• CJCE 20 mai 2003 Rechnungshof Österreichischer Rundfunk, affaires jointes C-
465/00, C-138/01 et C-139/01.
141
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
• CJCE 12 juin 2003, Schmidberger, Aff. C-112/00
• CJCE 6 novembre 2003 Bodil Lindqvist, aff. C-101/01, rec. I-12992.
• CJCE 11 juin 2005, Commission contre Luxembourg, aff C-375/04 JO C 143 du 11
juin 2005 p.14 ;
• CJCE 11 juin 2005, Commission contre Belgique, aff. C-376/04 JO C 143 du 11 juin
2005 p.14 ;
• CJCE, 30 mai 2006, Parlement contre Conseil et Commission, affaires jointes C-
317/04 et C-318/04.
Cour européenne des droits de l’homme.
• CEDH 30 juin 2005, Bosphorus contre Irlande Req. n° 45036/98
• CEDH, 6 septembre 1978, Klass contre Allemagne, Requête n°5029/71.
• CEDH 25 février 1997, Z. c/ Finlande.
• CEDH 16 février 2000, Amman c. Suisse
• CEDH 27 août 1997 MS c/Suède.
• CEDH 26 mars 1987 Leander c/Suède.
• CEDH 5 mai 2000 Rotaru c/Roumanie.
Conseil constitutionnel.
• Décision n° 2004-499 DC du 29 juillet 2004 Loi relative à la protection des personnes
physiques à l'égard des traitements de données à caractère personnel
Cour de cassation.
• Cass. Crim. 14 mars 2006, pourvoi 05-83423.
Cour suprême des Etats-Unis.
• Griswold vs. Connecticut. 381. U.S. 479, 486. (1965).
142
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Bibliographie.
• Ouvrages généraux
D. Calleja, D. Vignes, R. Wägenbaur, Commentaire Mégret. Le droit de la
C.E.E. 5. Dispositions fiscales. Rapprochement des législations. Ed. De
l’Université de Bruxelles. Coll. ° Etudes européennes. 2ème éd. 1993, Bruxelles,
427p.
J. Carbonnier, Les biens, PUF, Paris, collection Thémis droit, 2000.
Louis Cartou, Jean-Louis Clergerie, Annie Gruber, Patrick Rambaud,
L’Union européenne, Précis Dalloz, 5ème éd., Paris 2004. 829p.
P. Catala, Ebauche d’une théorie juridique de l’information, in Le droit à
l’épreuve du numérique, Jus ex Machina
Laurence Burgogue-Larsen La France face à la Charte des droits
fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen,
Bruylant, Bruxelles, 2005 694p.
Gérard Cohen-Jonathan, Aspect européens des droits fondamentaux, 3ème
édition, Montchrestien, Paris, 2002, 280p.
V. Constantinesco, J-P Jacqué, R. Kovar, D. Simon, Traité instituant la
C.E.E : commentaire article par article. Ed. Economica. Paris 1992. 1648p.
Benjamin Constant, De la liberté des anciens comparée à celle des modernes
Louis Dubouis et Claude Blumann, Droit matériel de l’Union européenne, Coll.
Domat droit public, Montchrestien, Paris, 3ème éd., 613p.
Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, 2ème
éd. 2004. 159p.
Louis Favoreu (sous la direction de) Droit des libertés fondamentales, précis
Dalloz, Paris, 2ème édition, 2002.
Jean-Jacques Israël, Droit des Libertés fondamentales, LGDJ, Paris, 1998.
Pierre Kayser, La protection de la vie privée par le droit. Protection du secret
de la vie privée. Presses universitaires d’Aix-Marseille, Economica, Paris, 3ème
éd. 605p.
Danièle Lochak, Les droits de l’homme, Repères – La Découverte. 2002
143
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Marshall Mac Luhan, Guerre et paix dans le village planétaire, 1968
Alfonso Mattera, Le Marché unique européen, ses règles, son fonctionnement.
Jupiter, Bruxelles, 2ème éd. 1990. 775p.
Jean Morange, Droits de l’homme et libertés publiques, Puf, collection droit
fondamental, Paris, 5ème édition revue et augmentée 2000, 441p.
Thomas More Utopia. Traduction Marie Delcourt, Flammarion, Paris, GF
n°460,1987, 256p. (première parution 1516).
J. Mourgeon, Les droits de l’Homme, PUF « Que sais-je ? » n°1728, Paris,
1990.
Georges Orwell, 1984, Trad. Par Amélie Audiberti, Gallimard, Paris, Folio 822.
438 p.
Gregorio Peces, Barbara Martinez, Théorie générale des droits fondamentaux.
Droit et sociétés – Maison des sciences de l’homme. Série droit. LGDJ, Paris,
2004.
Jean-Marie Pontier, Droits fondamentaux et libertés publiques. Les
fondamentaux – Hachette, Paris, 2001. 157p.
Jean-Louis Quermonne, L’Europe en quête de légitimité,
J-F Renucci, Droit européen des droits de l’homme, LGDJ, Paris 3° éd. 2002
700p.
Adam Smith, Recherche sur la nature et les causes de la richesse des nations,
1776.
Fréderic Sudre, Droit international et européen des droits de l’homme, Puf,
collection droit fondamental classiques, Paris, 7ème édition refondue 2005.
Fréderic Sudre et Labayle, Réalité et perspectives du droit communautaire des
droits fondamentaux, Bruylant, Bruxelles, collection Droit et justice, n°27 2000.
Frédéric Sudre (dir.), Le droit au respect de la vie privée au sens de la
Convention européenne des droits de l’homme. Bruylant, Bruxelles, 2005.
Dominique Turpin, Libertés publiques et droits fondamentaux. Seuil, Paris,
2004.
Patrick Wachsmann, Les droits de l’homme, Dalloz – Connaissance du droit,
Paris, 4ème édition, 2002
Patrick Wachsmann, Libertés publiques, Dalloz, 5ème éd., Paris, 2005, 676p.
Dominique Wolton, Internet et après ? Une théorie critique des nouveaux
médias. Flammarion, Paris, 1999, 240p.
144
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
• Ouvrages spécialisés
Annie Blandin-Obernesser, sous dir. L’Union européenne et Internet : entre
logique de marché et préoccupations citoyennes. Travaux de la Commission
pour l’étude des Communautés européennes. Ed. Apogée 2001 189p.
Guy Braibant, Données personnelles et société de l’information, Rapport au
Premier ministre. La documentation française, 1998, 291 p.
Georges Chatillon, sous dir. Le droit international de l’Internet, Actes du
colloque organisé à Paris les 19 et 20 novembre 2001 par le Ministère de la
Justice, l’Université Paris I Panthéon Sorbonne et l’association Arpeje. Bruylant,
Bruxelles, 2002 689p.
Fatima El Atmani, La protection des données personnelles dans l’Union
européenne, Thèse de droit privé soutenue à la faculté de Montpellier,
Septembre 1996.
Isabelle Falgue, Internet, enjeux juridiques. La documentation française.
Marie-Pierre Fenoll-Trousseau et Gérard Haas, La cybersurveillance dans
l’entreprise et le droit, Juris classeur Litec, Paris, 2002.
Marie-Pierre Fenoll-Trousseau, Internet et protection des données personnelles,
Juris classeur Litec, Paris, 2003.
Jean Frayssinet, André Lucas, Jean Devize, Droit de l’informatique et de
l’Internet. Thémis. PUF, Paris, 747p.
E Gallouedec-Genuys et H Maisl, Le secret des fichiers, Ed. Cujas, Paris, 1976.
Jérôme Huet, Droit de l’informatique et des télécommunications. Litec, Paris.
Marie-Laure Laffaire, Protection des données à caractère personnel, Edition
d’organisation, Paris, 2005, 542p.
Martin-Lalande, l’internet, un vrai défi pour la France, Rapport au Premier
ministre, 1998 La documentation française, Paris.
Nathalie Mallet-Payol, Nouvelles technologies de l’information et libertés
individuelles, Problèmes économiques et sociaux, n°805, juillet 1998. La
documentation française, Paris.
Etienne Montero, sous dir. Droit des technologies de l’information. Regards
prospectifs. Cahiers du CRID, Bruylant, Bruxelles 1999.
145
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Pierre Tabatoni, sous dir. La protection de la vie privée dans la société de
l’information, Cahiers des sciences morales et politiques, tomes I-V.
• Articles et contributions.
E. Andrieu, « Internet et la protection des données personnelles ». Legicom n°
21/22, 2000.
Xavier Biseul, « Cybersurveillance : les nouvelles technologies ravivent les
vieilles peurs ». Revue 01 informatique n° 1772, 4 juin 2004.
Bitoun J-G., « De la protection de la vie privée : des cookies indigestes »,
CyberlexNet, http://www.grolier.fr/cyberlexnet, 23 avril 1997
M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, Y.
Poullet, « La protection des données personnelles en droit communautaire »,
Journal des tribunaux, droit européen, n° 40,41,42, juin, septembre, octobre
1997.
Jean Boulouis, « A propos de la fonction normative de la jurisprudence :
remarques sur l’œuvre jurisprudentielle de la Cour de justice des communautés
européennes », Mélanges Waline, LGDJ, Paris, 1974, p.149
A. Bourlond, Y. Poullet, « Flux transfrontalières de données à caractère
personnel, position de la proposition de directive européenne face à celle de la
convention 108 du Conseil de l’Europe », D.I.T, 1991/2, p. 58 et s.
Ulf Brühann, « La directive européenne relative à la protection des données :
fondements, histoire, points forts », RFDAP n°89, janvier-mars 1999, pp.9-19.
Ulf Brühann, « La protection des données à caractère personnel et la
Communauté européenne », RMCUE, n°428 mai 1999, p328-341.
Louise Cadoux, « Solutions techniques de protection de la vie privée », pp.42-
53, in « La protection de la vie privée dans la société de l’information », dir. P.
Tabatoni.
Mireille Campana, « La cryptographie », pp.54-62, in « La protection de la vie
privée dans la société de l’information », dir. P. Tabatoni
Jean-Paul Costa, « La Convention européenne des droits de l’homme, la Charte
des droits fondamentaux de l’Union européenne et la problématique de
146
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
l’adhésion de l’Union européenne à la Convention », 2004. EUI Working Paper
2004/5.
J. Costa-Lascoux, « De Schengen à Maastricht : libertés et contrôles dans
l’Union européenne », in Mélanges G. Levasseur. Litec/Gaz.Pal 1992 p.129 s.
Emmanuel Crabit, « La directive sur le commerce électronique. Le projet
« Méditerranée » », RDUE 2000 n°4, p.749-833.
Cécile De Terwangne, « Diffusion de la jurisprudence via internet dans les pays
de l’Union européenne et règles applicables aux données personnelles », LPA 29
septembre 2005 n°194 p.40-48.
Jean-Marc Dinant, « Les traitements invisibles sur Internet », in Cahiers du
CRID n°16, Bruylant, 1999, pp.271-294.
J. Frayssinet, « La loi relative à l’informatique, aux fichiers et aux libertés,
modifiée par la loi du 6 août 2004 : continuité et/ou rupture ? », Revue Lamy
droit de l’immatériel, n°9 octobre 2005, p.50.
J. Frayssinet, « Le décret n°2005-1309 du 20 octobre 2005 pris pour
l’application de la loi modifiée du 6 janvier 1978 relative à l’informatique, aux
fichiers et aux libertés ». Revue Lamy droit de l’immatériel, n°11 décembre
2005, p.24.
Pascale Gelly, « La Commission européenne approuve un nouveau modèle de
contrat de transfert de données personnelles », Expertises des systèmes
d’information, 1er février 2005, n°289, pp.55-58.
Théodore Georgopoulos, « Libertés fondamentales communautaires et droits
fondamentaux européens : la guerre n’aura pas lieu », Les Petites Affiches, 8
janvier 2004, pp. 8-14
Claudine Guerrier, « Les cartes d’identité et la biométrie : l’enjeu sécuritaire »,
Communication commerce électronique, 1er mai 2004, n°5, pp.19-23.
Claudine Guerrier, « Protection des données personnelles et applications
biométriques en Europe », Communication commerce électronique, 1er juillet
2003, n°7, pp.17-22.
Philippe Ch. –A. Guillot, « La personne, être social, La sphère privée.
Personnalité et patrimoine ». In La France face à la Charte des droits
fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen,
Bruylant, Bruxelles, 2005 694p.
147
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Guillaume Jahan, « Personal Data Privacy and Security Act : combattre le
détournement des données personnelles sur Internet ». Gaz. Pal. 19 et 20 octobre
2005, p.3269.
Julien Le Clainche, « Pouvoirs à posteriori de la CNIL : les risques de l’excès
de prudence ». Revue Lamy droit de l’immatériel, n°11 décembre 2005, p.43.
Pierre Leclercq, « Loi du 6 août 2004. Les transferts internationaux de données
personnelles », Communication commerce électronique. 1er février 2005, n°2,
pp.29-32.
Marc-Antoine Ledieu, « Les transferts internationaux de données à la
française », Communication – Commerce électronique, janvier 2006, pp.18-23.
Marie-Ange Le Mestre, « L’agence européenne chargée de la sécurité des
réseaux et de l’informatique : la décentralisation communautaire au service de la
libre communication », Lamy droit de l’informatique, 1er juillet 2004, n°171,
pp.1-4.
Sabine Lipovetsky et Audrey Yayon-Dauvet, « Le devenir de la protection des
données personnelles sur Internet », Gaz. Pal. Recueil septembre-octobre 2001,
p.1376 s.
Francesco Maiani, « Le cadre réglementaire des traitements de données
personnelles effectués au sein de l’Union européenne. Situation présente et
perspectives de développement ». RTD eur. N°38, avril-juin 2002, p 285-309.
H. Maisl, « Les autorités de contrôle et la défense de la vie privée », in Actes du
colloque du 15 novembre 1996 : Privacy : new risks and opportunities,
Bruxelles, Cahiers du CRID, n°13, 1997, p.79.
H Maisl, « Communications mobiles, secret des correspondances et protection
des données personnelles », LPA 1995 n°74 p.11.
Alexandre Maitrot de la Motte, « La réforme de la loi informatique et libertés
et le respect au droit de la vie privée », AJDA 29 novembre 2004 p. 2269 s.
Nathalie Mallet-Poujol, « La réforme de la loi « Informatique et libertés » »,
RFDAP n°89, janvier-mars 1999, pp.49-62.
David Martin, « La directive 95/46/CE (protection des données) et sa
transposition en droit français », Gaz. Pal. Gazette européenne, 1998 (1er sem.)
p. 601-612.
148
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
M. Massé, « L’espace Schengen, texte et contexte, figures de l’intégration dans
l’Europe communautaire ». , in Mélanges G. Levasseur. Litec/Gaz.Pal 1992 p.
382.
Rostane Mehdi, « La justice communautaire », in Dictionnaire de la justice, L.
Cadiet (sous dir.), PUF, Paris, 2004, p.736
Anne Meyer-Heine, « Le droit constitutionnel français, instrument de remise en
cause de la proposition de directive communautaire relative à « la protection des
personnes physiques à l’égard du traitement et de la circulation des données à
caractère personnel ». RFDC 1995 n°23, p. 637 et s.
Carole Moal-Nuyts, « Le transfert de données à caractère personnel vers les
Etats-Unis conformément au droit européen », RTDE 38, 3, juillet-septembre
2002, pp.451-470.
Christophe Pallez, « La loi du 6 aout 2004 : l’expertise de la CNIL », Revue
Lamy droit de l’immatériel, octobre 2005, p. 56.
Fernando Rui Paulino Pereira, « Le projet de réseau européen d’information
juridique Line (Legal information network in Europe), LPA, 29 septembre 2005,
n°194, p.17.
M-C Ponthoreau, « La directive 95-46 CE du 24 octobre 1995 relative à la
protection des personnes physiques à l’égard des données à caractère personnel
et à la libre circulation de ces données », RFDA 1997, p.125-150.
Yves Poullet, « Flux transfrontalières de données, vie privée et groupes
d’entreprises », Revue Lamy droit de l’immatériel, septembre 2005, p.47-57.
Yves Poullet, Maria Veronica Peres Asinan, « Données de voyageurs aériens :
Le débat Europe-Etats-Unis », JDT droit européen, 1er novembre 2004, n°113,
pp.266-274.
Yves Poullet, « Pour une justification des articles 25 et 26 de la directive
européenne 95/46/CE en matière de flux transfrontalières et de protection des
données », Communication commerce électronique, 1er décembre 2003, n°12,
pp.9-21.
Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information
de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la
protection des données personnelles au niveau européen ? » JDI juillet-aout-
septembre 2005 p.609-635.
149
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
N. Risacher « Internet et la protection des droits fondamentaux de le personne
humaine », Bulletin d’actualité - Lamy droit de l’informatique, N° 8 - 2 juin
1996.
Gilles Vercken, le « correspondant à la protection des données » : une création
inachevée ? » Revue Lamy droit de l’immatériel, octobre 2005, p.58.
Michel Vivant, « les transferts internationaux de données dans la loi de 2004 »
Revue Lamy droit de l’immatériel, octobre 2005, p.64.
S. Simitis, « Data Protection in the European Union: the quest for common rules
», Collected courses of the Academy of European Law, volume VIII, livre I,
2001, p.95.
Jean-Claude Soyer, « l’avenir de la vie privée face aux effets pervers du progrès
et de la vertu », p.8-9, in « la protection de la vie privée dans la société de
l’Information », Cahiers des sciences morales et politiques, tomes I-V, sous dir.
Pierre Tabatoni.
D. Simon, « L’avis 2/94 du 28 mars 1996, sur l’adhésion de la communauté à la
convention européenne des droits de l’Homme », Europe, Chronique, juin 1996,
p.1 s
Warren et Brandeis, «The right of privacy», Harvard Law Revue, 1890
• Documents
Union européenne.
8ème rapport annuel du groupe de travail « article 29 » sur la protection des
données portant sur « l’état de la protection des personnes à l’égard du
traitement des données à caractère personnel dans l’Union européenne et les
pays tiers »
Document de la Commission européenne sur l’état de transposition de la
directive 95/46/CE disponible en anglais à l’adresse :
http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm
Charte des droits fondamentaux de l’Union européenne JOCE, n° C 364, 18
décembre 2000.
150
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Conclusions de la Présidence du Conseil européen de Cologne, décision du
conseil concernant l’élaboration d’une Charte des droits fondamentaux de
l’Union européenne, points 44 et 45 (Bull. UE n°6-1999, point I.18) et annexe
IV, p. 43 (Bull. UE n°6-1999).
Convention d’application des accords Schengen. JOCE n° L239, 22
septembre 2000, p.19. En particulier art. 92 à 119.
Convention portant création d’un office européen de police (Europol),
JOCE, n°C 316, 27 novembre 1995, p.2.
Convention sur l’emploi de l’informatique dans le domaine des douanes,
JOCE, n° C 316 27 novembre 1995, p.34.
Directive 95/46/CE du Parlement européen et du Conseil du 24 Octobre
1995, relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données. JOCE 23
novembre 1995.
Directive 97/66/CE concernant le traitement des données à caractère personnel
et la protection de la vie privée dans le secteur des télécommunications
Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des
services de la société de l’information, et notamment du commerce électronique,
note E. MEISSE, Europe, janvier 2004 n°347.
Directive 2002/58/CE du 12 juillet 2002 sur le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des
communications électroniques.
Directive 2006/24/CE du 15 mars 2006, JOCE du 13 avril 2006, n°L 105/54.
Rapport de la Commission – Premier rapport sur la mise en œuvre de la
directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/
0265 final */
Décision d’adéquation de la Commission 2000/518/CE du 26.7.2000 -JOCE L
215/1 du 25.8.2000
Décision C (2001)497 CE, JOCE L 181/19, 4 juillet 2001. Clauses
contractuelles type pour le transfert de données personnelles vers des pays tiers.
Décision d’adéquation de la Commission C 2002/2/CE du 20.12.2001 - JOCE
L 2/13 du 4.1.2002
151
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Décision d’adéquation de la Commission du 21 novembre 2003 sur la
protection adéquate des données personnelles en Guernesey - JOCE. L 308,
25.11.2003
Décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau
de protection adéquat des données à caractère personnel contenues dans les
dossiers des passagers aériens transférés au Bureau des douanes et de la
protection des frontières des États-Unis d'Amérique (JO L 235, p. 11).
Décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion
d’un accord entre la Communauté européenne et les États-Unis d'Amérique sur
le traitement et le transfert de données PNR par des transporteurs
Décision d’adéquation de la Commission C (2003)1731 du 30 juin 2003 -
JOCE L 168, 5.7.2003.
Différent avis du groupe de l’article 29. Notamment :
-Avis du 13 juin 2003 Niveau de protection assuré aux Etats-Unis pour la
transmission des données passagers WP 78 MARKT/11070/03/FR ;
-Avis 2/2004 du 29 janvier 2004 sur la protection adéquate des données
personnelles contenues dans les dossiers des passagers aériens transférés au bureau des
douanes et de la protection des frontières des Etats-Unis (US CBP) WP 87
MARKT/10019/04/FR
Règlement (CE) n°45/01 publié au JOCE L 8/2001 p.1.
Conseil de l’Europe
Recommandation R (87) 15 du 17 septembre 1987 du Comité des ministres
du Conseil de l’Europe relative à la réglementation de l’utilisation des données
à caractère personnel dans le secteur de la police
Recommandation R (97) 5 du 13 février 1997 relative à la protection des
données médicales.
Convention 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection
des personnes à l’égard du traitement des donnes à caractère personnel et ses
protocoles additionnels.
152
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
France
Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques
à l’égard des traitements de données à caractère personnel et modifiant la loi n°
78-17. Journal officiel 7 août 2004, p.14063.
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés. Journal officiel « Lois et Décrets » du 7 janvier 1978
page 227.
CNIL, 26 ème rapport d’activité, 2006, p.27.
• Sites internet.
CNIL : www.cnil.fr
Union européenne : www.europa.eu.int
Conseil de l’Europe : www.coe.int
Cour européenne de justice : www.curia.eu.int/fr
Parlement européen : www.europarl.eu.int
Conseil européen : www.consilium.eu.int
Cour européenne des droits de l’homme : www.echr.coe.int
www.droit-ntic.com
www.foruminternet.org
www.alain-bensoussan.com
153
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
• Jurisprudence.
Cour de justice des communautés européennes
CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337R-CH.
Goffin, JDT droit eur, 1975, p.154 ; G. Lyon-Caen, RTDE, 1976,
p.141 ; D. Wyatt, European Law Review
CJCE 5 octobre 1994 X c/ Commission C-404/92. RUDH 1994 p. 408
note O. de Schutter. RTDH 1995, 97.
CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté
européenne à la Convention de sauvegarde des droits de l’homme et
des libertés fondamentales, Rec. I. 1759. RMUE, 1996, p.220, F.
Berrod ; JDI, 1997, p. 516, V. Constantinesco; CDE, 1996, p.555, O.
de Schutter et Y. Lejeune ; Rec. Dalloz-Sirey, 1996, Jur., p.449, J.-F.
Renucci ; Europe, juin 1996, p.624, D. Simon ; RTDE, 1996, p. 467,
P. Wachsmann.
CJCE 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00
P, Rec. I-66-77. Europe, octobre 2002, p.7, note F. Berrod et F.
Mariotte; Rec. Dalloz, 2002 Jur. P.2825, P. Cassia ; AJDA, 2002,
p.868 ; JDT. Droit européen, n°92, 2002, p.199.
CJCE 20 mai 2003 Rechnungshof Österreichischer Rundfunk,
affaires jointes C-465/00, C-138/01 et C-139/01. RTDH, 2004, 724
obs. C. Maubernard.
CJCE 12 juin 2003 Schmidberger, Aff. C-112/00, obs. A. Rigaux et
D. Simon, Europe 2003, n°8-9 ; RTDH 2004, 435, note C. Vial ; JDI,
2004, 545, obs. R.Mehdi.
CJCE 6 novembre 2003 Bodil Lindqvist, aff. C-101/01, rec. I-12992.
obs. F. Mariatte, Europe, janvier 2004 n°18 ; obs L. Burgogue-
Larsen, Rec. Dalloz 2004, Somm., p.1062. ; obs. Caroline Picheral,
RTDH 2004, p.728.
154
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Cour européenne des droits de l’homme.
CEDH 25 février 1997, Z. c/ Finlande. JCP 1998-I-107 n°35 obs. F.
Sudre; AJDA 1998 p.42 obs. J-F Flauss ; D. 1997-J-584, note S.
Grataloup ; JCP 1997-I-4071, note S. Evain ; Rev. Sc. Crim. 1998
p.387 obs. R. Koening-Joulin
CEDH 27 août 1997 MS c/Suède. D. 2000-J-521, note I. Laurent
Merle
CEDH 5 mai 2000 Rotaru c/Roumanie. JCP 2001-I-291 n°30 obs. F.
Sudre p.137. RTDH 2001. p.137. obs. O. de Schutter.
155
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Table des matières
Première partie : La volonté d’assurer une protection élevée des données personnelles dans le marché intérieur. 15
Chapitre 1. Un fondement économique justifiant une réglementation communautaire: le bon fonctionnement du marché intérieur. 16
Section 1 : Une intervention communautaire visant à favoriser la libre 16 circulation des données personnelles. 16
Paragraphe premier: Les enjeux importants pour le marché intérieur. 16 A) Le renforcement du marché intérieur. 17
1) Le fondement de l’intervention communautaire. 17 2) Une intervention nécessaire au bon fonctionnement du marché intérieur. 18
B) Une intervention nécessitant une protection élevée dans le marché intérieur. 19 1) Le rapprochement de mesures nationales ayant pour objet la protection de droits fondamentaux. 19 2) L’obligation de prendre pour base un niveau de protection élevé. 20
Paragraphe second : Un domaine soumis aux libertés économiques du TCE. 21 A) Les enjeux économiques. 21
1) Une problématique actuelle. 21 2) La garantie des libertés économiques du TCE. 22
B) Les données personnelles comme bien économique. 231) Des données pouvant être qualifiées de marchandises au sens du droit communautaire. 23 2) La libre circulation des marchandises appliquée aux données personnelles. 24
Section 2 : Une harmonisation complète des législation nationales sur la protection des données personnelles? 27
Paragraphe premier : L’étendue de l’harmonisation opérée par la directive 95/46 CE. 27
A) Une harmonisation complète ? 27 1) Les différents degrés d’harmonisation possibles. 28 2) L’étendue de l’harmonisation opérée par la directive générale de 1995. 29
B) L’état des transpositions de la directive « données personnelles ». 30 1) Une directive aujourd’hui largement transposée. 30 2) Les difficultés rencontrées. 31
Paragraphe second : Les autres textes de l’ordre communautaire relatifs à la protection des données personnelles. 33
A) Les mesures sectorielles. 33 1) Les directives sectorielles concernant le secteur des communications électroniques. 33 2) La directive « commerce électronique » ou la protection des données personnelles par un mécanisme de connexité. 35
B) Les autres mesures de l’ordre juridique communautaire : une protection appliquée aux organes et institutions communautaires 36
156
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
1) L’inscription de cette protection dans le droit communautaire primaire : l’article 286 TCE 36 2) Le règlement 45/2001. 38
Chapitre 2. Un objectif prévalent : Une large protection des données personnelles en tant que droit fondamental. 39
Section 1. La protection des données personnelles comme droit fondamental de l’Union européenne. 39
Paragraphe Premier. La consécration d’un droit fondamental issu du droit à la vie privée. 39
A. Un droit fondamental composante du droit à la vie privée ? 40 1) Une protection étroitement liée au droit au respect de la vie privée 40 2) Une protection liée à la garantie de plusieurs autres droits fondamentaux. 43
B. La consécration d’un droit fondamental à part entière. 44 1) Un droit fondamental potentiellement Principe général du droit communautaire. 44 2) Une consécration dans la Charte des droits fondamentaux de l’Union européenne. 47
Paragraphe second. Les questions inhérentes à la fondamentalité du droit à la protection des données personnelles en droit communautaire. 49
A. La nécessaire conciliation avec d’autres droits et libertés fondamentaux. 49 1) Liberté d’expression contre protection des données personnelles 49 2) Libertés économiques confrontées à la protection des données personnelles. 50
B. La question des rapports entre droit communautaire et droit de la CEDH. 52 1) La question de l’adhésion de l’Union européenne à la CEDH. 52 2) La question de l’adhésion de l’Union européenne à la convention 108 du Conseil de l’Europe. 54
Section 2 : Des définitions et un champ d’application visant à favoriser une protection étendue. 55
Paragraphe premier : Des dispositions pour un haut niveau de protection. 55 A) Des définitions vastes. 56
1) La définition des objets de la protection. 56 2) Les définitions relatives aux personnes concernées. 59
B) Un champ d’application large. 62 1) Le champ d’application matériel. 62 2) Le champ d’application territorial. 64
Paragraphe second : Une protection élevée mais néanmoins perfectible. 65 A) Un champ d’application excluant les traitements de données personnelles dans le cadre des IIème et IIIème piliers. 65
1) L’exclusion des traitements effectués dans le cadre des IIème et IIIème piliers. 65 2) La situation des systèmes d’information européens du troisième pilier. 66
B) Les autres domaines non soumis au droit communautaire et les limites de la directive. 67
1) Les autres domaines non soumis à la directive 95/46 CE 67 2) champ d’application trop large ? 69
Deuxième partie : Des mesures efficaces pour une protection élevée des données personnelles par le droit communautaire. 70
157
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Chapitre I. Des règles juridiques permettant un traitement licite des données personnelles. 71
Section 1. Les droits conférés à la personne concernée. 71
Paragraphe Premier. Des droits liés à l’information et à l’intervention de la personne concernée. 71
A. Des droits d’information. 72 1). Un droit d’information satisfaisant. 72 2). Le droit d’accès. 74
B. Des droits d’intervention sur les données. 75 1). Un droit de rectification, d’effacement ou de verrouillage. 75 2). Un droit d’opposition. 76
Paragraphe second. Des exceptions générales. 78 A. Des exception liées aux traitements de souveraineté. 78
1) L’intérêt général. 78 2) Des exceptions limitées ? 80
B. D’autres types de limites. 82 1) Face à la liberté d’expression. 82 2) Qu’en est-il des droits de la personne concernée par les systèmes d’information européens. 83
Section 2. Les obligations imposées au responsable du traitement. 83
Paragraphe premier. Les principes relatifs à la licéité du traitement de données personnelles. 84
A. Des obligations liées à la qualité des données. 84 1) Quant à la qualité des données. 84 2) La consécration du principe de finalité. 86
B. Les principes relatifs au traitement de données personnelles 87 1) De strictes conditions pour la légitimation du traitement de données personnelles. 87 2) Des obligations de transparence et de sécurité pour une meilleure protection de la personne concernée. 91
Paragraphe second. Entre simplifications des obligations de déclaration et mise en cause de la responsabilité. 93
A. Un régime de déclaration simplifié. 93 1) L’obligation de notification des traitements de données personnelles. 93 2) Une innovation importante portant la marque de l’autorégulation : le détaché à la protection des données. 96
B. Une large marge d’appréciation laissée aux Etats quant à la responsabilité et aux sanctions à mettre en œuvre. 98
1) L’engagement de responsabilité du responsable du traitement 98 2) Des sanctions laissées à la discrétion des Etats membres. 100
Chapitre II. Des dispositions garantissant l’effectivité de la protection des données personnelles. 101
Section 1. L’arsenal organique institué par la Communauté européenne pour la protection des données personnelles. 101
158
Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya
Paragraphe premier. Les autorités nationales contrôlant la protection des données personnelles. 102
A. La mise en place d’autorités nationales de contrôle. 102 1) Une spécificité européenne. 102 2) Le rôle des autorités de contrôle. 104
B. Les pouvoirs et missions des autorités dans l’Union européenne. 106 1) des pouvoirs potentiellement larges 106 2) Une obligation de coopération entre autorités. 109
Paragraphe second. Les autorités communautaires pour la protection des données personnelles. 110
A. Les organes mis en place par la directive 95/46/CE 110 1) Le « groupe de l’article 29 ». 110 2) Le comité. 112
B. Les autres organes de protection des données personnelles. 113 1) Le contrôleur européen à la protection des données (CEPD). 113 2) Le rôle d’autres organes européens créés en dehors du droit communautaire. 116
Section 2. La nécessaire réglementation communautaire des flux transfrontaliers de données personnelles. 118
Paragraphe premier. La nécessité d’une protection adéquate de la part des Etats tiers. 118
A. Les transferts de données personnelles vers les Etats tiers. 119 1) Le principe d’une interdiction de transfert de données hors de la Communauté européenne. 119 2) L’exception : Transfert possible dans certaines hypothèse. 122
B. Le cas de transfert de données vers les Etats-Unis. 124 1) L’insuffisance de la protection des données personnelles aux Etats Unis. 124 2) Les systèmes optionnels mis en place pour le transfert de données personnelles vers les Etats-Unis. 126
Paragraphe second. Les difficultés liées à l’Internet et au caractère international des flux de données personnelles. 130
A. La problématique de la protection des données sur Internet. 130 1) Le caractère insaisissable d’Internet : une « utopie » zone de non droit ? 130 2) La protection assurée par le droit communautaire. 131
B. Vers une protection mondiale des données personnelles ? 134 1) La nécessité d’une protection mondiale. 134 2) La difficile mise en place d’une protection mondiale des données personnelles. 135
159