La protection des données personnelles en droit communautaire

Ce document provient du site www.DROIT-TIC.com Auteur : Farid Bouguettaya

UNIVERSITE DE MONTPELLIER I.

FACULTE DE DROIT – IDEDH.

MEMOIRE Master 2 Recherche

Droit européen des droits de l’homme.

LA PROTECTION DES DONNEES PERSONNELLES EN

DROIT COMMUNAUTAIRE.

Par Monsieur Farid BOUGUETTAYA.

Mémoire réalisé sous la direction de Monsieur Rostane MEHDI.

Montpellier. Année 2006

1


Remerciements. Au travers de ces quelques lignes, je tiens à exprimer ma profonde

reconnaissance envers celles et ceux qui m’ont aidé ou soutenu durant l’élaboration de ce mémoire.

Mes remerciements iront tout d’abord à mon directeur de mémoire, Monsieur

Rostane Mehdi pour les précieux conseils qu’il a pu me donner tout au long de l’élaboration de ce travail, et la grande disponibilité dont il a fait preuve en répondant toujours à mes interrogations avec une grande rapidité.

Je remercie également ma famille, mes amis, qui par leur soutien, leurs

sourires, leur patience, ou leurs conseils méritent largement de figurer sur cette page.

2


SOMMAIRE

Introduction. Première Partie. La volonté d’assurer une protection élevée des données personnelles dans le marché intérieur. Chapitre I. Un fondement économique justifiant une réglementation communautaire : le bon fonctionnement du marché intérieur.

• Section I. Une intervention communautaire visant à favoriser la libre circulation des données personnelles.

• Section II. L’étendue de l’intervention communautaire.

Chapitre II. Un objectif prévalent : Une large protection des données personnelles en tant que droit fondamental.

• Section I. La protection des données personnelles comme droit fondamental de l’Union européenne.

• Section II. Des définitions et un champ d’application visant à favoriser un

champ d’application étendu. Deuxième Partie. Des mesures efficaces pour une protection élevée des données personnelles par le droit communautaire. Chapitre I. Des règles juridiques permettant un traitement licite des données personnelles.

• Section I. Les droits conférés à la personne concernée.

• Section II. Les obligations imposées au responsable du traitement. Chapitre II. Des dispositions garantissant l’effectivité de la protection des données personnelles.

• Section I. L’arsenal organique institué par la Communauté européenne pour la protection des données personnelles.

• Section II. La nécessaire réglementation communautaire des flux

transfrontalières de données personnelles. Conclusion.

3


TABLE DES ABREVIATIONS. Aff. Affaire

ASMP Académie des sciences morales et politiques.

Bull. Bulletin officiel (Bull. CE ou Bull. UE)

CBP United States Bureau of Customs and Border Protection. Bureau des

douanes et de la protection des frontières des Etats-Unis.

CDFUE Charte des droits fondamentaux de l’Union européenne.

CE Communauté européenne

CECA Communauté économique du charbon et de l’acier.

CEDH Convention européenne de sauvegarde des droits de l’homme et des

libertés fondamentales.

CEDH Cour européenne des droits de l’homme.

CEE Communauté économique européenne.

CEEA Communauté européenne à l’énergie atomique.

CEPD Contrôleur européen à la protection des données.

Cf. Confer

CIG Conférence intergouvernementale.

CJCE Cour de justice des communautés européennes.

CNIL Commission nationale informatique et libertés.

Contrib. Contribution.

CRID Centre de recherche informatique et droit.

Doc. Document.

JAI Justice et affaires intérieures.

JDT dt. eur. Journal des tribunaux droit européen.

JO Journal officiel.

JOCE Journal officiel des communautés européennes.

4


LGDJ Librairie générale de jurisprudence.

NTIC Nouvelles technologies de l’information et de la communication.

OCDE Organisation pour le développement et la coopération économique.

ONG Organisation non gouvernementale.

ONU Organisation des nations unies.

Op. Cit. Opus Citatum. Précédemment cité.

p. Page.

PESC Politique étrangère et de sécurité commune.

PGD Principe général du droit.

PNR Passenger Name Record. Données de dossiers passagers.

Pp. De la page…à la page…

PUF Presses universitaires de France.

RAE. Revue des affaires européennes.

RDLI Revue Lamy droit de l’immatériel.

RDUE Revue du droit de l’Union européenne

Rec. Recueil de la jurisprudence de la CJCE et du TPI.

Rev. Révision.

RFDAP Revue française d’Administration publique.

RFDC Revue française de droit constitutionnel.

RMCUE Revue du marché commun et de l’Union européenne.

RMUE Revue du marché unique européen.

RTDE Revue trimestrielle de droit européen.

RTDH Revue trimestrielle des droits de l’homme

RUDH Revue universelle des droits de l’homme.

SID Système d’information des douanes.

SIS Système d’information Schengen.

TCE Traité instituant la Communauté européenne.

TPI Tribunal de première instance.

TUE Traité instituant l’Union européenne.

UE Union européenne.

5


Introduction.

La crainte d’un Etat Orwellien. Très tôt, certains auteurs se sont intéressés aux

risques que pouvaient courir les individus du fait de l’accumulation d’informations les

concernant par les pouvoirs publics. Le roman le plus frappant et le plus moderne à la fois

quant aux craintes que peuvent ressentir les citoyens est certainement « 1984 » de Georges

Orwell publié en 19481. Dans son récit futuriste, l’auteur décrit une société qui par maints

égards ressemble étrangement à la société contemporaine : le pouvoir y engrange des

informations, instaure un réel contrôle sur les individus, une surveillance sociale accrue

enfreignant visiblement le droit au respect de la vie privée. Près de soixante ans après sa

parution, la dystopie d’Orwell pourrait presque passer pour un roman sociologique, tant

les individus craignent qu’un Etat trop curieux ou malveillant voire d’autres organismes

publics comme privés, s’immiscent exagérément dans leur vie privée. Une telle crainte

n’est pas à considérer comme une paranoïa si souvent observée aujourd’hui en tous

domaines, mais correspond à une éventualité très probable voire à une réalité niée par les

pouvoirs publics. En effet, un article paru dans le Monde en 1974, « SAFARI, ou la

chasse aux français »2, révélait déjà les risques d’une telle intrusion dans la vie privée de

chacun par l’accumulation et l’interconnexion de données nominatives les concernant.

Aujourd’hui, le 26ème rapport annuel de la Commission Nationale Informatique et Libertés

(CNIL), rendu début Avril 2006 lui permet de renouveler son inquiétude sur la

constitution de fichiers de données personnelles inquiétants pouvant violer les libertés

individuelles3.

La révolution informatique : l’émergence d’une société de l’information. Ces

dernières décennies, les moyens techniques de la communication ont connu une véritable

explosion. Les progrès constants de l’informatique et plus récemment des nouvelles

technologies de l’information et des communications ont favorisée une augmentation

1 Georges Orwell, 1984, Trad. Par Amélie Audiberti, Gallimard, Paris, Folio 822. 438 p. 2 Il s’agissait d’un projet d’interconnexion des banques de données à l’aide d’un identifiant unique construit à partir du code de l’INSEE (numéro national d’identité). Article de Philippe Boucher publié dans le journal Le Monde du 21 mars 1974 3 CNIL, 26ème rapport d’activité, année 2005. Il s’agit en particulier des fichiers de police judiciaire STIC et JUDEX.

6


conséquente de la vitesse de traitement de l’information, des capacités de stockage de

l’information, et des capacités de communication au point que certains auteurs ont pu

parler de l’avènement d’une société de l’information.

Pour tenter de définir un tant soit peu une telle société, reprenons les mots de Pierre

Tabatoni qui se réfère « aux effets des innovations dans les techniques informatiques et de

télécommunications, sous ses formes numérisées, interactives, très rapides, et d’accès à

l’information […] ». Et l’auteur d’ajouter « c’est donc tout le domaine de l’expression et

de la communication qui est transformé ; il est au cœur de la vie privée et de l’exercice

des libertés »4. On saisit alors l’impact de la société de l’information sur le quotidien des

individus.

Les nouvelles techniques de communication disposent incontestablement d’atouts.

Dominique Wolton explique clairement qu’Internet tient certainement son succès du fait

qu’il est apparu comme la figure d’une utopie, celle d’une « société où les hommes sont

libres, susceptibles de s’émanciper par eux-mêmes »5. Mais à juste titre, le sociologue

tient à distinguer la technique et les valeurs qu’il faut préserver, et considérer

sérieusement les menaces que fait peser l’informatique sur les libertés. Les progrès liés

aux nouvelles technologies de l’information, couplés à la globalisation, permettent à la

fois la massivité, l’instantanéité et la simultanéité des informations au niveau mondial.

Ainsi, elles sont l’objet de différents enjeux : enjeux économiques, politiques, sociaux,

culturels, et juridiques, et l’on peut raisonnablement s’interroger sur l’utilisation qui sera

faite des informations concernant les individus dans ce monde que Mac Luhan a pu

qualifier de « village planétaire »6. Les individus ne sont-ils pas confrontés à de plus

grands risques d’atteintes à leurs libertés, et en particulier à leur vie privée dès lors que les

informations les concernant peuvent être traitées d’une façon largement facilitée par

l’informatique et autres nouvelles technologies ? En effet, il apparaît que les individus

pourraient être en quelque sorte pistés grâce aux nouvelles technologies, simplement en

utilisant cartes de crédits, téléphones portables, Internet etc.… Le respect de la vie privée

auquel chacun aspire risque sérieusement d’en pâtir.

4 Pierre Tabatoni, Vie privée, une notion et des pratiques complexes, in La protection de la vie privée dans la société de l’information, Cahier des sciences morales et politiques, Avant propos, t.1, p.3. 5 Dominique Wolton, Internet et après ? Une théorie critique des nouveaux médias, Flammarion, Paris, 1999, 240p. 6 Marshall Mac Luhan, Guerre et paix dans le village planétaire, 1968.

7


Le droit au respect de la vie privée. Les progrès considérables et continus des

nouvelles technologies de l’information comportent certes de grands avantages, mais des

inconvénients paraissent envisageables, notamment quant à la multiplication des atteintes

au droit à la vie privée qui pourrait résulter de l’accumulation d’informations concernant

les individus. Un rappel de l’importance du droit à la vie privée, et une modeste tentative

de définition des contours de cette notion semblent utiles en tant que préalable à une

explication de la nécessaire protection des individus faces aux NTIC.

La Déclaration universelle des droits de l’homme, proclamée à Paris le 10 décembre 1948,

sera le 1er texte international de protection des droits de l’homme à reconnaître la

protection de la vie privée. L’article 12 dispose ainsi que « nul ne sera l'objet d'immixtions

arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes

à son honneur et à sa réputation […] ». L’article 17 du Pacte international relatif aux

droits civils et politiques reprend la même formulation. La Convention européenne de

sauvegarde des droits de l’homme et des libertés fondamentales signée le 4 novembre

1950 et entrée en vigueur le 3 septembre 1953 ira dans le même sens en reconnaissant en

son article 8§1 que « toute personne a droit au respect de sa vie privée et familiale, de son

domicile et de sa correspondance ». La protection de la vie privée a aussi été reconnue

par la Convention américaine des droits de l’homme adoptée en 1969, en son article 11.

Enfin, intéressons nous à la construction communautaire, et au fait que la Charte des

droits fondamentaux de l’Union européenne proclamée en 2000 contienne un article 7

consacré au respect de la vie privée et familiale. Le Charte n’est certes pas contraignante

pour le moment, mais ces dispositions soulignent que les Etats membres ont pu se mettre

d’accord pour considérer le respect de la vie privée comme un droit fondamental.

Rappelons par ailleurs que si les traités communautaires ne contiennent pas de

dispositions concernant le respect de la vie privée, la Cour de justice des communautés

européennes peut être amenée à en assurer la protection par la technique des principes

généraux du droit communautaire qui comme l’affirme la Cour dans l’arrêt Stauder7 du

12 novembre 1969, comprennent les droits fondamentaux de la personne. La CJCE

continuera en ajoutant, dans un arrêt Internationale Handelsgesellschaft8 rendu en 1970,

7 CJCE, 12 novembre 1969, aff. 29/69, Stauder, Rec. 1969, p.419. Notons que la CJCE, dans cette affaire, devait répondre à une question préjudicielle concernant implicitement le respect de la vie privée. 8 CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969, p.419.

8


qu’elle s’inspire alors des traditions constitutionnelles communes. Deux autres arrêts de

principe de la Cour de Luxembourg sont également à citer : l’arrêt Nold9 du 14 mai 1974

dans lequel la Cour fait une première référence implicite à la Convention européenne des

droits de l’homme, et l’arrêt Rutili10, rendu un an plus tard, dans lequel la Cour fait cette

fois ci expressément référence à la Convention européenne des droits de l’homme qui

devient ainsi une source privilégiée pour la protection des droits fondamentaux dans

l’ordre juridique communautaire. En protégeant les droits reconnus par la CEDH, la Cour

de justice doit incontestablement protéger la vie privée.

Il est légitime de s’interroger sur le sens de cette notion de vie privée, ou du concept

de privacy cher aux anglo-saxon élevé aujourd’hui au rang de droit fondamental.

Les juristes s’accordent unanimement pour considérer que le texte fondateur de la vie

privée est un article paru dans la Revue de droit d’Harvard en 1890 avec pour titre « The

right of privacy »11. Les deux juristes américains auteurs de cet article, Warren et

Brandeis, ont défini ce droit comme the right to be left alone, soit le droit d’être laissé

seul. Ce droit sera précisé par la Cour suprême des Etats-Unis comme celui de toute

personne de prendre seule les décisions dans sa sphère privée12. La définition a été

régulièrement étendue et la privacy ne représente plus le seul right to be left alone. Cette

définition américaine de la privacy a été très influente.

La reconnaissance d’un droit subjectif au respect de la vie privée a pour conséquence

immédiate que toute atteinte à ce droit devient condamnable en tant que tel sans qu’il soit

besoin que la personne concernée apporte la preuve d’un préjudice spécial qu’elle aurait

éprouvée.

Pour les besoins de notre réflexion sur la protection des données personnelles par le

droit communautaire, il semble utile de relever la distinction opérée par le professeur

Pierre Kayser entre deux aspects de la vie privée : le secret de la vie privée et la liberté de

la vie privée. Pour l’auteur, la liberté de la vie privée correspond au « pouvoir d’une

personne de se comporter comme elle l’entend dans cette partie de sa vie »13. « La liberté

de la vie privée, qui est le principe, est la réunion de plusieurs libertés physiques, comme

la liberté corporelle, la liberté d’aller et venir, morales, comme la liberté des 9 CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491. 10 CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p. 1219. 11 Warren et Brandeis, The right of privacy, Harvard Law Revue, 1890. 12 Griswold vs. Connecticut. 381. U.S. 479, 486. (1965). 13 P. Kayser, La protection de la vie privée par le droit. Protection du secret de la vie privée. Presses universitaires d’Aix-Marseille, Economica, 3ème éd. 605p.

9


croyances »14. Le secret de la liberté correspond à « la protection d’un intérêt privé : une

personne peut valablement consentir à la divulgation de sa vie privée. Elle a la maîtrise du

secret de sa vie privée qui est aussi seulement un aspect du pouvoir qu’elle exerce sur

elle »15. Le secret de la vie privée est l’aspect qui correspond à notre étude. Pour autant,

nous garderons à l’esprit qu’une atteinte au secret de la vie privée peut influer

indirectement sur la liberté de la vie privée, et vice-versa. Les atteintes au secret de la vie

privée sont en effet diverses. Le professeur Kayser relevait notamment la divulgation de la

vie privée, l’investigation dans la vie privée des individus, ou encore la conservation d’un

document relatif à la vie privée.

De plus, comme le relevait Madame El-Atmani dans sa thèse consacrée à « la protection

des données à caractère personnel dans l’Union européenne », la privacy signifie,

« premièrement qu’une personne dispose d’une sphère privée, et, deuxièmement, qu’elle a

le droit de contrôler le flux d’informations concernant sa vie privée »16.

Nous comprenons ainsi aisément que la société de l’information dont nous avons

présenté les principaux traits caractéristiques est particulièrement perturbante eu égard aux

risques d’atteintes aux droits des personnes qu’elle comporte. Et les nouvelles

technologies impliquent indiscutablement de prévoir une protection des données

personnelles. En outre, la société de consommation n’est pas étrangère aux craintes

exprimées, et l’on peut noter que les informations relatives à des individus, les données

personnelles, sont convoitées par certaines entreprises ou firmes multinationales dont

l’influence et la puissance apparaît parfois inquiétante, celles-ci souhaitant constituer

fichiers clients et autres bases de données comportementales pour leurs études de marché

et s’adapter aux préférences et modes de vie de leurs clients. Des entreprises vont même

jusqu’à collecter puis vendre illégalement des données à caractère personnel qui serviront

de fichiers marketing utiles à d’autres entreprises voulant faire connaître leurs activités à

des clients potentiels. Par ailleurs, les administrations sont intéressées par de telles

données, ne serait-ce que pour les recensements, ou encore la recherche et la sécurité…

Quelles que soient les fins poursuivies, les progrès technologiques ont nourri les craintes

des défenseurs des libertés individuelles, et une protection des données personnelles par le

droit est rapidement apparue comme nécessaire. L’ombre de Big brother planerait-elle au- 14 P. Kayser, Op. Cit. p.12. 15 P. Kayser, Op. Cit. p.12. 16 Fatima El Atmani, La protection des données personnelles dans l’Union européenne, Thèse de droit privé soutenu à la faculté de Montpellier, Septembre 1996 p. 13.

10


dessus de chacun de nous ? Pour empêcher les atteintes au droit au respect de la vie privée

par l’utilisation illicite et attentatoire aux libertés, de données concernant les individus, il a

fallu faire appel au droit. La protection des données personnelles s’est alors constituée

rapidement comme un droit qu’il fallait nécessairement protéger dans une société

démocratique.

La protection des données personnelles. Dès la fin des années soixante-dix, face aux

risques d’atteintes à la vie privée ou encore à l’identité des personnes, certains Etats se

sont doté d’une législation protectrice des individus et des données à caractère personnel

les concernant. En effet, la constitution de fichiers révélateurs d’informations précises sur

le quotidien des individus a largement alerté l’opinion publique.

La première loi au monde visant la protection des données personnelles a été adoptée par

la Land de Hesse, en Allemagne. Cette loi de 1970 mettait en place une instance

indépendante chargée de surveiller les traitements de données personnelles. Les autres

Länder suivirent l’exemple et une loi fédérale fut adoptée en 1977, révisée en 1990. C’est

néanmoins la Suède qui adoptera la première une loi nationale de protection des données à

caractère personnel en 1973.

En France, est adoptée une loi relative à l’informatique, aux fichiers et aux libertés en

1978 (loi n°78-17 du 6 janvier 1978)17, dont l’article 1er précise l’objectif :

« l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer

dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité

humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou

publiques ». Cette même loi met en place la Commission nationale informatique et

libertés (CNIL), autorité administrative indépendante chargée de veiller à la protection des

données personnelles. La réglementation française est apparue comme un modèle en la

matière, et cela grâce aussi à l’apport de la doctrine et de la jurisprudence de la CNIL.

Rapidement, il est apparu évident qu’une protection efficace des données à caractère

personnel nécessitait une réelle collaboration interétatique en raison de la multiplication

des flux transnationaux. En effet, les différences entre réglementations nationales

concernant la protection des données personnelles étaient trop sensibles pour qu’une

harmonisation des niveaux de protection ne soit pas opérée.

17 Loi 78-17 relative à l’informatique, aux fichiers et aux libertés, JO du 7 janvier 1978, p.227.

11


L’Organisation pour la coopération et le développement économique (OCDE) tout

d’abord, en 1980, a élaboré des lignes directrices préconisant l’harmonisation des

législations nationales en privilégiant la libre circulation des données personnelles tout en

contribuant à la protection des droits de l’homme. Le Conseil de l’Europe par la suite,

s’est intéressé à la protection de telles données personnelles en adoptant la Convention n°

108 du 28 janvier 1981 sur le traitement automatisé des données à caractère personnel,

visant à concilier le respect de la vie privée et la libre circulation de l’information. Les

nations unies adoptent leurs lignes directrices en la matière au travers de la résolution

n°45/95 du 14 décembre 1990. Protéger les données personnelles, la vie privée, tout en

permettant la libre circulation de ces données, et de l’information, devient une

préoccupation générale. Néanmoins ces textes diffèrent de par leurs objectifs et de par leur

valeur juridique. En effet, il est évident que les règles édictées par l’OCDE visent avant

tout à permettre de favoriser les progrès économiques par la suppression des entraves aux

flux internationaux de données personnelles. Quoiqu’il en soit, les lignes directrices

constituent une très grande avancée et sont toujours un texte de référence au niveau

international même si leur grand inconvénient est de ne pas être contraignantes. La

Convention n°108 du Conseil de l’Europe elle, est dotée d’une force juridique

contraignante et bénéficie de surcroît d’un garantie unique en droit international public, la

Cour européenne des droits de l’homme, devant laquelle tout individu justiciable d’un Etat

partie à cette Convention pourra former un recours contre un Etat enfreignant ce texte.

Qu’en est-il de l’approche opérée par le droit communautaire ?

La Communauté européenne est intervenue dans le domaine de la protection des

données personnelles dès 1995, avec l’adoption de la directive 95/46/CE du Parlement

européen et du Conseil du 24 Octobre 1995, relative à la protection des personnes

physiques à l’égard du traitement des données à caractère personnel et à la libre

circulation de ces données18. Néanmoins, les travaux de préparation de cette directive

sont bien plus antérieurs et la première proposition de directive sur la protection des

données personnelles date de 199019. L’intitulé même de cette directive souligne les

enjeux qui doivent être mis en balance dans un tel domaine : d’une part le droit

communautaire vise à établir la libre circulation des données personnelles considérées

18 JOCE 23 novembre 1995 n°L 281, p.31. 19 JOCE 5 novembre 1990 n° C 277, p.3.

12


comme des marchandises semble-t-il20, ou à tout le moins comme des information

amenées à accompagné les personnes, travailleurs ou non, les services, les capitaux, dans

leurs dépassements de frontières. D’autre part, la Communauté européenne intervient pour

protéger les libertés et en particulier la vie privée en décidant d’assurer cette protection au

niveau de la Communauté. Notons que la directive ne dit pas protéger les données

personnelles, mais protéger les personnes à l’égard du traitement de données personnelles.

Nous considérerons que cette distinction ne relève que de la sémantique tant la protection

à l’égard du traitement de données passe par des règles encadrant les données personnelles

elles-mêmes, et tant il est évident qu’une protection des données personnelles passe par la

protection de la personne concernée qui se voit ainsi conférer des droits.

A la suite du premier texte communautaire, des directives distinctes traitent plus

particulièrement d’autres domaines où une protection des données personnelles est

nécessaire : la directive 97/66/CE concernant le traitement des données à caractère

personnel et la protection de la vie privée dans le secteur des télécommunications,

modifiées par la directive 2002/58/CE du 12 juillet 2002 sur le traitement des données à

caractère personnel et la protection de la vie privée dans le secteur des communications

électroniques. De même, a été adopté un article 286 du traité, un règlement 45/2001 sur la

protection des données personnelles par les institutions et organes communautaires, et

l’article 8 de la Charte des droits fondamentaux de l’Union européenne est consacré à ce

droit.

La construction communautaire dont les buts premiers étaient économiques semble

s’intéresser de plus en plus aux droits des personnes, aux droits fondamentaux du citoyen

européen.

La protection des données personnelles par le droit communautaire est-elle seulement un

moyen d’assurer un fonctionnement optimal du marché intérieur, ou est-ce le marché

intérieur qui sert de fondement prétexte à une intervention communautaire dans le

domaine de la vie privée ? Il est également intéressant d’étudier de quelle manière l’Union

européenne assure la protection des données personnelles ? Une réglementation régionale

est-elle nécessaire ? Suffisante ? Efficace ? Aux fins de répondre à ces interrogations, il

faudra analyser les modalités de protection des données personnelles prévues par le droit

communautaire, l’étendue de cette protection, les différents niveaux de contrôle de cette

protection.

20 Guy Braibant, Données personnelles et société de l’information, Rapport au Premier ministre, La documentation française, 1998, 291 p.

13


Approche choisie et difficultés de la démarche. En tentant d’adopter une approche

comparatiste de la protection des données personnelles, nous nous attellerons à étudier de

manière constructive la protection des données à caractère personnel telle qu’elle est

assurée par le droit communautaire. Toute la difficulté de la démarche réside dans les

particularités de la matière elle-même. Relevant à la fois de l’ordre juridique national,

communautaire, voire international, et de multiples branches du droit : droit public, droit

civil, droit pénal, droit de l’informatique, droit de la communication, droits

fondamentaux… pour ne citer qu’eux, la protection des données personnelles se révèle

être un objet d’étude complexe, et pour le moins insaisissable. Néanmoins, nous

attacherons à analyser ce qui fait la particularité de la protection des données personnelles

offerte par le droit communautaire en la comparant dans la mesure du possible à la

protection offerte par le Conseil de l’Europe et par le droit national, en particulier par la

loi française relative à l’informatique, aux fichiers et aux libertés. Par ailleurs, lorsque cela

s’avèrera d’un intérêt particulier, nous comparerons la protection des données

personnelles selon l’approche européenne à celle opérée par le droit américain.

. Il conviendra de s’intéresser au fait que la Communauté européenne, dans son

action pour la protection des données personnelles, a recherché dès les origines, à assurer

un niveau de protection élevé. Quand bien même le fondement et les enjeux paraissent

essentiellement économiques de par l’insistance sur la libre circulation des données, ce

droit est devenu un droit fondamental que la Communauté a décidé de protéger. (Partie

1ère). Protection d’un droit fondamental oblige, il est nécessaire que des mesures efficaces

soient prévues pour que la protection des données personnelles soit garantie de manière

effective. La nature particulière de ce droit et des flux de données personnelles nécessitent

des adaptations spécifiques (Partie 2nde)

14


Première partie : La volonté d’assurer une protection élevée des

données personnelles dans le marché intérieur.

Si la Communauté européenne est intervenue pour protéger les données personnelles,

dans un domaine si lié à la protection des droits et libertés fondamentaux, c’est avant tout

pour des raisons économiques. Le raisonnement a été le suivant : pour assurer le bon

fonctionnement du marché intérieur, et éviter que les disparités entre législations nationales

ne l’entravent excessivement en limitant les flux de données en son sein, la protection des

données personnelles doit être assurée au niveau communautaire. Le droit communautaire est

alors intervenu par une directive générale en 1995, puis par d’autres textes plus sectoriels. Il a

ainsi été décidé que les dispositions nationales relatives à la protection des données

personnelles devaient être harmonisées pour que les données personnelles circulent librement

sur le territoire de la Communauté. (Chapitre 1er). Mais intervenant dans un tel domaine où les

Etats avaient déjà pris en considération le fait que les personnes craignaient des atteintes à

leurs droits fondamentaux et en particulier à leur droit à la vie privée, la Communauté s’est

vue contrainte de viser un haut niveau de protection. Elevé au rang de droit fondamental par

de nombreux Etats, par la jurisprudence de la Cour EDH, et plus récemment par la Charte des

droits fondamentaux de l’Union européenne, le droit à la protection des données personnelles,

tel que garanti par le droit communautaire, bénéficie d’un champ d’application

exceptionnellement large en raison de définitions non restrictives retenues pour les notions

fondamentales. La protection des personnes physiques à l’égard du traitement de données

personnelles en résultant est évidemment élevée. (Chapitre 2).

15


Chapitre 1. Un fondement économique justifiant une réglementation

communautaire: le bon fonctionnement du marché intérieur.

Dans un marché intérieur de plus en plus intégré et dans lequel les flux d’informations

en général ne cessent de croître, les données à caractère personnel doivent circuler librement.

En effet, qu’il s’agisse des personnes, des services, des capitaux, ou des marchandises, des

données personnelles sont utilisées lors de leur circulation dans la Communauté européenne.

Les données personnelles étant susceptibles d’être qualifiées de biens, la libre circulation des

marchandises trouve à s’appliquer de manière privilégiée. (Section 1ère) Il importe alors que

les législations nationales soient rapprochées pour que la circulation de données personnelles

ne soit pas gênée sur le territoire communautaire. (Section 2ème).

Section 1 : Une intervention communautaire visant à favoriser la libre

circulation des données personnelles.

Alors que le commerce intracommunautaire n’a cessé de se développer, et que

l’informatique est aujourd’hui un des moyens de commercer qui connaît la plus forte

croissance, le marché intérieur est particulièrement concerné et intéressé par une protection

des données personnelles par le droit communautaire afin que celles-ci circulent sans

limitation sur le territoire de la Communauté (Paragraphe 1er). Les libertés économiques du

traité instituant la Communauté européenne seront exercées sans restrictions avec la mise en

place de principes communs aux Etats membres dans le domaine de la protection des données

personnelles. Ces dernières pourront alors circuler librement. (Paragraphe 2nd).

Paragraphe premier: Les enjeux importants pour le marché intérieur.

L’intervention de la Communauté pour protéger les données personnelles et assurer

leur libre circulation vise clairement des objectifs économiques. Le rapprochement des

législations nationales de chacun des Etats membres de la Communauté est le moyen de

favoriser le bon fonctionnement du marché intérieur tout en recherchant un niveau de

protection élevé, conformément aux prescriptions de l’article 95 TCE qui fonde l’action de la

Communauté.

16


A) Le renforcement du marché intérieur.

1) Le fondement de l’intervention communautaire.

Comme nous le savons, la Communauté européenne n’a pas compétence pour légiférer

en matière de protection de la vie privée. L’adoption d’une directive générale relative à la

protection des données personnelles s’inscrit ainsi dans un contexte de parachèvement du

marché intérieur. En se fondant directement sur l’article 100 A du traité instituant la

communauté européenne, devenu article 95 TCE après la renumérotation opérée par le Traité

d’Amsterdam, le conseil européen et le Parlement affichent clairement leur ambition de

renforcer le marché intérieur en adoptant la directive 95/46/CE relative à la protection des

personnes physiques à l’égard du traitement des données à caractère personnel et à la libre

circulation de ces données.

En effet, l’article 95 TCE inséré dans les traités par l’Acte unique européen en 1986,

s’applique par dérogation à l’article 94 du traité, et permet au Conseil, après consultation du

Comité économique et social, d’arrêter les « mesures relatives au rapprochement des

dispositions législatives, réglementaires et administratives des Etats membres qui ont pour

objet l’établissement et le fonctionnement du marché intérieur ». Pour Denys Simon, l’article

95 « apparaît comme l’instrument privilégié de la réalisation du marché intérieur »21. Ainsi,

cet article renvoie à l’article 14 TCE dont le paragraphe 2 définit le marché intérieur comme «

un espace sans frontières intérieures dans lequel la libre circulation des marchandises, des

personnes, des services et des capitaux est assurée ». Dès lors, l’objectif affiché de cette

intervention communautaire pour protéger les données personnelles n’est autre que

l’établissement et le fonctionnement du marché intérieur. L’article 95 du traité constitue la

disposition privilégiée lorsqu’il s’agit d’éviter que des réglementations techniques ne

constituent des entraves au commerce intracommunautaire22. L’utilisation de cet article,

contrairement à l’article 94 TCE, ne se limite pas à la nécessité d’une incidence directe sur la

réalisation du marché commun. Plus souple, cet article permet d’intervenir pour la réalisation

d’objectifs ayant trait au marché intérieur et les dispositions à rapprocher doivent « avoir pour

objet l’établissement et le fonctionnement du marché intérieur »23. Cette vocation à

s’appliquer largement de l’article 95 du traité est une précision permettant de comprendre que

la Communauté intervient dans un domaine lié aux droits fondamentaux.

21 D. Simon, in « Traité instituant la C.E.E : commentaire article par article ». p.553. 22 Cf. Commentaire Mégret. 23 Article 95 TCE

17


2) Une intervention nécessaire au bon fonctionnement du marché intérieur.

Si l’on s’intéresse au texte de la directive générale sur la protection des données

personnelles ainsi qu’aux travaux préparatoires ayant abouti à son adoption, on retrouve

clairement cet objectif d’achèvement du marché intérieur. Dès le premier considérant de la

directive de 1995, sont rappelés avec force les objectifs de la Communauté, et une référence

est clairement faite à la méthode fonctionnaliste des pères fondateurs de l’Europe : « réaliser

une union sans cesse plus étroite entre les peuples européens […] assurer par une action

commune le progrès économique et social en éliminant les barrières qui divisent l’Europe »24.

L’intervention communautaire en matière de protection des données personnelles comporte

alors un objectif d’intégration économique indéniable, mais comme nous le verrons par la

suite, d’autres objectifs ont leur importance. La Communauté cherche alors à établir autant

que faire se peut l’équilibre entre les différentes exigences. Il reste que la protection

communautaire des données personnelles concerne directement et explicitement le marché

intérieur.

Le considérant 5 de la directive souligne ainsi que « l’intégration économique et sociale

résultant de l’établissement et du fonctionnement du marché intérieur […] va nécessairement

entraîner une augmentation sensible des flux transfrontaliers de données à caractère personnel

entre tous les acteurs de la vie économique et sociale des Etats membres ». L’espace sans

frontière que constitue le marché intérieur doit permettre une libre circulation de ces données.

Quels sont les enjeux ? Une question simpliste qui appellera une réponse simple mais claire

mérite d’être posée : pourquoi finalement les données doivent-elles circuler librement dans le

marché intérieur ?

La raison la plus évidente d’une intervention communautaire pour assurer la protection

des données personnelles est que dans un espace sans frontière où doivent circuler librement

personnes, services, capitaux et marchandises, des disparités dans les législations des Etats

membres peuvent constituer une entrave au fonctionnement du marché intérieur. Concernant

la protection des données personnelles, le raisonnement peut paraître poussé exagérément en

faveur d’une intervention de la Communauté qui étendrait son champ d’intervention au-delà

des compétences qui lui on été attribuées expressément par les Etats membres25. Pourtant, il

est clair que des disparités législatives trop importantes entre les Etats membres pourraient

24 Ne retrouve-t-on pas dans ce 1er considérant de la directive 95/46/CE, des termes proches de ceux utilisés dans la déclaration Schumann ? 25 Sur ce point, voir notamment Anne Meyer-Heine, Le droit constitutionnel français, instrument de remise en cause de la proposition de directive communautaire relative à « la protection des personnes physiques à l’égard du traitement et de la circulation des données à caractère personnel. RFDC 1995 n°23, p. 637 et s.

18


être la cause de dysfonctionnements du marché intérieur, et c’est ce qui ressort clairement des

travaux préparatoires et de l’exposé des motifs de la directive 95/46/CE. Or, le droit

communautaire, sous de vives impulsions politiques26, a activement œuvré pour la garantie

des libertés communautaires.

B) Une intervention nécessitant une protection élevée dans le marché intérieur.

1) Le rapprochement de mesures nationales ayant pour objet la protection de droits

fondamentaux.

Si la Communauté européenne a pu adopter une directive générale concernant les

données personnelles, c’est au vu de dispositions nationales législatives, réglementaires, et

administratives en ce domaine ayant une incidence sur le fonctionnement du marché intérieur.

En effet, l’article 95 du traité pose cette condition préalable pour une intervention

communautaire. L’initiative de toute mesure communautaire revient alors à la Commission,

qui, conformément au troisième alinéa de l’article 95, se voit imposer de prendre pour base un

niveau de protection élevé pour les propositions en matière de santé, de sécurité, de protection

de l’environnement et de protection des consommateurs. Une réglementation concernant les

données personnelles, en particulier leur protection et leur circulation, entre-t-elle dans les

catégories prévues par l’article 95 alinéa 3 du traité pour imposer un niveau de protection

élevé ? On pourrait dans un premier temps tenter de rattacher la protection des données

personnelles à la protection des consommateurs. En effet tout ressortissant d’un Etat membre

de la Communauté, lorsqu’il est appréhendé en tant que consommateur, réclame et mérite que

les données personnelles le concernant fassent l’objet d’une protection certaine. Mais

rattacher cette matière à la protection des consommateurs n’est-elle pas soit trop réductrice

des domaines concernés par l’utilisation et le traitement de données personnelles, soit trop

extensive de la notion de consommateur, qui concernerait alors tout individu ? Car on l’aura

compris, la protection des données personnelles ne doit pas concerner seulement les

consommateurs, mais doit s’adresser à tout individu, en raison des larges éventualités de

traitement de données personnelles, par des entreprises on en conviendra, mais aussi par des

administrations, des associations, des syndicats… La directive 95/46/CE nous donne un

élément de réponse dans son dixième considérant, où après avoir rappelé l’objet des

législations nationales relatives au traitement des données à caractère personnel : le respect

des droits et libertés fondamentaux, notamment du droit à la vie privée, est précisé que l’objet

26 Nous pensons évidemment au livre blanc de 1985 sur l’achèvement du marché intérieur, instigué par Jacques Delors. Puis à l’Acte unique européen de 1986.

19


de ces mesures nationales justifie que le rapprochement des législations nationales ne

conduise pas à affaiblir la protection qu’elles assurent, mais doit au contraire avoir pour

objectif de garantir un niveau élevé de protection dans la Communauté. On peut alors

considérer que pour la Commission européenne, ainsi que pour les autres institutions qui lui

emboîtement le pas, le respect des droits et libertés fondamentaux constitue une catégorie

pour laquelle toute proposition de rapprochement de mesures nationales sur le fondement de

l’article 95 TCE doit avoir pour base un niveau de protection élevé. L’alinéa 3 de l’article 95

paraissait pourtant exhaustif et précis dans sa rédaction. Une telle approche montre clairement

que si les enjeux sont indéniables pour le marché intérieur d’un point de vue économique, ils

ne le sont pas moins pour la protection des droits fondamentaux. Nous insisterons sur ce point

dans une partie étudiant le caractère fondamental de la protection des données personnelles.

2) L’obligation de prendre pour base un niveau de protection élevé.

La Communauté européenne a explicitement indiqué qu’elle recherchait un niveau de

protection élevé des données personnelles en adoptant la directive du 24 octobre 1995. Ainsi,

nous pouvons lire que l’objectif est de « garantir un niveau élevé de protection dans la

Communauté »27. Ensuite, est clairement précisé que « les principes de la protection des

droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la

présente directive précisent et amplifient ceux qui sont contenus dans la convention, du 28

janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement

automatisé des données à caractère personnel »28. Cette disposition répond aux exigences de

certains Etats membres qui craignaient qu’un rapprochement des législations ne revienne à

effectuer un nivellement vers le bas dans des domaines où ils auraient pu opérer une

protection plus intense, ce qui a conduit à l’article 95 alinéa 3 TCE. Même si pour certains

auteurs, comme Jacqueline Dutheil de la Rochère29, cette condition est davantage politique

que juridique, elle semble satisfaisante, et les impulsions politiques sont parfois

convenablement retranscrites dans le droit. L’ambition est alors évidente : quand bien même

les enjeux sont économiques, il ne s’agit pas de léser les individus. Bien au contraire, les

données personnelles les concernant doivent être largement protégées. Pour autant, il ne faut

pas perdre de vue qu’une telle protection vise à garantir les libertés économiques du marché

intérieur. Et en ce sens, les rédacteurs de la directive ont pris soin de préciser que seront

27 Considérant n°10 de la directive 95/46 CE. 28 Considérant n°11. 29 Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, p.96.

20


notamment précisés et amplifiés les principes contenus dans la convention n°108 du Conseil

de l’Europe.

Paragraphe second : Un domaine soumis aux libertés économiques du TCE.

Le commerce contemporain est largement renouvelé par les progrès technologiques, et

aujourd’hui, qui n’a jamais effectué d’achats par carte à puce ? Par téléphone ? Par Internet ?

Des données à caractère personnel sont alors utilisées. En plus de cela, les mouvements de

services, de capitaux, de personnes et de marchandises n’ont cessé de croître dans la

Communauté, entraînant avec eux des informations personnelles. La libre circulation des

données personnelles se trouve au cœur d’enjeux économiques importants, visant à ce que le

commerce intracommunautaire ne soit pas freiné dans sa progression continue.

A) Les enjeux économiques.

1) Une problématique actuelle.

L’essor des nouvelles technologies de l’information et des communications n’a pas

échappé au secteur économique qui a pu ainsi traiter de plus en plus rapidement des

informations concernant des individus : clients, employés, partenaires, concurrents, simples

citoyens… Ainsi, le marché des données personnelles a connu une certaine croissance et

certaines firmes se sont même spécialisées dans la collecte et la vente de bases de données

permettant entre autres d’établir a partir d’un certain nombre d’informations le profil de

clients, de tenter de prévoir leur comportement et réaction vis-à-vis de certains produits. Les

données personnelles sont donc devenues un réel enjeu économique. Est-il nécessaire de

rappeler à nouveau que l’objectif premier des communautés était purement économique30 ? Il

ne nous le semble pas. On comprend néanmoins aisément qu’un marché intérieur qui se veut

sans frontières intérieures, qui a réussi à abaisser les tarifs douaniers au sein du territoire

communautaire, l’Union douanière étant réalisée depuis 1988, se doit de permettre la libre

circulation de telles informations. Dans le cas contraire, il pourrait y avoir d’importantes

atteintes aux règles de concurrence auxquelles est particulièrement attachée la Commission.

Le secteur privé est donc directement concerné par la libre circulation des données

personnelles, mais le secteur public n’est pas en reste, et les administrations, douanes,

institutions communautaires, systèmes d’information communautaires, ont aussi tout intérêt à 30 Cette objectif est particulièrement clair dans le traité CECA signé en 1951 et dans les traités CEE et CEEA signés à Rome en 1957.

21


ce que les données personnelles puissent circuler librement au sein de la Communauté. En

effet, les données personnelles sont également nécessaires aux institutions et organes de la

Communauté pour assurer les missions qui sont les leurs, ainsi que dans les autres piliers de

l’Union européenne, en particulier pour les systèmes d’information relavant du troisième

pilier.

2) La garantie des libertés économiques du TCE.

Quatre grandes libertés fondent le marché intérieur : la liberté de circulation des

marchandises, des personnes, des services et des capitaux. Le respect de ces libertés est

nécessaire au bon fonctionnement du marché intérieur, mais il n’est pas suffisant, et il faut

également que les administrations et les entreprises ne faussent pas la libre concurrence. Il

s’avère que les législations nationales concernant la protection des données personnelles

peuvent, de par leurs divergences, et exigences différentes, influer sur chacune de ces libertés,

de façon plus ou moins directe.

Concernant la libre circulation des personnes, une protection communautaire des

données personnelles a été une suite logique, les données personnelles étant appelées à suivre

tout individu, travailleur, ou simple citoyen lors des franchissements de frontières, ou plus

spécifiquement lors du passage d’un Etat membre à un autre Etat membre. Plus largement, on

peut considérer que des législations nationales protectrices des données personnelles peuvent

avoir des conséquences sur la libre circulation des travailleurs. Ulf Brühann a pu ainsi estimer

que la liberté prévue à l’article 39 TCE, qui concerne aussi les travailleurs salariés dans

l’industrie de l’information, encourage « la communication d’informations publiques et

politiques par l’intermédiaire d’autres Etats membres »31.

De même, les travailleurs indépendants de l’industrie de l’information et les entreprises ont le

droit de s’établir dans un autre Etat de la Communauté conformément à l’article 43 du Traité

CE. Dès lors qu’il y a établissement dans un autre Etat membre, il peut y avoir incidemment

déplacement de données personnelles, concernant par exemple des clients. Des dispositions

nationales relatives à la protection des données personnelles empêchant un tel transfert

parallèlement à la libre circulation d’un travailleur salarié ou non ne saurait être admises dans

le cadre du marché intérieur.

Pour ce qui est de la libre circulation des services, l’article 49 TCE prévoit que « les

restrictions à la libre prestation des services à l’intérieur de la Communauté sont interdites à

31 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », RMCUE, n°428, mai 1999 pp. 328-341.

22


l’égard des ressortissants des Etats membres établis dans un pays de la Communauté autre que

celui du destinataire de la prestation ». Dans les hypothèses relevant du droit communautaire,

la libre prestation de services implique un passage de frontières32. On conçoit que des

mesures nationales concernant la protection des données personnelles peuvent indirectement

empêcher que la libre prestation de services soit exercée de manière satisfaisante.

La libre circulation des capitaux et des paiements semble moins exposée aux

législations nationales protégeant les données à caractère personnel, mais pourtant il n’en est

rien, et l’on peut imaginer que des paiements devant passer d’un Etat membre à un autre

nécessitent des données concernant les individus concernés. De même, les paiements

effectués électroniquement d’un Etat membre vers un autre sont de plus en plus fréquents. Le

fonctionnement du marché intérieur implique que la libre circulation des ces données soit

alors permise.

La libre circulation des marchandises, la plus importante des libertés économique du

traité instituant la Communauté européenne est également concernée par les réglementations

sur les données personnelles, mais de manière plus large et plus directe au point qu’elle

nécessite de plus longs développements.

B) Les données personnelles comme bien économique.

1) Des données pouvant être qualifiées de marchandises au sens du droit communautaire.

Avant d’étudier le statut des données personnelles pour le droit communautaire,

intéressons nous à leur nature juridique. Que représente juridiquement cet objet non identifié

que l’on nomme données personnelles ?

Comme le souligne le professeur Jean Frayssinet, la « nécessité de concilier la libre

circulation des données personnelles dans le cadre du marché unique, […] tend à assimiler les

données personnelles à des biens immatériels susceptibles d’appropriation »33. La notion de

bien immatériel, synonyme de la notion de bien incorporel, peut être définie comme « une

valeur économique, objet de droits, qui n’a pas de réalité sensible mais qui tire son existence

de la construction juridique »34. Les données personnelles possèdent bien une valeur

économique, même si paradoxalement la personne concernée n’en est pas toujours consciente,

32 Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, p.59. Trois situations peuvent se présenter de manière schématique : le prestataire se rend dans un autre Etat membre pour fournir une prestation ; le destinataire se déplace vers un autre Etat membre pour recevoir une prestation ; la prestation elle-même franchit une frontière sans qu’il y ait de déplacement de personnes. 33 J. Frayssinet, in Droit de l’Informatique et de l’Internet,J. Frayssinet, J. Devèze, A. Lucas, p.50, PUF, Paris, Thémis droit privé, 747p. 34 Lexique des termes juridiques. Dalloz. p.243.

23


et sont bien l’objet de droits dont la personne concernée est le titulaire, elles n’ont pas de

réalité sensible au même titre que toute information35, et le statut qui leur est conféré par le

droit leur confère une existence. Il s’agit donc d’un bien immatériel, et la phrase du Doyen

Carbonnier selon laquelle « les biens sont les choses vues par le droit » serait suffisante pour

en convenir36.

A la lecture attentive des traités, on constate que les institutions communautaires n’ont

pas pris le soin d’y définir clairement ce qui devait être entendu par le terme

« marchandises ». C’est alors la Cour de justice des communautés européennes, usant de ses

talents d’interprète37 qui est venue préciser la définition d’une marchandise au sens

communautaire. Dans l'affaire Commission contre Italie38, jugée le 10 décembre 1968, la

Cour les définit comme « tous produits appréciables en argent ou susceptibles, comme tels, de

former l'objet de transactions commerciales ». Il est alors clair que la notion de marchandises

telle qu’elle est entendue par le droit communautaire, englobe toute sorte de biens. Les

données personnelles appréhendées comme des biens immatériels peuvent alors entrer dans la

catégorie des marchandises et être directement concernées par la libre circulation des

marchandises, objectif fondamental depuis le traité de Rome en 1957.

2) La libre circulation des marchandises appliquée aux données personnelles.

La libre circulation des marchandises est, parmi les libertés économiques du

traité instituant la Communauté européenne, celle qui s’applique prioritairement aux données

personnelles, celle qui est le plus directement concernée par toute législation protégeant les

données personnelles. Le titre de la directive « données personnelles » confirme cette analyse

en concernant directement la libre circulation des données personnelles. Les données

personnelles peuvent dès lors entrer dans une telle définition et être soumises en tant que

telles à la libre circulation des marchandises. Mais en plus de la circulation des données

personnelles elles-mêmes, la libre circulation des marchandises pouvant servir de support aux

35 Pour une analyse intéressante du statut de l’information, voir P. Catala, Ebauche d’une théorie juridique de l’information, in , Le Droit à l'épreuve du numérique, jus ex machina, Paris, PUF, coll. « Droit, éthique, société », mai 1998 36 J. Carbonnier, Droit civil, tome 3. Les biens, 19ème éd. PUF, Paris, Thémis. Cité par André Lucas in Droit de l’informatique et de l’Internet., Op. Cit. 37 Voir notamment Jean Boulouis, « A propos de la fonction normative de la jurisprudence : remarques sur l’œuvre jurisprudentielle de la Cour de justice des communautés européennes », Mélanges Waline, LGDJ, Paris, 1974, p.1491, Rostane Mehdi, « La justice communautaire », in Dictionnaire de la justice, L. Cadiet (sous dir.), PUF, Paris, 2004, p.736. 38 CJCE, 10 décembre 1968, Commission contre Italie, affaire 7/68, recueil, 1968, p. 618.

24


données personnelles : disquettes, disques durs, CD Rom, clés USB, ou autres supports

techniques, doit aussi être assurée.

Cette liberté implique que les marchandises circulent librement dans la Communauté afin que

le commerce intracommunautaire ne soit pas entravé. Pour répondre à une telle interrogation,

revenons sur une jurisprudence communautaire bien connue par laquelle la CJCE interdit

toute mesure d’effet équivalent à des restrictions quantitatives et prévoit des dérogations à

cette interdiction. L’interdiction des mesures d’effet équivalent à des restrictions quantitatives

est prévue aux articles 28 et 29 TCE, mais la Cour de justice de Communautés européennes a

dû en préciser les contours.

Dans l'arrêt Dassonville du 11 juillet 1974, la CJCE énonce ainsi « que toute

réglementation commerciale des Etats membres susceptible d'entraver directement ou

indirectement, actuellement ou potentiellement le commerce intracommunautaire est à

considérer comme mesure d'effet équivalent à des restrictions quantitatives »39. Imaginons

alors l’hypothèse ou un Etat aurait soumis le commerce de certains produits techniques à un

respect drastique de normes de protection des données personnelles, rendant l’accès à son

marché national plus compliqué pour les marchandises provenant d’un autre Etat membre.

Une telle législation, même si elle devait affecter indirectement ou seulement potentiellement

le commerce intracommunautaire, aurait pu vraisemblablement constituer une mesure d’effet

équivalent à une restriction quantitative. Une telle hypothèse n’est que fiction puisqu’elle ne

s’est pas présentée à la Cour de justice, et il faut souligner qu’en la matière l’approche du juge

communautaire est très liée à l’étude de chaque cas d’espèce, et à une analyse minutieuse du

respect du principe de proportionnalité et de nécessité. Mais une telle situation aurait pu se

présenter avant l’adoption d’une directive protégeant les données à caractère personnel dans

l’Union européenne.

Quoiqu’il en soit, des restrictions à la libre circulation des marchandises et à

l’interdiction des mesures d’effet équivalent à des restrictions quantitatives peuvent être

admises par le droit communautaire. Elles sont prévues par l’article 30 TCE qui dispose que

l’interdiction des restrictions quantitatives entre Etats membres « ne [fait] pas obstacle aux

interdictions ou restrictions d’importation, d’exportation ou de transit pour des raisons de

moralité publique, d’ordre public […] » et ce dès lors qu’il n’y a ni discrimination arbitraire

ni restriction déguisée dans le commerce entre Etats membres. Aurait-on pu admettre une

législation nationale se fondant sur le droit au respect de la vie privée, et des droits

39 CJCE, 11 juillet 1974, Dassonville, affaire 8/74, recueil, 1974, p. 837, point 5

25


fondamentaux, en faisant valoir que de tels droits relèvent de l’ordre public ? Il nous semble

que de tels arguments auraient pu être reçus, d’autant plus que la CJCE a par la suite

développé une jurisprudence plus permissive à partir de son arrêt Cassis de Dijon rendu le 20

février 1979 en estimant que « les obstacles à la libre circulation intracommunautaire résultant

des disparités des législations nationales relatives à la commercialisation des produits (...)

doivent être acceptées dans la mesure où ces prescriptions peuvent être reconnues comme

étant nécessaires pour satisfaire à des exigences impératives, tenant notamment à l'efficacité

des contrôles fiscaux, à la protection de la santé publique, à la loyauté des transactions

commerciales et à la défense des consommateurs »40. La théorie dite des exigences

impératives va permettre à la CJCE d’être plus large sur la notion de mesures d’effet

équivalent, et plus stricte sur les dérogations possibles à la libre circulation des marchandises.

La Cour resserrera la définition des mesures d’effet équivalent dans son arrêt Keck et

Mithouard41 par lequel elle modifie sa jurisprudence Cassis de Dijon en affirmant que les

mesures nationales qui limitent ou interdisent certaines modalités de vente ne relèvent pas de

l'article 30 (devenu article 28 du Traité CE) dès lors que ces mesures s'appliquent à tous les

opérateurs agissant sur le territoire national et qu'elles affectent de la même manière, en droit

comme en fait, la commercialisation de produits nationaux et celle de produits en provenance

d'autres États membres. Ainsi un Etat aurait pu, sous l’ère de l’arrêt Keck et Mithouard,

limiter le commerce de certains produits sur son territoire dans un but de protection des

données personnelles à partir du moment où il le fait de manière non discriminatoire.

Comme nous venons de le voir, la protection des données à caractère personnel a été

élaborée pour le bon fonctionnement du marché intérieur, et en particulier pour que les

données puissent circuler librement entre les Etats membres de l’Union européenne.

Néanmoins, les Etats qui légiféraient en la matière, quand bien même ils couraient le risque

d’entraver la libre concurrence et les libertés économiques, agissaient dans un but de

protection des droits fondamentaux et en particulier du droit au respect de la vie privée. Avant

même qu’un contentieux n’ait pu naître dans ce domaine, la Communauté européenne a

utiliser toutes les potentialités de l’article 100 A du traité CE pour rapprocher les dispositions

nationales instituant des restrictions au marché intérieur, en permettant de les éliminer. En

plus de la directive générale « données personnelles » et des directives sectorielles qui nous

40 CJCE, 20 février 1979, Rewe Zentral contre Bundesmonopolverwaltung für Branntwein affaire du « Cassis de Dijon », affaire 120/78, recueil, 1979, p. 649, attendu 8 41 CJCE, 24 novembre 1993, Keck et Mithouard, Aff. Jointes C-267/91 et C-268/91. Rec. 1993, pp. I-6097.

26


intéressent particulièrement, il y a lieu d’étudier d’autres textes sur la protection des données

personnelles relevant de l’ordre juridique communautaire.

Section 2 : Une harmonisation complète des législation nationales sur la

protection des données personnelles?

La directive 95/46/CE tend à harmoniser les règles nationales de protection des

données personnelles, domaine particulièrement sensible, comme le démontrent les nombreux

retards et difficultés rencontrés lors de la transposition du texte. (Paragraphe 1er). Mais

l’étendue de l’intervention communautaire est bien plus large que la directive générale de

1995, et concerne aujourd’hui d’autres secteurs comme les communications électroniques, ou

encore le commerce électronique. De même, le droit communautaire a décidé de soumettre les

institutions et organes communautaires au respect de règles contraignantes en la matière,

signe fort de l’importance du droit à la protection des données personnelles. (Paragraphe 2nd).

Paragraphe premier : L’étendue de l’harmonisation opérée par la directive

95/46 CE.

Le professeur Kovar explique que le rapprochement des législations est « un instrument

destiné à permettre l’intervention de la Communauté là où le Traité ne prévoit pas lui-même

des règles nécessaires à l’établissement et au fonctionnement du marché commun »42. En

effet, notons qu’il ne s’agit pas ici d’interdire aux Etats membres de légiférer pour garantir

une protection des individus à l’égard du traitement de données personnelles, mais plutôt de

reprendre une action en cette matière au niveau communautaire afin de pouvoir assurer une

protection équivalente dans les Etats membres, et par là même, permettre la libre circulation

des données personnelles43.

A) Une harmonisation complète ? 42 R. Kovar, in Traité instituant la C.E.E : commentaire article par article, V. Constantinesco, J-P Jacqué, R. Kovar, D. Simon, Economica, Paris, 1992, 1648, p.549. 43 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », RMCUE, n°428, mai 1999 pp. 328-341.

27


1) Les différents degrés d’harmonisation possibles.

Bien que le traité utilise alternativement les termes de « rapprochement des

législations », « harmonisation », ou « coordination des législations », nous ne nous livrerons

pas à un exercice d’interprétation sémantique tant ces termes ont acquis un sens équivalent

aujourd’hui. Nous nous intéresserons plutôt aux différentes méthodes et portées d’une

harmonisation.

Il ressort de la doctrine et de la jurisprudence communautaire que les mesures

d’harmonisation des législations nationales peuvent revêtir une étendue plus ou moins large.

On a pu ainsi parler d’harmonisation totale en opposition à l’harmonisation optionnelle,

d’harmonisation complète en contraste à une harmonisation partielle, ainsi que

d’harmonisation progressive, et d’harmonisation minimale44.

Avant de définir brièvement les contours de chacune de ces méthodes de rapprochement des

législations systématisées par la doctrine, précisons que ces distinctions ne préjugent pas de la

qualité de la mesure communautaire, et sont même neutres à ce sujet, chacune de ces

méthodes pouvant ou non être suffisante pour le bon fonctionnement du marché intérieur.

Concernant l’harmonisation totale, il s’agit de la situation dans laquelle une directive impose

des règles qui couvrent tout le champ matériel concerné. Les Etats membres sont alors

dessaisis de leur compétence au profit d’une compétence communautaire exclusive. Si cette

méthode a l’avantage d’instaurer des prescriptions impératives identiques au niveau

communautaire, elle présente l’inconvénient d’être potentiellement trop rigide et a pu parfois

se voir opposer la résistance des Etats45. A l’inverse, l’harmonisation optionnelle est celle qui

laisse aux Etats membres la possibilité de maintenir des dispositions nationales dans la

matière concernée tout en prescrivant des règles harmonisées. Le professeur Mattera parle

d’un « système de « cohabitation » de la règle communautaire avec la règle nationale »46.

Le deuxième degré d’harmonisation a conduit à une distinction entre harmonisation complète

et harmonisation partielle. On parle d’harmonisation partielle lorsque subsiste, à côté de ce

qui est harmonisé totalement, des domaines non couverts par la réglementation

communautaire. Une harmonisation totale n’est donc pas forcément une harmonisation

complète47.

44 Commentaire Mégret. Le droit de la C.E.E. T.5. Dispositions fiscales – Rapprochement des législations. D. Calleja, D. Vignes, R. Wägenbaur (dir.), Ed. de l’Université de Bruxelles, Bruxelles, coll. Etudes européennes, 2ème éd. 1993. 427p. p.33 et s. 45 Alfonso Mattera, Le Marché unique européen. Ses règles, son fonctionnement, Jupiter, 2 p.180 et s. 46 Alfonso Mattera, Op. Cit. p.181. 47 Certains auteurs ont pu noter, à juste titre, qu’il s’agit là peut-être d’un « emploi bien subtil des qualificatifs ». Voy. 47 Commentaire Mégret. Op. Cit. p.33-34.

28


On peut encore constater l’existence d’une harmonisation progressive, qui fonctionnerait par

étapes. Enfin, la doctrine a systématisée une dernière méthode, dite d’harmonisation

minimum ou minimale, qui laisse aux Etats membres la possibilité de prendre des mesures

plus strictes.

2) L’étendue de l’harmonisation opérée par la directive générale de 1995.

La directive de 1995 relative à la protection des données personnelles dans la

Communauté européenne constitue la mesure générale de protection des données personnelles

par le droit communautaire. Elle est le droit commun d’une telle protection. Il convient

d’étudier l’étendue de l’harmonisation opérée par ce texte. Mais nous admettrons, avec le

Professeur Dutheil de la Rochère, que « les intentions du législateur ne ressortent pas toujours

clairement des textes adoptés, ce qui rend difficile la détermination de la portée exacte de

l’harmonisation et de la marge de compétence normative laissée aux Etats »48.

En ce qui concerne la directive 95/46 CE, l’article 4 nous indique que sont concernés à la fois

les traitements transfrontaliers de données personnelles, et également ceux s’effectuant

seulement à un niveau interne. Dans tous les cas, c’est le droit national adopté en vertu de la

directive qui s’applique. On s’approche alors de la définition d’une harmonisation totale.

Ensuite, si l’on s’intéresse à l’objectif de l’harmonisation opérée, qui est d’établir un niveau

équivalent de protection des données personnelles dans la Communauté pour permettre leur

libre circulation, l’on peut affirmer qu’il s’agit d’une harmonisation qui est également

complète. En effet, quand bien même les Etats membres peuvent apporter des précisions, ce

n’est que dans le cadre de ce qui est fixé dans la directive. Les Etats « ne sauraient modifier ce

cadre en fixant des règles plus sévères ou moins sévères »49. Cette idée ressort clairement de

l’article 5 de la directive qui dispose que « les États membres précisent, dans les limites des

dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à

caractère personnel sont licites ». Le fait qu’il s’agisse d’une harmonisation complète est

confirmé par le fait que même les dérogations ou autorisations à prendre des mesures plus

poussées sont prévues par le texte, relevant ainsi du droit communautaire.

En tout état de cause, on peut affirmer qu’il ne s’agit pas d’une harmonisation minimale, les

Etats n’étant pas seulement obligés de se conformer aux exigences minimum du texte

48 Jacqueline Dutheil de la Rochère, Op. Cit. p.101. 49 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », Op. Cit.

29


communautaire, mais aussi incités à orienter leurs choix de transposition en visant la limite

supérieure du cadre fixé50.

B) L’état des transpositions de la directive « données personnelles ».

1) Une directive aujourd’hui largement transposée.

L’état actuel des transpositions de la directive par les Etats membres de la

Communauté européenne est satisfaisant. En effet, la majorité des Etats ont transposé cette

directive, avec plus ou moins de résistance et de bonne volonté. Le délai de trois ans imposé

par la directive51 pour que les mesures nationales s’y conforment a rarement été respecté52.

On peut distinguer trois vagues de transposition de la directive de manière schématique.

Dans le premier cas de figure, rangeons les Etats qui ont transposé la directive dans les

délais impartis ou avec un très léger retard. La Grèce, l’Italie, le Portugal, la Suède, la

Belgique et le Royaume-Uni ont été exemplaires en transposant la directive avant la fin de

l’année 1998. L’Espagne, l’Autriche et la Finlande ont adopté des lois de transposition de la

directive « données personnelles » au cours de l’année 1999 ce qui ne constitue qu’un léger

retard non condamnable.

Ensuite, d’autres Etats ont connu un certain retard dans l’adoption de mesures de

transposition53. En décembre 1999, la Commission a décidé de poursuivre la France,

l'Allemagne, l'Irlande, le Luxembourg et les Pays-Bas devant la Cour européenne de justice

pour défaut de notification de l'ensemble des mesures nécessaires à la mise en œuvre de la

directive 95/46/CE. Les Pays-Bas et l'Allemagne ayant procédé à cette notification, la

Commission a clos l'action judiciaire contre ces deux pays. L'Irlande a notifié une

transposition partielle en 2001.

La France a notifié la loi de 1978 sur la protection des données, de sorte que la

procédure contre cet État a été abandonnée. La France a annoncé par la même occasion son

intention de faire passer une nouvelle loi qui n'a cependant été adoptée que très récemment.

Le Parlement français a transposé la Directive 95/46/CE du 24 octobre 1995 en droit national

50 Considérants 9 et 10 de la directive. 51 Article 32.1 de la directive 95/46 CE. 52 Nous nous basons notamment sur le 8ème rapport annuel du groupe de travail « article 29 » sur la protection des données portant sur « l’état de la protection des personnes à l’égard du traitement des données à caractère personnel dans l’Union européenne et les pays tiers », ainsi que sur un document de la Commission européenne sur l’état de transposition de la directive 95/46/CE disponible uniquement en anglais à l’adresse http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm 53 Voir le rapport de la Commission – Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */

30


par une loi longuement attendue qui a été adoptée le 6 août 200454. Il a été décidé de

conserver la Loi «Informatique et libertés» du 6 janvier 1978 mais de la réviser

complètement, conformément à ce que préconisait le rapport Braibant55. Les principes

essentiels de protection des données restent inchangés, mais des changements importants ont

été apportés aux dispositions de la Loi du 6 janvier 1978 qui se rapportent à la structure et à la

philosophie d’ensemble (champ d’application, création d’un délégué à la protection des

données, nouveaux pouvoirs accordés à la Commission Nationale de l’Informatique et des

Libertés).

Dans le cas du Luxembourg, l'action de la Commission a conduit à la condamnation de ce

pays par la Cour de justice pour manquement à ses obligations56. La directive a alors été mise

en œuvre par le biais d'une nouvelle loi qui est entrée en vigueur en 2002.

Enfin, la troisième vague de transposition concerne les dix Etats qui ont adhéré à

l’Union européenne le 1er mai 2004. Lors de l’adoption de la directive « données

personnelles » le 24 octobre 1995, les Etats membres de l’Union européenne étaient au

nombre de quinze. Dix nouveaux Etats les ont rejoint en 2004, et même si les modalités de

l’élargissement peuvent être critiquables sous certains aspects, il faut reconnaître que ces Etats

ont fait un formidable travail d’adaptation aux exigences juridiques communautaires. Tous

possèdent aujourd’hui une loi nationale concernant les données personnelles, conforme à la

directive 95/46/CE, et certains s’y étaient conformés bien avant leur entrée dans l’Union.

2) Les difficultés rencontrées.

Les quelques difficultés sont liées à la nature même de la mesure choisie par la

Communauté pour légiférer dans le domaine de la protection des données personnelles. En

effet, en agissant par le biais d’une directive, la Communauté visait à rapprocher les

législations des Etats membres, mais courrait le risque d’être confrontée aux inconvénients

d’une directive. L’article 249 alinéa 3 du traité CE dispose ainsi que « la directive lie tout

Etat membre destinataire quant au résultat à atteindre tout en laissant aux instances nationales

la compétence quant à la forme et aux moyens ». Les Etats membres destinataires sont alors

soumis à une obligation de résultat : celle de transposer la directive dans leur droit national

dans les délais prescrits. Dès lors, le risque est couru que les délais ne soient pas respectés, et

le cas s’est largement présenté concernant la directive « données personnelles » comme nous

54 JO 7 août 2004, p.14063. 55 Guy Braibant, Op. Cit. 56 CJCE, 4 octobre 2001, Commission contre Luxembourg, Aff. 450/00.

31


venons de le voir. Néanmoins, on peut noter d’une part que la rapidité grecque et espagnole

pour transposer la directive est due aussi au fait qu’aucune disposition nationale en la matière

n’existait, et comme le soulignait Guy Braibant, dans son rapport intitulé « Données

personnelles et Société de l’information »57, il est plus facile de créer ex nihilo, que lorsqu’un

important corpus législatif existe déjà. Cet argument sert peut être aussi de prétexte à

expliquer le retard français pour se conformer à la directive, et peut être utilisé également

pour expliquer le retard de l’Allemagne, autre Etat précurseur en la matière. En sens inverse,

la Suède qui était précurseur aussi, démontre qu’en faisant preuve de bonne volonté, la

transposition de la directive était réalisable dans les délais impartis. Pour aller dans le sens des

Etats retardataires, notons que la Commission elle-même a reconnu que la mise en œuvre

d’une telle directive « qui laisse une latitude importante aux Etats membres mais leur impose

en même temps de considérer un grand nombre de détails, est assurément une tâche

complexe »58. Quoiqu’il en soit, la Commission considère que ces retards sont des

manquements qu’elle a le devoir de constater et de condamner. C’est ainsi qu’elle engage une

procédure en manquement contre plusieurs Etats, qui ne sera poursuivi que pour le

Luxembourg que la Cour de justice condamnera pour manquement dans une décision du 4

octobre 200159. Ces retards ont certainement gêné l’application de la directive, quand bien

même la Cour peut reconnaître à certaines directives un effet direct après expiration du délai

de transposition et à condition qu’elles soient suffisamment inconditionnelles, claires et

précises60, et elles ne donnent pas une grande marge d’appréciation à l’autorité nationale pour

sa mise en oeuvre61. La CJCE juge au cas par cas, et concernant la directive 95/46 CE, elle a

pu juger, dans son arrêt Rechnungshof, rendu le 20 mai 200362, que les dispositions de

l’article 6§1 –c) de la directive, qui disposent que les données personnelles doivent être

« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont

collectées et pour lesquelles elles sont traitées ultérieurement » sont d’effet direct, ainsi que 57Guy Braibant, Op. Cit. 58 Voir le rapport de la Commission – Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */ 59 CJCE 4 octobre 2000 Commission c/ Luxembourg. Aff C 450/00. « En ne prenant pas, dans le délai prescrit, toutes les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, le grand-duché de Luxembourg a manqué aux obligations qui lui incombent en vertu de l'article 32 de cette directive ». 60 Voir notamment CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337, Rec. 1337R-CH. Goffin, JDT droit eur, 1975, p.154 ; G. Lyon-Caen, RTDE, 1976, p.141 ; D. Wyatt, European Law Review, et CJCE, 5 avril 1979, Ratti Aff. 148/78. 61 En ce sens, CJCE, 2 Août 1993, Marshall Aff. C-271/91, Rec. I.4361. 62CJCE, 20 mai 2003 Rechnungshof Österreichischer Rundfunk, affaires jointes C-465/00, C-138/01 et C-139/01. RTDH, 2004, 724 obs. C. Maubernard..

32


l’article 7 points c) et e) qui prévoit qu’un traitement de données personnelles ne peut être

effectué que si « il est nécessaire au respect d'une obligation légale à laquelle le responsable

du traitement est soumis » et « est nécessaire à l'exécution d'une mission d'intérêt public ou

relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le

tiers auquel les données sont communiquées ».

Enfin, le rapport rendu par la Commission relève, alors que tous les Etats membres de

l’Union s’étaient conformés à la directive « données personnelles », qu’il y a un réel manque

d’harmonisation. Selon ce rapport, certaines divergences sont constatées, en violation de la

législation communautaire, ou comme ayant un impact négatif sur le marché intérieur. Des

difficultés dans l’application de la directive ont donc été rencontrées, mais l’existence des

dispositions s’y conformant est encore jeune et devrait aller en s’améliorant.

Paragraphe second : Les autres textes de l’ordre communautaire relatifs à

la protection des données personnelles.

La directive 95/46 CE représente la directive générale, ou directive cadre en

matière de protection des données personnelles. Mais elle n’est pas la seule directive

communautaire assurant une telle protection. Elle a ainsi pu donner naissance à des directives

sectorielles, et déploie aussi son influence dans d’autres textes spécifiques régissant des

domaines où les principes de la protection des données personnelles doivent être respectés.

Ces principes ont par ailleurs été étendus aux traitements de données effectués par des

organes ou institutions communautaires.

A) Les mesures sectorielles.

1) Les directives sectorielles concernant le secteur des communications électroniques.

Le 15 décembre 1997, le Parlement et le Conseil ont ainsi adopté une directive 97/66

CE concernant le traitement des données à caractère personnel et la protection de la vie privée

dans le secteur des télécommunications63. Prenant en compte les progrès très rapides des

technologies de l’information et des télécommunications et en particulier l’utilisation de plus

en plus généralisée de l’Internet, la Communauté européenne décide d’abroger cette directive

et de la remplacer par la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des

données à caractère personnel et la protection de la vie privée dans le secteur des

63 Directive 97/66/CE du 15 décembre 1997, JOCE du 30 janvier 1998, n°L 24 p.1.

33


communications électroniques64 afin de mieux « garantir la protection des données

personnelles et de la vie privée » en s’adaptant à l’ « évolution des marchés et des

technologies de services de communications électroniques »65. Cette directive se fonde

expressément sur la directive du 24 octobre 1995, qui reste applicable aux aspects qui

n’entrent pas dans le cadre de la protection assurée par cette directive. En d’autres termes, par

application de l’adage Specialia generalibus derogant66 , la nouvelle directive s’applique au

secteur des communications électroniques mais la directive de 1995 reste le droit général. En

ce domaine encore, c’est le marché intérieur qui fonde l’intervention de la Communauté, et

l’exposé des motifs indique clairement qu’ « il convient d’harmoniser les dispositions

législatives, réglementaires et techniques adoptées par les États membres en ce qui concerne

la protection des données à caractère personnel, de la vie privée et des intérêts légitimes des

personnes morales dans le secteur des communications électroniques afin d’éviter de créer des

obstacles au marché intérieur des communications électroniques conformément à l’article 14

du traité ». A l’instar de la directive de 1995, l’objectif est explicitement d’assurer le bon

fonctionnement du marché intérieur et de mettre en balance cet objectif avec la protection des

données personnelles. L’article 1er § 1 est très clair à ce sujet67.

L’article 17 de cette directive prévoyait qu’elle devait être transposée avant le 31 octobre

2003. Nul besoin de préciser que beaucoup d’Etats ont été en retard pour mettre leur

législation en conformité avec cette directive, et la Cour de justice a condamné le

Luxembourg68, la Belgique69, et les Pays-Bas70 pour manquement à leur obligation

communautaire de prendre toutes mesures utiles pour se conformer à la directive.

Toujours dans l’optique de s’adapter aux évolutions technologiques, a été adoptée une

nouvelle directive 2006/24/CE 71 du Parlement européen et du Conseil du 15 mars

2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de

services de communications électroniques accessibles au public ou de réseaux publics de

communications, et modifiant la directive 2002/58/CE. Les Etats membres devront s’y

64 Directive 2002/58/CE du 12 juillet 2002, JOCE du 31 juillet 2002, n° L 202/37. 65 Considérant n°4 de la directive 2002/58/CE. 66 Les lois spéciales dérogent aux lois qui ont une portée générale. 67 Article 1 § 1 de la directive 2002/58/ CE : « La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté ». 68 CJCE 11 juin 2005, Commission contre Luxembourg, aff C-375/04 JO C 143 du 11 juin 2005 p.14 ; 69 Même jour Commission contre Belgique, aff. C-376/04 JO C 143 du 11 juin 2005 p.14 ; 70 CJCE 24 juin 2001, Commission contre Pays Bas, aff C-350/02. 71 Directive 2006/24/CE du 15 mars 2006, JOCE du 13 avril 2006, n°L 105/54.

34


conformer avant le 15 septembre 2007. Dans le cadre de la conservation de données générées

dans le domaine couvert par cette directive, soit les données utilisées pour retrouver et

identifier la source d’une communication électronique ou téléphonique comme l’adresse IP

d’un ordinateur, la destination, la date, la durée, le type de communications, la directive tend à

harmoniser les législations nationales et prévoit en particulier que la conservation de ces

données doit aller de six mois à deux ans maximum.

2) La directive « commerce électronique » ou la protection des données personnelles par un

mécanisme de connexité.

Avec la croissance exceptionnelle qu’a connu le commerce électronique ces dernières

années, une organisation comme la Communauté européenne ne pouvait pas rester sans

intervenir en ce domaine qui pour sûr concerne directement le marché intérieur et les objectifs

premiers de l’intégration communautaire. En outre, nous pouvons observer que « l’Internet et

le Marché intérieur ont pour point commun de supprimer les frontières physiques pour le

premier, juridiques pour le second » ce qui implique « la mise en place d’un cadre juridique

communautaire fondé sur l’expérience et les concepts du droit du Marché intérieur […] pour

promouvoir le commerce électronique dans la Communauté […] »72. Le domaine couvert par

la directive concerne tous les services de la société de l'information. En effet, dans les termes

de la directive, les activités relevant du commerce électronique sont des « services de la

société de l’information » définis comme étant tout service à distance, fourni par voie

électronique et à la demande individuelle. La conception est assez large, mais qu’en est-il de

la protection des données personnelles en ce domaine où largement utilisées, le risque est

d’autant plus couru de voir la vie privée et les droits fondamentaux des individus non

respectés. La réponse communautaire à la question de la protection des données personnelles

dans le commerce électronique est alors très cohérente, puisque le considérant 14 de la

directive « commerce électronique » dispose de manière satisfaisante que « la protection des

personnes physiques à l’égard du traitement des données à caractère personnel est uniquement

régie par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995

relative à la protection des personnes physiques à l’égard du traitement des données à

caractère personnel et à la libre circulation de ces données et par la directive 97/66/CE du

Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données

à caractère personnel et la protection de la vie privée dans le secteur des télécommunications,

72 Emmanuel Crabit, « La directive sur le commerce électronique. Le projet Méditerranée », RDUE, n°4 2000 pp. 749-833.

35


qui sont pleinement applicables aux services de la société de l’information ». Ainsi, la

référence aux deux directives de 1995 et 1997 permet de reprendre la protection déjà établie

en droit communautaire pour les besoins du commerce électronique. Elle est particulièrement

nécessaire concernant le marketing direct, en particulier les spams, soit les communications

commerciales non sollicitées par le biais de l’Internet.

La reprise de ces principes est importante notamment concernant le droit d’opposition

qualifié d’opt out et le droit d’information préalable de l’existence du droit de s’opposer

qualifiée d’opt in, deux systèmes contenus dans les directives communautaires et qui sont

applicables au commerce électronique.

Une autre directive importante est à signaler qui reprend aussi les principes de la

directive 95/46/CE en matière de protection des données personnelles : la directive

1999/93/CE pour un cadre communautaire sur les signatures électroniques73, dont l’article

8.1. dispose que «Les États membres veillent à ce que les prestataires de service de

certification et les organismes nationaux responsables de l'accréditation ou du contrôle

satisfassent aux exigences prévues par la directive 95/46/CE du Parlement européen et du

Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du

traitement des données à caractère personnel et à la libre circulation de ces données ».

B) Les autres mesures de l’ordre juridique communautaire : une protection appliquée

aux organes et institutions communautaires

1) L’inscription de cette protection dans le droit communautaire primaire : l’article 286 TCE

Comme nous venons de le voir, la Communauté s’est attelée à protéger les individus à

l’égard du traitement de leurs données personnelles dès le début des années 1990, ce qui s’est

concrétisé dans un premier temps par la directive du 24 octobre 1995. On aboutissait à une

situation paradoxale dans laquelle les institutions communautaires incitaient les Etats

membres à assurer une protection équivalente des données personnelles en harmonisant leur

législations par le biais d’une directive, mais sans qu’elles ne soient soumises elles mêmes à

une telle protection. Cependant, il était devenu nécessaire que les institutions et organes

communautaires soient soumis à un système contraignant de protection des données

personnelles pour différentes raisons.

73 Directive 1999/93/CE du 13 décembre 1999, JOCE du 19 janvier 2000, L 13/12.

36


Premièrement, la Communauté européenne ayant clairement affirmé son engagement dans la

protection des droits fondamentaux, elle ne pouvait pas être dégagée de toute obligation de

protéger les données à caractère personnel.

Ensuite, l’évolution importante de l’utilisation des réseaux de communication dans la

Communauté, en particulier pour le traitement de données personnelles rendait une telle

protection nécessaire74.

Enfin, l’établissement et le fonctionnement du marché intérieur et la mise en place d’un

espace de liberté, de sécurité et de justice impliquent un échange croissant d’informations

entre les Etats membres, mais aussi entre les administrations nationales et les administrations

communautaires. Seul un niveau de protection suffisant des données personnelles justifierait

alors un tel échange75.

Le traité d'Amsterdam a constitué un nouveau tournant pour la protection des données76, dans

la mesure où il a introduit le libellé actuel de l'article 286 du traité CE, selon lequel les

principes de la directive 95/46/CE doivent s'appliquer aux institutions et organes de la

Communauté à partir du 1er janvier 1999. Nous pensons que les principes de la directive

97/66 trouvent aussi à s’appliquer ici et donc aujourd’hui ceux de la directive 2002/58/CE qui

l’abroge et la remplace. L’article 286 TCE dispose en effet en son paragraphe 1er qu’ « à partir

du 1er janvier 1999, les actes communautaires relatifs à la protection des personnes physiques

à l’égard du traitement des données à caractère personnel et à la libre circulation de ces

données sont applicables aux institutions et organes institués par le présent traité ou sur la

base de celui-ci ». La technique du renvoi choisie dans cette disposition a pour but de rendre

équivalent le niveau de protection et de permettre toute transmission de données aux

administrations communautaires77. En outre, le second paragraphe de l’article 286 charge le

Conseil d’instituer « un organe indépendant de contrôle chargé de surveiller l’application

desdits actes communautaires aux institutions et organes communautaires […] ». Le Conseil

adoptera alors le règlement 45/2001 du 18 décembre 2000.

74 Ulf Brühann, « La protection des données à caractère personnel et la Communauté européenne », Op. Cit. 75 Cf. Francesco Maiani, « Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation présente et perspectives de développement », RTD eur. 38 (2), avril-juin 2002, pp. 283-309. 76 Joaquin Bayo Delgado, contrôleur européen adjoint de la protection des données, « La protection des données dans les administrations de la Communauté européenne » Exposé présenté lors de la "Rencontre européenne sur les meilleures pratiques publiques en matière de protection des données" disponible à l’adresse http://www.edps.eu.int/publications/speeches/05-08_article_DP_institutions_FR.pdf et sur le site du contrôleur européen à la protection des données. 77 . Francesco Maiani, « Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation présente et perspectives de développement », Op. Cit.

37

http://www.edps.eu.int/publications/speeches/05-08_article_DP_institutions_FR.pdf


2) Le règlement 45/2001.

Le 18 décembre 2000, sur la base de l’article 286 du traité instituant la Communauté

européenne, le Parlement et le Conseil ont adopté le règlement 45/01 relatif à la protection des

personnes physiques à l’égard du traitement des données à caractère personnel par les

institutions et organes communautaires et à la libre circulation de ces données78. En plus

d’instituer un contrôleur européen à la protection des données conformément aux

prescriptions de l’article 286 paragraphe 2 TCE, ce règlement retranscrit la protection offerte

par les directives 95/46 CE et 97/66 CE pour les traitements de données effectués par les

institutions et organes communautaires. Son adoption est plus que satisfaisante et permet de

voir les institutions et organes communautaires soumis aux principes de la protection des

données personnelles reconnus par le droit communautaire. Il était en effet impératif que la

protection des personnes à l’égard du traitement de données à caractère personnel soit étendue

aux autorités communautaires elles mêmes et il est de bonne augure que les principes déjà

reconnus soient repris en ce sens afin de renforcer la sécurité juridique et la cohérence de la

protection des données par le droit communautaire. Le considérant n°12 du règlement nous

indique en effet qu’ « il y a lieu d'assurer dans l'ensemble de la Communauté une application

cohérente et homogène des règles de protection des libertés et droits fondamentaux des

personnes à l'égard du traitement des données à caractère personnel ».

78 Règlement (CE) n°45/01 publié au JOCE L 8/2001 p.1.

38


Chapitre 2. Un objectif prévalent : Une large protection des données

personnelles en tant que droit fondamental.

Droit fondamental issu du droit à la vie privée, le droit à la protection des données

personnelles touchent en réalité à l’ensemble des droits et libertés fondamentaux, et c’est

certainement ce qui explique l’importance cruciale d’une protection large des données

personnelles. Ce droit devra être concilié avec d’autres droits fondamentaux, et pose

différentes questions juridiques, notamment celle du rapport du droit communautaire de la

protection des données personnelles avec le droit de la CEDH en la matière. (Section 1ère). Le

caractère fondamental du droit à la protection des données personnelles a conduit la

Communauté européenne à lui reconnaître une place importante par la combinaison de

définitions extensives qui permettent de déterminer un champ d’application relativement

large, quand bien même il connaît quelques failles (Section 2ème).

Section 1. La protection des données personnelles comme droit fondamental

de l’Union européenne.

Issu du droit à la vie privée, dont on craignait qu’il soit largement bafoué par

l’utilisation généralisée de l’informatique pour le traitement de l’information et la création de

fichiers, le droit fondamental à la protection des données personnelles s’est aujourd’hui

émancipé et constitue un droit fondamental à part entière, même si ses liens avec le droit à la

vie privée restent ténus. (Paragraphe 1er). La reconnaissance de ce droit moderne par le droit

communautaire entraîne différentes questions sur ses rapports avec d’autres droits

fondamentaux et avec les libertés économiques communautaires, tout en renouvelant des

questions déjà existantes sur les rapports entre le droit communautaire et le droit de la CEDH

en matière de protection des droits fondamentaux. (Paragraphe 2nd).

Paragraphe Premier. La consécration d’un droit fondamental issu du droit

à la vie privée.

Intimement lié au droit au respect de la vie privée dont il est une émanation comme le

démontre par exemple la jurisprudence de la Cour européenne des droits de l’homme sur

39


l’article 8 de la CEDH, le droit à la protection des données personnelles est un droit

transversal en ce qu’il permet la protection de nombreux autres droits fondamentaux.

L’inscription de ce droit dans une disposition distincte de celle reconnaissant le droit à la vie

privée par les rédacteurs de la Charte des droits fondamentaux révèle l’importance et

l’autonomie du droit à la protection des données personnelles.

A. Un droit fondamental composante du droit à la vie privée ?

1) Une protection étroitement liée au droit au respect de la vie privée.

a) La protection du secret de la vie privée.

Protéger les données personnelles, ou plus spécialement protéger les individus à

l’égard du traitement de données personnelles les concernant, est clairement une protection du

secret de la vie privée. En effet, l’accumulation de données personnelles dans le quotidien des

individus est une réelle menace au secret de la vie privée. Une administration, une entreprise,

ou une personne pourrait très bien savoir, par une simple collecte et comparaison de données

personnelles, quelles sont les habitudes commerciales d’une personne par les achats qu’elle

effectuerait par carte de crédit, quels sont ses centres d’intérêts, par les cookies, ou fichiers

témoins semés lors d’une utilisation d’Internet79, quel est son état de santé, s’il est possible de

consulter sa carte vitale, qui sont ses proches, par les informations contenues dans son

téléphone portable…Bref, le secret de la vie privée pourrait être en danger. Jean-Claude Soyer

met en exergue les risques courus du fait des nouvelles technologies en affirmant qu’elles

mettent en place « une surveillance implacable autant qu'insidieuse, une attention scrutatrice

et détentrice de tous les détails permettant de reconstituer, dans ses moindres détails, la

parcelle de vie privée mise sous observation »80. Et l’auteur d’ajouter, sans exhaustivité

aucune que « l'informatique aux fabuleux bienfaits comporte, un revers, une aptitude

effrayante : la mémoire totale, instantanée. À la fois par la minutie, l'immensité, la fréquence

des informations recensées sur la vie quotidienne, donc largement privée ; […] d'où s'ensuit la

facilité des rapprochements et recoupements les plus inattendus, mais d'autant plus

révélateurs. Comme l'ombre du grand frère, insidieusement, s'est allongée! Elle couvre toutes

les communications, et leurs conversations : heures d'appel, numéros de l'appelant et de

l'appelé... Le grand frère surveille aussi les déplacements des individus : quiconque paie par

79 Voir notamment Jean-Marc Dinant, Les traitements invisibles sur Internet, in Cahiers du CRID n°16, Bruylant, 1999, pp.271-294. 80 Jean-Claude Soyer, l’avenir de la vie privée face aux effets pervers du progrès et de la vertu, p.8-9, in la protection de la vie privée dans la société de l’Information, Cahiers des sciences morales et politiques, tomes I-V, sous dir. Pierre Tabatoni.

40


badge, carte de crédit, chèque (et comment ne jamais le faire en pratique ?) laisse une trace

indélébile. Le grand frère contrôle dès lors l'immensité des achats quotidiens, leur type, leur

nombre, leur fréquence. L'e-mail n'a pas de secret pour lui, c'est le cas de le dire. Et qui

navigue sur Internet s'expose à ce que subrepticement, par simple cookie, un espion se niche

dans l'ordinateur personnel »81. Pour résumer, la vie privée courre de graves risques du fait de

l’utilisation de données personnelles.

Les différents textes communautaires, internationaux et nationaux de protection des données

à caractère personnel recherchent à protéger le secret de la vie privée. A ce propos, la

directive « données personnelles » du 24 octobre 1995 énonce dès son article 1er qui précise

son objectif, qu’elle vise à « la protection des libertés et droits fondamentaux des personnes

physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère

personnel », et les considérants de la directive ne se réfèrent pas moins de sept fois au droit à

la vie privée, marquant ainsi la préoccupation particulière de le protéger82. Toutefois, il ne

faudrait pas confondre droit au respect de la vie privée, et protection des données

personnelles. Si une mauvaise utilisation de données personnelles peut porter atteinte au droit

à la vie privée d’une personne, toute utilisation de données personnelles ne constitue pas une

telle atteinte. De même, les données personnelles n’ont pas toutes trait à la vie privée.83 Ainsi,

la protection des données personnelles est étroitement liée à la protection de la vie privée,

même si les deux notions ne se recouvrent pas entièrement. Le contrôleur européen à la

protection des données explique ainsi que la protection des données personnelles est plus

large que le droit à la vie privée, puisqu’elle touche à d’autres droits fondamentaux, mais

qu’elle est aussi plus stricte puisqu’elle n’intervient qu’en cas de traitement de données

personnelles84. Il reste que la protection des données personnelles, dans ses objectifs, dans sa

raison d’être et dans son histoire, est une composante du droit à la vie privée, et les données

personnelles, en tant que composante du droit à la vie privée, doivent faire l’objet d’une

attention particulière85.

81 Jean-Claude Soyer, l’avenir de la vie privée face aux effets pervers du progrès et de la vertu, Op. Cit. p.9. 82 La directive 97/66 CE ainsi que la directive 2002/58/CE visent aussi le respect du droit à la vie privée. 83 Guy Braibant affirme ainsi que « les éléments qui ont trait à l'individu et à sa vie familiale entrent dans le cadre de la vie privée, et qu'en revanche, les informations relatives au patrimoine et à la vie professionnelle ne bénéficient pas de la même protection », in Données personnelles et société de l’information, Rapport au Premier ministre. La documentation française. 84 Peter J. Hustinx, Data protection in the European Union, 21 avril 2005, disponible à l’adresse http://www.edps.eu.int/publications/speeches/05-04-21_Data_Protection_EN.pdf85 Alexandre Maitrot de la Motte, Le droit au respect de la vie privée, in La protection de la vie privée dans la société de l’Information, Chapitre 17, p.2. Cahiers des sciences morales et politiques, tomes I-V, sous dir. Pierre Tabatoni.

41


b) L’importance explicite de l’article 8 de la CEDH.

Comme nous le savons, la Convention européenne des droits de l’homme revêt une

importance particulière en droit communautaire. La jurisprudence Nold86 puis Rutili87 de la

Cour de Luxembourg a mis en avant l’importance des traités internationaux de protection des

droits de l’homme, et en particulier de la Convention européenne des droits de l’homme, dont

la Cour de justice s’inspire pour révéler et garantir le respect par la technique des principes

généraux du droit. En outre, depuis le Traité d’Amsterdam, l’article 6§2 du traité sur l’Union

européenne énonce que « l’Union respecte les droits fondamentaux, tels qu’ils sont garantis

par la Convention européenne des droits de l’homme et de sauvegarde des libertés

fondamentales […] en tant que principes généraux du droit communautaire ». Concernant le

droit à la vie privée, c’est l’article 8 de la Convention européenne des droits de l’homme qui

trouve à s’appliquer et figure parmi les préoccupations de premier ordre dans le droit

communautaire de protection des données personnelles, la Convention étant devenue « la

source matérielle principale des droit fondamentaux en tant que principes généraux du droit

communautaire »88. Et concernant notre réflexion sur la protection des données personnelles,

le considérant n°10 de la directive 95/46/ CE relative à la protection des données personnelles

vise clairement « le respect des droits et libertés fondamentaux, notamment du droit à la vie

privée reconnu également dans l'article 8 de la Convention européenne de sauvegarde des

droits de l'homme et des libertés fondamentales et dans les principes généraux du droit

communautaire ». C’est donc clairement le droit à la vie privée tel que reconnu par l’article 8

de la Convention européenne des droits de l’homme notamment qui fonde la protection des

données personnelles par le droit communautaire. Un parallèle peut ici être fait avec la loi

française « Informatique et libertés » qui pose que l’informatique « ne doit porter atteinte ni à

l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou

publiques »89. Si la vie privée est principalement protégée par l’article 9 du Code civil en

France, il ne faudrait pas oublier l’importance de l’article 8 de la Convention européenne des

droits de l’homme qui s’applique directement en droit français et rejoint ainsi le droit

communautaire de protection des données personnelles. Mais les différents textes relatifs à la

protection des données personnelles, s’ils montrent un attachement particulier au droit au

86 CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491. 87 CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p. 1219 88 Fréderic Sudre, Droit européen et international des droits de l’homme, Presses universitaires de France, PUF, Paris, coll. Droit fondamental, 7ème éd. 2005. p.143. 89 Article 1er Loi Informatique et Libertés.

42


respect de la vie privée, ne s’y limitent pas, et concernent plus largement la protection de tous

les droits et libertés fondamentaux.

2) Une protection liée à la garantie de plusieurs autres droits fondamentaux.

Malgré l’importance du lien entre protection des données personnelles et droit au

respect de la vie privée, et même s’il faut reconnaître que cette relation entre les deux notions

est quasi exclusive, il semble que d’autres droits fondamentaux puissent être atteints dans leur

substance par une mauvaise utilisation de données à caractère personnel. Il est vrai que les

textes communautaires et la jurisprudence de la CJCE ne visent explicitement que le droit à la

vie privée qui est ainsi le terrain de jeu privilégié du non respect des principes relatifs à une

bonne utilisation de données personnelles. Cela dit, une lecture attentive du texte fondateur de

la protection des données personnelles en droit communautaire indique que si le droit à la vie

privée peut être atteint plus directement ou plus fréquemment, il n’est pas le seul, puisque la

directive du 24 octobre 1995 précise qu’elle vise à ce que les Etats membres protègent les

« libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à

l'égard du traitement des données à caractère personnel »90 L’emploi du terme « notamment »

nous indique que si la vie privée est visée, elle n’est pas le seul droit fondamental concerné.

Interrogeons nous alors sur les droits fondamentaux qui pourraient être concernés par une

mauvaise utilisation de données personnelles.

Parmi les droits fondamentaux les plus importants, inhérents à la notion même d’humanité, la

dignité humaine91 pourrait à notre sens, être atteinte par une utilisation de données

personnelles visant à nuire à une personne voire une catégorie de personnes. Imaginons un cas

où les individus seraient fichés selon leur ethnie voire leur orientation sexuelle ou selon des

données bioéthiques, et que de ce fichier dépendent un recrutement, une surveillance accrue,

voire l’interdiction d’accès à certains services… Si la vie privée serait concernée, il semble

que la dignité humaine serait aussi touchée, ainsi que le droit à l’égalité. Dans le même sens,

ne peut on pas penser que les droits de liberté seraient atteints par la collecte de données

personnelles permettant de connaître les faits et gestes d’un individu, voire de deviner certains

de ses goûts, de ses opinions ? On pense alors à des atteintes possibles à la liberté en générale,

90 Article 1er de la directive 95/46/ CE relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, Op. Cit. 91 Si la CEDH ne reconnaît pas le droit à la dignité humaine, la Cour a pu utiliser ce terme notamment dans un arrêt C.R c. Royaume-Uni du 22 novembre 1995. De même, on peut considérer que ce droit est présent dans chacun des droits fondamentaux De nombreuses constitutions nationales reconnaissent le droit à la dignité humaine, en particulier l’Allemagne dont la Loi fondamentale y est très attachée. Enfin, la CDFUE contient un article 1er intitulé « Dignité humaine ».

43


mais aussi à la liberté de religion, de conscience, d’opinion… N’en revient-on pas à nouveau

à une atteinte à la vie privée dans son aspect vie privée liberté ? Nous pouvons répondre par

l’affirmative en considérant cette atteinte de manière indirecte.

Enfin, si l’on peut considérer les données personnelles comme des biens immatériels92, il faut

alors admettre qu’elles sont susceptibles d’appropriation, et l’on peut légitimement penser que

le droit de propriété, reconnu à l’article 1er du protocole 1 à la Convention européenne des

droits de l’homme, reconnu par la jurisprudence de la Cour de justice des communautés

européennes93, ainsi que par l’article 17 de la Charte des droits fondamentaux de l’Union

européenne peut être atteint lors de la collecte et de l’utilisation de données personnelles,

même si le raisonnement semble trop exagéré et peu envisageable en l’état actuel du droit.

Ces quelques exemples hypothétiques montrent que la protection des données personnelles ne

vise pas à la seule garantie du droit à la vie privée, mais peut aussi permettre le respect

d’autres droits fondamentaux. Comme l’affirme le professeur Frayssinet, « la protection

bénéficie à l’ensemble des droit et libertés fondamentaux et même au-delà »94.

B. La consécration d’un droit fondamental à part entière.

1) Un droit fondamental potentiellement Principe général du droit communautaire.

a) Par la protection que lui accordent la CEDH et la Convention 108.

Les juges de Luxembourg protègent le droit à la vie privée reconnu par la Convention

européenne des droits de l’homme en son article 8. Or, l’article 8 de la CEDH ne vise pas

expressément la protection des données personnelles, et il faut s’intéresser à la jurisprudence

de la Cour européenne des droits de l’homme pour connaître de cette protection. A ce propos,

l’arrêt de la Cour de Strasbourg rendu le 26 mars 1987 Leander contre Suède a son

importance puisqu’il s’agit de la première décision dans laquelle la Cour considère que la

mémorisation et la communication de données personnelles constitue une atteinte à la vie

privée95. En l’espèce, la Cour n’a pas conclu à la violation de l’article 8, mais l’important est

que l’utilisation de données personnelles soit reconnue comme pouvant porter atteinte au droit

à la vie privée. Par ailleurs, la Cour affirme clairement que « la protection des données à

93 CJCE 13 décembre 1979, Hauer, Aff. 44/79, Rec.1979 3727. 94 J. Frayssinet, Op. Cit. p30. 95CEDH 26 mars 1987 Leander c. Suède § 48 : « Le registre secret de la police renfermait sans contredit des données relatives à la vie privée de M. Leander. Tant leur mémorisation que leur communication, assorties du refus d’accorder à M. Leander la faculté de les réfuter, portaient atteinte à son droit au respect de sa vie privée, garanti par l’article 8 par. 1 »

44


caractère personnel […] revêt une importance fondamentale pour l’exercice du droit au

respect de la vie privée et familiale garanti par l’article 8 de la convention »96.

Cette approche des juges de Strasbourg sera confirmée par la suite, et dans un arrêt

Amman c. Suisse rendu le 16 février 200097, dans lequel la Cour, après avoir rappelé sa

jurisprudence Leander, précise que « le terme « vie privée » ne doit pas être interprété de

façon restrictive. En particulier, le respect de la vie privée englobe le droit pour l’individu de

nouer et développer des relations avec ses semblables ; de surcroît, aucune raison de principe

ne permet d’exclure les activités professionnelles ou commerciales de la notion de « vie

privée » » et de conclure à l’applicabilité de l’article 8 dans une affaire où une fiche avait été

établie concernant le requérant, sur laquelle il était indiqué que ce dernier était un « contact

auprès de l’ambassade russe » et faisait « du commerce de différentes sortes avec la société ».

La Cour européenne des droits de l’homme élabore donc une jurisprudence qui étend

l’applicabilité de l’article 8 à la protection des données personnelles, et notons que dans cet

arrêt Amman, la Cour relève en sus que son approche correspond à celle de la convention 108

du Conseil de l’Europe. L’interprétation extensive de la notion de vie privée par la Cour

européenne va jusqu’à considérer, dans un arrêt Rotaru de 2000, que « des données de nature

publique peuvent relever de la vie privée lorsqu’elles sont, d’une manière systématique,

recueillies et mémorisées dans les fichiers tenus par les pouvoirs publics »98. Ainsi, si la

CJCE garantissait la protection des données personnelles en tant que principe général du droit

en s’inspirant de l’article 8 de la CEDH, et qu’au surplus elle reprenait la jurisprudence de la

CEDH, l’interprétation ne pourrait être qu’extensive.

En outre, l’existence d’une convention du Conseil de l’Europe spécialement consacrée

à la protection des personnes à l’égard du traitement automatisé de données personnelles

(Convention 108) est révélatrice d’une certaine émancipation du droit à la protection des

données personnelles quand bien même il reste très lié au droit au respect à la vie privée. La

CEDH a pris l’habitude, lorsqu’elle utilise l’article 8 pour la protection des données

personnelles, de faire expressément référence à la Convention du Conseil de l’Europe de 1981

ce qui devrait inspirer également le juge communautaire lors d’une éventuelle reconnaissance

de la protection des données personnelles en tant que principe général du droit.

b) En tant que droit issu des traditions constitutionnelles communes

96 CEDH 27 août 1997, MS c. Suède. § 41. 97 CEDH 16 février 2000, Amman c. Suisse. Spéc. §.65. 98 CEDH, 4 mai 2000, Rotaru c.Roumanie, §43.

45


La Cour de justice des communautés européennes ne se contente pas d’élaborer ses

principes généraux du droit communautaire en s’inspirant des textes internationaux de

protection des droits de l’homme, et plus particulièrement de la CEDH, mais puise également

dans les traditions constitutionnelles communes aux Etats membres conformément à sa

jurisprudence Internationale Handelsgesellschaft99. Or, cette notion même de traditions

constitutionnelles communes aux Etats membres est pour le moins insaisissable, et d’autant

plus dans une Europe à vingt-cinq. Il parait effectivement difficile de savoir si la notion de

traditions constitutionnelles communes signifie que toutes les constitutions des Etats membres

reconnaissent ce droit, ou seulement un certain nombre, mais alors quel nombre, une

majorité ? Simple ? Absolue ? Seulement plusieurs Etats et donc à partir de deux ? Si l’on

considère qu’il suffit que le droit soit protégé par plusieurs constitutions nationales, alors

intéressons nous à la question de savoir si parmi les Etats membres certains ont des

dispositions de valeur constitutionnelle qui protègent les données personnelles. Avant

l’adoption de la directive 95/46 CE, seuls trois Etats membres voyaient leur Constitution

contenir des dispositions relatives à la protection des données personnelles : les Pays-Bas,

l’Espagne100, et le Portugal101. L’article 10 de la Constitution des Pays-Bas du 17 février 1983

dispose ainsi en son paragraphe 2 que «la loi fixe des règles en vue de la protection de la vie

privée à l’égard de l’enregistrement et de la communication de données à caractère

personnel ». Concernant l’Espagne, c’est la Constitution du 27 décembre 1978 qui contient un

article 18-4 selon lequel « la loi limitera l’usage de l’informatique pour garantir l’honneur et

l’intimité personnelle et familiale des citoyens et le plein exercice de leurs droits ». Pour ce

qui est du Portugal, la Constitution du 2 avril 1976, révisée en 1982 puis dans sa version

consécutive à la modification du 8 juillet 1989 qui vise à la protection des données

personnelles. Trois Etats sur quinze avaient alors dans leur Constitution des dispositions pour

la protection des données personnelles. On aurait pu y voir une tradition constitutionnelle

commune dont la protection aurait été étendue aux autres Etats en tant que principe général du

droit communautaire102. Quoiqu’il en soit, la Cour de justice des communautés européennes

n’a pas eu à reconnaître un principe général de droit communautaire de la protection des

données personnelles, aucune affaire en ce domaine ne lui ayant été soumise avant les années

2000, faute de compétence communautaire certainement, même si la Cour protège les droits 99 CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969, p.419 100 Cf. Juan-Francisco Mestre Delgado, La protection des données personnelles en Espagne, RFDAP, n°89, janvier-mars 1999, 63 et s. 101 Fatima El Atmani, La protection des données à caractère personnel dans l’Union européenne, Thèse de droit privé soutenue à la faculté de droit de Montpellier en Septembre 1996. p. 307 et s. 102 L’exemple s’est présenté pour le PGD de confiance légitime, CJCE, Töpfer, 1978.

46


fondamentaux depuis le début des années 1970. Depuis l’adoption de la directive 95/46/CE du

24 octobre 1995, d’autres états ont pu prévoir des dispositions constitutionnelles protégeant

les données personnelles. Le Royaume-Uni en fait certainement parti puisque qu’outre-

manche, la loi est la Constitution103 et qu’ainsi, la loi de transposition de la directive

95/46/CE, loi de 1998 sur la Protection des Données, qui est entrée en vigueur le 1er mars

2000, a valeur constitutionnelle. En théorie ainsi, la CJCE pourrait un jour reconnaître le

principe général du droit communautaire de protection des données à caractère personnel. Le

cas ne s’est pas encore présenté, et les affaires soumises à la CJCE concernant la protection

des données personnelles n’ont pas données lieu à une telle affirmation. En tout état de cause,

la valeur de droit fondamental a été reconnue à la protection des données personnelles dans un

texte qui n’a pas encore valeur contraignante : la Charte des droits fondamentaux de l’Union

européenne.

2) Une consécration dans la Charte des droits fondamentaux de l’Union européenne.

a) l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

En prévoyant une disposition spécifique pour la protection des données à caractère

personnel, la Charte des droit fondamentaux de l’Union européenne se distingue de sa grande

sœur du Conseil de l’Europe qu’est la CEDH qui protège la vie privée et les données

personnelles par un seul article, l’article 8 CEDH104. Le texte de l’Union européenne

proclamé à Nice le 7 décembre 2000105 protège lui aussi le respect de la vie privée et

familiale, dans un article très proche de l’article 8 de la Convention européenne qui dispose

que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses

communications ». Dans une disposition distincte, la Charte des droit fondamentaux de

l’Union européenne garanti la protection des données à caractère personnel, ce qui peut être

interprété comme une autonomisation du droit à la protection des données personnelles par

rapport au droit au respect de la vie privée. En tout état de cause, les rédacteurs de la Charte

des droits fondamentaux ont pris en compte l’importance de ce droit qui méritait d’être

contenu dans une disposition indépendante, et se sont largement conformés à la mission de

103 Adage selon lequel « The constitution is the law ». 104 Comme nous l’avons vu précédemment, c’est par une jurisprudence dynamique que la Cour européenne a inclue la protection des données personnelles dans les garanties de l’article 8 CEDH. 105La Charte a été publié au Journal officiel des Communautés européennes en tant qu’accord interinstitutionnel. JOCE, n° C 364, 18 décembre 2000. Voir Guy Braibant, La Charte des droits fondamentaux de l’Union européenne. Témoignages et commentaires.Ed. du Seuil. 2001.

47


visibilité et de lisibilité qui leur était confiée par le mandat de Cologne106. Dans un article

composé de trois paragraphes qui a le grand mérite d’être synthétique et très facile d’accès, la

Charte des droits fondamentaux de l’Union européenne énonce que « 1. Toute personne a

droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent

être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne

concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le

droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le

respect de ces règles est soumis au contrôle d'une autorité indépendante. » Qu’apporte cet

article 8 de la Charte des droits fondamentaux ? Le premier apport de la Charte est

certainement de constituer une synthèse utile et accessible des principes généraux de la

protection des données personnelles en droit communautaire107. D’un point de vue matériel,

les trois paragraphes de l’article 8 de la Charte n’apportent rien, mais d’un point de vue

formel, ils permettent de saisir rapidement les principes généraux de la protection des données

personnelles. Nous pensons, comme M. Guillot, que « c’est justement parce que [la protection

des données] est confrontée à un trop plein de textes plutôt qu’à un vide juridique que les trois

paragraphes de l’article 8 s’avèrent utiles »108. Notons que si la Charte des droits

fondamentaux n’a pour l’heure pas de force juridique obligatoire, cela n’empêche aucunement

la protection des données personnelles selon les principes qu’elle énonce, d’autant plus que

comme le précisent les explications officielles de la Charte, l’article se fonde sur du droit

positif contraignant en la matière : l’article 286 TCE, la directive 95/46 CE, l’article 8 de la

CEDH, et la Convention n°108 du Conseil de l’Europe.

b) La constitutionnalisation de cet article.

La Charte des droits fondamentaux ne possède certes aucune force juridique

contraignante telle qu’elle a été proclamée à Nice en 2000, mais tout porte à croire que cet

état de fait sera modifié dans les années à venir, et les Etats membres semblent d’accord pour

aller en ce sens. Il semble en effet difficile que la Charte ne déploie pas à terme ses effets

106 Les membres de la Convention chargée de l’élaboration de la Charte des droits fondamentaux de l’Union européenne avaient en effet eu mandat, lors du Conseil européen de Cologne, de Il s’agissait précisément, selon les conclusions du Conseil, « d’ancrer l’importance exceptionnelle [des droits fondamentaux] et leur portée de manière visible pour les citoyens de l’Union ». Cf. Conclusions de la Présidence du Conseil européen de Cologne, décision du conseil concernant l’élaboration d’une Charte des droits fondamentaux de l’Union européenne, points 44 et 45 (Bull. UE n°6-1999, point I.18) et annexe IV, p. 43 (Bull. UE n°6-1999). 107 Philippe Ch. –A. Guillot, La personne, être social, La sphère privée. Personnalité et patrimoine. In La France face à la Charte des droits fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen, Bruylant, Bruxelles, 2005 694p. 108 Philippe Ch. –A. Guillot, La personne, être social, La sphère privée. Personnalité et patrimoine, Op. Cit. p.320.

48


juridiques dans une Union européenne qui cherche une légitimation politique et davantage de

crédit vis-à-vis des citoyens européens. Le traité établissant une Constitution pour l’Europe

signé par les vingt-cinq Etats membres de l’Union européenne intègre ainsi en son corps la

Charte des droits fondamentaux de l’Union européenne, qui en constitue la deuxième partie,

dont l’article II-68 est la reprise littérale de l’article 8 de la Charte. Pour le moment, l’avenir

du traité établissant une Constitution pour l’Europe est très flou, la France ayant refusé de le

ratifier lors du référendum du 29 mai 2005, et les Pays-Bas ayant voté dans le même sens le

1er juin 2005. Sur les vingt-cinq Etats membres, seuls deux ont refusé la ratification, quinze

ont ratifié le traité, et les huit restants ont suspendu ou reporté la question. Il reste que

quelques voies seulement sont envisageables : soit l’on ne pense plus possible la ratification

unanime du traité, et à moins de trouver une autre solution pour la Charte, elle n’aura pas

force contraignante ; soit l’on propose un nouveau traité constitutionnel avec la reprise de la

Charte, soit l’on espère une éventuelle consécration jurisprudentielle de la Charte, mais la

Cour de justice des communautés européennes n’est pas favorable à cette hypothèse pour le

moment. En tout état de cause, comme nous l’avons expliqué, l’apport de la Charte en matière

de protection des données personnelles est assez restreint, même si la visibilité et

l’intelligibilité de la protection mise en œuvre par le droit communautaire ne sont pas rien.

Paragraphe second. Les questions inhérentes à la fondamentalité du droit à

la protection des données personnelles en droit communautaire.

Le droit à la protection des données personnelles nous interroge sur sa conciliation

avec la liberté d’expression, autre droit fondamental, qui peut faire l’usage de données à

caractère personnel pour s’exercer. De même, il devra être concilié avec des libertés

économiques, à moins qu’ils ne priment sur elles ? Les potentialités de la reconnaissance de

ce droit par la Communauté européenne, droit reconnu également par l’article 8 de la CEDH

et la convention 108 du Conseil de l’Europe, semblent larges.

A. La nécessaire conciliation avec d’autres droits et libertés fondamentaux.

1) Liberté d’expression contre protection des données personnelles

La question se pose de savoir ce qu’il en est de la confrontation du droit à la protection

des données personnelles avec le droit à la liberté d’expression. En effet, on comprend très

49


bien qu’une personne usant de sa liberté d’expression pourrait avoir à utiliser, à divulguer, des

données personnelles en portant atteinte à la protection qui est due aux individus en vertu du

droit communautaire. Que faire alors ? La protection des données personnelles doit-elle

l’emporter sur la liberté d’expression, ou l’inverse ? La question est d’autant plus délicate que

les deux droits ont une valeur juridique identique. Reconnu par l’article 10 de la Convention

européenne des droits de l’homme, par la Cour de justice des communautés européennes par

le biais de la technique des principes généraux du droit communautaire, et plus récemment

par l’article 11 de la Charte des droits fondamentaux intitulé « liberté d’expression et

d’information ». La Cour de justice a eu à juger d’une atteinte à la protection des données

personnelles par une personne invoquant sa liberté d’expression dans une affaire Bodil

Lindquist qui a donné lieu à un arrêt de la CJCE du 6 novembre 2003109. En l’espèce,

Madame Lindquist, paroissienne et formatrice bénévole de l’Eglise protestante de Suède,

avait créé un site Internet de son ordinateur personnel pour permettre aux paroissiens

préparant leur confirmation d’obtenir facilement les informations qu’ils souhaitaient

connaître. Un lien avait été établi avec le site de l’Eglise protestante de Suède, et des

poursuites furent engagées sur le fondement de la loi suédoise de transposition de la directive

95/46/CE. Pour sa défense, Madame Lindquist invoquait le droit à la liberté d’expression. La

Cour juge que « Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes,

une restriction contraire au principe général de la liberté d'expression ou à d'autres droits et

libertés applicables dans l'Union européenne et correspondant notamment à l'article 10 de la

convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales,

signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales

chargées d'appliquer la réglementation nationale transposant la directive 95/46 d'assurer un

juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par

l'ordre juridique communautaire ». Est alors souligné que le droit communautaire de la

protection des données personnelles ne vise pas à empêcher la liberté d’expression, mais un

juste équilibre entre les deux droits doit être assuré.

2) Libertés économiques confrontées à la protection des données personnelles.

La question d’une éventuelle hiérarchie entre les droits fondamentaux et les libertés

économiques que reconnaît le droit communautaire pose toujours problème à la doctrine110.

109 CJCE 6 novembre 2003 Bodil Lindquist, Aff. C-101/01, Rec. I-12992. 110 Théodore Georgopoulos, Libertés fondamentales communautaires et droits fondamentaux européens : la guerre n’aura pas lieu, Les Petites Affiches, 8 janvier 2004, pp. 8-14

50


Et pour cause ! La question se pose de savoir comment le juge communautaire doit agir

lorsqu’un droit fondamental se trouve confronté à une liberté économique fondamentale. Dans

le domaine de la protection des données personnelles, où la directive 95/46/CE concilie

protection des données et libre circulation de ces données, la question peut se poser de

manière accrue. Faute d’affaire ayant opposé le droit fondamental à la protection des données

personnelles à une liberté fondamentale, intéressons nous à la jurisprudence communautaire

concernant la confrontation entre droits fondamentaux et libertés fondamentales que nous

pourrons transposer par analogie à l’hypothèse où la protection des données personnelles

serait en cause.

La confrontation d’un droit fondamental à une liberté fondamentale nous rappelle

l’affaire de la guerre des fraises111, où les producteurs français empêchant la libre circulation

de marchandises espagnoles invoquaient leur liberté d’expression et de réunion. Relevant que

la liberté de circulation en cause ainsi que les droits fondamentaux n’étaient pas absolus, la

CJCE, s’intéressant à l’intention de l’Etat français, stigmatise son abstention et fait prévaloir

la libre circulation des marchandises.

Plus récemment, et dans un sens contraire, la Cour a eu à juger d’une espèce à plusieurs

égards proche de celle de la guerre des fraises, qui a donnée lieu à un arrêt Schmidberger

rendu le 12 juin 2003112 . Dans cette affaire où l’Etat autrichien a décidé de fermer l’autoroute

du Brenner pour permettre l’organisation d’un rassemblement d’une association de défense de

l’environnement, la société de transport Schmidberger invoquant une atteinte à la libre

circulation des marchandises se voit opposer le droit fondamental de la liberté d’expression et

de réunion. Le juge communautaire rappelle d’une part que la libre circulation des

marchandises constitue l'un des principes fondamentaux dans le système du traité, mais

qu’elle peut, sous certaines conditions, faire l'objet de restrictions113. D’autre part, il insiste

sur le fait que « si les droits fondamentaux en cause dans l'affaire au principal sont

expressément reconnus par la CEDH et constituent des fondements essentiels d'une société

démocratique, il résulte toutefois du libellé même du paragraphe 2 des articles 10 et 11 de

cette convention que les libertés d'expression et de réunion sont également susceptibles de

faire l'objet de certaines limitations justifiées par des objectifs d'intérêt général »114. Ainsi, la

situation présente la particularité de voir s’opposer des droits et libertés situés au même

111 CJCE 9 décembre 1997, Commission c. France, C-265/95, Rec. P.I-6959. 112 CJCE 12 juin 2003, Schmidberger, Aff. C-112/00, obs. A. Rigaux et D. Simon, Europe 2003, n°8-9 ; RTDH 2004, 435, note C. Vial ; JDI, 2004, 545, obs. R.Mehdi 113 CJCE Schmidberger, pt. 78. 114 CJCE Schmidberger, pt. 79.

51


niveau dans la hiérarchie des normes, et dont la protection n’est pas absolue. Le juge aurait pu

établir une hiérarchie entre les droits fondamentaux et les libertés fondamentales

communautaires, mais de manière plus judicieuse, il les a articulés « en les conciliant plus

qu’en les hiérarchisant, les impératifs liés à la sauvegarde d’une liberté communautaire

fondamentale (la libre circulation des marchandises) et de droits fondamentaux […] »115. La

Cour conclu alors à la non violation du droit communautaire en soulignant que les autorités

nationales, compte tenu du large pouvoir d'appréciation qui doit leur être reconnu en la

matière, ont raisonnablement pu considérer que l'objectif légitimement poursuivi par ledit

rassemblement ne pouvait pas en l'occurrence être atteint par des mesures moins restrictives

des échanges intracommunautaires. Quoiqu’il en soit, l’on peut ajouter qu’en raison de

l’existence d’une directive d’harmonisation concernant les données personnelles, il ne devrait

plus y avoir lieu à une confrontation entre la protection des données personnelles et une des

libertés fondamentales communautaires, la protection devant alors être considérée comme

équivalente dans tous les Etats membres aux fins de permettre la libre circulation des données

sur tout le territoire de l’Union européenne.

B. La question des rapports entre droit communautaire et droit de la CEDH.

1) La question de l’adhésion de l’Union européenne à la CEDH.

Dans son avis 2/94 rendu le 28 mars 1996116, la Cour de justice des communautés

européennes constate que l’adhésion de la Communauté européenne à la Convention

européenne des droits de l’homme nécessite une modification préalable du traité instituant

une Communauté européenne117. « Une telle modification du régime de la protection des

droits de l’homme dans la Communauté, dont les implications institutionnelles seraient

également fondamentales tant pour la Communauté que pour les Etats membres, revêtirait une

envergure constitutionnelle et dépasserait donc par sa nature les limites de l’article 235. Elle

ne serait être réalisée que par la voie d’une modification du traité ». La question de l’adhésion

de l’Union ou de la Communauté peut légitimement se poser pour la protection des données

personnelles à partir du moment où, comme nous l’avons vu, l’article 8 de la Convention est

interprété par la Cour européenne des droits de l’homme comme protégeant les données à

115 Rostane Mehdi, Op. Cit. 116 CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté européenne à la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Rec. I. 1759. RMUE, 1996, p.220, F. Berrod ; JDI, 1997, p. 516, V. Constantinesco; CDE, 1996, p.555, O. de Schutter et Y. Lejeune ; Rec. Dalloz-Sirey, 1996, Jur., p.449, J.-F. Renucci ; Europe, juin 1996, p.624, D. Simon ; RTDE, 1996, p. 467, P. Wachsmann. 117 Voir notamment D. Simon, « L’avis 2/94 du 28 mars 1996, sur l’adhésion de la communauté à la convention européenne des droits de l’Homme », Europe, Chronique, juin 1996, p.1 s.

52


caractère personnel. Le débat a été relancé récemment. La nécessité de l’adhésion, loin d’être

oubliée ou mise de côté par la proclamation de la Charte de l’Union européenne, est au

contraire revenue au centre des débats, et de très nombreux auteurs vont en ce sens. La

proclamation de la Charte des droits fondamentaux relance le débat quant à la nécessité de

l’adhésion de l’Union européenne à la Convention européenne des droits de l’homme.

L’adhésion semble pour certains être la clé qui permettra de garantir l’uniformité requise dans

l’interprétation et l’application de dispositions similaires de la Convention du Conseil de

l’Europe et de la Charte, dont l’article 8 protège les données personnelles, et par conséquent

d’assurer l’efficacité du système de Strasbourg. Le traité établissant une Constitution pour

l’Europe prévoit, que l’Union doit adhérer à la Convention européenne des droits de

l’homme. En effet, l’article I-9(2) du traité établissant une Constitution pour l’Europe habilite

l’Union à adhérer à la Convention européenne des droits de l’homme118. Tout dépendra

désormais de la ratification ou non du traité établissant une Constitution pour l’Europe dont

on sait qu’elle est largement remise en question depuis les refus français et hollandais en

2005. Malgré tout, l’intérêt d’une telle adhésion paraît très réduit aujourd’hui d’un point de

vue matériel, étant donné que la Cour européenne elle-même reconnaît que l’Union

européenne protège les droits fondamentaux de manière satisfaisante119, et qu’il est ainsi

conféré une présomption de conventionalité aux actes communautaires par la CEDH120. D’un

point de vue formel, la situation est toute autre, et une adhésion de l’Union à la CEDH

permettrait certainement d’ouvrir les recours aux particuliers désireux de faire valoir leurs

droits alors que la Cour de justice des communautés européennes a fermement refusé de

prendre une telle responsabilité121. Mais comme nous le verrons, pour ce qui est de la

protection des données personnelles, si les voies de recours offertes aux particuliers sont

plutôt restreintes devant le juge, d’autres moyens sont mis en œuvre pour leur permettre de

faire valoir leurs droits.

118 Cet article dispose : « L'Union adhère à la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales. Cette adhésion ne modifie pas les compétences de l'Union telles qu'elles sont définies dans la Constitution ». 119 CEDH 30 juin 2005, Bosphorus contre Irlande Req. n° 45036/98. 120 CEDH Bosphorus contre Irlande, § 165 : « La Cour estime pouvoir considérer que la protection des droits fondamentaux offerte par le droit communautaire est, et était à l'époque des faits, « équivalente » (au sens du paragraphe 155 ci-dessus) à celle assurée par le mécanisme de la Convention. Par conséquent, on peut présumer que l'Irlande ne s'est pas écartée des obligations qui lui incombaient au titre de la Convention lorsqu'elle a mis en œuvre celles qui résultaient de son appartenance à la Communauté européenne (paragraphe 156 ci-dessus) ». 121 CJCE, 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00 P, Rec. I-66-77. Europe, octobre 2002, p.7, note F. Berrod et F. Mariotte; Rec. Dalloz, 2002 Jur. P.2825, P. Cassia ; AJDA, 2002, p.868 ; JDT. Droit européen, n°92, 2002, p.199.

53


2) La question de l’adhésion de l’Union européenne à la convention 108 du Conseil de

l’Europe.

Avant que la Communauté européenne n’adopte la directive 95/46/ CE, l’idée avait été

avancée d’adhérer à la Convention n°108 du Conseil de l’Europe. Cette convention qui

constitue le premier texte international de protection des données à caractère personnel

contraignant entré en vigueur en 1985 a directement inspiré la directive que la Communauté

européenne a adopté en 1995, alors pourquoi ne pas avoir adhéré à ce texte du Conseil de

l’Europe qui présente l’avantage d’être ouvert à la signature d’un plus grand nombre d’Etats

européens, quarante et un précisément, et donc d’avoir un champ d’application rationae loci

potentiellement plus large. Demandons nous au préalable si la Communauté est en mesure

d’adhérer à une telle convention, si elle peut ratifier un traité international relevant d’une autre

organisation internationale, surtout lorsque celui-ci est soumis au contrôle d’un organe

juridictionnel spécifique? L’ordre juridique communautaire en tant que tel n’exclut pas

l’association de la Communauté à un mécanisme de contrôle juridictionnel fondé sur un

accord international. En effet, le 14 décembre 1991, la CJCE avait, dans un avis 1/91122 sur

l’espace économique européen, expressément reconnu que la Communauté pouvait conclure

des accords internationaux prévoyant l’existence d’autorités juridictionnelles externes dont les

décisions auraient force obligatoire. En outre, la Cour de Luxembourg a accepté en 1994123 la

possibilité pour la Communauté d’adhérer à l’Organisation mondiale du commerce, dont le

mécanisme de règlement des conflits prévoit également des décisions liant les parties dans des

domaines qui appartiennent même aux compétences fondamentales de la Communauté, tels

que la libre circulation des biens et des services, ou le droit de la concurrence. Ainsi, rien ne

s’opposerait à ce que la Communauté adhère à la Convention 108 du Conseil de l’Europe.

En ce sens, la Commission européenne présentait, le 13 septembre 1990, une

« recommandation de déclaration du Conseil concernant l’ouverture de négociations en vue

de l’adhésion des Communautés européennes à la convention du conseil de l’Europe pour une

protection des personnes à l’égard du traitement automatisé des données à caractère

personnel »124. Le but était évidemment de mettre en oeuvre des règles communautaires

compatibles avec celle de la Convention du Conseil de l’Europe, et d’être aussi compatible

avec les législations nationales qui avaient déjà ratifié, ou étaient sur le point de ratifier la

Convention 108. A partir du 24 octobre 1995 et l’adoption du texte communautaire de

122 Cf. CJCE, Avis 1/91 du 14 décembre 1991. Recueil 1991 I.6079 (chapitres 39 et 40). 123 Cf. CJCE, Avis 1/94 du 15 novembre 1994. Recueil 1994 I.5276. 124 COM (90) 314 fin. Du 13 septembre 1990, p.109 et s.

54


référence en matière de protection des données personnelles, on pouvait s’interroger sur

l’utilité d’une telle adhésion de la Communauté européenne à la Convention 108, d’autant

plus que le texte communautaire reprend clairement les principes posés par la Convention en

les précisant et en les amplifiant. Manifestant sa volonté de voir les communautés

européennes adhérer à sa Convention n°108 sur la protection des personnes à l’égard du

traitement de données personnelles, le Conseil de l’Europe a adopté des amendements à la

Convention 108 pour aller en ce sens125. La communauté peut dès lors adhérer à la

Convention 108, mais avant toute chose il est nécessaire que tous les Etats membres de la

Communauté signent en ce sens, et ce n’est pas encore le cas126.

Section 2 : Des définitions et un champ d’application visant à favoriser une

protection étendue.

Les définitions des objets de la protection et des personnes concernées telle qu’elle

ressort de la directive 95/46/CE et des autres textes s’y référant est plutôt large, et permet un

champ d’application matériel sensé couvrir l’ensemble des situations où un traitement de

données personnelles est effectué dans le champ d’application du droit communautaire.

(Paragraphe 1er). Néanmoins, la protection des données personnelles par le droit

communautaire ne couvre pas certains domaines qui certes ne relèvent pas pour la plupart du

pilier communautaire, mais mériterait que les données personnelles y soient protégées de la

même façon. (Paragraphe 2nd).

Paragraphe premier : Des dispositions pour un haut niveau de protection.

Les notions de « données personnelles », de « traitement de données personnelles » et

de « fichiers de données personnelles » telles qu’elles doivent être entendues au sens du droit

125 Amendements à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108) permettant l'adhésion des Communautés Européennes adoptés par le Comité des ministre à Strasbourg, le 15 juin 1999. 126 La liste des pays ayant acceptée cette adhésion est consultable à l’adresse http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_donn%E9es/documents/instruments_juridiques_internationaux/Liste_notifications.asp#TopOfPage.

55

http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_donn%E9es/documents/instruments_juridiques_internationaux/Liste_notifications.asp#TopOfPage

http://www.coe.int/t/f/affaires_juridiques/coop%E9ration_juridique/protection_des_donn%E9es/documents/instruments_juridiques_internationaux/Liste_notifications.asp#TopOfPage


communautaire sont précisément définies dans la directive 95/46/CE127. L’acception large qui

est retenue pour chacune de ces notions semble aller dans le sens d’une protection élevée des

données personnelles dans la Communauté européenne qui permet sans aucun doute un

champ d’application tout aussi étendu.

A) Des définitions vastes.

1) La définition des objets de la protection.

a) la notion de données à caractère personnel.

Les termes « données personnelles » nous semblent plus adaptés que ceux de

« données nominatives » qui étaient utilisés pas la loi française de 1978 même si la différence

n’est que terminologique128. La notion communautaire est bien plus moderne et adaptée aux

évolutions technologiques et la loi française du 6 août 2004 transposant la directive reprend

exactement les mêmes termes.

Premièrement, la directive définit la notion de donnée personnelle comme « toute

information concernant une personne physique identifiée ou identifiable » en son article 2 a).

La Convention 108 du Conseil de l’Europe avait une définition bien plus succincte en

qualifiant de donnée à caractère personnel «toute information concernant une personne

physique identifiée ou identifiable». Par rapport au texte du Conseil de l’Europe, la directive

95/46 CE a le mérite de préciser dans la suite de l’article 2 a), qu’ « est réputée identifiable une

personne qui peut être identifiée, directement ou indirectement, notamment par référence à un

numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité

physique, physiologique, psychique, économique, culturelle ou sociale ». Les précisions

apportées par la directive communautaire vont dans le sens d’une protection élevée et plus

particulièrement du considérant 11 de la directive en vertu duquel les dispositions qu’elle

contient « précisent et amplifient [les principes] qui sont contenus dans la convention, du 28

janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement

automatisé des données à caractère personnel »129. La directive évite de définir la notion

d’information, ce qui implique que toute information relative à un individu est visée, quelque

127Les directives sectorielles 97/66/CE et 2002/58/CE renvoient à ces mêmes définitions, ainsi que les autres textes communautaires prévoyant des dispositions concernant la protection des données personnelles. 128 M-C Ponthoreau, « La directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », RFDA janv-févr. 1997 pp.125-137. 129 A ce propos, la Convention 108 du Conseil de l’Europe n’apportait aucune précision, et le rapport explicatif de la Convention explique simplement que l’on parle de données personnelles lorsque les personnes sont facilement identifiables.

56


soit sa forme130 et il est satisfaisant que les sons et images soient concernés131 ce qui permet

en soi de protéger largement les personnes concernées. Le droit communautaire est clair sur le

fait que l’information doit concerner une personne physique, et exclut donc les personnes

morales de la protection qu’il garanti132. La précision de la directive selon laquelle

l’identification de la personne peut être directe ou indirecte est révélatrice encore une fois du

haut niveau de protection souhaité dans la Communauté. La protection ne s’applique donc pas

seulement aux informations qui concernent directement une personne comme le nom ou le

domicile, mais également celles qui de manière indirecte constituent des éléments permettant

d’identifier clairement une personne et qui relèvent souvent des nouvelles technologies : on

peut citer un numéro de téléphone, une adresse email, un numéro de carte bancaire ou encore

de données propres à la personne comme sa voix, ses empreintes digitales, son ADN ou

même ses données biométriques133. Ensuite, il ressort de la réglementation communautaire

que la précision selon laquelle la personne physique doit être identifiée ou identifiable, doit se

lire à la lumière du considérant n°26 de la directive qui énonce que « pour déterminer si une

personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être

raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre

personne, pour identifier ladite personne ». On s’intéresse alors à la situation des données

rendues anonymes auxquelles les principes de la protection communautaire ne s’appliquent

pas, toujours en conformité avec le but de protéger les personnes physiques identifiées ou

identifiables par le biais de données les concernant, mais tout en souhaitant permettre la libre

circulation des données lorsque aucun risque n’est avéré.

b) la notion de traitement de données à caractère personnel.

Ensuite, la définition retenue de la notion de traitement de données à caractère

personnel est également très large, dans un but de protection englobante et élevée dans la

Communauté européenne. Le traitement de données personnelles est défini par l’article 2 b)

de la directive de manière à ce que toute opération portant sur des données personnelles soit

130 cf. M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet. « La protection des données personnelles en droit communautaire », JDT doit européen, 1997 n°40, 41 et 42. 131 Considérant 14 de la directive 95/46 CE du 24 octobre 1995. 132 La Convention 108 du Conseil de l’Europe prévoit pour sa part la possibilité pour les Etats signataires d’appliquer la Convention aux « groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique ». Même si la directive 95/46 ne prévoit pas une telle possibilité puisqu’elle ne concerne que les personnes physiques, rien n’empêche un Etats d’établir une telle extension de cette protection à des personnes morales dans son droit national. 133 Voir notamment Claudine Guerrier, Protection des données personnelles et applications biométriques en Europe, Communication commerce électronique, 1er juillet 2003, n°7, pp.17-22.

57


visée : « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés

automatisés et appliquées à des données à caractère personnel, telles que la collecte,

l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la

consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme

de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage,

l'effacement ou la destruction ». L’apport essentiel de cette définition novatrice et de ne pas

établir de distinction de régime entre les traitements automatisés et les traitements non

automatisés, alors que de nombreuses législations s’appliquaient de manière distincte, comme

la loi « informatique et libertés » de 1978 qui prévoyaient des obligations restreintes pour les

fichiers manuels. La protection communautaire dépasse là encore celle offerte par la

Convention n°108 dès lors que celle-ci ne s’applique qu’aux traitements automatisés des

données à caractère personnel comme son intitulé l’indique. Les rédacteurs de la directive

explicitent la raison d’une équivalence de régime entre traitements automatisés et traitements

non automatisés au considérant n°27 en affirmant que le champ de la protection ne doit pas

dépendre de la technique utilisée sauf à créer de graves risques de détournement.

Par ailleurs, la définition communautaire des traitements de données personnelles est

excessivement large en considérant qu’une seule opération est susceptible de constituer un

traitement, et la liste contenue à l’article 2 b) est largement complète. La protection de la

personne concernée vise alors tout le processus du traitement à partir de la collecte. La

Convention 108 du Conseil de l’Europe, même si elle assure une protection large, ne va pas

aussi loin que la directive dans les différentes opérations considérées comme des traitements,

et ne vise pas par exemple la collecte de données134.

c) la notion de fichier de données à caractère personnel (fichier).

Certains auteurs se sont félicité du fait que la directive 95/46 CE prenne le soin de

définir la notion de fichier afin qu’elle ne soit pas confondue avec le traitement de données

personnelles135. La directive défini ainsi le fichier de la manière suivante : « tout ensemble

structuré de données à caractère personnel accessibles selon des critères déterminés, que cet

ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».

La définition retenue par la Convention n°108 est équivalente, la seule différence apportée par

la directive est de préciser que l’ensemble d’informations doit être structuré pour constituer

134 Article 2 c) de la convention n°108 : «traitement automatisé» s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion 135 En ce sens, voy. David Martin, « La directive 95/46 CE (protection des données) et sa transpositions en droit français. Gaz. Pal. 1998, pp.601-613.

58


un fichier. Cette définition aide à la clarté de la protection concernant le traitement manuel de

données personnelles, et le considérant n°27 permet de comprendre que si la directive

s’applique indistinctement aux traitement automatisés et aux traitements non automatisés de

données personnelles, pour ce qui est des traitements non automatisés, ses dispositions ne

s’appliquent qu’aux fichiers, et non pas aux dossiers non structurés. Cette définition

empêchera les nombreux critiques de la directive 95/46/CE de considérer que son champ

d’application est trop large en tous points. Ici, le législateur communautaire, par un effort de

clarté permet de rendre la protection des personnes physiques à l’égard du traitement non

automatisé des données personnelles moins illusoire, en le limitant aux fichiers, et en écartant

les dossiers non structurés, tout en retenant une conception large de la notion de fichier de

données personnelles, qui ne couvre pas seulement les fichiers compacts, mais également

ceux décentralisés ou répartis de manière fonctionnelle ou géographique.

2) Les définitions relatives aux personnes concernées.

A l’instar des définitions concernant les objets de la protection, les définitions

concernant les personnes en cause : « responsable du traitement », « sous-traitant », « tiers »,

« destinataire des données » et « consentement de la personne concernée » ont pour ambition

de permettre une protection étendue des données personnelles.

a) Le responsable du traitement

La définition du responsable du traitement est essentielle dès lors qu’une fois convenu

que l’on se trouve en présence d’un traitement de données personnelles, il faut pouvoir

déterminer la personne qui devra respecter les règles et obligations découlant de la

réglementation relative à la protection des données personnelles. Selon l’article 2 d) de la

directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du

traitement des données à caractère personnel et à la libre circulation de ces données, le

responsable du traitement est « la personne physique ou morale, l'autorité publique, le service

ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les

moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du

traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou

communautaires, le responsable du traitement ou les critères spécifiques pour le désigner

peuvent être fixés par le droit national ou communautaire ». Le texte communautaire reprend

ici à quelques modifications près les termes de l’article 2 d) de la Convention 108 du Conseil

de l’Europe à la différence que la Convention visait le « maître du fichier ». Le texte

communautaire est alors un peu plus large, et cela est dû à la définition du traitement de

59


données à caractère personnel retenue par le droit communautaire. La loi française du 6 août

2004 modifiant la loi de 1978 et transposant la directive 95/46/CE reprend ces termes. La

définition communautaire tente de couvrir toutes les catégories de responsables possibles :

personne physique ou morale, autorité publique ou non, responsable seul ou conjointement.

L’amplitude de cette définition vise à notre sens à ce qu’un responsable puisse toujours être

déterminé et soumis aux obligations lui incombant en vertu du droit communautaire dès lors

qu’il y a traitement de données à caractère personnel. En tout état de cause, le responsable du

traitement est celui qui détermine les finalités et les moyens du traitement.

b) Le sous-traitant

Il est satisfaisant que la réglementation communautaire ne se limite pas à désigner le

seul responsable du traitement mais également le sous traitant, ce qui permet d’établir ainsi

une responsabilité à différents degrés et participe d’une meilleure efficacité de la protection

des individus à l’égard du traitement des données personnelles. Cette notion de sous-traitant,

qualifié malencontreusement de « sous-traitement » par la directive est une des nouveautés

par rapport aux dispositions contenues dans la Convention 108 du Conseil de l’Europe. Le

législateur communautaire énonce que le sous-traitant est « la personne physique ou morale,

l'autorité publique, le service ou tout autre organisme qui traite des données à caractère

personnel pour le compte du responsable du traitement ». Il s’agit donc d’une personne ou

d’un organisme qui même s’il dispose des moyens d’effectuer le traitement de données

personnelles, ne peut pas en déterminer les finalités étant entendu qu’il agit pour le compte du

responsable du traitement. Une telle notion permet une protection élevée en ce sens qu’elle

servira à obliger toute personne qui agit pour le compte du responsable du traitement,

personne juridiquement distincte, à respecter les obligations relatives à la protection des

personnes physiques à l’égard du traitement des données personnelles telles qu’énoncées par

le droit communautaire. De manière satisfaisante, le responsable du traitement ne peut

désigner un sous-traitant pour soustraire le traitement de données personnelles aux obligations

communautaires auxquelles il doit se conformer.

c) Le tiers

Autre nouveauté de la directive communautaire du 24 octobre 1995 par rapport

notamment à la Convention 108, la notion de tiers qui représente « la personne physique ou

morale, l'autorité publique, le service ou tout autre organisme autre que la personne

concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous

l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les

60


données »136. Cette notion a pour intérêt, toujours dans une optique de protection élevée des

données personnelles, de garantir à la personne concernée certains droits même vis-à-vis

d’une personne qui n’est ni le responsable du traitement ni un sous-traitant, notamment un

droit d’information. Le tiers peut être destinataire des données, mais ce n’est pas toujours le

cas, c’est pourquoi la directive « données personnelles » prend le soin de définir à part la

notion de destinataire des données.

d) Le destinataire des données.

Le destinataire des données est « la personne physique ou morale, l'autorité publique,

le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non

d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le

cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des

destinataires »137. La nouvelle distinction peut paraître par trop subtile et le destinataire des

données sera le plus souvent un tiers. Malgré tout, la directive vise là encore à couvrir toutes

les situations possibles pour que les principes qu’elles prévoient s’appliquent, à des degrés

différents certes, à toutes les catégories de personnes, à toutes les situations envisageables.

e) Le consentement de la personne concernée.

La seule définition concernant directement la personne concernée par le traitement de

données est relative à son consentement, qui est défini à l’article 2 e) de la directive de 1995

comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne

concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un

traitement ». La directive a le grand mérite de définir le consentement de la personne

concernée là où le législateur français est resté timide138 tout comme le Conseil de l’Europe

dans sa Convention 108139. Ainsi, il devient théoriquement impossible qu’une personne fasse

l’objet d’un traitement de données personnelles la concernant sans qu’elle ait pu exprimer son

consentement, de manière libre donc sans pression, on pense là aux pressions économiques

qui pourraient être exercée ; de manière spécifique, soit sur des traitements précis avec des

finalités et un responsable déterminés, et enfin informée ce qui laisse prévoir certains des

droits dont la personne disposera pour tout traitement de données personnelles, notamment

des droits d’information.

136 Article 2 f) de la directive 95/46 CE. 137 Article 2 g) de la directive 95/46 CE. 138 La loi informatique et libertés de 1978 ne contient pas de définition du consentement de la personne concernée. 139 Même si différentes recommandation du Comité des ministres du Conseil de l’Europe y ont recourt. En particulier la recommandation R (97) 5 sur la protection des données médicales.

61


B) Un champ d’application large.

1) Le champ d’application matériel.

a) Un champ d’application étendu.

En définissant le champ d’application de la protection des données personnelles en

droit communautaire en énonçant qu’elle « s'applique au traitement de données à caractère

personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à

caractère personnel contenues ou appelées à figurer dans un fichier »140 la directive 95/46 CE

du 24 octobre 1995 couvre l’ensemble des traitements de données personnelles. La

détermination du champ d’application de la réglementation communautaire dépend alors de

deux conditions cumulatives141. D’une part, il faut répondre à la question de savoir si l’on est

en présence de données personnelles, condition première qui si elle n’est pas réalisée,

empêche d’aller plus loin. D’autre part, si la réponse à la première question est affirmative, il

faut se demander si ces données à caractère personnel font l’objet d’un traitement, et si oui,

l’existence d’un traitement de données personnelles entraîne l’application de la directive

95/46/CE. Les définitions explicitées plus tôt dans notre étude permettent de deviner

l’exceptionnelle étendue du champ d’application de la protection assurée par le droit

communautaire : traitement de données personnelles effectué par une personne physique, une

personne morale, traitement automatisé ou non, relevant du secteur public ou privé... Ce

champ d’application est bien plus large que celui de la Convention du Conseil de l’Europe qui

s’applique aux « fichiers et aux traitements automatisés de données à caractère personnel dans

les secteurs public et privé »142, et cela est lié à la définition plus stricte retenue pour la notion

de traitement de données à caractère personnel.

La directive étant rédigée de manière technologiquement neutre, c’est à dire sans être

applicable distinctement selon les technologies utilisées pour le traitement des données,

l’étendue du champ d’application de la protection assurée n’en est que renforcée. En effet,

tout traitement de données personnelles est alors concerné, que la technologie utilisée soit

connue ou non encore existante, et même lorsque le traitement est effectué manuellement.

En outre, nous pouvons nous interroger sur le sort réservé aux données relevant d’un fichier

non automatisé. La directive du 24 octobre 1995 s’applique alors aux données « contenues ou

appelées à figurer dans un fichier ». Or, le sort de toute donnée collectée n’est-il pas à terme

de figurer dans un fichier ? Et au surplus, comment peut-on savoir ou exclure au moment de

140 Article 3.1 de la directive 95/46 CE. 141 Cf. Jean Frayssinet in Droit de l’informatique et de l’Internet, Op. Cit. p.72 et s. 142 Article 3.1 de la Convention 108 du Conseil de l’Europe.

62


la collecte de données que celles-ci soient appelées à être contenues dans un fichier ? Il

semble que le champ d’application sera encore étendu par cette imprécision.

b) Une application qui couvre le droit communautaire.

Le paragraphe second de l’article 3 de la directive 95/46 CE qui définit donc le champ

d’application du texte s’attache à définir le champ d’application matériel non du point de vue

de la nature du traitement en cause mais d’un point de vue juridique. En effet, il énonce que la

directive « ne s'applique pas au traitement de données à caractère personnel mis en œuvre

pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit

communautaire ». Avant d’étudier les domaines d’activité qui sont hors du champ

d’application de la directive qui sont énoncés à la suite de son article 3.2, intéressons nous à

son champ d’application positif, qui par une reformulation a contrario de la première phrase

couvre tout traitement de données personnelles mis en œuvre pour l’exercice d’activités qui

relèvent du champ d’application du droit communautaire. Applicable dans les domaines

couverts par le droit communautaire et rien que dans ces domaines, plutôt que de considérer

que le champ d’application est alors limité, nous choisirons d’adopter une position relevant

que le champ d’application du droit communautaire n’est pas rien et qu’il est même en

constante extension au gré des domaines de compétence que décident de lui attribuer les

Etats. Il faut ici rappeler que le traité de Maastricht a inauguré une structure en piliers pour

l’Union européenne qui comprend alors un premier pilier qui est la Communauté européenne,

qui fonctionne sur un mode supranational avec des institutions et organes propres qui crée un

droit spécifique : le droit communautaire, marqué par une réelle intégration. Un second pilier

concernant la politique étrangère et de sécurité commune (PESC) et un troisième consacré à la

justice et aux affaires intérieures (JAI) devenu le pilier de la « coopération policière et

judiciaire en matière pénale » sont également chapeautés par l’Union. Ces deux derniers

piliers fonctionnent sur le mode intergouvernemental, par le biais de négociations et décisions

entre les Etats membres et ne sont donc pas couverts par le champ d’application du droit

communautaire. Voyons alors ce qui est compris dans le champ d’application communautaire.

En tant qu’organisation internationale, la Communauté ne dispose pas de compétences en soi

mais ne bénéficie théoriquement que de compétences d’attribution. L’alinéa premier du traité

instituant la Communauté européenne va en ce sens en disposant que « la Communauté agit

dans les limites des compétences qui lui sont conférées et des objectifs qui lui sont assignés

dans le présent traité ». Or, on constate que les domaines relevant de la compétence

communautaire n’ont cessé d’augmenter au fil des traités, et de plus en plus d’activités qui

relevaient à l’origine des deuxième et troisième piliers ont été communautarisées. Comme le

63


souligne le professeur Jean Frayssinet, « la tendance est à l’extension du champ

communautaire dans des domaines comme la sécurité publique, la défense, le droit pénal, ce

qui amènera à reconsidérer ce point de la directive en fonction de l’avènement de textes

particuliers »143. En outre, dernier signe de cette communautarisation de domaines ne relevant

pas du pilier communautaire, le traité établissant une Constitution pour l’Europe prévoit la

fusion des trois piliers dans un ensemble dénommé « droit de l’Union européenne ».

2) Le champ d’application territorial.

Quant à son champ d’application territorial la directive précise en son article 4 qui

concerne le droit national applicable le critère de l’établissement du responsable du

traitement. L’établissement doit être entendu comme le lieu d’exercice effectif d’une activité

au moyen d’une installation stable, quelle qu’en soit la forme juridique. Dans l’hypothèse où

un même responsable d’un traitement de données personnelles est établi dans plusieurs Etats

membres, la directive prévoit qu’il doit assurer le respect des obligations lui incombant en

vertu du droit national de chacun des Etats dans lequel il est établi. Cette disposition ne

devrait avoir que peu d’impact sur les régimes différents qui seraient appliqués dans chacun

des Etats membres de la Communauté européenne à partir du moment où en transposant la

directive 95/46/CE, les Etats membres devraient avoir des lois nationales relativement

proches concernant la protection des données personnelles. Il devient ainsi impossible pour un

responsable de traitement de données personnelles établi dans un Etat membre de la

Communauté d’échapper au respect de la réglementation communautaire.

L’alinéa b de l’article 4 prévoit la possibilité où la loi nationale peut s’appliquer à des

traitements de données personnelles dans le cas où le responsable du traitement n’est pas

établi sur le territoire de l’Etat membre en vertu du droit international public, ce qui confère

un effet extraterritorial à la directive.

Enfin, pour permettre la protection la plus large pour les personnes concernées, est prévu un

cas où un responsable non établi dans un Etat membre mais qui utilise des moyens situés dans

un Etat membre pour le traitement des données personnelles, se voit appliquer le droit

communautaire contenu dans la directive du 24 octobre 1995.

143 Jean Frayssinet, Op. Cit. p.73 Dans le même sens, David Martin, Op. Cit. constate que « l’histoire de la Communauté et de l’Union européenne montre que la tendance est inexorablement à la communautarisation progressive de domaines jusqu’à présent réservés à la compétence nationale ».

64


Paragraphe second : Une protection élevée mais néanmoins perfectible.

Quand bien même la directive 95/46/CE dispose d’un champ d’application plutôt

large, il n’en demeure pas moins qu’il n’est pas illimité, et connaît certaines exceptions.

Quoiqu’il en soit, les traitements de données personnelles exclus du champ d’application de la

directive sont généralement des traitements effectués dans des domaines non soumis au droit

communautaire. Le champ d’application de la directive n’est-il pas illusoire ?

A) Un champ d’application excluant les traitements de données personnelles dans le

cadre des IIème et IIIème piliers.

1) L’exclusion des traitements effectués dans le cadre des IIème et IIIème piliers.

Si l’article 3 paragraphe 1 de la directive de 1995 relative à la protection des personnes

physiques à égard du traitement des données personnelles énonce le champ d’application

matériel du texte de manière positive, le paragraphe 2 formule négativement ce champ

d’application, permettant ainsi de déterminer les domaines qui ne sont pas couverts par la

protection communautaire. Ainsi, sont exclus du champ d’application de la directive les

traitements de données personnelles effectués dans le cadre d’« activités qui ne relèvent pas

du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du

traité sur l'Union européenne ». Toutes les activités ne relevant pas du droit communautaire

sont visées, mais la directive 95/46/CE autant que les autres textes communautaires relatifs à

la protection des données personnelles précisent que cela concerne donc les activités relevant

des titres V et VI du traité sur l’Union européenne, auxquels il convient donc de s’intéresser.

Le titre V du Traité sur l’Union européenne concerne la politique étrangère et de

sécurité commune (PESC). Compétence régalienne classique, la politique étrangère ne relève

pas du droit communautaire, et pour ce qui est de la PESC, celle-ci ne fonctionne que sur le

mode intergouvernemental, soit par négociation entre les Etats membres, qui conservent

jalousement leurs compétences en la matière même s’ils acceptent de coopérer au niveau

européen pour agir plus efficacement dans le cadre des objectifs de la PESC144. Comme toute

activité, les activités liées à la PESC sont susceptibles d’utiliser des données à caractère

personnel, et nécessiterait alors une certaine protection.

Pour ce qui est du troisième pilier, le titre VI du traité sur l’Union européenne concerne la

coopération policière et judiciaire en matière pénale. Un tel domaine d’activité a bien entendu

144 Cf. Les objectifs énoncés à l’article 11 TUE.

65


à connaître des données personnelles, et il est regrettable que la directive du 24 octobre 1995

n’y soit pas applicable, ce domaine n’étant pas compris dans le champ du droit

communautaire. Plus particulièrement, ce sont les systèmes d’information mis en œuvre dans

le cadre de troisième pilier qui peuvent poser un réel problème s’ils ne sont pas soumis aux

règles de la protection des données personnelles, mais la situation est en évolution.

2) La situation des systèmes d’information européens du troisième pilier.

Avec l’instauration de la libre circulation des personnes, des mesures compensatoires

ont dû être mises en œuvre dans l’espace de liberté, de sécurité et de justice que constitue

l’Union européenne. Dans le cas de tels systèmes, des fichiers de données personnelles sont

mis en place, souvent alimentés par les Etats membres eux-mêmes145. Différents systèmes

d’information existent ainsi dans l’Union.

Le plus connu est certainement le système d'information Schengen (SIS)146, qui est un

système informatique européen à grande échelle créé pour compenser la suppression des

contrôles aux frontières intérieures de l'espace Schengen. Le SIS permet aux autorités

compétentes des États membres d'échanger des informations aux fins du contrôle des

personnes et des objets aux frontières extérieures ou à l'intérieur du territoire, ainsi que pour la

délivrance de visas et de permis de séjour. Un autre système important est Europol147, qui a

pour tâche de traiter des renseignements relatifs aux activités criminelles en améliorant

l’efficacité des services compétents des États membres et leur coopération en ce qui concerne

la prévention et la lutte contre les formes graves de criminalité internationale organisée et le

terrorisme. Un système d’information des douanes (SID) a également été créé en 1995148. Ces

trois systèmes d’information ont été mis en place dans le cadre du IIIème pilier et ne se voient

pas appliquer les principaux textes communautaires de protection des données personnelles,

en particulier la directive 95/46 CE. La protection n’est pas nulle puisque les Conventions

adoptées pour la mise en place de ces systèmes prévoient le respect de la Convention 108 du

Conseil de l’Europe ainsi que de la recommandation R (87) 15 du comité des ministres du

Conseil de l’Europe relative à la réglementation de l’utilisation des données à caractère

145 Cf. Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la protection des données personnelles au niveau européen », JDI juillet-aout-septembre 2005 pp.609-635. 146 Cf. . Convention d’application des accords Schengen. JOCE n° L239, 22 septembre 2000, p.19. En particulier art. 92 à 119. 147 Convention portant création d’un office européen de police (Europol), JOCE, n°C 316, 27 novembre 1995, p.2. 148 Convention sur l’emploi de l’informatique dans le domaine des douanes, JOCE, n° C 316 27 novembre 1995, p.34.

66


personnel dans le secteur de la police149, mais il ne s’agit que d’une protection minimale et

certaines voix se sont légitimement levées face à une telle situation illustrant une réelle

incohérence dans la protection des données personnelles dans l’Union européenne150. Une

protection respectant les règles de la directive dans toute la Communauté aurait pu paraître

souhaitable, mais certains auteurs ont estimé que les règles de la directive 95/46 CE n’aurait

pas forcément amélioré la protection des données personnelles dans tous les systèmes

d’information du troisième pilier de l’Union, sauf peut être dans le cadre d’Europol où une

adaptation serait souhaitable151.

B) Les autres domaines non soumis au droit communautaire et les limites de la directive.

1) Les autres domaines non soumis à la directive 95/46 CE

a) L’exclusion des traitements de « souveraineté » et des domaines relatifs au droit

pénal.

Après l’exclusion des traitements de données personnelles effectués dans le cadre

d’activités relevant des titres V et VI du traité sur l’Union européenne, l’article 3 paragraphe 2

de la directive exclut du champ d’application de la directive les traitements « ayant pour objet

la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État

lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l’Etat

relatives à des domaines du droit pénal ». Là encore, la directive aurait pu se contenter de la

définition de son champ d’application défini à l’article 3 paragraphe 1, les matières énoncées

ici n’étant pas du domaine du droit communautaire, il était logique que la directive ne s’y

applique pas. On pourrait penser que ces domaines relèvent logiquement de la PESC ou des

activités de la JAI, mais malgré la proximité des matières, il y a une distinction à faire entre ce

qui relève des politiques communes et des politiques nationales en matière de sécurité, de

défense, de sûreté de l’Etat et de droit pénal, où l’on peut très bien imaginer l’existence de

traitement de données personnelles distincts, appartenant à des fichiers exclusivement

nationaux. C’est encore une fois la souveraineté des Etats et leur désir de conserver les

compétences régaliennes traditionnelles qui justifient l’exclusion de tels traitements de la

protection assurée par la directive communautaire du 24 octobre 1995. Quoiqu’il en soit, la

non protection des individus à l’égard des traitements intervenant en ces domaines est

149 Recommandation R (87) 15 du 17 septembre 1987 du Comité des ministres du Conseil de l’Europe relative à la réglementation de l’utilisation des données à caractère personnel dans le secteur de la police 150 Le Parlement européen s’est récemment exprimé en ce sens, de même que le CEPD dans divers avis. 151 Francesco Maiani, Le cadre réglementaire des traitements de données personnelles effectués au sein de l’Union européenne. Situation et perspectives de développement, Op. Cit.

67


inacceptable, d’autant plus que de graves violations des droits fondamentaux y sont

encourues. Néanmoins, si la Communauté européenne ne peut intervenir en de tels domaines,

cela ne signifie pas que les Etats ne doivent pas intervenir, et il appartient alors aux

législateurs nationaux de mettre en place une protection en ces domaines.

b) L’exclusion des traitements à usage privé.

Enfin, l’alinéa 2 de l’article 3 de la directive 95/46 CE prévoit sa non application aux

traitements effectués « par une personne physique pour l'exercice d'activités exclusivement

personnelles ou domestiques ». La lecture du considérant 12 de la directive nous précise

quelque peu l’objet de cette disposition de la directive en donnant pour exemple la

correspondance ou la tenue d’un répertoire d’adresse. On comprend que l’utilisation de

données personnelles pour un usage strictement personnel ne peut normalement pas nuire à la

personne concernée et qu’il relève du droit à la vie privée de la personne qui les utilise. On

peut toutefois s’interroger sur la possibilité d’utiliser des données personnelles sur un blog ou

un site Internet personnel. Nous pourrions raisonner en considérant qu’une telle utilisation,

sur un support pouvant être consulté par d’autres personnes peut enfreindre les obligations

découlant de la directive 95/46/CE du 24 octobre 1995. La Cour de justice des Communautés

européennes vient nous conforter dans cette hypothèse avec son arrêt Bodil Lindquist du 6

novembre 2003152. En l’espèce, Madame Lindquist, paroissienne et formatrice bénévole de

l’Eglise protestante de Suède, avait créé un site Internet de son ordinateur personnel pour

permettre aux paroissiens préparant leur confirmation d’obtenir facilement les informations

qu’ils souhaitaient connaître. Un lien avait été établi avec le site de l’Eglise protestante de

Suède, et des poursuites furent engagées sur le fondement de la loi suédoise de transposition

de la directive 95/46/CE. Le juge suédois posait une question sur le fait de savoir si la création

d’une telle page Internet relevait des exceptions prévues à l’article 3§2 de la directive. Etant

donné que les activités de Mme Lindquist n’étaient pas économiques mais principalement

bénévoles et religieuses, la CJCE s’intéresse surtout à l’exception prévue en cas d’activités

purement domestiques ou à usage privé, mais juge que cette exception doit être interprétée

« comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou

familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à

caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont

rendues accessibles à un nombre indéfini de personnes »153.

152 CJCE 6 novembre 2003, Bodil Lindquist, aff C-101-01. 153 CJCE Bodil Lindquist, point 47 de l’arrêt.

68


2) Un champ d’application trop large ?

Comme nous venons de le voir, le champ d’application de la directive du 24 octobre

1995 est plutôt large, même s’il connaît des exclusions classiques du droit communautaire,

celles-ci pouvant évoluer à l’avenir ou encore être compensées par des dispositions de droit

national. Les définitions précisées par la directive permettant de déterminer le domaine

d’application de la directive sont très étendues pour que la protection des données à caractère

personnel prévue par le droit communautaire trouve à s’appliquer dans de très nombreuses

situations. Or, on peut s’interroger sur la pertinence de définitions si larges que le champ

d’application se trouve exceptionnellement étendu. Le champ de la protection n’en est-il pas

trop accru, imposant de trop importantes obligations au responsable d’un traitement de

données personnelles, et par là même illusoire ? S’il est vrai que des définitions vastes

participent d’un niveau élevé de la protection des personnes physiques à l’égard du traitement

de données à caractère personnel, une trop grande étendue peut avoir pour effet non désirable

d’affaiblir cette protection, reflet de bonnes intentions mais qui serait difficile à mettre en

œuvre. Or, ce dont les individus ont besoin, c’est d’une protection effective. Nathalie Mallet-

Poujol pense par exemple, concernant la définition donnée par la directive de la notion de

données personnelles, qu’elle est « ambiguë et présente le risque de trop englober de données

et, paradoxalement, d’affadir une protection par un champ d’application trop étendu, mal

compris ou jugé utopique »154. Le questionnement mérite d’être posé, mais le contrôle mis en

place devrait éviter que la protection des données personnelles assurée par le droit

communautaire ne soit pas effective.

154 Nathalie Mallet-Poujol, « La réforme de la loi « Informatique et libertés », RFDAP, n°89, janvier-mars 1999, pp. 49-62.

69


Deuxième partie : Des mesures efficaces pour une protection

élevée des données personnelles par le droit communautaire.

Le droit fondamental à la protection des données personnelles ainsi reconnu par le

droit communautaire, et l’ambition d’assurer une protection élevée de ce droit, les mesures

nécessaires à sa garantie doivent permettre son exercice dans des conditions satisfaisantes.

Pour ce faire, des conditions de licéité des traitements de données personnelles ont été

prévues, et pour qu’ils soient mis en œuvre de manière efficace, les principes communautaires

de protection des données personnelles ont trouvé leur expression dans des droits conférés à la

personne concernée ainsi que dans des obligations incombant au responsable du traitement.

(Chapitre 1er). Mais la reconnaissance de droits et d’obligations dans le domaine de la

protection des données personnelles est loin d’être suffisante, et des dispositions appropriées

doivent permettre la mise en œuvre des principes reconnus. Par conséquent, en plus de prévoir

une série d’autorités chargés du contrôle de l’application du droit communautaire de la

protection des données personnelles pour garantir l’effectivité de cette protection, il a fallu

prendre en compte des spécificités de la matière : le caractère largement international des flux

de données impliquant que les flux transfrontalières de données personnelles soient

réglementer, et l’utilité d’une protection des données personnelles allant au-delà du cadre

communautaire à l’heure où la mondialisation, le terrorisme international, et les progrès

technologiques et en particulier l’Internet, ne connaissent plus la notion de frontière. (Chapitre

2).

70


Chapitre I. Des règles juridiques permettant un traitement licite des

données personnelles.

La Communauté européenne recherche donc à permettre la libre circulation des

données personnelles d’une part, et à protéger le droit fondamental à la protection des

données personnelles d’autre part. L’équilibre à mettre en place implique que les personnes

puissent être actrices de la protection de leurs données en bénéficiant de droits d’information,

d’accès, d’opposition et d’intervention sur les données les concernant (Section 1ère), tandis

que le responsable du traitement de données doit se voir imposer des obligations

correspondantes, d’information, de respect de la qualité des données, de sécurité des

traitements… Le but étant que la licéité des traitements de données, passant par le respect de

conditions précises de légitimation des traitements, permette à la fois d’assurer la protection

des personnes, et par conséquent, de ne pas interdire le traitement de données ou les flux

intracommunautaires de données personnelles. (Section 2ème).

Section 1. Les droits conférés à la personne concernée.

La personne concernée par le traitement de données à caractère personnel se voit

reconnaître de nombreux droits d’information et d’intervention qu’elle pourra exercer pour

faire valoir efficacement son droit à la protection des données personnelles. (Paragraphe 1er).

Quoiqu’il en soit, ces droits ne sont pas absolus et connaissent de nombreuses exceptions

prévues par le droit communautaire, qui elles mêmes nous paraissent limitées pour assurer au

mieux la protection des personnes concernées. (Paragraphe 2nd).

Paragraphe Premier. Des droits liés à l’information et à l’intervention de la

personne concernée.

Lors de toute collecte de données personnelles, il est souhaitable que la personne

concernée soit informée, ait un droit d’accès, et si elle le souhaite, puisse intervenir sur ses

données. Les dispositions du droit communautaire conférant des droits à la personne

concernées semblent satisfaisantes.

71


A. Des droits d’information.

Le vingt-cinquième considérant de la directive communautaire explique que les

principes de la protection des données personnelles doivent trouver leur expression dans les

droits donnés aux personnes « d'être informées sur celui-ci, de pouvoir accéder aux données,

de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines

circonstances ». On comprend qu’une protection efficace des données personnelles passe par

l’octroi de droit aux personnes concernées.

1). Un droit d’information satisfaisant.

Pouvant être considéré comme « une forme de nouveau droit de l’homme

moderne »155, le droit à l’information nous apparaît d’une importance fondamentale s’agissant

de la protection des données personnelles, pour éviter notamment dans la mesure la plus large

possible que des données soient collectées et traitées à l’insu de la personne. Déjà reconnu par

la loi française de 1978 en tant que droit de curiosité, le droit à l’information implique que la

personne dont les données sont traitées puisse obtenir certains renseignements. Le droit

communautaire de la protection des données à caractère personnel prévoit un tel droit à

l’article 12 de la directive 95/46 CE du 24 octobre 1995 dont le a) premier tiret dispose que

« les États membres garantissent à toute personne concernée le droit d'obtenir du responsable

du traitement: a) sans contrainte, à des intervalles raisonnables et sans délais ou frais

excessifs:- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi

que des informations portant au moins sur les finalités du traitement, les catégories de

données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels

les données sont communiquées ». Néanmoins, il nous semble que le droit d’information ne

se retrouve dans cette disposition que par une interprétation large de celle-ci. Il reste que cette

disposition est étroitement liée à un véritable droit à la curiosité.

Pour être plus précis quant au droit d’information de la personne concernée, référons

nous plutôt aux articles 10 et 11 de la directive qui correspondent à l’obligation du

responsable du traitement d’informer la personne concernée. Si le responsable du traitement a

l’obligation d’informer la personne dont les données sont traitées, alors il n’est pas exagéré de

considérer que cette obligation correspond à un réel droit d’information pour la personne. Les

articles 10 et 11 permettent de déterminer que la personne concernée a droit d’être informée

de l’identité du responsable du traitement ou de son représentant, des finalités du traitement,

et de toute information supplémentaire telle que les destinataires ou catégories de destinataires

155 J. Frayssinet, in « Droit de l’informatique et de l’Internet », Op. Cit. p.99.

72


des données, le fait de savoir si la réponse aux questions est obligatoire ou non ainsi que les

conséquences d’une absence de réponse, et enfin de l’existence d’un droit d’accès et de

rectification des données. L’apport de la directive est d’étendre un tel droit d’information aux

données qui n’ont pas été collectées auprès de la personne concernée, ce qui la distingue de la

loi française de 1978 et de la Convention 108 du Conseil de l’Europe dont la directive

amplifie ainsi la protection156. En outre, les différentes informations dont il revient à la

personne concernée de connaître sont beaucoup plus larges dans la directive que dans le texte

français.

Dans le domaine des communications électroniques, la directive 2002/58 CE qui abroge et

remplace la directive 97/66 CE prévoit aussi un droit d’information de la personne concernée

par un traitement de données relatives au trafic concernant un réseau de communications

électroniques157, par un traitement de données de localisation autres que les données relatives

au trafic158, et par leur inscription dans un annuaire d’abonnés159, ces informations étant ici un

préalable au consentement de la personne concernée pour le traitement considéré. Par ailleurs,

conformément à la directive 95/46/CE qui reste le cadre général de la protection des données

personnelles, la directive 2002/58/CE confère à la personne concernée des droits

d’information, mais il est notable qu’elle prévoit en plus un droit d’information lorsque des

fichiers témoins sont collectés de manière licite et à des fins légitimes160

Pour ce qui est des traitements de données personnelles effectués par les institutions et

organes communautaires, le règlement n°45/2001 relatif à la protection des personnes

physiques à l'égard du traitement des données à caractère personnel par les institutions et

organes communautaires et à la libre circulation de ces données met en place dès règles

équivalentes en ses articles 11 et 12, et le droit d’information de la personne concernée est là

aussi reconnu aussi bien dans le cas où les données sont collectées auprès de la personne

concernée que dans celui où elles le sont auprès d’un tiers, et se déduit là encore des

obligations d’information du responsable.

156 La Convention 108 relative à la protection des personnes à l’égard du traitement automatisé de données à caractère personnel prévoit ainsi en son article 8 a) que toute personne doit pouvoir « connaître l'existence d'un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier ». 157 Directive n°2002/58 CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, Article 6 4). 158 Article 9 1). Directive 2002/58 CE. 159 Article 12 1). Directive 2002/58 CE 160 Considérant 25 de la directive 2002/58/CE.

73


Précisons enfin que le droit d’information dont bénéficie toute personne qui voit ses

données être traitées ne doit pas être confondu avec le droit d’accès aux informations, même

si très lié à lui, il ne va pas aussi loin, consistant en une simple curiosité, un simple

renseignement.

2). Le droit d’accès.

Reconnu à l’article 12 de la directive, le droit d’accès aux données traitées consiste à

obtenir communication des données qui font l’objet d’un traitement. Si la directive 95/46 CE

paraît laconique sur le droit d’accès pour certains auteurs, car elle ne parle pas de droit

d’accès dans la rédaction de ses dispositions161, il faut souligner que la section V du texte

s’intitule « droit d’accès de la personne concernée aux données » et que l’article 12, seul à

composer cette section, s’intitule « droit d’accès ». Il faut toutefois reconnaître que la lecture

de l’article 12 demande réflexion pour interpréter le a) premier tiret comme un droit général

d’être informé. Par ailleurs, ce droit est aussi un des éléments nécessaire au droit d’accès de la

personne concerné, ce qui complique encore la compréhension et la distinction entre

information et accès. Avec la même sagacité, on lit dans le second tiret du a) de l’article 12, le

droit d’accès conféré aux personnes dont les données sont traitées. Les Etats membres sont

alors tenus de leur garantir, sans contrainte, à des intervalles raisonnables et sans délais ou

frais excessifs le droit d’obtenir « la communication, sous une forme intelligible, des données

faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des

données ». Notons que ce droit est également reconnu dans la convention 108 du Conseil de

l’Europe, dans des termes approximativement identiques. La directive innove en permettant

d’accéder à des informations révélant l’origine des données, nouveauté importante et d’une

grande utilité lorsque les données n’ont pas été collectées auprès d’elle. On imagine les

potentialités d’une telle disposition dans un contexte ou le marketing direct permet à des

entreprises de disposer de données concernant une personne sans que celle-ci les lui ait

communiquées. Il sera possible de savoir quelle est l’origine de cette communication.

Le fait que les données doivent être communiquées sous une forme intelligible entre dans

l’objectif d’accessibilité et de transparence, afin que la personne puisse lire et déterminer

quelles données la concernant font l’objet d’un traitement, dans quel but, et par quelle

personne ou organisme.

161 Jean Frayssinet, Op. Cit., p.102.

74


Pour le domaine particulier des communications électroniques, la directive

2002/58/CE ne cite pas explicitement le droit d’accès de la personne concerné, mais la

reconnaissance d’un tel droit semble évidente dès lors que les principes de la directive de

1995 trouvent à s’appliquer et que le droit d’accès nous paraît être inhérent aux droits

d’information et d’intervention reconnus. Néanmoins, ce droit semble difficile à mettre en

œuvre lorsque la collecte de données est effectuée à l’insu de la personne.

L’accès aux données personnelles traitées par les institutions ou organes communautaires est

aussi un droit reconnu par le règlement 45/2001162, qui reprend les principes de la directive

95/46 CE dans un souci de cohérence de la protection communautaire des données

personnelles. Notons enfin qu’un droit d’accès est expressément prévu par la convention

d'application de l'accord de Schengen du 19 juin 1990. Aux termes de l'article 109 de la

convention, toute personne a le droit d'accéder aux données la concernant enregistrées dans le

système d'information Schengen.

Le droit d’accès implique des droits de rectification des données à intégrer plus largement

dans des droits d’intervention sur les données personnelles, que le droit communautaire

garanti largement.

B. Des droits d’intervention sur les données.

1). Un droit de rectification, d’effacement ou de verrouillage.

Le droit d’accès aux données personnelles a pour conséquence logique de permettre à

la personne dont les données sont traitées de pouvoir les rectifier, la possibilité d’intervenir

sur les données personnelles traitées apparaît ainsi comme le prolongement nécessaire du

droit d’accès163. En ce sens, l’article 12 b) de la directive 95/46 CE prévoit que les Etats

doivent garantir aux personnes concernées « selon le cas, la rectification, l'effacement ou le

verrouillage des données dont le traitement n'est pas conforme à la présente directive,

notamment en raison du caractère incomplet ou inexact des données ». Les droits de

rectification et d’effacement sont prévus dans la convention 108 du Conseil de l’Europe164 ce

qui confirme de nouveau la compatibilité des deux textes. En outre, les Etats membres de la

Communauté européenne disposant d’une législation protectrice des données personnelles

prévoyaient de telles dispositions, notamment la France, où la loi dite « Informatique et

162 Article 13 du règlement 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. 163 Fatima El Atmani, Op. Cit. p.121. 164 Article 8 c) de la Convention 108.

75


libertés » dans sa version antérieure à 2004 contenaient des dispositions sur les droits de

rectification et d’effacement, et dans sa version intervenue en transposition de la directive du

24 octobre 1995, reprend également la notion de verrouillage prévue par la directive. Le

verrouillage des données est en effet une innovation apportée par la directive, qui s’inspire ici

du droit allemand de la protection des données165. Le principe d’un blocage possible des

données s’étend désormais dans tous les Etats de la Communauté. Les hypothèses de mise en

œuvre des droits de rectification, effacement ou verrouillage des données sont limitées aux

cas où le traitement n'est pas conforme à la directive, notamment en raison du caractère

incomplet ou inexact des données. Cette précision marque la large étendue du droit de

rectification qui peut ainsi être mis en œuvre dès lors qu’une disposition de la directive est

concernée. Une limite peut néanmoins être soulevée, en ce que la directive laisse la charge de

la preuve du manquement à la personne concernée par le traitement de données166, mais cette

limite n’est que peu surprenante au regard de l’objectif de libre circulation des données visé

par la directive et de non entrave au traitement de données dans les cas de respect des

principes élaborés pour la protection des données personnelles.

Pour ce qui est de la directive 2002/58/CE, les droits d’intervention sont expressément

précisés pour les données personnelles contenues dans les annuaires d’abonnés. L’article 12.2

prévoyant en outre que ce droit doit être gratuit.

Le règlement 45/2001 garanti de tels droits de rectification, de verrouillage et d’effacement

des données faisant l’objet d’un traitement de la part des institutions et organes

communautaires, et ce texte est plus détaillé et rend ces différents droits d’intervention plus

visibles en les séparant dans trois articles distincts167. En outre, le règlement est plus précis

que la directive concernant les hypothèses où le verrouillage des données peut être demandé,

permettant une telle possibilité lorsque l’exactitude des données est contestée par la personne

concernée, lorsqu’elles ne sont plus utiles au responsable pour exécuter sa mission, ou que

leur traitement est illicite et que la personne concerné préfère qu’elles soient verrouillées

plutôt qu’effacées.

2). Un droit d’opposition.

165 David Martin, Op. Cit. p. 608. 166 Cf. M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 167 Article 14 « rectification », article 15 « verrouillage », article 16 « effacement ».

76


En plus des droits de modification, d’effacement et de verrouillage des données

personnelles, la directive communautaire de 1995 confère à la personne concernée un droit

d’opposition prévu à son article 14.

Le a) de l’article 14 impose aux Etats membres de prévoir le droit « de s'opposer à tout

moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce

que des données la concernant fassent l'objet d'un traitement, sauf en cas de disposition

contraire du droit national. En cas d'opposition justifiée, le traitement mis en oeuvre par le

responsable du traitement ne peut plus porter sur ces données ». Ce droit que contenait déjà la

loi française de 1978, n’est pas prévu par la Convention du Conseil de l’Europe, la directive

apporte alors un progrès pour la protection des personnes. En effet, le droit d’opposition

constitue un vrai rempart face aux traitements de données personnelles non désirés, peut être

le seul vrai rempart, empêchant la naissance même d’un traitement de données. Cependant, le

droit d’opposition n’est pas absolu, la directive laisse ainsi aux Etats la possibilité d’y déroger

en prévoyant des dispositions contraires. Par ailleurs, les termes de l’article 14 a) imposent

une obligation minimale aux Etats, celle de reconnaître un droit d’opposition au moins dans

les cas visés à l’article 7 points e) et f), soit lorsqu’il est nécessaire à l'exécution d'une mission

d'intérêt public ou relevant de l'exercice de l'autorité publique, soit lorsqu’il est nécessaire à la

réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers

auxquels les données sont communiquées.

L’article 14 b) de la directive concerne également le droit d’opposition à des traitements dont

le but serait la prospection. Il n’est pas précisé par les dispositions de la directive si cela

concerne la prospection commerciale ou tout type de prospection. Le droit d’opposition à des

traitements de données à des fins de prospection est plus facile à exercer dans la mesure où il

n’est plus nécessaire d’avancer des raisons prépondérantes et légitimes tenant à la situation

particulière de la personne. Deux hypothèses sont prévues par la directive : dans la première,

la personne dispose d’un droit de s'opposer, sur demande et gratuitement, au traitement des

données à caractère personnel la concernant envisagé par le responsable du traitement à des

fins de prospection. Dans la seconde, elle bénéficie du droit d'être informée avant que des

données à caractère personnel ne soient pour la première fois communiquées à des tiers ou

utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le

droit de s'opposer, gratuitement, à ladite communication ou utilisation. Cette dernière

disposition est plus que satisfaisante car elle permet à la personne de refuser un traitement des

données la concernant lorsqu’il serait effectué à des fins de prospection, alors qu’un premier

traitement est intervenu. Il semble clairement qu’une disposition de ce type aille dans le sens

77


d’une protection élevée des données personnelles, et permette d’éviter la multiplication des

traitements de prospection sans que la personne concernée n’ait son mot à dire.

Parmi les règles spéciales garanties par la directive 2002/58/CE dans le secteur des

communications électroniques, le droit d’opposition est également reconnu, mais son

énonciation claire n’est formulée que dans le considérant n°25.

Conformément à l’article 17 du règlement 45/2001, il est aussi possible de s’opposer à

un traitement de données personnelles effectué par une institution ou un organe

communautaire lorsque la personne concernée avance des raisons impérieuses et légitimes

tenant à sa situation particulière, ce qui correspond au droit d’opposition prévu par la directive

du 24 octobre 1995.

Paragraphe second. Des exceptions générales.

Les textes communautaires de protection des données personnelles prévoient des

exceptions et limitations aux droits des personnes concernées qui concernent généralement

l’intérêt général par le biais de traitements de souveraineté, ou afin de permettre l’exercice

d’autres droits, libertés ou activités. Cela dit, les différentes exceptions sont limitées eu égard

aux conditions strictes de leur mise en œuvre et aux domaines spécifiques où elles ont lieu de

s’appliquer.

A. Des exceptions liées aux traitements de souveraineté.

1) L’intérêt général.

a) Les limitations liées à l’intérêt général.

C’est l’article 13 de la directive « données personnelles » du 24 octobre 1995 qui

énonce les cas d’exceptions ou de limitations à certains droits ou obligations contenus dans la

directive. Pour ce qui est des droits de la personne concernée par le traitement de données,

sont visés les articles 10, 11 paragraphe 1 et 12. Ainsi, ce sont les droits d’être informé et

d’accéder aux données personnelles qui sont soumis à ces limites, le droit d’accès entraînant

avec lui le droit de rectifier, d’effacer, ou de verrouiller les données. Le droit de s’opposer à

ce que ses données fassent l’objet d’un traitement reconnu à l’article 14 de la directive n’est

pas visé.

L’article 13 de la directive pose ainsi une série de limitations possibles aux droits en cause

dont la plupart concerne directement l’intérêt général et la souveraineté nationale. Ainsi, les

78


Etats membres peuvent prendre des mesures législatives pour limiter les droits suscités

lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder la sûreté de

l'État, la défense, la sécurité publique, la prévention et la poursuite d’infractions pénales,

l’intérêt économique et financier d’un Etat membre ou de l’Union européenne. Ces types de

limitations sont classiquement retenus, et dans le cadre de l’intervention communautaire, ces

dispositions peuvent même sembler redondantes avec l’article 3 de la directive concernant

son champ d’application et qui précise que des traitements effectués dans ces domaines liés à

la souveraineté de l’Etat en sont exclus. La convention 108 prévoit le même type de

restrictions en son article 9 dont le a) permet de déroger à certains droits et obligations pour

des motifs tenant à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts

monétaires de l'Etat ou à la répression des infractions pénales. Les préoccupations sont

largement comparables, et sont facilement admises par les Etats qui se réservent ainsi des

domaines de libertés dans les dispositions concernant la protection des données personnelles.

La loi française de 1978 contenait déjà des notions similaires, et sa version de 2004 ne déroge

pas à la règle.

Le domaine des communications électroniques connaît le même type d’exceptions par la

directive 2002/58/CE, puisque son article 15 intitulé « application de certaines dispositions de

la directive 95/46/CE » les reprend en se référant directement à l’article 13 paragraphe 1 de la

directive « données personnelles ». Par ailleurs, le droit communautaire permet les mêmes

exceptions et limitations pour les traitements effectués par les institutions ou organes

communautaires conformément à l’article 20 du règlement 45/2001.

b) Quant aux droits et libertés d’autrui et au domaine de la recherche scientifique et

des statistiques.

Parmi la liste de limitations possibles aux droits des personnes fichées, un cas ne concerne

pas directement l’Etat et la souveraineté nationale, il s’agit du cas prévu à l’article 13, 1. g),

qui permet à un Etat de limiter ces droits lorsque cela est nécessaire pour sauvegarder « la

protection de la personne concernée ou des droits et libertés d’autrui ». Une lecture de

l’exposé des motifs de la directive telle que modifiée en 1992 nous indique que ces droits

comprennent les secrets d’affaires de tiers, les règles du secret professionnel auxquelles sont

soumis les professions juridiques et médicales notamment, et plus généralement la protection

des droits de l’homme168. Le considérant 42 de la directive nous éclaire encore sur le sens à

donner à cette disposition en donnant un exemple de limitation possible qui serait de préciser

168 COM (92) 422 final – SYN 287, p. 26. Voir aussi Fatima El Atmani, Op. Cit. p.159.

79


que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un

professionnel de la santé. La convention du Conseil de l’Europe contient une disposition

similaire à son article 9, 2. b).

Les organes et institutions communautaires peuvent ici aussi prévoir une telle exception

comme le prévoit l’article 20 du règlement communautaire n°45/2001.

Le second paragraphe de l’article 13 de la directive 95/46/CE prévoit une possibilité

d’exception au seul droit d’accès et de rectification dont bénéficie la personne concernée pour

les traitements effectués aux fins de la recherche scientifique ou d’établissement de

statistiques. Une disposition semblable est prévue dans le cadre du Conseil de l’Europe, où la

convention n°108 dispose en son article 9, 3 que « des restrictions à l'exercice des droits visés

[…] peuvent être prévues par la loi pour les fichiers automatisés de données à caractère

personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu'il n'existe

manifestement pas de risques d'atteinte à la vie privée des personnes concernées ». Le droit

français quant à lui allait déjà en ce sens avant même l’adoption de la directive communautaire,

par le biais de la loi n°94-548 du 1er juillet 1994 relative au traitement de données nominatives

ayant pour fin la recherche dans le domaine de la santé et modifiant la loi de 1978169.

2) Des exceptions limitées ?

a) L’imposition de mesures législatives

Il est frappant que le législateur communautaire impose aux Etats membres

d’intervenir par des mesures législatives s’ils souhaitent prévoir des exceptions ou limitations

aux droits des personnes, ainsi qu’aux obligations des responsables. La directive 95/46/CE

énonce dans son article 13 que les États membres « peuvent prendre des mesures législatives

visant à limiter la portée des obligations et des droits […] ». David Martin relève alors qu’une

telle précision est notable puisque de façon générale les directives n’indiquent pas

l’instrument juridique à utiliser170. De plus, au-delà de la directive du 24 octobre 1995, la

directive n°2002/58/CE prévoit elle aussi que les Etats membres peuvent adopter des mesures

législatives visant à limiter la portée de droits et obligations qu’elle reconnaît. Comment

interpréter l’imposition de mesures législatives pour permettre aux Etats de prévoir des

exceptions et limitations aux droits de la personne concernée et aux obligations du

responsable quand on sait d’une part que les autres dispositions de la directive concernent

169 Loi n° 94-548 du 1er juillet 1994 modifiant la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés Journal officiel du 2 juillet 1994. 170 David Martin, Op. Cit. p.608.

80


plus généralement des dispositions nationales, et d’autre part que l’article 32 de la directive de

1995 invitent les Etats membres à mettre « en vigueur les dispositions législatives,

réglementaires et administratives nécessaires pour se conformer à la présente directive au plus

tard à l'issue d'une période de trois ans à compter de son adoption », sans se limiter ainsi à des

dispositions législatives. Deux interprétations pourront alors être données de ce traitement

particulier pour les dérogations et exceptions aux droits que nous avons étudiés : soit le

législateur communautaire a considéré que ces dérogations intéressant pour la plupart la

souveraineté de l’Etat, l’importance des domaines dont il s’agit nécessitait une intervention

parlementaire et des mesures de rang législatif, mais il nous semble que ce serait s’ingérer

dans les fonctionnements institutionnels de chaque Etat membre qui pour les domaines liés à

leur souveraineté, ne devrait pas se voir imposer de choix d’instruments juridiques. Soit, et

nous pencherons davantage pour cette hypothèse, la Communauté européenne a jugé que des

exceptions et limitations aux droits des personnes dont les données sont traitées ne devaient

pas être adoptées trop facilement notamment par voie réglementaire ou administrative, et le

choix de mesures législatives n’a d’autre but que de rendre plus délicate la mise en place de

telles exceptions, ou à tout le moins qu’elles puissent être prévues seulement dans les limites

du nécessaire, ce que confirment les conditions strictes établies par le droit communautaire

pour ces dispositions.

b) Des conditions strictes.

Pour que les exceptions et limitations étudiées puissent être mises en place, il faut,

selon les dispositions de la directive 95/46/CE, que la limitation constitue une « mesure

nécessaire » à la sauvegarde des intérêts évoqués : sûreté de l’Etat, défense, sécurité

publique… Comme le relevait un auteur avisé, la formulation rappelle étrangement celle

utilisée par la Convention européenne des droits de l’homme dans les clauses d’ordre public

que contiennent certains de ses articles171, et le même auteur de se demander « a quand une

disposition communautaire franchissant le dernier pas et autorisant une restriction prévue par

la loi et constituant une mesure qui, dans une société démocratique, est nécessaire à la

sauvegarde d’intérêts publics importants ? ». Le législateur communautaire a peut être

entendu cette interrogation, en tout état de cause, la directive 2002/58/CE est beaucoup plus

précise et permet une limitation lorsqu’elle « constitue une mesure nécessaire, appropriée et

proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale -

c’est-à-dire la sûreté de l’État - la défense et la sécurité publique, ou assurer la prévention, la

171 David Martin, Op. Cit. p.609.

81


recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du

système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la

directive 95/46/CE ». Les mesures législatives qu’un Etat pourrait prendre pour limiter

certains des droits accordés à la personne concernée ne doivent donc pas être prises à la légère

en tant que les conditions de leur adoption sont strictement établies par le droit

communautaire, ce qui va dans le sens d’une tendance à la non limitation des droits de la

personne (et des obligations du responsable du traitement) pour autant que cette non

limitation soit envisageable.

B. D’autres types de limites.

1) Face à la liberté d’expression.

L’article 9 de la directive 95/46/CE dispose que « Les États membres prévoient, pour

les traitements de données à caractère personnel effectués aux seules fins de journalisme ou

d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au

chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier

le droit à la vie privée avec les règles régissant la liberté d'expression ». Les droits de la

personne concernée peuvent donc s’en trouver affectés, mais ce type de disposition permettant

de concilier le droit des personnes à une protection de leurs données personnelles et la liberté

d’expression n’est pas nouveau et à titre d’exemple, la loi française relative à l’informatique,

aux fichiers et aux libertés contenaient déjà une disposition de ce type en son article 33. Une

telle limite posée par le droit communautaire ne doit donc pas être inquiétante, d’autant plus

qu’elle vise à permettre le meilleur exercice d’un autre droit fondamental, la liberté

d’expression, en particulier dans le domaine de la presse et dans le domaine artistique.

Cependant, alors que les possibilités de limitations par la loi française étaient limitées172, celle

de la directive paraissent plus large en s’appliquant par exemple à toutes les conditions de

licéité du traitement.

L’éclairage que nous apporte le considérant 37 de la directive va en ce sens

notamment en insistant sur le fait que le traitement de données à caractère personnel à des fins

de journalisme ou d'expression artistique ou littéraire, doit bénéficier de dérogations ou de

limitations de certaines dispositions de la présente directive dans la mesure où elles sont

nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté

d'expression, et notamment la liberté de recevoir ou de communiquer des informations, telle

172 Elles concernaient les flux transfrontalières de données et les données dites “sensibles”.

82


que garantie notamment à l'article 10 de la convention européenne des droits de l'homme.

Selon la directive, il incombe aux Etats de prévoir les dérogations et limitations nécessaires en

ce qui concerne les mesures générales relatives à la légalité du traitement des données. On

comprend que le domaine de la presse peut inquiéter les individus quant au respect de leur vie

privée, et ce davantage avec l’avènement de nouvelles technologies de l’information et des

communications. Il reviendra alors aux Etats, tout en permettant la liberté d’expression, de

garantir une protection satisfaisante des données personnelles.

2) Qu’en est-il des droits de la personne concernée par les systèmes d’information européens.

Les systèmes d’information de l’Union européenne ne prévoient que peu de droits

d’information, d’accès et de rectification des données personnelles aux personnes concernées.

Concernant les systèmes permettant un droit d’accès aux données traitées et par suite un droit

de rectification, il faut noter que certains pays ne permettent qu’un droit d’accès indirect.

Certes le droit d’accès existe, et c’est une bonne chose, mais l’accès indirect implique que la

personne adresse sa demande de droit d'accès à l'autorité nationale de protection des données

de l'État auprès duquel elle forme sa demande. La vérification des informations enregistrées

dans le SIS est effectuée, par l'autorité de protection des données, de la même façon que pour

les fichiers de police qui intéressent la sûreté de l'État, la défense ou la sécurité publique. En

outre, les systèmes d’informations européens que sont le SIS, le SID, et Europol ne relevant

pas du droit communautaire, ils sont soumis à la recommandation R (87)15 du comité des

ministres du Conseil de l’Europe relative à la réglementation de l’utilisation des données à

caractère personnel dans le secteur de la police, recommandation non contraignante, et à la

Convention 108 du Conseil de l’Europe, à certains égards moins protectrice que la directive

communautaire.

Section 2. Les obligations imposées au responsable du traitement.

Face aux droits de la personne concernée, le responsable du traitement se voit imposer

bon nombre d’obligations auxquelles il devra se conformer pour effectuer un traitement licite

de données personnelles (Paragraphe 1er). Mais le droit communautaire de la protection des

données personnelles ne visent pas à imposer de trop lourdes formalités au responsable du

traitement et prévoit donc de nombreuses simplifications pour les obligations de notification

83


en particulier. La responsabilité et les sanctions encourues sont quant à elles laissées à la

discrétion des Etats membres dans une large mesure. (Paragraphe 2nd).

Paragraphe premier. Les principes relatifs à la licéité du traitement de


Le première partie du considérant 25 de la directive de 1995 énonce que « les

principes de la protection doivent trouver leur expression, […], dans les obligations mises à la

charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui

traitent des données, ces obligations concernant en particulier la qualité des données, la

sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le

traitement peut être effectué ». Pendant nécessaire à l’octroi de droits à la personne concernée

par le traitement, ces différentes obligations sont utiles pour une protection efficace des


A. Des obligations liées à la qualité des données.

1) Quant à la qualité des données.

L’article 6 de la directive 95/46/CE énonce différents principes relatifs à la qualité des

données qui devront être respectés par le responsable du traitement. Ces conditions relatives à

la qualité des données correspondent à l’article 5 de la Convention 108 du Conseil de

l’Europe, dont les rédacteurs du texte communautaire se sont ici encore inspirés. Le

paragraphe second de l’article 6 de la directive « données personnelles » nous indique que le

respect des principes posés aux premiers paragraphes de cet article incombe au responsable du

traitement, il s’agit donc d’obligations à sa charge. Concernant les principes relatifs à la

qualité des données, l’article 6 a) impose aux Etats de mettre en œuvre les dispositions

nécessaires pour que les données soient traitées loyalement et licitement. Il nous est aisé de

comprendre le sens du principe de licéité des données, celui-ci ayant logiquement sa place

dans un texte juridique. Ce qui est licite, littéralement ce qui est permis par la loi,

correspondra dans le cadre de la directive à ce qui est conforme aux principes de la protection

des données personnelles par la directive. Quant au principe de loyauté, il faut admettre qu’il

84


est bien plus flou173, et qu’il entraîne avec lui des considérations morales. L’appréciation

finale appartiendra ainsi au juge ou à l’autorité de contrôle174. Le b) de l’article 6 paragraphe

1er énonce que les données doivent être « collectées pour des finalités déterminées, explicites

et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces

finalités ». Le principe de finalité ainsi consacré, nous l’étudierons plus amplement par la

suite eu égard à son importance dans le dispositif de protection des données personnelles. Le

c) impose que les données soient adéquates, pertinentes et non excessives au regard des

finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées

ultérieurement. Cette disposition exigeante quant à la qualité des données est rédigée de la

même manière que l’article 5 c) de la Convention 108. Par ailleurs, en vertu de l’article 6, 1.

d), les données doivent être exactes, et si nécessaire mises à jour. On retrouve là une exigence

visant à l’authenticité, l’exactitude des données que l’on pourrait peut être rapprocher du

principe de loyauté qu’impose la directive. En tout état de cause, l’exactitude et la mise à jour

des données constitue une obligation de moyen pour le responsable du traitement, puisque la

directive poursuit en précisant que « toutes les mesures raisonnables doivent être prises pour

que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont

collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ».

Enfin, l’article 6 paragraphe 1er e) dispose que les données « doivent être conservées sous une

forme permettant l'identification des personnes concernées pendant une durée n'excédant pas

celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour

lesquelles elles sont traitées ultérieurement ». La directive est assez claire sur ces différentes

conditions, qui reprennent la rédaction de la Convention du Conseil de l’Europe sur la

protection des données personnelles. L’ancienne loi française « Informatique est libertés »

prévoyait que les données ne devaient pas être collectées par un moyen frauduleux, déloyal ou

illicite175. Désormais, et suite à la transposition de la directive du 24 octobre 1995, la

nouvelle loi « Informatique et libertés » contient un article 6 rédigé en des termes très proche

de l’article 6 de la directive, et reprend les mêmes principes relatifs à la qualité des données.

Notons que parmi les principes de la directive relatifs à la qualité des données, ceux disposant

que les données doivent être « adéquates, pertinentes et non excessives au regard des finalités

173 Jean Frayssinet, Droit de l’informatique et de l’Internet, Op. Cit. p. 126. 174 Après de nombreux avis de la CNIL tentant de définir cette notion, la Cour de cassation a pu considérer qu’est « déloyal le fait de recueillir à leur insu, des adresses électroniques personnelles des personnes physiques sur l’espace public d’Internet, ce procédé faisant obstacle à leur droit d’opposition ». Cass. Crim. 14 mars 2006, pourvoi 05-83423. 175 Ancien article 25 de la loi de 1978.

85


pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement » ont

été jugées d’effet direct par la CJCE dans son arrêt Rechnungshof du 12 juin 2003176.

2) La consécration du principe de finalité.

C’est le b) du premier paragraphe de l’article 6 de la directive de 1995 qui consacre

le plus clairement le principe de finalité en énonçant que les données doivent être collectées

pour des finalités déterminées et légitimes. Contenu également dans l’article 5 de la

Convention 108 du Conseil de l’Europe, le principe de finalité n’avait pas été prévu en des

termes clairs par la loi française du 6 janvier 1978 pourtant novatrice et en avance à bien

d’autres égards. Pour autant, il n’était pas exclu des principes français de protection des

données personnelles, et la CNIL avait éclairci la portée du principe. Selon les termes de

Nathalie Mallet-Poujol, elle a effectué un réel travail de « débroussaillage » dans la

conception même de ce principe177. La transposition de la directive permet à la loi

française d’être plus claire sur la reconnaissance de ce principe de finalité du traitement.

Ainsi, le responsable du traitement se trouve obligé de respecter le principe d’une finalité

déterminée et explicite178. Un traitement de données qui n’aurait pas de finalité précise, ou

qui serait « mis en œuvre à toutes fins utiles »179 serait donc interdit ? Il nous semble qu’un

tel traitement ne serait pas autorisé par les principes communautaires de la protection des

données personnelles. Il s’agit de connaître à l’avance les limites dans lesquelles peut agir

le responsable du traitement de données personnelles, et en ce sens, le principe de finalité

s’apparente à l’exigence de prévisibilité de la loi imposée par la Cour européenne des droits

de l’homme dans sa jurisprudence relative à l’article 8 de la CEDH. On peut également

voir dans une telle exigence une idée de transparence lors d’un traitement de données

personnelles qui s’associe aisément avec le droit d’information des personnes concernées.

Le b) de l’article 6 paragraphe 1 de la directive impose également que la finalité soit

légitime, ce qui a conduit certains auteurs à y voir une référence indirecte à l’article 8 § 2

de la CEDH180 et à interpréter cette exigence supplémentaire avec la notion de « nécessaire

dans une société démocratique » propre au droit de la CEDH. Le respect du principe de

finalité implique ensuite que les données collectées ne puissent pas être traitées

ultérieurement de manière incompatible avec ces finalités. Comme le soulignait le

176 CJCE 12 juin 2003, Rechnungshof. 177 Nathalie Mallet-Poujol, « La réforme de la loi « informatique et libertés » », RFDAP, Op. Cit. p.59. 178 Article 6, 1. b) de la directive 95/46/CE. 179Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 180 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit.

86


professeur Frayssinet, cette précision illustre le fait que la directive raisonne « comme si la

finalité d’un traitement était un élément stable, un traitement correspondant à une

finalité »181. En conséquence, la finalité annoncée lors du premier traitement, soit au

moment de la collecte, devrait être respectée ultérieurement. On peut toutefois s’interroger

sur le fait de savoir si tout traitement ultérieur qui n’est pas strictement conforme à la

finalité annoncée au départ sera interdit, ou si des traitements ultérieurs n’entrant pas en

contradiction avec la finalité initialement annoncée seront possibles. Il est en tout cas

heureux que la directive prévoit qu’un traitement ultérieur à des fins historiques,

statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États

membres prévoient des garanties appropriées. L’intention n’est évidemment pas de freiner

toutes activités par des interdictions absolues, et les domaines visés peuvent donc, mais il

s’agit d’une possibilité seulement, bénéficier d’un régime dérogatoire. Le principe de

finalité a largement fait réagir la doctrine, et la directive démontre l’importance qu’elle lui

accorde en s’y référant à plusieurs reprises dans son texte. Une telle obligation à respecter

par le responsable du traitement nous semble efficace et satisfaisant pour la protection des

personnes à l’égard du traitement de données à caractère personnel et l’on ne peut que se

féliciter de l’inscription explicite d’un tel principe182, qui devra être prévu dans chacune

des législations des Etats membres de l’Union européenne.

B. Les principes relatifs au traitement de données personnelles

1) De strictes conditions pour la légitimation du traitement de données personnelles.

a) Les conditions posées par le droit communautaire.

Après avoir imposé différentes conditions précises relatives à la qualité des données traitées,

la directive 95/46/CE impose au responsable du traitement des conditions toute aussi précises

sur les modalités de légitimation des traitements. L’article 7 de la directive prévoit six cas

dans lesquels un traitement de données personnelles peut être effectué dont certains

constituent une réelle innovation, tout autant que l’inscription d’un article relatif à la

légitimation des traitements, que ni la Convention 108 du Conseil de l’Europe, ni la loi

française du 6 janvier 1978 ne contenait. Le premier cas dans lequel un traitement peur être

effectué est celui où la personne concernée a indubitablement donné son consentement. Cette

référence au consentement de la personne est une des grandes innovations de la directive et

181 Jean Frayssinet, in Droit de l’informatique et de l’Internet, Op. Cit. p.127. Notons que le même commentaire est fait concernant le principe de finalité tel que reconnu dans la loi française. 182 M-C Ponthoreau, « La directive n°95/46/CE du 24 octobre 1995, RFDA, Op. Cit. p.129.

87


l’un des traits caractéristiques de la protection des données personnelles offerte par le droit

communautaire. En effet, la Convention 108 n’allait pas jusqu’à reconnaître un tel principe et

la loi française non plus. Cette nouveauté doit être considérée comme un « principe fort »183

qui vise à garantir la protection la plus large de la personne dont les données seront traitées. Il

faudra entendre la notion de consentement au sens où l’entend le droit communautaire, soit au

sens qui lui est donné à l’article 2 h) dont nous avons déjà relevé l’audace. Ce principe posé, il

semble que le système de l’opt in soit préféré au système de l’opt out pour permettre un

traitement de données184. Ajoutons que la nécessité d’un consentement indubitable fera

certainement naître un large contentieux notamment face à des pratiques nouvelles telles que

le spamming ou d’autres pratiques plus traditionnelles telles que la prospection téléphonique.

Il reste que si le principe d’un consentement indubitable à tout traitement de données

personnelles est une grande innovation, la directive prévoit d’autres cas de légitimation des

traitements qui dérogent au principe du consentement. L’article 7 poursuit ainsi en permettant

un traitement de données lorsque « b) il est nécessaire à l'exécution d'un contrat auquel la

personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la

demande de celle-ci, ou c) il est nécessaire au respect d'une obligation légale à laquelle le

responsable du traitement est soumis ou, d) il est nécessaire à la sauvegarde de l'intérêt vital

de la personne concernée, ou e) il est nécessaire à l'exécution d'une mission d'intérêt public ou

relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le

tiers auquel les données sont communiquées ». Le b) se référant à un traitement nécessaire à

un contrat auquel la personne concernée est partie on peut y voir l’existence implicite d’un

consentement. Ces différentes hypothèses n’appellent que peu de commentaires, et

représentent en définitive les cas les plus fréquents de légitimation d’un traitement de

données. En outre, la Cour de justice des communautés européennes qui s’était vu interroger

par des juges autrichiens sur l’application directe de l’article 7 c) et e) a jugé que ces

dispositions étaient directement applicables et dès lors, un particulier pourra les invoquer

devant un juge national pour que soient écartées des règles de droit interne contraires à ces

dispositions185. Enfin, la directive 95/46/CE prévoit un dernier cas de légitimation d’un

183 Jean Frayssinet, Op. Cit. p130. 184 Les systèmes d’opt in consistent à demander à la personne de manifester clairement son accord pour un traitement de données personnelles, généralement en cochant une case d’acceptation qui est conforme à la nécessité d’obtenir le consentement de la personne ; les systèmes d’opt out consistent à présumer que la personne accepte le traitement de données personnelles la concernant, généralement en précochant une case d’agrément, et seul le décochage de la case lui permet de manifester son refus de voir ses données traitées. 185 CJCE, 20 mai 2003, Rechnungshof Österreichischer Rundfunk, affaires jointes C-465/00, C-138/01 et C-139/01.

88


traitement de données en son article 7 f) qui permet un traitement lorsque celui-ci est

« nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou

par le ou les tiers auxquels les données sont communiquées ». Et le législateur communautaire

de poursuivre en précisant que ce dernier cas ne vaut qu’à la condition que ne prévalent pas

l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une

protection au titre de l'article 1er paragraphe 1. Ce que prévoit le f) de l’article 7, c’est donc

une balance des intérêts en présence avec l’objet même de la directive, ce qui permet de

penser que cette condition sera la condition essentielle d’application de l’article 7186.

b) Le principe de l’interdiction du traitement de données sensibles et ses dérogations.

L’article 8 de la directive 95/46/CE relative à la protection des données personnelles

pose un principe clair en son paragraphe premier : L’interdiction de tout traitement portant

sur des catégories particulières de données, que l’on peut qualifier aussi de données sensibles

en référence au langage utilisé par la législation française. Est alors interdit tout traitement de

données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les

convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement

des données relatives à la santé et à la vie sexuelle. Une liste comparable est inscrite dans la

Convention 108 de Conseil de l’Europe à quelques approximations près187. La loi française

de 1978 contenait également une telle liste de données sensibles, et la version intervenue en

transposition de la directive du 24 octobre 1995 la complète en interdisant les traitements de

données relatives à la santé, ce qui n’était pas prévu à l’origine.

Nonobstant la mise en place d’un principe d’interdiction des traitements de données sensibles,

trait marquant des principes du droit communautaire concernant la protection des données

personnelles, la directive prévoit par la suite toute une série d’exceptions à cette interdiction

qui illustrent la souplesse du texte communautaire. En premier lieu, lorsque la personne

concernée donne son consentement à un traitement de données sensibles, celui-ci peut être

autorisé. Mais fort heureusement, la directive prévoit une barrière à cette dérogation lorsque la

loi nationale prévoit que le consentement ne permet pas de lever l’interdiction, puisque les

effets du consentement ne doivent pas être absolus188. Ensuite, un traitement de données

sensibles peut être effectué lorsqu’il est nécessaire pour « respecter les obligations et les droits

186 David Martin, Op. Cit., p.607. 187 Selon l’article 6 de la Convention 108, sont interdits les traitements révélant « l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuel ». On remarque l’absence des traitements de données révélant l’appartenance syndicale. 188 On comprend les dérives qui pourraient avoir lieu dans le cas contraire notamment concernant des données génétiques.

89


spécifiques du responsable du traitement en matière de droit du travail ». Mais là encore la

directive apporte un tempérament à cette dérogation, et ne la permet que lorsqu’un tel

traitement est autorisé par une législation nationale qui prévoit des garanties adéquates.

Notons que la loi française relative à l’informatique, aux fichiers, et aux libertés ne reprend

pas ce cas, celui-ci ne correspondant à aucune réalité en France, « contrairement à d’autres

pays où par exemple la législation nationale peut prévoir le prélèvement à la source par

l’employeur des cotisations syndicales ou des contributions fiscales aux églises »189. Sont

aussi exclus de l’interdiction de traitement, ceux qui sont nécessaires à la défense des intérêts

vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée

se trouve dans l'incapacité physique ou juridique de donner son consentement. De même, est

prévue une possibilité de déroger à l’interdiction pour la réalisation par une association à but

non lucratif de ses activités légitimes, à condition que seuls les membres de l’association

soient concernés. La levée de l’interdiction concerne enfin les traitements de données

manifestement rendues publiques par la personne concernée ou qui sont nécessaires à la

constatation, à l'exercice ou à la défense d'un droit en justice.

Le paragraphe 3 de l’article 8 de la directive dispose que l’interdiction ne s’applique pas

lorsque le traitement des données est nécessaire aux fins de la médecine préventive, ou

d’autres aspects liées à la gestion médicale, et que le traitement des données est effectué par

une personne travaillant dans le domaine de la santé soumise au secret professionnel. Les

paragraphes 4 et 5 quant à eux prévoient la même levée de l’interdiction pour un motif

d’intérêt public important, ou pour ce qu’il convient d’appeler les données « judiciaires »190.

Lorsqu’un Etat estime nécessaire de mettre en œuvre des dérogations du type de celles

prévues aux paragraphes 4 et 5, les Etats doivent en faire notification à la Commission, et

l’obligation imposée au responsable du traitement est plus forte, en ce que ces données sont

traitées sous contrôle de l’autorité publique. Enfin, une dérogation est prévue pour les

traitements d’identifiants nationaux, ce que prévoyait déjà la loi française de 1978. On peut

toutefois espérer que cette dernière dérogation sera interprétée avec précaution par les Etats

membres, et en tout état de cause les conditions de légitimation des traitements resteront

toujours à respecter par les responsables de traitements.

189 Marie-Laure Laffaire, Protection des données à caractère personnel, Op. Cit. p.130. 190 Il s’agit du traitement de données traitement de données relatives « aux infractions, aux condamnations pénales ou aux mesures de sûreté ».

90


2) Des obligations de transparence et de sécurité pour une meilleure protection de la personne

concernée.

a) Une obligation d’information.

Une protection efficace des personnes dont les données font l’objet d’un traitement

passe forcément par la mise en place d’une obligation d’information de la personne

concernée. Cette obligation est nécessaire pour assurer le droit d’information de la personne,

et constitue un des droits classiquement prévus en matière de protection des données

personnelles. Quel a pu alors être l’apport du droit communautaire pour un droit qui était

traditionnellement reconnu aux personnes concernées par un traitement de leurs données

personnelles ?

La directive a le mérite d’imposer, par le biais de son article 10, la mise en place de telles

obligations à tous les Etats membres de l’Union européenne, soit quinze Etats lors de

l’adoption du texte, vingt-cinq aujourd’hui, et vingt-sept très prochainement, ce qui permettra

aux personnes de voir leur droit d’information lors de la collecte de données personnelles être

respecté sur tout le territoire communautaire. En outre, et c’est là un des apports principaux de

la directive du 24 octobre 1995 concernant l’obligation d’informer les personnes concernées,

cette obligation est étendue à l’hypothèse où les données sont collectées auprès d’un tiers par

l’article 11 de la directive.

Mais la directive ne se limite pas à la seule extension de l’obligation d’information au

cas de collecte auprès d’un tiers, elle est également beaucoup plus protectrice quant aux types

d’informations qui doivent être fournis aux personnes concernées191.

Ainsi, selon l’article 10 de la directive, lorsque les données sont collectées auprès de la

personne concernée, et dans le cas où cette personne n’est pas déjà informée, elle doit être

informée de l’identité du responsable du traitement ou de son représentant, des finalités du

traitement, et de toute information supplémentaire telle que les destinataires ou catégories de

destinataires des données, le fait de savoir si la réponse aux questions est obligatoire ou non

ainsi que les conséquences d’une absence de réponse, et enfin de l’existence d’un droit

d’accès et de rectification des données192. Concernant ces informations supplémentaires,

l’article 10 précise toutefois que ces informations doivent être fournies « dans la mesure où,

compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces 191 Cf. David Martin, Op. Cit.p.608. 192 La loi française relative l’informatique, aux fichiers et aux libertés du 6 janvier 1978 connaissait déjà cette obligation d’informer la personne du caractère obligatoire ou facultatif des réponses, des conséquences à leur égard d’un défaut de réponse, des personnes destinataires des informations et de l’existence d’un droit d’accès et de rectification. (Article 27). L’article 32 de la loi dans sa nouvelles version est conforme aux article 10 et 11 de la directive 95/46 CE.

91


informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée

un traitement loyal des données ». Ainsi, tout dépend de l’interprétation qui est faite de cette

dernière précision lors de la transposition de la directive.

L’article 11 lui, prévoit que dans le cas où les données ne sont pas collectées auprès de la

personne concernée, elle doit être informée, sauf si elle a déjà été informée, de l’identité du

responsable ou de son représentant, des finalités du traitement, ces types d’information étant

les mêmes que lorsque c’est l’article 10 de la directive qui est applicable, et ensuite, doivent

être communiqués toute information supplémentaire telle que les catégories de données

concernées, les destinataires ou catégories de destinataires des données, et l’existence d’un

droit d’accès et de rectification, le fait de savoir si la réponse aux questions est obligatoire

étant alors remplacé par une information sur les catégories de données concernées. L’article

11 prévoit lui aussi une précision concernant ces informations supplémentaires rédigée dans

les mêmes termes et appelant les mêmes commentaires.

b) Une obligation de confidentialité et de sécurité.

L’obligation de confidentialité inscrite dans la directive 95/46/CE est novatrice et a

pour originalité de s’adresser à toute la chaîne des personnes susceptibles d’intervenir à un

traitement de données personnelles. Est ainsi prévu par l’article 16 de la directive que toute

personne « agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi

que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les

traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales ».

Cette disposition permettra en outre d’établir la responsabilité en cas de violation des

principes de protection des données personnelles, et s’accorde avec les droits de la personne

concernée. Un principe équivalent est inscrit dans la Convention 108.

En outre, une obligation de sécurité est imposée par l’article 17 de la directive. Il s’agit

cette fois, en plus des obligations d’information, transparence et de confidentialité, de mettre

en œuvre les mesures techniques et d’organisation appropriées pour protéger la personne

concernée. La croissance et la bonne santé des entreprises établissant des logiciels et systèmes

de sécurité reflètent la montée en puissance de la protection des données personnelles193.

L’obligation qui incombe au responsable du traitement est une obligation de moyen, comme

nous l’indique la rédaction de l’article et le fait que le responsable doive tenir compte de

« l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard

des risques présentés par le traitement et de la nature des données à protéger ». En tout état de

193 Voir notamment Louise Cadoux, « Solutions techniques de protection de la vie privée », pp.42-53, in « La protection de la vie privée dans la société de l’information », dir. P. Tabatoni, Op. Cit. .

92


cause, le droit communautaire lui prescrit de tout mettre en œuvre pour garantir que les

données soient protégées d’une destruction accidentelle ou illicite, de la perte accidentelle,

l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte

des transmissions de données dans un réseau. On pense notamment à des systèmes de

cryptage194. Si la loi française de 1978 contenait une obligation similaire, c’est la doctrine de

la CNIL qui a développé sa portée dans un sens proche de celui donné par le droit

communautaire195. Enfin, quand bien même la convention 108 du Conseil de l’Europe

prévoyait aussi une disposition relative à la sécurité des données196, elle n’était pas aussi

précise que la directive, et la portée de l’obligation posée par le droit communautaire est plus

large étant donné que les traitements effectués par un sous-traitant sont aussi réglementés.

Paragraphe second. Entre simplifications des obligations de déclaration et

mise en cause de la responsabilité.

Un des domaines où le législateur communautaire laisse le plus de libertés aux

autorités nationales est certainement celui de la mise en cause de la responsabilité, et des

sanctions encourues. Par ailleurs, la directive paraît adaptée aux réalités actuelles en

prévoyant des simplifications possibles de l’obligation de notification, et en intégrant des

solutions très inspirées de l’autorégulation comme le correspondant à la protection des

données.

A. Un régime de déclaration simplifié.

1) L’obligation de notification des traitements de données personnelles.

a) Le principe d’une notification obligatoire.

Alors que la Convention 108 du Conseil de l’Europe était muette sur l’existence d’une

obligation de notification des traitements de données personnelles, l’article 18 de la directive

communautaire du 24 octobre 1995 dispose que « les États membres prévoient que le

responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à

l'autorité de contrôle visée à l'article 28 préalablement à la mise en œuvre d'un traitement

194 Voir notamment Mireille Campana, « La cryptographie », pp.54-62, in « La protection de la vie privée dans la société de l’information », dir. P. Tabatoni, Op. Cit. . 195 Jean Frayssinet, Droit de l’informatique et de l’Internet, Op. Cit., p.162. 196 Article 7 de la Convention 108.

93


entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même

finalité ou des finalités liées ». Le principe est donc que le responsable du traitement est

soumis à une obligation de notification des traitements qu’il met en œuvre. La loi française du

6 janvier 1978 prévoyait un tel système mais de manière plus restreinte que la directive

95/46/CE. En effet, alors que l’on doit souligner l’avancée de la directive qui ne distingue pas

selon que le traitement de données est effectué dans le secteur public ou dans le secteur privé,

l’ancienne loi française était bien plus stricte à l’égard du secteur public pour lequel elle

imposait pour ainsi dire un régime d’autorisation, que pour le secteur privé, une simple

déclaration auprès de la CNIL était suffisante. La loi française modifiée le 6 août 2004 prend

acte de cette avancée et supprime cette distinction de régime qui n’avait d’ailleurs plus de

fondement197. Seuls les traitements automatisés ou partiellement automatisés sont visés, et

notons que le principe de finalité a son importance ici aussi puisque des traitements ayant une

finalité proche doivent être notifiés.

Toujours dans un but de transparence et de protection élevée des personnes dont les

données personnelles sont traitées, l’article 19 de la directive est très précis quant au contenu

de la notification. En prévoyant un minimum de six catégories d’informations que les Etats

membres devront imposer aux responsables du traitement lors de la notification, le texte

communautaire vise à permettre d’apprécier si le traitement est légitime ou non. Ainsi,

l’article 19 de la directive impose au responsable du traitement d’indiquer, lors de la

notification, ses coordonnées ou celles de son représentant, les finalités du traitement dont

l’indication sera d’une grande utilité si un contentieux venait à apparaître, une description des

personnes ou catégories de personnes concernées ainsi que les données s’y rapportant.

Ensuite, le e) de l’article 19 impose que soit mentionné dans la notification si un transfert de

données est envisagé à destination d’un pays tiers, soit d’un pays non membres de l’Union

européenne, et où la protection des données pourrait ne pas être satisfaisante. Le f) impose

que la notification contienne une description générale permettant d'apprécier de façon

préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en

application de l'article 17. Cette disposition est très satisfaisante pour que l’obligation de

sécurité des traitements précédemment évoquée ne reste pas lettre morte et puisse le cas

échant être contrôlée. Enfin, dans un souci de mise à jour, de cohérence, et de protection

effective, le paragraphe 2 de l’article 19 dispose que les Etats doivent prévoir une disposition

197 Il est vrai qu’en 1978, ce sont surtout les fichiers des administrations qui faisaient craindre aux individus des atteintes à leur vie privée. Désormais, les inquiétudes concernent autant, si ce n’est plus, les entreprises privées.

94


qui précise au responsable du traitement les modalités de notification à l'autorité de contrôle

des changements affectant les informations visées au paragraphe 1er.

b) Les simplifications et dérogations permises.

La lecture de l’article 18 de la directive « données personnelles » nous permet de dire que les

dérogations et simplifications à l’obligation de notification sont larges. Néanmoins, de telles

atténuations de l’obligation posée au paragraphe 1er ne doivent pas être inquiétantes d’une

part car la directive ne laisse qu’une possibilité de déroger à l’obligation, dont il reviendra à

chaque Etat de préciser les conditions dans son droit national. Et d’autre part car les

simplifications et dérogations ne signifient pas qu’aucun contrôle ne sera effectué, mais

reflètent plutôt l’intention du droit communautaire d’être plus pragmatique, d’éviter la

lourdeur administrative et procédurale pour chaque traitement de données, tout en conservant

certaines garanties de la protection et en mettant en place un contrôle a posteriori plus

fréquent que le contrôle a priori. Il nous semble que ce faisant, est évité le risque d’une

protection trop illusoire qui serait inadaptée aux progrès technologiques et hors de la réalité

tant dans la pratique des conditions de notification préalable trop contraignantes ont pu

conduire à ce que certains traitements ne soient pas déclarés du tout. Les considérants 51 et 52

nous indiquent clairement le souci de garantir une protection suffisante malgré les

simplifications et exonérations, en soulignant que leur bénéfice « ne dispense le responsable

du traitement de données d'aucune des autres obligations découlant de la présente

directive »198 et qu’en tout état de cause, « le contrôle a posteriori par les autorités

compétentes doit être en général considéré comme une mesure suffisante »199. Quelles sont

alors ces possibilités de simplifications et d’exonérations de l’obligation de notification

qu’offre le droit communautaire ?

Il est tout d’abord possible de prévoir une notification simplifiée pour les traitements qui

ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

Le responsable du traitement sera alors soumis à une obligation de notification simplifiée

ne contenant que des informations sur les finalités des traitements, les données ou

catégories de données traitées, la ou les catégories de personnes concernées, les

destinataires ou catégories de destinataires auxquels les données sont communiquées et la

durée de conservation des données, ou pourra même être dispensé de notification. La CNIL

s’est exprimée en faveur de ce système afin de ne pas empêcher toute efficacité de son

198 Considérant 51 de la directive 95/46/CE. 199 Considérant 52 de la directive.

95


action et du dispositif de protection des données personnelles plus généralement200. Notons

que la CNIL, comme nombre de commissions qui existaient dans d’autres pays européens,

avait mis en place un système de normes simplifiées qui même s’il allait moins loin, visait

les mêmes buts201. Ensuite, d’autres cas de simplification et dérogation à l’obligation de

notification sont prévus par la directive. Les Etats peuvent ainsi prévoir que l’obligation ne

s’applique pas aux registres destinés à l'information du public et ouverts à la consultation

du public ou de toute personne justifiant d'un intérêt légitime selon l’article 18 paragraphe

3 de la directive, à la condition que ce but soit le seul. Les traitements de données effectués

par une fondation, une association ou tout autre organisme à but non lucratif et à finalité

politique, philosophique, religieuse ou syndicale, qui se rapporte à ses membres ou aux

personnes qui entretiennent avec lui des contacts réguliers peuvent aussi bénéficier du

même type de facilités. Enfin, les Etats peuvent prévoir d’aller plus loin pour les

traitements non automatisés, mais en même temps prévoir des simplifications pour leur

notification. On le comprend, la tentative de simplification de la part de la Communauté

européenne est louable, mais l’ampleur des choix qui sont laissés aux Etats semble peu

conforme à un souci d’harmonisation202. La protection serait-elle du même niveau dans

deux Etats ayant fait des choix diamétralement opposés quant à l’obligation de

notification ? Pour le droit communautaire, le respect des autres principes de la directive et

l’existence d’un contrôle a posteriori font barrière contre une possibilité d’abaissement du

niveau de protection.

2) Une innovation importante portant la marque de l’autorégulation : le détaché à la

protection des données.

Inspiré par le droit allemand de la protection des données personnelles203, le

législateur communautaire permet aux Etats qui le souhaitent de prévoir la possibilité de mise

en place d’un détaché à la protection des données personnelles, qui entre clairement dans une

optique de diminution du formalisme trop lourd dont faisait preuve certaines législations

nationales au premier rang desquelles on peut placer la loi française, et s’inscrit sans conteste

dans une logique d’acceptation grandissante de principes d’autorégulation et permet par la

200 CNIL, 18ème rapport d’activité, 1997, La documentation française, p.38. 201 Nathalie Mallet-Poujol, La réforme de la loi « Informatique et liberté », Op. Cit, p.60. 202 Cf. le Rapport de la Commission européenne - Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/ 0265 final */ 203 L’expérience allemande du Datenschutzbeauftragter a été très concluante.

96


même occasion de répandre la connaissance des principes relatifs à la protection des données

personnelles de manière plus efficace, en se faisant à l’intérieur même d’une entreprise.

Selon l’article 18 de la directive du 24 octobre 1995, la mise en place d’un détaché à la

protection des données personnelles, ou d’un correspondant chargé de la protection des

données personnelles, constitue une des hypothèses où peut être prévue une limitation ou une

dérogation à l’obligation de notification qui incombe au responsable du traitement. Le droit

communautaire ne se contente pas de prévoir la possibilité de mettre en place un tel détaché,

mais prévoit aussi certaines de ses attributions et des garanties auxquelles il doit satisfaire.

Ainsi, pour ce qui est de ses attributions, la directive précise que le détaché doit assurer

l’application interne des dispositions nationales de la directive. Cela revient à prévoir

l’existence, au sein d’une entreprise, d’une personne chargée de la protection des données

personnelles. De plus, le détaché à la protection des données est chargé de tenir un registre

des traitements de données effectués par le responsable, avec la précision de certaines

informations204 : les coordonnées du responsable du traitement, les finalités poursuivies, une

description des données ou catégories de personnes concernées et des données les concernant,

les destinataires auxquels les données sont susceptibles d’être communiquées, ainsi que les

transferts de données envisagés vers des pays tiers. Ensuite, pour ce qui est des garanties du

détaché, la directive impose que le détaché fasse preuve d’indépendance dans ses missions.

Les dispositions de la directive n’empêchent pas le droit national de prévoir d’autres

exigences comme nous l’indique l’emploi de l’adverbe « notamment » dans la phrase «un

détaché à la protection des données à caractère personnel chargé notamment […] ».

Prévue ni par la convention 108 du conseil de l’Europe, ni par la loi française

« informatique et libertés », cette innovation d’origine allemande a déjà fait bonne impression

en France. Qu’en est-il de la mise en place de ce détaché en France, qui sera qualifié de

« correspondant informatique et libertés » selon la terminologie du droit national ? Après la

transposition de la directive 95/46/CE en droit français par la loi du 6 août 2004 modifiant la

loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il était nécessaire

que des mesures réglementaires d’application soient prises, notamment concernant la mise en

place d’un détaché à la protection des données personnelles. C’est chose faite avec l’adoption

du décret n°2005-1309 du 20 octobre 2005205. Parmi les règles d’application les plus

attendues, celles relatives au correspondant à la protection des données avaient une place de

204 L’article 18 renvoi aux informations prévues l’article 21 2) qui lui-même renvoie aux informations énumérées à l'article 19 paragraphe 1 points a) à e). 205 Décret n°2005-1309, 20 octobre 2005, JO 22 octobre 2005, p. 16769.

97


choix206. Ce nouveau personnage que la CNIL qualifie d’ « incontournable dans le paysage de

la protection des données à caractère personnel »207 a vu sont statut être précisé. Il doit

disposer de la liberté d’action et de l’autorité indispensables pour recommander des solutions

à l’abri des conflits d’intérêt, conformément à l’exigence d’indépendance posée par le droit

communautaire. Face à l’inquiétude de certains parlementaires français, le Conseil

constitutionnel saisi de la loi du 6 août 2004 a validé l’institution du correspondant à la

protection des données en estimant qu’il était entouré d’un ensemble de précautions relatives

à son indépendance, son rôle et ses qualifications208. Le correspondant doit avoir des

connaissances juridiques relatives à la protection des données à caractère personnel, à

l’informatique, sans oublier le domaine d’activité propre du responsable des traitements.

Enfin, il peut aussi bien être choisi au sein de l’organisme qu’à l’extérieur, et l’on conviendra

avec certains observateurs qu’un correspondant extérieur à l’organisme s’il était indépendant

juridiquement, le serait beaucoup moins économiquement209. Le sénateur Alex Türk,

président de la CNIL, expliquait que « le système des correspondants permettra de voir

remonter vers la CNIL des dossiers qui ne sont pas connus aujourd’hui »210. La CNIL indique

qu’au 22 mars 2006, 170 organismes ont désigné un correspondant, le nombre de

correspondants s’élevant à 79211. Quelques mois seulement après le décret d’application de la

nouvelle loi informatique et libertés, on peut donc parler de succès. L’avenir et la pratique

nous répondront sur la question de son efficacité.

B. Une large marge d’appréciation laissée aux Etats quant à la responsabilité et aux

sanctions à mettre en œuvre.

1) L’engagement de responsabilité du responsable du traitement

a) Les différents recours comme préalable à l’engagement de responsabilité.

A partir du moment où la personne concernée par le traitement de données doit

bénéficier d’un droit de recours, et plus largement à partir du moment où le droit

communautaire lui confère des droits, il faut que les Etats mettent en place des recours

206 Jean Frayssinet, « Le décret n°2005-1309 pris pour l’application de la loi modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés »,RLDI, décembre 2005, n°11 p. 24 et s. 207 CNIL, 26 ème rapport d’activité, 2006, p.27. 208 Conseil Constitutionnel, décision n°2004-499 DC du 29 juillet 2004. 209 Gilles Vercken, Gwendoline Van Ossl et Céline Serpagli, « Le « correspondant à la protection des données » : une création inachevée ? », RLDI, octobre 2005, n°9, p.58 et s. 210 Alex Türk, débats devant l’Assemblée Nationale, avril 2004, cité par Marie-Laure Laffaire, La protection des données à caractère personnelle, p.195. 211 Site internet de la CNIL, www.cnil.fr, rubrique « approfondir », « dossiers », « correspondant ».

98

http://www.cnil.fr/


juridictionnels pour qu’elle puisse faire valoir ses droits. En effet, la directive prévoit qu’en

cas de non-respect des droits des personnes concernées par le responsable du traitement de

données, un recours juridictionnel doit être prévu par les législations nationales. Il ne s’agit

pas ici d’étudier le droit au juge212, mais plutôt de s’intéresser à l’engagement de

responsabilité du responsable du traitement. L’article 23 de la directive 95/46/CE prévoit que

toute personne dont les droits sont violés « a le droit d'obtenir du responsable du traitement

réparation du préjudice subi ». Il s’agit alors mutatis mutandis d’une obligation de réparation

des dommages causés lors d’un traitement de données qui est à la charge du responsable du

traitement. La directive 2002/58/CE applicable spécifiquement à la protection de la vie privée

dans le secteur des communications électroniques contient des dispositions strictement

analogues puisqu’elle se contente de renvoyer aux dispositions de la directive 95/46/CE213.

b) Les causes d’exonération de la responsabilité.

Selon l’article 23.2, « Le responsable du traitement peut être exonéré partiellement ou

totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est

pas imputable ». Cette disposition pour le moins laconique peut être éclaircie par le

considérant 55 de la directive qui nous indique que le responsable du traitement peut être

exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable,

notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de

force majeure. Or, si l’on comprend l’exonération de responsabilité lorsque la personne

concernée commet une faute, on peut valablement s’interroger sur le type de fautes pouvant

être exonératoire de la responsabilité. De même, il faut s’interroger sur ce que serait un cas

de force majeure empêchant de respecter les principes de protection des données à caractère

personnel. La directive est muette sur ce point contrairement à la proposition modifiée de

directive du 16 octobre 1992 qui précisait qu’une exonération de responsabilité pour cause de

force majeure pouvait être établie s’il l’on prouvait que des mesures de sécurité appropriées

avaient été prises pour couvrir les dommages résultant d’une perte ou d’une destruction de

données ou d’un accès non autorisé. Là encore le domaine des communications connaît les

mêmes causes d’exonération conformément à la directive 2002/58/CE qui applique les

dispositions correspondantes de la directive 95/46/CE.

212 Même si l’objectif est le même que celui énoncé dans l’arrêt Johnston qui consacre le droit au juge en énonçant que « chaque personne a droit à un recours effectif devant une juridiction compétente ». CJCE, 15 mai 1986, Johnston, Aff. 222/84, Rec. P.1651. Pt 18. 213 Article 15.2 de la directive 2002/58/CE.

99


2) Des sanctions laissées à la discrétion des Etats membres.

a) Une large marge de manœuvre laissée aux Etats.

L’article 24 de la directive « données personnelles » du 24 octobre 1995 pose le

principe de sanctions en cas de violation des règles relatives à la protection des données

personnelles. Encore une fois, la directive laisse de larges choix aux Etats membres en

disposant simplement que « les États membres prennent les mesures appropriées pour assurer

la pleine application des dispositions de la présente directive et déterminent notamment les

sanctions à appliquer en cas de violation des dispositions prises en application de la présente

directive ». L’article 15.2 de la directive 2002/58/CE prévoit l’application de ces principes au

secteur des communications électroniques. Nul doute que les sanctions ne seront pas les

mêmes en fonctions des Etats membres et de leurs traditions juridiques différentes, le

législateur national ayant le choix entre des sanctions pécuniaires, pénales, administratives…

Quoiqu’il en soit, le même principe est posé dans la Convention 108 du Conseil de l’Europe

dont l’article 10 dispose que « chaque Partie s'engage à établir des sanctions et recours

appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de

base pour la protection des données énoncés dans le présent chapitre ».

b) Le risque de créer ces paradis de données que l’on craignait tant.

Et si la grande marge de manœuvre laissée aux Etats membres de la Communauté

européenne quant à la responsabilité et les sanctions encourues aboutissait à créer de telles

divergences entre les législations des Etats membres, qu’il serait plus intéressant pour un

responsable de traitement d’être soumis à la loi de protection des données personnelles d’un

Etat plutôt que d’un autre ? Et si les craintes de voir apparaître des « paradis de données »

comme il existe des paradis fiscaux ne venait pas des règles de licéité et de légitimation des

traitements, mais plutôt des différences dans les règles liées aux responsabilités et aux

sanctions encourues ? La directive ne nous donne pas de réponse rassurante sur ces questions,

mais l’on peut espérer que l’obligation de coopération loyale qu’ont les Etats membres en

vertu de l’article 10 du traité instituant la Communauté européenne restreigne les risques de

divergences, ou encore que les contrôles qui seront effectués par les autorités nationales ainsi

que par les autorités communautaires visent à réduire de telles disparités qui d’une part ne

sont que potentielles, et d’autre part n’auront pas forcément les conséquences évoquées.

100


Chapitre II. Des dispositions garantissant l’effectivité de la protection

des données personnelles.

Le droit communautaire a saisi une des nécessités essentielles pour une protection des

données à caractère personnel qui ne soit pas illusoire : instituer des autorités de contrôle qui

veilleront à la bonne application des principes en vigueur, et le cas échéant contrôleront les

traitements de données personnelles effectués. Le Communauté européenne impose alors aux

Etats membres de se doter d’autorités de contrôle indépendantes dont certains des pouvoirs et

des missions sont déterminés par le droit communautaire, et prévoit par ailleurs des autorités

au niveau communautaire pour le contrôle de l’application des principes de la protection des

données personnelles essentiellement contenus dans la directive 95/46/CE. (Section 1ère).

Réaliste, le droit communautaire prévoit également des dispositions lui permettant de

contrôler les flux transfrontalières de données personnelles au départ de la Communauté.

Mais le réalisme devrait conduire à percevoir au plus vite qu’à terme, seule une protection

internationale efficace des données personnelles pourra porter ses fruits. (Section 2ème).

Section 1. L’arsenal organique institué par la Communauté européenne

pour la protection des données personnelles.

Il convient de parler d’un véritable arsenal organique institué par la Communauté

européenne car celle-ci, en plus de prévoir que chaque Etat membre doit disposer d’une

autorité nationale de contrôle indépendante (Paragraphe 1er), met en place un groupe similaire

au niveau européen, le groupe de l’article 29, ainsi qu’un comité chargé d’assister la

Commission européenne, tout comme un contrôleur à la protection des données pour les

traitements effectués par les organes et institutions communautaires. Les systèmes

d’information européen crées hors du droit communautaire possèdent des autorités de

contrôle communes, mais dont le contrôle semble bien plus restreint. (Paragraphe 2nd).

101


Paragraphe premier. Les autorités nationales contrôlant la protection des


La nécessité de mettre en place des autorités de contrôle indépendantes au niveau

national est inspirée de l’expérience de la plupart des Etats qui disposaient d’une législation

dans le domaine de la protection des données personnelles. La directive 95/46/CE va jusqu’à

préciser certaines des missions qui leur sont confiées, ainsi que leurs pouvoirs, le tout pour

une bonne application des dispositions nationales prises en application du droit

communautaire.

A. La mise en place d’autorités nationales de contrôle.

1) Une spécificité européenne.

a) L’existence d’autorités de contrôle indépendantes pour la protection des données

personnelles.

La protection des données à caractère personnel par le droit communautaire présente la

particularité d’exiger des Etats membres qu’ils mettent en place une ou plusieurs autorités de

contrôle. Aucune obligation n’est imposée quant à la composition ou l’organisation de telles

autorités, et malgré le fait que la directive soit exigeante sur la mise en place d’autorités de

contrôle214, elle laisse une grande souplesse aux Etats quant à la composition et l’organisation

des ces autorités chargées de surveiller l’application des dispositions adoptées en application

de la directive sur le territoire de l’Etat membre dont elles relèvent. Une condition importante

ressort néanmoins de l’article 28 de la directive 95/46/CE qui prévoit que « ces autorités

exercent en toute indépendance les missions dont elles sont investies », condition que le

considérant 62 de la directive qualifie d’ « élément essentiel de la protection des personnes à

l'égard du traitement des données à caractère personnel ». En tout état de cause, il est difficile

dans la pratique de vérifier que ces autorités sont pleinement indépendantes. L’intérêt d’une

autorité exerçant ses missions en toute indépendance est évidemment que les intérêts de la

personne concernée pèsent autant dans la balance que ceux du responsable, personne privée

ou publique215, et ce d’autant plus en matière de protection des libertés, notamment ici du

droit à la vie privée. L’autorité de contrôle mise en place ne devra donc pas être soumise à

l’influence d’un pouvoir quelconque. Comme le souligne Yves Poullet, l’intervention

214 David Martin, Op. Cit.p.610. 215 H. Maisl, « Les autorités de contrôle et la défense de la vie privée », in Actes du colloque du 15 novembre 1996 : Privacy : new risks and opportunities, Bruxelles, Cahiers du CRID, n°13, 1997, p.79.

102


d’autorités de contrôle indépendantes dans la protection des données personnelles « distingue

fondamentalement l’option européenne de celles présente dans les autres instruments

internationaux de protection » 216. Il est évident que cette particularité constitue l’un des traits

marquants de la protection des données personnelles par le droit communautaire, et l’article 8

de la Charte des droits fondamentaux de l’Union européenne vient renforcer l’importance de

telles autorités en contenant, à son paragraphe 3, une disposition énonçant que le respect des

règles qu’elle contient relatives à la protection des données à caractère personnel est soumis

au contrôle d’une autorité indépendante.

b) Les autorités de contrôle dans les Etats membres.

Les premières lois nationales de protection des données personnelles avaient eu

l’initiative de mettre en place des autorités spécialisées dans le contrôle de la protection des

données personnelles. La loi du land de Hesse en Allemagne, première loi relative à la

protection des données personnelle en 1970 consacrait déjà l’existence d’une autorité de

protection des données. La loi suédoise de 1973 fit de même, ainsi que la loi française de

1978. D’autres pays suivirent, permettant de distinguer quelques modèles européens

d’autorités chargées de la protection des données.

Pour ce qui est de la CNIL en France, sa création dès 1978 est une innovation majeure

du droit français dans la mesure où elle a été la première autorité administrative indépendante.

Sa composition est de dix-sept membres qui sont élus par les assemblées ou les juridictions

auxquelles ils appartiennent. La Commission agit librement et élit son président parmi ses

membres. Elle ne reçoit d’instruction d’aucune autorité et les ministres, autorités publiques,

dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action pour quelque

motif que ce soit et doivent prendre des décisions utiles pour faciliter sa tâche. Enfin, le

président de la CNIL, pour le moment le sénateur Alex Türk, choisit librement ses

collaborateurs. On peut donc parler d’une autorité réellement indépendante, et la réputation de

la CNIL largement positive parmi les citoyens va logiquement en ce sens, lui accordant

beaucoup de crédit. Différents pays ont suivi le modèle français, notamment la Belgique avec

la Commission pour la protection de la vie privée, largement inspirée de la CNIL, ou encore

l’Espagne, avec la Agencia de Proteccion de Datos. La Comissào Nacional de Potecçào de

Dados – Informatizados, Commission portugaise de protection des données, est également

basée sur le même modèle. Il existe un second modèle d’autorité de protection des données

personnelles, initié par la loi britannique de 1984, modifié par le Data protection Act de 1998,

216 Y. Poullet, L’autorité de contrôle : « vues » de Bruxelles. RFDAP, n°89, janvier-mars 1999, pp. 69-81.

103


qui met en place une autorité composée d’un commissaire unique chargé de la protection des

données, le Data Protection Commissioner. Ce modèle a largement inspiré notamment le

modèle irlandais, qui crée une autorité similaire dès 1988. Enfin, le troisième modèle

européen que nous pouvons distinguer est le modèle issu de la législation allemande, où sont

cumulées d’une part une autorité fédérale de protection des données personnelles, la

Bundesbeauftragte für den Datenschutz, et d’autre part des autorités de protection des

données propres à chaque Land. La directive 95/46/CE prend note des différents cas de figure

pouvant se présenter dans les Etats membres de la Communauté européenne et prévoit qu'une

ou plusieurs autorités publiques de protection des données doivent être mises en place par les

Etats. La directive ne précisant pas la composition de telles autorités, toutes les configurations

pourront se présenter du moment que l’autorité est publique, et surtout qu’elle exerce ses

missions en toute indépendance.

2) Le rôle des autorités de contrôle.

a) Un rôle de contrôle et consultatif

Les autorités de contrôle prévues par le droit communautaire ont pour rôle de

surveiller la bonne application des règles de protection des données personnelles. En outre,

selon l’article 28 paragraphe 2, elles ont un rôle consultatif obligatoire pour les Etats

membres, lorsqu’ils élaborent des mesures réglementaires ou administratives relatives à la

protection des droits et libertés des personnes à l'égard du traitement de données

personnelles. Néanmoins, la directive n’impose aucunement aux Etats membres que les

autorités en cause émettent des avis conformes. Il appartient aux différents Etats de décider

de la nature et de la portée des avis qu’elles émettent. En dehors de ce rôle de surveillance,

elles disposent également d’un rôle tendant à alerter les individus ainsi que les autorités des

risques encourus. Certains ont pu parler d’un rôle tendant à « éveiller les consciences »217

tandis que d’autres ont qualifié ces autorités de « chien de garde »218. L’autorité est alors

assimilé à un organe qui « aboie face aux initiatives de l’Etat, s’informe, surveille, dénonce,

manie le bâton, joue de son influence, en appelle au public »219. Quelle que soit la formule

utilisée, on comprend l’utilité de ce genre d’autorités dans un domaine où les libertés

individuelles, au premier rang desquelles se trouve le droit à la vie privée, sont menacées par

l’utilisation de technologies toujours plus innovantes. La directive prévoit alors que l’autorité 217 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 218 D.H Flaherty, Protecting privacy in a surveillance society, Chapel Hill, N.C., 1989, p.281 et s; cité par Y. Poullet, in L’autorité de contrôle : « vues » de Bruxelles, Op. Cit. p.72. 219 Y. Poullet, in L’autorité de contrôle : « vues » de Bruxelles, Op. Cit. p.72.

104


de contrôle publie régulièrement un rapport sur son activité220. La CNIL était déjà conforme

à ces prescriptions communautaires, et son rapport d’activité publié tous les ans est toujours

riche d’enseignements. Notons enfin que l’autorité de contrôle possède un champ d’action

très large dans la mesure où comme nous l’avons expliqué, les définitions données par la

directive des notions de données personnelles et de traitement de données personnelles

permettent un champ d’application étendu. Pour revenir au cas de la Commission française

« Informatique et libertés », la transposition de la directive de 1995 par la loi du 6 août 2004

permet à la CNIL de voir son contrôle étendu aux traitements de données constitués par des

images et des sons, ce qui n’était pas possible avec la loi ancienne. D’autres avancées

peuvent être constatées avec la directive communautaire qui démontre alors sa modernité qui

est son premier atout.

b) Un contrôle a posteriori renforcé.

Plutôt que d’imposer de lourds contrôles a priori nécessitant l’autorisation ou à tout le

moins une notification parfois lourde de précisions à l’autorité de contrôle, la directive met en

place un système tendant au renforcement du contrôle a posteriori plus efficace et surtout plus

réaliste dans une société de l’information où les traitements de données personnelles licites et

légitimes ne doivent pas être freinés par trop de formalisme et d’exigences procédurales. Nous

l’avons vu, l’article 20 de la directive consacré aux contrôles préalables impose aux Etats de

préciser les traitements susceptibles de présenter des risques particuliers au regard des droits

et libertés des personnes concernées et doivent veiller à ce que de tels traitements soient

examinés avant leur mise en œuvre. L’objectif de la directive est ici clair : il ne s’agit

nullement de supprimer tout contrôle préalable, mais en raison de la nécessité d’une action

efficace des autorités de contrôle, il faut, autant que faire se peut, que les contrôles préalables

se concentrent sur les traitements à risques. De nombreuses simplifications sont ainsi prévues

qui sont compensées par l’existence de plus en plus fréquente de contrôles a posteriori, et ce

dans tous les Etats membres de la Communauté européenne, en application des dispositions

de la directive « données personnelles ».

En France, c’est avec satisfaction que de nombreux auteurs ont accueilli, parmi les

réformes concernant la CNIL, celles permettant un glissement vers un contrôle a posteriori,

qu’avait préconisées le président Braibant dans son rapport au premier ministre en vue de la

transposition de la directive 95/46/CE en droit français221. La CNIL devrait ainsi pouvoir se

220 Article 28 § 5 de la directive 95/46/CE. 221 Guy Braibant, Données personnelles et société de l’information, Rapport au Premier ministre. La documentation française, 1998, 291 p.

105


concentrer davantage sur les traitements de données personnelles réellement susceptibles de

poser problème, contrairement à ce que prévoyait le système de la loi de 1978 dans sa version

ancienne qui avait abouti à ce que « l’attribution d’autorisations préalables [occupe] 75% des

activités de la CNIL, qui ne pouvait dès lors opérer aucun contrôle »222. La loi française du 6

août 2004 conserve toutefois un contrôle a priori dans certains cas, mais de manière dirons-

nous complexe, difficile à saisir, qui aboutit à « un montage de type usine à gaz, source

d’insécurité juridique »223 selon les mots du professeur Frayssinet. Quoiqu’il en soit, ce

glissement heureux vers davantage de contrôles a posteriori ne saurait être possible sans

l’octroi de pouvoirs suffisants aux autorités de contrôles. La directive précise alors certains de

leurs pouvoirs d’investigation et d’intervention.

B. Les pouvoirs et missions des autorités dans l’Union européenne.

1) des pouvoirs potentiellement larges

a) Des pouvoirs d’investigation et de saisine.

Selon l’article 28 de la directive communautaire de protection des données

personnelles, toute autorité de contrôle doit disposer de pouvoirs d’investigation. Le texte de

la directive nous en donne quelques exemples tels que le pouvoir d'accéder aux données

faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à

l'accomplissement de sa mission de contrôle.

La loi « Informatique et libertés » du 6 janvier 1978 attribuait déjà à la CNIL des

pouvoirs d’investigation, mais la loi nouvelle a pour apport d’en préciser davantage les

contours. Même si certaines précisions ne viennent que confirmer ce qui se pratiquait, le texte

a le mérite d’énoncer explicitement certaines pratiques. Est ainsi prévu que les membres de la

CNIL et les agents habilités « peuvent demander communication de tous documents

nécessaire à l’accomplissement de leur mission ». Aucune condition tenant au support

électronique ou non de l’information n’est alors posée224. Autre signe des pouvoirs forts

d’intervention qui sont accordés aux membres de la CNIL et aux agents habilités, ceux-ci

peuvent, conformément à l’article 44 de la nouvelle loi « informatique et libertés », accéder de

6 heures à 21heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, 222 Alexandre Maitrot de la Motte, « La réforme de la loi informatique et libertés et le droit au respect de la vie privée », Op. Cit. 223 Jean Frayssinet, « La loi relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 : continuité et/ou rupture ? » Op. Cit. 224 Julien le Clainche, « Pouvoirs a posteriori de la CNIL : les risques de l’excès de prudence », RLDI n°11 décembre 2005 p.43 et s.

106


installations ou établissements servant à la mise en œuvre d’un traitement de données

personnelles et qui sont à usage professionnel. Les parties de ces lieux affectées au domicile

privé ne sont pas concernées.

Peut être pouvons nous rattacher aux pouvoirs d’investigation de l’autorité de contrôle,

les pouvoirs de saisine dont elle doit disposer, tant ces deux pouvoirs nous paraissent

intimement liés l’un à l’autre. Selon les dispositions communautaires, l’autorité de contrôle de

l’article 28 doit pouvoir soit ester en justice, soit être en mesure de porter les violations des

dispositions nationales prises en vertu de la directive à la connaissance de l’autorité judiciaire.

Il s’agit logiquement de donner tout effet utile aux pouvoirs de l’autorité de contrôle. Dès lors

qu’elle dispose de pouvoirs d’investigation lui permettant de constater toute violation des

règles de protection des données personnelles établies par le droit communautaire, l’autorité

judiciaire doit en connaître d’une manière ou d’une autre. Le système français a choisi de ne

pas adopter la possibilité de permettre à l’autorité de contrôle d’ester en justice, mais celle-ci

peut néanmoins user de son pouvoir de saisine de l’autorité judiciaire tel que prévu à l’article

11-2 e) de la loi française dans sa version du 6 août 2004. Notons que le passage par la CNIL

n’est pas une obligation pour la personne estimant que ses droits de protection à l’égard des

traitements de données personnelles ont été méconnus, et elle peut elle-même saisir l’autorité

judiciaire directement. Le pouvoir de saisine de la CNIL n’est qu’un mécanisme

supplémentaire permettant le cas échéant de saisir l’autorité judiciaire si nécessaire.

b) Des pouvoirs d’intervention.

Dans un souci d’efficacité, il est logique d’attribuer aux autorités de contrôle des

pouvoirs d’intervention assez larges. En effet, sans de tels pouvoirs, la mise en place de ces

autorités quand bien même elles disposeraient des pouvoirs d’investigations suscités ne

pourrait qu’être vaine. La directive 95/46/CE prévoit alors que les autorités de contrôle

doivent disposer de « pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre

des avis préalablement à la mise en œuvre des traitements, conformément à l'article 20, et

d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage,

l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un

traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du

traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques ».

Pour ce qui est du pouvoir de rendre des avis préalables, le lien est très étroit avec le

pouvoir de contrôle et de surveillance qui est conféré à l’autorité de contrôle. Il faut toutefois

préciser que si une autorité de contrôle comme la CNIL peut émettre des avis et

107


recommandations dans le cadre de son rôle de régulation, elle ne dispose pas d’un pouvoir

réglementaire même s’il semble que l’on se dirige sur cette voie. Herbert Maisl estime alors

que l’autorité de contrôle, organe de régulation, obtient peu à peu le pouvoir d’intervenir

pleinement et de manière autoritaire pour assurer l’effectivité des règles dont elle doit

surveiller l’application.225 En outre, le pouvoir qui est conféré à l’autorité de contrôle exclut

toujours le pouvoir de réglementer en adoptant des règles de droit impersonnelles et

générales226. En tout état de cause, les autorités de contrôles mises en place dans les différents

Etats européens agissent le plus souvent par voie de décisions obligatoires, quand bien même

il s’agit de décisions individuelles, et c’est certainement la raison pour laquelle la directive

95/46/CE prévoit la possibilité de former un recours juridictionnel contre les décisions de ces

autorités faisant grief227.

Concernant les autres pouvoirs d’intervention prévus par la directive, ceux permettant

à l’autorité de contrôle d’ordonner le verrouillage, l’effacement, la destruction ou

l’interdiction, temporaire ou définitive d’un traitement de données personnelles correspondent

finalement aux droit d’intervention sur les données personnelles que possède la personne

concernée en vertu de la directive. Il est évident que si la personne concernée doit bénéficier

de droits qu’elle pourra utilement exercer, il faut que l’autorité de contrôle dispose de

pouvoirs effectifs rendant possible l’exercice de ces droits. La CNIL, en vertu des dispositions

de la loi française modifiée bénéficie à ce titre de pouvoirs d’injonction envers le responsable

du traitement.

De plus, il semble que selon la directive communautaire, l’autorité communautaire

doit bénéficier d’un pouvoir de sanction dont la portée n’est pourtant nullement précisée. On

peut toutefois déduire une telle possibilité d’une part des sanctions que les Etats doivent

prévoir pour toute violation des dispositions nationales prises en application de la directive228,

et d’autre part de la possibilité prévu à l’article 28 de la directive de prévoir que les autorités

nationales puissent adresser un avertissement ou une admonestation au responsable du

traitement, l’admonestation devant être entendue comme le fait de faire une sévère

réprimande à quelqu'un229. Il est remarquable que le législateur français ait profité de

l’occasion de transposition de la directive « données personnelles » pour accroître les

225 H. Maisl, « Les autorités de contrôle et la vie privée », cité par Yves Poullet, in « L’autorité de contrôle : « vues » de Bruxelles ». Op. Cit. 226 Yves Poullet, Op. Cit. p.74. 227 Article 28 paragraphe 3 de la directive 95/46/CE. 228 Article 20 de la directive 95/46/CE. 229 Dictionnaire de l’Académie française, 8ème éd. (1932-5).

108


pouvoirs de sanction de la CNIL. Un pouvoir de sanction pécuniaire est ainsi reconnu à la

CNIL par l’article 21 de la loi nouvelle. « Proportionnée à la gravité des manquements

commis et aux avantages tirés de ce manquement », la sanction pécuniaire peut aller jusqu’à

150 000 euros, ou même 300 000 euros en cas de récidive dans les cinq ans230. Il est toutefois

impossible pour la CNIL de sanctionner financièrement l’Etat, mais cela ne doit pas être

étonnant étant donné que de nombreux traitements effectués par l’Etat ne relèvent pas du

champ d’application de la directive communautaire, et qu’en outre, la CNIL n’ayant pas de

personnalité morale, cela « conduirait l’Etat à être condamné à se verser une somme d’argent

à lui-même »231. En plus de ces pouvoirs répressifs nouveaux reconnus à la CNIL, elle

dispose désormais de pouvoirs d’urgence, non imposés par le droit communautaire mais qui

sont à relever néanmoins.

2) Une obligation de coopération entre autorités.

Enfin, la directive prévoit une coopération entre les autorités de contrôle de chaque

Etat membre de la Communauté. Cette obligation correspond à celle prévue à l’article 13.3 de

la Convention 108 du Conseil de l’Europe qui prévoit une coopération entre les parties qui se

manifeste notamment par la fourniture d’informations entres autorités nationales lorsque la

demande est formulée. Malgré tout, la directive 95/46/CE du 24 octobre 1995 semble aller

plus loin que la Convention du Conseil de l’Europe, à partir du moment où après avoir précisé

les missions et pouvoirs des autorités de contrôle, elle prévoit que «les autorités de contrôle

coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions,

notamment en échangeant toute information utile ». Il est logique que les différentes autorités

de contrôle chargées de surveiller l’application des dispositions nationales prises sur le

fondement de la directive du 24 octobre 1995 doivent collaborer, cette collaboration

permettant d’une part une certaine cohérence dans une protection qui trouve désormais le

même fondement dans chaque Etat suite à l’harmonisation opérée, et d’autre part un échange

de vues souhaitable entre des autorités appliquant les mêmes principes de protection des

données et qui seront tôt ou tard confrontées à des problèmes similaires, l’expérience des uns

pouvant toujours être utiles aux autres dans une Communauté de droit comme la

Communauté européenne et plus largement l’Union européenne.

230 Le montant ne devant toutefois pas excéder 5% du chiffre d’affaires hors taxe, en application de l’article 47 de la loi relative à l’informatique, aux fichiers et aux libertés. 231 Julien le Clainche, Op. Cit. p.46.

109


Paragraphe second. Les autorités communautaires pour la protection des


Une des grandes originalités de la directive 95/46/CE est de mettre en place, à côté des

autorités nationales de contrôle, un groupe européen à la protection des données, dont le rôle

est principalement consultatif. Cette autorité n’est pas la seule au niveau communautaire, et

sont aussi prévus un comité et un contrôleur européens à la protection des données, avec des

tâches spécifiques. D’autres autorités existent en dehors du cadre communautaire.

A. Les organes mis en place par la directive 95/46/CE

1) Le « groupe de l’article 29 ».

En plus d’imposer aux Etats membres l’obligation d’instituer une autorité nationale de

contrôle en matière de protection des données personnelles, la Communauté européenne crée

une autorité spécifique au niveau européen par le biais de l’article 29 de la directive

95/46/CE, ce qui lui a valu la dénomination de « groupe de l’article 29 ». Les dispositions de

la directive lui confèrent un caractère consultatif et indépendant. Sur la question de

l’indépendance, il n’aurait pu en aller autrement si l’on considère d’une part que les autorités

nationales de contrôle sont soumises à un tel principe d’indépendance, même si les

observateurs les plus sceptiques pourraient répondre que l’obligation d’indépendance est bien

plus forte pour les autorités nationales dans la mesure où celles-ci disposent de réels pouvoirs

de contrôle contrairement au groupe de l’article 29. D’autre part, cette obligation nous semble

d’autant plus logique que le groupe institué par l’article 29 de la directive « données

personnelles » est composé principalement de représentants des autorités nationales dont le

principe de l’indépendance a été affirmé clairement par le droit communautaire. Les autres

membres du groupe de protection des données personnelles sont le représentant de l'autorité

ou des autorités créées pour les institutions et organismes communautaires, soit le contrôleur

européen à la protection des données, et un représentant de la Commission européenne. De

plus, l’indépendance est favorisée par le fait que chaque membre du groupe est désigné par

l'institution, l'autorité ou les autorités qu'il représente ce qui contribue à accroître par la même

occasion l’indépendance de ces groupes. D’autres dispositions de la directive vont en ce sens,

comme le fait que le groupe élise lui-même son président ou encore qu’il établisse son propre

règlement intérieur.

110


S’il faut accueillir avec faveur le fait que la Communauté ait institué un groupe

européen de protection des données personnelles, on peut s’interroger sur le réel caractère

novateur de cet organe. N’existe-il pas en dehors du groupe de l’article 29, d’autres groupes

de protection des données personnelles à vocation internationale qui l’auraient précédé ? Si

l’on s’intéresse à ce qui se passe du côté du Conseil de l’Europe, on remarque que la

Convention 108 contient trois articles, 18, 19, et 20, consacrés à la mise en place d’un comité

consultatif chargé de formuler des propositions ou de donner des avis aux Etats parties en vue

de résoudre les problèmes posés par le traitement automatisé des données232. En outre, une

initiative spontanée des autorités de contrôle existantes a vu le jour en 1994 en réaction au

projet de directive communautaire233 : la conférence des commissaires européens pour la

protection des données personnelles. Ajoutons qu’une conférence internationale des

commissaires à la protection des données personnelles voit régulièrement les représentants

d’autorités de contrôle du monde entier se rencontrer pour discuter des différentes questions

liées à la protection des données personnelles depuis plus de vingt années234.

Le groupe de l’article 29 a donc des prédécesseurs, mais sa mise en place reste une

chose satisfaisante d’autant que dans une Communauté de droit, l’application des règles

issues d’une directive nécessite une certaine cohérence vers laquelle permet de tendre le

groupe de l’article 29. Les termes mêmes de la directive indiquent que le groupe contribue à

la mise en œuvre homogène des dispositions nationales prises en application de la

directive235. Notons que les missions du groupe sont étendues au domaine des

communications électronique par la directive 2002/58/CE qui prévoit en son article 15 que

« le groupe de protection des personnes à l’égard du traitement des données à caractère

personnel, institué par l’article 29 de la directive 95/46/CE, remplit aussi les tâches visées à

l’article 30 de ladite directive en ce qui concerne les matières couvertes par la présente

directive, à savoir la protection des droits et des libertés fondamentaux ainsi que des intérêts

légitimes dans le secteur des communications électroniques »236 ce qui permettra une

application homogène des dispositions de la directive 2002/58/CE ou à tout le moins une

interprétation convergente, et un échange de vues satisfaisant entre les membres du groupe de

l’article 29, représentant d’autorités nationales de protection des données personnelles. 232 Voir en particulier le rapport explicatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108). 233 Cf. M -H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, et Y. Poullet, Op. Cit. 234 La dernière conférence internationale des commissaires à la protection des données personnelles a eu lieu à Montreux (Suisse) les 14 et 15 septembre 2005. 235 Article 30, 1. a) de la directive 95/46/CE. 236 La directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications

111


Les missions du groupe précisées à l’article 30 de la directive sont limitées à des

fonctions consultatives, de recommandation et d’information concernant la protection des

données personnelles au sein de la Communauté. Il conseille en effet la Commission et émet

un avis sur le niveau de protection garanti dans des pays tiers, la conseille sur tout projet de

modification de la directive ou de mesures additionnelles dans le domaine de la protection des

données à caractère personnel, donne un avis sur les codes de conduites élaborés au niveau

communautaire, ce qui entre encore dans le cadre de l’objectif d’assurer l’homogénéité dans

l’application des dispositions issues de la directive, et peut émettre spontanément des

recommandations dans ce domaine. Les avis et recommandations qu’il formule à la

Commission, s’ils ne la lient pas, ne doivent pas rester sans suite, et la Commission doit

informer le groupe des suites qu’elle leur donne. Le rapport annuel établi par le groupe de

l’article 29 est publié, et, à l’instar des rapports élaborés par les autorités nationales, revêt un

fort caractère informatif et pédagogique.

2) Le comité.

La directive 95/46/CE instaure également un comité qui assiste la Commission

européenne. Instauré selon la procédure de « comitologie » et par une décision de 1987237, le

comité mis en place par l’article 31 de la directive 95/46/CE relève des organes créés par le

pouvoir législatif dans des actes juridiques de droit communautaire dérivé pour aider la

Commission dans l'exercice de ses compétences d'exécution. De tels comités existent dans

presque tous les secteurs politiques importants. Ainsi, la mise en place d’un comité dans le

domaine de la protection des données à caractère personnel, en plus d’aider à la bonne

exécution du droit communautaire de protection des données, nous confirme l’importance

politique de la protection des données personnelles. Le comité institué par l’article 31 de la

directive du 24 octobre 1995 est composé des représentants des Etats membres ainsi que du

représentant de la Commission, qui en est le président. Le rôle du comité pour la protection

des personnes physiques à l'égard du traitement des données à caractère personnel et la libre

circulation de ces données dans le cadre de l’assistance qu’il offre à la Commission, consiste

principalement à émettre des avis sur les projets de décision de la Commission. Plus

particulièrement, le comité rend régulièrement des avis concernant le transfert de données à

caractère personnel vers des Etats tiers, s’exprimant sur les projets de décisions de la

Commission sur le niveau de protection des données garanti dans les Etats tiers. Cette

237 JOCE n° L 197 du 18.7.1987, p.33.

112


assistance de la Commission par un comité est souhaitable et satisfaisante dans la mesure où

les transferts de données personnelles vers un Etat tiers, une fois le niveau de protection

reconnu comme adéquat, pourra avoir lieu au départ de tout Etat membre de la Communauté.

Le fait qu’un comité composé de représentants des Etats membres puisse se prononcer sur des

projets de décision de cette importance permet aux Etats membres de tenter de s’entendre sur

la réalité de ce qu’il faut attendre d’un niveau de protection adéquat pour les pays tiers, et

d’aller dans le sens d’une approche homogène de cette exigence. Le vote à la majorité

qualifiée avec la pondération prévue à l’article 205 alinéa 2 du traité souligne une fois de plus

l’importance des enjeux en cause, certains Etats de par leur importance économique,

démographique, et politique, pesant alors plus lourd lors des votes des avis qui seront émis

par le comité238.

B. Les autres organes de protection des données personnelles.

1) Le contrôleur européen à la protection des données (CEPD).

Les dispositions du droit communautaire visant à étendre l’application des règles

applicables en matière de protection des données personnelles aux institutions et organes

institués sur la base du traité instituant la Communauté européenne ne se sont pas limitées à

poser cette obligation de manière symbolique, mais a été prévu un moyen de garantir

l’effectivité de la protection qui doit être accordé aux personnes à l’égard du traitement de

données personnelles par les institutions ou organes communautaires. A cet effet, l’article 286

alinéa 2 TCE prévoit que « le Conseil […] institue un organe indépendant de contrôle chargé

de surveiller l’application desdits actes communautaires aux institutions et organes

communautaires […] ». Le règlement 45/2001/CE relatif à la protection des personnes

physiques à l'égard du traitement des données à caractère personnel par les institutions et

organes communautaires et à la libre circulation de ces données adopté le 18 décembre 2000

sur le fondement de l’article 286 du traité contient un chapitre V consacré à cette autorité de

contrôle indépendante que le règlement dénomme Contrôleur européen à la protection des

données. Sont alors précisés les modalités de sa nomination ainsi que celles de la nomination

de contrôleur adjoint239, puis son statut et les conditions générales d'exercice des fonctions de

contrôleur européen de la protection des données ainsi que des précisions quant aux

ressources humaines et financières dont il dispose240. Notons que le statut du contrôleur

238 Le président du comité, représentant de la Commission, ne prend pas part au vote. 239 Article 42 du règlement 45/2001/CE. 240 Article 43 du règlement 45/2001/CE.

113


européen est, de manière surprenante, assimilé aux institutions pour ce qui est des questions

relatives à son personnel. L’étonnement provient du fait que cette disposition contenue à

l’article 43 paragraphe 6 du règlement semble manifestement illégale241. En effet, le strict

respect de la hiérarchie des normes imposait qu’une telle disposition constituant une

modification de statut ne puisse être effectuée que par les modalités prévues à l’article 283

TCE et non pas par un simple article d’un règlement arrêté par le Parlement et le Conseil. Ces

précisions apportées, intéressons nous davantage au CEPD en étudiant les garanties dont il

dispose et dont il doit faire preuve, ses fonctions et ses compétences.

Comme ce qui a été exigé pour les autorités nationales de contrôle instituées par

l’article 28 de la directive 95/46/CE, le règlement 2001/45/CE, tout comme l’imposait

l’article 286 du traité, prévoit que le contrôleur à la protection des données bénéficie de

garanties d’indépendance. Selon l’article 44, cette exigence se manifeste par le fait qu’il

n’accepte ni ne sollicite d’instruction de personne, qu’il ne peut exécuter aucune autre activité

professionnelle rémunérée ou non pendant l’exercice de ses fonctions, et enfin, après la

cessation de ses activités en tant que CEPD, il est tenu de respecter les devoirs d'honnêteté et

de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages. De plus,

l’article 45 du règlement soumet le contrôleur au secret professionnel pendant et après la

durée de son mandat.

Concernant les missions du CEPD, le règlement 45/2001 distingue entre les fonctions qu’il

doit exercer et les compétences qui lui sont accordées. La distinction peut paraître difficile à

saisir. Pour Pierre-Alexandre Ferral, « il s’agit de distinguer […] ses missions des moyens

d’action qui lui sont offerts pour réaliser celles-ci ».242 Pour ce qui est de ses fonctions,

conformément à l’article 46 du règlement 45/2001, le contrôleur européen doit tout d’abord

entendre et examiner les réclamations de toute personne concernée par un traitement de

données la concernant effectué par un organe ou une institution communautaire. Il doit

informer la personne concernée des résultats de son examen. Par ailleurs, il effectue des

enquêtes et assure logiquement l'application du présent règlement et de tout autre acte

communautaire relatif à la protection des personnes physiques à l'égard du traitement de

données à caractère personnel par une institution ou un organe communautaire243. Le contrôle

opéré par cette autorité est donc bien plus large qu’un contrôle qui serait limité à l’application

241 Cf. Pierre-Alexandre Ferral, « Un pas supplémentaire vers la reconnaissance et la protection d’un droit fondamental dans l’Union européenne, le règlement (CE) N°45/2001 », RMCUE, n°450, juillet-août 2001. 242 Cf. Pierre-Alexandre Ferral, « Un pas supplémentaire vers la reconnaissance et la protection d’un droit fondamental dans l’Union européenne, le règlement (CE) N°45/2001 », Op. Cit. 243 La CJCE, dans l’exercice de ses fonctions juridictionnelles, est exclue de ce contrôle.

114


du règlement, ce qui est satisfaisant dans la mesure où cela permet une cohérence dans la

protection des données personnelles au sein de la Communauté. Parmi les fonctions qu’il

exerce, le CEPD assure également un rôle de conseil auprès des organes et institutions

communautaires, et doit s’informer de tout ce qui concerne son domaine d’activité. Dans le

système de protection des données personnelles institué par la Communauté, le contrôleur

doit également avoir sa place, et à cet égard il doit coopérer à la fois avec les autorités

nationales de contrôle mentionnées à l’article 28 de la directive 95/46/CE, et avec les organes

de contrôle créés dans le troisième pilier de l’Union européenne, dans le domaine de la justice

et des affaires intérieures. Parmi les fonctions du contrôleur européen à la protection des

données méritant d’être soulignées, il doit participer aux activités du groupe de protection des

personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de

la directive 95/46/CE. Ces dernières fonctions sont d’une grande utilité pour assurer la

cohérence de la protection des données personnelles dans la Communauté, et plus largement

dans l’Union, les autorités nationales, communautaires et du pilier JAI étant appelées à avoir

des échanges avec le contrôleur européen et souvent aussi entre elles. Enfin, des fonctions

classiques de contrôle préalable des traitements lui étant notifiés et de tenu d’un registre

recensant ces traitements doivent être remplies par cette autorité.

Les compétences du CEPD sont également très larges. Elles sont énumérées à l’article

47 du règlement 45/2001, qui lui permet de conseiller les personnes dans l’exercice de leurs

droits, saisir le responsable du traitement en cas de violation alléguée des dispositions

régissant le traitement des données à caractère personnel, adresser un avertissement ou une

admonestation au responsable du traitement, ordonner la rectification, le verrouillage,

l'effacement ou la destruction de toutes les données traitées en violation des dispositions

communautaires en la matière, interdire temporairement ou définitivement un traitement,

saisir l'institution ou l'organe concerné et, si nécessaire, le Parlement européen, le Conseil et

la Commission, saisir la CJCE dans les conditions prévues par le traité, ou encore intervenir

dans les affaires portées devant la CJCE. Notons que le CEPD est intervenu pour la première

fois devant la Cour dans l’affaire Parlement contre Conseil ayant conduit à l’arrêt du 30 mai

2006244, ou le contrôleur intervient au soutien du Parlement européen. Enfin, parmi les

compétences accordées au contrôleur européen par le règlement du 18 décembre 2000, figure

l’habilitation d’obtenir l'accès à toutes les données à caractère personnel et à toutes les

informations nécessaires à ses enquêtes, accès qu’il peut obtenir d’un responsable de

244 CJCE 30 MAI 2006, Parlement contre Conseil et Commission, Aff. Jointes C-317/04 et C-318/04.

115


traitement ou d’une institution ou d’un organe communautaire. Et également l'accès à tous les

locaux dans lesquels un responsable du traitement ou une institution ou un organe

communautaire exerce ses activités s'il existe un motif raisonnable de supposer que s'y exerce

une activité visée par le règlement étudié.

2) Le rôle d’autres organes européens créés en dehors du droit communautaire.

Si le droit produit dans le cadre du pilier communautaire institue un réel arsenal

organique dont les autorités disposent de pouvoirs qui nous semblent appropriés pour assurer

une protection efficace et effective des données personnelles, les règles juridiques

communautaires en vigueur, soit principalement la directive 95/46/CE, la directive

2002/58/CE, et le règlement 45/2001 ne sont applicables qu’au pilier communautaire et donc

ni au pilier Politique Extérieure et de Sécurité Commune (PESC), ni au pilier Justice et

Affaires Intérieures (JAI), dénommé plus fréquemment « coopération policière et judiciaire en

matière pénale » depuis 1999. Or, trois importants systèmes d’information européens relèvent

du troisième pilier, et bénéficient donc de garanties moins élevées en matière de protection

des données personnelles245. Malgré tout, les systèmes d’information européens du troisième

pilier de l’Union européenne mettent en place des autorités de contrôle communes chargées

de surveiller la protection des données personnelles traitées dans les domaines considérés en

plus d’imposer aux Etats parties de désigner des autorités nationales de contrôle. Les trois

systèmes étudiés instituent des autorités sensiblement comparables.

Tout d’abord, le Système d’information Schengen comprend, conformément à l’article

114 de la Convention d’application de l’Accord de Schengen246, un système dans lequel les

Etats parties doivent chacun désigner une autorité de contrôle chargé d’exercer un contrôle

indépendant du fichier de la partie nationale du Système d’information Schengen et de

vérifier que le SIS ne cause pas d’atteinte aux droits de la personne concernée. Pour ce qui est

de la protection des données personnelles, aucune référence n’est faite aux instruments

communautaires, et ce sont plutôt la convention 108 du Conseil de l’Europe et la

Recommandation R (87)15 du comité des ministres du Conseil de l’Europe visant à

réglementer l’utilisation des données à caractère personnel dans le secteur de la police qui doit

constituer le niveau de protection minimum.

245 Cf. Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la protection des données personnelles au niveau européen », Op. Cit. 246 Convention d’application de l’accord de Schengen, JOCE n°L 239, 22 septembre 2000, p.19.

116


Pour ce qui est d’Europol247 l’article 14 de la Convention du 26 juillet 1995 nous

informe qu’ici aussi le niveau de protection des données doit être au moins correspondant à

celui qui résulte la convention 108 du Conseil de l’Europe et la Recommandation R (87)15 du

comité des ministres du Conseil de l’Europe. Concernant le contrôle de la protection des

données dans le cadre du système d’informations relevant d’Europol, celui-ci est opéré à la

fois à l’échelle nationale et à l’échelle d’Europol. L’article 23 de la Convention du 26 juillet

1995 impose à chaque Etat membre de désigner une autorité de contrôle nationale chargée de

contrôler en toute indépendance que l’introduction, la consultation et la transmission, sous

quelque forme que ce soit, à Europol, de données personnelles par cet Etat sont licites. En

outre, l’autorité nationale s’assure que les droits des personnes ne sont pas lésés. Au niveau

d’Europol, est instituée une autorité de contrôle commune indépendante par l’article 24 de la

Convention Europol. Cette autorité a pour charge de surveiller l’activité d’Europol afin de

s’assurer que le stockage, le traitement et l’utilisation des données dont disposent les services

d’Europol ne portent pas atteinte aux droits de la personne. Le contrôle porte également sur la

licéité de la transmission des données qui ont pour origine Europol. La composition de cette

autorité de contrôle commune comprend au moins deux membres de chacune des autorités de

contrôle nationales. Si une telle composition est satisfaisante par ses effets sur la cohérence de

la protection des données au sein d’Europol, de même que l’obligation d’assistance d’Europol

envers l’autorité de contrôle commune, il semble que les pouvoirs dont dispose cette autorité

sont très limités et le niveau de protection des données personnelles recherché assez bas.

Certes, il ne s’agit pas d’un domaine du droit communautaire, et les plus optimistes

considéreront qu’il est déjà remarquable qu’une autorité de contrôle soit instituée dans un

domaine relevant de la coopération intergouvernementale, et plus encore de la sécurité.

Le troisième système d’information européen ne relevant pas du pilier communautaire

est le Système d’information des douanes (SID) mis en place par la Convention du 26 juillet

1995 sur l’emploi de l’informatique dans le domaine des douanes248 . En plus d’imposer aux

Etats membres d’adopter une législation qui offre un niveau de protection au moins égal à

celui de la Convention 108 du Conseil de l’Europe249 , la Convention, comme pour Europol,

s’attache d’une part à donner une rôle à des autorités nationales de contrôle, et à instituer une

autorité de contrôle commune. En effet, l’article 17 de la Convention impose aux Etats

247 Convention établie sur a base de l’article K.3 du traité sur l’Union européenne portant création d’un office européen de police (Europol) JOCE n°C 316, 27 novembre 1995, p.2. 248 Convention établie sur a base de l’article K.3 du traité sur l’Union européenne, sur l’emploi de l’informatique dans le domaine des douanes, JOCE, n°C 316, 27 novembre 1995, p.34. 249 Article 13 de la Convention sur l’emploi de l’informatique dans le domaine des douanes.

117


membres de désigner une ou plusieurs autorités nationales chargées du contrôle de la

protection des données personnelles pour contrôler de manière indépendante les données

personnelles introduites dans le SID. Encore une fois, le rôle qui leur est attribué est un rôle

de contrôle, en particulier quant aux droits des personnes concernées, qui ne doivent pas être

violés par le traitement et l’exploitation des données contenues dans le SID. De plus, comme

c’est le cas pour Europol, est instituée une autorité de contrôle commune composée là encore

de deux membres de chaque autorité de contrôle nationale. Pour l’autorité commune de

contrôle du SID, est précisé que les fonctions qu’elle exerce doivent être conforme à la

Convention du 25 juillet 1995, mais aussi à la Convention 108 du Conseil de l’Europe en

tenant compte de la recommandation R (87) 15 du comité des ministres du Conseil de

l’Europe. L’autorité a une mission de surveillance, fonction classique des autorités de

contrôle, et rédige un rapport sur ses activités. Néanmoins, les mêmes remarques pourront être

formulées que pour le contrôle de la protection des données personnelles effectué dans le

cadre d’Europol, quand bien même le domaine est ici aussi sensible et relève de la

souveraineté de l’Etat.

Section 2. La nécessaire réglementation communautaire des flux

transfrontaliers de données personnelles.

Si la réglementation des transferts de données personnelles vers des pays tiers est un

des principes les plus audacieux du droit communautaire en cette matière qui pourrait peut

être imposer le modèle communautaire de protection des données tant les exigences sont

élevées comme le démontre le cas de transfert de données personnelles vers les Etats-Unis,

(Paragraphe 1er), une réglementation des flux internationaux de données personnelles qui se

limiterait strictement au cadre communautaire serait vaine face à l’effacement des frontières

étatiques causé notamment par Internet et par la mondialisation. (Paragraphe 2nd)

Paragraphe premier. La nécessité d’une protection adéquate de la part des

Etats tiers.

Pour que la protection des données personnelles garantie par le droit communautaire

soit efficace, il fallait que les données, une fois sorties du territoire communautaire, ne

118


puissent pas être utilisées à toutes fins et sans aucune précaution. En sens inverse, les

conséquences auraient pu être désastreuses. Fort heureusement, la directive du 24 octobre

1995 prévoit des dispositions réglementant le transfert de données vers des Etats tiers.

A. Les transferts de données personnelles vers les Etats tiers.

1) Le principe d’une interdiction de transfert de données hors de la Communauté européenne.

a) L’interdiction de transferts de données vers des pays tiers n’offrant pas une

protection adéquate.

La réglementation des flux transfrontalières de données personnelles, vers des pays

tiers à l’Union européenne, par la directive 95/46/CE est une des innovations majeures du

droit communautaire en matière de protection des données personnelles, une des dispositions

les plus efficaces pour assurer une protection effective des données personnelles à l’heure de

la mondialisation où celles-ci circulent de plus en plus rapidement et de plus en plus

fréquemment. Les lignes directrices de l’OCDE et la Convention n°108 du Conseil de

l’Europe visaient elles aussi à permettre la libre circulation des données, le premier texte à des

fins principalement économiques, le second pour faciliter la libre circulation de l’information

tout en protégeant le droit à la vie privée. Néanmoins, ces deux textes internationaux

n’avaient pas envisagé le cas de transferts de données vers des pays non signataires,

prévoyant simplement des principes de protection des données à caractère personnel pour les

Etats parties250. La directive communautaire du 24 octobre 1995 a également pour but

premier de supprimer les obstacles aux échanges nécessaires au bon fonctionnement du

marché intérieur et à une plus grande intégration économique entre Etats membres de la

Communauté européenne. Pour autant, il ne s’agit pas de permettre un transfert aveugle de

données personnelles vers tout Etat, la directive ayant un autre objectif qui est de protéger les

personnes physiques à l’égard du traitement de données personnelles. En ce sens, la directive

européenne a été le premier instrument juridique international comportant des règles claires

sur les questions de transferts de données vers des pays tiers. Un principe fort est alors posé

par l’article 25 de la directive qui est de ne pas permettre le transfert de données personnelles

hors de la Communauté lorsque la protection offerte n’est pas adéquate. En clair, la protection

des données personnelles assurée au niveau communautaire empêche les Etats membres de

restreindre les flux de données entre eux, renforçant ainsi le marché intérieur et la

Communauté, mais ne permet pas en principe le transfert vers des pays tiers sauf lorsque la

250 Rappelons à toutes fins utiles, que seule la Convention n°108 possède une force juridique contraignante, les lignes directrices de l’OCDE s’assimilant davantage à des principes que les Etats sont fortement invités à suivre.

119


protection assurée par le pays tiers en cause est considérée comme adéquate. L’article 25

alinéa 1er de la directive dispose en effet que « les États membres prévoient que le transfert

vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées

à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du

respect des dispositions nationales prises en application des autres dispositions de la présente

directive, le pays tiers en question assure un niveau de protection adéquat ». Que doit-on alors

entendre par un « niveau de protection adéquate » ?

b) L’appréciation du caractère adéquat de la protection offerte dans les pays tiers.

La directive de 1995 nous éclaire à l’alinéa 2 de l’article 25 en précisant les éléments à

prendre en considération pour apprécier le caractère adéquat de la protection. Les éléments

que nous fourni l’article 25.2 sont assez larges, et pourtant ils ne sont pas exhaustifs et

d’autres éléments pourront être pris en compte pour évaluer le caractère adéquat ou non de la

protection offerte dans un pays tiers. La disposition étudiée prévoit ainsi que « Le caractère

adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les

circonstances relatives à un transfert ou à une catégorie de transferts de données; en

particulier, sont prises en considération la nature des données, la finalité et la durée du ou des

traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales

ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et

les mesures de sécurité qui y sont respectées ». Pour déterminer l’approche d’une appréciation

de la protection adéquate, référons nous à l’analyse du professeur Yves Poullet, qui qualifie

cette approche de trois manières : une approche au cas par cas, une approche souple et

ouverte, et une approche fonctionnelle251. L’approche opérée lors de l’appréciation de

l’adéquation de la protection des données est une approche au cas par cas dès lors que la

directive impose d’évaluer la situation de la protection des données dans un pays tiers par

rapport « à un transfert ou à une catégories de transferts de données » déterminés. Il faut

prendre en considération la situation de ces traitements pour évaluer si la protection qui est

offerte par l’Etat tiers est adéquate.

Ensuite, l’approche est souple et ouverte, en ce sens que l’appréciation doit être faite en

utilisant des éléments qui révèlent la prise en compte de particularités propres et évolutives de

la protection offerte dans chaque Etat, et encore des spécificités de chaque flux

transfrontalière de données. Enfin, l’approche est fonctionnelle, ce qui signifie que

251 Yves Poullet, « Pour une justification des articles 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontières et de protection des données ». Communication – Commerce électronique, Décembre 2003, pp.9-21.

120


l’évaluation s’effectue tant « par rapport aux risques d’atteintes à la protection des données

[…] que par rapport aux mesures spécifiques ou générales mises en place par le responsable

des données dans le pays tiers »252.

Il convient de préciser que l’évaluation de la protection des données personnelles par

un Etat tiers doit être effectuée sans rechercher à appliquer tels quels les principes de la

directive européenne. Yves Poullet écrit à ce sujet qu’il ne faut pas faire preuve

d’ « impérialisme européen », et rechercher s’il y a « similarité fonctionnelle », ce qui revient

à rechercher dans le pays tiers vers lequel un transfert de données personnelles est souhaité,

s’il possède des éléments remplissant les fonctions recherchées pour une protection adéquate

des données personnelles. Nous pouvons utilement nous interroger sur la notion de protection

adéquate, en nous demandant par rapport à quoi la protection offerte par un Etat tiers doit être

adéquate ? Quels instruments de protection de l’Etat tiers doivent être pris en considération

pour l’évaluation du caractère adéquat de la protection offerte ? Sur la question du système de

référence à utiliser pour évaluer le caractère adéquate ou non de la protection, la directive ne

répond pas, mais nous pourrons considérer logiquement qu’il s’agit des principes de fond de

la protection des données personnelles tels qu’ils sont garantis par la directive253, et

concernant les instruments qu’il est possible de prendre en compte, et plus généralement les

éléments de protection pouvant être retenus, à partir du moment où la directive ne présente

qu’une liste indicative des éléments à considérer, tout élément lié au flux de données ou à la

protection des données personnelles pourra être pris en compte.

Ces différents éléments à considérer lors de l’évaluation de la protection des données

dans un pays tiers peuvent être lourds et pratiquement impossibles à réaliser par chacun des

Etats membres de la Communauté qui serait alors conduit à évaluer le niveau de protection au

regard de chaque traitement, catégorie de traitement, législation de protection des données en

vigueur dans l’Etat tiers de destination. Ainsi, la directive 95/46/CE prévoit des cas où la

Commission pourra décider du caractère adéquat de la protection offerte. En ce sens, l’article

25.6 de la directive prévoit que la Commission peut constater « qu'un pays tiers assure un

niveau de protection adéquat […] en raison de sa législation interne ou de ses engagements

internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue

de la protection de la vie privée et des libertés et droits fondamentaux des personnes ». La

référence au paragraphe 5 de l’article 25 renvoie à la possibilité dont dispose la Commission

d’engager des négociations en vue de remédier à la non adéquation de la protection offerte par 252 Yves Poullet, Op. Cit. p.10. 253 Yves Poullet, Op. Cit, p.10.

121


un Etat tiers. Aujourd’hui, la Commission a déjà rendu plusieurs décisions constatant la

protection adéquate dans des Etats tiers, plus précisément pour l’Argentine254, le Canada255,

la Suisse256, Guernesey257, l’île de Man. De même, une protection adéquate à été reconnue

sous certaines conditions pour les Etats-Unis258, et des décisions antérieures concernant des

pays entrés dans l’Union européenne le 1er mai 2004, comme la Roumanie, avaient été

rendues, qui ne méritent pas que l’on s’y attarde. Dès lors que la Commission rend une

décision constatant l’adéquation de la protection des données dans un Etat tiers, les Etats

membres de la Communauté doivent permettre le transfert de données vers ce pays259, sauf

bien évidemment lorsqu’il s’avère que les normes de protection ne sont pas respectées,

comme il ressort des décisions d’adéquation précitées.

2) L’exception : Transfert possible dans certaines hypothèses.

Si le principe est clairement que les données à caractère personnel ne peuvent circuler

librement qu’entre pays accordant une protection adéquate aux personnes dont les données

sont transférées, des exceptions sont prévues à l’article 26 de la directive « données

personnelles », qui permettent que des données soient transférées vers un pays tiers

n’accordant pas une telle protection quand le transfert a lieu, malgré tout, dans des conditions

garantissant sa sécurité. Deux types d’exceptions sont prévus par l’article 26 de la directive :

d’une part, des exceptions tenant de manière générale aux traitements de données personnelles

susceptibles de faire l’objet d’un transfert vers un Etat tiers. D’autre part, des exceptions

tenant aux garanties offertes par le responsable d’un traitement de données établi dans un Etat

tiers n’offrant pas de protection adéquate.

Pour ce qui est des exceptions possibles au regard d’éléments liés proprement au traitement de

données, la première exception possible est celle où la personne concernée a indubitablement

donné son consentement au transfert envisagé. Comme nous avons déjà eu l’occasion de le

voir, le consentement de la personne concernée est défini strictement par la directive

95/46/CE qui considère qu’il s’agit de « toute manifestation de volonté, libre, spécifique et

informée par laquelle la personne concernée accepte que des données à caractère personnel la 254 Décision de la Commission C (2003)1731 du 30 juin 2003 - JOCE L 168, 5.7.2003. 255 Décision de la Commission C 2002/2/CE du 20.12.2001 - JOCE L 2/13 du 4.1.2002 256 Décision de la Commission 2000/518/CE du 26.7.2000 -JOCE L 215/1 du 25.8.2000 257 Décision de la Commission du 21 novembre 2003 sur la protection adéquate des données personnelles en Guernesey - JOCE. L 308, 25.11.2003 258 Le transfert de données personnelles fait l’objet de plus longs développements dans le « B. » de ce paragraphe. 259 L’article 25.6 de la directive 95/46/CE dispose en effet que « Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission ».

122


concernant fassent l'objet d'un traitement ». Imposant que le consentement de la personne

concernée soit indubitable pour que soit permis un transfert des données la concernant vers un

Etat tiers n’offrant pas un niveau de protection adéquat, la directive pose un principe strict qui

implique en définitive que la personne accepte, en connaissance de cause, que des données

personnelles la concernant soit transférées vers un Etat tiers où la protection offerte n’est pas

considéré comme étant d’un niveau adéquat. La théorie volontariste du droit semble ici

atteindre un haut niveau dans les possibilités d’exceptions prévues par la directive.

Ensuite, d’autres exceptions sont prévues par la directive, dans l’hypothèse où le

transfert envisagé est nécessaire à l'exécution d'un contrat entre la personne concernée et le

responsable du traitement, dans celle où il est nécessaire à la conclusion ou à l'exécution d'un

contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du

traitement et un tiers, dans le cas où le transfert est nécessaire ou rendu juridiquement

obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice

ou la défense d'un droit en justice, dans le cas où il est nécessaire à la sauvegarde de l'intérêt

vital de la personne concernée ou enfin, si il intervient au départ d'un registre public qui est

destiné à l'information du public et est ouvert à la consultation du public ou de toute personne

justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation

sont remplies dans le cas particulier260. Ces différentes hypothèses où il est possible de

déroger au principe d’interdiction de la libre circulation des données personnelles hors de la

Communauté lorsque le niveau de protection offert par un Etat tiers n’est pas reconnu comme

étant adéquat sont sensiblement proches des différentes conditions de légitimation des

traitements de données prévues à l’article 7 de la directive 95/46/CE. Il semble que les

rédacteurs du texte aient recherchée une certaine cohérence entre les principes permettant le

traitement des données personnelles et ceux permettant un transfert de telles données dans le

cas où le pays tiers de destination n’offre pas de protection adéquate. Il convient toutefois de

relever l’insistance sur les transferts nécessaires à l’exécution d’obligations contractuelles, et

la disparition de la condition relative au respect d’une obligation légale. Par ailleurs relevons

que les dérogations à l’interdiction de transfert de données vers un pays dont la protection

n’est pas adéquate présentent une autre condition qui ne fait pas partie de celles permettant la

légitimation d’un traitement de données, dans l’hypothèse où le « transfert intervient au départ

d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à

l'information du public et est ouvert à la consultation du public ou de toute personne justifiant

260 Ces possibilités de dérogations sont prévues à l’article 26.1 a) à f) de la directive 95/46/CE.

123


d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont

remplies dans le cas particulier ». Cela revient à considérer que dès lors qu’un traitement de

données personnelles est effectué pour l’information du public, les données traitées peuvent

être transférées vers tout Etat tiers, même sans protection de données personnelles adéquate.

Le raisonnement peut aller jusqu’à se demander si un tel transfert n’est pas possible aussi vers

un Etat ne protégeant pas du tout les données personnelles, et les individus courent alors de

graves risques d’atteintes à leurs droits et libertés fondamentaux.

Parmi les dérogations possibles à l’interdiction de transférer des données personnelles

vers un Etat tiers ne garantissant pas une protection adéquate au sens de la directive du 24

octobre 1995, une autre catégorie comprend des exceptions possibles en raison de garanties

suffisantes offertes par le responsable du traitement dans un tel Etat tiers. L’article 26.2 de la

directive précise qu’il peut s’agir notamment de garanties résultant de clauses contractuelles

appropriées, mais d’autres moyens sont possibles, et l’on peut valablement penser à un

responsable de traitement de données dans un Etat tiers qui respecterait un code de conduite

que la directive met en avant à son article 27. S’agissant de clauses contractuelles, la

Commission européenne a adopté des clauses contractuelles type le 15 juin 2001261, dont

l’utilisation purement volontaire de la part des entreprises situées dans des pays tiers, permet

de reconnaître qu’elles garantissent une protection adéquate et autoriser ainsi un transfert de

données personnelles. Cette mesure semble satisfaisante car si elle permet le transfert de

données personnelles vers un pays tiers dans lequel la protection n’est pas suffisante, elle

n’oublie pas la protection des individus et impose ainsi que soient respectés la vie privée et les

droits et libertés fondamentaux des personnes.

B. Le cas de transfert de données vers les Etats-Unis.

1) L’insuffisance de la protection des données personnelles aux Etats Unis.

Comme pour les autres Etats tiers à la Communauté européenne, les dispositions de la

directive relative à un transfert de données vers les Etats-Unis impliquent qu’un tel transfert

n’est pas autorisé si la protection des données personnelles qui y est offerte n’est pas

considérée comme adéquate. Les exceptions qui viennent d’être étudiées pour les Etats tiers

s’appliquent aussi pour les transferts de données envisagés vers les Etats-Unis, mais la

situation particulière de cet Etat, partenaire commercial privilégié de la Communauté

européenne, et les négociations qui ont eu lieu dans certains domaines pour permettre le

261 Décision C (2001)497 CE, JOCE L 181/19, 4 juillet 2001.

124


transfert de données depuis l’Europe vers les Etats-Unis mérite que des développements plus

longs soient consacrés aux transferts de données personnelles vers ce pays.

Toujours attachés à certaines libertés, notamment dans le domaine économique, les

Etats-Unis imposent le moins de règles possibles aux entreprises américaines. Ainsi, dans les

relations marchandes, les Etats-Unis comptent sur la réglementation par les acteurs du

marché. Or, il semble que l'autorégulation ou la réglementation par les acteurs du marché ne

peut pas régler des questions qui ne relèvent pas des relations marchandes. En effet, la « main

invisible » d’Adam Smith262 selon qui « Chaque individu, en poursuivant son intérêt, est

amené à remplir une fin qui n'entre nullement dans ses intentions » ne peut pas

convenablement fonctionner dans des domaines où l’intérêt recherché n’est pas économique.

Même si l’on peut penser qu’une entreprise pourrait trouver pour intérêt à des actions proches

de l’éthique de s’offrir une bonne image auprès d’une clientèle qui serait alors satisfaite. Dès

lors, dans des domaines liés à la protection des droits de l’homme, de l’environnement, ou

plus largement de l’éthique, les pouvoirs publics américains, qui comptent davantage sur

l’autorégulation que sur l’imposition de règles juridiques impératives, s’opposent clairement à

l’approche généralement suivie en Europe où la réglementation est largement préférée. En

matière de protection des données personnelles, quand bien même les Etats-Unis sont

soucieux de la protection de la vie privée, l’absence de règles générales, claires, et

suffisamment protectrices a conduit la Communauté européenne, usant de son instrument

qu’est la directive 95/46/CE, a considéré que le niveau de protection des données personnelles

aux Etats-Unis n’était pas adéquat et ne devait donc pas pouvoir être effectué sauf exceptions.

En effet, aux Etats-Unis la protection de la vie privée et des données à caractère personnel est

assurée par un ensemble complexe de réglementations sectorielles, tant au niveau fédéral que

des États263. La divergence de conception en matière de protection des données personnelles

en Europe et aux Etats-Unis a conduit à ne pas considérer le niveau de protection américain

comme adéquat. Mais compte tenu de l’inquiétude qui a été ressentie à la fois par les pouvoirs

publics américains et par les entreprises américaines, notamment les grandes multinationales

échangeant nombre d’informations avec des filiales, partenaires ou clients situés en Europe, a

conduit a négocié des principes rendant adéquate la protection des données personnelles par

certains acteurs américains.

262Adam Smith, Recherche sur la nature et les causes de la richesse des nations, 1776. 263 Voir notamment l’avis 1/99 du groupe de l’article 29, WP.15 5092/98/FR/final

125


2) Les systèmes optionnels mis en place pour le transfert de données personnelles vers les

Etats-Unis.

a) Les principes du Safe harbor.

Craignant que les transferts de données personnelles depuis l’Europe vers les Etats-

Unis ne soient largement empêchés par les dispositions de la directive 95/46/CE relatives aux

transferts transfrontaliers de données personnelles, les autorités américaines on entamé de

longues négociations avec la Communauté afin de mettre en place certains principes de

protection adéquats264. La Commission européenne a négocié avec le ministère du commerce

des États-Unis certains principes et directives relatifs au transfert de données correspondant à

des principes formulés par la directive communautaire. Ces principes du Safe harbor, ou de la

« sphère de sécurité » guident les organisations américaines dans l’application d’une

protection adéquate pour les données à caractère personnel. Si une organisation américaine

décide volontairement d’adhérer aux principes de la « sphère de sécurité », cela signifie que

ladite organisation est tenue d’observer ces principes, de déclarer publiquement son adhésion

et d’obtenir la certification du ministère du commerce des Etats-Unis. le fait que le

Department of Commerce américain soit à l’origine de ces principes de Safe Harbor et le

constat suivant lequel « l’effectivité de ces principes dépend d’organes juridictionnels

officiels, en particulier de la Federal Trade Commission » plaideraient selon le professeur

Yves Poullet, pour y voir non une autoréglementation an sens strict mais, selon la

qualification récemment retenue par les débats de l’OCDE, un « effective mix », c’est-à-dire

un système alliant les vertus de l’autoréglementation et l’autorité de la puissance publique265.

Quoiqu’il en soit, l’adhésion aux principes du Safe harbor reste largement guidée par la libre

volonté des entreprises américaines. La Commission européenne a adopté le 26 juillet 2000

une décision d’adéquation qui reconnaît que ces principes de la « Sphère de sécurité »

assurent une protection adéquate pour les besoins des transferts de données à caractère

personnel depuis l'Union européenne266. Ils se fondent sur sept principes qui devront être

respectés par toute entreprise y adhérant. Sont notamment énoncés le principe de notification

qui implique que chaque personne soit informée de la collecte de données la concernant dans

des conditions satisfaisantes, le principe de choix qui permet d’utiliser les données collectées

à une fin particulière dans un autre but, le principe de transfert ultérieur visant à garantir que

les données ne soient pas transférées ultérieurement à un organisme n’assurant pas une 264 Carole Moal-Nuyts, Le transfert de données à caractère personnel vers les Etats-Unis conformément au droit européen, RTDE, 38, 3, juillet-septembre 2002,451-470. 265 Yves Poullet, « Les Safe harbor principles : une protection adéquate ? » Juriscom.net, 17 juin 2000. 266 Décision de la Commission 2000/520/CE du 26 juillet.2000 - JOCE L 215/7 du of 25 août 2000.

126


protection adéquate, le principe d’accès, le principe d’application. Par ailleurs, la « sphère de

sécurité » comprend aussi parmi ses règles les réponses à seize « questions fréquemment

posées » tendant à éclairer l’interprétation des principes, ainsi que des courriers ayant été

échangés entre le Federal trade commission et la Commission européenne. Notons enfin que

si l’adhésion aux principes du Safe harbor permet le transfert de données personnelles depuis

l’Europe vers les Etats-Unis, cette possibilité n’est ni définitive ni absolue. En effet,

l’adhésion doit être renouvelée chaque année et le renouvellement n’est possible que si

l’entreprise a convenablement respecté les principes du Safe harbor durant l’année écoulée.

De plus, le champ d’application du Safe harbor est limité à certains secteurs de l’industrie,

soit aux entreprises relevant de la Federal Trade Commission, soit du ministère des transports

américains.

b) Le cas du transfert de données des dossiers passagers (PNR)

En dehors du domaine du commerce entre les Etats-Unis et l’Europe, les autorités

américaines se sont inquiétées de l’interdiction du transfert de données personnelles vers les

Etats-Unis dans un autre domaine, tout aussi préoccupant outre-atlantique : la sécurité et la

lutte contre le terrorisme. En effet, à la suite des attaques terroristes du 11 septembre 2001, les

États-Unis ont adopté une législation stricte267 disposant que les transporteurs aériens assurant

des liaisons à destination, au départ ou à travers le territoire des États-Unis sont tenus de

fournir aux autorités américaines un accès électronique aux données contenues dans leurs

systèmes de réservation et de contrôle des départs, dénommées Passenger Name Records

(PNR). Estimant que ces dispositions pouvaient entrer en conflit avec la législation

communautaire et celle des États membres en matière de protection des données, la

Commission a entamé des négociations avec les autorités américaines ayant abouti à

l’adoption d’un document contenant des engagements de la part du Bureau des douanes et de

la protection des frontières des États-Unis (le United States Bureau of Customs and Border

Protection, (CBP)). Divers avis du « groupe de l’article 29 » ont souligné les risques

d’atteinte à la protection des droits et libertés fondamentaux, et en particulier au droit à la

protection des données personnelles268.

À l’issue de ces négociations, la Commission a adopté, le 14 mai 2004, une décision

d’adéquation constatant que le CBP assure un niveau de protection adéquat des données PNR 267 Aviation and transportation security Act du 19 novembre 2001, et Enhanced border security and visa entry reform Act du 5 mai 2002. 268 Avis du 13 juin 2003 Niveau de protection assuré aux Etats-Unis pour la transmission des données passagers WP 78 MARKT/11070/03/FR ; Avis 2/2004 du 29 janvier 2004 sur la protection adéquate des données personnelles contenues dans les dossiers des passagers aériens transférés au bureau des douanes et de la protection des frontières des Etats-Unis (US CBP) WP 87 MARKT/10019/04/FR

127


transférées depuis la Communauté269. Le Conseil a, le 17 mai 2004, adopté une seconde

décision approuvant la conclusion d’un accord entre la Communauté européenne et les États-

Unis sur le traitement et le transfert de données PNR par des transporteurs aériens établis sur

le territoire des États membres de la Communauté au CBP270. Cet accord a été signé à

Washington le 28 mai 2004 et est entré en vigueur le même jour.

Le Parlement européen exprimant de nombreuses réserves sur l’approche juridique

choisie, il formule une demande d’avis à la CJCE et demande à la Commission et au Conseil

de ne pas adopter de décision sur le transfert de données PNR vers les Etats-Unis avant que la

Cour n’ait rendu son avis. Les jours suivants, la Commission comme le Conseil adoptent les

décisions précitées, ce qui conduit le Parlement à retirer sa demande d’avis et à choisir la voie

contentieuse en demandant l’annulation des deux décisions sur le fondement de l’article 230

du traité. Ce litige conduira à l’arrêt de la CJCE rendu le 30 mai 2006 Parlement contre

Conseil et Commission271. Suivant sagement le raisonnement et les conclusions très riches de

l’avocat général Philippe Léger présentées le 22 novembre 2005, la Cour de Luxembourg

décide d’annuler la décision du Conseil concernant la conclusion d’un accord entre la

Communauté européenne et les Etats-Unis sur le traitement et le transfert de données

personnelles, et la décision de la Commission relative au niveau de protection adéquat de ces

données. Concernant la décision d’adéquation, le Parlement avait soulevé six moyens

d’annulation : le choix erroné de l’article 95 du traité comme base juridique, la violation de

l’article 300 paragraphe 3 alinéa 2 du traité en raison d’une modification de la directive

95/46/CE, la violation du droit à la protection des données personnelles, la violation du

principe de proportionnalité, l’insuffisante motivation de la décision, et la violation du

principe de coopération loyale énoncé à l’article 10 du traité. A l’étude de la première

branche du premier moyen, tirée d’une violation de l’article 3, paragraphe 2, premier tiret, de

la directive, la Cour estime que le transfert des données PNR au CBP constitue un traitement

ayant pour objet la sécurité publique et les activités de l’État relatives à des domaines du droit

pénal et d’ajouter, comme le soutenait le Parlement et comme l’avait relevé l’avocat général,

que « S’il est juste de considérer que les données PNR sont initialement collectées par les

compagnies aériennes dans le cadre d’une activité qui relève du droit communautaire, à savoir

269 Décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d'Amérique (JO L 235, p. 11). 270 Décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par des transporteurs 271 CJCE, 30 mai 2006, Parlement contre Conseil et Commission, affaires jointes C-317/04 et C-318/04

128


la vente d’un billet d’avion qui donne droit à une prestation de services, toutefois, le

traitement des données qui est pris en compte dans la décision d’adéquation possède une

nature tout autre. En effet, cette décision, […] ne vise pas un traitement de données nécessaire

à la réalisation d’une prestation de services, mais considéré comme nécessaire pour

sauvegarder la sécurité publique et à des fins répressives »272. Pour la Cour, la décision

d’adéquation concerne un traitement de données à caractère personnel au sens de l’article 3,

paragraphe 2, premier tiret, de la directive qui rappelons-le, définit négativement son champ

d’application. La Cour décide, sans même examiner les autres moyens, que la décision doit

alors être annulée en ce qu’elle ne relève pas du champ d’application de la directive

95/46/CE.

A l’encontre de la décision d’adéquation, le Parlement soulève quatre moyens qui sont

l’excès de pouvoir, la violation des principes essentiels de la directive 95/46/CE, la violation

des droits fondamentaux et la violation du principe de proportionnalité. La CJCE fait droit à la

demande du Parlement qui estime que l’article 95 CE ne constitue pas, pour la décision

2004/496, une base juridique appropriée. Elle annule ainsi la décision du Conseil de manière

encore plus laconique273 et sans examiner les autres moyens.

La décision de la Cour est satisfaisante en son résultat, même s’il l’on peut regretter

que la Cour se limite à une analyse du champ d’application de la directive et de la base

juridique de l’accord passé par la Communauté avec les Etats-Unis. En effet, sans aller

jusqu’à évaluer le niveau de protection des données personnelles, ce qui ne relève pas de ses

compétences, la Cour aurait pu tenter d’aller plus loin dans son analyse et étudier à tout le

moins la conformité des décisions en cause avec les principes de protection des données

personnelles contenus dans la directive 95/46/CE. Une telle approche nous aurait peut être

éclairé davantage sur ce qu’il faut entendre par niveau adéquat de protection des données

personnelles. Quoiqu’il en soit, les décisions en cause n’ayant pas de base légale et se

trouvant hors du champ d’application de la directive, la Cour a choisi de rendre un arrêt sage

qui a le mérite d’annuler des décisions dangereuses pour les droits et libertés fondamentaux

des personnes. On sent poindre derrière ce litige, les mots de la Cour européenne des droits de

l’homme qui avec plus d’audace, dans un arrêt Klass contre Allemagne274 où le juge de

Strasbourg énonce que « les États contractants ne disposent pas […] d’une latitude illimitée

272 Point 56 de l’arrêt. 273 Elle énonce que « l’accord vise le même transfert de données que la décision d’adéquation et donc des traitements de données qui sont, ainsi qu’il a été exposé ci-dessus, exclus du champ d’application de la directive ». Point 68 de l’arrêt. 274 CEDH, Klass contre Allemagne, 6 septembre 1978, Requête n°5029/71.

129


pour assujettir à des mesures de surveillance secrète les personnes soumises à leur juridiction.

Consciente du danger, inhérent à pareille loi, de saper, voire de détruire, la démocratie au

motif de la défendre, elle affirme qu’ils ne sauraient prendre, au nom de la lutte contre

l’espionnage et le terrorisme, n’importe quelle mesure jugée par eux appropriée »275. Nous

considérons qu’il en va de même pour la protection des données personnelles par la

Communauté européenne.

Paragraphe second. Les difficultés liées à l’Internet et au caractère

international des flux de données personnelles.

Différents facteurs laissent pour le moins sceptiques sur l’efficacité d’une protection

des données personnelles à l’échelle communautaire au regard de l’internationalisation des

flux de données personnelles dans une société mondialisée où l’Internet est en passe de

devenir le média le plus utilisé. Une protection mondiale est-elle envisageable ? Elle serait en

tout cas le meilleur moyen de protéger les données de leur collecte jusqu’à leur dernière

utilisation.

A. La problématique de la protection des données sur Internet.

1) Le caractère insaisissable d’Internet : une « utopie » zone de non droit ?

Dans son ouvrage dédié à l’analyse de l’Internet et de sa place dans la communication,

Internet et après ? Une théorie critique des nouveaux médias276, Dominique Wolton se

demande si Internet peut constituer une utopie ? Pour lui, Internet est bel est bien devenu la

figure d’une utopie « au cœur de l’idéal individualiste libéral », une réelle utopie mondialiste

de l’information et de la communication. Revenons alors au sens du terme utopie, qui

concernant l’Internet, nous aidera à comprendre la difficulté de réglementer les flux de

données y circulant. C’est Thomas More qui en 1516 a forgé le terme d’utopie tel que nous le

connaissons aujourd’hui277, avec deux interprétations possibles. La première qui n’apparaît

que très rarement dans l’œuvre de More est basée sur le mot Eutopia, le préfixe grec Eu

signifiant bon, et topia, de topos signifiant lieu, il s’agit du « bon lieu ». Cette interprétation

275 Point 49 de l’arrêt de la CEDH Klass contre Allemagne précité. 276 Dominique Wolton, Op. Cit. 277 Thomas More Utopia. Traduction Marie Delcourt, Flammarion, Paris, GF n°460,1987, 256p. (Première parution 1516).

130


n’est pas celle qui nous intéresse. En effet, le plus fréquemment, Thomas More a eu recours à

l’orthographe Utopia, l’utilisation du préfixe privatif U conduisant à l’interprétation suivante :

l’Utopie signifierait un « non lieu », un lieu qui ne se trouve nulle part, un lieu qui n’existe

pas. Et c’est à cette acception du terme Utopie auquel on doit s’intéresser ici, car si pour

certains Internet constitue une Utopie, c’est peut être aussi car il ne s’agit pas d’un lieu

matériel, localisable, et réel. Internet est plutôt un réseau constitué de différents réseaux

interconnectés dans le monde et qui permet l’échange d’informations, biens immatériels par

excellence. En gardant à l’esprit cette analogie, on pourra comprendre plus facilement la

difficulté de réglementer un domaine aussi insaisissable que l’Internet, sur lequel il est

difficile d’avoir prise, et d’effectuer des contrôles effectifs et efficaces. L’utilisation du réseau

Internet permet à un individu situé dans n’importe quel Etat de consulter des informations

stockées sur un serveur situé n’importe où, ce qui implique que l’Internet brouille les réflexes

habituels du droit et de bien d’autres matières nécessitant de localiser tous les lieux propres à

un échange d’informations, de pouvoir les réglementer. Les flux de données personnelles via

le réseau Internet font face également à de larges difficultés de protection, tant les flux sont

rapides, difficiles à contrôler, et largement internationaux. Et les formes d’atteintes aux

données personnelles deviennent de plus en plus protéiformes et parfois invisibles. Non

seulement les problématiques existantes se développent, concernant la collecte, la

mémorisation, le traitement, la diffusion des données personnelles, mais en plus, de nouveaux

problèmes apparaissent : les blogs, le spamming, la cybercriminalité, la cybersurveillance...

Finalement, comme l’exprime brillamment le professeur Frayssinet, « l’Internet focalise tous

les problèmes de la protection des données personnelles en jouant un rôle de révélateur et de

catalyseur, en posant la question de l’adaptation des systèmes juridiques de protection

préexistant »278. Le droit communautaire de la protection des données personnelles se trouve

donc face à une difficulté de taille, qui se pose également aux droits nationaux : comment

protéger les données personnelles sur l’Internet ?

2) La protection assurée par le droit communautaire.

Comme la plupart des législations nationales, européennes ou non, le droit

communautaire a choisi d’appliquer un principe dit de neutralité technologique. Les textes

communautaires régissant la protection des données personnelles sont donc applicables aux

cas de traitements de données personnelles sur Internet. Néanmoins, il n’existe pas de textes

278 Jean Frayssinet, La protection des données personnelles est-elle assurée sur l’Internet.

131


spécifiques concernant la protection des données personnelles sur Internet, même si la

directive 2002/58/CE traite du cas particulier de la protection de la vie privée dans le domaine

des communications électroniques, domaine plus large que l’Internet puisqu’il couvre aussi

les communications par téléphones portables. La première observation est donc que le droit

communautaire protège les données personnelles sur Internet, mais pas par le biais d’un texte

spécifique. Quoiqu’il en soit, comme l’énonce clairement la directive 95/46/CE en son

considérant 68, il est envisageable à l’avenir qu’un texte communautaire sectoriel ait à

connaître plus spécifiquement de la protection des données à caractère personnel dans ce

réseau aux aspects si singuliers. Les principes de protection des données contenus dans la

directive de 1995 sont donc applicables au domaine de l’Internet. Il n’est pas utile de rappeler

ici ces principes que l’on a étudiés tout au long de nos développements précédents. Toutefois,

quelques questions doivent se poser plus précisément. Tout d’abord, les principes de la

directive concernant le transfert de données personnelles vers des pays tiers à la Communauté

est-il suffisamment protecteur des droits des personnes sur Internet ?

La directive 95/46/CE a pour conséquence de permettre la liberté de circulation des

données personnelles dans la Communauté qui devient une sorte d’enclos protecteur des

données personnelles et plus largement des droits et libertés fondamentaux des personnes.

Cette protection s’applique à l’Internet comme nous venons de le voir, mais une divergence

non négligeable est à noter : si la Communauté protège les données circulant en son sein et

contrôle également les transferts de données vers des pays tiers, dans le domaine de l’Internet,

les frontières n’existent pas. Chaque personne, où qu’elle se trouve sur la planète, peut

accéder à un site Internet lorsqu’elle dispose des outils nécessaires. Le droit communautaire

de la protection des données personnelles semble alors être confronté à un problème : La

consultation d’un site Internet depuis un Etat tiers, le site étant crée et/ou hébergé dans

l’Union européenne doit-elle être considérée comme un transfert de données personnelles vers

un Etat tiers ? L’arrêt Bodil Lindquist rendu par la CJCE le 6 novembre 2003279 peut peut-être

nous donner quelques éclaircissements à ce sujet. En l’espèce, c’est bien la création d’un site

Internet par une citoyenne suédoise qui a conduit le juge suédois a poser des questions

préjudicielles à la Cour de justice des communautés européennes. Parmi les cinq questions

posées à la CJCE, la cinquième revient à rechercher si l’on peut considérer qu’existe un

transfert de données personnelles vers un pays tiers au sens de l’article 25 de la directive

95/46/CE lorsqu’une personne située dans un Etat membre, inscrit sur une page Internet,

279 CJCE Bodil Lindqvist, aff. C-101/01, rec. I-12992

132


stockée auprès d’une personne physique ou morale située dans cet Etat ou dans un autre Etat

membre, des données personnelles. Les données étant ainsi accessibles à toute personne se

connectant à Internet, et même des personnes se trouvant dans un Etat tiers. La seconde partie

de la question est de savoir si la réponse est la même lorsqu’en réalité, aucun ressortissant

d’un pays tiers n’a pris connaissance de ces données, et que la page est stockée physiquement

dans un pays tiers. Sans doute embarrassée par une telle question demandant une

interprétation délicate d’une des dispositions les plus importantes de la directive 95/46/CE, la

Cour prend soin de commencer par rappeler que la directive ne définit pas la notion de

transfert vers un pays tiers, et les caractéristiques particulières de l’Internet280. La Cour prend

en considération la nature technique des opérations effectuées lors de la création de pages

Internet, ainsi que l’objectif et l’économie du chapitre IV de la directive qui concerne le

transfert de données personnelles vers des pays tiers. En l’espèce, pour avoir accès aux

données inscrites sur le site Internet de Mme Lindqvist, une personne devait non seulement se

connecter à celui-ci mais aussi effectuer, par une démarche personnelle, les actions

nécessaires pour consulter lesdites pages. Les données personnelles n’étaient donc pas

automatiquement envoyées vers des personnes ne souhaitant pas à l’origine les consulter.

Pour la Cour, cela conduit à s’intéresser alors à l’infrastructure informatique du fournisseur

d’hébergement où la page est stockée. Rappelant que le régime mis en place par le chapitre IV

de la directive est un régime spécial pour assurer un contrôle des transferts de données vers

les pays tiers, et qu’au surplus il n’y a aucune précision sur l’utilisation d’Internet, la Cour

estime que l’on ne saurait présumer que le législateur communautaire avait l'intention

d'inclure prospectivement dans la notion de «transfert vers un pays tiers de données»

l'inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur

une page Internet. Par ailleurs, le raisonnement de la CJCE la conduit à réaliser que la

règlementation des transferts de données personnelles sur l’Internet s’avère pratiquement

impossible, en reconnaissant non sans regret que si l'article 25 de la directive 95/46 était

interprété en ce sens qu'il existe un «transfert vers un pays tiers de données» chaque fois que

des données à caractère personnel sont chargées sur une page Internet, ce transfert serait

nécessairement un transfert vers tous les pays tiers où existent les moyens techniques

nécessaires pour accéder à Internet […]dès que la Commission constaterait, en application de

l'article 25, paragraphe 4, de la directive 95/46, qu'un seul pays tiers n'assure pas un niveau de 280 Le point 58 de l’arrêt énonce ainsi que « Les informations qui se trouvent sur Internet peuvent être consultées par un nombre indéfini de personnes résidant dans des lieux multiples et presque à tout moment. Le caractère ubiquitaire de ces informations résulte notamment du fait que les moyens techniques utilisés dans le cadre d'Internet sont relativement simples et de moins en moins coûteux ».

133


protection adéquat, les États membres seraient obligés d'empêcher toute mise sur Internet de

données à caractère personnel »281. Et de conclure que les opérations en cause ne constituent

pas un transfert de données vers un pays tiers et qu’il n’y a pas lieu de rechercher si une

personne d’un pays tiers a eu accès à la page Internet. Il reste que lorsque l’on se met à la

place d’un internaute dont les données personnelles pourront être consultées d’un Etat tiers, et

le cas échéant être traitées dans le non respect des principes communautaires de protection des

données personnelles, on ne peut se satisfaire de la solution proposée, solution qui semble

davantage résignée que convaincue.

B. Vers une protection mondiale des données personnelles ?

1) La nécessité d’une protection mondiale.

Deux phénomènes plus ou moins récents, et liés entre eux, permettent de plaider

aujourd’hui pour la mise en place d’une protection mondiale des données personnelles. Il

s’agit d’une part de la mondialisation dont nous étudierons les traits principaux, et du

terrorisme international, en particulier des lois sécuritaires qu’il entraîne, qui oblige les Etats à

coopérer davantage entre eux. Ces deux phénomènes, de par leur nature internationale,

rendent vaine toute réglementation strictement nationale concernant la protection des données

à caractère personnel. Qu’en est-il alors de la réglementation communautaire ? Il semble là

encore que si au sein de la Communauté la protection des données assurée sera satisfaisante et

permettra au surplus la libre circulation des données, elle n’est pas suffisante dans une planète

nous paraissant de plus en plus petite de par l’accroissement incessant des flux de toutes

sortes.

Pour ce qui est de la mondialisation, il faut tenter de définir ce phénomène que

d’aucuns utilisent parfois sans fondement ou seulement dans le domaine économique. Terme

apparu en France dans les années 1990 en traduction du mot anglais globalization, la

mondialisation consiste en la construction d’un espace où les échanges se font librement et

dans tous les domaines. Il ne s’agit donc pas de se limiter aux échanges commerciaux, et la

mondialisation concerne alors l’échange d’images, d’idées, de cultures, d’informations… Le

marché intérieur de la Communauté européenne a-t-il pour avenir un marché international ?

S’il n’est pas possible de répondre aujourd’hui à une telle question, il est en revanche possible

de comprendre que l’internationalisation des échanges de toutes sortes implique que certaines

interventions de protection se fassent désormais à l’échelle mondiale. De la même manière

281 Point 69 de l’arrêt.

134


que la protection de l’environnement ne saurait être effectuée qu’à une échelle nationale ou

communautaire, il nous semble que la protection des données personnelles ne saurait être

efficace à terme sans que certaines dispositions au moins dépassent le cadre national ou

régional. Les dispositions de la directive 95/46/CE concernant le transfert de données

personnelles vers les Etats tiers sont un premier pas intéressant dans la tentative de protéger

les données à caractère personnel en dehors même du champ de compétence territorial de la

Communauté, mais l’évolution des technologies et en particulier l’exemple de l’Internet en

montrent les limites pratiques. Enfin, un simple raisonnement par analogie permet de

considérer que si l’intervention communautaire en matière de protection des données

personnelles s’est justifiée par l’augmentation des flux principalement économiques entre les

Etats membres, l’explosion des flux mondiaux de marchandises, capitaux, services…, qui

entraînent avec eux nombre d’informations parfois liées à des personnes, rend nécessaire à

son tour une protection appropriée des données à caractère personnel.

Ensuite, le terrorisme a ces dernières années pris une ampleur telle que certains Etats

se sont dotés de législations permettant une surveillance importante des individus pouvant

parfois porter atteinte à leurs droits et libertés, et en particulier à leurs données personnelles.

A titre d’exemple, le « Patriot Act » voté aux Etats-Unis en octobre 2001 permet, en

application de sa section 215, que le FBI exige que lui soient communiquées des données dont

disposeraient des sociétés américaines et leurs filiales, quand bien même celles-ci

proviendraient de l’extérieur des Etats-Unis, et ce sans que les personnes concernées en aient

été informées. Cette situation inquiétante pour les droits fondamentaux des personnes au

premier chef desquels le droit à la vie privée et le droit à la protection des données

personnelles ne paraît avoir de solution satisfaisante que dans une coopération accrue au

niveau international, et sans doute à terme dans des principes internationaux contraignants de

protection des données personnelles, quand bien même une protection mondiale des données

semble pour l’heure difficile à envisager.

2) La difficile mise en place d’une protection mondiale des données personnelles.

Dans son rapport au Premier ministre Données personnelles et société de

l’information, Guy Braibant termine par considérer que des efforts devraient aussi être

réalisés au-delà du cadre européen282. La mise en œuvre d’une protection internationale des

données personnelles n’est pas une chose aisée. Premier obstacle à une telle action, les

282 Guy Braibant, Données personnelles et Société de l’Information, Op. Cit.

135


différences de points de vue et d’approche entre cultures juridiques différentes. De manière

générale, l’approche européenne considérant le droit à la protection des données personnelles

comme un droit fondamental dont les pouvoirs publics doivent nécessairement assurer le

respect s’oppose à l’approche américaine basée sur l’autorégulation qui attend des opérateurs

économiques d’assurer eux-mêmes cette protection. Néanmoins, l’autorégulation n’empêche

pas les autorités américaines d’intervenir soit lorsque l’opinion publique semble

particulièrement concernée et inquiète, et les groupes de pressions américains sont très

efficaces pour alerter les autorités, soit lorsqu’il s’avère patent que dans un domaine donné,

l’autorégulation ne suffit plus, et les opérateurs nécessitent des règles claires à appliquer. Il

faut d’ailleurs noter que quelques règles de protection des données personnelles existent outre

atlantique, mais sont trop disparates et très sectorielles. De plus, certains scandales

d’utilisation de données personnelles ont commencé à éveiller les consciences, ce qui peut

laisser envisager sur le moyen terme, une intervention plus claire des pouvoirs publics283. Si

les Etats-Unis en venaient à intervenir législativement pour protéger les données personnelles,

ils conviendraient certainement de la nécessité d’une réglementation internationale, et la

coopération avec la Communauté européenne serait sans nul doute essentielle.

Un moyen d’agir au niveau international pour la protection des données personnelles

serait certainement de confier cette tâche à une organisation internationale. L’Assemblée

générale de l’ONU a adopté, le 14 décembre 1990, des principes directeurs pour la

réglementation des fichiers informatisés contenant des données à caractère personnel284. Les

principes qui y sont proposés pourraient être considérés comme un fonds commun de la

protection des données à caractère personnel. Cela dit, les règles qui y sont énoncées ne sont

aucunement contraignantes, et il est fort douteux que la Communauté européenne s’en

contente tant elles sont minimales et très peu protectrices des personnes en comparaison avec

les règles communautaires qui deviennent un modèle en la matière.

Pour terminer, on peut se demander utilement si en définitive, la Communauté

européenne ne pourrait pas tenter de déployer ses propres règles juridiques de protection des

données personnelles vers des Etats tiers. Sans faire preuve d’ « impérialisme européen », il

faut admettre que les principes de la directive 95/46/CE sont complets, et qu’au surplus les

règles qu’elle contient concernant les transferts de données personnelles vers des pays tiers

pourraient conduire à une adaptation des règles communautaires, étant entendu que chaque

283 Nous pensons notamment au scandale de la société Double Click qui revendait les données personnelles qu’elle collectait. 284 Résolution de l’Assemblé générale de l’ONU 45/95 du 14 décembre 1990.

136


pays les adapterait selon les spécificités de son système, et ainsi tendre vers un fonds commun

du droit de la protection des données personnelles dont la Communauté serait à l’origine. En

tout état de cause, nous pensons comme Yves Poullet, que la Communauté, au travers de

l’Union européenne a un devoir de protéger les données personnelles en dehors même de son

territoire285, et cela pourrait devenir un des traits caractéristiques de son action extérieure.

285 Yves Poullet, « Pour une justification des articles 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontalières et de protection des données », Op. Cit.

137


Conclusion.

L’intervention de la Communauté européenne pour protéger les données personnelles

est apparue au départ comme surprenante. Aujourd’hui, la Communauté européenne et plus

largement l’Union européenne, agissent dans de plus vastes domaines qu’en 1990, date de la

première proposition de directive pour la protection des données personnelles. L’adoption

depuis lors d’autres textes que la directive 95/46/CE, comme la directive protégeant la vie

privée dans le domaine des communications électroniques, le règlement 45/2001 pour la

protection des personnes à l’égard des traitements de données personnelles effectués par les

institutions ou organes communautaires, ainsi que la Charte des droits fondamentaux de

l’Union européenne et son article 8 nous donnent l’impression que la Communauté

européenne s’est prise au jeu de la protection des données personnelles et recherche

aujourd’hui davantage à protéger le droit fondamental à la protection des données

personnelles qu’à renforcer le marché intérieur. Il est vrai que le marché intérieur est

aujourd’hui une nécessité acquise et que la Communauté vise à créer un espace démocratique

où les droits de l’homme sont respectés286. L’approche est satisfaisante et se distingue

clairement de l’approche américaine qui laisse plus de place à l’autorégulation des acteurs du

marché et aux intérêts privés pour protéger les données personnelles. Quand bien même elle

est critiquable par certains aspects, il faut reconnaître à l’approche américaine un atout :

l’absence de règles juridiques, ou leurs disparités et incohérences forcent davantage les

citoyens, le plus souvent les groupes de pressions et autres associations de défense de droits

de l’homme, à éveiller les consciences, et ce n’est pas rien dans un domaine où le droit ne

suffit pas, mais où l’action de chacun est nécessaire pour que la protection des données à

caractère personnel soit efficace et effective. Benjamin Constant ne pensait-il pas, dans un

sens identique, que les modernes agissent bien moins sur la scène publique pour que des

droits leurs sont reconnus car ils disposent de nombreuses déclarations et se complaisent en

quelque sorte dans les garanties qui leur sont offerte287 ? Peut-être que le droit américain

permet de ne pas tomber dans cet inconvénient.

Pour en revenir à la protection des données personnelles par le droit communautaire, si

l’accumulation de textes peut paraître difficile à saisir et pourrait rendre la protection moins

efficace en créant une sorte d’insécurité juridique, il est satisfaisant qu’une certaine cohérence 286 Jean-Louis Quermonne, L’Europe en quête de légitimité, 287 Benjamin Constant, De la liberté des anciens comparée à celle des modernes.

138


soit recherchée d’une part par des renvois de plus en plus fréquents aux principes de la

directive 95/46/CE, et d’autre part grâce à l’existence d’autorités de contrôle chargées de

vérifier la bonne application des principes de la directive de 1995 tout comme ceux de la

directive 2002/58/CE, et il faut ici saluer le formidable travail d’interprétation et de pédagogie

effectué par le groupe de l’article 29. Au niveau national, pour reprendre l’exemple français

que nous avons suivi le long de notre étude, la CNIL effectue un travail de conseil et de

contrôle tout aussi remarquable.

Qu’en est-t-il alors de l’efficacité de la protection des données personnelles en droit

communautaire ? Nos démonstrations permettent de penser que le droit communautaire,

protégeant les données personnelles en tant que droit fondamental, a prévu un haut niveau de

protection des données, des droits et obligations appropriés, et des mécanismes de contrôle

divers visant à la plus grande effectivité de la protection des données personnelles en droit

communautaire. En outre, le droit communautaire va jusqu’à réglementer les transferts de

données personnelles vers les Etats tiers et se permet ainsi de déterminer si le niveau de

protection dans un pays tiers lui semble adéquat ou non.

Le droit communautaire des données personnelles nous convainc en ce que la

protection qu’il offre est bien plus large que celle qu’offrait la convention 108 du Conseil de

l’Europe. Par ailleurs, pour ce qui est de notre autre référent, la loi française relative à

l’informatique et libertés de 1978, quand bien même elle assurait un niveau de protection

élevé, elle n’était plus adaptée aux évolutions de la société, et nécessitait une large

modernisation. La version nouvelle de la loi « Informatique et libertés » regorge

d’innovations adoptées en application du droit communautaire. Si certaines craintes ou

critiques ont été formulées concernant un éventuel abaissement du niveau de protection en

France, ce n’est pas à notre sens en raison de la directive communautaire, même si celle-ci

laisse de larges choix aux Etats. Il nous semble que la nouvelle loi « Informatique et libertés »

souffre surtout d’un manque de cohérence dans son organisation, mais que le niveau de

protection des données personnelles ne devrait pas être abaissé.

Les perspectives sont de différents ordres. En premier lieu, des négociations plus

fructueuses devront être engagées au niveau international, pour que la protection des données

personnelles réponde aux réalités de notre société mondialisée, et en particulier, le

rapprochement entre les autorités américaines et européennes en ce domaine est inévitable

pour que la protection des données personnelles soit plus satisfaisante.

Ensuite, devra être renforcée et précisée l’étendue de l’harmonisation, et avant tout la mesure

de cette harmonisation en approfondissant la coopération entre autorités nationales de

139


contrôle, ou en procédant à une étude plus poussée de la protection offerte dans chacun des

Etats membres de la Communauté.

Par ailleurs, il est clair que de nouveaux défis se présentent au législateur européen,

notamment concernant l’Internet qui apparaît comme étant le domaine le moins sûr pour la

protection des données personnelles.

Enfin, il est utile de s’intéresser à l’utilisation qui s’avère plus fréquente de nouvelles données

personnelles qui présentent de nouveaux dangers. Nous pensons ici aux données

biométriques, aux données génétiques, à l’ADN, que le droit communautaire ne réglemente

pas spécifiquement et qui pourront poser de nouvelles problématiques dans les années à venir.

140


Liste des décisions.

Cour de justice des communautés européennes.

• CJCE, 10 décembre 1968, Commission contre Italie, affaire 7/68, Rec. 1968, p. 618

• CJCE, 12 novembre 1969, aff. 29/69, Stauder, Rec. 1969

• CJCE, 17 décembre 1970, aff. 11/70 Internationale Handelsgesellschaft, Rec. 1969,

p.419.

• CJCE, 14 mai 1974, aff 4/74 Nold, Rec. P.491.

• CJCE, 11 juillet 1974, Dassonville, affaire 8/74, Rec, 1974, p. 837

• CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337

• CJCE, 28 octobre 1975, aff. 36/75, Rutili contre Ministère de l’intérieur, Rec. 1975, p.

1219.

• CJCE, 20 février 1979, Rewe Zentral contre Bundesmonopolverwaltung für

Branntwein affaire du « Cassis de Dijon », affaire 120/78, Rec., 1979, p. 649, attendu

8

• CJCE, 5 avril 1979, Ratti, aff. 148/78.

• CJCE 13 décembre 1979, Hauer, Aff. 44/79, Rec.1979 3727

• CJCE, Avis 1/91 du 14 décembre 1991. Rec 1991 I.6079

• CJCE, 2 Août 1993, Marshall Aff. C-271/91, Rec. I.4361.

• CJCE, 24 novembre 1993, Keck et Mithouard, Aff. Jointes C-267/91 et C-268/91. Rec.

1993, pp. I-6097.

• CJCE 5 octobre 1994, X c/ Commission C-404/92.

• CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté européenne à la

Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Rec. I.

1759.

• CJCE 9 décembre 1997, Commission c. France, C-265/95, Rec. P.I-6959.

• CJCE 24 juin 2001, Commission contre Pays Bas, aff C-350/02.

• CJCE, 4 octobre 2001, Commission contre Luxembourg, Aff. 450/00.

• CJCE 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00 P, Rec. I-66-77.

• CJCE 20 mai 2003 Rechnungshof Österreichischer Rundfunk, affaires jointes C-

465/00, C-138/01 et C-139/01.

141


• CJCE 12 juin 2003, Schmidberger, Aff. C-112/00

• CJCE 6 novembre 2003 Bodil Lindqvist, aff. C-101/01, rec. I-12992.

• CJCE 11 juin 2005, Commission contre Luxembourg, aff C-375/04 JO C 143 du 11

juin 2005 p.14 ;

• CJCE 11 juin 2005, Commission contre Belgique, aff. C-376/04 JO C 143 du 11 juin

2005 p.14 ;

• CJCE, 30 mai 2006, Parlement contre Conseil et Commission, affaires jointes C-

317/04 et C-318/04.

Cour européenne des droits de l’homme.

• CEDH 30 juin 2005, Bosphorus contre Irlande Req. n° 45036/98

• CEDH, 6 septembre 1978, Klass contre Allemagne, Requête n°5029/71.

• CEDH 25 février 1997, Z. c/ Finlande.

• CEDH 16 février 2000, Amman c. Suisse

• CEDH 27 août 1997 MS c/Suède.

• CEDH 26 mars 1987 Leander c/Suède.

• CEDH 5 mai 2000 Rotaru c/Roumanie.

Conseil constitutionnel.

• Décision n° 2004-499 DC du 29 juillet 2004 Loi relative à la protection des personnes

physiques à l'égard des traitements de données à caractère personnel

Cour de cassation.

• Cass. Crim. 14 mars 2006, pourvoi 05-83423.

Cour suprême des Etats-Unis.

• Griswold vs. Connecticut. 381. U.S. 479, 486. (1965).

142


Bibliographie.

• Ouvrages généraux

D. Calleja, D. Vignes, R. Wägenbaur, Commentaire Mégret. Le droit de la

C.E.E. 5. Dispositions fiscales. Rapprochement des législations. Ed. De

l’Université de Bruxelles. Coll. ° Etudes européennes. 2ème éd. 1993, Bruxelles,

427p.

J. Carbonnier, Les biens, PUF, Paris, collection Thémis droit, 2000.

Louis Cartou, Jean-Louis Clergerie, Annie Gruber, Patrick Rambaud,

L’Union européenne, Précis Dalloz, 5ème éd., Paris 2004. 829p.

P. Catala, Ebauche d’une théorie juridique de l’information, in Le droit à

l’épreuve du numérique, Jus ex Machina

Laurence Burgogue-Larsen La France face à la Charte des droits

fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen,

Bruylant, Bruxelles, 2005 694p.

Gérard Cohen-Jonathan, Aspect européens des droits fondamentaux, 3ème

édition, Montchrestien, Paris, 2002, 280p.

V. Constantinesco, J-P Jacqué, R. Kovar, D. Simon, Traité instituant la

C.E.E : commentaire article par article. Ed. Economica. Paris 1992. 1648p.

Benjamin Constant, De la liberté des anciens comparée à celle des modernes

Louis Dubouis et Claude Blumann, Droit matériel de l’Union européenne, Coll.

Domat droit public, Montchrestien, Paris, 3ème éd., 613p.

Jacqueline Dutheil de la Rochère, Droit matériel de l’Union européenne, 2ème

éd. 2004. 159p.

Louis Favoreu (sous la direction de) Droit des libertés fondamentales, précis

Dalloz, Paris, 2ème édition, 2002.

Jean-Jacques Israël, Droit des Libertés fondamentales, LGDJ, Paris, 1998.

Pierre Kayser, La protection de la vie privée par le droit. Protection du secret

de la vie privée. Presses universitaires d’Aix-Marseille, Economica, Paris, 3ème

éd. 605p.

Danièle Lochak, Les droits de l’homme, Repères – La Découverte. 2002

143


Marshall Mac Luhan, Guerre et paix dans le village planétaire, 1968

Alfonso Mattera, Le Marché unique européen, ses règles, son fonctionnement.

Jupiter, Bruxelles, 2ème éd. 1990. 775p.

Jean Morange, Droits de l’homme et libertés publiques, Puf, collection droit

fondamental, Paris, 5ème édition revue et augmentée 2000, 441p.

Thomas More Utopia. Traduction Marie Delcourt, Flammarion, Paris, GF

n°460,1987, 256p. (première parution 1516).

J. Mourgeon, Les droits de l’Homme, PUF « Que sais-je ? » n°1728, Paris,

1990.

Georges Orwell, 1984, Trad. Par Amélie Audiberti, Gallimard, Paris, Folio 822.

438 p.

Gregorio Peces, Barbara Martinez, Théorie générale des droits fondamentaux.

Droit et sociétés – Maison des sciences de l’homme. Série droit. LGDJ, Paris,

2004.

Jean-Marie Pontier, Droits fondamentaux et libertés publiques. Les

fondamentaux – Hachette, Paris, 2001. 157p.

Jean-Louis Quermonne, L’Europe en quête de légitimité,

J-F Renucci, Droit européen des droits de l’homme, LGDJ, Paris 3° éd. 2002

700p.

Adam Smith, Recherche sur la nature et les causes de la richesse des nations,

1776.

Fréderic Sudre, Droit international et européen des droits de l’homme, Puf,

collection droit fondamental classiques, Paris, 7ème édition refondue 2005.

Fréderic Sudre et Labayle, Réalité et perspectives du droit communautaire des

droits fondamentaux, Bruylant, Bruxelles, collection Droit et justice, n°27 2000.

Frédéric Sudre (dir.), Le droit au respect de la vie privée au sens de la

Convention européenne des droits de l’homme. Bruylant, Bruxelles, 2005.

Dominique Turpin, Libertés publiques et droits fondamentaux. Seuil, Paris,

2004.

Patrick Wachsmann, Les droits de l’homme, Dalloz – Connaissance du droit,

Paris, 4ème édition, 2002

Patrick Wachsmann, Libertés publiques, Dalloz, 5ème éd., Paris, 2005, 676p.

Dominique Wolton, Internet et après ? Une théorie critique des nouveaux

médias. Flammarion, Paris, 1999, 240p.

144


• Ouvrages spécialisés

Annie Blandin-Obernesser, sous dir. L’Union européenne et Internet : entre

logique de marché et préoccupations citoyennes. Travaux de la Commission

pour l’étude des Communautés européennes. Ed. Apogée 2001 189p.

Guy Braibant, Données personnelles et société de l’information, Rapport au

Premier ministre. La documentation française, 1998, 291 p.

Georges Chatillon, sous dir. Le droit international de l’Internet, Actes du

colloque organisé à Paris les 19 et 20 novembre 2001 par le Ministère de la

Justice, l’Université Paris I Panthéon Sorbonne et l’association Arpeje. Bruylant,

Bruxelles, 2002 689p.

Fatima El Atmani, La protection des données personnelles dans l’Union

européenne, Thèse de droit privé soutenue à la faculté de Montpellier,

Septembre 1996.

Isabelle Falgue, Internet, enjeux juridiques. La documentation française.

Marie-Pierre Fenoll-Trousseau et Gérard Haas, La cybersurveillance dans

l’entreprise et le droit, Juris classeur Litec, Paris, 2002.

Marie-Pierre Fenoll-Trousseau, Internet et protection des données personnelles,

Juris classeur Litec, Paris, 2003.

Jean Frayssinet, André Lucas, Jean Devize, Droit de l’informatique et de

l’Internet. Thémis. PUF, Paris, 747p.

E Gallouedec-Genuys et H Maisl, Le secret des fichiers, Ed. Cujas, Paris, 1976.

Jérôme Huet, Droit de l’informatique et des télécommunications. Litec, Paris.

Marie-Laure Laffaire, Protection des données à caractère personnel, Edition

d’organisation, Paris, 2005, 542p.

Martin-Lalande, l’internet, un vrai défi pour la France, Rapport au Premier

ministre, 1998 La documentation française, Paris.

Nathalie Mallet-Payol, Nouvelles technologies de l’information et libertés

individuelles, Problèmes économiques et sociaux, n°805, juillet 1998. La

documentation française, Paris.

Etienne Montero, sous dir. Droit des technologies de l’information. Regards

prospectifs. Cahiers du CRID, Bruylant, Bruxelles 1999.

145


Pierre Tabatoni, sous dir. La protection de la vie privée dans la société de

l’information, Cahiers des sciences morales et politiques, tomes I-V.

• Articles et contributions.

E. Andrieu, « Internet et la protection des données personnelles ». Legicom n°

21/22, 2000.

Xavier Biseul, « Cybersurveillance : les nouvelles technologies ravivent les

vieilles peurs ». Revue 01 informatique n° 1772, 4 juin 2004.

Bitoun J-G., « De la protection de la vie privée : des cookies indigestes »,

CyberlexNet, http://www.grolier.fr/cyberlexnet, 23 avril 1997

M-H Boulanger, C. de Terwangne, Th. Léonard, S. Louveaux, D. Moreau, Y.

Poullet, « La protection des données personnelles en droit communautaire »,

Journal des tribunaux, droit européen, n° 40,41,42, juin, septembre, octobre

1997.

Jean Boulouis, « A propos de la fonction normative de la jurisprudence :

remarques sur l’œuvre jurisprudentielle de la Cour de justice des communautés

européennes », Mélanges Waline, LGDJ, Paris, 1974, p.149

A. Bourlond, Y. Poullet, « Flux transfrontalières de données à caractère

personnel, position de la proposition de directive européenne face à celle de la

convention 108 du Conseil de l’Europe », D.I.T, 1991/2, p. 58 et s.

Ulf Brühann, « La directive européenne relative à la protection des données :

fondements, histoire, points forts », RFDAP n°89, janvier-mars 1999, pp.9-19.

Ulf Brühann, « La protection des données à caractère personnel et la

Communauté européenne », RMCUE, n°428 mai 1999, p328-341.

Louise Cadoux, « Solutions techniques de protection de la vie privée », pp.42-

53, in « La protection de la vie privée dans la société de l’information », dir. P.

Tabatoni.

Mireille Campana, « La cryptographie », pp.54-62, in « La protection de la vie

privée dans la société de l’information », dir. P. Tabatoni

Jean-Paul Costa, « La Convention européenne des droits de l’homme, la Charte

des droits fondamentaux de l’Union européenne et la problématique de

146

http://www.grolier.fr/cyberlexnet


l’adhésion de l’Union européenne à la Convention », 2004. EUI Working Paper

2004/5.

J. Costa-Lascoux, « De Schengen à Maastricht : libertés et contrôles dans

l’Union européenne », in Mélanges G. Levasseur. Litec/Gaz.Pal 1992 p.129 s.

Emmanuel Crabit, « La directive sur le commerce électronique. Le projet

« Méditerranée » », RDUE 2000 n°4, p.749-833.

Cécile De Terwangne, « Diffusion de la jurisprudence via internet dans les pays

de l’Union européenne et règles applicables aux données personnelles », LPA 29

septembre 2005 n°194 p.40-48.

Jean-Marc Dinant, « Les traitements invisibles sur Internet », in Cahiers du

CRID n°16, Bruylant, 1999, pp.271-294.

J. Frayssinet, « La loi relative à l’informatique, aux fichiers et aux libertés,

modifiée par la loi du 6 août 2004 : continuité et/ou rupture ? », Revue Lamy

droit de l’immatériel, n°9 octobre 2005, p.50.

J. Frayssinet, « Le décret n°2005-1309 du 20 octobre 2005 pris pour

l’application de la loi modifiée du 6 janvier 1978 relative à l’informatique, aux

fichiers et aux libertés ». Revue Lamy droit de l’immatériel, n°11 décembre

2005, p.24.

Pascale Gelly, « La Commission européenne approuve un nouveau modèle de

contrat de transfert de données personnelles », Expertises des systèmes

d’information, 1er février 2005, n°289, pp.55-58.

Théodore Georgopoulos, « Libertés fondamentales communautaires et droits

fondamentaux européens : la guerre n’aura pas lieu », Les Petites Affiches, 8

janvier 2004, pp. 8-14

Claudine Guerrier, « Les cartes d’identité et la biométrie : l’enjeu sécuritaire »,

Communication commerce électronique, 1er mai 2004, n°5, pp.19-23.

Claudine Guerrier, « Protection des données personnelles et applications

biométriques en Europe », Communication commerce électronique, 1er juillet

2003, n°7, pp.17-22.

Philippe Ch. –A. Guillot, « La personne, être social, La sphère privée.

Personnalité et patrimoine ». In La France face à la Charte des droits

fondamentaux de l’Union européenne, sous dir. Laurence Burgogue-Larsen,

Bruylant, Bruxelles, 2005 694p.

147


Guillaume Jahan, « Personal Data Privacy and Security Act : combattre le

détournement des données personnelles sur Internet ». Gaz. Pal. 19 et 20 octobre

2005, p.3269.

Julien Le Clainche, « Pouvoirs à posteriori de la CNIL : les risques de l’excès

de prudence ». Revue Lamy droit de l’immatériel, n°11 décembre 2005, p.43.

Pierre Leclercq, « Loi du 6 août 2004. Les transferts internationaux de données

personnelles », Communication commerce électronique. 1er février 2005, n°2,

pp.29-32.

Marc-Antoine Ledieu, « Les transferts internationaux de données à la

française », Communication – Commerce électronique, janvier 2006, pp.18-23.

Marie-Ange Le Mestre, « L’agence européenne chargée de la sécurité des

réseaux et de l’informatique : la décentralisation communautaire au service de la

libre communication », Lamy droit de l’informatique, 1er juillet 2004, n°171,

pp.1-4.

Sabine Lipovetsky et Audrey Yayon-Dauvet, « Le devenir de la protection des

données personnelles sur Internet », Gaz. Pal. Recueil septembre-octobre 2001,

p.1376 s.

Francesco Maiani, « Le cadre réglementaire des traitements de données

personnelles effectués au sein de l’Union européenne. Situation présente et

perspectives de développement ». RTD eur. N°38, avril-juin 2002, p 285-309.

H. Maisl, « Les autorités de contrôle et la défense de la vie privée », in Actes du

colloque du 15 novembre 1996 : Privacy : new risks and opportunities,

Bruxelles, Cahiers du CRID, n°13, 1997, p.79.

H Maisl, « Communications mobiles, secret des correspondances et protection

des données personnelles », LPA 1995 n°74 p.11.

Alexandre Maitrot de la Motte, « La réforme de la loi informatique et libertés

et le respect au droit de la vie privée », AJDA 29 novembre 2004 p. 2269 s.

Nathalie Mallet-Poujol, « La réforme de la loi « Informatique et libertés » »,

RFDAP n°89, janvier-mars 1999, pp.49-62.

David Martin, « La directive 95/46/CE (protection des données) et sa

transposition en droit français », Gaz. Pal. Gazette européenne, 1998 (1er sem.)

p. 601-612.

148


M. Massé, « L’espace Schengen, texte et contexte, figures de l’intégration dans

l’Europe communautaire ». , in Mélanges G. Levasseur. Litec/Gaz.Pal 1992 p.

382.

Rostane Mehdi, « La justice communautaire », in Dictionnaire de la justice, L.

Cadiet (sous dir.), PUF, Paris, 2004, p.736

Anne Meyer-Heine, « Le droit constitutionnel français, instrument de remise en

cause de la proposition de directive communautaire relative à « la protection des

personnes physiques à l’égard du traitement et de la circulation des données à

caractère personnel ». RFDC 1995 n°23, p. 637 et s.

Carole Moal-Nuyts, « Le transfert de données à caractère personnel vers les

Etats-Unis conformément au droit européen », RTDE 38, 3, juillet-septembre

2002, pp.451-470.

Christophe Pallez, « La loi du 6 aout 2004 : l’expertise de la CNIL », Revue

Lamy droit de l’immatériel, octobre 2005, p. 56.

Fernando Rui Paulino Pereira, « Le projet de réseau européen d’information

juridique Line (Legal information network in Europe), LPA, 29 septembre 2005,

n°194, p.17.

M-C Ponthoreau, « La directive 95-46 CE du 24 octobre 1995 relative à la

protection des personnes physiques à l’égard des données à caractère personnel

et à la libre circulation de ces données », RFDA 1997, p.125-150.

Yves Poullet, « Flux transfrontalières de données, vie privée et groupes

d’entreprises », Revue Lamy droit de l’immatériel, septembre 2005, p.47-57.

Yves Poullet, Maria Veronica Peres Asinan, « Données de voyageurs aériens :

Le débat Europe-Etats-Unis », JDT droit européen, 1er novembre 2004, n°113,

pp.266-274.

Yves Poullet, « Pour une justification des articles 25 et 26 de la directive

européenne 95/46/CE en matière de flux transfrontalières et de protection des

données », Communication commerce électronique, 1er décembre 2003, n°12,

pp.9-21.

Fabienne Quilleré-Mazjoub, « Les individus face aux systèmes d’information

de l’Union européenne : l’impossible équation du contrôle juridictionnel et de la

protection des données personnelles au niveau européen ? » JDI juillet-aout-

septembre 2005 p.609-635.

149


N. Risacher « Internet et la protection des droits fondamentaux de le personne

humaine », Bulletin d’actualité - Lamy droit de l’informatique, N° 8 - 2 juin

1996.

Gilles Vercken, le « correspondant à la protection des données » : une création

inachevée ? » Revue Lamy droit de l’immatériel, octobre 2005, p.58.

Michel Vivant, « les transferts internationaux de données dans la loi de 2004 »

Revue Lamy droit de l’immatériel, octobre 2005, p.64.

S. Simitis, « Data Protection in the European Union: the quest for common rules

», Collected courses of the Academy of European Law, volume VIII, livre I,

2001, p.95.

Jean-Claude Soyer, « l’avenir de la vie privée face aux effets pervers du progrès

et de la vertu », p.8-9, in « la protection de la vie privée dans la société de

l’Information », Cahiers des sciences morales et politiques, tomes I-V, sous dir.

Pierre Tabatoni.

D. Simon, « L’avis 2/94 du 28 mars 1996, sur l’adhésion de la communauté à la

convention européenne des droits de l’Homme », Europe, Chronique, juin 1996,

p.1 s

Warren et Brandeis, «The right of privacy», Harvard Law Revue, 1890

• Documents

Union européenne.

8ème rapport annuel du groupe de travail « article 29 » sur la protection des

données portant sur « l’état de la protection des personnes à l’égard du

traitement des données à caractère personnel dans l’Union européenne et les

pays tiers »

Document de la Commission européenne sur l’état de transposition de la

directive 95/46/CE disponible en anglais à l’adresse :

http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm

Charte des droits fondamentaux de l’Union européenne JOCE, n° C 364, 18

décembre 2000.

150

http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm


Conclusions de la Présidence du Conseil européen de Cologne, décision du

conseil concernant l’élaboration d’une Charte des droits fondamentaux de

l’Union européenne, points 44 et 45 (Bull. UE n°6-1999, point I.18) et annexe

IV, p. 43 (Bull. UE n°6-1999).

Convention d’application des accords Schengen. JOCE n° L239, 22

septembre 2000, p.19. En particulier art. 92 à 119.

Convention portant création d’un office européen de police (Europol),

JOCE, n°C 316, 27 novembre 1995, p.2.

Convention sur l’emploi de l’informatique dans le domaine des douanes,

JOCE, n° C 316 27 novembre 1995, p.34.

Directive 95/46/CE du Parlement européen et du Conseil du 24 Octobre

1995, relative à la protection des personnes physiques à l’égard du traitement des

données à caractère personnel et à la libre circulation de ces données. JOCE 23

novembre 1995.

Directive 97/66/CE concernant le traitement des données à caractère personnel

et la protection de la vie privée dans le secteur des télécommunications

Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des

services de la société de l’information, et notamment du commerce électronique,

note E. MEISSE, Europe, janvier 2004 n°347.

Directive 2002/58/CE du 12 juillet 2002 sur le traitement des données à

caractère personnel et la protection de la vie privée dans le secteur des

communications électroniques.

Directive 2006/24/CE du 15 mars 2006, JOCE du 13 avril 2006, n°L 105/54.

Rapport de la Commission – Premier rapport sur la mise en œuvre de la

directive relative à la protection des données (95/46 CE). Réf /*COM/ 2003/

0265 final */

Décision d’adéquation de la Commission 2000/518/CE du 26.7.2000 -JOCE L

215/1 du 25.8.2000

Décision C (2001)497 CE, JOCE L 181/19, 4 juillet 2001. Clauses

contractuelles type pour le transfert de données personnelles vers des pays tiers.

Décision d’adéquation de la Commission C 2002/2/CE du 20.12.2001 - JOCE

L 2/13 du 4.1.2002

151


Décision d’adéquation de la Commission du 21 novembre 2003 sur la

protection adéquate des données personnelles en Guernesey - JOCE. L 308,

25.11.2003

Décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau

de protection adéquat des données à caractère personnel contenues dans les

dossiers des passagers aériens transférés au Bureau des douanes et de la

protection des frontières des États-Unis d'Amérique (JO L 235, p. 11).

Décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion

d’un accord entre la Communauté européenne et les États-Unis d'Amérique sur

le traitement et le transfert de données PNR par des transporteurs

Décision d’adéquation de la Commission C (2003)1731 du 30 juin 2003 -

JOCE L 168, 5.7.2003.

Différent avis du groupe de l’article 29. Notamment :

-Avis du 13 juin 2003 Niveau de protection assuré aux Etats-Unis pour la

transmission des données passagers WP 78 MARKT/11070/03/FR ;

-Avis 2/2004 du 29 janvier 2004 sur la protection adéquate des données

personnelles contenues dans les dossiers des passagers aériens transférés au bureau des

douanes et de la protection des frontières des Etats-Unis (US CBP) WP 87

MARKT/10019/04/FR

Règlement (CE) n°45/01 publié au JOCE L 8/2001 p.1.

Conseil de l’Europe

Recommandation R (87) 15 du 17 septembre 1987 du Comité des ministres

du Conseil de l’Europe relative à la réglementation de l’utilisation des données

à caractère personnel dans le secteur de la police

Recommandation R (97) 5 du 13 février 1997 relative à la protection des

données médicales.

Convention 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection

des personnes à l’égard du traitement des donnes à caractère personnel et ses

protocoles additionnels.

152


France

Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques

à l’égard des traitements de données à caractère personnel et modifiant la loi n°

78-17. Journal officiel 7 août 2004, p.14063.

Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux

libertés. Journal officiel « Lois et Décrets » du 7 janvier 1978

page 227.

CNIL, 26 ème rapport d’activité, 2006, p.27.

• Sites internet.

CNIL : www.cnil.fr

Union européenne : www.europa.eu.int

Conseil de l’Europe : www.coe.int

Cour européenne de justice : www.curia.eu.int/fr

Parlement européen : www.europarl.eu.int

Conseil européen : www.consilium.eu.int

Cour européenne des droits de l’homme : www.echr.coe.int

www.droit-ntic.com

www.foruminternet.org

www.alain-bensoussan.com

153

http://www.cnil.fr/

http://www.europa.eu.int/

http://www.coe.int/

http://www.curia.eu.int/fr

http://www.europarl.eu.int/

http://www.consilium.eu.int/

http://www.echr.coe.int/

http://www.droit-ntic.com/

http://www.foruminternet.org/

http://www.alain-bensoussan.com/


• Jurisprudence.

Cour de justice des communautés européennes

CJCE, 4 décembre 1974, Van Duyn, Aff. 41/74, Rec. 1337R-CH.

Goffin, JDT droit eur, 1975, p.154 ; G. Lyon-Caen, RTDE, 1976,

p.141 ; D. Wyatt, European Law Review

CJCE 5 octobre 1994 X c/ Commission C-404/92. RUDH 1994 p. 408

note O. de Schutter. RTDH 1995, 97.

CJCE, Avis 2/94, 28 mars 1996, Adhésion de la Communauté

européenne à la Convention de sauvegarde des droits de l’homme et

des libertés fondamentales, Rec. I. 1759. RMUE, 1996, p.220, F.

Berrod ; JDI, 1997, p. 516, V. Constantinesco; CDE, 1996, p.555, O.

de Schutter et Y. Lejeune ; Rec. Dalloz-Sirey, 1996, Jur., p.449, J.-F.

Renucci ; Europe, juin 1996, p.624, D. Simon ; RTDE, 1996, p. 467,

P. Wachsmann.

CJCE 25 juillet 2002 Union de Pequenos Agriculdores, aff. C-50/00

P, Rec. I-66-77. Europe, octobre 2002, p.7, note F. Berrod et F.

Mariotte; Rec. Dalloz, 2002 Jur. P.2825, P. Cassia ; AJDA, 2002,

p.868 ; JDT. Droit européen, n°92, 2002, p.199.

CJCE 20 mai 2003 Rechnungshof Österreichischer Rundfunk,

affaires jointes C-465/00, C-138/01 et C-139/01. RTDH, 2004, 724

obs. C. Maubernard.

CJCE 12 juin 2003 Schmidberger, Aff. C-112/00, obs. A. Rigaux et

D. Simon, Europe 2003, n°8-9 ; RTDH 2004, 435, note C. Vial ; JDI,

2004, 545, obs. R.Mehdi.

CJCE 6 novembre 2003 Bodil Lindqvist, aff. C-101/01, rec. I-12992.

obs. F. Mariatte, Europe, janvier 2004 n°18 ; obs L. Burgogue-

Larsen, Rec. Dalloz 2004, Somm., p.1062. ; obs. Caroline Picheral,

RTDH 2004, p.728.

154


Cour européenne des droits de l’homme.

CEDH 25 février 1997, Z. c/ Finlande. JCP 1998-I-107 n°35 obs. F.

Sudre; AJDA 1998 p.42 obs. J-F Flauss ; D. 1997-J-584, note S.

Grataloup ; JCP 1997-I-4071, note S. Evain ; Rev. Sc. Crim. 1998

p.387 obs. R. Koening-Joulin

CEDH 27 août 1997 MS c/Suède. D. 2000-J-521, note I. Laurent

Merle

CEDH 5 mai 2000 Rotaru c/Roumanie. JCP 2001-I-291 n°30 obs. F.

Sudre p.137. RTDH 2001. p.137. obs. O. de Schutter.

155


Table des matières

Première partie : La volonté d’assurer une protection élevée des données personnelles dans le marché intérieur. 15

Chapitre 1. Un fondement économique justifiant une réglementation communautaire: le bon fonctionnement du marché intérieur. 16

Section 1 : Une intervention communautaire visant à favoriser la libre 16 circulation des données personnelles. 16

Paragraphe premier: Les enjeux importants pour le marché intérieur. 16 A) Le renforcement du marché intérieur. 17

1) Le fondement de l’intervention communautaire. 17 2) Une intervention nécessaire au bon fonctionnement du marché intérieur. 18

B) Une intervention nécessitant une protection élevée dans le marché intérieur. 19 1) Le rapprochement de mesures nationales ayant pour objet la protection de droits fondamentaux. 19 2) L’obligation de prendre pour base un niveau de protection élevé. 20

Paragraphe second : Un domaine soumis aux libertés économiques du TCE. 21 A) Les enjeux économiques. 21

1) Une problématique actuelle. 21 2) La garantie des libertés économiques du TCE. 22

B) Les données personnelles comme bien économique. 231) Des données pouvant être qualifiées de marchandises au sens du droit communautaire. 23 2) La libre circulation des marchandises appliquée aux données personnelles. 24

Section 2 : Une harmonisation complète des législation nationales sur la protection des données personnelles? 27

Paragraphe premier : L’étendue de l’harmonisation opérée par la directive 95/46 CE. 27

A) Une harmonisation complète ? 27 1) Les différents degrés d’harmonisation possibles. 28 2) L’étendue de l’harmonisation opérée par la directive générale de 1995. 29

B) L’état des transpositions de la directive « données personnelles ». 30 1) Une directive aujourd’hui largement transposée. 30 2) Les difficultés rencontrées. 31

Paragraphe second : Les autres textes de l’ordre communautaire relatifs à la protection des données personnelles. 33

A) Les mesures sectorielles. 33 1) Les directives sectorielles concernant le secteur des communications électroniques. 33 2) La directive « commerce électronique » ou la protection des données personnelles par un mécanisme de connexité. 35

B) Les autres mesures de l’ordre juridique communautaire : une protection appliquée aux organes et institutions communautaires 36

156


1) L’inscription de cette protection dans le droit communautaire primaire : l’article 286 TCE 36 2) Le règlement 45/2001. 38

Chapitre 2. Un objectif prévalent : Une large protection des données personnelles en tant que droit fondamental. 39

Section 1. La protection des données personnelles comme droit fondamental de l’Union européenne. 39

Paragraphe Premier. La consécration d’un droit fondamental issu du droit à la vie privée. 39

A. Un droit fondamental composante du droit à la vie privée ? 40 1) Une protection étroitement liée au droit au respect de la vie privée 40 2) Une protection liée à la garantie de plusieurs autres droits fondamentaux. 43

B. La consécration d’un droit fondamental à part entière. 44 1) Un droit fondamental potentiellement Principe général du droit communautaire. 44 2) Une consécration dans la Charte des droits fondamentaux de l’Union européenne. 47

Paragraphe second. Les questions inhérentes à la fondamentalité du droit à la protection des données personnelles en droit communautaire. 49

A. La nécessaire conciliation avec d’autres droits et libertés fondamentaux. 49 1) Liberté d’expression contre protection des données personnelles 49 2) Libertés économiques confrontées à la protection des données personnelles. 50

B. La question des rapports entre droit communautaire et droit de la CEDH. 52 1) La question de l’adhésion de l’Union européenne à la CEDH. 52 2) La question de l’adhésion de l’Union européenne à la convention 108 du Conseil de l’Europe. 54

Section 2 : Des définitions et un champ d’application visant à favoriser une protection étendue. 55

Paragraphe premier : Des dispositions pour un haut niveau de protection. 55 A) Des définitions vastes. 56

1) La définition des objets de la protection. 56 2) Les définitions relatives aux personnes concernées. 59

B) Un champ d’application large. 62 1) Le champ d’application matériel. 62 2) Le champ d’application territorial. 64

Paragraphe second : Une protection élevée mais néanmoins perfectible. 65 A) Un champ d’application excluant les traitements de données personnelles dans le cadre des IIème et IIIème piliers. 65

1) L’exclusion des traitements effectués dans le cadre des IIème et IIIème piliers. 65 2) La situation des systèmes d’information européens du troisième pilier. 66

B) Les autres domaines non soumis au droit communautaire et les limites de la directive. 67

1) Les autres domaines non soumis à la directive 95/46 CE 67 2) champ d’application trop large ? 69

Deuxième partie : Des mesures efficaces pour une protection élevée des données personnelles par le droit communautaire. 70

157


Chapitre I. Des règles juridiques permettant un traitement licite des données personnelles. 71

Section 1. Les droits conférés à la personne concernée. 71

Paragraphe Premier. Des droits liés à l’information et à l’intervention de la personne concernée. 71

A. Des droits d’information. 72 1). Un droit d’information satisfaisant. 72 2). Le droit d’accès. 74

B. Des droits d’intervention sur les données. 75 1). Un droit de rectification, d’effacement ou de verrouillage. 75 2). Un droit d’opposition. 76

Paragraphe second. Des exceptions générales. 78 A. Des exception liées aux traitements de souveraineté. 78

1) L’intérêt général. 78 2) Des exceptions limitées ? 80

B. D’autres types de limites. 82 1) Face à la liberté d’expression. 82 2) Qu’en est-il des droits de la personne concernée par les systèmes d’information européens. 83

Section 2. Les obligations imposées au responsable du traitement. 83

Paragraphe premier. Les principes relatifs à la licéité du traitement de données personnelles. 84

A. Des obligations liées à la qualité des données. 84 1) Quant à la qualité des données. 84 2) La consécration du principe de finalité. 86

B. Les principes relatifs au traitement de données personnelles 87 1) De strictes conditions pour la légitimation du traitement de données personnelles. 87 2) Des obligations de transparence et de sécurité pour une meilleure protection de la personne concernée. 91

Paragraphe second. Entre simplifications des obligations de déclaration et mise en cause de la responsabilité. 93

A. Un régime de déclaration simplifié. 93 1) L’obligation de notification des traitements de données personnelles. 93 2) Une innovation importante portant la marque de l’autorégulation : le détaché à la protection des données. 96

B. Une large marge d’appréciation laissée aux Etats quant à la responsabilité et aux sanctions à mettre en œuvre. 98

1) L’engagement de responsabilité du responsable du traitement 98 2) Des sanctions laissées à la discrétion des Etats membres. 100

Chapitre II. Des dispositions garantissant l’effectivité de la protection des données personnelles. 101

Section 1. L’arsenal organique institué par la Communauté européenne pour la protection des données personnelles. 101

158


Paragraphe premier. Les autorités nationales contrôlant la protection des données personnelles. 102

A. La mise en place d’autorités nationales de contrôle. 102 1) Une spécificité européenne. 102 2) Le rôle des autorités de contrôle. 104

B. Les pouvoirs et missions des autorités dans l’Union européenne. 106 1) des pouvoirs potentiellement larges 106 2) Une obligation de coopération entre autorités. 109

Paragraphe second. Les autorités communautaires pour la protection des données personnelles. 110

A. Les organes mis en place par la directive 95/46/CE 110 1) Le « groupe de l’article 29 ». 110 2) Le comité. 112

B. Les autres organes de protection des données personnelles. 113 1) Le contrôleur européen à la protection des données (CEPD). 113 2) Le rôle d’autres organes européens créés en dehors du droit communautaire. 116

Section 2. La nécessaire réglementation communautaire des flux transfrontaliers de données personnelles. 118

Paragraphe premier. La nécessité d’une protection adéquate de la part des Etats tiers. 118

A. Les transferts de données personnelles vers les Etats tiers. 119 1) Le principe d’une interdiction de transfert de données hors de la Communauté européenne. 119 2) L’exception : Transfert possible dans certaines hypothèse. 122

B. Le cas de transfert de données vers les Etats-Unis. 124 1) L’insuffisance de la protection des données personnelles aux Etats Unis. 124 2) Les systèmes optionnels mis en place pour le transfert de données personnelles vers les Etats-Unis. 126

Paragraphe second. Les difficultés liées à l’Internet et au caractère international des flux de données personnelles. 130

A. La problématique de la protection des données sur Internet. 130 1) Le caractère insaisissable d’Internet : une « utopie » zone de non droit ? 130 2) La protection assurée par le droit communautaire. 131

B. Vers une protection mondiale des données personnelles ? 134 1) La nécessité d’une protection mondiale. 134 2) La difficile mise en place d’une protection mondiale des données personnelles. 135

159