Bienvenue sur JurisPedia! Vous êtes invités à créer un compte et à contribuer après avoir confirmé votre adresse de courriel. Dès lors, vous pouvez ajouter un article en commençant par lui donner un titre en renseignant ce champ:

Les lecteurs et contributeurs ne doivent pas oublier de consulter les avertissements juridiques. Il y a actuellement 3 533 articles en construction permanente...

Droit des données personnelles (fr)

Un article de JurisPedia, le droit partagé.
Aller à : Navigation, Rechercher


Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
'
Recherche en droit français Fr flag.png
Google Custom Search

France > Droit de l'informatique 
Fr flag.png


Le droit des données personnelles est l'ensemble des règles qui permettent à la personne concernée d'exercer un contrôle sur l'usage qui peut être fait de ces données. Le législateur français a été l'un des premier à se préoccuper de cette question en raison de l'arrivée de la technologie informatique qui permet le traitement rapide de milliers de données. La loi dite "informatique et libertés[1] vise donc à protéger l'individu du mésusage des possibilités offertes par le traitement informatique des données personnelles.

Depuis 1978, divers textes internationaux sont intervenus et complètent le dispositif législatif déterminant le régime du traitement des données personnelles en France.


Les sources

Les sources nationales

Le législateur français a dès 1978 édicté une réglementation très complète afin de garantir les droits des individus contre des traitements de données personnelles. L'idée était davantage de protéger l'individu contre les ingérences de l'Etat que de protéger l'individu contre les abus des personnes privées (CASTETS-RENARD, p.11). Aujourd'hui, à l'heure de Facebook et de Google, il est évident que le danger provient davantage des abus que peuvent commettre les personnes privées.

La loi n°78-17 du 6 janvier 1978 a été complété par la loi n°2004-801 du 6 août 2004.

La loi n°78-17 du 6 janvier 1978

Comme l'indique l'article premier de la loi, "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

Pour concrétiser cet objectif le législateur a imposé des obligations aux personnes qui voulaient gérer des données personnelles et conféré des droits aux personnes dont les données étaient concernées. Pour assurer le respect de cette législation, le législateur a créé une autorité administrative indépendante, la Commission Nationale Informatique et Libertés (CNIL), chargée de sanctionner pénalement et civilement les contrevenants.

La loi n°2004-801 du 6 août 2004

La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est la transposition (tardive comme la France en a l'habitude) de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Cette loi de 2004 actualise la loi de 1978 sans changer fondamentalement les principes antérieurement posés.

Elle sera déférée au Conseil constitutionnel qui rendra une décision de conformité partielle[2]. Il est à noter que la seule disposition invalidée concerne la possibilité qui était conférée par le 3° de l'article 9 de la loi du 6 janvier 1978 tel qu'il résultait de l'article 2 de la loi à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d'être victimes d'agissements passibles de sanctions pénales, de rassembler un grand nombre d'informations nominatives portant sur des infractions, condamnations et mesures de sûreté sans que cette possibilité ne soit assortie de garantie. Le Conseil constitutionnel estime que le législateur ne pouvait se décharger sur la CNIL de ses compétences dans ce domaine et devait édicter une législation précise spécialement quant aux infractions concernées et aux modalités de conservation et de cession de ces données.

En revanche, a été jugée constitutionnelle la disposition (l'article de la loi de 2004 devenu le 4° de l'article 9 de la loi du 6 janvier 1978) conférant aux sociétés de perception et de gestion des droits d'auteur et de droits voisins, mentionnées à l'article L. 321-1 du code de la propriété intellectuelle, ainsi qu'aux organismes de défense professionnelle, mentionnés à l'article L. 331-1 du même code, la possibilité de mettre en œuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté. Le Conseil subordonne cependant la constitutionnalité de cette disposition à la condition qu'il soit interprété comme l'indique le juge constitutionnel c'est-à-dire sans possibilité de priver d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime. On retrouvera la problématique du droit au juge comme garant des libertés fondamentales dans le cadre de la saisine du Conseil constitutionnel relative à la loi HADOPI-1.

Par ailleurs, le Conseil constitutionnel s'estimera incompétent pour juger de la constitutionnalité des normes résultant de la directive communautaire (considérant 7) sur le fondement de l'article 88-1 de la Constitution, et renverra au juge communautaire ("il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne").

Les sources internationales

Le droit communautaire

La Charte des droits fondamentaux

L'article 8 de la charte des droits fondamentaux de l'Union européenne relatif à la protection des données à caractère personnel dispose:

1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.

La portée du texte européen est précisé par l'article 52 de la Charte.

Le traité

L'article 286[3] du traité dispose que les actes communautaires relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont applicables aux institutions et organes communautaires ainsi qu'aux Etats dans leur activité relevant du droit communautaire.

Un système à part entière de protection des données à caractère personnel impose non seulement de conférer des droits aux personnes concernées et des obligations à celles qui traitent des données à caractère personnel, mais aussi de prévoir des sanctions appropriées pour les contrevenants ainsi qu'une autorité de contrôle indépendante.

L'article 286, paragraphe 2, du traité prévoit l'institution d'un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires.

L'article 286, paragraphe 2, du traité prévoit par ailleurs l'adoption, le cas échéant, de toute autre disposition utile.

Ces dispositions constituent le fondement textuel des divers textes adoptés en matière de données personnelles tant en ce qui concerne les institutions communautaire qu'en ce qui concerne la réglementation à destination des Etats membres.

Le règlement

Il existe un règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données[4].

Ce texte s'applique aux instances communautaires, non directement aux particuliers qui procèdent à des traitements de données à caractère personnel. Le préambule du règlement indique en effet (point 5) que Un règlement est nécessaire afin de donner aux personnes des droits juridiquement protégés, de définir les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et de créer une autorité de contrôle indépendante responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

Sur la base du Règlement, un Contrôleur européen de la protection des données a été institué. Il a pour rôle d'assurer le contrôle de l'application des dispositions du présent règlement à tous les traitements effectués par une institution ou un organe communautaire (Règlement, article 1 al.2). Il a la possibilité de s'autosaisir, ce qu'il a effectivement fait pour rendre un avis sur ACTA[5].

Il a également rendu un avis intéressant directement les personnes qui conçoivent les orientations stratégiques des entreprises du secteur informatique en affirmant que le principe de la protection des données dès la conception, c'est-à-dire lors de la conception d'un système informatique et non dans sa phase d'utilisation [6].

Les directives

Diverses directives sont intervenues en matière de protection des données personnelles. La directive 95/46/CE impose aux États membres d'assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.

La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, précise et complète la directive 95/46/CE en ce qui concerne le traitement des données à caractère personnel dans le secteur des télécommunications.

Diverses autres dispositions communautaires, notamment en matière d'assistance mutuelle entre les administrations nationales et la Commission, visent également à préciser et compléter la directive 95/46/CE dans les secteurs qu'elles concernent.

La Directive 95/46/CE du 24 octobre 1995

Cette Directive a pour but d'obliger les Etats à assurer conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel. [7].

L'idée n'est pas seulement d'assurer la protection des individus, il s'agit également de faciliter l'accès aux données et leur communication entre Etats membres.

L'article 2 donne une série de définitions:

Aux fins de la présente directive, on entend par:

a) «données à caractère personnel»: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b) «traitement de données à caractère personnel» (traitement): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;

c) «fichier de données à caractère personnel» (fichier): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

d) «responsable du traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;

e) «sous-traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

f) «tiers»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;

g) «destinataire»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires;

h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

La directive s'applique, aux termes de l'article 3-1, "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier". L'article 3 al. 2 indique que la directive "ne s'applique pas au traitement de données à caractère personnel:

- mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal,

- effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques." Il semble que la publication de données personnelles sur internet suffise à ôter tout caractère privé au traitement ainsi effectué. C'est en tout cas la solution retenue par la CJCE[8].

L'article 4 prévoit une règle de conflit de loi permettant de déterminer la législation nationale applicable.

La Directive indique selon quels principes des données personnelles peuvent faire l'objet d'un traitement. La Directive confère à la personne concernée un droit à l'information, soit directement lors de la collecte en cas d'opération directe, soit indirectement (article 11). La personne concernée se voit aussi reconnaître un droit d'accès, de rectification et d'opposition (article 14). Les Etats peuvent prévoir des dérogations à ces obligations sur le fondement des causes indiquées à l'article 13 (sûreté nationale, santé publique, etc.).

La Directive prévoit aussi des obligations de confidentialité et de sécurité à la charge du responsable du traitement (article 17). Celui-ci doit veiller à "mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger".

La Directive impose aux Etats la création d'une autorité indépendante chargée d'assurer la mise en œuvre de la réglementation relative à la protection des données personnelles, à l'imitation de la CNIL de droit français. Cette autorité de contrôle se voit notifier les projets de réalisation de traitement (article 18). Cette notification doit comporter les informations suivantes:

  • le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;
  • la ou les finalités du traitement;
  • une description de la ou des catégories de personnes concernées et des données ou des catégories de données s'y rapportant;
  • les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées;
  • les transferts de données envisagés à destination de pays tiers;
  • une description générale permettant d'apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement.

La Directive prévoit aussi l'obligation pour les Etats de prévoir des recours juridictionnels ou administratifs en cas de violation des droits garantis à la personne dont les données font l'objet d'un traitement. Les Etats doivent également prévoir que toute personne ayant subi un dommage du fait d'un traitement illicite doit pouvoir mettre en jeu la responsabilité du responsable du traitement.

La CJCE a jugé que les dispositions de la Directive pouvait être directement invoquées par un particulier devant les juridictions nationales afin de voir écarter des dispositions nationales qui y contreviendraient[9].

Il a aussi été jugé par la CJCE le 6 novembre 2003[10] que la publication sur des pages internet de données personnelles sans le consentement des intéressés ni notification à l'autorité de contrôle ne pouvait être qualifié de transfert de données vers des pays tiers au sens de l'article 25 de la Directive. Mme Lindqvist était accusée d’avoir enfreint la législation suédoise relative à la protection des données à caractère personnel en publiant sur son site Internet des données à caractère personnel concernant un certain nombre de personnes qui travaillent, comme elle, à titre bénévole dans une paroisse de l’Église protestante de Suède. Le transfert de données personnelles n'est possible que vers des pays présentant le même degré de protection que celui qui est imposé par la législation communautaire. Toutefois, le législateur communautaire n'a pas entendu interdire toute communication par internet et a voulu laisser aux Etats membres le soin de définir l'équilibre devant exister entre protection des données personnelles et liberté d'expression.

La Directive 2002/58/CE du 12 juillet 2002

La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement de données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques [11].

Cette Directive a été modifié par la Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 et plus récemment par la Directive 2009/136/CE du Parlement européen et du Conseil Texte présentant de l’intérêt pour l’EEE du 25 novembre 2009 [12].

La CEDH

La convention du Conseil de l'Europe

Les lignes directrices de l'OCDE

Le régime

Bibliographie

  • Informatique et libertés, sous la dir. A. BENSOUSSAN, éd. Francis Lefebvre, 4e. éd. Paris, 2010.
  • Informatique, Télécoms, Internet, sous la dir. A. BENSOUSSAN, éd. Francis Lefebvre, 4e. éd. Paris, 2008, pp.449-535.
  • Droit de l’internet, par C. CASTETS-RENARD, éd. Lextenso-Montchrestien, 2010, pp.9-95.
  • Droit de l’informatique et des réseaux, sous la dir. M. VIVANT, éd. LAMY, 2010.

Voir aussi

Notes et références

  1. Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 p. 227
  2. Décision du Conseil constitutionnel n° 2004-499 du 29 juillet 2004, JORF n°182 du 7 août 2004, page 14087, texte n° 9.
  3. Version consolidée du traité sur le fonctionnement de l'Union européenne, article 16, (ex-article 286 TCE): 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépen­dantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l'article 39 du traité sur l'Union européenne.
  4. Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données , JOUE, L 8 du 12.1.2001, pp.1–22
  5. Avis du contrôleur européen de la protection des données sur les négociations en cours au sein de l’Union européenne pour un accord commercial anti-contrefaçon (ACAC) JOUE C 147 du 5.6.2010, p.1–13.
  6. Avis du contrôleur européen de la protection des données sur la promotion de la confiance dans la société d’information par des mesures d’encouragement de la protection des données et de la vie privée, JO C 280 du 16.10.2010, p.1–15.
  7. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces donnéesJOUE n° L 281 du 23/11/1995 pp.31-50.
  8. Aff. C-101/01, Recueil de jurisprudence 2003 page I-12971 et s. Cons. 47 : "Cette exception doit donc être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes".
  9. CJCE, 20 mai 2003, Österreichischer Rundfunk
  10. Aff. C-101/01, procédure pénale contre Bodil Lindqvist, demande de décision préjudicielle, formée par le Göta hovrätt (Suède)
  11. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement de données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, JOUE n° L 201 du 31/07/2002, pp.37-47.
  12. Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, JOUE L 337 du 18.12.2009, p.11–36.