Droit des données personnelles (fr)
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit de l'informatique
Le droit des données personnelles est l'ensemble des règles qui permettent à la personne concernée d'exercer un contrôle sur l'usage qui peut être fait de ces données. Le législateur français a été l'un des premier à se préoccuper de cette question en raison de l'arrivée de la technologie informatique qui permet le traitement rapide de milliers de données. La loi dite "informatique et libertés[1] vise donc à protéger l'individu du mésusage des possibilités offertes par le traitement informatique des données personnelles.
Depuis 1978, divers textes internationaux sont intervenus et complètent le dispositif législatif déterminant le régime du traitement des données personnelles en France.
Sommaire
Les sources
Les sources nationales
Le législateur français a dès 1978 édicté une réglementation très complète afin de garantir les droits des individus contre des traitements de données personnelles. L'idée était davantage de protéger l'individu contre les ingérences de l'Etat que de protéger l'individu contre les abus des personnes privées (CASTETS-RENARD, p.11). Aujourd'hui, à l'heure de Facebook et de Google, il est évident que le danger provient davantage des abus que peuvent commettre les personnes privées.
La loi n°78-17 du 6 janvier 1978 a été complété par la loi n°2004-801 du 6 août 2004.
La loi n°78-17 du 6 janvier 1978
Comme l'indique l'article premier de la loi, "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".
Pour concrétiser cet objectif le législateur a imposé des obligations aux personnes qui voulaient gérer des données personnelles et conféré des droits aux personnes dont les données étaient concernées. Pour assurer le respect de cette législation, le législateur a créé une autorité administrative indépendante, la Commission Nationale Informatique et Libertés (CNIL), chargée de sanctionner pénalement et civilement les contrevenants.
La loi n°2004-801 du 6 août 2004
La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est la transposition (tardive comme la France en a l'habitude) de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Cette loi de 2004 actualise la loi de 1978 sans changer fondamentalement les principes antérieurement posés.
Elle sera déférée au Conseil constitutionnel qui rendra une décision de conformité partielle[2]. Il est à noter que la seule disposition invalidée concerne la possibilité qui était conférée par le 3° de l'article 9 de la loi du 6 janvier 1978 tel qu'il résultait de l'article 2 de la loi à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d'être victimes d'agissements passibles de sanctions pénales, de rassembler un grand nombre d'informations nominatives portant sur des infractions, condamnations et mesures de sûreté sans que cette possibilité ne soit assortie de garantie. Le Conseil constitutionnel estime que le législateur ne pouvait se décharger sur la CNIL de ses compétences dans ce domaine et devait édicter une législation précise spécialement quant aux infractions concernées et aux modalités de conservation et de cession de ces données.
En revanche, a été jugée constitutionnelle la disposition (l'article de la loi de 2004 devenu le 4° de l'article 9 de la loi du 6 janvier 1978) conférant aux sociétés de perception et de gestion des droits d'auteur et de droits voisins, mentionnées à l'article L. 321-1 du code de la propriété intellectuelle, ainsi qu'aux organismes de défense professionnelle, mentionnés à l'article L. 331-1 du même code, la possibilité de mettre en œuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté. Le Conseil subordonne cependant la constitutionnalité de cette disposition à la condition qu'il soit interprété comme l'indique le juge constitutionnel c'est-à-dire sans possibilité de priver d'effectivité le droit d'exercer un recours juridictionnel dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime. On retrouvera la problématique du droit au juge comme garant des libertés fondamentales dans le cadre de la saisine du Conseil constitutionnel relative à la loi HADOPI-1.
Par ailleurs, le Conseil constitutionnel s'estimera incompétent pour juger de la constitutionnalité des normes résultant de la directive communautaire (considérant 7) sur le fondement de l'article 88-1 de la Constitution, et renverra au juge communautaire ("il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne").
Les sources internationales
Le droit communautaire
La Charte des droits fondamentaux
L'article 8 de la charte des droits fondamentaux de l'Union européenne relatif à la protection des données à caractère personnel dispose:
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.
La portée du texte européen est précisé par l'article 52 de la Charte.
Le traité
L'article 286[3] du traité dispose que les actes communautaires relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont applicables aux institutions et organes communautaires ainsi qu'aux Etats dans leur activité relevant du droit communautaire.
Un système à part entière de protection des données à caractère personnel impose non seulement de conférer des droits aux personnes concernées et des obligations à celles qui traitent des données à caractère personnel, mais aussi de prévoir des sanctions appropriées pour les contrevenants ainsi qu'une autorité de contrôle indépendante.
L'article 286, paragraphe 2, du traité prévoit l'institution d'un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires.
L'article 286, paragraphe 2, du traité prévoit par ailleurs l'adoption, le cas échéant, de toute autre disposition utile.
Ces dispositions constituent le fondement textuel des divers textes adoptés en matière de données personnelles tant en ce qui concerne les institutions communautaire qu'en ce qui concerne la réglementation à destination des Etats membres.
Le règlement
Il existe un règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données[4].
Ce texte s'applique aux instances communautaires, non directement aux particuliers qui procèdent à des traitements de données à caractère personnel. Le préambule du règlement indique en effet (point 5) que Un règlement est nécessaire afin de donner aux personnes des droits juridiquement protégés, de définir les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et de créer une autorité de contrôle indépendante responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes communautaires.
Les directives
Diverses directives sont intervenues en matière de protection des données personnelles. La directive 95/46/CE impose aux États membres d'assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.
La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, précise et complète la directive 95/46/CE en ce qui concerne le traitement des données à caractère personnel dans le secteur des télécommunications.
Diverses autres dispositions communautaires, notamment en matière d'assistance mutuelle entre les administrations nationales et la Commission, visent également à préciser et compléter la directive 95/46/CE dans les secteurs qu'elles concernent.
La Directive 95/46/CE du 24 octobre 1995
La Directive 2002/58/CE du 12 juillet 2002
La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement de données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques [5].
La Directive 2006/24/CE du 15 mars 2006
La CEDH
La convention du Conseil de l'Europe
Le régime
Bibliographie
- Informatique et libertés, sous la dir. A. BENSOUSSAN, éd. Francis Lefebvre, 4e. éd. Paris, 2010.
- Informatique, Télécoms, Internet, sous la dir. A. BENSOUSSAN, éd. Francis Lefebvre, 4e. éd. Paris, 2008, pp.449-535.
- Droit de l’internet, par C. CASTETS-RENARD, éd. Lextenso-Montchrestien, 2010, pp.9-95.
- Droit de l’informatique et des réseaux, sous la dir. M. VIVANT, éd. LAMY, 2010.
Voir aussi
- Trouver la notion "données personnelles" dans l'internet juridique français
- Régime juridique des bases de données
- Régime juridique des données à caractère personnel
Notes et références
- ↑ Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 p. 227
- ↑ Décision du Conseil constitutionnel n° 2004-499 du 29 juillet 2004, JORF n°182 du 7 août 2004, page 14087, texte n° 9.
- ↑ Version consolidée du traité sur le fonctionnement de l'Union européenne, article 16, (ex-article 286 TCE): 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l'article 39 du traité sur l'Union européenne.
- ↑ Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données , JOUE, L 8 du 12.1.2001, pp.1–22
- ↑ Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement de données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques