Facebook et Google, Snowden et NSA, PNR et lutte contre le terrorisme, big data et cloud computing… Autant
de mots qui évoquent pour tout un chacun des pratiques ou des
événements, liés à l’usage des outils numériques, qui emplissent
aujourd’hui le champ de l’actualité autant que celui de notre quotidien.
Le développement de l’internet et des techniques numériques, phénomène
aussi récent que spectaculaire, a ainsi fait entrer dans le champ des
préoccupations communes à la plupart de leurs utilisateurs, la question
de la protection des données à caractère personnel. La donnée à
caractère personnel est en effet devenue l’élément économique de base de
l’univers numérique, monnayé par la plupart des sites en ligne ou des
réseaux sociaux, à des fins publicitaires notamment. Mais la
disponibilité de la donnée personnelle grâce au vecteur de l’internet,
et ce de façon instantanée et planétaire, a fait prendre conscience du
danger que cela représente pour le respect de la vie privée des
personnes. À cet usage commercial des données personnelles, qui menace
ainsi la vie privée, s’ajoute par surcroît l’objectif sécuritaire,
devenu la priorité, sinon l’obsession, de nombreux États depuis les
attentats du 11 septembre 2001, ravivée par ceux de Paris de janvier et
novembre 2015. Dans ce cadre ont été mis en place un certain nombre de
mécanismes de stockage et de traitement de données afin d’organiser, de
façon individuelle ou concertée, la lutte contre le terrorisme ou la
grande criminalité qui ont pour caractéristique d’être sans frontières.
Dès lors, le droit n’a pas tardé à rattraper les faits,
et aussi bien au niveau national qu’européen, ont été instaurées
diverses législations visant à appréhender la protection des données
personnelles dans toutes ses dimensions.
S’agissant de l’Europe, c’est d’abord le Conseil de
l’Europe qui s’est avéré le plus réactif. Ainsi d’une part, la
jurisprudence de la Cour européenne des droits de l’homme a pris en
compte la problématique de la protection des données par le prisme de
l’article 8 de la Convention européenne de sauvegarde des droits de
l’homme et des libertés fondamentales (CEDH), qui garantit le droit au
respect de la vie privée. Il a d’autre part adopté une Convention
spécifique, « pour la protection des personnes à l’égard du traitement
automatisé des données à caractère personnel », dite Convention 108
.
Au sein de l’Union européenne (UE), un texte fondamental a été adopté en 1995, la directive 95/46/CE
, afin d’assurer la protection des données dans le cadre du marché
intérieur. L’harmonisation des législations en la matière visait à
assurer un niveau élevé de protection des droits fondamentaux, condition
indispensable à la confiance des utilisateurs envers l’économie
numérique alors à l’aube de sa croissance. C’est pourquoi de solides
garanties pour la protection des données personnelles ont été inscrites
dans la directive. Ce texte était cependant inapplicable par définition
dans les domaines de l’ex troisième pilier de l’UE, aujourd’hui
Espace de Liberté, de Sécurité et de Justice (ELSJ). C’est la raison
pour laquelle, suite à la mise en place de divers mécanismes de stockage
et d’échange de données à caractère personnel entre autorités
publiques, dans le cadre de la coopération policière et judiciaire en
matière pénale, a été adopté un texte spécifique, la décision-cadre
2008/977/JAI
. Face aux préoccupations sécuritaires des États membres qui ont
prévalu, ce texte s’avère toutefois nettement en retrait s’agissant de
la protection des droits fondamentaux par rapport à son homologue pour
le marché intérieur.
Les évolutions techniques ont été considérables depuis
l’adoption de ces textes, mais aussi les évolutions juridiques, avec,
principalement, la proclamation par la Charte des droits fondamentaux de
l’Union (la Charte), désormais « constitutionnalisée », d’un droit
spécifique à la protection des données à caractère personnel
(article 8). C’est la raison pour laquelle leur actualisation a été
menée à bien. Un « paquet législatif » a été ainsi présenté par la
Commission européenne le 25 janvier 2012
, composé d’une proposition de règlement pour remplacer la
directive, et d’une directive pour remplacer la décision-cadre. Un
accord est intervenu sur ces textes à la fin de l’année 2015
.
La persistance d’une législation hétérogène pourrait
faire craindre toutefois une modulation de la protection des données
selon le secteur considéré. Mais la Cour de justice de l’Union
européenne (CJUE), s’appuyant dorénavant sur la Charte, dans son rôle de
gardien « constitutionnel » des droits fondamentaux, a développé une
jurisprudence assurant une protection à la fois renforcée et unifiée de
ce droit désormais fondamental qu’est la protection des données à
caractère personnel
.
Ainsi la protection des données à caractère personnel
au sein de l’UE se décline d’abord dans un cadre législatif, marqué par
un souci d’actualisation dans les deux domaines que sont le marché
intérieur et l’ELSJ (I), et ensuite dans un cadre jurisprudentiel, où
une suite surprenante d’arrêts récents, tous historiques, contribuent à
l’homogénéisation de ce droit fondamental (II).
Pour lire l'intégralité de l'article : Lextenso
