dimanche 31 janvier 2016

La protection des données à caractère personnel au sein de l’UE : des enjeux économiques et sécuritaires encadrés par le législateur sous le contrôle du juge




 


     Facebook et Google, Snowden et NSA, PNR et lutte contre le terrorisme, big data et cloud computing… Autant de mots qui évoquent pour tout un chacun des pratiques ou des événements, liés à l’usage des outils numériques, qui emplissent aujourd’hui le champ de l’actualité autant que celui de notre quotidien. Le développement de l’internet et des techniques numériques, phénomène aussi récent que spectaculaire, a ainsi fait entrer dans le champ des préoccupations communes à la plupart de leurs utilisateurs, la question de la protection des données à caractère personnel. La donnée à caractère personnel est en effet devenue l’élément économique de base de l’univers numérique, monnayé par la plupart des sites en ligne ou des réseaux sociaux, à des fins publicitaires notamment. Mais la disponibilité de la donnée personnelle grâce au vecteur de l’internet, et ce de façon instantanée et planétaire, a fait prendre conscience du danger que cela représente pour le respect de la vie privée des personnes. À cet usage commercial des données personnelles, qui menace ainsi la vie privée, s’ajoute par surcroît l’objectif sécuritaire, devenu la priorité, sinon l’obsession, de nombreux États depuis les attentats du 11 septembre 2001, ravivée par ceux de Paris de janvier et novembre 2015. Dans ce cadre ont été mis en place un certain nombre de mécanismes de stockage et de traitement de données afin d’organiser, de façon individuelle ou concertée, la lutte contre le terrorisme ou la grande criminalité qui ont pour caractéristique d’être sans frontières.
Dès lors, le droit n’a pas tardé à rattraper les faits, et aussi bien au niveau national qu’européen, ont été instaurées diverses législations visant à appréhender la protection des données personnelles dans toutes ses dimensions.
S’agissant de l’Europe, c’est d’abord le Conseil de l’Europe qui s’est avéré le plus réactif. Ainsi d’une part, la jurisprudence de la Cour européenne des droits de l’homme a pris en compte la problématique de la protection des données par le prisme de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH), qui garantit le droit au respect de la vie privée. Il a d’autre part adopté une Convention spécifique, « pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », dite Convention 108 .
Au sein de l’Union européenne (UE), un texte fondamental a été adopté en 1995, la directive 95/46/CE , afin d’assurer la protection des données dans le cadre du marché intérieur. L’harmonisation des législations en la matière visait à assurer un niveau élevé de protection des droits fondamentaux, condition indispensable à la confiance des utilisateurs envers l’économie numérique alors à l’aube de sa croissance. C’est pourquoi de solides garanties pour la protection des données personnelles ont été inscrites dans la directive. Ce texte était cependant inapplicable par définition dans les domaines de l’ex troisième pilier de l’UE, aujourd’hui Espace de Liberté, de Sécurité et de Justice (ELSJ). C’est la raison pour laquelle, suite à la mise en place de divers mécanismes de stockage et d’échange de données à caractère personnel entre autorités publiques, dans le cadre de la coopération policière et judiciaire en matière pénale, a été adopté un texte spécifique, la décision-cadre 2008/977/JAI . Face aux préoccupations sécuritaires des États membres qui ont prévalu, ce texte s’avère toutefois nettement en retrait s’agissant de la protection des droits fondamentaux par rapport à son homologue pour le marché intérieur.
Les évolutions techniques ont été considérables depuis l’adoption de ces textes, mais aussi les évolutions juridiques, avec, principalement, la proclamation par la Charte des droits fondamentaux de l’Union (la Charte), désormais « constitutionnalisée », d’un droit spécifique à la protection des données à caractère personnel (article 8). C’est la raison pour laquelle leur actualisation a été menée à bien. Un « paquet législatif » a été ainsi présenté par la Commission européenne le 25 janvier 2012 , composé d’une proposition de règlement pour remplacer la directive, et d’une directive pour remplacer la décision-cadre. Un accord est intervenu sur ces textes à la fin de l’année 2015 .
La persistance d’une législation hétérogène pourrait faire craindre toutefois une modulation de la protection des données selon le secteur considéré. Mais la Cour de justice de l’Union européenne (CJUE), s’appuyant dorénavant sur la Charte, dans son rôle de gardien « constitutionnel » des droits fondamentaux, a développé une jurisprudence assurant une protection à la fois renforcée et unifiée de ce droit désormais fondamental qu’est la protection des données à caractère personnel .
Ainsi la protection des données à caractère personnel au sein de l’UE se décline d’abord dans un cadre législatif, marqué par un souci d’actualisation dans les deux domaines que sont le marché intérieur et l’ELSJ (I), et ensuite dans un cadre jurisprudentiel, où une suite surprenante d’arrêts récents, tous historiques, contribuent à l’homogénéisation de ce droit fondamental (II).

Pour lire l'intégralité de l'article : Lextenso

Aucun commentaire:

Enregistrer un commentaire