L’essor que connaissent les technologies de
l’information et de la communication (les « TIC ») participe de la
mondialisation, louée ou décriée c’est selon, définie comme le processus
d’intégration des marchés et de rapprochement des hommes à l’échelle du globe.
Face au développement de l’internet et de ses divers usages, commerciaux ou
sociaux, le législateur européen avait déjà en 1995 saisi la problématique et
les enjeux des données à caractère personnel. La donnée personnelle est en
effet devenue l’élément économique de base de l’univers numérique, disponible
de façon instantanée et planétaire grâce aux progrès technologiques. Mais
l’usage commercial, voire le mésusage, qui en a été fait par les grandes
sociétés de l’internet (Google, Facebook etc.), sans compter la complicité
active de ces dernières quant à la captation massive de données personnelles de
citoyens européens par les services de renseignement américains, véritable
scandale planétaire révélé par Edward Snowden en 2013, ont peu à peu fait
prendre conscience à tout un chacun du danger que la circulation sans entraves
de données personnelles peut faire courir au respect de la vie privée.
Les motifs de la première grande législation
européenne en matière de données à caractère personnel sont tout entiers dans
ces constats. Ainsi, la directive 95/46/CE du 24 octobre 1995[1]
avait-elle pour ambition d’appréhender la donnée à caractère personnel sous ses
deux angles : en tant qu’élément indispensable au développement du grand
marché intérieur dans son volet numérique, et en tant que droit fondamental
qu’il convient de protéger, afin d’assurer la confiance des utilisateurs envers
l’économie numérique, dont la croissance n’en était alors qu’à ses prémices.
Mais moins de vingt ans après son adoption, les
évolutions aussi bien techniques que juridiques intervenues sont venues bouleverser
la pertinence de ce grand texte européen, d’autant que la pratique a révélé des
divergences au sein des Etats membres de l’Union européenne (UE) quant à la
transposition de la directive, aboutissant à un paysage juridique relativement
fragmenté et une dysharmonie dans l’application du droit communautaire. Les
évolutions technologiques sont celles qui ont permis l’émergence de nouvelles
pratiques, insoupçonnées en 1995, comme le
cloud computing, l’internet des
objets, le big data etc., qui
interrogent sur la question de la protection des données. Quant à l’évolution
juridique majeure en la matière, il s’agit de la promotion de la protection des
données à caractère personnel, érigée en véritable droit fondamental par
l’article 8 de la Charte des droits fondamentaux de l’UE (la Charte), désormais
pleinement inscrite dans le droit positif depuis le Traité de Lisbonne.
Les nouvelles opportunités dans l’utilisation des
données à caractère personnel, assorties de nouvelles et fortes contraintes
quant à leur protection, ont dès lors suscité un souci d’actualisation du texte
fondateur. C’est pourquoi la Commission a présenté le 25 janvier 2012 un
« paquet législatif »[2],
composé d’une proposition de règlement afin de remplacer la directive, ainsi
que d’une proposition de directive appelée à se substituer au texte spécifique
existant (décision-cadre 2008/977/JAI[3])
dans le cadre de l’Espace de Liberté, de Sécurité et de Justice (ELSJ) de l’UE[4].
Ces textes, après quatre années d’un processus
législatif ayant suscité un lobbying inégalé et d’âpres discussions entre
Conseil et Parlement européen, viennent enfin d’être adoptés en avril dernier, et
publiés au Journal officiel de l’UE[5].
Le nouveau texte remplaçant la directive de 1995,
qui ne sera pleinement applicable qu’en 2018, témoigne d’abord, de par le choix
de la norme juridique qu’est le règlement, de la volonté du législateur
européen de poser un corpus de règles en la matière s’appliquant à l’avenir de
façon totalement harmonisée et contraignante. Il s’est attaché, ensuite, à
opérer une actualisation des règles existantes, selon une approche
« technologiquement neutre », assurant l’efficacité des règles
nouvelles sans entraver le développement technologique, condition indispensable
à la croissance de l’économie numérique et ainsi du marché intérieur dans son
volet numérique. Il constitue, enfin, et surtout, une remarquable avancée en
matière de garantie du droit à la protection des données à caractère personnel,
désormais fondamental grâce à la Charte. En effet, ce sont des droits renforcés
(pour les personnes) et des obligations étendues (pour les responsables de
traitement de données) qui sont inscrits dans ce texte (I), appelé à durer au
moins une génération d’utilisateurs des outils numériques. Ces nouveaux droits
et obligations sont par ailleurs assortis de contrôles plus performants (II),
grâce notamment aux importants pouvoirs de sanction dont seront dotées les
diverses autorités de protection des données.
Pour lire la suite : Revue des Affaires Européennes : RAE 2016/1
[1]
Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données, JOCE L 281, 23/11/1995, p. 31.
[2] Voir COM(2012)
11 final pour la proposition de règlement, et COM(2012) 10 final pour la
proposition de directive. Voir par
exemple notre commentaire : « Un nouveau cadre juridique général pour
la protection des données au sein de l’U.E. : une réforme législative
ambitieuse », Revue des Affaires
Européennes 2012/1, pp.149-162.
[3]
Décision-cadre 2008/977/JAI du 27 novembre 2008, relative à la protection des
données à caractère personnel traitées dans le cadre de la coopération
policière et judiciaire en matière pénale, JO L 350/60 du 30/12/2008.
[4] La
directive de 1995 ne s’appliquait pas en effet par définition dans les domaines
de l’ex troisième pilier de l’UE, aujourd’hui ELSJ.
[5]
Règlement 2016/79 du Parlement européen et du Conseil du 27 avril 2016, JOUE L
119/1, 4 mai 2016.