lundi 24 octobre 2016

Le nouveau règlement général européen relatif à la protection des données à caractère personnel : un texte à la hauteur de ses ambitions








 

L’essor que connaissent les technologies de l’information et de la communication (les « TIC ») participe de la mondialisation, louée ou décriée c’est selon, définie comme le processus d’intégration des marchés et de rapprochement des hommes à l’échelle du globe. Face au développement de l’internet et de ses divers usages, commerciaux ou sociaux, le législateur européen avait déjà en 1995 saisi la problématique et les enjeux des données à caractère personnel. La donnée personnelle est en effet devenue l’élément économique de base de l’univers numérique, disponible de façon instantanée et planétaire grâce aux progrès technologiques. Mais l’usage commercial, voire le mésusage, qui en a été fait par les grandes sociétés de l’internet (Google, Facebook etc.), sans compter la complicité active de ces dernières quant à la captation massive de données personnelles de citoyens européens par les services de renseignement américains, véritable scandale planétaire révélé par Edward Snowden en 2013, ont peu à peu fait prendre conscience à tout un chacun du danger que la circulation sans entraves de données personnelles peut faire courir au respect de la vie privée. 

Les motifs de la première grande législation européenne en matière de données à caractère personnel sont tout entiers dans ces constats. Ainsi, la directive 95/46/CE du 24 octobre 1995[1] avait-elle pour ambition d’appréhender la donnée à caractère personnel sous ses deux angles : en tant qu’élément indispensable au développement du grand marché intérieur dans son volet numérique, et en tant que droit fondamental qu’il convient de protéger, afin d’assurer la confiance des utilisateurs envers l’économie numérique, dont la croissance n’en était alors qu’à ses prémices. 

Mais moins de vingt ans après son adoption, les évolutions aussi bien techniques que juridiques intervenues sont venues bouleverser la pertinence de ce grand texte européen, d’autant que la pratique a révélé des divergences au sein des Etats membres de l’Union européenne (UE) quant à la transposition de la directive, aboutissant à un paysage juridique relativement fragmenté et une dysharmonie dans l’application du droit communautaire. Les évolutions technologiques sont celles qui ont permis l’émergence de nouvelles pratiques, insoupçonnées en 1995, comme le cloud computing, l’internet des objets, le big data etc., qui interrogent sur la question de la protection des données. Quant à l’évolution juridique majeure en la matière, il s’agit de la promotion de la protection des données à caractère personnel, érigée en véritable droit fondamental par l’article 8 de la Charte des droits fondamentaux de l’UE (la Charte), désormais pleinement inscrite dans le droit positif depuis le Traité de Lisbonne. 

Les nouvelles opportunités dans l’utilisation des données à caractère personnel, assorties de nouvelles et fortes contraintes quant à leur protection, ont dès lors suscité un souci d’actualisation du texte fondateur. C’est pourquoi la Commission a présenté le 25 janvier 2012 un « paquet législatif »[2], composé d’une proposition de règlement afin de remplacer la directive, ainsi que d’une proposition de directive appelée à se substituer au texte spécifique existant (décision-cadre 2008/977/JAI[3]) dans le cadre de l’Espace de Liberté, de Sécurité et de Justice (ELSJ) de l’UE[4].
Ces textes, après quatre années d’un processus législatif ayant suscité un lobbying inégalé et d’âpres discussions entre Conseil et Parlement européen, viennent enfin d’être adoptés en avril dernier, et publiés au Journal officiel de l’UE[5].

Le nouveau texte remplaçant la directive de 1995, qui ne sera pleinement applicable qu’en 2018, témoigne d’abord, de par le choix de la norme juridique qu’est le règlement, de la volonté du législateur européen de poser un corpus de règles en la matière s’appliquant à l’avenir de façon totalement harmonisée et contraignante. Il s’est attaché, ensuite, à opérer une actualisation des règles existantes, selon une approche « technologiquement neutre », assurant l’efficacité des règles nouvelles sans entraver le développement technologique, condition indispensable à la croissance de l’économie numérique et ainsi du marché intérieur dans son volet numérique. Il constitue, enfin, et surtout, une remarquable avancée en matière de garantie du droit à la protection des données à caractère personnel, désormais fondamental grâce à la Charte. En effet, ce sont des droits renforcés (pour les personnes) et des obligations étendues (pour les responsables de traitement de données) qui sont inscrits dans ce texte (I), appelé à durer au moins une génération d’utilisateurs des outils numériques. Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus performants (II), grâce notamment aux importants pouvoirs de sanction dont seront dotées les diverses autorités de protection des données.   

Pour lire la suite : Revue des Affaires Européennes : RAE 2016/1


[1] Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE L 281, 23/11/1995, p. 31.
[2] Voir COM(2012) 11 final pour la proposition de règlement, et COM(2012) 10 final pour la proposition de directive.  Voir par exemple notre commentaire : « Un nouveau cadre juridique général pour la protection des données au sein de l’U.E. : une réforme législative ambitieuse »,  Revue des Affaires Européennes 2012/1, pp.149-162.
[3] Décision-cadre 2008/977/JAI du 27 novembre 2008, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, JO L 350/60 du 30/12/2008.
[4] La directive de 1995 ne s’appliquait pas en effet par définition dans les domaines de l’ex troisième pilier de l’UE, aujourd’hui ELSJ.
[5] Règlement 2016/79 du Parlement européen et du Conseil du 27 avril 2016, JOUE L 119/1, 4 mai 2016.