Directive 95/46/CE sur la protection des données personnelles

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Directive sur la protection des données personnelles


Présentation
Titre directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Abréviation Directive 95/46/CE
Référence CELEX : 31995L0046
Organisation internationale Drapeau de l’Union européenne Union européenne
Territoire d'application États membres de l'Union européenne et de l'Espace économique européen
Type Directive de l'Union européenne
Branche Droit de l'Union européenne, Droit de l'informatique
Adoption et entrée en vigueur

Lire en ligne sur Eur-lex

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Publiée au Journal officiel de l'Union européenne du 23 novembre 1995, elle est officiellement intitulée « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Elle ne couvre pas les données personnelles traitées dans le cadre du troisième pilier de l'UE, à savoir la coopération policière et judiciaire en matière pénale, ce qui inclut l'ensemble des fichiers de police, de justice et de renseignement. Par ailleurs, elle ne concerne que la réglementation des Etats-membres ; les données personnelles collectées par des institutions communautaires sont régies par le règlement 45/2001, lequel institua le Contrôleur européen de la protection des données (CEPD). La directive 95/46/CE institua, elle, le G29 afin de coordonner l'activité des différentes autorités de protection des données personnelles.

Contexte[modifier | modifier le code]

La directive vise à protéger le droit à la vie privée, inscrit par ailleurs à l'art. 8 de la Convention européenne des droits de l'homme, ratifiée par tous les Etats-membres de l'UE, ainsi que dans la Charte des droits fondamentaux de l'Union européenne, qui possède depuis le Traité de Lisbonne de 2007 une valeur juridiquement contraignante, à l'exception de quelques pays.

Afin d'harmoniser la protection des données personnelles et faciliter leur échange à travers les frontières, l'OCDE avait publié, en 1980, des « Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel ». Sans valeur contraignante, ces lignes directrices, qui n'ont jamais été mises en œuvre par les Etats-Unis, ont inspiré la directive 95/46/CE, les sept principes y figurant ayant été repris: principe de la limitation en matière de collecte; de la qualité des données; de la limitation de l'utilisation; des garanties de sécurité; de la participation individuelle; de la responsabilité.

En 1981, le Conseil de l'Europe, regroupant 47 Etats-membres, promulgua la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Celle-ci incita la plupart des Etats-membres à mettre en place une législation nationale visant à protéger les données personnelles, lorsque ce n'avait pas déjà été fait (à l'instar de la France avec la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978).

Contenu[modifier | modifier le code]

Comme son nom l'indique, la directive vise à harmoniser les normes des différents États-membres en matière de protection des données personnelles, ceci afin de faciliter leur libre-circulation à des fins, notamment, commerciales.

L'art. 2 définit la notion de « données personnelles » ainsi que de « système de traitement de données » et celle de « contrôleur » ou responsable de la bonne tenue des systèmes précités.

Au niveau territorial, la directive s'applique dès que le responsable utilise des équipements situés sur le territoire de l'un des États-membres de l'UE, y compris lorsqu'il est lui-même situé à l'étranger (art. 4). Par ailleurs, des règles spécifiques concernent l'échange de données à des États-tiers (art. 25 et 26). Les pays de l'Espace économique européen (outre les 27 de l'UE, cela inclut l'Islande, le Liechtenstein et la Norvège) ne sont pas considérés comme États-tiers, dans la mesure où la directive a été intégrée dans l'accord sur l'Espace économique européen.

Principes[modifier | modifier le code]

Les données personnelles ne doivent pas être soumises à un traitement automatisé, sauf si celui-ci remplit les exigences posées par trois principes: proportionnalité, transparence, et finalité légitime. La directive reprend les principes généraux et les droits édictés dans la loi Informatique et libertés de 1978 et qui forment le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique, parmi lesquels le droit d'accès et de rectification aux données, le principe du consentement, etc.

L'art. 28 demande à chaque État-membre d'instituer une autorité de protection des données personnelles, sur le modèle général de la Commission nationale Informatique et libertés (CNIL) établie en France.

Groupe de travail article 29[modifier | modifier le code]

Article détaillé : G29.

L'art. 29 créé un groupe européen, dit G29 (Groupe de travail Article 29 sur la protection des données). Ce groupe a notamment négocié avec les États-Unis les International Safe Harbor Privacy Principles (en) visant à améliorer la protection des données personnelles des résidents de l'Union européenne traitées aux Etats-Unis, le Privacy Act de 1974 (en) n'accordant cette protection, jugée inférieure à celle établie dans l'UE, qu'aux ressortissants américains. Le G29 a aussi été au centre de la controverse concernant les accords SWIFT et les échanges des données issues des registres aériens (Passenger Name Records).

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]