A. Le cadre législatif au sein de l’Union européenne
19 Le cadre juridique dans le droit primaire. D’après les explications relatives à la Charte des droits fondamentaux, les fondements juridiques de l’article 8 sont doubles. Cet article repose en effet sur un acquis issu du droit du Conseil de l’Europe et sur le successif acquis communautaire. En effet les traités originaux des Communautés européennes ne contenaient aucune référence aux droits de l’homme ou à leur protection, étant donné que la Communauté économique européenne était initialement envisagée comme une organisation régionale axée sur l’intégration économique et la création d’un marché commun. Un principe fondamental qui sous-tend la création et le développement des Communautés européennes et qui est également valable aujourd’hui est le principe de l’attribution. Selon ce principe, l’Union européenne n’intervient que dans les limites des compétences qui lui sont conférées par les États membres, telles que reflétées dans les traités de l’Union. Contrairement au Conseil de l’Europe, les traités de l’UE n’incluent aucune compétence explicite en matière de droits fondamentaux. Pour accorder la protection aux individus, la Cour de justice a introduit les droits fondamentaux dans les soi-disant principes généraux du droit européen. Selon la Cour de justice, ces principes généraux reflètent le contenu de la protection des droits de l’homme figurant dans les constitutions nationales et les traités relatifs aux droits de l’homme, en particulier la CEDH. La Cour de justice a déclaré qu’elle assurerait la conformité de la législation de l’Union avec ces principes. Reconnaissant que ses politiques ont un impact sur les droits de l’homme et s’efforçant de se rapprocher des citoyens de l’Union, l’Union a proclamé en 2000 la Charte des droits fondamentaux de l’Union européenne (ci-après « la Charte »). Les droits décrits dans la Charte sont divisés en six sections : dignité, libertés, égalité, solidarité, droits des citoyens et justice. À l’origine, il ne s’agissait que d’un document politique, la Charte devenant
187 H. HIJMANS, The European Union as a constitutional guardian of internet privacy and data protection, PhD Thesis, University of Amsterdam 2016, http://hdl.handle.net/11245/ 2.169421, p. 389.
188 F. SUDRE et R. TINIERE, Droit communautaire des droits fondamentaux, éd Nemesis, Bruxelles, 2012, p. 17.
juridiquement contraignante en tant que droit primaire de l’Union 189 lorsque le traité de Lisbonne est entré en vigueur le 1er décembre 2009. Les dispositions de la Charte lient également les États membres lorsqu’ils mettent en œuvre le droit de l’Union. La Charte garantit non seulement le respect de la vie privée et familiale (article 7), mais établit également le droit à la protection des données personnelles (article 8). La Charte élève explicitement le niveau de cette protection à celui d’un droit fondamental dans le droit de l’Union. Les institutions et organes de l’Union doivent garantir et respecter ce droit, tout comme les États membres lorsqu’ils mettent en œuvre le droit de l’Union (article 51 de la Charte). Formulé plusieurs années après la directive sur la protection des données, l’article 8 de la Charte doit être compris comme une loi préexistante sur la protection des données de l’Union. La Charte, par conséquent, mentionne non seulement explicitement un droit à la protection des données à l’article 8, paragraphe 1, mais renvoie également aux principes clés de protection des données énoncés à l’article 8, paragraphe 2. Enfin, l’article 8 (3) de la Charte exige qu’une autorité indépendante contrôle la mise en œuvre de ces principes. L’adoption du traité de Lisbonne est un jalon dans le développement du droit de la protection des données, non seulement pour faire de la Charte un document juridique contraignant au niveau du droit primaire, mais aussi pour garantir le droit aux données personnelles. Ce droit est spécifiquement prévu à l’article 16 du TFUE, dans la partie du traité consacrée aux principes généraux de l’Union. L’article 16 crée également une nouvelle base juridique, conférant à l’Union la compétence de légiférer en matière de protection des données dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, à la seule exception de la politique étrangère et de sécurité commune relevant de l’article 39 TUE. Cette évolution est importante car avant l’entrée en vigueur du Traité de Lisbonne, les règles européennes de protection des données notamment la directive 95/46 sur la protection des données reposaient initialement sur la base juridique du marché intérieur et sur la nécessité de rapprocher les législations nationales afin que la libre circulation des données au sein de l’Union ne soit pas inhibée190. L’article 16 du TFUE fournit désormais une base juridique indépendante pour une approche moderne et globale de la protection des données, qui couvre toutes les questions de la compétence de l’UE, y compris la coopération policière et judiciaire en matière pénale. L’article 16 du TFUE affirme également que le respect des règles de protection des données adoptées en vertu de celui-ci doit être soumis au contrôle d’autorités de surveillance indépendantes. D’ailleurs la constitutionnalisation de la Charte, dérivant de sa proclamation comme droit primaire, est un évènement majeur pour la Cour de justice, qui dispose d’une norme propre de référence, lui permettant de jouer son rôle de gardien « constitutionnel » des droits fondamentaux. D’ailleurs l’article 16 a servi de base juridique à l’adoption de la réforme globale191 des règles de protection des données en 2016, à savoir le règlement général sur la protection des données et la directive sur la protection des données pour les autorités policières et pénales. Cependant, les États n’ont visiblement pas souhaité se saisir de cette possibilité de s’affranchir des contraintes inhérentes au jeu des bases
189 Voy. article 6, paragraphe 1, du TUE.
190 M.-C. PONTHOREAU, « La directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », RFDA, 1997, p. 125 et s.
191 Voy. le communiqué de presse disponible à l’adresse : http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=FR.
juridiques et ont préféré maintenir deux instruments distincts fondés sur l’article 16TFUE. Ce choix permet aux États de mettre en place des standards de protections différencié en valorisant davantage les impératifs de sécurité publique. Ainsi l’interprétation de la Cour de justice vis-à- vis des dispositions de la directive 680/16 qui définissent un standard inférieur à celui offert par le règlement 679/16 sera crucial afin de préciser les règles issues du droit dérivé qui relèvent d’un droit fondamental.
20 Le Cadre juridique dans le droit secondaire. De 1995 à mai 2018, le principal instrument juridique de l’UE sur la protection des données était la directive 95/46 / CE du Parlement européen et du Conseil du 24 octobre 1995 concernant la protection des personnes à l’égard des données personnelles et la libre circulation192. La directive 95/46 dite « directive mère » a été adoptée en 1995, à une époque où plusieurs États membres avaient déjà adopté des lois nationales sur la protection des données193, et est ressortie de la nécessité d’harmoniser ces lois afin d’assurer un niveau élevé de protection des données et la libre circulation des données à caractère personnel entre les différents États membres. En effet, la libre circulation des biens, des capitaux, des services et des personnes au sein du marché intérieur nécessitait la libre circulation des données, qui ne pouvait être réalisée que si les États membres pouvaient compter sur un niveau élevé de protection des données. Cette directive a établi un système de protection des données détaillé et complet dans l’UE. Cependant, conformément au système juridique de l’UE, les directives ne s’appliquent pas directement et doivent être transposées dans les législations nationales des États membres. Inévitablement, les États membres bénéficient d’une marge de manœuvre pour transposer les dispositions de la directive. Même si la directive visait à assurer une harmonisation complète (et un niveau de protection complet), dans la pratique, elle a été transposée différemment dans les États membres. Cela a abouti à la mise en place de diverses règles de protection des données dans l’Union européenne, avec des définitions interprétées différemment dans les législations nationales. Les niveaux d’application et la sévérité des sanctions variaient également d’un État membre à l’autre. Enfin, des changements importants ont été apportés à la technologie de l’information depuis la rédaction de la directive au milieu des années quatre-vingt-dix. Prises ensemble, ces raisons ont conduit à la réforme de la législation européenne en matière de protection des données. Toutefois elle a permis d’une part le développement de la jurisprudence de la Cour de justice en la matière et d’autre part le développement du droit dérivé de l’Union européenne. Cela a conduit à l’adoption du règlement 45/2001/CE étendant l’application des principes de la directive aux institutions et organes de l’Union, la directive 2002/58/CE dite directive vie privée et communications électroniques qui adapte les principes de la directive 95/46 au secteur des télécommunications, la directive 2006/24/CE relative à la conservation des données traitées en matière de communications électroniques et la décision 2008/977/JAI relative à la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Cependant depuis l’entrée en vigueur du traité de Lisbonne, l’Union a entrepris une refonte de sa législation
192 Voy. Directive du Parlement européen et du Conseil, du 24 octobre 1995, JOCE, n L281 du 23 novembre1995, p. 31.
193 Le Land allemand de Hesse a adopté en 1970 la première loi sur la protection des données au monde, qui ne s’appliquait qu’à cet État. La Suède a adopté le Datalagen en 1973; L’Allemagne a adopté le Bundesdatenschutzgestez en 1976; La France a adopté en 1977 la Loi relative à l’informatique, aux fichiers et aux libertés. Le Royaume-Uni a adopté en 1984 la loi sur la protection des données. Enfin, les Pays-Bas ont adopté le Wet Persoonregistraties en 1989.
en la matière. La réforme a conduit à l’adoption du règlement général sur la protection des données en avril 2016, remplaçant la directive 95/46 et la directive relative à la collecte et au traitement des données dans le domaine pénal194 abrogeant la décision-cadre 2008/977/JAI. Les débats sur la nécessité de moderniser les règles de protection des données de l’UE ont débuté en 2009, lorsque la Commission a lancé une consultation publique sur le futur cadre juridique du droit fondamental à la protection des données à caractère personnel. La proposition de règlement a été publiée par la Commission en janvier 2012, marquant le début d’un long processus législatif de négociations entre le Parlement européen et le Conseil de l’UE. Après son adoption, le règlement général sur la protection des données (ci-après RGPD) prévoyait une période de transition de deux ans. Il est devenu pleinement applicable le 25 mai 2018, date à laquelle la directive sur la protection des données a été abrogée.
21 La directive e-privacy. L’établissement de règles spéciales de protection des données a également été jugé nécessaire dans le secteur des communications électroniques. Avec le développement d’Internet et de la téléphonie mobile, il était important de veiller à ce que les droits des utilisateurs à la vie privée et à la confidentialité soient respectés. La directive 2002/58 / CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans les communications électroniques195 (directive sur la vie privée et les communications électroniques ou directive sur la vie privée) établit des règles sur la sécurité des données personnelles et la confidentialité des communications. Parmi les obligations, les opérateurs de services de communications électroniques doivent, entre autres, veiller à ce que l’accès aux données personnelles soit limité aux personnes autorisées et prendre des mesures pour éviter la destruction, la perte ou l’endommagement de ces données196 . Si, en dépit des mesures de sécurité mises en œuvre, une violation de la sécurité se produit, les opérateurs doivent en informer l’autorité nationale compétente chargée de la mise en œuvre de la sécurité et l’application de la directive de ladite violation de données personnelles. Les opérateurs sont parfois tenus de notifier également les violations de données personnelles aux individus, notamment lorsque la violation est susceptible d’affecter leurs données personnelles ou leur vie privée197. La confidentialité des communications nécessite que l’écoute, le stockage ou tout type de surveillance ou d’interception des communications sur les métadonnées soient, en principe, interdit. La directive interdit également les communications non sollicitées (souvent appelées « spam »), sauf si les utilisateurs ont donné leur consentement, et contient des règles sur le stockage des « cookies » sur les ordinateurs et les appareils. Ces obligations négatives indiquent clairement que la confidentialité des communications est étroitement liée à la protection du droit au respect de la vie privée consacré à l’article 7 de la Charte et au droit à la
194 Directive 680/16 du Parlement européen et du Conseil du 27 avril 2016, relative à la protection des personnes physiques a l’égard du traitement des données a caractère personnel par les autorités compétentes a des fins de prévention et de détection des infractions pénales d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales et à la libre circulation de ces donnes, JOUE, n L119 du 4 mai 2016, p.89.
195 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
196 Voy. art. 4 § 1.
197 Voy. art. 4 § 2.
protection des données personnelles consacré à l’article 8 de la Charte. En janvier 2017, la Commission a publié une proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, destinée à remplacer la directive sur la vie privée et les communications électroniques. La réforme vise à aligner les règles régissant les communications électroniques avec le nouveau régime de protection des données établi en vertu du règlement général sur la protection des données. Le nouveau règlement sera directement applicable dans toute l’Union ; tous les individus bénéficieront du même niveau de protection de leurs communications électroniques, tandis que les opérateurs et les entreprises de télécommunication bénéficieront de la clarté, de la sécurité juridique et de l’existence d’un ensemble unique de règles dans toute l’Union. Les règles proposées en matière de confidentialité des communications électroniques s’appliqueront également aux nouveaux acteurs fournissant des services de communication électronique qui ne sont pas couverts par la directive sur la vie privée et les communications électroniques. Avec une utilisation massive de services tels que Skype, WhatsApp, Facebook Messenger et Viber pour envoyer des messages ou appeler, les acteurs fournissant des services de communication électronique entreront désormais dans le champ d’application de la réglementation et devront respecter ses exigences en matière de protection des données, de confidentialité et de sécurité. Au moment de la publication de cette thèse, un processus législatif sur les règles de confidentialité électronique était toujours en cours.
22 Le règlement 45/2001. La directive 95/46 sur la protection des données ne s’appliquant qu’aux États membres de l’UE, un instrument juridique supplémentaire était nécessaire pour assurer la protection des données pour le traitement des données personnelles par les institutions et organes de l’UE. Le règlement (CE) n ° 45/2001 relatif à la protection des personnes à l’égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation de ces données (Règlement de l’Union sur la protection des données) assume cette tâche. Le règlement n° 45/2001 suit de près les principes du régime général de protection des données de l’UE et applique ces principes au traitement des données effectués par les institutions et organes de l’UE dans l’exercice de leurs fonctions. En outre, il établit une autorité de surveillance indépendante chargée de veiller à l’application de ces dispositions, le contrôleur européen de la protection des données (CEPD). Le CEPD est investi de pouvoirs de surveillance des traitements de données à caractère personnel mises en œuvre par les institutions et organes de l’Union. Il a aussi pour mission d’enquêter sur les plaintes pour violation présumée des règles de protection des données. Il conseille également les institutions et organes de l’Union sur toutes les questions relatives à la protection des données personnelles, allant des propositions de nouvelle législation à l’élaboration de règles internes relatives à l’informatique. En janvier 2017, la Commission européenne a présenté une proposition de nouvelle réglementation sur le traitement des données par les institutions de l’Union, qui abrogera le règlement actuel. Comme pour la réforme de la directive « vie privée et communications électroniques », la réforme du règlement n ° 45/2001 modernisera et alignera ses règles sur le nouveau régime de protection des données établi en vertu du règlement général sur la protection des données.
23 La refonte dans l’ex-premier pilier : le RGPD. L’adoption du règlement général sur la protection des données en 2016 (ci-après RGPD) a modernisé la législation de l’Union en matière de protection des données, la rendant ainsi apte à protéger les droits fondamentaux dans le contexte des défis économiques et sociaux de l’ère numérique. Le RGPD préserve et développe les principes et droits fondamentaux de la personne concernée dans la directive 95/46 sur la protection des données. Cependant, il a introduit de nouvelles obligations pour les entreprises et acteurs publics afin de mettre en œuvre la protection des données dès la conception et par défaut ; imposer la nomination dans certaines circonstances d’un délégué à la protection des données ; se conformer à un nouveau droit à la portabilité des données et respecter le principe de responsabilité. En vertu du droit de l’Union, les règlements sont directement applicables. Cela crée des règles cohérentes de protection des données dans l’ensemble de l’Union, établissant un environnement de sécurité juridique dont les opérateurs économiques et les particuliers en tant que « personnes concernées » peuvent bénéficier.
Cependant, même si le règlement général sur la protection des données est directement applicable, les États membres sont tenus de mettre à jour leurs lois nationales sur la protection des données et de se conformer pleinement au règlement, tout en conservant une marge d’appréciation pour les dispositions spécifiques du considérant198. Concernant son application territoriale et matérielle, le règlement s’applique aux entreprises établies dans l’Union et également aux responsables et aux sous-traitants non établis dans l’Union lorsqu’ils offrent des biens ou des services aux personnes concernées dans l’Union ou surveillent leur comportement.
Comme plusieurs entreprises technologiques d’outre-mer détiennent une partie importante du marché européen et traitent des millions de données de ressortissants européens, soumettre ces organisations aux règles de protection des données de l’Union est crucial pour assurer la protection des individus et garantir des conditions de concurrence équitables.
24 La refonte dans l’ex-troisième pilier : La directive 680/16. La directive sur la protection des données 95/46, désormais abrogée, se limitait à encadrer les activités relevant du marché intérieur et celles des autorités publiques autres que les forces de l’ordre. L’adoption d’instruments spéciaux était donc primordiale pour atteindre la clarté et l’équilibre nécessaires entre la protection des données et d’autres intérêts légitimes et pour relever les défis qui sont particulièrement pertinents dans des secteurs spécifiques. C’est le cas des règles régissant le traitement des données personnelles par les autorités répressives. Le premier instrument
198 Voy. Considérant 10 du RGPD: Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
juridique de l’Union encadrant ce domaine a été la décision-cadre 2008/977 / JAI199 du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Ses règles ne s’appliquaient qu’aux données policières et judiciaires échangées entre États membres. Le traitement national des données personnelles par les forces de l’ordre avait été exclu de son champ d’application. La Directive 2016/680200 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention, de la recherche, de la détection ou de la répression d’infractions pénales ou de l’exécution de sanctions pénales et la libre circulation de ces données, a remédié à cette situation. Adoptée en parallèle au RGPD, la directive 680/2016 a abrogé la décision-cadre 2008/977 / JAI et mis en place un système complet de protection des données à caractère personnel liées à la sécurité publique. Alors que le RGPD établit des règles générales pour protéger les personnes en ce qui concerne le traitement de leurs données personnelles et assurer la libre circulation de ces données au sein de l’Union, la directive établit des règles spécifiques pour la protection des données en matière pénale et coopération policière. Lorsqu’une autorité compétente traite des données à caractère personnel à des fins de prévention, d’enquête, de détection ou de poursuite d’infractions pénales, la directive 2016/680 s’applique. Lorsque les autorités compétentes traitent des données à caractère personnel à d’autres fins que celles mentionnées ci-dessus, le régime général prévu par le règlement général sur la protection des données s’applique. Contrairement à son prédécesseur (décision-cadre 2008/977 / JAI), le champ d’application de la directive 2016/680 s’étend au traitement national des données à caractère personnel par les autorités répressives et ne se limite pas aux échanges de données entre États membres201. En outre, la directive vise à établir un équilibre entre les droits des individus et les objectifs légitimes du traitement lié à la sécurité. À cette fin, la directive affirme le droit à la protection des données à caractère personnel et les principes de base devant régir le traitement de ces données, en suivant les règles et principes consacrés dans le RGPD. La directive prend également en compte et tente d’aborder de sérieux défis technologiques émergents qui peuvent avoir un impact particulièrement grave sur les individus, tels que l’utilisation de techniques de profilage par les autorités répressives. En principe, les décisions fondées uniquement sur le traitement automatisé, y compris le profilage, doivent être interdites202. En outre, elles ne doivent pas reposer sur des données sensibles. Ces principes sont soumis à certaines exceptions prévues par la directive. De plus, un tel traitement ne doit entraîner aucune discrimination203. La directive
199 Voy. La décision cadre 2008/977 / JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
200 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
201 Voy. C. DI FRANCESCO MAESA, Balance between Security and Fundamental Rights Protection: An Analysis of the Directive 2016/680 for data protection in the police and justice sectors and the Directive 2016/681 on the use of passenger name record (PNR, , Eurojus, 2016, disponible à l’adresse/ http://rivista.eurojus.it/balance-between-security-and-fundamental- rights-protection-an-analysis-of-the-directive-2016680-for-data-protection-in-the-police-and-justice-sectors-and-the- directive-2016681-on-the-use-of-passen/
202 Voy. l’art. 11 §1.
203 Voy. art. 11 §2 et 3.