Directive 95/46/CE sur la protection des données personnelles
La directive 95/46/CE est une ancienne directive de l'Union européenne abrogée le qui constituait le texte de référence en matière de protection des données à caractère personnel. Publiée au Journal officiel de l'Union européenne du , elle est officiellement intitulée « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données »[1].
| Titre | Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données |
|---|---|
| Abréviation | Directive 95/46/CE |
| Référence | CELEX : 31995L0046 |
| Organisation internationale |
 Union européenne |
| Territoire d'application | États membres de l'Union européenne et de l'Espace économique européen |
| Type | Directive de l'Union européenne |
| Branche | Droit de l'Union européenne, Droit de l'informatique |
Lire en ligne
Elle ne couvre pas les données personnelles traitées dans le cadre du troisième pilier de l'UE, à savoir la coopération policière et judiciaire en matière pénale, ce qui inclut l'ensemble des fichiers de police, de justice et de renseignement. Par ailleurs, elle ne concerne que la réglementation des États-membres ; les données personnelles collectées par des institutions communautaires sont régies par le règlement 45/2001, lequel institua le Contrôleur européen de la protection des données (CEPD). La directive 95/46/CE institua, elle, le G29 afin de coordonner l'activité des différentes autorités de protection des données personnelles.
Cette directive a été rendue caduque par le Règlement général sur la protection des données adopté en 2016.
Contexte
modifierLa directive vise à protéger le droit à la vie privée, inscrit par ailleurs à l'art. 8 de la Convention européenne des droits de l'homme, ratifiée par tous les États-membres de l'UE, ainsi que dans la Charte des droits fondamentaux de l'Union européenne, qui possède depuis le Traité de Lisbonne de 2007 une valeur juridiquement contraignante, à l'exception de quelques pays.
Afin d'harmoniser la protection des données personnelles et faciliter leur échange à travers les frontières, l'OCDE avait publié, en 1980, des «Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel ». Sans valeur contraignante, ces lignes directrices, qui n'ont jamais été mises en œuvre par les États-Unis, ont inspiré la directive 95/46/CE, les six principes y figurant ayant été repris: principe de la limitation en matière de collecte ; de la qualité des données; de la limitation de l'utilisation; des garanties de sécurité; de la participation individuelle; de la responsabilité.
En 1981, le Conseil de l'Europe, regroupant 47 États-membres, promulgua la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Celle-ci incita la plupart des États-membres à mettre en place une législation nationale visant à protéger les données personnelles, lorsque ce n'avait pas déjà été fait (à l'instar de la France avec la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978).
Contenu
modifierComme son nom l'indique, la directive vise à harmoniser les normes des différents États-membres en matière de protection des données personnelles, ceci afin de faciliter leur libre-circulation à des fins, notamment, commerciales.
L'article 2 définit la notion de « données personnelles » ainsi que de « système de traitement de données » et celle de « contrôleur » ou responsable de la bonne tenue des systèmes précités.
Au niveau territorial, la directive s'applique dès que le responsable utilise des équipements situés sur le territoire de l'un des États membres de l'UE, y compris lorsqu'il est lui-même situé à l'étranger (art. 4). Par ailleurs, des règles spécifiques concernent l'échange de données à des États tiers (articles 25 et 26). Les pays de l'Espace économique européen (outre les 28 de l'UE, cela inclut l'Islande, le Liechtenstein et la Norvège) ne sont pas considérés comme États tiers, dans la mesure où la directive a été intégrée dans l'accord sur l'Espace économique européen.
Principes
modifierLes données personnelles ne doivent pas être soumises à un traitement automatisé, sauf si celui-ci remplit les exigences posées par trois principes: proportionnalité, transparence, et finalité légitime. La directive reprend les principes généraux et les droits édictés dans la loi Informatique et libertés de 1978 et qui forment le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique, parmi lesquels le droit d'accès et de rectification aux données, le principe du consentement, etc.
L'art. 28 demande à chaque État-membre d'instituer une autorité de protection des données personnelles, sur le modèle général de la Commission nationale Informatique et libertés (CNIL) établie en France.
Groupe de travail article 29
modifierL'art. 29 créé un groupe européen, dit G29 (Groupe de travail Article 29 sur la protection des données). Ce groupe a notamment négocié avec les États-Unis les International Safe Harbor Privacy Principles visant à améliorer la protection des données personnelles des résidents de l'Union européenne traitées aux États-Unis, la Loi sur la protection de 1974 (en) n'accordant cette protection, jugée inférieure à celle établie dans l'UE, qu'aux ressortissants américains. Le G29 a aussi été au centre de la controverse concernant les accords SWIFT et les échanges des données issues des registres aériens (Passenger Name Records). Il rédige aussi les Règles d'entreprise contraignantes.
Notes et références
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Data Protection Directive » (voir la liste des auteurs).
- (en) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, vol. OJ L, (lire en ligne)
Compléments
modifierArticles connexes
modifier- Règlement général sur la protection des données
- Directive 2006/24/CE sur la conservation des données
- Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques
- Vie privée et informatique
- Journée européenne de la protection des données
- Droit à l'oubli
Liens externes
modifier- Protection des données à caractère personnel, site Europa de résumé de la législation européenne, avec lien vers la directive
- Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, Paris 1, , thèse (lire en ligne)
