La collecte et le traitement des données personnelles dans l’Union européenne, par Mélanie Reuter
Résumé : L’évolution du numérique contraint la Commission européenne à renforcer la législation de l’Union sur la protection des données. La difficulté est de trouver un juste milieu entre les craintes des citoyens européens quant à l’utilisation qui est faite de leurs données personnelles d’une part et, d’autre part, les besoins des institutions des Etats de surveiller ces échanges d’informations et d’utiliser ces données.
La circulation de nos données personnelles est quotidienne. Elles se retrouvent sur internet parfois volontairement, lorsqu’on utilise les réseaux sociaux, et parfois involontairement, lorsqu’on se déplace d’un endroit à un autre par l’usage d’un passeport biométrique. Personne ne semble alerté lorsqu’il nous est impossible de supprimer nos messages ou notre compte sur Facebook. Mais l’opinion publique ne peut plus fermer les yeux depuis qu’en juin 2013 Edward Snowden a révélé au grand jour les pratiques des services secrets américains et britanniques, notamment leurs programmes de surveillance de masse, dont le programme PRISM de la National Security Agency (NSA). La question de la protection des données personnelles se pose donc autant vis-à-vis des personnes privées que des personnes publiques.
Qu’en est-il donc de la protection des données personnelles des citoyens européens face aux autorités publiques ?
Dès 1995, l’Union européenne a mis en place un cadre général du droit à la protection des données personnelles. En réponse à l’ouverture des frontières par l’Accord Schengen et la « consécration » en droit de l’Union des libertés de circulation la directive 95/45/CE sur la protection des personnes physiques relative au traitement des données personnelles et à la libre circulation des données vit le jour. Cette directive constitue le socle commun de toutes les législations des Etats membres.
Cependant, même si la directive 95/45/CE a été renforcée par une autre directive en 2002, puis modifiée en 2006, la rapidité de l’évolution technologique a poussé la Commission européenne à proposer un projet de règlement afin de renforcer « les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie européenne » (discours de Viviane Reding, vice-présidente de la Commission, 25 janvier 2002). La Commission a donc choisi d’accentuer l’uniformisation de la protection des données personnelles. Les difficultés qui apparaissent dans la transposition des directives sont les différences d’application par les Etats membres. Il est donc nécessaire d’harmoniser les législations nationales en trouvant un équilibre entre la protection de la vie privée des citoyens européens et la libre circulation des données. La non-transposition par l’Allemagne de la directive 2006/24/CE suite à la décision de la Cour constitutionnelle fédérale du 2 mars 2010 et l’arrêt récent de la Cour de justice de l’Union européenne du 8 avril 2014 illustrent bien ces difficultés.
Selon l’article 8 de la Charte des droits fondamentaux, la protection des données et la protection de la vie privée sont deux notions qui bénéficient du statut de droits fondamentaux : « toute personne a droit à la protection des données à caractère personnel la concernant ». La Cour de justice a reconnu en 2008 ce statut dans l’affaire Promusicae (CJUE, C-275/06) d’« un autre droit fondamental, à savoir celui qui garantit la protection des données à caractère personnel et, donc, de la vie privée ». Cette valeur fondamentale est également reconnue à l’article 16 du Traité sur le fonctionnement de l’Union européenne. Par ailleurs, dans le cadre de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, la jurisprudence de la Cour européenne des droits de l’homme assimile la protection des données personnelles au droit à la protection de la vie privée de l’article 8 de la Convention.
Alors que la Commission européenne a décidé en 2012 de revoir sa législation dans ce domaine, il est important de présenter le cadre législatif de l’Union dans la protection des données personnelles pour ensuite comparer sa transposition dans les législations française et allemande. Enfin, il convient d’analyser la décision du juge constitutionnel fédéral du 2 mars 2010 et l’arrêt de la Cour de justice de l’Union du 8 avril 2014 afin de mettre en évidence les limites de cette législation.
L’évolution du cadre législatif du droit de l’Union
L’Union a adopté la directive 95/46/CE afin d’assurer, d’une part, la protection des droits fondamentaux des citoyens européens à l’égard du traitement des données à caractère personnel et, d’autre part, pour faciliter l’accès aux données et leur échange par les Etats membres.
Le droit de l’Union définit à l’article 2.a) de la directive une donnée à caractère personnel comme « toute information concernant une personne physique identifiée ou identifiable ». La directive s’applique au traitement automatisé ou manuel (article 3-1) mais elle ne s’applique pas aux domaines où l’Union n’a pas de compétences (en droit pénal), ni au traitement effectué dans le cadre d’activités exclusivement personnelles ou domestiques. La Cour de justice de l’Union dans un arrêt Bodil Lindqvist de 2003 (CJUE, Affaire C-101/01) affirme qu’une publication de données personnelles sur internet suffit pour enlever le caractère « exclusivement personnel » en estimant que « cette exception doit donc être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes ».
La directive reconnait un droit d’information, un droit d’accès et de rectification à la personne concernée. Mais le traitement doit surtout être légitime en ce qu’il ne peut être effectué que si la personne concernée a donné son consentement ou si le traitement est nécessaire comme par exemple à l’exécution d’un contrat ou encore à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement (article 7). Toutefois, les Etats membres peuvent déroger à cette règle en se fondant sur la sûreté nationale ou encore la santé publique (article 13). Par ailleurs, la directive de 1995 a instauré un organe de contrôle indépendant au niveau européen: le Contrôleur européen de la protection des données qui veille au respect de la protection des données lorsqu’elles sont traitées par les institutions et organes européens tandis que le contrôle du respect de cette législation au niveau national dans les Etats membres dépend d’institutions nationales spécialisées comme la CNIL en France.
Le choix d’une directive laisse aux Etats membres une marge de manœuvre au niveau national qui leur permet d’opter soit pour une meilleure protection de la sécurité de leur citoyen, soit, au contraire, pour une approche plus libérale de la protection des données personnelles, tout en fixant un seuil minimal de protection auxquels les Etats membres de l’Union ne peuvent pas déroger.
La France, à l’origine de la directive, fait partie des pays qui paraissent les plus soucieux de la protection des données personnelles des citoyens. Elle a ainsi transposé la présente directive par une loi n°2004-801 du 6 aout 2004 qui est venue compléter et modifier une loi déjà adoptée en 1978, « la loi informatique et liberté » (loi n°78-17), qui veillait à garantir les droits des personnes à l’égard des traitements de données personnelles. L’Union s’en est d’ailleurs inspirée dans sa rédaction : Dans la définition du terme « donnée personnelle » on remarque déjà l’emprunt fait par l’Union car les deux définitions sont quasiment identiques: dans l’article 2 de la loi, constitue une donnée personnelle « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ». De plus, Les données personnelles « doivent être obtenues et traitées loyalement et licitement, pour des finalités déterminées, explicites et légitimes, adéquates, pertinentes et non excessives au regard des finalités ». Cette loi consacre trois principes : le respect de la vie privée, la transparence et le droit à l’oubli. La Commission nationale de l’informatique et des libertés (la CNIL), autorité de protection des données, a été créée par cette loi.
L’Allemagne, quant à elle, a été le premier pays à se doter d’un texte sur la protection des données avec la loi fédérale du 21 janvier 1977 contre l’usage abusif des données. Elle a été remplacée par la loi fédérale du 20 décembre 1990, puis révisée en 2002 afin de transposer la directive européenne. En Allemagne, il existe une réglementation au niveau du Bund avec le Bundesdatenschutzgesetz, la loi fédérale de la protection des données et au niveau des Länder. Le Bundesdatenschutzgesetz règle la protection des données pour les administrations du Bund et pour le secteur privé c’est-à-dire pour toutes les entreprises, les institutions et associations à l’égard des personnes privées. La législation des Länder couvre l’administration publique régionale mais aussi la conformité des entreprises privées avec le Bundesdatenschutzgesetz.
La confidentialité des communications est un droit fondamental en Allemagne. Elle a été incluse dans la Loi fondamentale, à l’article 10, mais elle est aussi induite par les premiers articles concernant le droit à la liberté individuelle, sans être cependant explicitement nommée. L’Allemagne a eu un impact majeur sur la législation concernant la protection des données et par conséquent sur la législation correspondante des autres Etats membres.
La Cour constitutionnelle fédérale allemande a consacré un nouveau droit dans un arrêt du 15 décembre 1983, concernant une affaire de recensement de la population : le droit à « l’autodétermination informationnelle ». La Cour avait considéré que certaines dispositions de la loi du recensement permettant au gouvernement de recueillir des renseignements et de les partager avec les collectivités locales et les gouvernements des Länder étaient inconstitutionnelles.
L’Union a développé sa législation sur la protection des données en introduisant un règlement (CE) n°45/2001 relatif à protection des données et du traitement qui s’applique uniquement aux institutions et organes de l’Union européenne et une directive 2002/58 CE relative à la protection de la vie privée dans le secteur des communications électronique, afin de protéger spécifiquement la vie privée sur internet. Cette directive, aussi connue sous le nom de « e-privacy » est venue compléter la directive de 1995. Cette directive fut transposée tardivement, avec deux ans de retard pour la France et l’Allemagne: en France avec la loi pour la confiance dans l’économie numérique et en Allemagne dans le Telekommunikationsgesetz (loi sur la télécommunication).
La directive européenne de 2002 a ensuite été modifiée par la directive 2006/24/CE du 15 mars 2006 relative à la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication : l’harmonisation au niveau de l’Union devait assurer une conservation des données durant un certain temps aux fins de prévention et d'enquête en matière d'infractions pénales.
Mais la directive est devenue sujette à discussion car il s’agissait d’enregistrer et de stocker des données à titre préventif c’est-à-dire avant même qu’une personne n’ait commis une quelconque infraction. En raison des difficultés de transposition que cela a posé, une Décision-cadre du Conseil du 27 novembre 2008 sur la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire a instauré un cadre juridique général, plus souple, et un champ d’application restreint aux données « qui peuvent être collectées par les autorités compétentes uniquement pour des finalités déterminées » (article 3).
Le défi de l’Union européenne: entre protection de la vie privée et libre circulation
La directive 2006/24/CE a été adoptée suite aux attentats, en Espagne, en 2004, et au Royaume-Uni, en 2005. La conservation des données a été justifiée par le fait qu’il s’agissait d’une nécessité pour combattre le terrorisme. Cette directive imposait aux fournisseurs de services internet ou de télécommunications de conserver certaines données relatives au trafic des communications pour tous leurs clients. Il s’agissait d’une première étape dans la surveillance des télécommunications et une baisse de l’anonymat sur internet. Elle permettait de conserver les données, pour une durée s’étalant de six mois à deux ans, à compter de la date de la communication (article 6), sans pouvoir accéder au contenu de la conversation, et d’analyser le comportement de chaque communicant pour créer une sorte de profil de personnalité des individus à travers les informations collectées. C’est pour cette raison, que cette directive a été très controversée. En France, la directive a été transposée le 23 janvier 2006 dans le cadre de la loi de lutte contre le terrorisme autorisant une conservation durant une période de 12 mois.
En Allemagne, le Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmassnahmen (« la loi sur la nouvelle réglementation de la surveillance des télécommunication et autres mesures d'enquête secrètes ») a régi la conservation des données du 1er janvier 2008, date d’entrée en vigueur de la loi de transposition, jusqu’au 2 mars 2010, date à laquelle la Cour constitutionnelle fédérale a déclaré inconstitutionnelle et nulle la législation allemande sur la conservation des données. Même avant son entrée en vigueur, de nombreux recours ont été déposés devant la Cour constitutionnelle fédérale. En raison de son passé historique avec les pratiques en matière d’écoute de la police politique d’Allemagne de l’Est, l’Allemagne est très prudente vis-à-vis de la surveillance des télécommunications. Il s’agit donc d’un sujet particulièrement délicat pour les Allemands. La Cour de Karlsruhe a rendu une décision le 2 mars 2010 dans laquelle elle considéra que la loi dans sa version actuelle violait l’article 10 de la Loi fondamentale. Elle ne se prononce pas totalement contre une conservation des données en précisant qu’une conservation n’est pas « totalement incompatible » avec la Loi Fondamentale mais qu’au regard du droit à la vie privée des citoyens il est nécessaire que les données soient enregistrées de manière décentralisée et protégées par des mesures spéciales. Pour le juge constitutionnel allemand, la loi ne prévoyait pas suffisamment de mesures de précaution pour protéger le secret des correspondances électroniques.
Mais la Cour constitutionnelle fédérale a aussi contourné la question des rapports entre la Constitution et le droit de l’Union européenne – en n’opérant pas de renvoi préjudiciel. Elle estime que, du fait de la marge de manœuvre laissée aux Etats membres lors de la transposition de la directive, savoir s’il y a une « possible primauté du droit communautaire devant la Loi fondamentale allemande n’était pas décisif ».
La non-transposition de la directive aura valu à l’Allemagne une assignation en justice de la part de la Commission européenne en vertu de l’article 258 du Traité sur le fonctionnement de l’Union européenne.
En 2006, la High Court irlandaise et la Cour constitutionnelle autrichienne ont saisi la Cour de justice d’un renvoi préjudiciel lui demandant d’examiner la validité de la directive au regard des articles 7 et 8 de la Charte des droits fondamentaux (respect de la vie privée et protection des données à caractère personnel).
Le 8 avril 2014, la Cour de Justice de l’Union ne se prononça pas contre la conservation des données en considérant que « la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique. » Cependant, elle estime que « le législateur de l’Union » a dépassé « les limites qu’impose le respect du principe de proportionnalité » car « l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir une ingérence » justifiée. Cela signifie que la directive va à l’encontre de la Charte des droits fondamentaux, selon laquelle, chaque limitation de l’exercice d’un droit fondamental doit être prévue par la loi. Elle déclare donc le 8 avril 2014, la nullité de la directive et l’incompatibilité avec la Charte des droits fondamentaux, qui a valeur contraignante depuis le traité de Lisbonne entrée en vigueur en 2009.
L’argumentation de la Cour de justice n’est toutefois pas similaire à celle de la Cour constitutionnelle fédérale allemande. Elle va même parfois plus loin : la Cour de Karlsruhe se limite à vouloir une réglementation de l’accès aux données personnelles alors que la Cour de justice souhaiterait une restriction dès l’enregistrement des données. Par ailleurs, pour la Cour constitutionnelle fédérale la durée de conservation des données de 6 mois sans motif n’est pas incompatible avec la Loi fondamentale allemande. Au contraire la Cour de justice considère une conservation des données sans critères objectifs d’une durée de 6 á 24 mois au maximum disproportionnée. Mais dans les deux cas, le déséquilibre du cadre législatif de la protection des données personnelles entre la protection des droits fondamentaux et la recherche a été sanctionné.
Que reste-t-il alors de la conservation des données ?
La directive a été déclarée invalide ce qui la rend sans effet rétroactivement, donc dès sa date d’entrée en vigueur sans mesures transitoires. Même si la Cour de justice et le juge de Karlsruhe ne se prononcent pas contre une conservation des données personnelles car elle est nécessaire pour garantir la sécurité, la difficulté va résulter dans le fait de devoir mettre en place une nouvelle directive répondant à toutes les préoccupations des Cours et des citoyens européens, ce qui reste une tâche difficile à accomplir. Le choix d’un Règlement proposé par la Commission signifierait que les États membres n’auraient plus de marge de manœuvre mais que ce texte serait immédiatement applicable.
BIBLIOGRAPHIE
Revues :
Common Market Law Review 46, Kluwer Law International 2009
Revue trimestrielle des droits de l’homme, n°2010/84, p.937
Ouvrages :
Kai Biermann: Was Vorratsdaten über uns verraten, Zeitverlag Gerd Bucerius GmbH & Co. KG, 2011
Droit de l’internet, par C. CASTETS-RENARD, éd. Lextenso-Montchrestien, 2010
Décisions et arrêts :
CJUE, affaire C-101/01, Bodil Lindqvist du 6 novembre 2003
CJUE, affaire C-275/06, Promusicae du 29 janvier 2008
CJUE, affaires jointes C-293/12 et C-594/12 du 8 avril 2014
Bundesverfassungsgericht, 1 BvR 256/08 du 2 mars 2010
Textes officiels :
Bundesdatenschutzgesetz
Charte des droits fondamentaux
Décision-cadre 2008/977/JAI
Directive 95/45/CE du 26 juillet 1995
Directive 200/58/CE du 12 juillet 2002
Loi 78-17 du 6 janvier 1978
Directive 2006/24/CE du 15 mars 2006
Traité sur le fonctionnement de l’Union européenne
Traité de l’Union européenne
Telekommunikationsgesetz
Site internet :
http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=fr