RSS
Index alphabétique
Cette page est disponible en 23 langues
Nouvelles langues disponibles:  BG - CS - ET - GA - LV - LT - HU - MT - PL - RO - SK - SL

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Protection des données à caractère personnel

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.

ACTE

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [Voir actes modificatifs].

SYNTHÈSE

La présente directive s'applique aux données traitées par des moyens automatisés (base de données informatique de clients, par exemple) ainsi qu'aux données contenues ou appelées à figurer dans un fichier non automatisé (fichiers papiers traditionnels).

La directive ne s'applique pas au traitement de données:

  • effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques;
  • mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire comme la sécurité publique, la défense ou la sûreté de l'État.

La directive vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant des principes directeurs déterminant la licéité de ces traitements. Ces principes portent sur:

  • la qualité des données: les données à caractère personnel doivent notamment être traitées loyalement et licitement, et collectées pour des finalités déterminées, explicites et légitimes. Elle doivent en outre être exactes et, si nécessaire, mises à jour;
  • la légitimation des traitements de données: le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ou si le traitement est nécessaire:
    1. à l'exécution d'un contrat auquel la personne concernée est partie; ou
    2. au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou
    3. à la sauvegarde de l'intérêt vital de la personne concernée; ou
    4. à l'exécution d'une mission d'intérêt public; ou
    5. à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement;
  • les catégories particulières de traitements: doit être interdit le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. Cette disposition est assortie de réserves concernant, par exemple, le cas où le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou aux fins de la médecine préventive et des diagnostics médicaux;
  • l'information des personnes concernées par les traitements de données: un certain nombre d'informations (identité du responsable du traitement, finalités du traitement, destinataires des données, etc.) doivent être fournies par le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant;
  • le droit d'accès de ces personnes aux données: toute personne concernée doit avoir le droit d'obtenir du responsable du traitement:
    1. la confirmation que des données la concernant sont ou ne sont pas traitées et la communication des données faisant l'objet des traitements;
    2. la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive - notamment en raison du caractère incomplet ou inexact des données - ainsi que la notification de ces modifications aux tiers auxquels les données ont été communiquées;
  • les exceptions et limitations: les principes relatifs à la qualité des données, à l'information de la personne concernée, au droit d'accès et à la publicité des traitements peuvent voir leur portée limitée afin de sauvegarder, entre autres, la sûreté de l'État, la défense, la sécurité publique, la poursuite d'infractions pénales, un intérêt économique ou financier important d'un État membre ou de l'UE ou la protection de la personne concernée;
  • le droit d'opposition aux traitements de données: la personne concernée doit avoir le droit de s'opposer, pour des raisons légitimes, à ce que des données la concernant fassent l'objet d'un traitement. Elle doit également pouvoir s'opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de prospection. Elle doit enfin être informée avant que des données ne soient communiquées à des tiers à des fins de prospection et doit se voir offrir le droit de s'opposer à cette communication;
  • la confidentialité et la sécurité des traitements: toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données personnelles, ne peut les traiter que sur instruction du responsable du traitement. Par ailleurs, le responsable du traitement doit mettre en œuvre les mesures appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisé;
  • la notification des traitements auprès d'une autorité de contrôle: le responsable du traitement doit adresser une notification à l'autorité de contrôle nationale préalablement à la mise en œuvre d'un traitement. Des examens préalables sur les risques éventuels au regard des droits et libertés des personnes concernées sont effectués par l'autorité de contrôle après réception de la notification. La publicité des traitements doit être assurée et les autorités de contrôle doivent tenir un registre des traitements notifiés.

Toute personne doit disposer d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question. En outre, les personnes ayant subi un dommage du fait d'un traitement illicite de leurs données personnelles ont le droit d'obtenir réparation du préjudice subi.

Les transferts de données à caractère personnel d'un État membre vers un pays tiers ayant un niveau de protection adéquat sont autorisés. En revanche, ils ne peuvent être effectués vers un pays tiers ne disposant pas d'un tel niveau de protection, sauf dérogations limitativement énumérées.

La directive vise à favoriser l'élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.

Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Un groupe de protection des personnes à l'égard du traitement des données à caractère personnel est institué, composé de représentants des autorités de contrôle nationales, de représentants des autorités de contrôle des institutions et organismes communautaires, et d'un représentant de la Commission.

RÉFÉRENCES

ActeEntrée en vigueurDélai de transposition dans les États membresJournal officiel
Directive 95/46/CE

13.12.1995

24.10.1998

JO L 281 du 23.11.1995

Acte(s) modificatif(s)Entrée en vigueurDélai de transposition dans les États membresJournal officiel
Règlement (CE) n°1882/2003

20.11.2003

-

JO L 284 du 31.10.2003

Les modifications et corrections successives de la directive 95/46/CE ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

ACTES LIÉS

RAPPORT DE MISE EN ŒUVRE

Communication de la Commission au Parlement européen et au Conseil, du 7 mars 2007, intitulée: « Suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données » [COM(2007) 87 final - Non publié au Journal officiel].
La présente communication examine le travail réalisé dans le cadre du Programme de travail pour une meilleure mise en application de la directive sur la protection des données contenu dans le Premier rapport sur la mise en œuvre de la directive 95/46/CE. La Commission indique que la mise en application s'est améliorée, tous les États membres ayant maintenant transposé la directive. Elle précise que pour l'heure, la directive ne devrait pas être modifiée.

Elle ajoute qu'elle:

  • poursuivra son travail avec les États membres et, le cas échéant, lancera des procédures officielles d'infraction;
  • préparera une communication interprétative pour certaines dispositions de la directive;
  • poursuivra la mise en œuvre du programme de travail;
  • présentera, en cas d'évolution technologique majeure dans un domaine spécifique, une législation sectorielle au niveau de l'UE;
  • poursuivra sa coopération avec ses partenaires extérieurs, en particulier les États-Unis.

Rapport de la Commission, du 15 mai 2003, intitulé « Premier rapport sur la mise en œuvre de la directive relative à la protection des données (95/46/CE) » [COM(2003) 265 final - Non publié au Journal officiel].
Le rapport fait notamment état des résultats des consultations menées par la Commission sur l'évaluation de la directive 95/46/CE auprès des gouvernements, institutions, fédérations d'entreprises, associations de consommateurs et citoyens. Les résultats des consultations montrent que peu de contributeurs ont plaidé pour une révision de la directive. En outre, après consultation des États membres, la Commission a pris acte du fait qu'une majorité d'entre eux et, également, des autorités nationales de contrôle, n'estimaient pas nécessaire de modifier la directive au stade actuel.

En dépit des retards et des lacunes constatés dans sa mise en œuvre, la directive a rempli son objectif principal qui est de lever les obstacles à la libre circulation des données à caractère personnel entre les États membres. La Commission estime par ailleurs que l'objectif visant à garantir un haut niveau de protection dans la Communauté a été atteint puisque la directive a fixé certaines normes de protection des données parmi les plus élevées au monde.

D'autres objectifs de la politique du marché intérieur ne sont cependant pas aussi bien atteints. La législation en matière de protection des données diverge encore notablement entre les États membres. Or, ces disparités empêchent les organisations multinationales de définir des politiques paneuropéennes en matière de protection des données. Aussi la Commission fera-t-elle le nécessaire pour remédier à cette situation en évitant, dans la mesure du possible, de recourir à une action formelle.

S'agissant du niveau général de respect de la législation sur la protection des données dans l'UE, trois difficultés sont à relever:

  • un manque de ressources affectées à la mise en œuvre;
  • un respect très inégal par les responsables du traitement des données;
  • un niveau apparemment faible de connaissance de leurs droits par les personnes concernées, pouvant être à l'origine du phénomène précédent.

Afin d'assurer une meilleure application de la directive sur la protection des données, la Commission a adopté un programme de travail comportant un certain nombre d'actions devant être menées entre l'adoption du présent rapport et la fin 2004. Ces actions comprennent les initiatives suivantes:

  • discussions avec les États membres et les autorités chargées de la protection des données sur les changements à apporter à leur législation nationale pour la rendre intégralement conforme aux exigences de la directive;
  • association des pays candidats aux efforts visant à une application de meilleure qualité et plus uniforme de la directive;
  • amélioration de la notification de l'ensemble des actes légaux transposant la directive;
  • simplification des conditions des transferts internationaux de données;
  • promotion des technologies renforçant la protection de la vie privée;
  • promotion de l'auto-réglementation et des codes de conduite européens.

DIRECTIVE "VIE PRIVÉE ET COMMUNICATIONS ÉLECTRONIQUES"

Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et communications électroniques") [Journal officiel L 201 du 31 juillet 2002].
Cette directive a été adoptée en 2002 en même temps qu'un nouveau dispositif législatif appelé à encadrer le secteur des communications électroniques. Elle contient des dispositions sur un certain nombre de thèmes plus ou moins sensibles, tels que la conservation des données de connexion par les États membres à des fins de surveillance policière (rétention des données), l'envoi de messages électroniques non sollicités, l'usage des témoins de connexion ("cookies") et l'inclusion des données personnelles dans les annuaires publics.

CLAUSES CONTRACTUELLES TYPES POUR LE TRANSFERT DES DONNÉES VERS DES PAYS TIERS

Décision 2004/915/CE, du 27 décembre 2004, modifiant la décision 2001/497/CE en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers de pays tiers [Journal officiel L 385 du 29.12.2004].
La Commission européenne a approuvé de nouvelles clauses contractuelles types que les entreprises peuvent utiliser pour assurer des garanties adéquates lors du transfert de données à caractère personnel de l'UE vers des pays tiers. Ces nouvelles clauses seront ajoutées à celles qui existent déjà dans le cadre de la décision de la Commission de juin 2001 (voir ci-dessous).

Décision 2001/497/CE de la Commission, du 15 juin 2001, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE [Journal officiel L 181 du 4.7.2001].
Cette décision définit les clauses contractuelles types qui assureront un niveau de protection adéquat des données à caractère personnel transférées de l'UE vers des pays tiers. La décision fait obligation aux États membres de reconnaître que les sociétés ou organismes qui utilisent de telles clauses types dans des contrats relatifs à des transferts de données à caractère personnel vers des pays tiers assurent un "niveau de protection adéquat" des données.

PROTECTION DES DONNÉES PAR LES INSTITUTIONS ET ORGANES DE LA COMMUNAUTÉ

Règlement n° 45/2001/CE du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation des données [Journal officiel L 8 du 12.1.2001].
Ce règlement vise à assurer la protection des données à caractère personnel dans le cadre des institutions et des organes de l'Union européenne. Le texte prévoit :

  • des dispositions garantissant un niveau de protection élevé aux données à caractère personnel traitées par les institutions et les organes communautaires;
  • l'établissement d'une instance de surveillance indépendante chargée de contrôler l'application de ces dispositions.
Dernière modification le: 01.02.2011
Avis juridique | À propos de ce site | Recherche | Contact | Haut de la page