OBJECTIF : définir une approche globale permettant de moderniser le cadre juridique de l'Union régissant la protection des données à caractère personnel en réponse aux défis posés par la mondialisation et les nouvelles technologies.
CONTEXTE : la directive sur la protection des données de 1995 a consacré deux ambitions importantes de l'intégration européenne: d'une part, la protection des libertés et droits fondamentaux des personnes, notamment du droit fondamental à la protection des données, et, d'autre part, la réalisation du marché intérieur, en l'occurrence, la libre circulation des données à caractère personnel.
Quinze ans plus tard, ce double objectif est toujours d'actualité, et les principes consacrés dans la directive restent pertinents. Cependant, l'évolution technologique rapide et la mondialisation modifient en profondeur l’environnement et posent de nouveaux défis en matière de protection des données à caractère personnel. Parallèlement, les modes de collecte des données à caractère personnel se complexifient et sont moins facilement décelables.
La Commission a lancé un réexamen du cadre juridique actuel en mai 2009. Les résultats obtenus confirment que les principes essentiels de la directive sont toujours valables et qu'il convient de préserver sa neutralité sous l'angle technologique. Plusieurs problèmes ont cependant été recensés, dont la résolution exigera de relever des défis spécifiques. Il s'agit notamment de:
Les défis susmentionnés requièrent que l'Union élabore une approche globale et cohérente, qui garantisse le plein respect du droit fondamental des personnes à la protection des données à caractère personnel, tant dans l'Union qu'en dehors de celle-ci.
Le traité de Lisbonne a doté l'Union de moyens supplémentaires pour relever ces défis: la Charte des droits fondamentaux de l'Union européenne – dont l'article 8 consacre un droit autonome à la protection des données à caractère personnel – est désormais juridiquement contraignante, et une nouvelle base juridique a été créée, l'article 16 du traité sur le fonctionnement de l'Union européenne (TFUE), qui permet l'élaboration d'une réglementation de l'Union complète et cohérente en matière de protection des données à caractère personnel.
CONTENU : la présente communication vise à définir l'approche qui permettra à la Commission de moderniser le cadre juridique de l'Union régissant la protection des données à caractère personnel dans tous ses domaines d'action, eu égard notamment aux défis posés par la mondialisation et les nouvelles technologies.
1) Renforcer les droits des personnes : il est primordial que les responsables du traitement des données informent les personnes concernées correctement et clairement, en toute transparence, afin qu'elles sachent qui recueillera et traitera leurs données, selon quelles modalités, pour quels motifs et pendant combien de temps, et qu'elles connaissent leurs droits en ce qui concerne l'accès à ces données, leur rectification ou leur suppression. La transparence suppose un accès aisé à l'information, qui doit être facile à comprendre, et l'utilisation d'un langage clair et simple Dans ce contexte, les enfants méritent de faire l'objet d'une protection particulière.
Le traitement des données doit être limité à des finalités bien précises (principe de la minimisation des données) et les intéressés doivent conserver la possibilité d'un contrôle effectif sur les données les concernant. En particulier, ils devraient pouvoir donner leur consentement éclairé au traitement de leurs données et bénéficier du «droit à l'oubli» lorsque ces données ne sont plus nécessaires ou qu'ils souhaitent en obtenir la suppression.
Il est également indispensable de sensibiliser davantage le grand public, et notamment les jeunes, aux risques liés au traitement de données à caractère personnel ainsi qu'aux droits dont ils jouissent et de disposer d'une réglementation efficace en matière de voies de recours et de sanctions.
2) Renforcer la dimension «marché unique» : les disparités qui caractérisent actuellement la mise en œuvre des règles européennes relatives à la protection des données entravent la libre circulation des données à caractère personnel au sein de l'UE et majorent les coûts. La Commission préconise :
3) Réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale : le traité de Lisbonne a introduit une nouvelle base juridique complète pour la protection des données à caractère personnel dans toutes les politiques de l'Union. Dans ce contexte et compte tenu de la Charte des droits fondamentaux de l'Union européenne, la Commission envisage d’examiner l’opportunité :
4) Assurer des niveaux de protection élevés en faveur des données transférées en dehors de l'UE : il y a lieu d’améliorer les mécanismes existants de transfert international de données à caractère personnel, tout en garantissant un niveau adéquat de protection de ces données en cas de transfert ou de traitement en dehors de l’UE ou de l’EEE. La Commission propose également de clarifier sa procédure d’évaluation du caractère adéquat du niveau de protection assuré dans un pays tiers ou une organisation internationale et de préciser les critères et conditions applicables.
5) Renforcer le cadre institutionnel en vue d’un plus grand respect des règles de protection des données : dans ce domaine, la Commission examinera les moyens: i) de renforcer, clarifier et harmoniser le statut et les pouvoirs des autorités nationales de protection des données dans le nouveau cadre juridique; ii) d'améliorer la coopération et la coordination entre les autorités de protection des données; iii) de renforcer le rôle des contrôleurs nationaux de la protection des données, en coordonnant mieux leur action par l’intermédiaire du groupe de travail «article 29» (qui devrait devenir un organe plus transparent).
L'approche globale envisagée par la Commission servira de base aux discussions ultérieures avec les autres institutions européennes et les autres parties intéressées. À cette fin, la Commission souhaite recevoir un retour d'informations sur les questions soulevées dans la présente communication.
Sur cette base, la Commission présentera en 2011 des propositions législatives destinées à réviser le cadre juridique de la protection des données. Dans un deuxième temps, la Commission évaluera la nécessité d'adapter d'autres instruments juridiques au nouveau cadre général de la protection des données.