I. La législation européenne : un moyen suffisant de protection des données personnelles ?

A) Une législation ancienne mais toujours pertinente

1. Des directives qui ne prennent pas en compte les nouveaux services et pratiques en ligne

En matière de protection des données personnelles, la législation européenne est relativement ancienne. Le premier texte à évoquer ce thème est l'article 8 de la Convention européenne de Sauvegarde des Droits de l'Homme, signée entre les Etats membres du Conseil de l'Europe le 4 novembre 1950. Celui-ci dispose pour la première fois que "toute personne a droit au

11

12

respect de sa vie privée et familiale, de son domicile et de sa correspondance"¹⁴. D'applicabilité directe, la Convention s'impose directement aux Etats Membres du Conseil de l'Europe. Elle donne donc à la protection et au respect de la vie privée une importance fondamentale. Cependant, l'interprétation faite de la "vie privée" y est encore très large et peu spécifique.

C'est la Convention 108 du Conseil de l'Europe, signée le 28 janvier 1981, qui est considérée comme le premier cadre juridique européen du droit fondamental à la protection des données personnelles. Le but et l'objet de cette convention sont déclarés dès l'article premier : "Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»)"¹⁵. À l'heure où l'outil informatique commence à être utilisé par les entreprises, les Etats membres vont se mettre d'accord sur une nécessité de protéger les données personnelles des utilisateurs.

Mais c'est la Directive 95/46/CE du 24 octobre 1995¹⁶ qui est la première réelle mesure législative prise par la Communauté Européenne. Aujourd'hui encore, elle constitue le texte de référence au niveau européen en matière de protection des données à caractère personnel. En effet, elle consacre deux des objectifs fondateurs de la Communauté Européenne : d'une part, protéger les libertés et droits fondamentaux des individus, et d'autre part réaliser le marché intérieur, ce qui suppose la libre circulation des données personnelles : "les systèmes de traitement de données sont au service de l'homme ; ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu'au bien-être des individus"¹⁷. Dix-sept ans plus tard, ce double objectif est toujours d'actualité. En effet la Commission Européenne, dans sa Stratégie Numérique pour l'Europe, réaffirme lors des articles 9, 10 et 12¹⁸, la nécessité de développer un "marché unique digital" tout en oeuvrant pour la protection

14 Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

15 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Chapitre I "Dispositions générales", Article 1er "Objet et but", 28 janvier 1981

16 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995

17 ibidem, §2

18 Digital Agenda for Europe : http://ec.europa.eu/information_society/digital-agenda/index_en.htm

13

des données des citoyens. Cependant, les évolutions technologiques fulgurantes de ces dernières années, ainsi que la mondialisation, nous amènent à nous poser la question suivante : cette législation, datant de 1995, n'est-elle pas dépassée ?

Depuis cette première directive fondatrice, d'autres textes ont été adoptés. Ainsi, la directive 97/66/CE dite "vie privée dans les télécommunications"¹⁹ précise la précédente directive. Elle harmonise notamment les dispositions des Etats membres en matière de données personnelles dans les télécommunications, précise les services concernés : "la présente directive s'applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de télécommunications accessibles au public sur les réseaux publics de télécommunications dans la Communauté"²⁰, ou encore spécifie les droits des abonnés²¹. La Charte des droits fondamentaux de l'UE signée le 7 décembre 2000 reconnait dans son article 8 le droit à la protection des données personnelles comme un droit fondamental autonome du droit à la vie privée cité dans l'article 8 CESDH²² : "Toute personne a droit à la protection des données à caractère personnel la concernant"²³.

Les changements majeurs sont introduits par la directive 2002/58/CE²⁴, qui couvre de nombreux aspects laissés de côtés par la directive de 1995, tels que la pratique du "spam", communication électronique non sollicitée à des fins publicitaires²⁵, ou des "cookies", fichiers qui conservent et envoient les informations saisies par l'utilisateur d'un site dans le but de le reconnaitre, notamment à des fins commerciales. Cependant cette directive, dite "ePrivacy", ne réglemente les questions de droit à la vie privée et de protection des données qu'en ce qui concerne les nouvelles pratiques commerciales sur internet. Elle est donc destinée avant tout à réglementer la pratique du e-commerce, alors en plein essor en Europe. Les réseaux sociaux sont encore totalement ignorés. Pourtant, c'est bien en 2002 que cette pratique apparaît, avec l'avènement du site américain

19 Directive 97/66/CE du Parlement et du Conseil du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications

20 art.3 "services concernés", §1

21 art. 4, 6, 7, 11

22 Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

23 Charte des Droits Fondamentaux de l'Union européenne, 2010/c83/02, Titre II "Libertés", Article 8 "Protection des données à caractère personnel", §1

24 Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58)

25 Ibidem, Art 13, "communications non sollicitées"

14

Friendster. A peine rédigée, la législation européenne semble donc déjà en retard par rapport aux pratiques existantes.

Cela est d'autant plus frappant aujourd'hui, puisque la législation n'a pour ainsi dire pas évolué depuis 2002. Pourtant, il semble que c'est précisément à ce moment-là que l'Union européenne aurait dû agir pour protéger les utilisateurs. Entre 2002 et aujourd'hui, les pratiques et services ont profondément et rapidement évolué²⁶. MySpace, Facebook et Twitter, les trois réseaux qui ont rassemblé le plus d'utilisateurs²⁷, ont tous été créés entre 2002 et 2006. De plus en plus de services utilisent des procédés de localisation géographique, qui permettent de savoir où chacun se trouve à un moment donné, et ce qu'il y fait, pour peu qu'il utilise un appareil portable et des applications permettant la fonction "check in"²⁸. Les utilisateurs ont de plus en plus une perte de contrôle sur les informations les concernant²⁹, et c'est pourtant à ce moment-là que la législation européenne se fait muette. Dès lors, ainsi que le fait aujourd'hui la Commission Européenne dans sa Communication "une approche globale de la protection des données à caractère personnel dans l'Union Européenne", tous ces éléments soulèvent inévitablement la question de savoir si la législation européenne en matière de protection des données permet toujours de relever pleinement et efficacement ces défis³⁰.