Bien que les deux concepts soient liés, la vie privée et la protection des données sont généralement reconnues partout dans le monde comme deux droits distincts. En Europe, elles sont considérées comme des éléments essentiels d’une démocratie durable.
Bien que les experts soient parfois en désaccord au sujet des subtilités de ces deux droits, vous trouverez sur cette page une description générale des concepts de vie privée et de protection des données, ainsi qu’un aperçu de la législation relative à la protection des données, de la protection des données dans la pratique, de l’indépendance des autorités de contrôle, de la protection transfrontalière des données et de l’interaction entre la vie privée, la protection des données et la sécurité.
Sur d’autres pages de cette section de notre site web, vous trouverez des liens vers des actes législatifs clés en matière de protection des données, notre bibliothèque de référence, des affaires judiciaires et un glossaire des termes relatifs à la protection des données.
Qu’est-ce que la vie privée ?
Dans l’Union européenne (UE), la dignité humaine est reconnue comme un droit fondamental absolu.
Dans cette notion de dignité, la vie privée, soit le droit d’avoir une vie privée, d’être autonome, de contrôler les informations vous concernant et d’être maître de votre personne, joue un rôle central. La vie privée n’est pas seulement un droit individuel, il s’agit également d’une valeur sociale.
Traditionnellement, dans d’autres régions du monde comme les États-Unis, la vie privée est souvent considérée comme un élément de la liberté, du droit de ne pas subir l’ingérence de l’État. Cette distinction entre l’Europe et d’autres régions du monde est relative puisqu’il s’agit également d’un élément de la vie privée dans l’UE.
La vie privée : un droit fondamental
Presque tous les pays du monde reconnaissent la vie privée d’une façon ou d’une autre, que ce soit dans leur constitution ou au moyen d’autres dispositions.
La vie privée est en outre reconnue comme un droit universel, ce qui n’est pas (encore) le cas de la protection des données.
Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7).
Qu’est-ce que la protection des données?
La protection des données consiste à protéger toute information concernant une personne physique (vivante) identifiée ou identifiable, notamment les noms, les dates de naissance, les photographies, les séquences vidéo, les adresses électroniques et les numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
La notion de protection des données trouve son origine dans le droit à la vie privée et ces deux concepts jouent un rôle fondamental dans la protection et la promotion des valeurs et des droits fondamentaux, ainsi que dans le droit à jouir d’autres droits et libertés, tels que la liberté d’expression et le droit de réunion.
La protection des données vise à garantir le traitement (collecte, utilisation, stockage) loyal des données à caractère personnel tant par le secteur public que par le secteur privé.
Le droit à la protection des données
La vie privée et la protection des données sont deux droits fondamentaux consacrés dans les traités de l’UE et dans la Charte des droits fondamentaux de l’UE.
La Charte contient un droit explicite à la protection des données à caractère personnel (article 8).
Depuis l’entrée en vigueur du traité de Lisbonne en 2009, la Charte des droits fondamentaux a la même valeur juridique que les traités constitutionnels de l’UE. Les institutions et organes de l’UE et les États membres sont donc tenus de la respecter.
L’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) oblige en outre l’UE à fixer des règles relatives au traitement des données à caractère personnel. L’UE est la seule entité à prévoir une telle obligation dans sa constitution.
Législation relative à la protection des données
Depuis des décennies, l’UE possède des normes élevées en matière de protection des données. La législation donne aux individus le droit de jouir de certains droits spécifiques en la matière et oblige les organisations (du secteur public ou privé) qui traitent leurs données à respecter ces droits.
En avril 2016, l’UE a adopté un nouveau cadre juridique, le règlement général sur la protection des données (RGPD) et la directive sur la protection des données dans le domaine judiciaire et policier.
Le règlement général sur la protection des données, qui sera pleinement applicable dans toute l’UE en mai 2018, est le texte législatif relatif à la protection des données le plus complet et le plus progressiste au monde. Il a en effet été mis à jour pour tenir compte des défis posés par l’ère numérique.
Il s’applique aux organisations ou aux entreprises établies en dehors de l’UE lorsqu'elles offrent des biens et des services à des personnes situées dans l’UE ou lorsqu'elles observent leur comportement. Il crée de nouveaux droits dans l’environnement numérique et plusieurs nouvelles obligations détaillées en matière de coopération.
À l’échelle mondiale, la législation en matière de protection des données (parfois appelée confidentialité des données dans les pays tiers) prend de plus en plus d’ampleur. Bon nombre de ces textes législatifs sont fortement influencés par la réglementation de l’UE, qui est depuis longtemps considérée comme la référence en matière de protection des données.
Plus de 100 pays dans le monde possèdent maintenant une législation en matière de protection des données, et moins de la moitié de ces pays sont situés en Europe (les 28 États membres de l’UE et d’autres pays). La majorité des lois en la matière ont été adoptées en dehors de l’Europe, la croissance la plus rapide ayant eu lieu dans les pays africains.
La protection des données dans la pratique
Dans la majorité des pays, les autorités chargées de la protection des données (APD), les autorités de contrôle ou les autorités réglementaires ont été instituées gardiennes de la protection des données.
Afin d’assurer la mise en œuvre efficace de la législation en la matière, les APD ont le pouvoir d’enquêter sur les violations, de les identifier et de les sanctionner, ainsi que la responsabilité de sensibiliser aux droits et obligations en matière de protection des données en général.
Dans l’UE, cette efficacité est renforcée par l’obligation pour les APD d’être indépendantes de toute influence politique, gouvernementale ou autre.
Par ailleurs, une bonne coopération entre les APD (groupe de travail «Article 29» du comité européen de la protection des données) garantit une plus grande cohérence en matière de protection des données dans l’UE.
Indépendance
Dans l’UE, l’obligation d’indépendance des APD ou des autorités de contrôle est prévue dans la législation, à savoir à l’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne (TFUE) et à l’article 8, paragraphe 3, de la Charte des droits fondamentaux de l’UE.
La Cour de justice de l’Union européenne a souligné à de nombreuses reprises que le contrôle exercé par une autorité indépendante est un élément essentiel du droit à la protection des données et a fixé les critères de cette indépendance.
L’autorité de contrôle doit en particulier agir en toute indépendance, ce qui implique l’indépendance du pouvoir de décision vis-à-vis de toute influence extérieure directe ou indirecte.
La Cour a également insisté sur le rôle essentiel joué par les autorités de contrôle indépendantes de l’UE dans le contrôle des transferts internationaux vers les pays tiers.
Le règlement général sur la protection des données souligne également l’importance de l’indépendance des autorités; son chapitre VI fournit des règles détaillées pour l’établissement et le fonctionnement d’autorités de contrôle indépendantes, et contient notamment des dispositions sur les ressources nécessaires à la bonne exécution de leurs missions et de leurs pouvoirs.
Le CEPD est une autorité de contrôle indépendante chargée d’assurer le respect, par les institutions et organes de l’UE, de la législation relative à la protection des données lors du traitement de données à caractère personnel.
Protection transfrontalière des données
Les lois en matière de protection des données sont adoptées au niveau national, mais, dans l’environnement en ligne, les données ne respectent aucune frontière.
La coopération et les accords transfrontaliers destinés à assurer une protection efficace des données sont essentiels, en particulier pour le maintien des valeurs et des principes de l’UE.
Pour contribuer à cet aspect essentiel, l’EDPS entretient des contacts réguliers avec les APD, les autorités de contrôle et les autorités réglementaires situées dans l’UE et dans les pays tiers afin d’influencer et de développer l’application transfrontalière des lois.
Vie privée, protection des données et sécurité
Dans l’UE, la vie privée et la protection des données ne sont pas des droits absolus et elles peuvent être limitées sous certaines conditions, conformément à la Charte des droits fondamentaux de l’UE.
Les droits à la vie privée et à la protection des données peuvent devoir être mis en balance avec d’autres valeurs de l’UE, droits de l’homme ou intérêts publics et privés tels que les droits fondamentaux à la liberté d’expression, à la liberté de la presse ou à la liberté d’accès à l’information.
Les droits à la vie privée et à la protection des données peuvent également devoir être mis en balance avec d’autres intérêts publics, tels que la sécurité nationale. Les États membres de l’UE adoptent des mesures visant à lutter contre les menaces terroristes, mais également, de manière plus générale, à renforcer la coopération judiciaire et policière en matière pénale dans le domaine de la liberté, de la sécurité et de la justice (ELSJ).
Dans l’UE, la sécurité nationale relève de la responsabilité exclusive de chaque État membre et est esquissée dans ses grandes lignes dans le traité sur le fonctionnement de l’Union européenne (article 4, paragraphe 2, TFUE).
Toutefois, les tribunaux examinent actuellement les limites de cette compétence au regard de la disposition juridique spécifique relative à la conservation des données: selon la Cour de justice de l’Union européenne (CJUE), même les mesures dérogeant au droit de l’UE sont soumises à la Charte des droits fondamentaux.
Dans tous les cas, l’ampleur de la collecte, du stockage et de l’échange transfrontalier de données à caractère personnel entre les États membres dans le domaine de la criminalité et du terrorisme est gigantesque.
L’accès renforcé aux bases de données européennes ainsi qu’aux données commerciales à des fins répressives menace l’équilibre entre la vie privée et la sécurité.
Les autorités chargées de la protection des données en général ont un rôle essentiel à jouer dans le maintien de cet équilibre entre la vie privée et d’autres intérêts, notamment dans le domaine sensible de la sécurité où leur rôle se renforce; le 1er mai 2017, le CEPD se charge du contrôle de la protection des données d’Europol, l’organe de l’UE qui coopère activement avec les autorités répressives pour lutter contre la criminalité internationale et le terrorisme.
Le rôle de conseiller indépendant que joue le CEPD auprès des institutions de l’UE couvre tous les aspects du traitement de données à caractère personnel, notamment les initiatives visant à renforcer la sécurité dans l’UE et les nouveaux outils d’échange de données utilisés par les services répressifs.
En effet, le CEPD a publié de nombreux avis sur des initiatives visant à étendre le partage d’informations à des fins répressives au sein de l’UE, notamment sur le système d’entrée/sortie et les données PNR de l’UE, mais également au-delà des frontières de l’Europe, telles que l’«Umbrella Agreement» (l’«accord-cadre») avec les États-Unis et les accords PNR avec des pays tiers.