A) Une législation ancienne mais toujours pertinente
1. Des directives qui ne prennent pas en compte les nouveaux services et pratiques en ligne
En matière de protection des données personnelles, la législation européenne est relativement ancienne. Le premier texte à évoquer ce thème est l’article 8 de la Convention européenne de Sauvegarde des Droits de l’Homme, signée entre les Etats membres du Conseil de l’Europe le 4 novembre 1950. Celui-ci dispose pour la première fois que “toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance”(14). D’applicabilité directe, la Convention s’impose directement aux Etats Membres du Conseil de l’Europe. Elle donne donc à la protection et au respect de la vie privée une importance fondamentale. Cependant, l’interprétation faite de la “vie privée” y est encore très large et peu spécifique.
C’est la Convention 108 du Conseil de l’Europe, signée le 28 janvier 1981, qui est considérée comme le premier cadre juridique européen du droit fondamental à la protection des données personnelles. Le but et l’objet de cette convention sont déclarés dès l’article premier : “Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant («protection des données»)”(15). À l’heure où l’outil informatique commence à être utilisé par les entreprises, les Etats membres vont se mettre d’accord sur une nécessité de protéger les données personnelles des utilisateurs.
Mais c’est la Directive 95/46/CE du 24 octobre 1995(16) qui est la première réelle mesure législative prise par la Communauté Européenne. Aujourd’hui encore, elle constitue le texte de référence au niveau européen en matière de protection des données à caractère personnel. En effet, elle consacre deux des objectifs fondateurs de la Communauté Européenne : d’une part, protéger les libertés et droits fondamentaux des individus, et d’autre part réaliser le marché intérieur, ce qui suppose la libre circulation des données personnelles : “les systèmes de traitement de données sont au service de l’homme ; ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu’au bien-être des individus”(17). Dix-sept ans plus tard, ce double objectif est toujours d’actualité. En effet la Commission Européenne, dans sa Stratégie Numérique pour l’Europe, réaffirme lors des articles 9, 10 et 12(18), la nécessité de développer un “marché unique digital” tout en oeuvrant pour la protection des données des citoyens. Cependant, les évolutions technologiques fulgurantes de ces dernières années, ainsi que la mondialisation, nous amènent à nous poser la question suivante : cette législation, datant de 1995, n’est-elle pas dépassée ?
Depuis cette première directive fondatrice, d’autres textes ont été adoptés. Ainsi, la directive 97/66/CE dite “vie privée dans les télécommunications”(19) précise la précédente directive. Elle harmonise notamment les dispositions des Etats membres en matière de données personnelles dans les télécommunications, précise les services concernés : “la présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de télécommunications accessibles au public sur les réseaux publics de télécommunications dans la Communauté”(20), ou encore spécifie les droits des abonnés(21). La Charte des droits fondamentaux de l’UE signée le 7 décembre 2000 reconnait dans son article 8 le droit à la protection des données personnelles comme un droit fondamental autonome du droit à la vie privée cité dans l’article 8 CESDH22 : “Toute personne a droit à la protection des données à caractère personnel la concernant”(23).
Les changements majeurs sont introduits par la directive 2002/58/CE(24), qui couvre de nombreux aspects laissés de côtés par la directive de 1995, tels que la pratique du “spam”, communication électronique non sollicitée à des fins publicitaires(25), ou des “cookies”, fichiers qui conservent et envoient les informations saisies par l’utilisateur d’un site dans le but de le reconnaitre, notamment à des fins commerciales. Cependant cette directive, dite “ePrivacy”, ne réglemente les questions de droit à la vie privée et de protection des données qu’en ce qui concerne les nouvelles pratiques commerciales sur internet. Elle est donc destinée avant tout à réglementer la pratique du e-commerce, alors en plein essor en Europe. Les réseaux sociaux sont encore totalement ignorés. Pourtant, c’est bien en 2002 que cette pratique apparaît, avec l’avènement du site américain Friendster. A peine rédigée, la législation européenne semble donc déjà en retard par rapport aux pratiques existantes.
Cela est d’autant plus frappant aujourd’hui, puisque la législation n’a pour ainsi dire pas évolué depuis 2002. Pourtant, il semble que c’est précisément à ce moment-là que l’Union européenne aurait dû agir pour protéger les utilisateurs. Entre 2002 et aujourd’hui, les pratiques et services ont profondément et rapidement évolué(26). MySpace, Facebook et Twitter, les trois réseaux qui ont rassemblé le plus d’utilisateurs(27), ont tous été créés entre 2002 et 2006. De plus en plus de services utilisent des procédés de localisation géographique, qui permettent de savoir où chacun se trouve à un moment donné, et ce qu’il y fait, pour peu qu’il utilise un appareil portable et des applications permettant la fonction “check in”(28). Les utilisateurs ont de plus en plus une perte de contrôle sur les informations les concernant(29), et c’est pourtant à ce moment-là que la législation européenne se fait muette. Dès lors, ainsi que le fait aujourd’hui la Commission Européenne dans sa Communication “une approche globale de la protection des données à caractère personnel dans l’Union Européenne”, tous ces éléments soulèvent inévitablement la question de savoir si la législation européenne en matière de protection des données permet toujours de relever pleinement et efficacement ces défis(30).
2. Des principes toujours valables, faisant preuve de neutralité technologique
Selon une étude menée fin 2009 par la Commission Européenne sur la directive 95/46/CE “les principes essentiels de la directive sont toujours valables, et il convient de préserver sa neutralité sous l’angle technologique”(31). Selon la Commission, la directive 95/46/CE tirerait son intérêt du fait même qu’elle ne fait référence à aucun service précis. Et en effet, la directive de 1995 ne s’attache pas à réglementer des pratiques et services précis, mais à protéger dans son acceptation générale le «traitement de données à caractère personnel», défini comme étant « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction”(32).
Cette neutralité technologique permet à la directive 95/46/CE d’être toujours pertinente, quelles que soient les évolutions technologiques, en ce qu’elle protège les données des utilisateurs sans viser de service précis. Ainsi, dès lors que des données personnelles font l’objet d’un “traitement”, elles sont protégées par la directive 95/46/CE.
Cependant, les consultations menées par la Commission Européenne, précédemment citées, ont confirmé une attente des citoyens pour que l’Europe précise sa législation et l’application des principes de protection des données aux nouvelles technologies. De même, la Vice-présidente de la Commission européenne et commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté Viviane Reding, déclarait en mars 2012 : “En Europe, l’adoption de la directive de 1995 avait marqué une étape importante pour la protection effective des données à caractère personnel et de la vie privée. Cependant, les disparités nationales dans sa transposition ont abouti à des écarts de protection en fonction de l’Etat membre. (…) Une modernisation des règles en vigueur s’impose donc”.(33) Il avait été partiellement répondu à cette nécessité dans la directive 2002/58/CE, qui spécifie et complète la directive 95/46/CE. Cependant, certains concepts très récents, tel que le “droit à l’oubli numérique”, qui ne peut se comprendre que dans le contexte des réseaux sociaux, restent absents de la législation.
3. L’apport du traité de Lisbonne : une législation désormais contraignante
Si la législation de base en matière de protection des données personnelles remonte à 1995, il ne faut pas oublier que certaines précisions ont été depuis établies. On l’a vu, la directive 2002/58/CE en a spécifié et complété certains aspects.
Le traité de Lisbonne, signé le 13 décembre 2007 entre les Etats membres, a lui aussi renforcé le régime applicable vers d’avantage de protection, lors de l’ajout de l’article 16 du Traité sur le fonctionnement de l’Union européenne. En effet, celui-ci dispose : “Toute personne a droit à la protection des données à caractère personnel la concernant”(34). Il est important de remarquer que le droit à la protection des données est l’un des rares droits de la Charte que l’on retrouve également dans le traité sur le fonctionnement de l’Union européenne.
Deuxièmement, l’entrée en vigueur du traité de Lisbonne fait disparaître l’architecture en piliers instituée par le Traité de Maastricht en 1992. Cela a permis le développement d’un système de protection des données plus clair et plus efficace, tout en prévoyant également de nouveaux pouvoirs pour le Parlement européen, qui devient colégislateur : “le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes”(35). Le traité de Lisbonne crée ici une base juridique spécifique pour l’adoption de règles en matière de protection des données à caractère personnel.
D’autre part, la Commission a décidé de charger des organes consultatifs de produire des recommandations pour simplifier le cadre législatif, et ainsi identifier plus aisément la loi applicable en matière de données à caractère personnel, et veiller au respect de ces règles. L’étude de ces organes sera faite dans la seconde partie de notre étude.
Enfin et surtout, en intégrant dans le corps du traité la Charte des Droits Fondamentaux, et a fortiori l’article 8 statuant sur la protection des données personnelles en Europe, le Traité de Lisbonne lui donne une dimension contraignante, ce qui accorde à la protection des données personnelles une importance considérable. Cela signifie que désormais, la Charte devra être respectée par les institutions, organes et agences de l’Union européenne, mais également par les Etats membres lorsqu’ils mettent en œuvre le droit communautaire(36). Dès lors, la Charte pourra être invoquée devant la Cour de justice en cas de manquement d’un Etat membre, par la Commission européenne ou par un autre Etat membre.
Cette force contraignante de la législation en matière de protection des données est réputée pour être efficace, et ainsi Peter Hustinx, contrôleur européen de la protection des données, déclare : “Deux ans après l’entrée en vigueur du traité de Lisbonne, je suis en mesure de conclure que, tout du moins dans mon domaine de compétence, c’est-à-dire le respect de la vie privée et la protection des données, le caractère juridiquement contraignant de la Charte a prouvé sa valeur”(37).
B) La définition de nouveaux objectifs
1. “Renforcer les droits des personnes”
Afin d’assurer une protection plus effective des données à caractère personnel en tenant compte des récentes évolutions technologiques et comportementales, la Commission européenne a décidé en 2010(38) de réformer la législation en la matière. Ainsi, le 25 janvier 2012, le Parlement et le Conseil Européen proposaient une telle réforme(39), destinée à moderniser le cadre européen de la protection des données, devenu obsolète du fait des évolutions technologiques et de l’émergence de nouveaux usages.
Ces propositions consacrent trois objectifs : renforcer les droits des personnes, établir une dimension mondiale de protection des données tout en développant le marché intérieur par leur libre circulation, et renforcer le cadre institutionnel en vue d’un plus grand respect des règles de protection des données.
La législation actuelle on l’a vu, consacre la protection des données personnelles des citoyens européens comme droit fondamental. Afin de préserver efficacement ce droit, la Commission européenne souhaite aujourd’hui développer un cadre juridique qui ne soit plus général, mais prenne en compte l’essor des nouvelles technologies et services, et notamment les réseaux sociaux. La Commission insiste tout particulièrement sur la nécessité d’accroitre la transparence. Les usagers devront ainsi être informés “correctement et clairement, en toute transparence”(40) de l’utilisation et du traitement faits de leurs données, selon quelles modalités, pour quel motif et pendant combien de temps. Cela, selon la Commission, ne peut passer que par l’élaboration d’un modèle européen de “déclarations de confidentialité” à l’intention des responsables du traitement. Les utilisateurs devront également être clairement informés de toute violation de leurs données. Cela est clairement établi par les articles 31 et 32 de la proposition de règlement de Janvier 2012(41).
En outre, il s’agit de permettre aux utilisateurs d’exercer un meilleur contrôle sur les données les concernant. En effet, la Charte des droits fondamentaux précise en son article 8, paragraphe 2, que “toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification”. Cela est confirmé par l’approche globale, qui précise “l’exemple des sites de socialisation est particulièrement éclairant à cet égard, car pour y exercer un contrôle effectif sur les données les concernant, les intéressés se heurtent à des défis de taille. La Commission a ainsi reçu plusieurs plaintes de personnes qui n’avaient pu récupérer des données à caractère personnel auprès de prestataires de services en ligne, telles que leurs photos, et qui ont donc été empêchées d’exercer leur droit d’accès, de rectification et de suppression. Par conséquent, il convient d’expliciter, voire de renforcer ces droits”. Dès lors, la Commission se fixe comme objectif d’améliorer les modalités du droit d’accès, de rectification, de suppression et de verrouillage des données, et, avancée particulièrement importante, de clarifier le “droit à l’oubli”, en vertu duquel les personnes peuvent obtenir l’arrêt du traitement des données les concernant et l’effacement de celles-ci lorsqu’elles ne sont plus nécessaires à des fins légitimes(42). Ce droit est officiellement consacré à l’article 17 du projet règlement de janvier 2012, intitulé “droit à l’oubli et à l’effacement” : “La personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données”. Enfin, la Commission n’oublie pas l’importance de la sensibilisation du grand public aux risques liés au traitement des données. La possibilité d’une utilisation du budget de l’Union à cet effet est notamment évoquée : “la Commission étudiera la possibilité de cofinancer des actions de sensibilisation à la protection des données, à l’aide du budget de l’Union”(43). Cependant, celle-ci n’est plus évoquée dans la proposition 2012 (11) final, et le rôle de sensibilisation revient aux autorités de contrôle (“Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel”44), ce qui est déjà actuellement le cas avec la CNIL. L’aspect sensibilisation auparavant évoqué comme “indispensable” dans l’approche globale semble donc ici négligé.
2. “La dimension mondiale de la protection des données”
Par ailleurs, la Commission rappelle la nécessité d’établir une protection internationale des données, puisqu’ainsi que le déclare David Forest, “la mondialisation a fait de la circulation transfontalière des données personnelles la règle plutôt que l’exception”(45).
Comme son nom l’indique (rappelons qu’une directive “lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens”(46)), la directive 95/46/CE visait à harmoniser les normes des différents Étatsmembres en matière de protection des données personnelles, afin de faciliter leur libre-circulation.
Malgré cela, il existe encore des divergences quant à l’application par les États membres de la directive précitée. La Commission souhaite donc renforcer l’harmonisation des règles de protection des données au niveau de l’UE, ainsi qu’elle le déclare dans l’approche globale : “l’harmonisation des législations nationales apportée en la matière par la directive ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation qui est, en principe, complète”(47). Dans cette optique, la Commission entend par exemple réduire la charge que la protection des données représente pour les entreprises(48), en établissant un formulaire d’enregistrement uniforme valable dans toute l’UE. Dans le même temps, elle prévoit de définir plus clairement les modalités du traitement des données, grâce à la désignation d’un responsable du traitement indépendant, et par la promotion de l’utilisation des technologies d’amélioration de la confidentialité.
D’autre part, la législation européenne contient une certaine dose de protection à l’international, puisque les données à caractère personnel provenant de pays tiers ne peuvent circuler à travers les États membres que si la Commission estime que le niveau de protection de ces données assuré par un pays tiers est adéquat : “Le transfert de données à caractère personnel en dehors de l’UE et de l’espace EEE est notamment subordonné à l’«évaluation du caractère adéquat» du niveau de protection assuré par le pays tiers concerné, lequel peut actuellement être apprécié par la Commission et par les États membres”(49). Cependant, les critères permettant de définir si le niveau de protection est “adéquat” ou non, ne sont pas encore clairement définis. Il convient donc de clarifier les procédures actuelles de transfert international de données, de même que les instruments juridiques applicables dans ce domaine.
Pour cela, la Commission souhaite harmoniser les clauses contenues dans les accords internationaux conclus par l’UE avec les pays tiers en renforçant la coopération, et par l’élaboration de normes techniques internationales. Il s’agit donc de relancer le processus amorcé en novembre 2009 lors de la Conférence mondiale des commissaires à la protection des données, durant laquelle avait été adoptée à l’unanimité par les représentants de près de quatre-vingts autorités de protection, dont la CNIL, une résolution proposant des principes, droits et obligations devant constituer le socle d’une protection des données personnelles à l’échelle internationale.
3. “Renforcer le cadre institutionnel”
La Commission souhaite renforcer le rôle et les pouvoirs des autorités chargées de la protection des données : “le rôle des autorités chargées de la protection des données (DPA) est essentiel pour le contrôle de l’application des règles de protection des données. Ces autorités sont les gardiennes indépendantes des libertés et des droits fondamentaux des personnes à l’égard du traitement des données à caractère personnel les concernant. C’est pourquoi la Commission estime que leur rôle devrait être renforcé”(50). Celles-ci devront pouvoir bénéficier d’un statut «d’indépendance complète», et il apparaît crucial qu’elles améliorent leur coopération et leur coordination.
Dans l’approche globale, la Commission insiste à nouveau sur l’importance d’une coopération entre Etats membres, ainsi qu’entre Etats membres et Etats tiers. Celle-ci serait particulièrement utile dans le cas précis-des réseaux sociaux : “Cela est tout particulièrement le cas lorsque des entreprises multinationales sont établies dans plusieurs États membres et exercent leurs activités dans chacun de ces États, ou lorsqu’un contrôle coordonné avec le contrôleur européen de la protection des données (CEPD) est requis”(51). Cela est déjà le rôle du groupe de travail “article 29”, organe consultatif européen indépendant sur la protection des données et de la vie privée dont l’organisation et les missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, ainsi que par l’article 14 de la directive 97/66/CE.
Mais avec la réforme souhaitée par la Commission, ce groupe devra contribuer également à l’amélioration de l’action des autorités nationales, en assurant une application plus cohérente des règles européennes en matière de protection des données. Une telle coopération est définie très clairement dans le projet de règlement du 25 janvier 2012, et fait l’objet d’un chapitre complet : “Chapitre VII, coopération et cohérence”.
Ainsi, par ce renforcement du cadre institutionnel en matière de protection des données personnelles, l’Union européenne entend répondre aux attentes suscitées par les récentes évolutions technologiques : “le défi posé aux législateurs est celui de la mise en place d’un cadre législatif qui résistera à l’épreuve du temps. […] Peu importe la complexité de la situation ou le caractère sophistiqué de la technologie, il est essentiel que les règles et les normes applicables, que les autorités nationales doivent faire appliquer et auxquelles les entreprises et les développeurs de technologies doivent se conformer, soient définies clairement”(52).
Cependant, si ces avancées sont bienvenues, elles ne sont pas sans soulever certaines critiques. Cette proposition de réforme est par exemple remise en cause par la CNIL(53), l’Assemblée Nationale (54)et le Sénat Français(55). S’ils estiment nécessaire la révision du cadre juridique européen existant, concèdent que celle-ci renforce les droits des citoyens européens en la matière, et approuvent le renforcement des pouvoirs de sanction des autorités de protection nationales et l’obligation d’une coopération accrue au niveau européen, ils contestent toutefois l’optimalité de cette réforme. La CNIL s’inquiète en particulier du risque d’éloignement entre les citoyens européens et leurs autorités nationales, du fait que l’autorité désormais compétente soit celle où se situe l’établissement principal de l’entreprise, et “s’oppose donc fermement à un tel critère qui constituera une véritable régression vis-à-vis des droits des citoyens”. De façon plus générale, l’autorité française déplore une réforme “anti-démocratique”, qui ne ferait que donner aux autorités de protection des données personnelles la même image technocrate et distante qu’ont aux yeux des citoyens les institutions européennes. De la même manière, les parlementaires français ont exprimé leurs réserves sur la proposition de règlement de la Commission européenne. A l’initiative du député UMP et membre de la CNIL Philippe Gosselin, les membres de la commission des Affaires européennes de l’Assemblée Nationale ont adopté le 7 février 2012 une proposition de résolution européenne sur cette question. S’ils rappellent leur soutien aux objectifs généraux de cette réforme, les députés s’opposent avec force à certaines propositions de la Commission européenne, dont celle du critère de l’établissement principal, préjudiciable pour les droits des citoyens mais aussi pour l’économie française et européenne. Ils rejoignent également les inquiétudes exprimées par la CNIL sur le risque d’éloignement entre les citoyens et les autorités de protection nationales, et sur la concentration des pouvoirs par la Commission européenne, au détriment de ces autorités. Enfin, Le Sénat a adopté le 6 mars 2012 une proposition de résolution européenne relative à ce projet.
Comme la CNIL et l’Assemblée Nationale l’ont exprimé, le Sénat reconnaît la nécessité d’une simplification et modernisation de la législation européenne, et ne nie pas les avancées introduites par le texte. Cependant, il a exprimé ses inquiétudes quant aux conséquences politiques, juridiques et économiques de cette réforme. En premier lieu, la Commission des Lois conteste le principe d’harmonisation complète au niveau européen, car il priverait les États membres de la possibilité d’adopter des dispositions nationales plus protectrices : “Rappelant que la Commission européenne défendait le principe d’une harmonisation complète, sans possibilité de dérogations plus favorables, [M. Simon Sutour, rapporteur], a souligné que, s’agissant d’un domaine dans lequel l’atteinte portée aux droits fondamentaux d’une personne peut être considérable, l’harmonisation proposée ne doit s’effectuer que dans le sens d’une meilleure protection des personnes. Elle ne saurait, pour cette raison, priver les États membres de la possibilité d’adopter des dispositions nationales plus protectrices”. Et en effet, cela serait contraire au principe de subsidiarité, selon lequel la norme nationale doit s’appliquer tant que la norme communautaire ne permet pas un niveau de protection plus efficace. Quant au critère de l’établissement principal, le Sénat a rejoint la CNIL et l’Assemblée Nationale : “Il a par ailleurs jugé nécessaire de s’opposer à tout dispositif qui, comme celui du « guichet unique », promu par la Commission européenne, aboutirait à moins bien traiter le citoyen que l’entreprise responsable du traitement, en le privant de la possibilité de voir l’ensemble de ses plaintes instruites par son autorité de contrôle nationale”.
14 Convention Européenne de Sauvegarde des Droits de l’Homme, article 8 “droit au respect de la vie privée et familiale”, paragraphe 1
15 Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, Chapitre I “Dispositions générales”, Article 1er “Objet et but”, 28 janvier 1981
16 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995
17 ibidem, §2
18 Digital Agenda for Europe : http://ec.europa.eu/information_society/digital-agenda/index_en.htm
19 Directive 97/66/CE du Parlement et du Conseil du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications
20 art.3 “services concernés”, §1
21 art. 4, 6, 7, 11
22 Convention Européenne de Sauvegarde des Droits de l’Homme, article 8 “droit au respect de la vie privée et familiale”, paragraphe 1
23 Charte des Droits Fondamentaux de l’Union européenne, 2010/c83/02, Titre II “Libertés”, Article 8 “Protection des données à caractère personnel”, §1
24 Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58)
25 Ibidem, Art 13, “communications non sollicitées”
26 Commission Européenne, Direction Générale Justice, Liberté et Sécurité, “étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques”, Contrat N° JLS/2008/C4/011 – 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010, 71 pages, p.13
27 Myspace : 230 182 000 utilisateurs en 2008 5 ans après sa création en Août 2003, Facebook : 180 millions d’utilisateurs en Europe en février 2011, 5 ans après son ouverture au public en 2006
28 fonction permettant de se localiser à proximité de lieux publics définis (restaurant, cinéma, salle de concert…), et de partager cette information avec les autres utilisateurs du service
29 Study on the economic benefits of privacy enhancing technologies, London Economics, juillet 2010, p.14 http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf
30 Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», 4 novembre 2010
31 consultation publique organisée par la Commission: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090501_en.htm; voir également Commission Européenne, Direction Générale Justice, Liberté et Sécurité, “étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques”, Contrat N° JLS/2008/C4/011 – 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010
32 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, Article 2 “définitions”, §b
33 REDING Viviane, “Pourquoi nous réformons la protection des données numériques”, Les Echos,
34 Traité sur le Fonctionnement de l’Union européenne, Première Partie : les principes, Article 16, §1
35 Ibidem, §2
36 Charte des droits fondamentaux de l’Union européenne (2007/C 303/01), Titre VII “dispositions générales régissant l’interprétation et l’application de la charte”, Article 51 “champ d’application”, §1
37 Audition sur la mise en oeuvre de la Charte des droits fondamentaux de l’Union européenne Session III: Un projet pour les citoyens en faveur des droits fondamentaux
38 Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», 4 novembre 2010
39 Proposition de règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), Bruxelles, le 25 Janvier 2012, COM(2012) 11 final
40 «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», p.6
41 Article 31, “ Notification à l’autorité de contrôle d’une violation de données à caractère personnel”, et 32, “ Notification à l’utilisateur d’une violation de données à caractère personnel”
42 «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», p.9
43 ibidem
44 Section 2 : “Fonctions et pouvoirs”, Art 52 : “Fonctions”, §2 (p86)
45 FOREST David, Droit des données personnelles, coll. “droit en action”, Paris, ed. Gualino, 2011, 119pages, p.24
46 Traité sur le Fonctionnement de l’Union Européenne, art. 288
47 «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», p.11
48 ibidem, p.13
49 Directive 95/46/CE, Chapitre IV “transfert de données à caractère personnel vers des pays tiers”, Article 25
“Principes”, §1
50 «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», p.19
51 Ibidem, p.20
52 Ibidem
53 CNIL, “Projet de règlement européen : la défense de la vie privée s’éloigne du citoyen”, janvier 2012
54 CNIL, “Projet de règlement européen : la CNIL salue l’engagement du Parlement français”, février 2012
55 Sénat, “Proposition de résolution au nom de la commission des lois, en application de l’article 73 quinquies, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)”