Les droits fondamentaux à l’ère du numérique 

La protection des données à caractère personnel est un droit fondamental consacré dans la charte des droits fondamentaux de l’Union européenne et le traité sur le fonctionnement de l’Union européenne.

Dans une société numérique, où les données à caractère personnel sont éhontément collectées, utilisées et diffusées, les citoyens et citoyennes devraient pouvoir décider librement de l’utilisation de leurs données à caractère personnel pour éviter tout abus.

L’article 8 de la charte dispose que toute personne a droit à la protection des données à caractère personnel la concernant.

Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.

Toute personne dans l’Union dont les données à caractère personnel font l’objet d’un traitement est protégée par le cadre juridique adopté par l’Union conformément à l’article 8 de la charte et à l’article 16 du traité sur le fonctionnement de l’Union européenne. Pour bénéficier de cette protection, il faut néanmoins que le traitement des données corresponde à l’un des trois cas de figure suivants: il a lieu dans l’Union; il est lié à la fourniture de biens ou services à cette personne dans l’Union; il est lié à l’analyse du comportement de cette personne dans l’Union. 

Le Parlement européen insiste sur l’importance de trouver le bon équilibre entre, d’un côté, l’amélioration de la sécurité et la lutte contre le terrorisme et la criminalité, et, de l’autre, la protection de la vie privée et des données à caractère personnel. L’objectif est de veiller à ce que les politiques en matière de sécurité soient conçues en tenant compte des droits fondamentaux. Le Parlement a adopté plusieurs résolutions sur ces questions sensibles, notamment sur la surveillance électronique de masse des citoyens de l’Union.  La Cour de justice a également rendu plusieurs arrêts majeurs sur la compatibilité entre la législation de l’Union en matière de lutte contre le terrorisme et la criminalité grave et la charte, comme par exemple les arrêts dans les affaires Digital Rights Ireland Ltd (C-293/12), Tele2 Sverige AB (C-203/15), Maximillian Schrems contre Data Protection Commissioner (C-362/14), et PNR Canada (Opinion 1/15).

En 2016, le Parlement européen et le Conseil ont adopté le train de mesures concernant la protection des données, qui comprend un règlement et une directive. Ce train de mesures dote l’Union d’un nouveau cadre juridique, moderne et robuste, que les États membres sont tenus d’appliquer à compter du 25 mai 2018 pour veiller à ce que les données à caractère personnel de tout le monde soient protégées dans l’Union.

Le droit de l’Union en matière de protection des données définit les principes et obligations que doit respecter le responsable du traitement des données afin de traiter les données à caractère personnel en toute légalité. Ainsi, tout traitement de données doit avoir une base juridique et respecter des principes de traitement, les règles en matière de transfert de données en dehors de l’Union et les règles en cas de violation des données à caractère personnel.

Toute personne dont les données font l’objet d’un traitement a le droit:

• à recevoir des informations relatives au traitement de ses données à caractère personnel;
• à avoir accès à ses données; et
• à obtenir la rectification, la suppression ou la restriction de toute donnée incorrecte, inexacte ou incomplète. Elle a également le droit à la portabilité de ses données à caractère personnel vers un autre responsable du traitement des données que celui qui les a initialement traitées.

Toute personne a le droit à demander l’effacement de ses données à caractère personnel lorsqu’elles ne sont plus nécessaires ou lorsque le traitement enfreint la loi.

Conformément à la charte (article 52), les droits des personnes peuvent être restreints dans des circonstances très spécifiques, uniquement si cela est nécessaire et proportionné, dans une société démocratique, pour répondre effectivement à des objectifs d’intérêt général expressément reconnus par la législation de l’Union en matière de protection des données. 

Toute personne a le droit de s’opposer à tout moment au traitement de ses données à caractère personnel à des fins commerciales, ce qui comprend l’établissement d’un profil à des fins de démarchage, ou, dans certains cas précis, pour des motifs liés à sa situation particulière.

Certaines catégories spéciales de données à caractère personnel sont considérées comme sensibles et bénéficient de mesures de protection particulières au titre du règlement général sur la protection des données.

Il s’agit des données sur l’appartenance ethnique ou raciale, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, du traitement des données génétiques, des données biométriques utilisées à des fins d’identification, et des données relatives à la santé, à la vie sexuelle et à l’orientation sexuelle.

Le contrôle du respect des règles en matière de protection des données est confié à des autorités publiques indépendantes dans les États membres, compétentes pour intervenir, examiner les plaintes de particuliers et adopter des mesures pour obliger un responsable du traitement des données à respecter la législation. Ces autorités nationales de protection des données peuvent ainsi imposer, pour les infractions au droit de l’Union en matière de protection des données, des sanctions administratives pouvant aller jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial du responsable du traitement des données ou de son sous-traitant.