C

LES MESURES NATIONALES DE PROTECTION DES DONNÉES PERSONNELLES DES PERSONNES PHYSIQUES

< Rapport d'information >

Les États membres ont adopté des mesures nationales afin d’assurer la mise en œuvre des principes fixés par l’Union européenne et assurer la protection des données personnelles.

La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (24) constitue, avant même la réglementation communautaire, un premier régime de protection des données personnelles des personnes physiques en France. Elle a été modifiée par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (25) transposant la directive 95/46/CE, qui n’avait pas encore été transposée en droit interne ( 26 ), et la directive 2002/58/CE. Elle institue notamment la Commission nationale de l’informatique et des libertés (CNIL), autorité administrative indépendante dont la mission est de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi (2° de l’article 11 de la loi). La loi encadre à ce titre les traitements automatisés et non automatisés de données personnelles (article 2 alinéa 1er de la loi).

La marge de man œuvre laissée par la directive a entraîné, en pratique, des différences dans les législations nationales.

Par exemple, dans les limites posées par la directive 95/46, le législateur suédois a nettement allégé les obligations déclaratives s’imposant aux opérateurs assurant un traitement de données personnelles auprès de la Datainspektion (équivalent suédois de la CNIL). Les formalités déclaratives s’imposant aux opérateurs économiques sont ainsi moindres que celles applicables à un État membre tel que la France (en 2006, seulement 215 déclarations préalables sont réalisées à la Datainspektion contre 72 000 pour la CNIL ( 27 )). Par ailleurs, la législation suédoise a exonéré les traitements courants de données personnelles de la plupart des règles matérielles entourant l’utilisation desdites données.

Au-delà de la volonté de certains États membres de diminuer les contraintes des opérateurs traitant des données personnelles et de limiter la pression pesant sur les autorités nationales de contrôle , c’est également l’imprécision de certaines dispositions de la directive 95/46 qui a permis de donner lieu à des applications variées, comme dans le cas des formalités administratives (articles 18 et suivants de la directive) qui a fait l’objet d’une application différente en France et en Suède.

< Rapport d'information >