NOTE DE SYNTHESE

La directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, adoptée le 24 octobre 1995 et qui aurait dû être transposée en droit français avant le 24 octobre 1998, le sera prochainement. La loi française 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plusieurs fois modifiée depuis son adoption, devrait alors être remplacée par un nouveau texte.

La réforme législative française fournit l'occasion de faire le point sur la transposition de la directive 95/46/CE chez nos principaux voisins. Comme la transposition s'accompagne, dans la plupart des pays concernés, d'une refonte complète de la législation sur la protection des données personnelles, elle donne également l'occasion d'examiner deux points particuliers : les dispositions applicables aux données sensibles, et celles qui régissent les fichiers de police judiciaire.

L'analyse, qui porte sur six des principaux pays européens ( Allemagne , Espagne , Italie , Pays-Bas , Portugal et Royaume-Uni ), fait apparaître que :

- à ce jour, l'Italie, le Portugal et le Royaume-Uni sont les seuls pays à avoir transposé la directive 95/46/CE ;

- la transposition de la directive se traduira par l'uniformisation presque totale du régime juridique des données sensibles dans l'Union européenne ;

- les fichiers de police judiciaire sont régis par des dispositions dérogatoires assurant au citoyen un degré de protection variable d'un pays à l'autre.

1) L'Italie, le Portugal et le Royaume-Uni sont les seuls pays qui ont transposé la directive 95/46/CE

a) La transposition est achevée en Italie, au Portugal et au Royaume-Uni

En Italie, il n'existait pas de loi sur la protection des données personnelles avant la transposition , qui a été réalisée par l'adoption de la loi du 31 décembre 1996 portant protection des personnes et des organismes publics et privés à l'égard du traitement de données à caractère personnel. Comme son nom l'indique, la loi italienne concerne les personnes physiques et les personnes morales. Par ailleurs, elle s'applique aux fichiers automatisés et aux fichiers manuels. Cependant, elle exclut certains traitements réalisés par les administrations publiques, et notamment par celle de la justice.

En revanche, le Portugal et le Royaume-Uni ont dû modifier leur législation pour transposer la directive 95/46/CE . Tous deux l'ont fait en 1998. Au Portugal, la transposition a exigé une révision constitutionnelle et s'est traduite par l'abrogation de la loi précédente, qui datait de 1991. La nouvelle loi portugaise concerne, quel que soit leur support, tous les fichiers, publics ou privés, manuels ou automatisés, comportant des données personnelles relatives aux personnes physiques. La nouvelle loi anglaise, qui concerne également les seules personnes physiques, a un champ d'application plus large que la loi précédente, qui datait de 1984 et qui ne visait que les fichiers automatisés. La loi de 1998 s'applique en effet aussi à certains fichiers manuels. De plus, elle vise toutes les données personnelles, quelles qu'elles soient (données textuelles sur support électronique, enregistrements sonores, images vidéo...). Dans l'attente de la publication des textes réglementaires nécessaires à son application, la loi de 1998 n'est pas encore entrée en vigueur.

b) La transposition devrait être facilement réalisée en Espagne et aux Pays-Bas

En effet, la protection des données personnelles est régie en Espagne par une loi organique de 1992, qui prend en compte la plupart des exigences de la directive, car elle a été élaborée à partir du projet de directive. C'est pourquoi la transposition s'effectuera par une simple modification de la loi de 1992 . Un projet de loi organique qui élargit le champ d'application de la protection des données personnelles en limitant le nombre des fichiers jouissant d'un statut particulier a été déposé à cet effet au cours de l'été dernier.

Aux Pays-Bas, le gouvernement a déposé un projet de loi relatif à la protection des données personnelles. Après son adoption, ce texte devrait remplacer la loi actuelle, qui date de 1988. Le projet de loi du gouvernement néerlandais est assez proche de la directive. Il vise tous les fichiers, automatisés ou manuels, comprenant des données relatives aux personnes physiques, mais exclut certains fichiers publics, parmi lesquels ceux de la police, qui sont régis par une autre loi.

c) En Allemagne, le gouvernement social-démocrate a préparé un avant-projet de loi

L'Allemagne avait été, avec la loi fédérale de 1977 portant protection contre l'emploi abusif de données d'identification personnelle, le premier pays à se doter d'un texte général dans ce domaine. Il a été remplacé en 1990 par une nouvelle loi, qui ne s'applique que de façon subsidiaire, car de nombreuses lois sectorielles régissent spécifiquement certaines catégories de données. De plus, chaque Land possède sa propre législation pour ce qui concerne les fichiers publics. Le gouvernement allemand envisage de transposer la directive avant la fin de l'année 2000, puis de moderniser l'ensemble du droit de la protection des données. Le ministère de l'Intérieur a donc publié en mars 1999 un avant-projet de loi, qui a été modifié en juillet et qui fait encore l'objet de négociations.

2) La transposition de la directive 95/46/CE permettra d'uniformiser presque complètement le régime juridique des données sensibles

La directive 95/46/CE définit les données sensibles en prévoyant l'interdiction du " traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale " ainsi que de celles " relatives à la santé et à la vie sexuelle ". Elle assortit cette interdiction de tout traitement de quelques exceptions, parmi lesquelles le consentement explicite de l'intéressé et l'autorisation de la loi, du règlement ou de l'autorité de contrôle.

A l'exception de la loi allemande de 1977, qui ignore la notion de données sensibles, tous les textes actuellement en vigueur prévoient des garanties similaires et très proches de celles contenues dans la directive.

Il convient néanmoins de souligner que la loi espagnole de 1992 distingue deux groupes de données sensibles : celles qui, en vertu de la Constitution , qui énonce que " nul ne pourra être obligé de déclarer son idéologie, sa religion et ses croyances ", font l'objet d'une protection maximale , et celles qui font l'objet d'une protection intermédiaire . Le traitement des données du premier groupe requiert en effet, en toutes circonstances, le consentement exprès et écrit de l'intéressé, tandis que celles du second obéissent aux règles générales de la directive. Le projet de loi conserve cette distinction.

La loi anglaise de 1984 ne définissait pas explicitement la notion de données sensibles. Elle prévoyait seulement que le ministre de l'Intérieur pouvait prendre des mesures réglementaires concernant certains groupes de données (origine raciale, opinions politiques, santé...), mais cette faculté n'a jamais été utilisée. C'est donc grâce à la transposition de la directive 95/46/CE que la notion de données sensibles est entrée dans le droit anglais.

3) Les fichiers de police judiciaire sont régis par des dispositions dérogatoires assurant au citoyen un degré de protection variable d'un pays à l'autre

a) Les dispositions allemandes, néerlandaises et portugaises font largement intervenir l'autorité de contrôle

D'après la loi allemande sur l'Office fédéral de la police criminelle, chacun des fichiers de police est régi par un règlement qui prévoit les principales caractéristiques desdits fichiers (personnes susceptibles d'être fichées, données pouvant être enregistrées, conditions de transmission et durée de conservation des données...). Ces règlements doivent être approuvés par le ministre fédéral de l'Intérieur et soumis au Délégué fédéral pour la protection des données. La loi prévoit aussi une durée de conservation des données variable en fonction de la nature de ces données et de l'âge de la personne concernée, mais toujours inférieure à dix ans. De plus, les personnes fichées disposent du droit d'accès aux données les concernant.

La loi néerlandaise sur les fichiers de police comporte des dispositions similaires : le règlement propre à chaque fichier doit être communiqué à l'autorité de contrôle avant toute utilisation. De plus, les personnes fichées disposent du droit d'accès et de rectification ; elles peuvent saisir le tribunal de grande instance si le gestionnaire du fichier méconnaît ces droits.

Le décret portugais sur les fichiers informatiques de la police judiciaire semble également assez protecteur des droits du citoyen : il cite les six fichiers utilisés au niveau national et énumère de façon limitative les données qu'ils peuvent contenir. Il prévoit également des durées de conservation des données variables selon la nature des différents fichiers. Par ailleurs, le droit d'accès à ces données s'exerce par l'intermédiaire de la commission nationale pour la protection des données personnelles.

b) En Espagne, en Italie et au Royaume-Uni, l'autorité de contrôle ne joue pas de rôle particulier

En Espagne, les fichiers de la police sont, comme tous ceux des administrations publiques, régis par un arrêté qui mentionne, pour chaque fichier, son contenu ainsi que les obligations du gestionnaire. La liste des données susceptibles d'être enregistrées est donc indiquée, la procédure de collecte des données précisée et l'ensemble des destinataires potentiels des données défini. Pour les personnes fichées, les droits d'accès et de rectification s'exercent auprès de l'administration désignée par l'arrêté : les Directions générales de la police et de la garde civile pour la plupart des fichiers de police.

En revanche, les lois anglaise et italienne sur la protection des données personnelles sont beaucoup moins précises sur les fichiers de police. Au Royaume-Uni, la loi privilégie clairement le bon fonctionnement de la justice, justifiant ainsi la non-application du droit d'accès et des principes de loyauté et de non-divulgation à des tiers. En Italie, elle exclut les fichiers de police judiciaire de son champ d'application. Elle les soumet cependant au respect des principes essentiels (loyauté, adéquation, sécurité, utilisation limitée...), mais ne reconnaît aucun droit d'accès aux personnes dont les données sont enregistrées.