LES PRINCIPAUX TEXTES
ALLEMAGNE
La
loi fédérale du 20 décembre 1990 sur la protection
des données,
modifiée ultérieurement, a
remplacé la loi du 21 janvier 1977 portant protection contre
l'emploi abusif de données d'identification personnelle dans le cadre du
traitement des données.
Avec la loi fédérale de 1977,
l'Allemagne avait été le premier pays à se doter d'un
texte général sur la protection des données
personnelles.
L'abrogation de la loi de 1977 fut notamment la conséquence de
l'arrêt rendu par la
Cour constitutionnelle en 1983
sur la loi
relative au recensement de la population. La Cour constitutionnelle
dégagea en effet à cette occasion un
nouveau
droit
constitutionnel
: le droit à " l'autodétermination
informationnelle ", c'est-à-dire le droit pour chaque individu de
décider lui-même de la communication et de l'emploi des
informations le concernant.
1) Le champ d'application de la loi
La loi
de 1990 protège les
données personnelles relatives aux
personnes physiques, dans la mesure où elles ne font pas l'objet de
dispositions particulières dans d'autres lois
:
- de
nombreuses
lois fédérales sectorielles
(code social, code de la route, loi sur le fichier central des
étrangers, loi sur l'Office fédéral de la police
criminelle...) s'appliquent spécifiquement à certaines
catégories de données ;
-
chaque Land possède sa propre législation applicable au
secteur
public
.
La loi de 1990 s'applique de façon différente au secteur
public et au secteur privé.
Pour le secteur public, elle couvre non seulement les traitements
automatisés, mais aussi tous les documents nominatifs, quelle que soit
leur nature. Elle s'applique également aux enregistrements de sons et
d'images. De plus, la protection des données commence au moment de leur
collecte. En vertu du principe de
finalité
, cette dernière
n'est licite que si la connaissance des données est nécessaire
à l'exécution des missions de l'organisme concerné.
En revanche, pour le secteur privé, la protection est limitée aux
seuls fichiers, automatisés ou manuels. Les informations à
caractère personnel gérées sous une autre forme (listes
par exemple) se trouvent en dehors du domaine de la protection des
données.
2) La transposition de la directive 95/46/CE
Dans la
perspective de la transposition de la directive, le gouvernement Kohl avait
préparé un avant-projet de loi tendant à modifier la loi
de 1990.
Le gouvernement social-démocrate envisage de procéder en deux
temps : un premier texte permettrait de transposer la directive et de
régler les problèmes posés par les cartes à puces
et la vidéo-surveillance. Dans une seconde phase, tout le droit de la
protection des données serait modernisé.
En mars 1999, le ministère de l'Intérieur a publié un
avant-projet de loi, qui
a été modifié en juillet
1999
. Dans sa version actuelle, le texte introduit la notion de
"
stricte limitation de l'enregistrement à ce qui est
nécessaire
" et préconise l'utilisation de tous les
moyens susceptibles de garantir l'anonymat des personnes. Il conserve la
distinction entre secteur privé et secteur public. Cependant, il
étend au premier le principe de finalité et crée une
obligation de déclaration de tous les traitements
automatisés.
ESPAGNE
L'article 18-4 de la
Constitution
énonce :
"
La loi limitera l'usage de l'informatique pour garantir l'honneur et
l'intimité personnelle et familiale des citoyens et le plein exercice de
leurs droits
".
La protection des données personnelles est régie par la
loi
organique du
29 octobre 1992
, qui a été
élaborée à partir du projet de directive.
1) Le champ d'application de la loi
Seules
les données personnelles relatives aux
personnes physiques
sont
protégées par la loi.
Celle-ci s'applique aux
fichiers automatisés des secteurs public et
privé,
ainsi qu'à tous les autres enregistrements
susceptibles de faire l'objet d'un traitement automatisé.
Plusieurs fichiers restent hors du champ d'application de la loi. C'est en
particulier le cas des fichiers électoraux, de ceux qui relèvent
de la législation sur les informations classées et du registre
central des délinquants.
2) La transposition de la directive 95/46/CE
Le
projet de loi organique
tendant à modifier la loi de 1992 a
été publié au Bulletin officiel des
Cortes
le
31 août 1998. Il a été approuvé en
séance publique par le Congrès des députés le
30 septembre 1999, puis transmis au Sénat.
Le projet élargit le champ d'application de la protection des
données personnelles
en limitant le nombre des fichiers jouissant
d'un statut particulier. Il prévoit cependant que les fichiers
établis dans le cadre des enquêtes sur le terrorisme et les formes
graves de criminalité demeurent exclus du champ d'application de la
future loi sur la protection des données personnelles.
ITALIE
Il
n'existait pas de loi sur la protection des données personnelles avant
la transposition de la directive 95/46/CE, qui a été
réalisée par l'adoption de la loi 675 du 31 décembre
1996 portant protection des personnes et des organismes publics et
privés à l'égard du traitement de données à
caractère personnel
.
La
loi 676
a été adoptée en même temps. Elle
donnait pendant dix-huit mois délégation au gouvernement,
d'une part, pour effectuer par décret des modifications au texte de base
et, d'autre part, pour prendre des textes réglementaires
complétant le texte de base dans plusieurs domaines
(traitement des
données à des fins de recherche, règles
particulières à certains secteurs comme les
télécommunications ou la sécurité sociale,
attribution d'un identifiant unique, formes simplifiées de notification,
application de la loi aux journalistes et au secteur public...).
En application de la loi 676, la loi 675 a été modifiée
à deux reprises et plusieurs décrets-lois sectoriels ont
été pris. La période de délégation
législative prévue par la loi 676 étant échue le
23 juillet 1998 sans que tous les décrets-lois prévus aient
été adoptés, le Parlement l'a prolongée jusqu'au
31 juillet 1999.
Le champ d'application de la loi
La loi
675 concerne
les personnes physiques et les personnes morales
et
s'applique aux
fichiers automatisés comme aux fichiers manuels
.
En revanche, elle
exclut un certain nombre de traitements
réalisés au sein du secteur public
, parmi lesquels ceux qui
incluent les
données couvertes par le secret d'Etat
et ceux qui
sont effectués par les
services du casier judiciaire
ou dans le
cadre de
procédures pénales en cours
. Cependant, cette
exclusion n'empêche pas l'application des principes fondamentaux
(licéité, loyauté, finalité, exactitude,
sécurité...).
PAYS-BAS
La protection des données personnelles est régie par la
loi du
28 décembre 1988
, modifiée à plusieurs reprises
depuis son adoption.
1) Le champ d'application de la loi
La loi
de 1988 s'applique aux
fichiers automatisés et aux fichiers
manuels
, dans la mesure où ils sont constitués pour une
consultation méthodique. Elle ne protège que les
personnes
physiques
. Elle inclut les traitements du
secteur public
et du
secteur privé
.
Certains fichiers sont expressément exclus du champ d'application de la
loi. C'est notamment le cas des fichiers de police et de la justice, ainsi que
des registres communaux de population. Des lois particulières
contiennent les dispositions qui leur sont applicables.
En application de l'article 7 de la loi de 1988, un
règlement
sur les données sensibles
a été pris en février
1993.
2) La transposition de la directive 95/46/CE
Le
2 décembre 1998, le gouvernement a déposé à la
seconde chambre un
projet de loi relatif à la protection des
données personnelles
. L'examen du projet a été
différé plusieurs fois. Le 27 septembre 1999, la seconde
chambre a décidé le report de cet examen au mois de novembre.
Assez proche de la directive dans sa rédaction, le projet vise tous les
fichiers, automatisés ou manuels, comprenant des données
relatives aux personnes physiques.
Son champ d'application exclut certains fichiers publics, notamment ceux de la
police et de la justice (parmi lesquels le casier judiciaire), ainsi que les
registres communaux de population.
PORTUGAL
La
première loi sur la protection des données personnelles remonte
à 1991. Amendée en 1994, elle a été abrogée
par la
loi n° 67 du 26 octobre 1998
, qui s'efforce de
prendre en compte les évolutions technologiques et qui transpose la
directive 95/46/CE.
L'adoption de cette loi a nécessité la révision de
l'article 35 de la Constitution
, qui est
entièrement
consacré à l'utilisation de l'informatique
et qui comporte
sept
alinéas. Le premier énonce les droits que la loi doit
garantir à chacun : "
Tous les citoyens disposent du droit
d'accès aux données informatiques qui les concernent, ils peuvent
exiger leur rectification et leur mise à jour, ainsi que le droit de
connaître leur finalité (...)
". La principale
modification apportée à l'article 35 de la Constitution a
consisté à ajouter un alinéa sur les fichiers manuels et
à mentionner l'existence d'une autorité administrative
indépendante chargée de l'application de la loi sur la protection
des données.
Le champ d'application de la loi
La
loi de 1998 concerne tous les fichiers, publics ou privés, manuels ou
automatisés
, comportant des données personnelles relatives
aux
personnes physiques
. Elle s'applique quelle que soit la nature des
données, et prend donc en compte non seulement les données
écrites, mais également les enregistrements de sons et d'images.
La loi de 1998 a substitué la Commission nationale de protection des
données (CNPD) à l'organe du surveillance créé par
la loi de 1991, la CNPDPI.
ROYAUME-UNI
Afin
de transposer la directive 95/46/CE, le Royaume-Uni a adopté en 1998 une
nouvelle loi sur la protection des données
,
destinée
à remplacer la loi de 1984
.
La loi de 1998 n'entrera en vigueur que lorsque les textes nécessaires
à son application auront été publiés.
Le champ d'application de la loi
Elle
concerne les seules
personnes physiques
. Cependant,
le champ
d'application de la loi de 1998 est plus large que celui de la loi de 1984.
Alors que cette dernière ne visait que les fichiers
automatisés, qu'ils soient mis en oeuvre dans le
secteur
privé
ou dans le
secteur public
, la nouvelle loi s'applique
également à
certains fichiers manuels
:
- ceux où l'information est structurée par
référence aux individus, dans la mesure où les
renseignements relatifs à une personne donnée sont
aisément accessibles ;
- ceux qui sont accessibles au public, parmi lesquels les fichiers
scolaires et de santé.
La loi de 1998 s'applique à toutes les données personnelles,
quelle que soit leur nature, c'est-à-dire également aux
enregistrements sonores et visuels. De plus, elle inclut dans son champ
d'application les données comportant l'expression d'une opinion sur les
personnes.
Comme la loi de 1984, celle de 1998 comprend un certain nombre
d'
exemptions
. En particulier, les données relatives à la
prévention et à la détection des crimes et celles
concernant les procédures judiciaires en cours ainsi que les
informations utilisées dans la lutte contre la fraude fiscale sont
partiellement exclues du champ d'application de la loi : les principes de
loyauté et de licéité du traitement, de
non-révélation aux tiers, ainsi que le droit d'accès ne
leur sont pas applicables lorsque cette application pourrait nuire à la
lutte contre la criminalité ou contre la fraude fiscale.
D'autres textes garantissent l'accès de chacun aux données le
concernant
. C'est par exemple le cas de la loi de 1974 sur le crédit
à la consommation ou de celles de 1988 et de 1990 sur l'accès aux
dossiers médicaux.