LA PROTECTION DES DONNEES PERSONNELLES
Service des Affaires Européennes
Table des matières
- NOTE DE SYNTHESE
- LES PRINCIPAUX TEXTES
- LES DONNEES SENSIBLES
- LES FICHIERS DE POLICE JUDICIAIRE
NOTE DE SYNTHESE
La
directive 95/46/CE relative à la protection des personnes physiques
à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces
données, adoptée le 24 octobre 1995 et qui aurait dû
être transposée en droit français avant le 24 octobre
1998, le sera prochainement. La loi française 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés,
plusieurs fois modifiée depuis son adoption, devrait alors être
remplacée par un nouveau texte.
La réforme législative française fournit l'occasion de
faire le point sur la transposition de la directive 95/46/CE chez nos
principaux voisins. Comme la transposition s'accompagne, dans la plupart des
pays concernés, d'une refonte complète de la législation
sur la protection des données personnelles, elle donne également
l'occasion d'examiner deux points particuliers : les dispositions
applicables aux données sensibles, et celles qui régissent les
fichiers de police judiciaire.
L'analyse, qui porte sur six des principaux pays
européens (
Allemagne
,
Espagne
,
Italie
,
Pays-Bas
,
Portugal
et
Royaume-Uni
),
fait
apparaître que :
-
à ce jour,
l'Italie, le Portugal et le Royaume-Uni sont
les seuls pays à avoir transposé la directive 95/46/CE
;
- la transposition de la directive se traduira par l'uniformisation
presque totale du régime juridique des données sensibles dans
l'Union européenne ;
- les fichiers de police judiciaire sont régis par des dispositions
dérogatoires assurant au citoyen un degré de protection variable
d'un pays à l'autre.
1) L'Italie, le Portugal et le Royaume-Uni sont les seuls pays qui ont
transposé la directive 95/46/CE
a) La transposition est achevée en Italie, au Portugal et au
Royaume-Uni
En Italie, il n'existait pas de loi sur la protection des données
personnelles avant la transposition
, qui a été
réalisée par l'adoption de la loi du 31 décembre 1996
portant protection des personnes et des organismes publics et privés
à l'égard du traitement de données à
caractère personnel. Comme son nom l'indique, la loi italienne concerne
les personnes physiques et les personnes morales. Par ailleurs, elle s'applique
aux fichiers automatisés et aux fichiers manuels. Cependant, elle exclut
certains traitements réalisés par les administrations publiques,
et notamment par celle de la justice.
En revanche,
le Portugal et le Royaume-Uni ont dû modifier leur
législation pour transposer la directive 95/46/CE
. Tous deux l'ont
fait en 1998. Au Portugal, la transposition a exigé une révision
constitutionnelle et s'est traduite par l'abrogation de la loi
précédente, qui datait de 1991. La nouvelle loi portugaise
concerne, quel que soit leur support, tous les fichiers, publics ou
privés, manuels ou automatisés, comportant des données
personnelles relatives aux personnes physiques. La nouvelle loi anglaise, qui
concerne également les seules personnes physiques, a un champ
d'application plus large que la loi précédente, qui datait de
1984 et qui ne visait que les fichiers automatisés. La loi de 1998
s'applique en effet aussi à certains fichiers manuels. De plus, elle
vise toutes les données personnelles, quelles qu'elles soient
(données textuelles sur support électronique, enregistrements
sonores, images vidéo...). Dans l'attente de la publication des textes
réglementaires nécessaires à son application, la loi de
1998 n'est pas encore entrée en vigueur.
b) La transposition devrait être facilement réalisée en
Espagne et aux Pays-Bas
En effet, la protection des données personnelles est régie en
Espagne par une loi organique de 1992, qui prend en compte la plupart des
exigences de la directive, car elle a été élaborée
à partir du projet de directive. C'est pourquoi la transposition
s'effectuera par une simple
modification de la loi de 1992
. Un projet de
loi organique qui élargit le champ d'application de la protection des
données personnelles en limitant le nombre des fichiers jouissant d'un
statut particulier a été déposé à cet effet
au cours de l'été dernier.
Aux Pays-Bas, le gouvernement a déposé un projet de loi relatif
à la protection des données personnelles. Après son
adoption, ce texte devrait remplacer la loi actuelle, qui date de 1988.
Le
projet de loi du gouvernement néerlandais est assez proche de la
directive.
Il vise tous les fichiers, automatisés ou manuels,
comprenant des données relatives aux personnes physiques, mais exclut
certains fichiers publics, parmi lesquels ceux de la police, qui sont
régis par une autre loi.
c) En Allemagne, le gouvernement social-démocrate a
préparé un avant-projet de loi
L'Allemagne avait été, avec la loi fédérale de 1977
portant protection contre l'emploi abusif de données d'identification
personnelle, le premier pays à se doter d'un texte général
dans ce domaine. Il a été remplacé en 1990 par une
nouvelle loi, qui ne s'applique que de façon subsidiaire, car de
nombreuses lois sectorielles régissent spécifiquement certaines
catégories de données. De plus, chaque Land possède sa
propre législation pour ce qui concerne les fichiers publics. Le
gouvernement allemand envisage de transposer la directive avant la fin de
l'année 2000, puis de moderniser l'ensemble du droit de la protection
des données. Le ministère de l'Intérieur a donc
publié en mars 1999 un avant-projet de loi, qui a été
modifié en juillet et qui fait encore l'objet de négociations.
2) La transposition de la directive 95/46/CE permettra d'uniformiser presque
complètement le régime juridique des données sensibles
La directive 95/46/CE définit les données sensibles en
prévoyant l'interdiction du "
traitement des données
à caractère personnel qui révèlent l'origine
raciale ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale
" ainsi que de celles
"
relatives à la santé et à la vie
sexuelle
". Elle assortit cette interdiction de tout traitement de
quelques exceptions, parmi lesquelles le consentement explicite de
l'intéressé et l'autorisation de la loi, du règlement ou
de l'autorité de contrôle.
A l'exception de la loi allemande de 1977, qui ignore la notion de
données sensibles, tous les textes actuellement en vigueur
prévoient des garanties similaires et très proches de celles
contenues dans la directive.
Il convient néanmoins de souligner que
la loi espagnole de 1992
distingue deux groupes
de données sensibles
: celles
qui, en vertu de la
Constitution
, qui énonce que "
nul
ne
pourra être obligé de déclarer son
idéologie, sa religion et ses croyances
", font l'objet d'une
protection maximale
, et celles qui font l'objet d'une
protection
intermédiaire
. Le traitement des données du premier groupe
requiert en effet, en toutes circonstances, le consentement exprès et
écrit de l'intéressé, tandis que celles du second
obéissent aux règles générales de la directive. Le
projet de loi conserve cette distinction.
La loi anglaise de 1984 ne définissait pas explicitement la notion de
données sensibles. Elle prévoyait seulement que le ministre de
l'Intérieur pouvait prendre des mesures réglementaires concernant
certains groupes de données (origine raciale, opinions politiques,
santé...), mais cette faculté n'a jamais été
utilisée. C'est donc grâce à la transposition de la
directive 95/46/CE que la notion de données sensibles est entrée
dans le droit anglais.
3) Les fichiers de police judiciaire sont régis par des dispositions
dérogatoires assurant au citoyen un degré de protection variable
d'un pays à l'autre
a) Les dispositions allemandes, néerlandaises et portugaises font
largement intervenir l'autorité de contrôle
D'après la loi allemande sur l'Office fédéral de la police
criminelle, chacun des fichiers de police est régi par un
règlement qui prévoit les principales caractéristiques
desdits fichiers (personnes susceptibles d'être fichées,
données pouvant être enregistrées, conditions de
transmission et durée de conservation des données...). Ces
règlements doivent être approuvés par le ministre
fédéral de l'Intérieur et soumis au
Délégué fédéral pour la protection des
données. La loi prévoit aussi une durée de conservation
des données variable en fonction de la nature de ces données et
de l'âge de la personne concernée, mais toujours inférieure
à dix ans. De plus, les personnes fichées disposent du droit
d'accès aux données les concernant.
La loi néerlandaise sur les fichiers de police comporte des dispositions
similaires : le règlement propre à chaque fichier doit
être communiqué à l'autorité de contrôle avant
toute utilisation. De plus, les personnes fichées disposent du droit
d'accès et de rectification ; elles peuvent saisir le tribunal de
grande instance si le gestionnaire du fichier méconnaît ces
droits.
Le décret portugais sur les fichiers informatiques de la police
judiciaire semble également assez protecteur des droits du
citoyen : il cite les six fichiers utilisés au niveau national et
énumère de façon limitative les données qu'ils
peuvent contenir. Il prévoit également des durées de
conservation des données variables selon la nature des différents
fichiers. Par ailleurs, le droit d'accès à ces données
s'exerce par l'intermédiaire de la commission nationale pour la
protection des données personnelles.
b) En Espagne, en Italie et au Royaume-Uni, l'autorité de contrôle
ne joue pas de rôle particulier
En Espagne, les fichiers de la police sont, comme tous ceux des administrations
publiques, régis par un arrêté qui mentionne, pour chaque
fichier, son contenu ainsi que les obligations du gestionnaire. La liste des
données susceptibles d'être enregistrées est donc
indiquée, la procédure de collecte des données
précisée et l'ensemble des destinataires potentiels des
données défini. Pour les personnes fichées, les droits
d'accès et de rectification s'exercent auprès de l'administration
désignée par l'arrêté : les Directions
générales de la police et de la garde civile pour la plupart des
fichiers de police.
En revanche, les lois anglaise et italienne sur la protection des
données personnelles sont beaucoup moins précises sur les
fichiers de police. Au Royaume-Uni, la loi privilégie clairement le bon
fonctionnement de la justice, justifiant ainsi la non-application du droit
d'accès et des principes de loyauté et de non-divulgation
à des tiers. En Italie, elle exclut les fichiers de police judiciaire de
son champ d'application. Elle les soumet cependant au respect des principes
essentiels (loyauté, adéquation, sécurité,
utilisation limitée...), mais ne reconnaît aucun droit
d'accès aux personnes dont les données sont
enregistrées.
LES PRINCIPAUX TEXTES
ALLEMAGNE
La
loi fédérale du 20 décembre 1990 sur la protection
des données,
modifiée ultérieurement, a
remplacé la loi du 21 janvier 1977 portant protection contre
l'emploi abusif de données d'identification personnelle dans le cadre du
traitement des données.
Avec la loi fédérale de 1977,
l'Allemagne avait été le premier pays à se doter d'un
texte général sur la protection des données
personnelles.
L'abrogation de la loi de 1977 fut notamment la conséquence de
l'arrêt rendu par la
Cour constitutionnelle en 1983
sur la loi
relative au recensement de la population. La Cour constitutionnelle
dégagea en effet à cette occasion un
nouveau
droit
constitutionnel
: le droit à " l'autodétermination
informationnelle ", c'est-à-dire le droit pour chaque individu de
décider lui-même de la communication et de l'emploi des
informations le concernant.
1) Le champ d'application de la loi
La loi
de 1990 protège les
données personnelles relatives aux
personnes physiques, dans la mesure où elles ne font pas l'objet de
dispositions particulières dans d'autres lois
:
- de
nombreuses
lois fédérales sectorielles
(code social, code de la route, loi sur le fichier central des
étrangers, loi sur l'Office fédéral de la police
criminelle...) s'appliquent spécifiquement à certaines
catégories de données ;
-
chaque Land possède sa propre législation applicable au
secteur
public
.
La loi de 1990 s'applique de façon différente au secteur
public et au secteur privé.
Pour le secteur public, elle couvre non seulement les traitements
automatisés, mais aussi tous les documents nominatifs, quelle que soit
leur nature. Elle s'applique également aux enregistrements de sons et
d'images. De plus, la protection des données commence au moment de leur
collecte. En vertu du principe de
finalité
, cette dernière
n'est licite que si la connaissance des données est nécessaire
à l'exécution des missions de l'organisme concerné.
En revanche, pour le secteur privé, la protection est limitée aux
seuls fichiers, automatisés ou manuels. Les informations à
caractère personnel gérées sous une autre forme (listes
par exemple) se trouvent en dehors du domaine de la protection des
données.
2) La transposition de la directive 95/46/CE
Dans la
perspective de la transposition de la directive, le gouvernement Kohl avait
préparé un avant-projet de loi tendant à modifier la loi
de 1990.
Le gouvernement social-démocrate envisage de procéder en deux
temps : un premier texte permettrait de transposer la directive et de
régler les problèmes posés par les cartes à puces
et la vidéo-surveillance. Dans une seconde phase, tout le droit de la
protection des données serait modernisé.
En mars 1999, le ministère de l'Intérieur a publié un
avant-projet de loi, qui
a été modifié en juillet
1999
. Dans sa version actuelle, le texte introduit la notion de
"
stricte limitation de l'enregistrement à ce qui est
nécessaire
" et préconise l'utilisation de tous les
moyens susceptibles de garantir l'anonymat des personnes. Il conserve la
distinction entre secteur privé et secteur public. Cependant, il
étend au premier le principe de finalité et crée une
obligation de déclaration de tous les traitements
automatisés.
ESPAGNE
L'article 18-4 de la
Constitution
énonce :
"
La loi limitera l'usage de l'informatique pour garantir l'honneur et
l'intimité personnelle et familiale des citoyens et le plein exercice de
leurs droits
".
La protection des données personnelles est régie par la
loi
organique du
29 octobre 1992
, qui a été
élaborée à partir du projet de directive.
1) Le champ d'application de la loi
Seules
les données personnelles relatives aux
personnes physiques
sont
protégées par la loi.
Celle-ci s'applique aux
fichiers automatisés des secteurs public et
privé,
ainsi qu'à tous les autres enregistrements
susceptibles de faire l'objet d'un traitement automatisé.
Plusieurs fichiers restent hors du champ d'application de la loi. C'est en
particulier le cas des fichiers électoraux, de ceux qui relèvent
de la législation sur les informations classées et du registre
central des délinquants.
2) La transposition de la directive 95/46/CE
Le
projet de loi organique
tendant à modifier la loi de 1992 a
été publié au Bulletin officiel des
Cortes
le
31 août 1998. Il a été approuvé en
séance publique par le Congrès des députés le
30 septembre 1999, puis transmis au Sénat.
Le projet élargit le champ d'application de la protection des
données personnelles
en limitant le nombre des fichiers jouissant
d'un statut particulier. Il prévoit cependant que les fichiers
établis dans le cadre des enquêtes sur le terrorisme et les formes
graves de criminalité demeurent exclus du champ d'application de la
future loi sur la protection des données personnelles.
ITALIE
Il
n'existait pas de loi sur la protection des données personnelles avant
la transposition de la directive 95/46/CE, qui a été
réalisée par l'adoption de la loi 675 du 31 décembre
1996 portant protection des personnes et des organismes publics et
privés à l'égard du traitement de données à
caractère personnel
.
La
loi 676
a été adoptée en même temps. Elle
donnait pendant dix-huit mois délégation au gouvernement,
d'une part, pour effectuer par décret des modifications au texte de base
et, d'autre part, pour prendre des textes réglementaires
complétant le texte de base dans plusieurs domaines
(traitement des
données à des fins de recherche, règles
particulières à certains secteurs comme les
télécommunications ou la sécurité sociale,
attribution d'un identifiant unique, formes simplifiées de notification,
application de la loi aux journalistes et au secteur public...).
En application de la loi 676, la loi 675 a été modifiée
à deux reprises et plusieurs décrets-lois sectoriels ont
été pris. La période de délégation
législative prévue par la loi 676 étant échue le
23 juillet 1998 sans que tous les décrets-lois prévus aient
été adoptés, le Parlement l'a prolongée jusqu'au
31 juillet 1999.
Le champ d'application de la loi
La loi
675 concerne
les personnes physiques et les personnes morales
et
s'applique aux
fichiers automatisés comme aux fichiers manuels
.
En revanche, elle
exclut un certain nombre de traitements
réalisés au sein du secteur public
, parmi lesquels ceux qui
incluent les
données couvertes par le secret d'Etat
et ceux qui
sont effectués par les
services du casier judiciaire
ou dans le
cadre de
procédures pénales en cours
. Cependant, cette
exclusion n'empêche pas l'application des principes fondamentaux
(licéité, loyauté, finalité, exactitude,
sécurité...).
PAYS-BAS
La protection des données personnelles est régie par la
loi du
28 décembre 1988
, modifiée à plusieurs reprises
depuis son adoption.
1) Le champ d'application de la loi
La loi
de 1988 s'applique aux
fichiers automatisés et aux fichiers
manuels
, dans la mesure où ils sont constitués pour une
consultation méthodique. Elle ne protège que les
personnes
physiques
. Elle inclut les traitements du
secteur public
et du
secteur privé
.
Certains fichiers sont expressément exclus du champ d'application de la
loi. C'est notamment le cas des fichiers de police et de la justice, ainsi que
des registres communaux de population. Des lois particulières
contiennent les dispositions qui leur sont applicables.
En application de l'article 7 de la loi de 1988, un
règlement
sur les données sensibles
a été pris en février
1993.
2) La transposition de la directive 95/46/CE
Le
2 décembre 1998, le gouvernement a déposé à la
seconde chambre un
projet de loi relatif à la protection des
données personnelles
. L'examen du projet a été
différé plusieurs fois. Le 27 septembre 1999, la seconde
chambre a décidé le report de cet examen au mois de novembre.
Assez proche de la directive dans sa rédaction, le projet vise tous les
fichiers, automatisés ou manuels, comprenant des données
relatives aux personnes physiques.
Son champ d'application exclut certains fichiers publics, notamment ceux de la
police et de la justice (parmi lesquels le casier judiciaire), ainsi que les
registres communaux de population.
PORTUGAL
La
première loi sur la protection des données personnelles remonte
à 1991. Amendée en 1994, elle a été abrogée
par la
loi n° 67 du 26 octobre 1998
, qui s'efforce de
prendre en compte les évolutions technologiques et qui transpose la
directive 95/46/CE.
L'adoption de cette loi a nécessité la révision de
l'article 35 de la Constitution
, qui est
entièrement
consacré à l'utilisation de l'informatique
et qui comporte
sept
alinéas. Le premier énonce les droits que la loi doit
garantir à chacun : "
Tous les citoyens disposent du droit
d'accès aux données informatiques qui les concernent, ils peuvent
exiger leur rectification et leur mise à jour, ainsi que le droit de
connaître leur finalité (...)
". La principale
modification apportée à l'article 35 de la Constitution a
consisté à ajouter un alinéa sur les fichiers manuels et
à mentionner l'existence d'une autorité administrative
indépendante chargée de l'application de la loi sur la protection
des données.
Le champ d'application de la loi
La
loi de 1998 concerne tous les fichiers, publics ou privés, manuels ou
automatisés
, comportant des données personnelles relatives
aux
personnes physiques
. Elle s'applique quelle que soit la nature des
données, et prend donc en compte non seulement les données
écrites, mais également les enregistrements de sons et d'images.
La loi de 1998 a substitué la Commission nationale de protection des
données (CNPD) à l'organe du surveillance créé par
la loi de 1991, la CNPDPI.
ROYAUME-UNI
Afin
de transposer la directive 95/46/CE, le Royaume-Uni a adopté en 1998 une
nouvelle loi sur la protection des données
,
destinée
à remplacer la loi de 1984
.
La loi de 1998 n'entrera en vigueur que lorsque les textes nécessaires
à son application auront été publiés.
Le champ d'application de la loi
Elle
concerne les seules
personnes physiques
. Cependant,
le champ
d'application de la loi de 1998 est plus large que celui de la loi de 1984.
Alors que cette dernière ne visait que les fichiers
automatisés, qu'ils soient mis en oeuvre dans le
secteur
privé
ou dans le
secteur public
, la nouvelle loi s'applique
également à
certains fichiers manuels
:
- ceux où l'information est structurée par
référence aux individus, dans la mesure où les
renseignements relatifs à une personne donnée sont
aisément accessibles ;
- ceux qui sont accessibles au public, parmi lesquels les fichiers
scolaires et de santé.
La loi de 1998 s'applique à toutes les données personnelles,
quelle que soit leur nature, c'est-à-dire également aux
enregistrements sonores et visuels. De plus, elle inclut dans son champ
d'application les données comportant l'expression d'une opinion sur les
personnes.
Comme la loi de 1984, celle de 1998 comprend un certain nombre
d'
exemptions
. En particulier, les données relatives à la
prévention et à la détection des crimes et celles
concernant les procédures judiciaires en cours ainsi que les
informations utilisées dans la lutte contre la fraude fiscale sont
partiellement exclues du champ d'application de la loi : les principes de
loyauté et de licéité du traitement, de
non-révélation aux tiers, ainsi que le droit d'accès ne
leur sont pas applicables lorsque cette application pourrait nuire à la
lutte contre la criminalité ou contre la fraude fiscale.
D'autres textes garantissent l'accès de chacun aux données le
concernant
. C'est par exemple le cas de la loi de 1974 sur le crédit
à la consommation ou de celles de 1988 et de 1990 sur l'accès aux
dossiers médicaux.
LES DONNEES SENSIBLES
ALLEMAGNE
1) La définition
|
La loi
de 1990
|
L'avant-projet de loi
|
|
La
loi de 1990 n'établit aucune distinction entre les données
sensibles et les autres.
|
Reprenant la formulation de la directive, l'avant-projet de loi qualifie de " particulières " les données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses et philosophiques, à l'appartenance syndicale, à la santé ou à la vie sexuelle. |
2) Le traitement des données sensibles
|
|
L'avant-projet de loi
|
|
|
Il interdit la collecte, le traitement et l'utilisation de ces données, à moins que l'intéressé n'ait donné son consentement ou qu'un intérêt supérieur ne l'exige. Il peut s'agir de l'intérêt public (sécurité publique, protection de l'intérêt général, poursuites pénales ou recherches scientifiques) ou de la défense des intérêts vitaux de la personne concernée ou d'un tiers. |
ESPAGNE
1) La définition
|
La loi
organique de 1992
|
Le
projet de loi organique
|
|
La loi
de 1992 distingue deux catégories de données
"
spécialement protégées
" :
|
|
|
|
Il ajoute les données relatives à l'appartenance syndicale à la seconde catégorie de données " spécialement protégées ". |
2) Le traitement des données sensibles
|
La loi
organique de 1992
|
Le
projet de loi organique
|
|
La création de fichiers dans le seul but de stocker des informations susceptibles de révéler l'idéologie, la religion, les croyances, l'origine raciale ou la vie sexuelle est interdite. a) Les données qui font l'objet de la protection maximale
D'après l'article 16-2 de la Constitution "
nul ne
pourra être obligé de déclarer son idéologie, sa
religion ou ses croyances
".
b) Les données qui font l'objet de la protection intermédiaireSeul l'intérêt général, attesté par une disposition législative, ou le consentement de l'intéressé peuvent justifier leur collecte, leur traitement automatisé et leur transfert. |
|
|
|
Le projet de loi prévoit, à titre exceptionnel, le traitement automatisé des données sensibles lorsque cela est justifié par des raisons médicales. |
ITALIE
1) La définition
Les données sensibles sont définies à l'article 22-1 de la loi de 1996 comme " les données à caractère personnel aptes à révéler l'origine raciale ou ethnique, les convictions religieuses, philosophiques ou les opinions politiques, l'appartenance à des partis, syndicats, associations ou organisations à caractère religieux, philosophique, politique ou syndical, ainsi que l'état de santé et la vie sexuelle ".
2) Le traitement des données sensibles
Il
suppose le consentement écrit de l'intéressé ainsi que
l'autorisation de l'autorité de contrôle.
Cependant, une loi peut autoriser les organismes publics (à l'exception
de ceux qui ont une fonction économique) à traiter des
données sensibles. De plus, l'autorité de contrôle peut
autoriser le traitement des données relatives à l'état de
santé ou à la vie sexuelle lorsqu'un tel traitement permet
à l'intéressé de faire valoir ses droits à
l'occasion d'une procédure judiciaire.
PAYS-BAS
1) la définition
|
La loi
organique de 1988
|
Le
projet de loi
|
|
La loi de 1988 définit à l'article 7 les données sensibles comme celles relatives à la religion , aux convictions personnelles , à la race , aux opinions politiques , à la sexualité ou à la vie intime . Elle y inclut également les données médicales, psychologiques, pénales et disciplinaires . |
Il les définit à l'article 16 comme celles relatives à la religion , aux convictions personnelles , à la race , aux opinions politiques , à la santé , à la vie sexuelle , à l'appartenance à une association professionnelle , aux infractions pénales , ainsi que comme celles concernant un comportement illégal ou gênant, précédemment interdit. |
2) Le traitement des données sensibles
|
La loi
organique de 1988
|
Le
projet de loi
|
|
Le
règlement du 19 février 1993, pris en application de
l'article susmentionné pose le
principe de l'interdiction
du
traitement des données sensibles, sauf, d'une part, dans les cas qu'il
prévoit et, d'autre part, dans l'hypothèse d'une autorisation
législative.
|
Il pose
le principe général de l'interdiction du traitement des
données sensibles et l'assortit d'exceptions qui sont presque les
mêmes que celles du règlement du 19 février 1993.
|
PORTUGAL
1) La définition
La loi de 1998 les définit à l'article 7 comme relatives aux convictions philosophiques ou politiques , à l' appartenance partisane ou syndicale , à la foi religieuse , à la vie privée , à l' origine raciale ou ethnique , à la santé et à la vie sexuelle . Elle y inclut également les données génétiques .
2) Le traitement des données sensibles
Conformément à l'article 35-3 de la
Constitution
, selon lequel "
L'informatique ne peut être
utilisée pour le traitement de données concernant les convictions
philosophiques ou politiques, l'affiliation à un parti politique ou
à un syndicat, la foi religieuse ou la vie privée, à moins
qu'il ne s'agisse de données recueillies à des fins statistiques
qui ne permettront pas d'identifier les personnes auprès desquelles
elles ont été obtenues
", l'article 7 de la loi de
1998 pose le
principe général de l'interdiction
du
traitement des données sensibles. Il prévoit également des
dérogations.
Un tel traitement peut être autorisé par une disposition
législative ou par la CNDP lorsque, pour des raisons importantes
liées à l'intérêt général, ce
traitement est indispensable à l'exercice des attributions de son
responsable, ou lorsque le titulaire des données a donné son
consentement exprès. Dans les deux cas, le responsable du traitement
doit s'assurer que toutes les mesures de sécurité ont
été prises et que l'opération n'entraînera aucune
discrimination.
L'existence de l'une des conditions suivantes justifie également le
traitement des données sensibles :
- la protection des intérêts vitaux du titulaire des
données ou d'une autre personne, lorsque le titulaire est incapable de
donner son consentement ;
- le traitement est effectué par un organisme à but non lucratif
à finalité politique, philosophique, religieux ou syndical,
à condition que le traitement concerne les membres de cet organisme et
que les données ne soient pas communiquées à des tiers
sans le consentement des intéressés ;
- le traitement porte sur des données rendues publiques par leur
titulaire ;
- le traitement est nécessaire à l'exercice d'un droit pendant
une procédure judiciaire.
De plus, le traitement des données relatives à la santé et
à la vie sexuelle peut être justifié pour des raisons
médicales, à condition que la CNPD ait été
consultée préalablement.
ROYAUME-UNI
La loi de 1998 a introduit dans le droit anglais la notion de données sensibles , qui font l'objet d'une protection supplémentaire. En effet, la loi de 1984, sans définir explicitement la notion de données sensibles, prévoyait la possibilité pour le ministre de l'Intérieur de prendre des mesures réglementaires concernant quatre catégories données (origine raciale ; opinions politiques, religieuses ou autres croyances ; santé physique ou mentale et vie sexuelle ; condamnations pénales), mais cette faculté n'a jamais été utilisée.
1) La définition
Aux
termes de son article 2, la loi de 1998 considère comme
données sensibles celles qui comportent des informations
relatives :
- à l'origine raciale ou ethnique ;
- aux opinions politiques ;
- aux croyances, religieuses ou autres ;
- à l'appartenance syndicale ;
- à la santé physique ou mentale ;
- à la vie sexuelle ;
- aux antécédents pénaux, à l'implication dans une
procédure judiciaire pour une infraction réelle ou
supposée, ou au jugement du tribunal dans une telle affaire.
2) Le traitement des données sensibles
Dans son
annexe 3, la loi de 1998 prévoit tous les cas où le
traitement des données sensibles est possible.
Elle reprend pour l'essentiel les dispositions correspondantes de la directive
95/46 : consentement de l'intéressé, nécessité
imposée par la loi ou par le bon fonctionnement de la justice, par une
procédure judiciaire (même future), par des raisons
médicales...
Pour les
données relatives à l'origine raciale ou
ethnique
, elle prévoit également, dans le cadre de la
lutte contre les discriminations
, la possibilité de traitements
destinés à identifier l'existence de telles discriminations ou
à en suivre l'évolution.
LES FICHIERS DE POLICE JUDICIAIRE
ALLEMAGNE
|
Les
fonctions de police judiciaire sont exercées par les
polices
criminelles des différents Länder
ainsi que par
l'Office
fédéral de la police criminelle
(
Bundeskriminalamt
: BKA).
|
1) Le contenu des fichiers
La loi
confie au BKA le soin de rassembler et d'exploiter toutes les informations
nécessaires à l'accomplissement des missions de police
judiciaire. Par conséquent, elle l'autorise à collecter des
données personnelles sur :
- les accusés et leur entourage ;
- les suspects ;
- les témoins et les éventuels informateurs ;
- les victimes potentielles d'une future infraction ;
- les auteurs potentiels de graves infractions.
Cette liste de personnes susceptibles de figurer dans les fichiers du BKA est
limitative.
2) Les obligations des gestionnaires
Le système INPOL est alimenté et interrogé par le BKA, les polices criminelles des Länder, les autres services de police des Länder, la police des douanes et les administrations chargées de protéger les frontières.
a) Les principes généraux
Seules
les
données strictement nécessaires
peuvent être
enregistrées, modifiées et utilisées, ce qui implique
qu'elles doivent être effacées (ou au moins rendues inaccessibles)
lorsqu'elles ne sont plus utiles.
S'agissant en particulier des suspects, le traitement de leurs données
personnelles suppose l'existence de soupçons fondés. Pour ce qui
concerne les autres personnes (témoins, informateurs, victimes
potentielles...), la loi ne justifie le traitement de leurs données que
s'il revêt la plus haute importance pour les poursuites. De plus,
l'intéressé doit donner son accord (à moins que ceci ne
risque de nuire à l'enquête), et les données
concernées sont limitées à celles de l'état civil
(nom, lieu de naissance...).
Les administrations qui alimentent le système sont responsables de
l'exactitude et de la mise à jour des données.
b) Le règlement des fichiers
Chacun des fichiers du BKA doit faire l'objet d'un
règlement approuvé par
le ministère
fédéral de l'Intérieur et soumis au
Délégué fédéral pour la protection
des données
. Ce règlement doit comporter les indications
suivantes :
- description du fichier ;
- texte autorisant la création du fichier et objectif du
fichier ;
- personnes susceptibles d'être fichées ;
- nature des données enregistrées ;
- nature des données servant à l'exploitation du
fichier ;
- introduction des données ;
- conditions de transmission des données enregistrées,
destinataires potentiels et processus de transmission ;
- durée de conservation et périodicité de la
vérification de la pertinence des enregistrements.
La loi précise par ailleurs que cette périodicité ne
saurait dépasser dix ans pour des données relatives aux personnes
majeures, cinq ans s'agissant des jeunes (à partir de
quatorze ans) et deux ans pour les enfants. Cependant, lorsque la personne
n'est pas fichée comme coupable, mais à un autre titre
(témoin, indicateur ou victime potentielle...), cette durée est
abaissée à cinq ans pour les adultes et à trois ans pour
les jeunes. De plus, les données enregistrées sans le
consentement des intéressés ne peuvent être
conservées que pendant un an, une prolongation d'une année
étant possible si les circonstances qui avaient justifié
l'enregistrement n'ont pas disparu.
c) La transmission des données
Le BKA
peut transmettre aux autres polices fédérales et
régionales les données personnelles qu'il a enregistrées,
dans la mesure où ceci est nécessaire au bon déroulement
des missions du destinataire.
Les transmissions de données à d'autres administrations publiques
doivent être autorisées par un texte ou être absolument
nécessaires (au bon accomplissement d'une mission législative, au
bon déroulement d'une procédure judiciaire...).
Les transmissions à des destinataires de statut privé sont
possibles, à condition d'être justifiées de façon
très précise. Les procès-verbaux doivent alors être
conservés.
La mise en place d'un processus automatique de transmission des données
est permise, mais seulement lorsque la transmission est organisée pour
permettre le bon accomplissement de missions policières et que les
ministres de l'Intérieur de la Fédération et des
Länder ont donné leur accord. L'automatisation de la transmission
doit en outre être justifiée par le grand nombre des
données à transmettre ou par l'urgence.
d) Le rapprochement des fichiers
La loi
autorise le BKA à rapprocher les données avec celles qui sont
enregistrées :
- dans un fichier qu'il gère pour l'accomplissement de ses
missions ;
- dans un fichier que l'accomplissement de ses missions l'autorise à
consulter, à condition que ce rapprochement soit nécessaire
à l'accomplissement de l'une de ses missions.
3) Les droits des personnes fichées
Bien que
les fichiers du BKA soient régis par une loi spécifique, et non
par la loi fédérale sur la protection des données
personnelles, certaines des dispositions de cette dernière leur sont
applicables.
C'est en particulier le cas de l'article 19. Par conséquent, les
personnes dont les données ont été enregistrées
disposent du droit d'accès, à moins qu'un intérêt
supérieur ne s'y oppose (danger pour l'ordre public, préjudice
potentiel à un tiers...).
En revanche, l'article 20 de la même loi, relatif à la
correction des données erronées et à l'effacement de
celles qui ont été indûment collectées ou qui sont
devenues inutiles, ne s'applique pas aux fichiers du BKA. En effet, la loi sur
le BKA laisse aux administrations qui alimentent le système INPOL le
soin de veiller à l'exactitude des données et à la
suppression de celles qui ne sont plus utiles.
ESPAGNE
|
Les
fonctions de police judiciaire sont assumées par la police ou par la
garde civile, selon qu'elles sont exercées en milieu urbain ou en milieu
rural, mais dans les deux cas sous la responsabilité du ministère
de l'Intérieur.
|
1) Le contenu des fichiers
L'arrêté du 26 juillet 1994, tout comme les textes
ultérieurs qui l'ont modifié, précise la structure de
chacun des fichiers qu'il énumère. Il décrit
également les données personnelles qui y sont incluses.
Ainsi, le fichier PERPOL, géré par la Direction
générale de la police et consacré aux
antécédents des personnes auxquelles la police
s'intéresse, ne peut comporter que des données sur les personnes
physiques, espagnoles ou étrangères, qui ont fait l'objet d'un
avis de recherche, actuel ou ancien, qui ont été détenues
ou qui ont été impliquées dans des faits
délictueux, ou qui ont été condamnées par un
tribunal pénal. Pour chacune de ces personnes, seules les indications
suivantes, limitativement énumérées dans
l'arrêté, peuvent être enregistrées : race,
état de santé, vie sexuelle, infractions administratives et
pénales, document d'identité, nom et prénoms, adresse,
numéro de téléphone, empreintes digitales, signes
physiques particuliers, état civil, nom des parents, date et lieu de
naissance, description physique, sexe, nationalité, goûts et mode
de vie, formation et diplômes, emploi.
2) Les obligations des gestionnaires
L'arrêté précise également :
- la finalité de chaque fichier ;
- la procédure de collecte des données ;
- les institutions et organismes auxquels il est possible de transmettre
les données.
Par exemple, la gestion des antécédents à des fins
d'investigation policière constitue l'objectif du fichier PERPOL, et les
données ne peuvent être enregistrées par les gestionnaires
du fichier qu'à partir de documents administratifs (fiches de
signalement réalisées par la police scientifique,
décisions des tribunaux...). De plus, les données
enregistrées ne peuvent être transmises qu'aux institutions et aux
organismes officiels responsables de la sécurité publique.
En revanche, l'arrêté ne prévoit pas la durée de
conservation des données. Les dispositions générales de la
loi organique du 29 octobre 1992 s'appliquent donc : les
données personnelles doivent être supprimées lorsqu'elles
ont cessé d'être pertinentes ou nécessaires à
l'objectif qui a justifié leur enregistrement.
3) Les droits des personnes fichées
Pour chacun des fichiers, l'arrêté indique l'administration auprès de laquelle les personnes fichées peuvent exercer leur droit de rectification ou d'annulation. Pour le fichier PERPOL, il s'agit de la Direction générale de la police.
ITALIE
|
Bien
que l'article 4 de la loi sur la protection des données
personnelles exclue les fichiers de police judiciaire de son champ
d'application, ces derniers doivent cependant respecter certaines de ses
dispositions.
|
PAYS-BAS
|
La
police judiciaire constitue une des attributions de la police. Or, la loi de
1988 sur la protection des données ne s'applique pas à certains
fichiers, parmi lesquels ceux qui ont été constitués pour
l'accomplissement des tâches de la police. Le projet de loi de
transposition de la directive 95/46 comporte la même disposition.
|
1) Le contenu des fichiers
Ni la loi sur les fichiers de police, ni le règlement pris pour son application ne donne d'indications sur le contenu des fichiers de police. C'est le règlement de chaque fichier qui le précise.
2) Les obligations des gestionnaires
a) Les principes généraux
La
création d'un fichier de police n'est justifiée que si elle
correspond à un objectif précis, et dans la seule mesure
où elle est nécessaire au bon accomplissement d'une tâche
policière.
La loi de 1990 pose le principe de l'interdiction de l'enregistrement des
données sensibles dans les fichiers de police, à moins que ceci
ne soit nécessaire. Le règlement pris pour l'application de la
loi rappelle cette interdiction et son exception : le règlement du
fichier doit prévoir de façon explicite le traitement de ces
données sensibles.
Les gestionnaires doivent s'assurer que les données ont
été obtenues de façon régulière, qu'elles
sont exactes et complètes.
b) Le règlement des fichiers
Avant
toute utilisation d'un fichier de police, il est nécessaire de
rédiger un
règlement
,
qui est communiqué
à l'autorité de contrôle. Ce règlement doit
comporter des indications précises
, notamment sur :
- l'objectif du fichier ;
- les groupes de personnes et les catégories de données
concernées ;
- les cas dans lesquels les données sont retirées ;
- la destruction des données retirées ;
- les éventuels liens faits avec d'autres fichiers ;
- les moyens pour les personnes fichées de prendre connaissance des
données enregistrées ;
- les personnes compétentes pour introduire et modifier les
données saisies.
Toutes les personnes qui participent au fonctionnement du fichier doivent
respecter le règlement.
c) La transmission des données
La loi précise aussi que les données des fichiers de police ne peuvent être fournies qu'à certaines personnes, essentiellement aux fonctionnaires de police, aux gendarmes, aux autres officiers de police judiciaire des organismes publics et au ministère public.
d) L'interconnexion des données
La loi n'exclut pas l'interconnexion des fichiers de police avec d'autres fichiers de données personnelles lorsqu'elle est nécessaire à la bonne exécution des fonctions policières. Une telle interconnexion doit être prévue par le règlement du fichier. De plus, le règlement pris en février 1991 pour l'exécution de la loi sur les fichiers de police précise que les interconnexions ne peuvent être organisées qu'avec d'autres fichiers de police ou avec les fichiers d'établissements publics d'enseignement, de santé ou de services sociaux. Une telle interconnexion doit faire l'objet d'un procès-verbal comportant toutes les caractéristiques de l'opération. Le procès-verbal doit être conservé pendant deux ans.
3) Les droits des personnes fichées
Elles
peuvent, sur demande, obtenir communication, dans un délai de
quatre semaines, des données enregistrées les concernant,
ainsi que de l'origine de ces données. Cette information leur est
fournie par écrit.
Les données ne sont pas communiquées dans l'hypothèse
où ceci risque de nuire au bon déroulement des missions de la
police ou à des tiers.
Sur demande des intéressés, les gestionnaires ont l'obligation de
corriger, compléter ou supprimer certaines données.
Lorsque les gestionnaires méconnaissent ces droits d'accès et de
rectification, les intéressés peuvent saisir le tribunal de
grande instance.
PORTUGAL
|
Sous
l'empire de la loi de 1991, les données relatives aux
"
soupçons
d'activités illicites
"
constituaient des données sensibles.
|
1) Le contenu des fichiers
Le
décret rappelle que la
collecte des données doit être
limitée à ce qui est strictement nécessaire
"
à la prévention d'un danger concret ou à la
répression d'infractions pénales
déterminées
".
Il cite les
sept fichiers dont la police judiciaire
dispose. Six d'entre
eux sont utilisés au niveau national :
- ouverture des procédures ;
- épaves automobiles ;
- suspects ;
- suspects dans les affaires de crime organisé, de toxicomanie et
d'infractions économico-financières ;
- personnes disparues ;
- examens du laboratoire de la police scientifique.
Le septième est propre à la région de Braga.
Le décret énumère de façon limitative les
données susceptibles d'être enregistrées
. Ainsi, le
fichier des suspects peut contenir les données suivantes :
- nom et sobriquet ;
- date et lieu de naissance ;
- filiation ;
- sexe ;
- état civil ;
- couleur des yeux et stature ;
- adresse ;
- profession ;
- qualification ;
- numéros du rapport photographique et du rapport de
dactyloscopie ;
- numéro et catégorie de la pièce d'identité
référencée ;
- signes physiques particuliers ;
- références policières.
2) Les obligations des gestionnaires
Pour
chacun des sept fichiers mentionnés plus haut, le décret
précise également :
- les possibilités d'interconnexion avec les autres fichiers de la
police judiciaire ;
- la durée de conservation des enregistrements.
Les possibilités d'interconnexion sont limitées : les
fichiers de la police judiciaire peuvent être interconnectés
seulement entre eux. De plus, le réseau informatique de la police
judiciaire n'est accessible qu'à un groupe limité d'utilisateurs.
Chacun de ces utilisateurs dispose d'un accès protégé
personnalisé et d'étendue variable selon les fonctions qu'il
occupe.
La durée de conservation des enregistrements varie en fonction des
finalités des différents fichiers. Ainsi, les données
contenues dans le fichier relatif aux ouvertures des procédures peuvent
être gardées pendant trente ans, tandis que celles du fichier
des suspects dans les affaires de banditisme peuvent être
conservées pendant une durée de dix ans si elles ont
été collectées au cours de la procédure et de trois
ans dans les autres cas.
Le décret prévoit aussi la suppression des données
dès que les motifs de leur enregistrement ont disparu.
3) Les droits des personnes fichées
Conformément aux dispositions de la loi de 1991, le
décret prévoit le droit d'accès des personnes
fichées aux données les concernant, ainsi que la
possibilité pour elles de faire corriger ou compléter les
informations inexactes. Le secret d'Etat ou le secret de la justice peuvent
cependant empêcher l'application de ces dispositions.
Cette restriction justifie que les modalités du droit d'accès
à ce type de données aient été modifiées par
la loi de 1998 : l'article 11 de la loi sur la protection des
données personnelles prévoit que
le droit d'accès des
personnes enregistrées dans les fichiers de la police judiciaire
s'exerce par l'intermédiaire de la CNPD
. De plus, dans
l'hypothèse où la communication des données risque de
nuire à la prévention de la délinquance ou aux poursuites,
la CNPD se borne à informer la personne des démarches
effectuées, sans lui en donner le résultat.
ROYAUME-UNI
|
Reprenant la formulation de la loi de 1984, la loi de 1998 prévoit que les données relatives à la prévention ou à la détection des infractions ainsi qu'à l'arrestation ou à la poursuite des délinquants sont dispensées de l'application de certaines de ses dispositions , dans la mesure où ces dernières risqueraient de nuire au bon fonctionnement de la justice. |
Le
droit d'accès n'est pas applicable à ces données.
Les
principes de loyauté et de non-divulgation à des tiers ne leur
sont pas applicables non plus. Les gestionnaires des fichiers de police
judiciaire peuvent donc obtenir leurs données par tout moyen. Cependant
la non-application du principe de loyauté ne doit pas empêcher que
ces données ne soient traitées que dans les limites de l'absolue
nécessité.
De plus, les données concernant les suspects, bien que
considérées comme sensibles, peuvent faire l'objet d'un
traitement dans le cadre d'une procédure judiciaire, même future,
ou lorsque cela est justifié par le bon fonctionnement de la justice.
(1) A l'époque, il y avait un seul ministère, mais il y en a deux actuellement.