Allez au contenu, Allez à la navigation



 

LA PROTECTION DES DONNEES PERSONNELLES

Service des Affaires Européennes

Table des matières





NOTE DE SYNTHESE

La directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, adoptée le 24 octobre 1995 et qui aurait dû être transposée en droit français avant le 24 octobre 1998, le sera prochainement. La loi française 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plusieurs fois modifiée depuis son adoption, devrait alors être remplacée par un nouveau texte.

La réforme législative française fournit l'occasion de faire le point sur la transposition de la directive 95/46/CE chez nos principaux voisins. Comme la transposition s'accompagne, dans la plupart des pays concernés, d'une refonte complète de la législation sur la protection des données personnelles, elle donne également l'occasion d'examiner deux points particuliers : les dispositions applicables aux données sensibles, et celles qui régissent les fichiers de police judiciaire.

L'analyse, qui porte sur six des principaux pays européens (Allemagne, Espagne, Italie, Pays-Bas, Portugal et Royaume-Uni), fait apparaître que :

à ce jour, l'Italie, le Portugal et le Royaume-Uni sont les seuls pays à avoir transposé la directive 95/46/CE ;

- la transposition de la directive se traduira par l'uniformisation presque totale du régime juridique des données sensibles dans l'Union européenne ;

- les fichiers de police judiciaire sont régis par des dispositions dérogatoires assurant au citoyen un degré de protection variable d'un pays à l'autre.

1) L'Italie, le Portugal et le Royaume-Uni sont les seuls pays qui ont transposé la directive 95/46/CE


a) La transposition est achevée en Italie, au Portugal et au Royaume-Uni

En Italie, il n'existait pas de loi sur la protection des données personnelles avant la transposition, qui a été réalisée par l'adoption de la loi du 31 décembre 1996 portant protection des personnes et des organismes publics et privés à l'égard du traitement de données à caractère personnel. Comme son nom l'indique, la loi italienne concerne les personnes physiques et les personnes morales. Par ailleurs, elle s'applique aux fichiers automatisés et aux fichiers manuels. Cependant, elle exclut certains traitements réalisés par les administrations publiques, et notamment par celle de la justice.

En revanche, le Portugal et le Royaume-Uni ont dû modifier leur législation pour transposer la directive 95/46/CE. Tous deux l'ont fait en 1998. Au Portugal, la transposition a exigé une révision constitutionnelle et s'est traduite par l'abrogation de la loi précédente, qui datait de 1991. La nouvelle loi portugaise concerne, quel que soit leur support, tous les fichiers, publics ou privés, manuels ou automatisés, comportant des données personnelles relatives aux personnes physiques. La nouvelle loi anglaise, qui concerne également les seules personnes physiques, a un champ d'application plus large que la loi précédente, qui datait de 1984 et qui ne visait que les fichiers automatisés. La loi de 1998 s'applique en effet aussi à certains fichiers manuels. De plus, elle vise toutes les données personnelles, quelles qu'elles soient (données textuelles sur support électronique, enregistrements sonores, images vidéo...). Dans l'attente de la publication des textes réglementaires nécessaires à son application, la loi de 1998 n'est pas encore entrée en vigueur.

b) La transposition devrait être facilement réalisée en Espagne et aux Pays-Bas

En effet, la protection des données personnelles est régie en Espagne par une loi organique de 1992, qui prend en compte la plupart des exigences de la directive, car elle a été élaborée à partir du projet de directive. C'est pourquoi la transposition s'effectuera par une simple modification de la loi de 1992. Un projet de loi organique qui élargit le champ d'application de la protection des données personnelles en limitant le nombre des fichiers jouissant d'un statut particulier a été déposé à cet effet au cours de l'été dernier.

Aux Pays-Bas, le gouvernement a déposé un projet de loi relatif à la protection des données personnelles. Après son adoption, ce texte devrait remplacer la loi actuelle, qui date de 1988. Le projet de loi du gouvernement néerlandais est assez proche de la directive. Il vise tous les fichiers, automatisés ou manuels, comprenant des données relatives aux personnes physiques, mais exclut certains fichiers publics, parmi lesquels ceux de la police, qui sont régis par une autre loi.

c) En Allemagne, le gouvernement social-démocrate a préparé un avant-projet de loi

L'Allemagne avait été, avec la loi fédérale de 1977 portant protection contre l'emploi abusif de données d'identification personnelle, le premier pays à se doter d'un texte général dans ce domaine. Il a été remplacé en 1990 par une nouvelle loi, qui ne s'applique que de façon subsidiaire, car de nombreuses lois sectorielles régissent spécifiquement certaines catégories de données. De plus, chaque Land possède sa propre législation pour ce qui concerne les fichiers publics. Le gouvernement allemand envisage de transposer la directive avant la fin de l'année 2000, puis de moderniser l'ensemble du droit de la protection des données. Le ministère de l'Intérieur a donc publié en mars 1999 un avant-projet de loi, qui a été modifié en juillet et qui fait encore l'objet de négociations.

2) La transposition de la directive 95/46/CE permettra d'uniformiser presque complètement le régime juridique des données sensibles

La directive 95/46/CE définit les données sensibles en prévoyant l'interdiction du " traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale " ainsi que de celles " relatives à la santé et à la vie sexuelle ". Elle assortit cette interdiction de tout traitement de quelques exceptions, parmi lesquelles le consentement explicite de l'intéressé et l'autorisation de la loi, du règlement ou de l'autorité de contrôle.

A l'exception de la loi allemande de 1977, qui ignore la notion de données sensibles, tous les textes actuellement en vigueur prévoient des garanties similaires et très proches de celles contenues dans la directive.

Il convient néanmoins de souligner que la loi espagnole de 1992 distingue deux groupes de données sensibles : celles qui, en vertu de la Constitution, qui énonce que " nul ne pourra être obligé de déclarer son idéologie, sa religion et ses croyances ", font l'objet d'une protection maximale, et celles qui font l'objet d'une protection intermédiaire. Le traitement des données du premier groupe requiert en effet, en toutes circonstances, le consentement exprès et écrit de l'intéressé, tandis que celles du second obéissent aux règles générales de la directive. Le projet de loi conserve cette distinction.

La loi anglaise de 1984 ne définissait pas explicitement la notion de données sensibles. Elle prévoyait seulement que le ministre de l'Intérieur pouvait prendre des mesures réglementaires concernant certains groupes de données (origine raciale, opinions politiques, santé...), mais cette faculté n'a jamais été utilisée. C'est donc grâce à la transposition de la directive 95/46/CE que la notion de données sensibles est entrée dans le droit anglais.

3) Les fichiers de police judiciaire sont régis par des dispositions dérogatoires assurant au citoyen un degré de protection variable d'un pays à l'autre

a) Les dispositions allemandes, néerlandaises et portugaises font largement intervenir l'autorité de contrôle

D'après la loi allemande sur l'Office fédéral de la police criminelle, chacun des fichiers de police est régi par un règlement qui prévoit les principales caractéristiques desdits fichiers (personnes susceptibles d'être fichées, données pouvant être enregistrées, conditions de transmission et durée de conservation des données...). Ces règlements doivent être approuvés par le ministre fédéral de l'Intérieur et soumis au Délégué fédéral pour la protection des données. La loi prévoit aussi une durée de conservation des données variable en fonction de la nature de ces données et de l'âge de la personne concernée, mais toujours inférieure à dix ans. De plus, les personnes fichées disposent du droit d'accès aux données les concernant.

La loi néerlandaise sur les fichiers de police comporte des dispositions similaires : le règlement propre à chaque fichier doit être communiqué à l'autorité de contrôle avant toute utilisation. De plus, les personnes fichées disposent du droit d'accès et de rectification ; elles peuvent saisir le tribunal de grande instance si le gestionnaire du fichier méconnaît ces droits.

Le décret portugais sur les fichiers informatiques de la police judiciaire semble également assez protecteur des droits du citoyen : il cite les six fichiers utilisés au niveau national et énumère de façon limitative les données qu'ils peuvent contenir. Il prévoit également des durées de conservation des données variables selon la nature des différents fichiers. Par ailleurs, le droit d'accès à ces données s'exerce par l'intermédiaire de la commission nationale pour la protection des données personnelles.

b) En Espagne, en Italie et au Royaume-Uni, l'autorité de contrôle ne joue pas de rôle particulier

En Espagne, les fichiers de la police sont, comme tous ceux des administrations publiques, régis par un arrêté qui mentionne, pour chaque fichier, son contenu ainsi que les obligations du gestionnaire. La liste des données susceptibles d'être enregistrées est donc indiquée, la procédure de collecte des données précisée et l'ensemble des destinataires potentiels des données défini. Pour les personnes fichées, les droits d'accès et de rectification s'exercent auprès de l'administration désignée par l'arrêté : les Directions générales de la police et de la garde civile pour la plupart des fichiers de police.

En revanche, les lois anglaise et italienne sur la protection des données personnelles sont beaucoup moins précises sur les fichiers de police. Au Royaume-Uni, la loi privilégie clairement le bon fonctionnement de la justice, justifiant ainsi la non-application du droit d'accès et des principes de loyauté et de non-divulgation à des tiers. En Italie, elle exclut les fichiers de police judiciaire de son champ d'application. Elle les soumet cependant au respect des principes essentiels (loyauté, adéquation, sécurité, utilisation limitée...), mais ne reconnaît aucun droit d'accès aux personnes dont les données sont enregistrées.

LES PRINCIPAUX TEXTES

ALLEMAGNE

La loi fédérale du 20 décembre 1990 sur la protection des données, modifiée ultérieurement, a remplacé la loi du 21 janvier 1977 portant protection contre l'emploi abusif de données d'identification personnelle dans le cadre du traitement des données. Avec la loi fédérale de 1977, l'Allemagne avait été le premier pays à se doter d'un texte général sur la protection des données personnelles.

L'abrogation de la loi de 1977 fut notamment la conséquence de l'arrêt rendu par la Cour constitutionnelle en 1983 sur la loi relative au recensement de la population. La Cour constitutionnelle dégagea en effet à cette occasion un nouveau droit constitutionnel : le droit à " l'autodétermination informationnelle ", c'est-à-dire le droit pour chaque individu de décider lui-même de la communication et de l'emploi des informations le concernant.

1) Le champ d'application de la loi

La loi de 1990 protège les données personnelles relatives aux personnes physiques, dans la mesure où elles ne font pas l'objet de dispositions particulières dans d'autres lois :

- de nombreuses lois fédérales sectorielles (code social, code de la route, loi sur le fichier central des étrangers, loi sur l'Office fédéral de la police criminelle...) s'appliquent spécifiquement à certaines catégories de données ;

chaque Land possède sa propre législation applicable au secteur public.

La loi de 1990 s'applique de façon différente au secteur public et au secteur privé.

Pour le secteur public, elle couvre non seulement les traitements automatisés, mais aussi tous les documents nominatifs, quelle que soit leur nature. Elle s'applique également aux enregistrements de sons et d'images. De plus, la protection des données commence au moment de leur collecte. En vertu du principe de finalité, cette dernière n'est licite que si la connaissance des données est nécessaire à l'exécution des missions de l'organisme concerné.

En revanche, pour le secteur privé, la protection est limitée aux seuls fichiers, automatisés ou manuels. Les informations à caractère personnel gérées sous une autre forme (listes par exemple) se trouvent en dehors du domaine de la protection des données.

2) La transposition de la directive 95/46/CE

Dans la perspective de la transposition de la directive, le gouvernement Kohl avait préparé un avant-projet de loi tendant à modifier la loi de 1990.

Le gouvernement social-démocrate envisage de procéder en deux temps : un premier texte permettrait de transposer la directive et de régler les problèmes posés par les cartes à puces et la vidéo-surveillance. Dans une seconde phase, tout le droit de la protection des données serait modernisé.

En mars 1999, le ministère de l'Intérieur a publié un avant-projet de loi, qui a été modifié en juillet 1999. Dans sa version actuelle, le texte introduit la notion de " stricte limitation de l'enregistrement à ce qui est nécessaire " et préconise l'utilisation de tous les moyens susceptibles de garantir l'anonymat des personnes. Il conserve la distinction entre secteur privé et secteur public. Cependant, il étend au premier le principe de finalité et crée une obligation de déclaration de tous les traitements automatisés.

ESPAGNE

L'article 18-4 de la Constitution énonce : " La loi limitera l'usage de l'informatique pour garantir l'honneur et l'intimité personnelle et familiale des citoyens et le plein exercice de leurs droits ".

La protection des données personnelles est régie par la loi organique du 29 octobre 1992, qui a été élaborée à partir du projet de directive.

1) Le champ d'application de la loi

Seules les données personnelles relatives aux personnes physiques sont protégées par la loi.

Celle-ci s'applique aux fichiers automatisés des secteurs public et privé, ainsi qu'à tous les autres enregistrements susceptibles de faire l'objet d'un traitement automatisé.

Plusieurs fichiers restent hors du champ d'application de la loi. C'est en particulier le cas des fichiers électoraux, de ceux qui relèvent de la législation sur les informations classées et du registre central des délinquants.

2) La transposition de la directive 95/46/CE

Le projet de loi organique tendant à modifier la loi de 1992 a été publié au Bulletin officiel des Cortes le 31 août 1998. Il a été approuvé en séance publique par le Congrès des députés le 30 septembre 1999, puis transmis au Sénat.

Le projet élargit le champ d'application de la protection des données personnelles en limitant le nombre des fichiers jouissant d'un statut particulier. Il prévoit cependant que les fichiers établis dans le cadre des enquêtes sur le terrorisme et les formes graves de criminalité demeurent exclus du champ d'application de la future loi sur la protection des données personnelles.

ITALIE

Il n'existait pas de loi sur la protection des données personnelles avant la transposition de la directive 95/46/CE, qui a été réalisée par l'adoption de la loi 675 du 31 décembre 1996 portant protection des personnes et des organismes publics et privés à l'égard du traitement de données à caractère personnel.

La loi 676 a été adoptée en même temps. Elle donnait pendant dix-huit mois délégation au gouvernement, d'une part, pour effectuer par décret des modifications au texte de base et, d'autre part, pour prendre des textes réglementaires complétant le texte de base dans plusieurs domaines (traitement des données à des fins de recherche, règles particulières à certains secteurs comme les télécommunications ou la sécurité sociale, attribution d'un identifiant unique, formes simplifiées de notification, application de la loi aux journalistes et au secteur public...).

En application de la loi 676, la loi 675 a été modifiée à deux reprises et plusieurs décrets-lois sectoriels ont été pris. La période de délégation législative prévue par la loi 676 étant échue le 23 juillet 1998 sans que tous les décrets-lois prévus aient été adoptés, le Parlement l'a prolongée jusqu'au 31 juillet 1999.

Le champ d'application de la loi

La loi 675 concerne les personnes physiques et les personnes morales et s'applique aux fichiers automatisés comme aux fichiers manuels.

En revanche, elle exclut un certain nombre de traitements réalisés au sein du secteur public, parmi lesquels ceux qui incluent les données couvertes par le secret d'Etat et ceux qui sont effectués par les services du casier judiciaire ou dans le cadre de procédures pénales en cours. Cependant, cette exclusion n'empêche pas l'application des principes fondamentaux (licéité, loyauté, finalité, exactitude, sécurité...).

PAYS-BAS

La protection des données personnelles est régie par la loi du 28 décembre 1988, modifiée à plusieurs reprises depuis son adoption.

1) Le champ d'application de la loi

La loi de 1988 s'applique aux fichiers automatisés et aux fichiers manuels, dans la mesure où ils sont constitués pour une consultation méthodique. Elle ne protège que les personnes physiques. Elle inclut les traitements du secteur public et du secteur privé.

Certains fichiers sont expressément exclus du champ d'application de la loi. C'est notamment le cas des fichiers de police et de la justice, ainsi que des registres communaux de population. Des lois particulières contiennent les dispositions qui leur sont applicables.

En application de l'article 7 de la loi de 1988, un règlement sur les données sensibles a été pris en février 1993.

2) La transposition de la directive 95/46/CE

Le 2 décembre 1998, le gouvernement a déposé à la seconde chambre un projet de loi relatif à la protection des données personnelles. L'examen du projet a été différé plusieurs fois. Le 27 septembre 1999, la seconde chambre a décidé le report de cet examen au mois de novembre.

Assez proche de la directive dans sa rédaction, le projet vise tous les fichiers, automatisés ou manuels, comprenant des données relatives aux personnes physiques.

Son champ d'application exclut certains fichiers publics, notamment ceux de la police et de la justice (parmi lesquels le casier judiciaire), ainsi que les registres communaux de population.

PORTUGAL

La première loi sur la protection des données personnelles remonte à 1991. Amendée en 1994, elle a été abrogée par la loi n° 67 du 26 octobre 1998, qui s'efforce de prendre en compte les évolutions technologiques et qui transpose la directive 95/46/CE.

L'adoption de cette loi a nécessité la révision de l'article 35 de la Constitution, qui est entièrement consacré à l'utilisation de l'informatique et qui comporte sept alinéas. Le premier énonce les droits que la loi doit garantir à chacun : " Tous les citoyens disposent du droit d'accès aux données informatiques qui les concernent, ils peuvent exiger leur rectification et leur mise à jour, ainsi que le droit de connaître leur finalité (...) ". La principale modification apportée à l'article 35 de la Constitution a consisté à ajouter un alinéa sur les fichiers manuels et à mentionner l'existence d'une autorité administrative indépendante chargée de l'application de la loi sur la protection des données.

Le champ d'application de la loi

La loi de 1998 concerne tous les fichiers, publics ou privés, manuels ou automatisés, comportant des données personnelles relatives aux personnes physiques. Elle s'applique quelle que soit la nature des données, et prend donc en compte non seulement les données écrites, mais également les enregistrements de sons et d'images.

La loi de 1998 a substitué la Commission nationale de protection des données (CNPD) à l'organe du surveillance créé par la loi de 1991, la CNPDPI.

ROYAUME-UNI

Afin de transposer la directive 95/46/CE, le Royaume-Uni a adopté en 1998 une nouvelle loi sur la protection des données, destinée à remplacer la loi de 1984.

La loi de 1998 n'entrera en vigueur que lorsque les textes nécessaires à son application auront été publiés.

Le champ d'application de la loi

Elle concerne les seules personnes physiques. Cependant, le champ d'application de la loi de 1998 est plus large que celui de la loi de 1984. Alors que cette dernière ne visait que les fichiers automatisés, qu'ils soient mis en oeuvre dans le secteur privé ou dans le secteur public, la nouvelle loi s'applique également à certains fichiers manuels :

- ceux où l'information est structurée par référence aux individus, dans la mesure où les renseignements relatifs à une personne donnée sont aisément accessibles ;

- ceux qui sont accessibles au public, parmi lesquels les fichiers scolaires et de santé.

La loi de 1998 s'applique à toutes les données personnelles, quelle que soit leur nature, c'est-à-dire également aux enregistrements sonores et visuels. De plus, elle inclut dans son champ d'application les données comportant l'expression d'une opinion sur les personnes.

Comme la loi de 1984, celle de 1998 comprend un certain nombre d'exemptions. En particulier, les données relatives à la prévention et à la détection des crimes et celles concernant les procédures judiciaires en cours ainsi que les informations utilisées dans la lutte contre la fraude fiscale sont partiellement exclues du champ d'application de la loi : les principes de loyauté et de licéité du traitement, de non-révélation aux tiers, ainsi que le droit d'accès ne leur sont pas applicables lorsque cette application pourrait nuire à la lutte contre la criminalité ou contre la fraude fiscale.

D'autres textes garantissent l'accès de chacun aux données le concernant. C'est par exemple le cas de la loi de 1974 sur le crédit à la consommation ou de celles de 1988 et de 1990 sur l'accès aux dossiers médicaux.

LES DONNEES SENSIBLES

ALLEMAGNE

1) La définition


La loi de 1990

---

L'avant-projet de loi

---

La loi de 1990 n'établit aucune distinction entre les données sensibles et les autres.

En effet, le législateur a préféré ne pas limiter d'emblée les traitements particulièrement délicats, mais laisser aux autorités de contrôle et aux tribunaux la possibilité d'apprécier au cas par cas.

Reprenant la formulation de la directive, l'avant-projet de loi qualifie de " particulières " les données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses et philosophiques, à l'appartenance syndicale, à la santé ou à la vie sexuelle.

2) Le traitement des données sensibles



 

L'avant-projet de loi

---

 

Il interdit la collecte, le traitement et l'utilisation de ces données, à moins que l'intéressé n'ait donné son consentement ou qu'un intérêt supérieur ne l'exige. Il peut s'agir de l'intérêt public (sécurité publique, protection de l'intérêt général, poursuites pénales ou recherches scientifiques) ou de la défense des intérêts vitaux de la personne concernée ou d'un tiers.

ESPAGNE

1) La définition


La loi organique de 1992

---

Le projet de loi organique

---

La loi de 1992 distingue deux catégories de données " spécialement protégées " :

- les données relatives à l'idéologie, à la religion et aux croyances font l'objet d'une protection maximale ;

- les données relatives à l'origine raciale, à la santé ou à la vie sexuelle font l'objet d'une protection intermédiaire.

Elle prévoit un régime spécifique pour les données concernant les infractions pénales ou administratives.

 

Il ajoute les données relatives à l'appartenance syndicale à la seconde catégorie de données " spécialement protégées ".

2) Le traitement des données sensibles



La loi organique de 1992

---

Le projet de loi organique

---

La création de fichiers dans le seul but de stocker des informations susceptibles de révéler l'idéologie, la religion, les croyances, l'origine raciale ou la vie sexuelle est interdite.

a) Les données qui font l'objet de la protection maximale

D'après l'article 16-2 de la Constitution " nul ne pourra être obligé de déclarer son idéologie, sa religion ou ses croyances ".

Par conséquent, lors de la collecte de telles données, toute personne doit être informée de la possibilité qu'elle a de refuser son concours. De plus, son consentement exprès et écrit est nécessaire pour le traitement automatisé de ces données.

b) Les données qui font l'objet de la protection intermédiaire

Seul l'intérêt général, attesté par une disposition législative, ou le consentement de l'intéressé peuvent justifier leur collecte, leur traitement automatisé et leur transfert.


 

Le projet de loi prévoit, à titre exceptionnel, le traitement automatisé des données sensibles lorsque cela est justifié par des raisons médicales.

ITALIE

1) La définition

Les données sensibles sont définies à l'article 22-1 de la loi de 1996 comme " les données à caractère personnel aptes à révéler l'origine raciale ou ethnique, les convictions religieuses, philosophiques ou les opinions politiques, l'appartenance à des partis, syndicats, associations ou organisations à caractère religieux, philosophique, politique ou syndical, ainsi que l'état de santé et la vie sexuelle ".

2) Le traitement des données sensibles

Il suppose le consentement écrit de l'intéressé ainsi que l'autorisation de l'autorité de contrôle.

Cependant, une loi peut autoriser les organismes publics (à l'exception de ceux qui ont une fonction économique) à traiter des données sensibles. De plus, l'autorité de contrôle peut autoriser le traitement des données relatives à l'état de santé ou à la vie sexuelle lorsqu'un tel traitement permet à l'intéressé de faire valoir ses droits à l'occasion d'une procédure judiciaire.

PAYS-BAS

1) la définition


La loi organique de 1988

---

Le projet de loi

---

La loi de 1988 définit à l'article 7 les données sensibles comme celles relatives à la religion, aux convictions personnelles, à la race, aux opinions politiques, à la sexualité ou à la vie intime. Elle y inclut également les données médicales, psychologiques, pénales et disciplinaires.

Il les définit à l'article 16 comme celles relatives à la religion, aux convictions personnelles, à la race, aux opinions politiques, à la santé, à la vie sexuelle, à l'appartenance à une association professionnelle, aux infractions pénales, ainsi que comme celles concernant un comportement illégal ou gênant, précédemment interdit.

2) Le traitement des données sensibles



La loi organique de 1988

---

Le projet de loi

---

Le règlement du 19 février 1993, pris en application de l'article susmentionné pose le principe de l'interdiction du traitement des données sensibles, sauf, d'une part, dans les cas qu'il prévoit et, d'autre part, dans l'hypothèse d'une autorisation législative.

Indépendamment de quelques cas particuliers (fichiers de leurs propres membres tenus par les associations confessionnelles ou par les partis politiques ; données médicales, psychologiques, relatives à la sexualité ou au comportement intime dans des fichiers de services sociaux ; enregistrement du pays natal et de celui des parents ou des grands-parents afin de prendre des mesures de lutte contre la discrimination ethnique ou culturelle...), le règlement justifie l'enregistrement des données sensibles quand il est requis par une obligation législative, par une décision légitimement demandée par l'intéressé et que ce dernier a donné son accord écrit, quand les intérêts de la personne concernée l'exigent -à moins qu'elle ne s'y soit opposée ou que l'opération ne porte préjudice de façon disproportionnée à sa vie privée- et quand il est justifié par des recherches scientifiques ou statistiques.

Il pose le principe général de l'interdiction du traitement des données sensibles et l'assortit d'exceptions qui sont presque les mêmes que celles du règlement du 19 février 1993.

Il prévoit également que les données pénales puissent être traitées par les organes que la loi a chargés de l'application du droit pénal.

PORTUGAL

1) La définition

La loi de 1998 les définit à l'article 7 comme relatives aux convictions philosophiques ou politiques, à l'appartenance partisane ou syndicale, à la foi religieuse, à la vie privée, à l'origine raciale ou ethnique, à la santé et à la vie sexuelle. Elle y inclut également les données génétiques.

2) Le traitement des données sensibles

Conformément à l'article 35-3 de la Constitution, selon lequel " L'informatique ne peut être utilisée pour le traitement de données concernant les convictions philosophiques ou politiques, l'affiliation à un parti politique ou à un syndicat, la foi religieuse ou la vie privée, à moins qu'il ne s'agisse de données recueillies à des fins statistiques qui ne permettront pas d'identifier les personnes auprès desquelles elles ont été obtenues ", l'article 7 de la loi de 1998 pose le principe général de l'interdiction du traitement des données sensibles. Il prévoit également des dérogations.

Un tel traitement peut être autorisé par une disposition législative ou par la CNDP lorsque, pour des raisons importantes liées à l'intérêt général, ce traitement est indispensable à l'exercice des attributions de son responsable, ou lorsque le titulaire des données a donné son consentement exprès. Dans les deux cas, le responsable du traitement doit s'assurer que toutes les mesures de sécurité ont été prises et que l'opération n'entraînera aucune discrimination.

L'existence de l'une des conditions suivantes justifie également le traitement des données sensibles :

- la protection des intérêts vitaux du titulaire des données ou d'une autre personne, lorsque le titulaire est incapable de donner son consentement ;

- le traitement est effectué par un organisme à but non lucratif à finalité politique, philosophique, religieux ou syndical, à condition que le traitement concerne les membres de cet organisme et que les données ne soient pas communiquées à des tiers sans le consentement des intéressés ;

- le traitement porte sur des données rendues publiques par leur titulaire ;

- le traitement est nécessaire à l'exercice d'un droit pendant une procédure judiciaire.

De plus, le traitement des données relatives à la santé et à la vie sexuelle peut être justifié pour des raisons médicales, à condition que la CNPD ait été consultée préalablement.

ROYAUME-UNI

La loi de 1998 a introduit dans le droit anglais la notion de données sensibles, qui font l'objet d'une protection supplémentaire. En effet, la loi de 1984, sans définir explicitement la notion de données sensibles, prévoyait la possibilité pour le ministre de l'Intérieur de prendre des mesures réglementaires concernant quatre catégories données (origine raciale ; opinions politiques, religieuses ou autres croyances ; santé physique ou mentale et vie sexuelle ; condamnations pénales), mais cette faculté n'a jamais été utilisée.

1) La définition

Aux termes de son article 2, la loi de 1998 considère comme données sensibles celles qui comportent des informations relatives :

- à l'origine raciale ou ethnique ;

- aux opinions politiques ;

- aux croyances, religieuses ou autres ;

- à l'appartenance syndicale ;

- à la santé physique ou mentale ;

- à la vie sexuelle ;

- aux antécédents pénaux, à l'implication dans une procédure judiciaire pour une infraction réelle ou supposée, ou au jugement du tribunal dans une telle affaire.

2) Le traitement des données sensibles

Dans son annexe 3, la loi de 1998 prévoit tous les cas où le traitement des données sensibles est possible.

Elle reprend pour l'essentiel les dispositions correspondantes de la directive 95/46 : consentement de l'intéressé, nécessité imposée par la loi ou par le bon fonctionnement de la justice, par une procédure judiciaire (même future), par des raisons médicales...

Pour les données relatives à l'origine raciale ou ethnique, elle prévoit également, dans le cadre de la lutte contre les discriminations, la possibilité de traitements destinés à identifier l'existence de telles discriminations ou à en suivre l'évolution.

LES FICHIERS DE POLICE JUDICIAIRE

ALLEMAGNE



Les fonctions de police judiciaire sont exercées par les polices criminelles des différents Länder ainsi que par l'Office fédéral de la police criminelle (Bundeskriminalamt : BKA).

Depuis 1972, la Fédération et les Länder disposent d'un système commun d'informations, INPOL (Informations- und Auskunftssystem für die gesamte Polizei), qui est placé sous la responsabilité du BKA.

La loi relative à l'Office fédéral de la police criminelle et à la coopération entre la Fédération et les Länder en matière de police judiciaire comporte des dispositions sur la protection des données personnelles. Le système INPOL n'est donc pas régi par la loi fédérale sur la protection des données personnelles, mais par la loi sur l'Office fédéral de la police criminelle.

1) Le contenu des fichiers

La loi confie au BKA le soin de rassembler et d'exploiter toutes les informations nécessaires à l'accomplissement des missions de police judiciaire. Par conséquent, elle l'autorise à collecter des données personnelles sur :

- les accusés et leur entourage ;

- les suspects ;

- les témoins et les éventuels informateurs ;

- les victimes potentielles d'une future infraction ;

- les auteurs potentiels de graves infractions.

Cette liste de personnes susceptibles de figurer dans les fichiers du BKA est limitative.

2) Les obligations des gestionnaires

Le système INPOL est alimenté et interrogé par le BKA, les polices criminelles des Länder, les autres services de police des Länder, la police des douanes et les administrations chargées de protéger les frontières.

a) Les principes généraux

Seules les données strictement nécessaires peuvent être enregistrées, modifiées et utilisées, ce qui implique qu'elles doivent être effacées (ou au moins rendues inaccessibles) lorsqu'elles ne sont plus utiles.

S'agissant en particulier des suspects, le traitement de leurs données personnelles suppose l'existence de soupçons fondés. Pour ce qui concerne les autres personnes (témoins, informateurs, victimes potentielles...), la loi ne justifie le traitement de leurs données que s'il revêt la plus haute importance pour les poursuites. De plus, l'intéressé doit donner son accord (à moins que ceci ne risque de nuire à l'enquête), et les données concernées sont limitées à celles de l'état civil (nom, lieu de naissance...).

Les administrations qui alimentent le système sont responsables de l'exactitude et de la mise à jour des données.

b) Le règlement des fichiers

Chacun des fichiers du BKA doit faire l'objet d'un règlement approuvé par le ministère fédéral de l'Intérieur et soumis au Délégué fédéral pour la protection des données. Ce règlement doit comporter les indications suivantes :

- description du fichier ;

- texte autorisant la création du fichier et objectif du fichier ;

- personnes susceptibles d'être fichées ;

- nature des données enregistrées ;

- nature des données servant à l'exploitation du fichier ;

- introduction des données ;

- conditions de transmission des données enregistrées, destinataires potentiels et processus de transmission ;

- durée de conservation et périodicité de la vérification de la pertinence des enregistrements.

La loi précise par ailleurs que cette périodicité ne saurait dépasser dix ans pour des données relatives aux personnes majeures, cinq ans s'agissant des jeunes (à partir de quatorze ans) et deux ans pour les enfants. Cependant, lorsque la personne n'est pas fichée comme coupable, mais à un autre titre (témoin, indicateur ou victime potentielle...), cette durée est abaissée à cinq ans pour les adultes et à trois ans pour les jeunes. De plus, les données enregistrées sans le consentement des intéressés ne peuvent être conservées que pendant un an, une prolongation d'une année étant possible si les circonstances qui avaient justifié l'enregistrement n'ont pas disparu.

c) La transmission des données

Le BKA peut transmettre aux autres polices fédérales et régionales les données personnelles qu'il a enregistrées, dans la mesure où ceci est nécessaire au bon déroulement des missions du destinataire.

Les transmissions de données à d'autres administrations publiques doivent être autorisées par un texte ou être absolument nécessaires (au bon accomplissement d'une mission législative, au bon déroulement d'une procédure judiciaire...).

Les transmissions à des destinataires de statut privé sont possibles, à condition d'être justifiées de façon très précise. Les procès-verbaux doivent alors être conservés.

La mise en place d'un processus automatique de transmission des données est permise, mais seulement lorsque la transmission est organisée pour permettre le bon accomplissement de missions policières et que les ministres de l'Intérieur de la Fédération et des Länder ont donné leur accord. L'automatisation de la transmission doit en outre être justifiée par le grand nombre des données à transmettre ou par l'urgence.

d) Le rapprochement des fichiers

La loi autorise le BKA à rapprocher les données avec celles qui sont enregistrées :

- dans un fichier qu'il gère pour l'accomplissement de ses missions ;

- dans un fichier que l'accomplissement de ses missions l'autorise à consulter, à condition que ce rapprochement soit nécessaire à l'accomplissement de l'une de ses missions.

3) Les droits des personnes fichées

Bien que les fichiers du BKA soient régis par une loi spécifique, et non par la loi fédérale sur la protection des données personnelles, certaines des dispositions de cette dernière leur sont applicables.

C'est en particulier le cas de l'article 19. Par conséquent, les personnes dont les données ont été enregistrées disposent du droit d'accès, à moins qu'un intérêt supérieur ne s'y oppose (danger pour l'ordre public, préjudice potentiel à un tiers...).

En revanche, l'article 20 de la même loi, relatif à la correction des données erronées et à l'effacement de celles qui ont été indûment collectées ou qui sont devenues inutiles, ne s'applique pas aux fichiers du BKA. En effet, la loi sur le BKA laisse aux administrations qui alimentent le système INPOL le soin de veiller à l'exactitude des données et à la suppression de celles qui ne sont plus utiles.

ESPAGNE



Les fonctions de police judiciaire sont assumées par la police ou par la garde civile, selon qu'elles sont exercées en milieu urbain ou en milieu rural, mais dans les deux cas sous la responsabilité du ministère de l'Intérieur.

Dans son article 7, consacré aux données qui font l'objet d'une " protection spéciale ", c'est-à-dire aux données sensibles, la loi espagnole mentionne que " les données personnelles relatives à la réalisation d'infractions pénales ou administratives pourront faire partie des fichiers automatisés des administrations publiques compétentes, dans les hypothèses prévues par les normes qui régissent lesdits fichiers ".

Par ailleurs, à l'article 18, la même loi prévoit que " la création, la modification ou la suppression des fichiers automatisés des administrations publiques peuvent seulement être réalisées par une disposition générale publiée au Bulletin officiel de l'Etat ou au journal officiel équivalent ". Le même article précise que les dispositions portant création et modification des fichiers publics doivent comporter les indications suivantes : finalité du fichier ; personnes dont les données peuvent être collectées, ou qui peuvent être obligées de fournir des données ; procédure de collecte des données ; structure du fichier et description des catégories de données qui y sont incluses ; cessions de données prévues ; organes administratifs responsables du fichier ; services auprès desquels les intéressés peuvent exercer les droits d'accès, de rectification et d'annulation.

Conformément à ces règles générales, un arrêté du 26 juillet 1994 du ministère de la Justice et de l'Intérieur (1(*)), plusieurs fois modifié depuis son adoption, énumère tous les fichiers automatisés gérés par cette administration et donne leurs principales caractéristiques. Les fichiers de police judiciaire sont donc régis par ce texte.

1) Le contenu des fichiers

L'arrêté du 26 juillet 1994, tout comme les textes ultérieurs qui l'ont modifié, précise la structure de chacun des fichiers qu'il énumère. Il décrit également les données personnelles qui y sont incluses.

Ainsi, le fichier PERPOL, géré par la Direction générale de la police et consacré aux antécédents des personnes auxquelles la police s'intéresse, ne peut comporter que des données sur les personnes physiques, espagnoles ou étrangères, qui ont fait l'objet d'un avis de recherche, actuel ou ancien, qui ont été détenues ou qui ont été impliquées dans des faits délictueux, ou qui ont été condamnées par un tribunal pénal. Pour chacune de ces personnes, seules les indications suivantes, limitativement énumérées dans l'arrêté, peuvent être enregistrées : race, état de santé, vie sexuelle, infractions administratives et pénales, document d'identité, nom et prénoms, adresse, numéro de téléphone, empreintes digitales, signes physiques particuliers, état civil, nom des parents, date et lieu de naissance, description physique, sexe, nationalité, goûts et mode de vie, formation et diplômes, emploi.

2) Les obligations des gestionnaires

L'arrêté précise également :

- la finalité de chaque fichier ;

- la procédure de collecte des données ;

- les institutions et organismes auxquels il est possible de transmettre les données.

Par exemple, la gestion des antécédents à des fins d'investigation policière constitue l'objectif du fichier PERPOL, et les données ne peuvent être enregistrées par les gestionnaires du fichier qu'à partir de documents administratifs (fiches de signalement réalisées par la police scientifique, décisions des tribunaux...). De plus, les données enregistrées ne peuvent être transmises qu'aux institutions et aux organismes officiels responsables de la sécurité publique.

En revanche, l'arrêté ne prévoit pas la durée de conservation des données. Les dispositions générales de la loi organique du 29 octobre 1992 s'appliquent donc : les données personnelles doivent être supprimées lorsqu'elles ont cessé d'être pertinentes ou nécessaires à l'objectif qui a justifié leur enregistrement.

3) Les droits des personnes fichées

Pour chacun des fichiers, l'arrêté indique l'administration auprès de laquelle les personnes fichées peuvent exercer leur droit de rectification ou d'annulation. Pour le fichier PERPOL, il s'agit de la Direction générale de la police.

ITALIE



Bien que l'article 4 de la loi sur la protection des données personnelles exclue les fichiers de police judiciaire de son champ d'application, ces derniers doivent cependant respecter certaines de ses dispositions.

En effet, les responsables de ces fichiers sont soumis à l'obligation de notification. De plus, la collecte et le traitement des données doivent respecter les principes essentiels auxquels la loi soumet tout traitement (licéité et loyauté du traitement ; finalité déterminée et légitime de la collecte et de l'enregistrement ; exactitude et mise à jour des données enregistrées ; pertinence et adéquation par rapport aux finalités ; conservation limitée à ce qui est strictement nécessaire), et l'autorité de contrôle vérifie que les traitements sont effectués conformément aux lois et règlements en vigueur.

En revanche, la loi générale sur la protection des données personnelles ne donne aucun droit d'accès aux personnes dont les données sont enregistrées dans les fichiers de police judiciaire.

PAYS-BAS



La police judiciaire constitue une des attributions de la police. Or, la loi de 1988 sur la protection des données ne s'applique pas à certains fichiers, parmi lesquels ceux qui ont été constitués pour l'accomplissement des tâches de la police. Le projet de loi de transposition de la directive 95/46 comporte la même disposition.

Les fichiers de police judiciaire ne sont donc pas régis par la législation générale sur la protection des données. Ils relèvent de la loi du 21 juin 1990 sur les fichiers de police.

1) Le contenu des fichiers

Ni la loi sur les fichiers de police, ni le règlement pris pour son application ne donne d'indications sur le contenu des fichiers de police. C'est le règlement de chaque fichier qui le précise.

2) Les obligations des gestionnaires

a) Les principes généraux

La création d'un fichier de police n'est justifiée que si elle correspond à un objectif précis, et dans la seule mesure où elle est nécessaire au bon accomplissement d'une tâche policière.

La loi de 1990 pose le principe de l'interdiction de l'enregistrement des données sensibles dans les fichiers de police, à moins que ceci ne soit nécessaire. Le règlement pris pour l'application de la loi rappelle cette interdiction et son exception : le règlement du fichier doit prévoir de façon explicite le traitement de ces données sensibles.

Les gestionnaires doivent s'assurer que les données ont été obtenues de façon régulière, qu'elles sont exactes et complètes.

b) Le règlement des fichiers

Avant toute utilisation d'un fichier de police, il est nécessaire de rédiger un règlement, qui est communiqué à l'autorité de contrôle. Ce règlement doit comporter des indications précises, notamment sur :

- l'objectif du fichier ;

- les groupes de personnes et les catégories de données concernées ;

- les cas dans lesquels les données sont retirées ;

- la destruction des données retirées ;

- les éventuels liens faits avec d'autres fichiers ;

- les moyens pour les personnes fichées de prendre connaissance des données enregistrées ;

- les personnes compétentes pour introduire et modifier les données saisies.

Toutes les personnes qui participent au fonctionnement du fichier doivent respecter le règlement.

c) La transmission des données

La loi précise aussi que les données des fichiers de police ne peuvent être fournies qu'à certaines personnes, essentiellement aux fonctionnaires de police, aux gendarmes, aux autres officiers de police judiciaire des organismes publics et au ministère public.

d) L'interconnexion des données

La loi n'exclut pas l'interconnexion des fichiers de police avec d'autres fichiers de données personnelles lorsqu'elle est nécessaire à la bonne exécution des fonctions policières. Une telle interconnexion doit être prévue par le règlement du fichier. De plus, le règlement pris en février 1991 pour l'exécution de la loi sur les fichiers de police précise que les interconnexions ne peuvent être organisées qu'avec d'autres fichiers de police ou avec les fichiers d'établissements publics d'enseignement, de santé ou de services sociaux. Une telle interconnexion doit faire l'objet d'un procès-verbal comportant toutes les caractéristiques de l'opération. Le procès-verbal doit être conservé pendant deux ans.

3) Les droits des personnes fichées

Elles peuvent, sur demande, obtenir communication, dans un délai de quatre semaines, des données enregistrées les concernant, ainsi que de l'origine de ces données. Cette information leur est fournie par écrit.

Les données ne sont pas communiquées dans l'hypothèse où ceci risque de nuire au bon déroulement des missions de la police ou à des tiers.

Sur demande des intéressés, les gestionnaires ont l'obligation de corriger, compléter ou supprimer certaines données.

Lorsque les gestionnaires méconnaissent ces droits d'accès et de rectification, les intéressés peuvent saisir le tribunal de grande instance.

PORTUGAL



Sous l'empire de la loi de 1991, les données relatives aux " soupçons d'activités illicites " constituaient des données sensibles.

Bien que ce ne soit plus le cas actuellement, la loi de 1998 prévoit qu'elles font l'objet de dispositions dérogatoires. Elle leur consacre son article 8 intitulé " Soupçons d'activités illicites, de délits et d'infractions administratives " :

1. La création et la tenue des fichiers centraux concernant, d'une part, les personnes soupçonnées d'activités illicites, de délits et d'infractions administratives et, d'autre part, les décisions prévoyant des peines, des mesures de sécurité, des amendes et des sanctions accessoires relèvent des seuls services publics qui ont une compétence expresse en vertu d'une loi d'organisation et de fonctionnement. Ils doivent respecter les règles de procédure et de protection des données prévues par le texte légal, après avis de la CNPD.

2. Le traitement de données à caractère personnel relatives à des soupçons d'activités illicites, délits, infractions administratives, ou à des décisions infligeant des peines, mesures de sécurité, amendes et sanctions accessoires peut être autorisé par la CNPD, moyennant respect des règles relatives à la protection des données et à la sécurité de l'information, si ce traitement est nécessaire pour atteindre les objectifs légitimes du responsable et dès lors que les droits, libertés et garanties de la personne concernée sont respectés.

3. Le traitement de données à caractère personnel à des fins d'enquête policière doit se limiter à ce qui est nécessaire pour prévenir un danger réel, réprimer une infraction déterminée et exercer les compétences prévues par le statut organique ou par toute autre disposition légale, conformément aux dispositions d'accords ou conventions internationaux auxquels le Portugal est partie. "


Le décret n° 27 du 31 octobre 1995, pris après que l'autorité de contrôle de l'époque eut donné son avis, comporte les règles applicables aux sept fichiers automatisés permanents de la police judiciaire.

1) Le contenu des fichiers

Le décret rappelle que la collecte des données doit être limitée à ce qui est strictement nécessaireà la prévention d'un danger concret ou à la répression d'infractions pénales déterminées ".

Il cite les sept fichiers dont la police judiciaire dispose. Six d'entre eux sont utilisés au niveau national :

- ouverture des procédures ;

- épaves automobiles ;

- suspects ;

- suspects dans les affaires de crime organisé, de toxicomanie et d'infractions économico-financières ;

- personnes disparues ;

- examens du laboratoire de la police scientifique.

Le septième est propre à la région de Braga.

Le décret énumère de façon limitative les données susceptibles d'être enregistrées. Ainsi, le fichier des suspects peut contenir les données suivantes :

- nom et sobriquet ;

- date et lieu de naissance ;

- filiation ;

- sexe ;

- état civil ;

- couleur des yeux et stature ;

- adresse ;

- profession ;

- qualification ;

- numéros du rapport photographique et du rapport de dactyloscopie ;

- numéro et catégorie de la pièce d'identité référencée ;

- signes physiques particuliers ;

- références policières.

2) Les obligations des gestionnaires

Pour chacun des sept fichiers mentionnés plus haut, le décret précise également :

- les possibilités d'interconnexion avec les autres fichiers de la police judiciaire ;

- la durée de conservation des enregistrements.

Les possibilités d'interconnexion sont limitées : les fichiers de la police judiciaire peuvent être interconnectés seulement entre eux. De plus, le réseau informatique de la police judiciaire n'est accessible qu'à un groupe limité d'utilisateurs. Chacun de ces utilisateurs dispose d'un accès protégé personnalisé et d'étendue variable selon les fonctions qu'il occupe.

La durée de conservation des enregistrements varie en fonction des finalités des différents fichiers. Ainsi, les données contenues dans le fichier relatif aux ouvertures des procédures peuvent être gardées pendant trente ans, tandis que celles du fichier des suspects dans les affaires de banditisme peuvent être conservées pendant une durée de dix ans si elles ont été collectées au cours de la procédure et de trois ans dans les autres cas.

Le décret prévoit aussi la suppression des données dès que les motifs de leur enregistrement ont disparu.

3) Les droits des personnes fichées

Conformément aux dispositions de la loi de 1991, le décret prévoit le droit d'accès des personnes fichées aux données les concernant, ainsi que la possibilité pour elles de faire corriger ou compléter les informations inexactes. Le secret d'Etat ou le secret de la justice peuvent cependant empêcher l'application de ces dispositions.

Cette restriction justifie que les modalités du droit d'accès à ce type de données aient été modifiées par la loi de 1998 : l'article 11 de la loi sur la protection des données personnelles prévoit que le droit d'accès des personnes enregistrées dans les fichiers de la police judiciaire s'exerce par l'intermédiaire de la CNPD. De plus, dans l'hypothèse où la communication des données risque de nuire à la prévention de la délinquance ou aux poursuites, la CNPD se borne à informer la personne des démarches effectuées, sans lui en donner le résultat.

ROYAUME-UNI



Reprenant la formulation de la loi de 1984, la loi de 1998 prévoit que les données relatives à la prévention ou à la détection des infractions ainsi qu'à l'arrestation ou à la poursuite des délinquants sont dispensées de l'application de certaines de ses dispositions, dans la mesure où ces dernières risqueraient de nuire au bon fonctionnement de la justice.

Le droit d'accès n'est pas applicable à ces données. Les principes de loyauté et de non-divulgation à des tiers ne leur sont pas applicables non plus. Les gestionnaires des fichiers de police judiciaire peuvent donc obtenir leurs données par tout moyen. Cependant la non-application du principe de loyauté ne doit pas empêcher que ces données ne soient traitées que dans les limites de l'absolue nécessité.

De plus, les données concernant les suspects, bien que considérées comme sensibles, peuvent faire l'objet d'un traitement dans le cadre d'une procédure judiciaire, même future, ou lorsque cela est justifié par le bon fonctionnement de la justice.




(1) A l'époque, il y avait un seul ministère, mais il y en a deux actuellement.