c) Le droit à la protection des données dans l'Union européenne : d'une déclinaison du droit au respect de la vie privée à la reconnaissance d'un droit autonome
Par un arrêt E. Stauder c. Ville d'Ulm daté du 12 novembre 1969, la Cour de justice des communautés européennes a reconnu le droit au respect de la vie privée comme un principe général du droit communautaire (car fondé sur la tradition constitutionnelle commune aux Etats de la Communauté économique européenne) dont elle assure le respect.
La plupart des Etats-membres de l'Union européenne ont en effet inscrit le droit au respect de la vie privée dans leur Constitution. C'est notamment le cas de l'Espagne, dont la Constitution du 29 décembre 1978 dispose dans son article 18 que « le droit à l'honneur, à l'intimité personnelle et familiale et à sa propre image est garanti. [...] La loi limitera l'usage de l'informatique pour garantir l'honneur et l'intimité personnelle et familiale des citoyens et le plein exercice de leurs droits ». Le droit à la protection des données est ainsi apparu, dans un premier temps, comme une déclinaison du droit au respect de la vie privée. C'est ce qui ressort également de la lecture du considérant n° 10 de la directive 95/46/CE du 24 octobre 1995, qui rappelle que « l'objet des législations nationales relatives au traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et dans les principes généraux du droit communautaire ».
Dans un second temps, on a assisté à une autonomisation du droit à la protection des données personnelles. Ainsi, la Charte européenne des droits fondamentaux du 7 décembre 2000, susceptible d'acquérir force juridique contraignante dès l'entrée en vigueur du Traité de Lisbonne, reconnaît, à côté du droit au respect de la vie privée et familiale, garanti par son article 7 17 ( * ) , un droit à la protection des données à caractère personnel, qui fait l'objet de son article 8 :
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. ».
Parallèlement, treize Etats-membres ont expressément reconnu le droit à la protection des données personnelles comme principe à valeur constitutionnelle. Tel est notamment le cas de la Grèce, dont la Constitution dispose dans son article 9 A que « chaque individu a le droit d'être protégé contre la collecte, le traitement et l'utilisation, en particulier par voie électronique, de ses données personnelles, selon des conditions prévues par la loi. La protection des données personnelles est assurée par une autorité indépendante, qui est constituée et fonctionne selon des conditions prévues par la loi » 18 ( * ) . En Espagne, l'arrêt 292-2000 de la Cour constitutionnelle, s'inspirant des travaux préparatoires de la Charte européenne des droits fondamentaux, a également reconnu explicitement le droit fondamental à la protection des données à caractère personnel comme un droit autonome.
* 17 « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».
* 18 Voir à ce sujet l'intervention de M. Alex Türk, président de la CNIL, le 25 mai 2008, devant les membres du comité présidé par Mme Simone Veil.