Le cadre légal existant en termes de protection des données
Lorsque les textes européens évoquent les « données à caractère personnel », il s’agit des données qui nous sont directement rattachées (qui se trouvent typiquement sur la page de notre profil) mais aussi les données qui nous sont rattachables par recoupements, analyses, études sémantique, profil d’un « ami » (par exemple, si une photo où nous apparaissons est « taguée »alors cette information rentre dans le cadre des données à caractère personnel).
La protection des données personnelles est un vaste problème qui englobe de nombreux aspects (fichiers de police, bases élèves, vidéosurveillance, …). Nous ne nous intéresserons ici qu’aux aspects qui concernent les réseaux sociaux et n’évoquerons pas en particulier les limitations inhérentes aux domaines touchant à la sécurité nationale.
Les Européens accordent une grande importance à la protection des données personnelles. Le droit à la vie privée, même s’il diffère légèrement de la protection des données personnelles, est défini par l’article 8 de la Convention européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales.
Le premier texte réellement fondateur est la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981 Ce texte peut être considéré comme le premier cadre juridique européen du droit fondamental à la protection des données à caractère personnel. Il évoquait en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples ».
Cette convention est actuellement ratifiée dans 29 pays mais la législation en sein de l’UE n’est réellement précisée que dans le cadre de différentes directives, et en particulier par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
« La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.»
En France, par exemple, c’est la CNIL(Commission nationale de l’informatique et des libertés) qui a vu son pouvoir renforcé par la transposition de cette directive.
D’une façon générale, la directive 95/46/CE se veut (comme toute directive européenne) à la fois une harmonisation à l’échelle de l’UE tout en laissant au législateur national la souplesse nécessaire à la prise en compte des spécificités culturelles locales. En France, c’est la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel qui transpose la directive 95/46/CE.
Le texte de la directive est absolument « agnostique » en termes de technologies et permet l’existence de régimes spécifiques de protection des données. Malgré des évolutions technologiques majeures, favorisées notamment par l’augmentation exponentielle de la capacité de stockage et de calcul des fournisseurs de service, la directive 95/46/CE reste toujours valable et pertinente.
Il faut noter que cette directive ne couvre pas la question du traitement automatique des données traitée dans le cadre de la directive 45/2001/EC. C'est cette dernière qui a permis la création du "contrôleur européen de la protection des données" (voir "Organes Consultatifs").
Le traité de Lisbonne a d’autant plus renforcé le régime applicable dans le sens de la protection en ajoutant l’article 16 du TFUE (Traité sur le fonctionnement de l’Union européenne) qui définit que :
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes.
Ce simple aperçu du cadre légal global permet de se rendre compte que les outils législatifs sont complexes, nombreux et assez éparses (comme le sont les instances européennes). La commission a donc chargé des organes consultatifs de produire des recommandations visant à simplifier ce cadre (pour éviter la répétition), et ainsi identifier la loi applicable en matière de données à caractère personnel à l’heure de la mondialisation et des récentes évolutions technologiques.