La Commission européenne présente son premier rapport d’évaluation de la directive « vie privée » : la France pointée du doigt …
Publié le 20/05/2003 par Etienne Wery
D’après un rapport de la Commission européenne publié aujourd’hui, la directive de 1995 relative à la protection des données a largement atteint son objectif consistant à garantir une forte protection de la vie privée tout en facilitant la circulation des données à caractère personnel dans l’Union européenne. Toutefois, sa mise en œuvre tardive par des…
D’après un rapport de la Commission européenne publié aujourd’hui, la directive de 1995 relative à la protection des données a largement atteint son objectif consistant à garantir une forte protection de la vie privée tout en facilitant la circulation des données à caractère personnel dans l’Union européenne. Toutefois, sa mise en œuvre tardive par des États membres et les différences dans les modalités d’application de la directive au niveau national ont empêché l’économie européenne d’en tirer pleinement parti. Le rapport propose, pour réduire ces différences, un programme de travail fondé sur la coopération entre États membres d’une part, et entre États membres et la Commission d’autre part, suivi en 2005 par un examen du point de savoir si les modifications de la directive sont nécessaires. La libre circulation des données à caractère personnel dans l’Union européenne est essentielle pour le bon exercice de la quasi-totalité des activités économiques à l’échelle de l’Union. Ce rapport s’appuie sur une large consultation, notamment sur une conférence internationale et une enquête en ligne qui a recueilli plus de 10 000 réponses.
Contexte
L’article 33 de la directive dispose que la Commission établit des rapports réguliers sur l’application de la directive au niveau national. Ce premier rapport a été repoussé jusqu’à maintenant en raison des retards dans l’application de la directive (du moins est-ce la raison officielle).
Le rapport rendu public repose sur un large exercice de consultation réalisé au cours de 2002 conformément à la démarche participative de la Commission en matière de gouvernance européenne. Toutes les parties intéressées – gouvernements, institutions, associations professionnelles et de consommateurs, entreprises et citoyens – ont eu la possibilité d’exprimer leur point de vue.
L’organisation d’une consultation en ligne et une conférence internationale ont été les points forts d’un débat public qui a considérablement enrichi les sources et les résultats du rapport. Deux questionnaires en ligne adressés respectivement aux sujets interrogés et aux contrôleurs des données ont fourni au total plus de 10.000 réponses. Les 441 participants ont fait salle comble dans la plus grande installation de la Commission pendant deux jours et 200 autres personnes n’ont pu être accueillies.
En outre, la Commission reçu plus de 70 contributions écrites de haute qualité, provenant essentiellement d’entreprises, qui ont contribué à garantir la prise en compte des préoccupations pratiques du terrain dans ce tour d’horizon. La consultation en ligne et les contributions reçues ont fait apparaître un changement dans l’attitude des entreprises, marquée au départ par une activité ouverte à l’égard de la législation sur la protection des données puis par des efforts constructifs pour faire fonctionner la réglementation de façon plus conviviale et moins pesante pour les entreprises – objectif que partage la Commission.
Les objectifs du marché intérieur largement atteints
Le rapport conclut que les résultats sur le plan de la libre circulation des données à caractère personnel sont dans l’ensemble satisfaisants. La directive a atteint son objectif d’élimination des obstacles juridiques à la libre circulation des données qui étaient liés à des différences dans la législation nationale et au fait que deux États membres (l’Italie et la Grèce) ne possédaient aucune législation en matière de protection des données.
La libre circulation des données à caractère personnel est essentielle pour le bon exercice de la quasi-totalité des activités économiques à l’échelle de l’Union.
Par exemple, avant l’adoption de la directive, les entreprises rencontraient souvent des difficultés pour le transfert de données sur les salariés dans un autre État membre, cette formalité étant nécessaire si une entreprise travaille dans l’ensemble de l’Union tout en ayant cependant ses services centraux d’administration du personnel dans un seul État membre. Les travailleurs qui avaient acquis des droits à pension dans plusieurs États membres rencontraient des difficultés lorsqu’il s’agissait d’échanger les données personnelles nécessaires pour le cumul effectif de ces droits. La réalisation d’essais cliniques pour la recherche médicale dans toute l’Europe se heurtait à des problèmes, en raison des énormes différences dans les normes relatives à la protection des données.
Mise en œuvre tardive par plusieurs États membres
Seuls quatre États membres ont adopté une législation nationale pour mettre en œuvre la directive dans le délai convenu par les États membres eux-mêmes lors de l’adoption de la directive au sein du Conseil, à savoir octobre 1998.
La Commission a décidé en décembre 1999 d’intenter une action contre la France, l’Allemagne, l’Irlande, le Luxembourg et les Pays-Bas devant la Cour européenne de justice.
L’Allemagne et les Pays-Bas, ainsi que la Belgique ont alors transposé cette directive en 2001 et le Luxembourg, après un arrêt de la Cour, l’a transposée en 2002. Plus de sept années après l’adoption de la directive et plus de quatre années après le délai de mise en œuvre (octobre 1998), la France n’a toujours pas adopté la législation nécessaire pour aligner sur la directive sa vieille loi de 1978 relative à la protection des données. L’Irlande a récemment adopté une législation qui n’a pas encore été notifiée à la Commission.
Les divergences entre États membres exigent une série de solutions
Le rapport confirme que les modalités d’exécution de la directive ont laissé subsister d’importantes divergences à la fois entre la législation des États membres et entre les modalités d’application pratiques. Comme ces divergences ont des causes et des conséquences différentes, elles exigent aussi une série de solutions adaptées. Dans certains cas, ces différences résultent de l’application incorrecte de la directive et créent une divergence qui doit être rectifiée par la modification du droit de l’État membre en cause. D’autres divergences peuvent être la conséquence légitime d’une application correcte par un État membre qui a adopté une certaine option dans les limites de la marge de manœuvre accordée par la directive mais elles continuent de compliquer la tâche des opérateurs économiques qui souhaitent exploiter des systèmes de traitement de données à l’échelle de l’Europe et profiter ainsi des avantages du marché intérieur.
Faible niveau de sensibilisation, de conformité et d’exécution
Sur la base de près de 10.000 réponses à l’enquête en ligne de la Commission et d’autres éléments recueillis, le rapport se préoccupe des faibles degrés de sensibilisation et de conformité de la législation et du manque de rigueur ou de ressources dans l’exécution du droit national.
Déployer des efforts pour obtenir une meilleure application de la directive
Les retards au niveau national ont pour conséquence une expérience très limitée de l’application de la directive. Le rapport constitue une première étape dans l’analyse du point de savoir si la directive atteint ses objectifs. Il serait prématuré à ce stade de proposer une modification de la directive.
Néanmoins, le rapport définit un programme de travail pour réduire les divergences entre les législations nationales – au besoin en modifiant ces législations – et entre les différentes pratiques nationales concernant l’application de la réglementation.
Le programme de travail proposé – qui doit être achevé avant la fin de 2004 – repose sur le dialogue entre la Commission et les États membres et sur la coopération entre les autorités nationales chargées de la protection des données (en particulier au sein du groupe de travail établi conformément à l’article 29 de la directive). L’accent est mis essentiellement sur l’amélioration de l’exécution dans les États membres et sur une application et une interprétation plus cohérentes de la directive. Faciliter la mise en conformité contribuera à améliorer le respect des dispositions.
En 2005, la Commission examinera les résultats du programme de travail et jugera de la nécessité de formuler des propositions de modification de la directive.
Plus d’infos ?
En consultant le rapport et l’analyse technico-juridique, en ligne sur notre site.