Accueil > EDVIGE, EDVIRSP et l’alignement de la France sur un "droit minimal"

EDVIGE, EDVIRSP et l’alignement de la France sur un "droit minimal"

Publie le samedi 27 septembre 2008 par Open-Publishing
31 commentaires

de Luis Gonzalez-Mestres

Le décret 2008-632 portant création d’EDVIGE reste à ce jour en vigueur sans modification. Aucun texte rendu public, même de manière officieuse, ne prévoit de l’abroger ni de le modifier. Le projet de décret sur EDVIRSP ne prévoit rien de tel.

L’appel à la manifestation du 16 octobre est confirmé. Mais, de surcroît, un examen des textes connus sur EDVIGE et EDVIRSP met en évidence des aspects particulièrement inquiétants de l’évolution globale des institutions françaises. L’un d’entre eux est l’effacement progressif du rôle de la Constitution et son remplacement de fait par des traités européens porteurs d’un « droit minimal » mettant en cause de nombreux acquis démocratiques.

 

Le lien entre le décret instituant EDVIGE et le projet de décret concernant EDVIRSP (voir notamment mes articles du 21 septembre dans Bellaciao et sur mon blog "Notre Siècle") n’est toujours pas clair, mais les deux textes ont une référence commune : la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée en 2004 de manière très substantielle par la Loi 2004-801.

L’article 8 de la loi 78-17 ainsi modifiée interdit à première vue « de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Mais les dérogations sont importantes, notamment en ce qui concerne « les traitements, automatisés ou non, justifiés par l’intérêt public ». Telle est la base légale invoquée pour justifier EDVIGE et EDVIRSP.

L’exception dite « d’intérêt public » ne semble pas avoir fait l’objet d’une contestation constitutionnelle en 2004. Mais à un recours mettant en cause une autre exception (celle concernant « les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice »), le Conseil Constitutionnel a répondu que « les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l’article 8 de la directive 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n’appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l’atteinte au respect de la vie privée ne peut être utilement présenté devant lui... »

Autrement dit, le Conseil Constitutionnel semble avoir tacitement estimé que le législateur français était fondé à adopter toutes mesures qui n’étaient pas explicitement interdites par les directives européennes. A quoi sert alors la Constitution française ?

La loi 78-17 modifiée permet, par exemple, le fichage au nom « de l’intérêt public » incluant des données à caractère personnel « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques ». Comment justifier une telle mesure sur le plan constitutionnel ?

D’après la Constitution, il appartient à la Loi de fixer les règles concernant « les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Mais quelle loi définit les notions de race et d’ethnie ? Des notions parfaitement arbitraires et sans base scientifique, que des administrations échappant à un réel contrôle pourront appliquer à leur guise aux individus.

 

Luis Gonzalez-Mestres
lgm_sci@yahoo.fr
http://scientia.blog.lemonde.fr
http://notresiecle.blogs.courrierinternational.com

 

Suit mon article du 26 septembre, sauf pour le Post Scriptum 1 qui n’est pas reproduit en entier à cause de sa longueur :

EDVIGE et EDVIRSP : la loi 78-17 est-elle conforme à la Constitution ?

http://notresiecle.blogs.courrierinternational.com/archive/2008/09/26/edvige-et-...

 
A ce jour, rien ne prouve que le projet de « décret EDVIRSP » diffusé récemment par des organisations et des médias impliquera l'abrogation du « décret EDVIGE ». Ni l'abrogation, ni la modification, de ce dernier ne sont prévues dans le nouveau texte tel qu'il circule actuellement. Mais indépendamment de cette question abordée dans mon article du 21 septembre, le débat sur le contenu d'EDVIGE et d'EDVIRSP amène d'autres questions sur les bases du fonctionnement des institutions françaises. L'une d'entre elles paraît incontournable à l'examen de la question du fichage des « origines raciales ou ethniques » : l'enregistrement de ces données est rendu possible par la loi de janvier 1978 modifiée. Mais dans ce cas, une telle loi est-elle vraiment compatible avec la Constitution, telle que peut la comprendre un citoyen de l'an 2008 ?

 

Le Décret n° 2008-632 du 27 juin 2008 portant création d'un traitement automatisé de données à caractère personnel dénommé « EDVIGE » prévoit notamment : « Le traitement peut enregistrer des données à caractère personnel de la nature de celles mentionnées à l'article 8 de la loi [78-17] du 6 janvier 1978 susvisée ». A propos de cette modification, Wikipédia écrit : « La loi du 6 août 2004, qui transpose dans le droit français les dispositions de la directive européenne 95/46, apporte de nombreuses modifications à la loi Informatique et libertés ». La loi modifiée interdit le

L'article 8 de la Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004 par la Loi 2004-801, prescrit :

« I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

 II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I :

1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;

 2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;

 3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :

 pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;

 sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;

 et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;

4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;

5° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;

6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;

7° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;

8° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.

III. - Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.

IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26. »

(fin de l'article 8 de la Loi 78-17)

 

EDVIGE peut donc, au nom de « l'intérêt public », enregistrer des « données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».

De son côté, le projet de nouveau decret « portant création de l'application concernant l'exploitation documentaire et la valorisation de l'information relative à la sécurité publique » (EDVIRSP) prévoirait :

« Art. 1er. - L’interdiction résultant du 1 de l’article 8 de la loi du 6 janvier 1978 susvisée de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci est applicable aux services de la direction centrale de la sécurité publique en charge de la mission de renseignement et d’information mentionnée à l’article 12 du décret du 2 octobre 1985 susvisé ainsi qu’aux services de la préfecture de police assurant la même mission.

Art. 2. - Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies aux articles 3 à 9 du présent décret, la collecte, la conservation et le traitement par les services mentionnés au précédent article de données à caractère personnel de la nature de celles visées à l’article 1er et qui ne sont pas relatives à la santé ou à la vie sexuelle des personnes. »

(fin de citation)

 

Rappelons que la Constitution Française prescrit notamment, article 34 :

« La loi fixe les règles concernant :

- les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; les sujétions imposées par la Défense Nationale aux citoyens en leur personne et en leurs biens ;

(...)  »

(fin de citation)

Peut-on vraiment considérer qu'en matière d'enregistrement de données personnelles, la Loi 78-17 a suffisamment fixé les règles concernant « les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques » ? L'exemple des données concernant les « origines raciales ou ethniques  » semble prouver le contraire.

Car, que faut-il entendre par « race  » ou par « ethnie  » ? Quelles sont les « races  » et les « ethnies  » humaines ? Qui décide du classement de chaque individu, et sur la base de quels critères ? La loi 78-17 modifiée ne fournit aucun répère sur ces questions. Et pour cause, vu l'absence de base scientifique de la notion de « race  » humaine.

Quelle est d'ailleurs la nécessité de ce type de données dans la société actuelle ? La loi de janvier 1978 modifiée ne semble apporter aucune réponse circonstanciée à une question aussi essentielle.

 

Dans ces conditions, et avec tout le respect dû aux instances concernées, il paraît pour le moins difficile de considérer qu'en adoptant la loi 78-17 modifiée le législateur a rempli le rôle que lui assigne l'article 34 de la Constitution. La question des « origines raciales ou ethniques » n'est qu'un exemple des généralités sommaires, raccourcis et mélanges que comporte de mon modeste point de vue l'article 8 de la loi 78-17 modifié dans sa rédaction actuelle. Une question qu'il paraît indispensable d'examiner plus en détail dans un prochain article.

Certes, le Conseil Constitutionnel a été saisi en juillet 2004 du contenu du nouvel article 8 introduit par la Loi 2004-801. Mais, d'après le texte diffusé par Le Conseil Constitutionnel, cette saisine a plaidé uniquement que le 5° du II dudit article 8 sur les « traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice » porte atteinte au respect de la vie privée. Il me semble que les questions que l'on peut se poser ont une portée plus globale. A l'objection ponctuelle soulevée par les auteurs de la saisine, le Conseil Constitutionnel a répondu en se référant à la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données. Mais ce rappel d'une directive européenne ne me semble pas répondre à l'ensemble des moyens qu'il aurait été possible de plaider dans une saisine plus globale du Conseil Constitutionnel.

A propos de la réponse du Conseil Constitutionnel à cette saisine de juillet 2004, on remarquera que le Conseil fait valoir des dérogations autorisées par la directive européenne 95/46/CE. Mais rien n'empêchait, ni n'empêcherait, l'Etat français, en vertu de sa propre Constitution, de s'imposer des contraintes plus sévères que les restrictions « minimales » obligatoires à l'échelle de l'Union Européenne. La prise position du Conseil Constitutionnel, intervenue moins d'un an avant le référendum de mai 2005 sur le projet de Traité Constitutionnel Européen (TCE), revenait de fait à considérer que les principes du droit français n'étaient plus définis par la France de façon souveraine.

Le même problème me semble se poser lorsque le rejet d'un recours par la Cour Européenne des Droits de l'Homme (CEDH), sur la base du « droit minimal » que constitue la Convention européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales, est considérée par l'Etat français comme ayant « validé » une décision du Conseil d'Etat ou de la Cour de Cassation. Il est même arrivé qu'il s'ensuive alors des modifications des lois et règlements français, de façon à s'aligner sur ce texte « minimal » du Conseil de l'Europe. Des acquis démocratiques importants (par exemple, l'obligation de motivation circonstanciée dans le traitement des pourvois en cassation, infirmée par l'arrêt Kosser de la CEDH) ont été mis sur la touche de cette façon.

 

Luis Gonzalez-Mestres
lgm_sci@yahoo.fr
http://scientia.blog.lemonde.fr
http://notresiecle.blogs.courrierinternational.com

 

Post Scriptum 1 - Suit la décision du Conseil Constitutionnel du 29 juillet 2004 concernant la loi 2004-801 :

http://www.conseil-constitutionnel.fr/decision/2004/2004499/2004499dc.htm

 

Décision n° 2004-499 DC du 29 juillet 2004

Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

(...)

[Seul l’extrait concernant l’article 8 est inclu ici]

- SUR LE NOUVEL ARTICLE 8 DE LA LOI DU 6 JANVIER 1978 :

5. Considérant que l'article 8 de la loi du 6 janvier 1978, dans la rédaction que lui donne l'article 2 de la loi déférée, dispose en son I : « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » ; que le 5° du II du même article 8 prévoit que, dans la mesure où la finalité du traitement l'exige, cette interdiction ne s'applique pas aux « traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice » ;

6. Considérant que les auteurs des saisines soutiennent que cette dernière disposition porte atteinte au respect de la vie privée ;

7. Considérant qu'aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'États qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences » ; qu'ainsi, la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu'en raison d'une disposition expresse contraire de la Constitution ; qu'en l'absence d'une telle disposition, il n'appartient qu'au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l'article 6 du traité sur l'Union européenne ;

8. Considérant que les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l'article 8 de la directive 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n'appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l'atteinte au respect de la vie privée ne peut être utilement présenté devant lui ;

 

Post Scriptum 2 - Suit un extrait de la directive 95/46/CE du 24 octobre 1995 :

http://eur-lex.europa.eu/smartapi/cgi/sga_doc...

 

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(...)

 

SECTION III

CATÉGORIES PARTICULIÈRES DE TRAITEMENTS

Article 8

Traitements portant sur des catégories particulières de données

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque :

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

ou

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

ou

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

ou

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice.

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

4. Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle.

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l'autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l'État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l'autorité publique.

6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

7. Les États membres déterminent les conditions dans lesquelles un numéro national d'identification ou tout autre identifiant de portée générale peut faire l'objet d'un traitement.

(...)

Messages

  • Ils n’ont rien à cirer de savoir si la notion de race correspond à quelque chose de réel. Ce qui les intéresse, c’est de pouvoir repérer les individus d’après le faciès, les "fréquentations"...

    • Pour un Etat qui se prétend à l’avant-garde des Droits de l’Homme, c’est une triste déchéance.

      C’est vrai qu’aux Etats-Unis ce n’est pas mieux.

    • Les "races" d’après le FBI, ce n’est pas triste... On dirait qu’ici on veut faire pareil.

    • Tire de Wikipédia :

      http://fr.wikipedia.org/wiki/Race_h...

      Les "Race studies", en Amérique du Nord, visent à analyser la construction sociale et idéologique de la "race", qui aboutit à produire des effets réels d’auto-identification et de reconnaissance en termes d’appartenance à telle ou telle "race". Le droit n’y est pas étranger : ainsi, la "race" est incluse comme paramètre dans le recensement aux Etats-Unis, bien qu’elle soit facultative. En outre, la Cour suprême des Etats-Unis a eu maintes fois l’occasion de statuer sur la "race" - United States v. Bhagat Singh Thind en 1923, lois sur la déségrégation scolaire, lois sur l’affirmative action, etc.).

      (fin de l’extrait)

      Avec cette photo :

      http://fr.wikipedia.org/wiki/Image:...

      et l’explication : "Aux États-Unis, les personnes recherchées par le FBI sont classées par « race »"

      On découvre ainsi, au pied de la photo dans le lien, l’explication :

      Mugshots of people of different races. From left to right : White, Black, Hispanic, and Asian. Top row males, bottom row females.

      不同人种的头部照片。从做到右依次是:白人, 黑人, 西班牙人, 亚洲人. 上面一行是男性, 下面一行是女性。

      様々な人種の指名手配犯の写真。左から:白人、黒人、ヒスパニック、アジア人。上段は男性、下段は女性である。

      Individuals from left to right and top to bottom :

      * white male,

      * black male,

      * white hispanic male,

      * Asian male,

      * white female,

      * black female,

      * white hispanic female,

      * asian female,

      Photos from the FBI most wanted. FBI copyright statement : This World Wide Web site is provided as a public service by the Federal Bureau of Investigation. All information the Bureau provides at this site is considered public information and may be distributed or copied, subject to Sections 701 and 709 of Title 18, United States Code, which prohibit the unauthorized use of the FBI seal or the use of the words "Federal Bureau of Investigation," the initials "FBI," or any colorable imitation of these words and initials "in a manner reasonably calculated to convey the impression that such [activity] . . . is approved, endorsed, or authorized by the Federal Bureau of Investigation."

      (fin de citation)

      Délirant, mais toujours en place.

  • Cette décision mérite d’être lue en entier . Que reste-t-il de la Constitution ?

    http://www.conseil-constitutionnel....

    Décision n° 2004-499 DC - 29 juillet 2004

    Protection des données personnelles

    Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

    Le Conseil constitutionnel a été saisi, dans les conditions prévues à l’article 61, deuxième alinéa, de la Constitution, de la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le 20 juillet 2004, par M. Jean Marc AYRAULT, Mmes Patricia ADAM, Sylvie ANDRIEUX BACQUET, MM. Jean Marie AUBRON, Jean-Paul BACQUET, Gérard BAPT, Claude BARTOLONE, Jacques BASCOU, Christian BATAILLE, Jean-Claude BATEUX, Éric BESSON, Jean Louis BIANCO, Jean-Pierre BLAZY, Serge BLISKO, Patrick BLOCHE, Jean Claude BOIS, Maxime BONO, Augustin BONREPAUX, Jean Michel BOUCHERON, Pierre BOURGUIGNON, Mme Danielle BOUSQUET, MM. François BROTTES, Thierry CARCENAC, Christophe CARESCHE, Mme Martine CARILLON COUVREUR, MM. Laurent CATHALA, Jean Paul CHANTEGUET, Alain CLAEYS, Gilles COCQUEMPOT, Pierre COHEN, Mme Claude DARCIAUX, M. Michel DASSEUX, Mme Martine DAVID, MM. Marcel DEHOUX, Bernard DEROSIER, Marc DOLEZ, François DOSÉ, René DOSIÈRE, Julien DRAY, Tony DREYFUS, Pierre DUCOUT, Jean Pierre DUFAU, Jean-Paul DUPRÉ, Yves DURAND, Henri EMMANUELLI, Claude ÉVIN, Laurent FABIUS, Jacques FLOCH, Pierre FORGUES, Michel FRANÇAIX, Jean GAUBERT, Mmes Nathalie GAUTIER, Catherine GÉNISSON, MM. Jean GLAVANY, Gaétan GORCE, Alain GOURIOU, Mmes Elisabeth GUIGOU, Paulette GUINCHARD-KUNSTLER, M. David HABIB, Mme Danièle HOFFMAN RISPAL, MM. François HOLLANDE, Jean Louis IDIART, Mme Françoise IMBERT, MM. Serge JANQUIN, Armand JUNG, Jean-Pierre KUCHEIDA, Mme Conchita LACUEY, MM. Jérôme LAMBERT, François LAMY, Jack LANG, Jean LAUNAY, Jean-Yves LE BOUILLONNEC, Gilbert LE BRIS, Jean-Yves LE DÉAUT, Jean LE GARREC, Jean-Marie LE GUEN, Bruno LE ROUX, Mme Marylise LEBRANCHU, MM. Michel LEFAIT, Patrick LEMASLE, Guy LENGAGNE, Mme Annick LEPETIT, MM. Jean Claude LEROY, Michel LIEBGOTT, Mme Martine LIGNIÈRES CASSOU, MM. François LONCLE, Bernard MADRELLE, Christophe MASSE, Didier MATHUS, Kléber MESQUIDA, Jean MICHEL, Didier MIGAUD, Mme Hélène MIGNON, MM. Arnaud MONTEBOURG, Henri NAYROU, Alain NÉRI, Mme Marie-Renée OGET, MM. Christian PAUL, Germinal PEIRO, Mmes Marie-Françoise PÉROL DUMONT, Geneviève PERRIN GAILLARD, MM. Jean-Jack QUEYRANNE, Paul QUILÈS, Alain RODET, Bernard ROMAN, René ROUQUET, Mmes Ségolène ROYAL, Odile SAUGUES, MM. Henri SICRE, Dominique STRAUSS KAHN, Pascal TERRASSE, Daniel VAILLANT, André VALLINI, Manuel VALLS, Michel VERGNIER, Alain VIDALIES, Jean Claude VIOLLET, Philippe VUILQUE, Jean-Pierre DEFONTAINE, Paul GIACOBBI, Joël GIRAUD, Simon RENUCCI, Mme Chantal ROBIN RODRIGO, M. Roger-Gérard SCHWARTZENBERG et Mme Christiane TAUBIRA, députés,

    et, le même jour, par M. Claude ESTIER, Mme Michèle ANDRÉ, MM. Bernard ANGELS, Bertrand AUBAN, Robert BADINTER, Jean Pierre BEL, Mme Maryse BERGÉ LAVIGNE, M. Jean BESSON, Mme Marie-Christine BLANDIN, M. Didier BOULAUD, Mmes Yolande BOYER, Claire-Lise CAMPION, MM. Jean-Louis CARRÈRE, Bernard CAZEAU, Mme Monique CERISIER-ben GUIGA, MM. Gilbert CHABROUX, Gérard COLLOMB, Raymond COURRIÈRE, Yves DAUGE, Marcel DEBARGE, Jean Pierre DEMERLIAT, Claude DOMEIZEL, Michel DREYFUS SCHMIDT, Bernard DUSSAUT, Bernard FRIMAT, Charles GAUTIER, Jean Pierre GODEFROY, Jean-Noël GUÉRINI, Mme Odette HERVIAUX, MM. André LABARRÈRE, Serge LAGAUCHE, Louis LE PENSEC, André LEJEUNE, Jacques MAHÉAS, Jean-Yves MANO, François MARC, Jean Pierre MASSERET, Pierre MAUROY, Louis MERMAZ, Gérard MIQUEL, Michel MOREIGNE, Jean-Claude PEYRONNET, Jean François PICHERAL, Bernard PIRAS, Jean Pierre PLANCADE, Mmes Danièle POURTAUD, Gisèle PRINTZ, MM. Daniel RAOUL, Daniel REINER, Roger RINCHET, Gérard ROUJAS, Claude SAUNIER, Michel SERGENT, René Pierre SIGNÉ, Jean Pierre SUEUR, Simon SUTOUR, Michel TESTON, Jean Marc TODESCHINI, Pierre-Yvon TRÉMEL, André VANTOMME, André VÉZINHET et Marcel VIDAL, sénateurs ;

    LE CONSEIL CONSTITUTIONNEL,

    Vu la Constitution ;

    Vu l’ordonnance n° 58-1067 du 7 novembre 1958 modifiée portant loi organique sur le Conseil constitutionnel ;

    Vu le Traité instituant la Communauté européenne ;

    Vu le Traité sur l’Union européenne ;

    Vu la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

    Vu le code pénal ;

    Vu le code de la propriété intellectuelle ;

    Vu le code des postes et des communications électroniques ;

    Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

    Vu la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle, en son article 8 ;

    Vu les observations du Gouvernement, enregistrées le 23 juillet 2004 ;

    Vu les observations en réplique présentées par les députés auteurs de la première saisine, enregistrées le 28 juillet 2004 ;

    Vu les observations en réplique présentées par les sénateurs auteurs de la seconde saisine, enregistrées le 28 juillet 2004 ;

    Le rapporteur ayant été entendu ;

    1. Considérant que les auteurs des deux saisines défèrent au Conseil constitutionnel la loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; qu’ils dénoncent son inintelligibilité et mettent en cause les articles 8, 9, 21, 22 et 26 de la loi du 6 janvier 1978 tels qu’ils résultent des articles 2 à 4 de la loi déférée ;

     SUR LES NORMES CONSTITUTIONNELLES APPLICABLES À LA LOI DÉFÉRÉE :

    2. Considérant, en premier lieu, qu’aux termes de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789 : « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l’homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l’oppression » ; que la liberté proclamée par cet article implique le respect de la vie privée ;

    3. Considérant, en deuxième lieu, qu’il est à tout moment loisible au législateur, statuant dans le domaine de sa compétence, de modifier des textes antérieurs ou d’abroger ceux-ci en leur substituant, le cas échéant, d’autres dispositions, dès lors que, ce faisant, il ne prive pas de garanties légales des exigences constitutionnelles ;

    4. Considérant, en troisième lieu, qu’il appartient au législateur, en vertu de l’article 34 de la Constitution, de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; qu’il lui appartient d’assurer la conciliation entre le respect de la vie privée et d’autres exigences constitutionnelles liées notamment à la sauvegarde de l’ordre public ;

     SUR LE NOUVEL ARTICLE 8 DE LA LOI DU 6 JANVIER 1978 :

    5. Considérant que l’article 8 de la loi du 6 janvier 1978, dans la rédaction que lui donne l’article 2 de la loi déférée, dispose en son I : « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » ; que le 5° du II du même article 8 prévoit que, dans la mesure où la finalité du traitement l’exige, cette interdiction ne s’applique pas aux « traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice » ;

    6. Considérant que les auteurs des saisines soutiennent que cette dernière disposition porte atteinte au respect de la vie privée ;

    7. Considérant qu’aux termes de l’article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l’Union européenne, constituées d’États qui ont choisi librement, en vertu des traités qui les ont instituées, d’exercer en commun certaines de leurs compétences » ; qu’ainsi, la transposition en droit interne d’une directive communautaire résulte d’une exigence constitutionnelle à laquelle il ne pourrait être fait obstacle qu’en raison d’une disposition expresse contraire de la Constitution ; qu’en l’absence d’une telle disposition, il n’appartient qu’au juge communautaire, saisi le cas échéant à titre préjudiciel, de contrôler le respect par une directive communautaire tant des compétences définies par les traités que des droits fondamentaux garantis par l’article 6 du traité sur l’Union européenne ;

    8. Considérant que les dispositions critiquées se bornent à tirer les conséquences nécessaires des dispositions inconditionnelles et précises du e) du 2 de l’article 8 de la directive 95/46/CE du 24 octobre 1995 susvisée sur lesquelles il n’appartient pas au Conseil constitutionnel de se prononcer ; que, par suite, le grief tiré de l’atteinte au respect de la vie privée ne peut être utilement présenté devant lui ;

    (à suivre)

    • (suite de I et fin)

       SUR LE NOUVEL ARTICLE 9 DE LA LOI DU 6 JANVIER 1978 :

      9. Considérant que l’article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l’article 2 de la loi déférée, dispose : « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en place que par : ... - 3° Les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ; - 4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits » ;

      10. Considérant que, selon les auteurs des saisines, ces dispositions portent atteinte au respect de la vie privée et sont entachées d’incompétence négative ;

      . En ce qui concerne le 3° :

      11. Considérant que le 3° de l’article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l’article 2 de la loi déférée, permettrait à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d’être victimes d’agissements passibles de sanctions pénales, de rassembler un grand nombre d’informations nominatives portant sur des infractions, condamnations et mesures de sûreté ; qu’en raison de l’ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées, le 3° du nouvel article 9 de la loi du 6 janvier 1978 pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; que la disposition critiquée doit dès lors comporter les garanties appropriées et spécifiques répondant aux exigences de l’article 34 de la Constitution ;

      12. Considérant que, s’agissant de l’objet et des conditions du mandat en cause, la disposition critiquée n’apporte pas ces précisions ; qu’elle est ambiguë quant aux infractions auxquelles s’applique le terme de « fraude » ; qu’elle laisse indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu’elles soient capables de commettre une infraction ; qu’elle ne dit rien sur les limites susceptibles d’être assignées à la conservation des mentions relatives aux condamnations ; qu’au regard de l’article 34 de la Constitution, toutes ces précisions ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l’informatique et des libertés ; qu’en l’espèce et eu égard à la matière concernée, le législateur ne pouvait pas non plus se contenter, ainsi que le prévoit la disposition critiquée éclairée par les débats parlementaires, de poser une règle de principe et d’en renvoyer intégralement les modalités d’application à des lois futures ; que, par suite, le 3° du nouvel article 9 de la loi du 6 janvier 1978 est entaché d’incompétence négative ;

      . En ce qui concerne le 4° :

      13. Considérant que la disposition contestée donne la possibilité aux sociétés de perception et de gestion des droits d’auteur et de droits voisins, mentionnées à l’article L. 321 1 du code de la propriété intellectuelle, ainsi qu’aux organismes de défense professionnelle, mentionnés à l’article L. 331 1 du même code, de mettre en oeuvre des traitements portant sur des données relatives à des infractions, condamnations ou mesures de sûreté ; qu’elle tend à lutter contre les nouvelles pratiques de contrefaçon qui se développent sur le réseau Internet ; qu’elle répond ainsi à l’objectif d’intérêt général qui s’attache à la sauvegarde de la propriété intellectuelle et de la création culturelle ; que les données ainsi recueillies ne pourront, en vertu de l’article L. 34-1 du code des postes et des communications électroniques, acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire et par rapprochement avec des informations dont la durée de conservation est limitée à un an ; que la création des traitements en cause est subordonnée à l’autorisation de la Commission nationale de l’informatique et des libertés en application du 3° du I de l’article 25 nouveau de la loi du 6 janvier 1978 ; que, compte tenu de l’ensemble de ces garanties et eu égard à l’objectif poursuivi, la disposition contestée est de nature à assurer, entre le respect de la vie privée et les autres droits et libertés, une conciliation qui n’est pas manifestement déséquilibrée ;

      . En ce qui concerne l’ensemble de l’article 9 :

      14. Considérant que le nouvel article 9 de la loi du 6 janvier 1978, tel qu’il résulte de la déclaration d’inconstitutionnalité prononcée en vertu de ce qui précède, ne saurait être interprété comme privant d’effectivité le droit d’exercer un recours juridictionnel dont dispose toute personne physique ou morale s’agissant des infractions dont elle a été victime ; que, sous cette réserve, il n’est pas contraire à la Constitution ;

       SUR LE NOUVEL ARTICLE 21 DE LA LOI DU 6 JANVIER 1978 :

      15. Considérant qu’en vertu du dernier alinéa de l’article 21 de la loi du 6 janvier 1978, dans sa rédaction issue de l’article 3 de la loi déférée, les personnes interrogées dans le cadre des vérifications faites par la Commission nationale de l’informatique et des libertés sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions « sauf dans les cas où elles sont astreintes au secret professionnel » ;

      16. Considérant que, selon les requérants, cette référence au secret professionnel constitue « un recul quant aux garanties apportées aux exigences constitutionnelles applicables en la matière » ; qu’ils font valoir que « dans la loi de 1978, il n’était pas possible d’opposer un tel secret aux agents de la CNIL » et qu’« une telle restriction déséquilibre manifestement le régime de protection de la vie privée et de la liberté individuelle des personnes dont les données personnelles ont fait l’objet d’un traitement » ;

      17. Considérant que, dans le silence des dispositions de la loi du 6 janvier 1978 antérieures à la loi déférée, les personnes interrogées par la Commission nationale de l’informatique et des libertés étaient déjà soumises au secret professionnel ; que, dès lors, le grief manque en fait ;

      18. Considérant, au demeurant, que l’invocation injustifiée du secret professionnel pourrait constituer une entrave passible des peines prévues par l’article 51 nouveau de la loi du 6 janvier 1978 ;

       SUR LE NOUVEL ARTICLE 22 DE LA LOI DU 6 JANVIER 1978 :

      19. Considérant qu’aux termes du premier alinéa du III de l’article 22 de la loi du 6 janvier 1978, dans sa rédaction issue de l’article 4 de la loi déférée : « Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu’un transfert de données à caractère personnel à destination d’un État non membre de la Communauté européenne est envisagé » ;

      20. Considérant que, selon les requérants, « ce correspondant ne bénéficie pas, à la lettre, des garanties d’indépendance indispensables » ; qu’ils considèrent, dès lors, qu’« en prévoyant, au titre d’une simplification toujours souhaitable, un amoindrissement des mécanismes de contrôle, le législateur a privé de garantie légale le droit à la vie privée et à la liberté individuelle » ;

      21. Considérant, en premier lieu, que le fait de désigner un correspondant à la protection des données à caractère personnel n’a d’autre effet que d’exonérer les traitements des formalités de déclaration auprès de la Commission nationale de l’informatique et des libertés ; que cette circonstance ne les soustrait pas aux autres obligations résultant de la loi déférée, dont le non respect demeure passible des sanctions qu’elle prévoit ; que cet allègement de la procédure n’est pas possible lorsque des transferts de données à destination d’un État non membre de la Communauté européenne sont envisagés ; qu’en outre, il ne concerne pas les traitements soumis à autorisation ;

      22. Considérant, en second lieu, que le correspondant, dont l’identité est notifiée à la Commission nationale de l’informatique et des libertés et portée à la connaissance des instances représentatives du personnel, doit bénéficier, en vertu de la loi, « des qualifications requises pour exercer ses missions » ; qu’il tient la liste des traitements à la disposition de toute personne en faisant la demande ; qu’il ne peut faire l’objet d’aucune sanction de la part de son employeur du fait des responsabilités qui lui sont confiées dans l’exercice de sa mission ; qu’il peut saisir la Commission nationale de l’informatique et des libertés, le cas échéant, des difficultés qu’il rencontre ;

      23. Considérant que, compte tenu de l’ensemble des précautions ainsi prises, s’agissant en particulier de la qualification, du rôle et de l’indépendance du correspondant, la dispense de déclaration résultant de sa désignation ne prive de garanties légales aucune exigence constitutionnelle ;

       SUR LE NOUVEL ARTICLE 26 DE LA LOI DU 6 JANVIER 1978 :

      24. Considérant qu’aux termes du I de l’article 26 de la loi du 6 janvier 1978, dans sa rédaction issue de l’article 4 de la loi déférée : « Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État et : - 1° Qui intéressent la sûreté de l’État, la défense ou la sécurité publique ; - 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, ou l’exécution des condamnations pénales ou des mesures de sûreté. - L’avis de la commission est publié avec l’arrêté autorisant le traitement » ;

      25. Considérant que, selon les requérants, ces dispositions marquent « un des reculs les plus manifestes opérés par cette loi quant au niveau des garanties légales constitutionnellement exigées puisque aujourd’hui un tel traitement requiert un avis favorable de la CNIL » ; qu’ils considèrent que cette évolution crée, « au regard de l’article 2 de la Déclaration de 1789 et de la liberté individuelle », une « situation constitutionnellement préjudiciable » ;

      26. Considérant que le I de l’article 26 de la loi du 6 janvier 1978 est relatif à la création des seuls traitements intéressant la sauvegarde de l’ordre public et ne comportant pas de données sensibles au sens du I de son article 8 ; qu’il se borne à substituer à un avis conforme du Conseil d’État en cas d’avis défavorable de la Commission nationale de l’informatique et des libertés un arrêté ministériel pris après avis motivé et publié de la Commission ; que le législateur a prévu que l’avis de la Commission serait publié concomitamment à l’arrêté autorisant le traitement ;

      27. Considérant, dans ces conditions, que les dispositions critiquées, qui ne privent pas de garanties légales le droit au respect de la vie privée, ne sont contraires à aucun principe ni à aucune règle de valeur constitutionnelle ;

       SUR L’OBJECTIF DE VALEUR CONSTITUTIONNELLE D’INTELLIGIBILITÉ ET D’ACCESSIBILITÉ DE LA LOI :

      28. Considérant que, selon les requérants, « l’ensemble du texte souffre d’une opacité qui... ne peut que paraître contradictoire avec l’objectif d’intelligibilité et de clarté de la loi » ;

      29. Considérant qu’il incombe au législateur d’exercer pleinement la compétence que lui confie la Constitution et, en particulier, son article 34 ; qu’à cet égard, l’objectif de valeur constitutionnelle d’intelligibilité et d’accessibilité de la loi, qui découle des articles 4, 5, 6 et 16 de la Déclaration de 1789, lui impose d’adopter des dispositions suffisamment précises et des formules non équivoques ;

      30. Considérant que, si la loi déférée refond la législation relative à la protection des données personnelles, c’est en vue d’adapter cette législation à l’évolution des données techniques et des pratiques, ainsi que pour tirer les conséquences d’une directive communautaire ; qu’elle définit de façon précise les nouvelles règles de procédure et de fond applicables ;

      31. Considérant qu’il n’y a lieu, pour le Conseil constitutionnel, de soulever d’office aucune question de conformité à la Constitution,

      D É C I D E :

      Article premier.- Est déclaré contraire à la Constitution le 3° de l’article 9 de la loi du 6 janvier 1978 susvisée, dans sa rédaction issue de l’article 2 de la loi déférée.

      Article 2.- Ne sont pas contraires à la Constitution les articles 8, 21, 22 et 26 nouveaux de la loi du 6 janvier 1978, ainsi que, sous la réserve énoncée au considérant 14, le surplus de son article 9.

      Article 3.- La présente décision sera publiée au Journal officiel de la République française.

      Délibéré par le Conseil constitutionnel dans sa séance du 29 juillet 2004, où siégeaient : M. Pierre MAZEAUD, Président, MM. Jean Claude COLLIARD, Olivier DUTHEILLET de LAMOTHE, Mme Jacqueline de GUILLENCHMIDT, MM. Pierre JOXE et Jean-Louis PEZANT, Mme Dominique SCHNAPPER, M. Pierre STEINMETZ et Mme Simone VEIL.

    • "30. Considérant que, si la loi déférée refond la législation relative à la protection des données personnelles, c’est en vue d’adapter cette législation à l’évolution des données techniques et des pratiques, ainsi que pour tirer les conséquences d’une directive communautaire ; qu’elle définit de façon précise les nouvelles règles de procédure et de fond applicables ;"

      Par exemple, sur le fichage des "origines raciales"... Mais la saisine n’était pas suffisamment claire sur ce point.

    • En juillet 2004, la "classe politique" s’attendait à l’adoption rapide du Traité Constitutionnel Européen. La Constitution française devait donc céder la place aux textes européens. Le problème apparaît déjà dans les termes de cette saisine du Conseil Constitutionnel par les parlementaires d’une "opposition" très majoritairement pro-TCE.

      Il est probable que des textes précurseurs d’EDVIGE et de CRISTINA se baladaient déjà à l’époque dans les tiroirs ministériels. Ensuite, il a sans doute fallu les mettre en sourdine avec le fiasco du référendum de 2005 et la préparation des présidentielles de 2007.

  • http://eur-lex.europa.eu/smartapi/c...

    DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL

    du 24 octobre 1995

    relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

    LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

    vu le traité instituant la Communauté européenne, et notamment son article 100 A,

    vu la proposition de la Commission (1),

    vu l’avis du Comité économique et social (2),

    statuant conformément à la procédure visée à l’article 189 B du traité (3),

    (1) considérant que les objectifs de la Communauté, énoncés dans le traité, tel que modifié par le traité sur l’Union européenne, consistent à réaliser une union sans cesse plus étroite entre les peuples européens, à établir des relations plus étroites entre les États que la Communauté réunit, à assurer par une action commune le progrès économique et social en éliminant les barrières qui divisent l’Europe, à promouvoir l’amélioration constante des conditions de vie de ses peuples, à préserver et conforter la paix et la liberté, et à promouvoir la démocratie en se fondant sur les droits fondamentaux reconnus dans les constitutions et les lois des États membres, ainsi que dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;

    (2) considérant que les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu’au bien-être des individus ;

    (3) considérant que l’établissement et le fonctionnement du marché intérieur dans lequel, conformément à l’article 7 A du traité, la libre circulation des marchandises, des personnes, des services et des capitaux est assurée, nécessitent non seulement que des données à caractère personnel puissent circuler librement d’un État membre à l’autre, mais également que les droits fondamentaux des personnes soient sauvegardés ;

    (4) considérant que, dans la Communauté, il est fait de plus en plus fréquemment appel au traitement de données à caractère personnel dans les divers domaines de l’activité économique et sociale ; que les progrès des technologies de l’information facilitent considérablement le traitement et l’échange de ces données ;

    (5) considérant que l’intégration économique et sociale résultant de l’établissement et du fonctionnement du marché intérieur au sens de l’article 7 A du traité va nécessairement entraîner une augmentation sensible des flux transfrontaliers de données à caractère personnel entre tous les acteurs de la vie économique et sociale des États membres, que ces acteurs soient privés ou publics ; que l’échange de données à caractère personnel entre des entreprises établies dans des États membres différents est appelé à se développer ; que les administrations des États membres sont appelées, en application du droit communautaire, à collaborer et à échanger entre elles des données à caractère personnel afin de pouvoir accomplir leur mission ou exécuter des tâches pour le compte d’une administration d’un autre État membre, dans le cadre de l’espace sans frontières que constitue le marché intérieur ;

    (6) considérant, en outre, que le renforcement de la coopération scientifique et technique ainsi que la mise en place coordonnée de nouveaux réseaux de télécommunications dans la Communauté nécessitent et facilitent la circulation transfrontalière de données à caractère personnel ;

    (7) considérant que les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l’égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d’un État membre à celui d’un autre État membre ; que ces différences peuvent dès lors constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence et empêcher les administrations de s’acquitter des responsabilités qui leur incombent en vertu du droit communautaire ; que ces différences de niveau de protection résultent de la disparité des dispositions nationales législatives, réglementaires et administratives ;

    (8) considérant que, pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l’égard du traitement de ces données doit être équivalent dans tous les États membres ; que cet objectif, fondamental pour le marché intérieur, ne peut pas être atteint par la seule action des États membres, compte tenu en particulier de l’ampleur des divergences qui existent actuellement entre les législations nationales applicables en la matière et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur au sens de l’article 7 A du traité ; qu’une intervention de la Communauté visant à un rapprochement des législations est donc nécessaire ;

    (9) considérant que, du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne pourront plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée ; que les États membres disposeront d’une marge de manoeuvre qui, dans le contexte de la mise en oeuvre de la directive, pourra être utilisée par les partenaires économiques et sociaux ; qu’ils pourront donc préciser, dans leur législation nationale, les conditions générales de licéité du traitement des données ; que, ce faisant, les États membres s’efforceront d’améliorer la protection assurée actuellement par leur législation ; que, dans les limites de cette marge de manoeuvre et conformément au droit communautaire, des disparités pourront se produire dans la mise en oeuvre de la directive et que cela pourra avoir des incidences sur la circulation des données tant à l’intérieur d’un État membre que dans la Communauté ;

    (10) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté ;

    (11) considérant que les principes de la protection des droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la présente directive précisent et amplifient ceux qui sont contenus dans la convention, du 28 janvier 1981, du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

    (12) considérant que les principes de la protection doivent s’appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d’application du droit communautaire ; que doit être exclu le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses ;

    (13) considérant que les activités visées aux titres V et VI du traité sur l’Union européenne concernant la sécurité publique, la défense, la sûreté de l’État ou les activités de l’État dans le domaine pénal ne relèvent pas du champ d’application du droit communautaire, sans préjudice des obligations incombant aux États membres au titre de l’article 56 paragraphe 2 et des articles 57 et 100 A du traité ; que le traitement de données à caractère personnel qui est nécessaire à la sauvegarde du bien-être économique de l’État ne relève pas de la présente directive lorsque ce traitement est lié à des questions de sûreté de l’État ;

    (14) considérant que, compte tenu de l’importance du développement en cours, dans le cadre de la société de l’information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données constituées par des sons et des images, relatives aux personnes physiques, la présente directive est appelée à s’appliquer aux traitements portant sur ces données ;

    (15) considérant que les traitements portant sur de telles données ne sont couverts par la présente directive que s’ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause ;

    (16) considérant que les traitements des données constituées par des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent pas du champ d’application de la présente directive s’ils sont mis en oeuvre à des fins de sécurité publique, de défense, de sûreté de l’État ou pour l’exercice des activités de l’État relatives à des domaines du droit pénal ou pour l’exercice d’autres activités qui ne relèvent pas du champ d’application du droit communautaire ;

    (17) considérant que, pour ce qui est des traitements de sons et d’images mis en oeuvre à des fins de journalisme ou d’expression littéraire ou artistique, notamment dans le domaine audiovisuel, les principes de la directive s’appliquent d’une manière restreinte selon les dispositions prévues à l’article 9 ;

    (18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres ; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État ;

    (19) considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ;

    (20) considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive ; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés ;

    (21) considérant que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal ;

    (22) considérant que les États membres préciseront dans leur législation ou lors de la mise en oeuvre des dispositions prises en application de la présente directive les conditions générales dans lesquelles le traitement de données est licite ; que, en particulier, l’article 5, en liaison avec les articles 7 et 8, permet aux États membres de prévoir, indépendamment des règles générales, des conditions particulières pour les traitements de données dans des secteurs spécifiques et pour les différentes catégories de données visées à l’article 8 ;

    (23) considérant que les États membres sont habilités à assurer la mise en oeuvre de la protection des personnes, tant par une loi générale relative à la protection des personnes à l’égard du traitement des données à caractère personnel que par des lois sectorielles telles que celles relatives par exemple aux instituts de statistiques ;

    (24) considérant que les législations relatives à la protection des personnes morales à l’égard du traitement des données qui les concernent ne sont pas affectées par la présente directive ;

    (25) considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances ;

    (26) considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; que les codes de conduite au sens de l’article 27 peuvent être un instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être rendues anonymes et conservées sous une forme ne permettant plus l’identification de la personne concernée ;

    (27) considérant que la protection des personnes doit s’appliquer aussi bien au traitement de données automatisé qu’au traitement manuel ; que le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement ; que, toutefois, s’agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s’applique pas aux dossiers non structurés ; que, en particulier, le contenu d’un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel ; que, conformément à la définition figurant à l’article 2 point c), les différents critères permettant de déterminer les éléments d’un ensemble structuré de données à caractère personnel et les différents critères régissant l’accès à cet ensemble de données peuvent être définis par chaque État membre ; que les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n’entrent en aucun cas dans le champ d’application de la présente directive ;

    (28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard des personnes concernées ; qu’il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies ; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données ; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l’origine ;

    (29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n’est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées ; que ces garanties doivent notamment empêcher l’utilisation des données à l’appui de mesures ou de décisions prises à l’encontre d’une personne ;

    (30) considérant que, pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée ou être nécessaire à la conclusion ou à l’exécution d’un contrat liant la personne concernée, ou au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore à la réalisation d’un intérêt légitime d’une personne à condition que ne prévalent pas l’intérêt ou les droits et libertés de la personne concernée ; que, en particulier, en vue d’assurer l’équilibre des intérêts en cause, tout en garantissant une concurrence effective, les États membres peuvent préciser les conditions dans lesquelles des données à caractère personnel peuvent être utilisées et communiquées à des tiers dans le cadre d’activités légitimes de gestion courante des entreprises et autres organismes ; que, de même, ils peuvent préciser les conditions dans lesquelles la communication à des tiers de données à caractère personnel peut être effectuée à des fins de prospection commerciale, ou de prospection faite par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique, dans le respect de dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement des données les concernant ;

    (à suivre)

    • (suite de I)

      (31) considérant qu’un traitement de données à caractère personnel doit être également considéré comme licite lorsqu’il est effectué en vue de protéger un intérêt essentiel à la vie de la personne concernée ;

      (32) considérant qu’il appartient aux législations nationales de déterminer si le responsable du traitement investi d’une mission d’intérêt public ou d’une mission relevant de l’exercice de l’autorité publique doit être une administration publique ou une autre personne soumise au droit public ou au droit privé, telle qu’une association professionnelle ;

      (33) considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l’objet d’un traitement, sauf consentement explicite de la personne concernée ; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d’activités légitimes par certaines associations ou fondations dont l’objet est de permettre l’exercice de libertés fondamentales ;

      (34) considérant que les États membres doivent également être autorisés à déroger à l’interdiction de traiter des catégories de données sensibles lorsqu’un motif d’intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d’assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d’assurance maladie - et tels que la recherche scientifique et les statistiques publiques ; qu’il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes ;

      (35) considérant, en outre, que le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public, au profit d’associations à caractère religieux officiellement reconnues, est mis en oeuvre pour un motif d’intérêt public important ;

      (36) considérant que, si, dans le cadre d’activités liées à des élections, le fonctionnement du système démocratique suppose, dans certains États membres, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé en raison de l’intérêt public important, à condition que des garanties appropriées soient prévues ;

      (37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d’expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d’expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ; qu’il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, les mesures relatives au transfert des données vers des pays tiers ainsi que les compétences des autorités de contrôle, sans qu’il y ait lieu toutefois de prévoir des dérogations aux mesures visant à garantir la sécurité du traitement ; qu’il conviendrait également de conférer au moins à l’autorité de contrôle compétente en la matière certaines compétences a posteriori, consistant par exemple à publier périodiquement un rapport ou à saisir les autorités judiciaires ;

      (38) considérant que le traitement loyal des données suppose que les personnes concernées puissent connaître l’existence des traitements et bénéficier, lorsque des données sont collectées auprès d’elles, d’une information effective et complète au regard des circonstances de cette collecte ;

      (39) considérant que certains traitements portent sur des données que le responsable n’a pas collectées directement auprès de la personne concernée ; que, par ailleurs, des données peuvent être légitimement communiquées à un tiers, alors même que cette communication n’avait pas été prévue lors de la collecte des données auprès de la personne concernée ; que, dans toutes ces hypothèses, l’information de la personne concernée doit se faire au moment de l’enregistrement des données ou, au plus tard, lorsque les données sont communiquées pour la première fois à un tiers ;

      (40) considérant que, cependant, il n’est pas nécessaire d’imposer cette obligation si la personne concernée est déjà informée ; que, en outre, cette obligation n’est pas prévue si cet enregistrement ou cette communication sont expressément prévus par la loi ou si l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, ce qui peut être le cas pour des traitements à des fins historiques, statistiques ou scientifiques ; que, à cet égard, peuvent être pris en considération le nombre de personnes concernées, l’ancienneté des données, ainsi que les mesures compensatrices qui peuvent être prises ;

      (41) considérant que toute personne doit pouvoir bénéficier du droit d’accès aux données la concernant qui font l’objet d’un traitement, afin de s’assurer notamment de leur exactitude et de la licéité de leur traitement ; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel ; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée ;

      (42) considérant que les États membres peuvent, dans l’intérêt de la personne concernée ou en vue de protéger les droits et libertés d’autrui, limiter les droits d’accès et d’information ; qu’ils peuvent, par exemple, préciser que l’accès aux données à caractère médical ne peut être obtenu que par l’intermédiaire d’un professionnel de la santé ;

      (43) considérant que des restrictions aux droits d’accès et d’information, ainsi qu’à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l’État, de la défense, de la sécurité publique, d’un intérêt économique ou financier important d’un État membre ou de l’Union européenne, ainsi qu’à la recherche et à la poursuite d’infractions pénales ou de manquements à la déontologie des professions réglementées ; qu’il convient d’énumérer, au titre des exceptions et limitations, les missions de contrôle, d’inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l’intérêt économique ou financier et la répression pénale ; que cette énumération de missions concernant ces trois domaines n’affecte pas la légitimité d’exceptions et de restrictions pour des raisons de sûreté de l’État et de défense ;

      (44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d’accès, l’information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus ;

      (45) considérant que, dans le cas où des données pourraient faire l’objet d’un traitement licite sur le fondement d’un intérêt public, de l’exercice de l’autorité publique ou de l’intérêt légitime d’une personne, toute personne concernée devrait, toutefois, avoir le droit de s’opposer, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que les données la concernant fassent l’objet d’un traitement ; que les États membres ont, néanmoins, la possibilité de prévoir des dispositions nationales contraires ;

      (46) considérant que la protection des droits et libertés des personnes concernées à l’égard du traitement de données à caractère personnel exige que des mesures techniques et d’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en oeuvre du traitement, en vue d’assurer en particulier la sécurité et d’empêcher ainsi tout traitement non autorisé ; qu’il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement ; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l’état de l’art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger ;

      (47) considérant que, lorsqu’un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c’est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message ; que, toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service ;

      (48) considérant que la notification à l’autorité de contrôle a pour objet d’organiser la publicité des finalités du traitement, ainsi que de ses principales caractéristiques, en vue de son contrôle au regard des dispositions nationales prises en application de la présente directive ;

      (49) considérant que, afin d’éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues par les États membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, à condition qu’ils soient conformes à un acte pris par l’État membre qui en précise les limites ; que des exonérations ou simplifications peuvent pareillement être prévues par les États membres dès lors qu’une personne désignée par le responsable du traitement de données s’assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées ; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d’exercer ses fonctions en toute indépendance ;

      (50) considérant que des exonérations ou simplifications peuvent être prévues pour le traitement de données dont le seul but est de tenir un registre destiné, dans le respect du droit national, à l’information du public et qui est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime ;

      (51) considérant que, néanmoins, le bénéfice de la simplification ou de l’exonération de l’obligation de notification ne dispense le responsable du traitement de données d’aucune des autres obligations découlant de la présente directive ;

      (52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante ;

      (53) considérant que, cependant, certains traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, ou du fait de l’usage particulier d’une technologie nouvelle ; qu’il appartient aux États membres, s’ils le souhaitent, de préciser dans leur législation de tels risques ;

      (54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint ; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l’autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci ; que, à la suite de cet examen préalable, l’autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données ; qu’un tel examen peut également être effectué au cours de l’élaboration soit d’une mesure législative du Parlement national, soit d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées ;

      (55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales ; que les dommages que peuvent subir les personnes du fait d’un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s’il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu’il établit l’existence d’une faute de la personne concernée ou d’un cas de force majeure ; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive ;

      (56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international ; que la protection des personnes garantie dans la Communauté par la présente directive ne s’oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat ; que le caractère adéquat du niveau de protection offert par un pays tiers doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts ;

      (57) considérant, en revanche, que, lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit ;

      (58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d’un contrat ou d’une action en justice, lorsque la sauvegarde d’un intérêt public important l’exige, par exemple en cas d’échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d’un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime ; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre ; que, lorsqu’un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu’à la demande de ces personnes ou lorsqu’elles en sont les destinataires ;

      (59) considérant que des mesures particulières peuvent être prises pour pallier l’insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées ; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues ;

      (60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8 ;

      (61) considérant que les États membres et la Commission, dans leurs domaines de compétence respectifs, doivent encourager les milieux professionnels concernés à élaborer des codes de conduite en vue de favoriser, compte tenu des spécificités du traitement de données effectué dans certains secteurs, la mise en oeuvre de la présente directive dans le respect des dispositions nationales prises pour son application ;

      (62) considérant que l’institution, dans les États membres, d’autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l’égard du traitement des données à caractère personnel ;

      (63) considérant que ces autorités doivent être dotées des moyens nécessaires à l’exécution de leurs tâches, qu’il s’agisse des pouvoirs d’investigation et d’intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d’ester en justice ; qu’elles doivent contribuer à la transparence du traitement de données effectué dans l’État membre dont elles relèvent ;

      (à suivre)

    • (suite de II)

      64) considérant que les autorités des différents États membres seront appelées à se prêter mutuellement assistance dans la réalisation de leurs tâches afin d’assurer le plein respect des règles de protection dans l’Union européenne ;

      (65) considérant que, au niveau communautaire, un groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel doit être instauré et qu’il doit exercer ses fonctions en toute indépendance ; que, compte tenu de cette spécificité, il doit conseiller la Commission et contribuer notamment à l’application homogène des règles nationales adoptées en application de la présente directive ;

      (66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l’application de la présente directive nécessite l’attribution de compétences d’exécution à la Commission et l’établissement d’une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1) ;

      (67) considérant qu’un accord sur un modus vivendi concernant les mesures d’exécution des actes arrêtés selon la procédure visée à l’article 189 B du traité est intervenu, le 20 décembre 1994, entre le Parlement européen, le Conseil et la Commission ;

      (68) considérant que les principes énoncés dans la présente directive et régissant la protection des droits et des libertés des personnes, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel pourront être complétés ou précisés, notamment pour certains secteurs, par des règles spécifiques conformes à ces principes ;

      (69) considérant qu’il convient de laisser aux États membres un délai ne pouvant pas excéder trois ans à compter de l’entrée en vigueur des mesures nationales de transposition de la présente directive, pour leur permettre d’appliquer progressivement à tout traitement de données déjà mis en oeuvre les nouvelles dispositions nationales susvisées ; que, afin de permettre un bon rapport coût-efficacité lors de la mise en oeuvre de ces dispositions, les États membres sont autorisés à prévoir une période supplémentaire, expirant douze ans après la date d’adoption de la présente directive, pour la mise en conformité des fichiers manuels existants avec certaines dispositions de la directive ; que, lorsque des données contenues dans de tels fichiers font l’objet d’un traitement manuel effectif pendant cette période transitoire supplémentaire, la mise en conformité avec ces dispositions doit être effectuée au moment de la réalisation de ce traitement ;

      (70) considérant qu’il n’y a pas lieu que la personne concernée donne à nouveau son consentement pour permettre au responsable de continuer à effectuer, après l’entrée en vigueur des dispositions nationales prises en application de la présente directive, un traitement de données sensibles nécessaire à l’exécution d’un contrat conclu sur la base d’un consentement libre et informé avant l’entrée en vigueur des dispositions précitées ;

      (71) considérant que la présente directive ne s’oppose pas à ce qu’un État membre réglemente les activités de prospection commerciale visant les consommateurs qui résident sur son territoire, dans la mesure où cette réglementation ne concerne pas la protection des personnes à l’égard du traitement de données à caractère personnel ;

      (72) considérant que la présente directive permet de prendre en compte, dans la mise en oeuvre des règles qu’elle pose, le principe du droit d’accès du public aux documents administratifs,

      ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE :

      CHAPITRE PREMIER DISPOSITIONS GÉNÉRALES

      Article premier

      Objet de la directive

      1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

      2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.

      Article 2

      Définitions

      Aux fins de la présente directive, on entend par :

      a) « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

      b) « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

      c) « fichier de données à caractère personnel » (fichier) : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

      d) « responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

      e) « sous-traitement » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

      f) « tiers » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

      g) « destinataire » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu’il s’agisse ou non d’un tiers ; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d’une mission d’enquête particulière ne sont toutefois pas considérées comme des destinataires ;

      h) « consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.

      Article 3

      Champ d’application

      1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

      2. La présente directive ne s’applique pas au traitement de données à caractère personnel :

       mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

       effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.

      Article 4

      Droit national applicable

      1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

      a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

      b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public ;

      c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.

      2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

      CHAPITRE II CONDITIONS GÉNÉRALES DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

      Article 5

      Les États membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites.

      SECTION I

      PRINCIPES RELATIFS À LA QUALITÉ DES DONNÉES

      Article 6

      1. Les États membres prévoient que les données à caractère personnel doivent être :

      a) traitées loyalement et licitement ;

      b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ;

      c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

      d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

      e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

      2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1.

      SECTION II

      PRINCIPES RELATIFS À LA LÉGITIMATION DES TRAITEMENTS DE DONNÉES

      Article 7

      Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

      a) la personne concernée a indubitablement donné son consentement

      ou

      b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

      ou

      c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

      ou

      d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

      ou

      e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

      ou

      f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.

      SECTION III

      CATÉGORIES PARTICULIÈRES DE TRAITEMENTS

      Article 8

      Traitements portant sur des catégories particulières de données

      1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

      2. Le paragraphe 1 ne s’applique pas lorsque :

      a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

      ou

      b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

      ou

      c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement

      ou

      d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

      ou

      e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

      3. Le paragraphe 1 ne s’applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

      4. Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d’intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l’autorité de contrôle.

      5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

      Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique.

      6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

      7. Les États membres déterminent les conditions dans lesquelles un numéro national d’identification ou tout autre identifiant de portée générale peut faire l’objet d’un traitement.

      Article 9

      Traitements de données à caractère personnel et liberté d’expression

      Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression.

      SECTION IV

      INFORMATION DE LA PERSONNE CONCERNÉE

      Article 10

      Informations en cas de collecte de données auprès de la personne concernée

      Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

      a) l’identité du responsable du traitement et, le cas échéant, de son représentant ;

      b) les finalités du traitement auquel les données sont destinées ;

      c) toute information supplémentaire telle que :

       les destinataires ou les catégories de destinataires des données,

       le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

       l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

      dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

      Article 11

      Informations lorsque les données n’ont pas été collectées auprès de la personne concernée

      1. Lorsque les données n’ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l’enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

      a) l’identité du responsable du traitement et, le cas échéant, de son représentant ;

      b) les finalités du traitement ;

      c) toute information supplémentaire telle que :

       les catégories de données concernées,

       les destinataires ou les catégories de destinataires des données,

       l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

      dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

      2. Le paragraphe 1 ne s’applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

      (à suivre)

    • (suite de III)

      SECTION V

      DROIT D’ACCÈS DE LA PERSONNE CONCERNÉE AUX DONNÉES

      Article 12

      Droit d’accès

      Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :

      a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :

       la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

       la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

       la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ;

      b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

      c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

      SECTION VI

      EXCEPTIONS ET LIMITATIONS

      Article 13

      Exceptions et limitations

      1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

      a) la sûreté de l’État ;

      b) la défense ;

      c) la sécurité publique ;

      d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

      e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;

      f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e) ;

      g) la protection de la personne concernée ou des droits et libertés d’autrui.

      2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n’existe manifestement aucun risque d’atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l’article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n’excédant pas celle nécessaire à la seule finalité d’établissement de statistiques.

      SECTION VII

      DROIT D’OPPOSITION DE LA PERSONNE CONCERNÉE

      Article 14

      Droit d’opposition de la personne concernée

      Les États membres reconnaissent à la personne concernée le droit :

      a) au moins dans les cas visés à l’article 7 points e) et f), de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données ;

      b) de s’opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

      ou

      d’être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation.

      Les États membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l’existence du droit visé au point b) premier alinéa.

      Article 15

      Décisions individuelles automatisées

      1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

      2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu’une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision :

      a) est prise dans le cadre de la conclusion ou de l’exécution d’un contrat, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

      ou

      b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée.

      SECTION VIII

      CONFIDENTIALITÉ ET SÉCURITÉ DES TRAITEMENTS

      Article 16

      Confidentialité des traitements

      Toute personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d’obligations légales.

      Article 17

      Sécurité des traitements

      1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

      Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

      2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

      3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que :

       le sous-traitant n’agit que sur la seule instruction du responsable du traitement,

       les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

      4. Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

      SECTION IX

      NOTIFICATION

      Article 18

      Obligation de notification à l’autorité de contrôle

      1. Les États membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l’autorité de contrôle visée à l’article 28 préalablement à la mise en oeuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.

      2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

       lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

      et/ou

       lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

       d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,

       de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21 paragraphe 2,

      et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.

      3. Les États membres peuvent prévoir que le paragraphe 1 ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

      4. Les États membres peuvent prévoir une dérogation à l’obligation de notification ou une simplification de la notification pour les traitements visés à l’article 8 paragraphe 2 point d).

      5. Les États membres peuvent prévoir que les traitements non automatisés de données à caractère personnel, ou certains d’entre eux, font l’objet d’une notification, éventuellement simplifiée.

      Article 19

      Contenu de la notification

      1. Les États membres précisent les informations qui doivent figurer dans la notification. Elles comprennent au minimum :

      a) le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;

      b) la ou les finalités du traitement ;

      c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;

      d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;

      e) les transferts de données envisagés à destination de pays tiers ;

      f) une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l’article 17.

      2. Les États membres précisent les modalités de notification à l’autorité de contrôle des changements affectant les informations visées au paragraphe 1.

      Article 20

      Contrôles préalables

      1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

      2. De tels examens préalables sont effectués par l’autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l’autorité de contrôle.

      3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l’élaboration soit d’une mesure du Parlement national, soit d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

      Article 21

      Publicité des traitements

      1. Les États membres prennent des mesures pour assurer la publicité des traitements.

      2. Les États membres prévoient que l’autorité de contrôle tient un registre des traitements notifiés en vertu de l’article 18.

      Le registre contient au minimum les informations énumérées à l’article 19 paragraphe 1 points a) à e).

      Le registre peut être consulté par toute personne.

      3. En ce qui concerne les traitements non soumis à notification, les États membres prévoient que le responsable du traitement ou une autre instance qu’ils désignent communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l’article 19 paragraphe 1 points a) à e).

      Les États membres peuvent prévoir que la présente disposition ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

      CHAPITRE III RECOURS JURIDICTIONNELS, RESPONSABILITÉ ET SANCTIONS

      Article 22

      Recours

      Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.

      Article 23

      Responsabilité

      1. Les États membres prévoient que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi.

      2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

      Article 24

      Sanctions

      Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

      (à suivre)

    • (Suite de IV et fin)

      CHAPITRE IV TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS

      Article 25

      Principes

      1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

      2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

      3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.

      4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.

      5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

      6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

      Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

      Article 26

      Dérogations

      1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que :

      a) la personne concernée ait indubitablement donné son consentement au transfert envisagé

      ou

      b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée

      ou

      c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers

      oud) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice

      ou

      e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

      ou

      f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.

      2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

      3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2.

      En cas d’opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l’article 31 paragraphe 2.

      Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

      4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

      CHAPITRE V CODES DE CONDUITE

      Article 27

      1. Les États membres et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.

      2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d’autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l’intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l’examen de l’autorité nationale.

      Les États membres prévoient que cette autorité s’assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l’estime opportun, l’autorité recueille les observations des personnes concernées ou de leurs représentants.

      3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l’article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S’il l’estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

      CHAPITRE VI AUTORITÉ DE CONTRÔLE ET GROUPE DE PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

      Article 28

      Autorité de contrôle

      1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

      Ces autorités exercent en toute indépendance les missions dont elles sont investies.

      2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

      3. Chaque autorité de contrôle dispose notamment :

       de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

       de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

       du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

      Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

      4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

      Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

      5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

      6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

      Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

      7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.

      Article 29

      Groupe de protection des personnes à l’égard du traitement des données à caractère personnel

      1. Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».

      Le groupe a un caractère consultatif et indépendant.

      2. Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.

      Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.

      3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.

      4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.

      5. Le secrétariat du groupe est assuré par la Commission.

      6. Le groupe établit son règlement intérieur.

      7. Le groupe examine les questions mises à l’ordre du jour par son président, soit à l’initiative de celui-ci, soit à la demande d’un représentant des autorités de contrôle ou de la Commission.

      Article 30

      1. Le groupe a pour mission :

      a) d’examiner toute question portant sur la mise en oeuvre des dispositions nationales prises en application de la présente directive, en vue de contribuer à leur mise en oeuvre homogène ;

      b) de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers ;

      c) de conseiller la Commission sur tout projet de modification de la présente directive, sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés ;

      d) de donner un avis sur les codes de conduite élaborés au niveau communautaire.

      2. Si le groupe constate que des divergences, susceptibles de porter atteinte à l’équivalence de la protection des personnes à l’égard du traitement des données à caractère personnel dans la Communauté, s’établissent entre les législations et pratiques des États membres, il en informe la Commission.

      3. Le groupe peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l’égard du traitement de données à caractère personnel dans la Communauté.

      4. Les avis et recommandations du groupe sont transmis à la Commission et au comité visé à l’article 31.

      5. La Commission informe le groupe des suites qu’elle a données à ses avis et recommandations. Elle rédige à cet effet un rapport qui est transmis également au Parlement européen et au Conseil. Ce rapport est publié.

      6. Le groupe établit un rapport annuel sur l’état de la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu’il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.

      CHAPITRE VII MESURES D’EXÉCUTION COMMUNAUTAIRES

      Article 31

      Comité

      1. La Commission est assistée par un comité composé des représentants des États membres et présidé par le représentant de la Commission.

      2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l’urgence de la question en cause.

      L’avis est émis à la majorité prévue à l’article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des États membres sont affectées de la pondération définie à l’article précité. Le président ne prend pas part au vote.

      La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l’avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas :

       la Commission diffère l’application des mesures décidées par elle d’un délai de trois mois à compter de la date de la communication,

       le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.

      DISPOSITIONS FINALES

      Article 32

      1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption.

      Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

      2. Les États membres veillent à ce que les traitements dont la mise en oeuvre est antérieure à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.

      Par dérogation à l’alinéa précédent, les États membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d’adoption de celle-ci. Les États membres permettent toutefois à la personne concernée d’obtenir, à sa demande et notamment lors de l’exercice du droit d’accès, la rectification, l’effacement ou le verrouillage des données incomplètes, inexactes ou conservées d’une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.

      3. Par dérogation au paragraphe 2, les États membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.

      4. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.

      Article 33

      Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l’article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l’application de la présente directive et l’assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.

      La Commission examine, en particulier, l’application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s’avérer nécessaires en tenant compte des développements de la technologie de l’information et à la lumière de l’état des travaux sur la société de l’information.

      Article 34

      Les États membres sont destinataires de la présente directive.

      Fait à Luxembourg, le 24 octobre 1995.

      Par le Parlement européen

      Le président

      K. HAENSCH

      Par le Conseil

      Le président

      L. ATIENZA SERNA

      (1) JO n° C 277 du 5. 11. 1990, p. 3.

      JO n° C 311 du 27. 11. 1992, p. 30.

      (2) JO n° C 159 du 17. 6. 1991, p. 38.

      (3) Avis du Parlement européen du 11 mars 1992 (JO n° C 94 du 13. 4. 1992, p. 198), confirmé le 2 décembre 1993 (JO n° C 342 du 20. 12. 1993, p. 30) ; position commune du Conseil du 20 février 1995 (JO n° C 93 du 13. 4. 1995, p. 1) et décision du Parlement européen du 15 juin 1995 (JO n° C 166 du 3. 7. 1995).

      (1) JO n° L 197 du 18. 7. 1987, p. 33.

    • C’est à tomber assis. On dirait qu’il n’y a plus de lois françaises.

      Combien de Français sont au courant de ces "Directives européennes" ? Où est-ce qu’on en discute chez nous ?

    • Cette directive européenne n’est pas toute récente (1995). Les partis politiques avaient eu le temps de nous en informer et de susciter des débats sur son contenu.

    • L’eurocratie ne fonctionne pas sur la base d’une quelconque proximité avec les citoyens, mais sur celle du lobbying de "décideurs", "personnalités" influentes, groupes industriels et financiers...

  • "Mais quelle loi définit les notions de race et d’ethnie ?"

    Le gouvernement et les parlementaires de la "majorité" savent très bien qu’une telle loi est impossible à faire. Ils font donc semblant de ne pas voir et passent en force.

  • Edvige, Cristina, Edvirsp... ne sont que des bouts d’un énorme iceberg. En effet, la loi de 2004 préparait déjà ce qui se passe à présent.

    La saisine du Conseil Constitutionnel par les parlementaires "de l’opposition" n’a pas été formidable. C’était une période de consensus autour du projet de Traité Constitutionnel Européen.

    La tentative de réhabiliter le colonialisme n’a pas, non plus, suscité beaucoup de vagues.

  • merci, Luis, de nous faire cette analyse remarquable : pour ma part, j’avais pressenti la même entourloupe, mais je ne savais comment la mettre en forme dans des termes simples, et avec des arguments probants.

    On nous enfume ! : non seulement Sarkozy, mais aussi les socialistes qui nous avaient pondu les décrets rendant légaux ces fichiers des RG

    Ils se réveillent enfin, après nous avoir concocté nombre de lois liberticides ; imposture !

    Droite ultra-dure, sociaux démocrates, ont besoin de tels outils pour tenter de canaliser la colère du peuple, tenter de nous museler

    Ils ont beau ficher des militants, à tour de bars, ils n’arrêteront pas l’eau

    Mais en attendant, ne nous laissons pas ficher impunément. Demandez votre fiche à la CNIL
     comptez un an d’attente
     n’espérez pas qu’elle soit complète (les éléments concernant la "sureté de l’Etat" - notion des plus vagues- sera invisible) : on ne vous montrera que les "renseignements" anodins

    Cette salope d’Edvige prend une autre voie, moins avouée, plus perverse

    Une raison de plus, s’il en étai besoin, de se battre contre le fichage

    La pétition garde son actualité

    Qui ne l’a pas signée ? ( de peur d’être "fiché" ? raté, vous êtes dedans, puisque je suis en "relation" avec vous...)

  • Pour rappel, l’actuel président de la CNIL, le sénateur "divers droite" Alex Türk ( http://fr.wikipedia.org/wiki/Alex_T... ) a été en 2004 le rapporteur du Sénat pour la loi 2004-801 dont parle l’article :

    http://www.senat.fr/dossierleg/pjl0...

    Pour la loi adoptée en dernière lecture (dont un alinéa a été censuré par le Conseil Constitutionnel), voir :

    http://www.senat.fr/leg/tas03-108.html

    La partie censurée par le Conseil Constitutionnel est le point 3° faisant suite à la mention : "Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :"

    Dans 3°, il était écrit : "Les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ;"

    Le Conseil Constitutionnel a estimé :

    "9. Considérant que l’article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l’article 2 de la loi déférée, dispose : « Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en place que par : ... - 3° Les personnes morales victimes d’infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ; ...

    (...)

    11. Considérant que le 3° de l’article 9 de la loi du 6 janvier 1978, dans la rédaction que lui donne l’article 2 de la loi déférée, permettrait à une personne morale de droit privé, mandatée par plusieurs autres personnes morales estimant avoir été victimes ou être susceptibles d’être victimes d’agissements passibles de sanctions pénales, de rassembler un grand nombre d’informations nominatives portant sur des infractions, condamnations et mesures de sûreté ; qu’en raison de l’ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées, le 3° du nouvel article 9 de la loi du 6 janvier 1978 pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; que la disposition critiquée doit dès lors comporter les garanties appropriées et spécifiques répondant aux exigences de l’article 34 de la Constitution ;"

    (fin de citation)

    et a déclaré ce point contraire à la Constitution.

    • "que la disposition critiquée doit dès lors comporter les garanties appropriées et spécifiques répondant aux exigences de l’article 34 de la Constitution ;"

      Oui, mais pourquoi seulement ici et pas ailleurs ?

    • L’actuel président de la CNIL a donc été le rapporteur au Sénat de la loi de 2004 qui autorise le fichage des "origines raciales" au nom de "l’intérêt public". On est bien servis.

      Je suis d’accord avec l’article : la directive européenne n’obligeait pas la France à autoriser ce fichage. Mais en juillet 2004, il y avait consensus dans un large majorité du monde politique pour soutenir la Traité Constitutionnel Européen. Plus grand-chose à faire de la Constitution fançaise.

    • Sur la question des "origines raciales", personne n’a exigé la même précaution légale car ils savent très bien que c’est impossible à faire et qu’ils auraient dû tout simplement retirer cette mention du texte de loi.

      Mais dans ce cas, il faut en conclure qu’ils tiennent absolument à ce genre de mentions. J’espère que Luis déposera une exception d’inconstitutionnalité contre la loi 78-17 modifiée dans son recours en Conseil d’Etat. D’ailleurs, tous les autres auteurs de recours devraient également le faire.

  • Il y a une coquille à la fin du deuxième paragraphe dans la transcription de l’article du blog de Luis :

    http://notresiecle.blogs.courrierin...

    Après vérification, la fin du deuxième paragraphe de cet article est :

    "La loi modifiée interdit à première vue le fichage impliquant un certain nombre de catégories de données personnelles, mais en réalité les dérogations à cette interdiction sont très importantes".

    Il s’agit de la loi 78-17 modifiée.

    Malheureusement, ce type de constat s’impose de plus en plus souvent : on nous fait croire que la loi nous donne tel ou tel droit, mais en réalité le droit annoncé est laminé par une série de dérogations, exceptions, irrecevabilités... dont on se garde bien de nous parler.

    • Normal. On est là pour "travailler plus et gagner moins", et pas pour lire les textes de loi. Surtout, avec "la crise".

      Quant à l’éducation, c’est censée être du "allez, courez chercher un emploi" et pas une formation permettant au citoyen de connaître et défendre ses droits.

      Voltaire disait que le "bas peuple" doit rester ignare. C’est toujours un modèle pour ceux qui nous "gèrent".

    • pour les enfants de treize ans ............. ceci véridique et qui date de ce mois de juillet "un adolescent de treize ans,dans le courant de l’année scolaire,a reçu de la part d’un camarade au collége,des propos racistes et discriminatoires,humiliants de la part d’un camarade de classe,cet ado l’a plaqué au mur ...........le pére de ce camarade a déposer plainte .............cet adolescent a été poursuivi ceci "classé sans suite"mais quand même" ficher dans le dossier edwige" pour combien de temps ??et sa vie future ?? qui à l’école n’a jamais riposter avec d’autres camarades ?ceci est grave !!!!!!!!!!!!!où l’on va a cette allure, ??(a bien préciser que cet adolescent,ne traine pas les rues ,pas de féquentations douteuses,et le suivi scolaire effectué par ses parents, rien a reprocher )quoi penser ? de cette dictature instaurée par tous ces gens qui nous gouvernent,leurs enfants subissent t-ils les mêmes punitions ? a votreavis ?le systéme actuel est bien pourri pour ce qui est de la "FRANCE D’EN BAS"l et diviser pour mieux régnier est d’actualitées !!!!!!!!!!!!!a nous de cotinuer la lutte " !!!!!!!!!!!!!,mal barré vous prie le bonjour"

    • "classé sans suite" mais quand même "fiché dans le dossier edvige"

      C’est inadmissible, d’emblée car portant atteinte à la présomption d’innocence. Il faudrait engager une procédure pour obtenir le retrait d’un fichage qui ne fait suite à aucune condamnation en justice.

    • Il y a eu aussi une correction à la fin de l’article de blog. A l’intérieur de la parenthèse, il faut lire :

      "par exemple, l'obligation de motivation circonstanciée dans le traitement des pourvois en cassation, infirmée par la décision sur la recevabilité ayant précédé l'arrêt Kosser de la CEDH"

      Le recours de la société Immeuble Groupe Kosser contre la France a fait l’objet d’une décision collégiale préalable sur sa recevabilité. C’est le lien :

      http://scientia.blog.lemonde.fr/files/2008/09/kosserrecevabilite0399.1222623837.doc.

      La Cour Européenne des Droits de l’Homme écrit :

      "La requérante se plaint que, saisi du pourvoi, le Conseil d’Etat s’est borné à rappeler succinctement le contenu du moyen et à le rejeter en énonçant seulement qu’il n’était pas de nature à permettre l’admission de la requête.

      La Cour rappelle que le droit d’accès aux tribunaux consacré par l’article 6 de la Convention peut être soumis à des limitations prenant la forme d’une réglementation par l’Etat. Celui-ci jouit d’une certaine marge d’appréciation, mais les limitations appliquées doivent poursuivre un but légitime, et ne doivent pas restreindre ni réduire l’accès ouvert à un individu d’une manière ou à un point tel que le droit s’en trouve atteint dans sa substance même (arrêt Tolstoy Miloslawsky c. Royaume-Uni du 13 juillet 1995, série A n° 316-B, p. 78-79, § 59). Elle rappelle la jurisprudence selon laquelle l’article 6 n’exige pas que soit motivée en détail une décision par laquelle une juridiction de recours, se fondant sur une disposition légale spécifique, écarte un recours comme dépourvu de chance de succès (requête n° 26561/93, décision Rebai c. France du 25 février 1997, Décisions et Rapports (DR) 88, p. 72).

      En l’espèce, la Cour note que la décision de la commission d’admission des pourvois en cassation était fondée sur l’absence de moyens de nature à permettre l’admission de la requête au sens de l’article 11 de la loi du 31 décembre 1987. Dans ces conditions, elle ne décèle aucune apparence de violation de l’article 6 § 1 de la Convention."

      (fin de citation)

      Cette jurisprudence de la CEDH a été à l’origine de l’actuelle procédure éliminatoire des pourvois en cassation dans les juridictions de l’ordre judiciaire. Voir, à ce sujet, le site de Justiciable :

      http://www.geocities.com/justiciable_fr/

      et l’article de Guy Canivet de juillet 2002 défendant ces procédures éliminatoires instaurées par une loi de 2001 (loi organique n° 2001-539 du 25 juin 2001) :

      http://www.courdecassation.fr/br_in...

      Canivet écrit notamment :

      "Il est donc indispensable que, comme de nombreuses cours suprêmes des grands systèmes de droit étrangers et, pour les chambres civiles, conformément à une tradition seulement interrompue depuis 1947, la Cour de cassation revienne à un examen préalable des pourvois dont elle est saisie.

      L’expérience a parfaitement montré que si ce mécanisme de régulation de l’accès à la Cour de cassation fait défaut, c’est-à-dire si l’ouverture de la voie de recours pourtant extraordinaire qu’est le pourvoi en cassation est incontrôlé et oblige dans tous les cas, quelle que soit la valeur de la critique, à une décision motivée selon la technique lourde du pourvoi, les moyens humains et matériels de la Cour doivent être multipliés à l’infini pour faire face à un flux de recours en constante augmentation, cette croissance continue des effectifs provoquant une modification de la nature de la Cour et de graves conséquences sur l’unité et la cohérence de la jurisprudence.

      (...)

      En donnant à la Cour de cassation le pouvoir de déclarer non admis les pourvois qui sont fondés sur des moyens non sérieux, la loi organique n° 2001-539 du 25 juin 2001 a mis en harmonie la procédure du pourvoi et le régime de l’aide juridictionnelle en subordonnant l’octroi de l’aide publique et l’examen du recours au même préalable de vérification du sérieux du grief formulé ou éventuel. Très heureusement, est de la sorte rétablie l’égalité d’accès à la Cour de cassation entre les plaideurs agissant avec le soutien de l’aide publique et ceux dont les ressources financières en écartent la nécessité."

      (fin de citation)

      On peut, depuis, rejeter un pourvoi en cassation sans en donner les motifs et éliminer de la même façon une demande d’aide juridictionnelle pour un manque prétendu de moyens sérieux.

      Comme dans le cas de l’arrêt Sacilor-Lormines, une société disposant de moyens financiers suffisants est parvenue à obtenir une certaine écoute de la CEDH. Mais la Cour rejette la plupart des recours des "petits justiciables" par une simple lettre type.

  • UN DECRET DE RETRAIT

    Voici, tiré des commentaires à l’article de ce jour d’Indépendance des Chercheurs :

    EDVIRSP, EDVIGE et leur ancêtre de 1991

    http://bellaciao.org/fr/spip.php?ar...

    une illustration de ce que le gouvernement a refusé de faire dans le cas d’EDVIGE mais que Rocard avait été obligé de faire en 1990.

    http://www.legifrance.gouv.fr/affic...

    JORF n°54 du 4 mars 1990 page 2721

    DECRET

    Décret du 3 mars 1990 portant retrait du décret no 90-184 du 27 février 1990 portant application aux fichiers automatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3, de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du décret no 90-185 du 27 février 1990 relatif au fichier informatisé du terrorisme mis en oeuvre par les services des renseignements généraux du ministère de l’intérieur

    NOR : INTX9010671D

    Le Premier ministre,

    Sur le rapport du ministre de l’intérieur,

    Décrète :

    Art. 1er. - Le décret no 90-184 du 27 février 1990 portant application aux fichiers automatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3, de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le décret no 90-185 du 27 février 1990 relatif au fichier informatisé du terrorisme mis en oeuvre par les services des renseignements généraux du ministère de l’intérieur sont retirés.

    Art. 2. - Le ministre de la défense, le ministre de l’intérieur et le ministre des départements et territoires d’outre-mer, porte-parole du Gouvernement, sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.

    Fait à Paris, le 3 mars 1990.

    MICHEL ROCARD

    Par le Premier ministre :

    Le ministre de l’intérieur,

    PIERRE JOXE

    Le ministre de la défense,

    JEAN-PIERRE CHEVENEMENT

    Le ministre des départements et territoires d’outre-mer, porte-parole du Gouvernement,

    LOUIS LE PENSEC

  • C’est très intéressant de comparer directement la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle qu’elle était avant juillet 2004 :

    http://www.legifrance.gouv.fr/affic...

    avec sa version actuelle :

    http://www.legifrance.gouv.fr/affic...

    Voir aussi cet arrêt du Conseil d’Etat du 24 janvier 2001 :

    http://www.rajf.org/spip.php?article187

    et le décret de Rocard de février 1990 (90-115) qui y est cité et qui reste en vigueur :

    http://www.legifrance.gouv.fr/affic...