Le droit européen est en constante évolution concernant les données personnelles. En effet la protection et la suppression de ces données sur internet nécessitent une adaptation régulière.
Les données à caractère personnel sont définies comme « toute information relative à une personne physique identifiée, directement ou indirectement, par référence (…) à un ou plusieurs éléments qui lui sont propres. ». Il s’agit par exemple du prénom et du nom patronyme d’une personne, de son numéro de téléphone, de son adresse email ou encore de adresse postale.
Trois directives européennes régissent ce domaine.
La directive 95/46/CE du 24 Octobre 1995 :
Cette directive est le texte de référence, au niveau européen, en matière de protection des données à caractère personnel surtout pour la protection du droit à la vie privée.
Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne (UE). Pour cela, elle fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel, et demande la création, dans chaque Etat membre, d’un organisme national indépendant chargé de la protection de ces données, la CNIL en France.
La directive 2002/58/CE du 12 Juillet 2002 :
Cette directive précise et complète la directive 95/46/CE notamment sur la sécurité du traitement des données à caractère personnel, sur la protection de la vie privée dans le secteur des communications électroniques et sur la confidentialité des communications et des données relatives au trafic dans l’UE.
La directive 2006/24 :
Le 21 Septembre 2005, la Commission a présenté une analyse d’impact des options politiques relatives à des règles concernant la conservation des données relatives au trafic (« analyse d’impact »). Cette analyse a servi de base à l’élaboration de la proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, ce qui a abouti à l’adoption de la directive 2006/24.
Cependant par un arrêt du 8 Avril 2014, la Cour européenne a déclaré la directive 95/46/CE invalide de manière rétroactive.
Tout d’abord, selon elle, les données à conserver permettent de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
Ces données sont susceptibles de fournir des indications très précises sur la vie privée des personnes comme les habitudes de la vie quotidienne, les lieux de séjour, les déplacements, les activités, les relations sociales et les milieux sociaux…
La Cour estime qu’en imposant la conservation de ces données et en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Notamment du fait que la conservation et l’utilisation de ces données soient effectuées sans que l’abonnée ou l’utilisateur en soit informé.
Cependant, la Cour constate que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données personnelles. Mais même si cette conservation peut être considérée comme apte à réaliser l’objectif poursuivi par la directive, « l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire ».
La directive couvre de façon générale l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans aucune différenciation, limitation ou exception en fonction de l’objectif de lutte contre les infractions graves.
Concernant la durée de conservation des données, la directive impose une durée de 6 mois au minimum et de 24 mois au maximum sans distinction particulière entre les catégories de données.
Enfin, la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace de ces données contre les risques d’abus ou contre l’accès et l’utilisation illicites de ces données et n’impose pas une conservation des données sur le territoire de l’Union.
Ces arguments ont été récemment utilisés dans l’arrêt Google rendu le 13 Mai 2014 par la Cour européenne de justice.