Menu d'accessibilité

- D -


Délégué à la protection des données  

En application du règlement (CE) nº 45/2001, chaque institution ou organe communautaire doit désigner un délégué à la protection des données (DPD) chargé d'assurer l'application interne du règlement et de veiller à ce que le traitement ne risque pas de porter atteinte aux droits et libertés des personnes concernées.

Par ailleurs, le DPD tient un registre de tous les traitements qui lui sont notifiés par les responsables du traitement de l'institution ou de l'organe pour lequel il travaille.

Liste des délégués à la protection des données

Destinataire  

Selon l'article 2, point g) du règlement (CE) n° 45/2001, on entend par destinataire "la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit la communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires."

La notification d'un traitement doit comprendre des informations sur les destinataires des données à caractère personnel. Un destinataire peut être un tiers (à l'exception des autorités qui, dans le cadre d'une enquête particulière, reçoivent communication de données et qui sont alors considérées comme de simples tiers).

Prenons, à titre d'exemple, les fiches de paie des fonctionnaires des institutions et organes de l'UE: celles-ci sont adressées non seulement aux employés, mais aussi à l'institution ou à l'organe concerné, et les données (compilées) sont transmises à Eurostat.

Voir également: Questions et réponses sur le transfert de données à caractère personnel.

Directive 95/46/CE sur la protection des données  

La directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (également appelée "directive sur la protection des données") constitue l'acte législatif de base, au niveau de l'UE, dans le domaine de la protection des données.

Il s'agit d'un instrument-cadre, en ce sens que la directive est mise en œuvre au moyen des lois nationales adoptées dans les États membres de l'UE.

Elle vise à protéger les droits et libertés des personnes à l'égard du traitement de données à caractère personnel, et définit à cet effet des orientations permettant de déterminer à quelles conditions le traitement est licite. Ces orientations concernent principalement :

La directive énonce en outre les principes régissant le transfert de données à caractère personnel vers des pays tiers et prévoit la création d'autorités chargées de la protection des données dans chaque État membre de l'UE.

Directive 2009/136/CE "vie privée et communications électroniques"   

La directive 2009/136/CE entrée en vigueur en mai 2011 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elle est plus communément désignée sous le nom de "directive vie privée et communications électroniques" et modifie la Directive 2002/58/CE.

La directive "vie privée et communications électroniques" porte sur le traitement des données à caractère personnel et la protection de la vie privée, et contient notamment des dispositions relatives à:

  • la sécurité des réseaux et des services,
  • la confidentialité des communications,
  • l'accès à des informations stockées,
  • le traitement de données relatives au trafic et de données de localisation,
  • l'identification de la ligne appelante,
  • les annuaires publics d'abonnés, et
  • les communications commerciales non sollicitées ("spam").

Les principales modifications apportées à la directive de 2002 comprennent une règle exigeant la notification des violations de données (par exemple quelqu'un dont les données personnelles sont perdues, modifiées ou consultées illégalement tout en étant traitées par son fournisseur de communications électroniques devrait être informé si cette violation est susceptible de l'affecter négativement) et une extension de la directive pour couvrir également les différentes étiquettes électroniques, le renforcement des règles d'application, etc.

Données à caractère personnel  

Conformément à l'article 2, point a), du règlement (CE) n° 45/2001 , on entend par données à caractère personnel "toute information concernant une personne physique identifiée ou identifiable, dénommée "personne concernée"; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale".

Le nom et le numéro de sécurité sociale sont deux exemples de données à caractère personnel qui se rapportent directement à une personne. La définition couvre toutefois un champ plus vaste et englobe également, par exemple, les adresses électroniques et le numéro de téléphone professionnel d'un travailleur. Les informations sur les invalidités physiques, celles qui figurent dans les dossiers médicaux et dans l'évaluation d'un employé constituent d'autres exemples de données à caractère personnel.

Les données à caractère personnel traitées dans le cadre de l'activité professionnelle de la personne concernée demeurent personnelles (ou individuelles) dans le sens où elles continuent à être protégées par la législation en vigueur en matière de protection des données, laquelle vise à protéger la vie privée et l'intégrité des personnes physiques. Par conséquent, la législation sur la protection des données ne couvre pas les personnes morales (hormis les cas exceptionnels où les informations relatives à une personne morale concernent une personne physique).

► Plus d'informations sur les "données à caractère personnel"

Données PNR  

Le sigle PNR (pour Passenger Name Record) sert à désigner les données des dossiers passagers.

Ces informations sont collectées par les compagnies aériennes ou les agences de voyage au moment où le passager effectue une réservation, avant le voyage. Elles sont à distinguer des informations préalables sur les passagers ("données API"), qui sont collectées à un stade ultérieur, au moment de l'embarquement.

Outre le nom du passager, les données PNR comprennent toutes les informations nécessaires à la réservation, telles que:

  • l'agence de voyage qui s'est chargée de la réservation;
  • l'itinéraire (y compris les connexions);
  • les vols (numéros, dates, horaires);
  • les groupes de personnes enregistrées sous le même numéro de réservation;
  • les coordonnées du passager (numéro de téléphone, adresse, etc.);
  • les informations relatives au paiement ou à la facturation;
  • les réservations d'hôtel ou de voiture;
  • les demandes relatives à des services spécifiques (telles que numéro de siège, repas spécial, assistance médicale);
  • les informations relatives aux "grands voyageurs".

Les autorités répressives ont manifesté un intérêt pour la collecte des données PNR dans le but de lutter contre le terrorisme et les autres formes de criminalité. L'Union européenne a conclu des accords avec des pays tiers qui exigent ce type d'informations, afin d'instaurer des garanties minimales en matière de protection des données lors de leur utilisation. Le groupe de travail "Article 29" et le CEPD ont rendu des avis officiels sur ces accords.

Voir également:

Données relatives au trafic  

Les données relatives au trafic sont les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques.

Les données nécessaires pour transmettre la communication varieront selon les moyens de communication utilisés, mais elles comprennent généralement les coordonnées, la date, l'heure et les données de localisation.

Bien qu'il convienne de distinguer les données relatives au trafic des données relatives au contenu, ces deux catégories de données sont très sensibles, puisqu'elles fournissent des informations sur des communications confidentielles. Elles font donc l'objet d'une protection particulière, décrite aux articles 5 et 6 de la directive 2009/136/CE "vie privée et communications électroniques" et aux articles 36 et 37 du règlement (CE) n° 45/2001.

Données sensibles  

Les données sensibles comprennent les données qui "révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle" (article 10 du règlement (CE) n° 45/2001; article 8 de la directive 95/46/CE).

Le traitement de ces informations est en principe interdit, sauf dans certains cas exceptionnels: par exemple, si le traitement est nécessaire aux fins de diagnostics médicaux, qu'il est assorti de garanties spécifiques en matière de droit du travail ou qu'il est réalisé avec le consentement explicite de la personne concernée.

Droit à l'information  

Toute personne a le droit de savoir que des données à caractère personnel la concernant font l'objet d'un traitement et de connaître la finalité de ce traitement. Ce droit à l'information est essentiel car il détermine l'exercice d'autres droits.

Le droit à l'information fait référence aux informations qui sont fournies à une personne concernée , que les données aient été ou non collectées auprès de cette dernière.

Les informations qui doivent être fournies concernent l'identité du responsable du traitement , la ou les finalités du traitement, les destinataires, ainsi que l'existence du droit d'accès aux données et le droit de rectification de ces données.

Le droit à l'information de la personne concernée est limité dans certains cas, par exemple pour des raisons de sécurité publique ou pour la prévention, la recherche, la détection et la poursuite d'infractions pénales, y compris la lutte contre le blanchiment d'argent.

Dans le cadre du traitement de données au sein des institutions communautaires (voir articles 11 et 12 du règlement (CE) n° 45/2001 ), l'exigence relative à ce droit est souvent satisfaite au moyen d'une déclaration de confidentialité.

Droit d'accès  

Le droit d'accès est le droit pour toute personne concernée d'obtenir du responsable d'un traitement la confirmation que les données la concernant font l'objet d'un traitement ainsi que des informations sur la finalité dudit traitement et sur la logique qui sous-tend tout traitement automatisé la concernant.

Ce droit permet également à la personne concernée d'obtenir la communication, sous une forme intelligible, des données faisant l'objet du traitement, ainsi que de toute information relative au traitement.

Ce droit peut s'exercer sans contrainte, à tout moment dans un délai de trois mois à partir de la réception de la demande d'information, et gratuitement (article 13 du règlement (CE) n° 45/2001).

Droit de rectification  

Le droit de rectification est le droit d'obtenir du responsable du traitement la rectification, sans délai, des données à caractère personnel inexactes ou incomplètes (article 14 du règlement (CE) n° 45/2001).

Complément essentiel au droit d'accès , le droit de rectification est important afin de garantir un niveau élevé en termes de qualité des données.

Pour exercer son droit de rectification, la personne concernée doit généralement écrire au responsable du traitement. Si, à titre d'exemple, elle doit modifier son adresse ou si elle constate que des informations la concernant sont inexactes, elle peut exercer son droit de rectification en contactant le responsable du traitement qui est en possession de ces données.

Droit d'opposition  

Le droit d'opposition comporte deux aspects. Tout d'abord, il renvoie au droit de toute personne concernée de s'opposer au traitement des données la concernant (exception faite de certains cas, telle qu'une obligation légale spécifique). En cas d'opposition justifiée, fondée sur des motifs légitimes tenant à la situation particulière de la personne concernée, le traitement en question ne peut plus porter sur ces données (voir article 14, point a), de la directive 95/46/CE et article 18, point a), du règlement (CE) n° 45/2001).

Le droit d'opposition renvoie également au droit spécifique dont bénéficie toute personne concernée:

  • d'être informée gratuitement, avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection;
  • de s'opposer à une telle utilisation sans avoir à fournir de justification (voir article 14, point b), de la directive 95/46/CE et article 18, point b), du règlement (CE) n° 45/2001).

Le droit d'opposition peut être exercé au moment de la collecte des données (par exemple, au moment de remplir un formulaire), ou à un stade ultérieur, en contactant le responsable du traitement. Le droit d'opposition est gratuit pour la personne qui l'exerce.

  • 25 mars 2017

    60th anniversary of the Rome Treaties. Giovanni Buttarelli to participate in the meeting of the 27 EU heads of state and heads of European Union institutions in Rome, Italy.

  • 15 mars 2017

    Data Protection and the EU institutions. Read the latest blogpost by Giovanni Buttarelli and the EDPS Opinion.

  • 15 mars 2017

    EDPS sees opportunity for stronger consumer and data protection. Read the EDPS Opinion and the press release.

  • 13 mars 2017

    2018 International Conference of Data Protection and Privacy Commissioners to be hosted in Brussels. Read the press statement.

  • 07 mars 2017

    EDPS calls for consistent improvements in the approach to EU border policy. Read the EDPS Opinion and the press release.

  • 28 mars 2017

    Giovanni Buttarelli meeting with Greg Nojeim, Senior Counsel and Director, Freedom, Security and Technology Project, Center for Democracy & Technology (CDT), Brussels, Belgium

  • 28 mars 2017

    Giovanni Buttarelli meeting with Cornelia Ernst, MEP, Brussels, Belgium

  • 27 mars 2017

    Processing of personal data  by the Union institutions, bodies, offices and agencies, Study group meeting, EESC, Participation of Giovanni Buttarelli, Brussels Belgium

  • 25 mars 2017

    60th anniversary of the Rome Treaties, Participation of Giovanni Buttarelli in the meeting of the 27 EU heads of state and heads of European Union institutions, Rome, Italy

  • 23 mars 2017

    Forum on International Privacy Law, Participation of Wojciech Wiewiórowski, Königstein, Germany

  • 23 mars 2017

    Participation of Giovanni Buttarelli in DAPIX, Brussels, Belgium

  • 23 mars 2017

    Concurrences Review, Law & Economics Workshop: Big Data, Speech by Giovanni Buttarelli, Brussels, Belgium

  • 13 mars 2017

    Regulating Privacy through Ethical Standards and Accountability Principles in the era of Big Data, Keynote speech of Wojciech Wiewiórowski: Towards a new digital ethics – data, dignity and technology: How to ensure accountability in personal data management?, Brussels, Belgium