La grande diversité des normes actuellement en vigueur, que ce soit à l’échelle du droit interne ou du droit communautaire, fait qu’il peut paraître hasardeux d’appréhender les relations existantes entre celles-ci. Entre dépendance et concurrence, ces différentes typologies de règles s’articulent entre elles dans un ordre juridique bien établit. En matière de protection des données personnelle, il est tout à fait primordial d’être au fait de ces particularités afin de pouvoir constituer une veille juridique complète et pertinente.

Un droit interne challengé par des normes européennes

Il convient dans un premier temps de revenir sur l’opposition existante entre le droit interne d’un état membre de l’Union européenne et le droit communautaire lui-même. Il en va ainsi de confronter la hiérarchie des normes de ces deux ordres juridiques et d’en apprécier les relations qui en découlent.

S’agissant des normes constitutionnelles internes, la question de la suprématie du droit communautaire n’est pas aisée à appréhender. Alors que, par essence, la hiérarchie des normes place la Constitution au sommet de celle, l’interférence du droit de l’Union à nécessité d’accorder à cette dernière une place particulière, qui demeure restreinte à ne pas empiéter sur l’identité constitutionnelle nationale.

Concernant les lois nationales la question est plus simple à apprécier. L’article 55 de ladite Constitution prévoit que les engagements internationaux, dont le droit de l’UE fait bien évidemment parti, ont par nature « une autorité supérieure à celle des lois ».  Dès lors, une loi française ne peut entrer en désaccord avec une norme issue du droit de l’Union européenne, que ce soit à l’égard d’une norme de droit primaire (traités de l’UE) d’une norme de droit dérivé (règlement et directive) ou même d’un principe non écrit. C’est en effet ce que consacre respectivement les arrêts Boisdet du 24 septembre 1990, Rothmans du 28 février 1992 et Syndicat national de l’industrie pharmaceutique du 3 décembre 2001, rendus par le Conseil d’Etat.

Une spécificité propre au droit de l’Union européenne nécessite toutefois d’être précisée. Alors que les directives doivent nécessairement faire l’objet d’une transposition en droit interne pour être applicable, les Règlements bénéficient de l’effet direct.

  • Plus précisément, les États membres visés par les directives doivent adopter des mesures spécifiques à leur ordonnancement juridique national leur permettant de faire appliquer les dispositions votées par les institutions de l’UE. Ainsi, seules ces dernières peuvent être invoquées dans le cadre d’un litige.
  • L’effet direct accordé aux Règlements signifie que ceux-ci s’appliquent de manière obligatoire à tous les États membres, sans qu’il y ait besoin d’une transposition en droit interne. Tout justiciable à la possibilité de se prévaloir, devant une juridiction, des Règlements en vigueur au sein de l’Union européenne.

Une évolution du droit applicable

En matière de protection des données personnelles, les institutions européennes ont fourni, depuis maintenant plusieurs décennies, une pluralité de normes encadrant le secteur, dont certaines ne sont aujourd’hui plus d’actualité :

  • Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation des données. Abrogée par le RGPD.
  • Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Actuellement en application jusqu’à l’entrée en vigueur du Règlement e-Privacy.
  • Règlement UE 2016/679, ou Règlement Général sur la Protection des Données, entré en vigueur le 14 avril 2016 et entrée en application le 25 mai 2018. L’ensemble des États membres ont donc eu deux avant que les dispositions dudit Règlement puissent leur être opposés.

En droit interne, une grande variété de lois a également pu être voté concernant la protection des données personnelles :

  • Loi n°78-17 du 6 janvier 1978 ou Loi Informatique et Liberté (LIL). Modifiée en 1991, 2004, 2018 et 2019.
  • Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économique numérique (LCEN). Transpose la directive 2000/31/CE.
  • Loi n°2016-1371 du 7 octobre 2016 pour une république numérique.
  • Loi n°2018-493 du 20 juin 2018. Adapte la loi Informatique et liberté aux exigences du RGPD.

Dans la mesure où vous seriez confronté à cette problématique, Achille-Solutions vous aide et vous conseille dans vos démarches.

Constitution données personnelles droit communautaire droit dérivé droit interne droit primaire engagement international hiérarchie des normes protection des données transposition Union Européenne veille juridique