Afin d'harmoniser la protection des données personnelles et faciliter leur échange à travers les frontières, l'OCDE avait publié, en 1980, des «Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel ». Sans valeur contraignante, ces lignes directrices, qui n'ont jamais été mises en œuvre par les États-Unis, ont inspiré la directive 95/46/CE, les six principes y figurant ayant été repris: principe de la limitation en matière de collecte ; de la qualité des données; de la limitation de l'utilisation; des garanties de sécurité; de la participation individuelle; de la responsabilité.
Comme son nom l'indique, la directive vise à harmoniser les normes des différents États-membres en matière de protection des données personnelles, ceci afin de faciliter leur libre-circulation à des fins, notamment, commerciales.
L'article 2 définit la notion de « données personnelles » ainsi que de « système de traitement de données » et celle de « contrôleur » ou responsable de la bonne tenue des systèmes précités.
Au niveau territorial, la directive s'applique dès que le responsable utilise des équipements situés sur le territoire de l'un des États membres de l'UE, y compris lorsqu'il est lui-même situé à l'étranger (art. 4). Par ailleurs, des règles spécifiques concernent l'échange de données à des États tiers (articles 25 et 26). Les pays de l'Espace économique européen (outre les 28 de l'UE, cela inclut l'Islande, le Liechtenstein et la Norvège) ne sont pas considérés comme États tiers, dans la mesure où la directive a été intégrée dans l'accord sur l'Espace économique européen.
Principes
Les données personnelles ne doivent pas être soumises à un traitement automatisé, sauf si celui-ci remplit les exigences posées par trois principes: proportionnalité, transparence, et finalité légitime. La directive reprend les principes généraux et les droits édictés dans la loi Informatique et libertés de 1978 et qui forment le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique, parmi lesquels le droit d'accès et de rectification aux données, le principe du consentement, etc.
L'art. 29 créé un groupe européen, dit G29 (Groupe de travail Article 29 sur la protection des données). Ce groupe a notamment négocié avec les États-Unis les International Safe Harbor Privacy Principles visant à améliorer la protection des données personnelles des résidents de l'Union européenne traitées aux États-Unis, la Loi sur la protection de 1974(en) n'accordant cette protection, jugée inférieure à celle établie dans l'UE, qu'aux ressortissants américains. Le G29 a aussi été au centre de la controverse concernant les accords SWIFT et les échanges des données issues des registres aériens (Passenger Name Records).
Il rédige aussi les Règles d'entreprise contraignantes.
↑(en) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, vol. OJ L, (lire en ligne)
