Les données personnelles sont protégées en vertu du droit à la vie privée prévu par les instruments internationaux relatifs aux droits humains. Par exemple, la Cour européenne des droits de l'homme a décidé que les données téléphoniques, les mails/courriels et l'utilisation d'Internet (Copland v. the United Kingdom 2007 §§ 41-42), ainsi que les données stockées sur des serveurs informatiques (Wieser and Bicos Beteiligungen GmbH v. Austria, § 45), entrent dans le champ de protection de l'article 8(1) de la Convention européenne des droits de l'homme. Au regard de ce texte, le simple stockage de données à caractère personnel peut constituer une violation du droit à la vie privée d'un utilisateur. La violation dépend, toutefois, du contexte dans lequel les données ont été collectées, de la manière dont elles ont été recueillies, traitées et utilisées, et du résultat de ce traitement (S. et Marper c. Royaume-Uni, 2008). En outre, dans les affaires Tristán Donoso v. Panama and Escher et al. v. Brazil (2009), la Cour interaméricaine des droits de l'homme a décidé que les données recueillies et transmises au moyen des nouvelles technologies numériques et d'Internet sont couvertes par l'article 11 de la Convention américaine relative aux droits de l'homme de 1969. Il convient aussi de noter que l'article 8 de la Convention de l'Union africaine sur la cyber sécurité et la protection des données personnelles de 2014 couvre le droit au « respect des données à caractère personnel », tout comme l'article 8(1) de la Charte des droits fondamentaux de l'Union européenne de 2000 et l'article 16(1) du Traité sur le fonctionnement de l'Union européenne de 1957 (également appelé Traité de Rome) qui érigent la protection des données personnelles en un droit humain fondamental.
La protection des données englobe la génération, la collecte, le stockage, l'analyse, l'utilisation et le partage des informations personnelles. La génération et la collecte des données personnelles sont incluses ici car « le droit à la vie privée n'est pas seulement affecté par l'examen ou l'utilisation d'informations sur une personne par un humain ou un algorithme [...] (Bernal, 2016), mais aussi par le simple fait de la génération et de la collecte de données relatives à l'identité, la famille ou la vie d'une personne... (voir A/HRC/27/37, para. 20…[; Rotaru v. Romania, 2000; Kopp v. Switzerland, 1998; and Roman Zakharov v. Russia, 2015)] » (A/HRC/39/29, para. 7).
On peut effectuer une recherche dans une base de données comportant des informations personnelles, la consulter, la modifier, la mettre à jour ; des organismes publics et privés, nationaux ou étrangers, peuvent y avoir accès. La gouvernance de la collecte, du stockage, de l'utilisation et du partage des informations par les organismes publics et privés varie selon les pays. Un rapport de 2018 du Haut-Commissaire des Nations Unies aux droits de l'homme affirme que « [l]'interconnexion accrue en matière de traitement des données publiques et privées, et le bilan actuel qui dénote une utilisation abusive massive et récurrente des informations personnelles par certaines entreprises commerciales, confirment que des mesures législatives sont nécessaires pour parvenir à un niveau adéquat de protection de la vie privée » (citant A/HRC/RES/34/7, para. 5(f) et A/HRC/RES/38/7, para. A/HRC/39/29, para. 27). Les données personnelles sont traitées par des pays dont la législation les protège plus ou moins, voire absolument pas.Par exemple, au Ghana, l'article 60 de la loi de 2012 sur la protection des données autorise le gouvernement, dans l'intérêt de la sécurité nationale, à accéder à des données à caractère personnel sans mandat ou autre forme autorisation judiciaire, comme par exemple l’ordonnance d’un tribunal.
Les pratiques en matière de protection des données varient également selon qu'il s'agit d'autorités publiques ou privées. Aux États-Unis, par exemple, seuls certains types de données collectées, stockées, analysées et partagées par des entreprises privées sont réglementés, telles que, par exemple, les données financières, de santé, d'éducation et sur les enfants ; Maras et Wandt, 2019). Par ailleurs, dans certains pays, la protection diffère en fonction du type de données ; par exemple, le contenu d'un courrier électronique est mieux protégé que l'adresse électronique de l'expéditeur ou du destinataire.La législation sur la protection des données varie en fonction des types et les sources de données, par exemple, les données sectorielles, les données en ligne, les données hors ligne et les données sensibles, et selon les personnes concernées, comme par exemple selon qu’il s’agit d’adultes ou d’enfants). Le Mexique, par exemple, dispose de deux lois en la matière, l'une régissant le secteur privé, la loi fédérale de 2010 sur la protection des données personnelles détenues par des parties privées, et l'autre organisant le secteur public, la loi générale de 2017 sur la protection des données personnelles en possession des sujets de droit.La loi mexicaine contient également des dispositions qui régissent les données privées dans le contexte des services fournis en mode cloud, et règlemente notamment l'accès des forces de l'ordre aux données stockées dans un cloud et le traitement de ces données après la fin desdits services.
Le caractère transfrontalier d'Internet exige une réglementation transnationale de la protection des données qui dépasse les lois et dispositifs nationaux. Citons par exemple la Convention de l'Union africaine sur la cyber sécurité et la protection des données personnelles de 2014 et l’Acte additionnel A/SA.1/01/10 sur la protection des données personnelles au sein de la CEDEAO. de la Communauté économique des États d'Afrique de l'Ouest (CEDEAO). Ces lois et dispositifs régionaux ont été influencés par la directive européenne sur la protection des données (Directive 1995/46/EC) (Greenleaf, 2011 ; Orji, 2017 ; Makulilo, 2013a ; Makulilo, 2013b), qui a été remplacée par le Règlement général de l'UE sur la protection des données(RGPD) le 25 mai 2018. Cette réglementation commune sur la protection des données régit le traitement, le stockage, l'utilisation et l'échange de données dans tous les États membres de l'UE. Elle s'applique également aux autres pays, autorités publiques et organismes privés en dehors de l’UE qui fournissent des biens et des services à l'UE et traitent les données de résidents de ses États membres. Le RGPD vise à harmoniser le traitement, le stockage, l'utilisation et l'échange sécurisés des données personnelles. Ces règles ont pour but de minimiser l'empreinte numérique des utilisateurs et la façon dont les applications, la technologie et les services et plateformes Internet exploitent cette empreinte. Elles renforcent les droits des personnes en matière de vie privée et améliore la libre circulation des données personnelles à travers les frontières par l'harmonisation des pratiques en matière de protection des données. Ce règlement a clarifié la définition des données à caractère personnel, établi des règles pour le traitement des données, délimité les rôles et responsabilités des personnes qui contrôlent et traitent les données à caractère personnel, renforcé les sanctions en cas de non-respect et imposé la notification des violations de données dans les 72 heures suivant l'incident.
Ce règlement impose de nouvelles obligations à celles et ceux qui contrôlent le traitement de données, c’est-à-dire la personne ou l'entité qui décide des objectifs du traitement des données concernées et des méthodes qui sont employées, et aux préposés au traitement de données, c'est-à-dire la personne ou l'entité responsable du traitement de données sur la base des méthodes spécifiées par le contrôleur des données). Le RGPD réglemente l'accès aux données, leur rectification, leur effacement/suppression, ainsi que les obligations de transparence qui incombent aux responsables du traitement et à leurs sous-traitants. Il prévoit un droit d'opposition aux pratiques de profilage, soumet les entreprises traitant des données à des obligations visant à en garantir la sécurité, confère des pouvoirs accrus aux autorités chargées de la protection des données et facilite la coordination et la coopération en matière de traitement et de protection de données. Ce règlement prévoit également des amendes et des sanctions sévères en cas de non-respect.
Dans l'affaire Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González (2014), la Cour européenne de justice a désigné les opérateurs de moteurs de recherche, tels que Google, comme responsables du traitement des données parce qu'ils contrôlent les informations à caractère personnel détenues par des sites web tiers en mettant ces sites web à la disposition d'autres personnes et en décidant de la manière dont ces sites sont mis à disposition.
Les utilisateurs ont le droit d'être informés du traitement des données ; le droit d'accéder aux données traitées ; le droit de demander leur rectification; celui de demander leur effacement (on parle également de « droit à l’oubli » ; la personne concernée a le droit de demander et de faire effacer ses données des fichiers du responsable du traitement, et d'empêcher l'utilisation et le transfert ultérieurs de celles-ci par des tiers) ; le droit de s’opposer au traitement ; celui de le limiter/restreindre; le droit à la portabilité des données, à savoir le droit de réclamer ses données personnelles au responsable du traitement et de les transférer à un autre responsable de traitement) ; ainsi que le droit de ne pas être soumis à une décision fondée exclusivement sur un processus automatisé (par exemple, le profilage).
Dans l'affaire Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González (2014), la Cour européenne de justice a décidé que la Directive 1995/46/CE permettait aux utilisateurs de demander que leurs données personnelles soient supprimées des moteurs de recherche et des navigateurs. La Cour a notamment jugé qu’une personne est en droit de demander aux responsables du traitement des données (par exemple, les navigateurs et les opérateurs de moteurs de recherche, tels que Google) le retrait des liens vers des sites web de tiers contenant des informations inexactes, incomplètes, non pertinentes, caduques ou obsolètes à son sujet. Elle peut demander notamment la suppression des liens vers ces contenus qui apparaissent lorsqu’une recherche est effectuée avec pour mots clés le nom de la personne. Cette suppression est limitée aux contenus indexés sous le nom de la personne qui fait la demande. Elle n’interdit pas que le même contenu reste disponible lorsque d’autres mots clés sont employés pour effectuer la recherche qui se rapportent au contenu, à la publication ou autre source, à l’éditeur ou à l’auteur.
Le RGPD s'applique aux établissements de l'UE ; terme interprété au sens large par la Cour européenne de justice comme toute organisation qui traite des données dans le cadre de ses activités, même si celles-ci sont minimes (Weltimmo v. NAIH, 2014). Pour autant que ce traitement ait lieu, dans le cadre d'un arrangement quelconque, au sein de l'Union européenne, le RGPD s’y applique. Les entreprises disposant de bureaux dans l'UE et celles actives dans la promotion ou la vente de services de marketing ou de publicité destinés aux résidents de l’UE sont également soumises à ce règlement. Même certains établissements hors UE y sont astreints, dès lors qu'ils traitent des données personnelles pour offrir des biens et des services à des résidents de l'UE ou pour surveiller le comportement de consommateurs dans l'Union à des fins de profilage, d’analyse des habitudes et de prévision des préférences personnelles des utilisateurs.
Cependant, le RGPD ne s'applique pas au traitement des données à caractère personnel pour des raisons de sécurité nationale et ou liées à la politique étrangère et de sécurité commune de l'UE, c'est-à-dire aux questions de défense et de sécurité. Il ne s'applique pas non plus aux données traitées par les institutions de l'UE, qui sont régies par le Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données ».Il ne s'applique pas non plus aux données traitées par les autorités publiques aux fins de la prévention, de la recherche, de la détection ou de la poursuite de délits criminels ; cette question est régie par la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 « sur la protection des personnes physiques à l'égard du traitement de données à caractère personnel par les autorités compétentes aux fins de la prévention, de la recherche, de la détection ou de la poursuite de délits criminels ou de l'exécution de peines criminelles, et sur la libre circulation de ces données. »
La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du conseil de l’Europe de 1981 (ETS No. 108) est un traité international sur la protection des données juridiquement contraignant. À la suite de cette convention, un protocole additionnel facultatif concernant les autorités de surveillance et les flux transfrontières de données, le Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel de 2001, préconisait la création d’autorités de surveillance pour veiller à la protection des données et au respect de la vie privée dans le contexte du partage des données à caractère personnel. Un autre protocole (CETS No. 223) a modifié et mis à jour la convention de 1981 (i.e., le , de 2018. Selon le Conseil de l'Europe (s.d.), la modernisation de la Convention « a poursuivi deux objectifs principaux : faire face aux défis résultant de l'utilisation des nouvelles technologies de l'information et de la communication et renforcer la mise en œuvre effective de la Convention » (pour les principales modifications apportées par le protocole d’amendement; et pour un tableau comparatif de la Convention de 1981 et de la Convention modernisée.
Aux dispositions légales nationales, régionales et internationales sur la protection des données, des pays et des organisations intergouvernementales ont ajouté des lignes directrices et principes mis en œuvre par les secteurs publics et privés à travers le monde, tels que les (1980; 2013) de l’Organisation de coopération et de développement économique (OCDE).
Les Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’année 2013:
Il conviendrait d'assigner des limites à la collecte des données de caractère personnel et toute donnée de ce type devrait être obtenue par des moyens licites et loyaux et, le cas échéant, après en avoir informé la personne concernée ou avec son consentement.
Les données de caractère personnel devraient être pertinentes par rapport aux finalités en vue desquelles elles doivent être utilisées et, dans la mesure où ces finalités l'exigent, elles devraient être exactes, complètes et tenues à jour.
Les finalités en vue desquelles les données de caractère personnel sont collectées devraient être déterminées au plus tard au moment de la collecte des données et lesdites données ne devraient être utilisées par la suite que pour atteindre ces finalités ou d'autres qui ne soient pas incompatibles avec les précédentes et qui seraient déterminées dès lors qu'elles seraient modifiées.
Les données de caractère personnel ne devraient pas être divulguées, ni fournies, ni utilisées à des fins autres que celles spécifiées conformément au paragraphe 9, si ce n'est:
Il conviendrait de protéger les données de caractère personnel, grâce à des garanties de sécurité raisonnables, contre des risques tels que la perte des données ou leur accès, destruction, utilisation, ou divulgation non autorisés.
Il conviendrait d'assurer, d'une façon générale, la transparence des progrès, pratiques et politiques, ayant trait aux données de caractère personnel. Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données de caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du maître du fichier et le siège habituel de ses activités.
Toute personne physique devrait avoir le droit:
Tout maître de fichier devrait être responsable du respect des mesures donnant effet aux principes énoncés ci-dessus.
Des principes similaires ont été adoptés dans le droit national de certains pays. Voir, par exemple, la loi de 1993 sur la protection de la vie privée en Nouvelle-Zélande et la loi de 1988 sur la protection de la vie privée en Australie.