En matière de protection des données en Europe, une législation nationale ne peut rendre plus restrictives, au regard de la directive 95/45, les conditions dans lesquelles un traitement de données à caractère personnel peut être effectué sans le consentement de la personne.
C’est en substance ce qu’a jugé la Cour de justice de l’Union européenne dans un arrêt du 24 novembre 2011.
En l’espèce le droit espagnol a ajouté, à la condition tirée de l’intérêt légitime au traitement des données sans le consentement de la personne concernée, une condition qui n’existe pas dans la directive (art.7 f de la directive), à savoir que les données figurent dans les sources accessibles au public.
La CJUE a considéré que le droit espagnol a dépassé les limites du texte en ajoutant des conditions supplémentaires à celles qui étaient prévues par la directive, en rappelant que l’harmonisation recherchée par la directive ne se limitait pas à une harmonisation minimale mais en principe complète au sein de l’union. La cour déclare, par ailleurs, que la disposition visée dans la directive est suffisamment précise et possède un effet direct permettant à un particulier de l’invoquer.
Cet arrêt met en lumière les différences de transposition de la directive au sein des Etats membres de l’Union européenne contraignant les entreprises intervenant dans plusieurs pays de l’Union à tenir compte des spécificités locales et plaide en faveur d’une harmonisation complète des dispositions relatives à la protection des données, comme le défend la vice-présidente de la Commission Viviane Reding dans le cadre de la modification de la directive 95/46.
CJUE 24-11-2011 aff. C-468/10 et C-469/10 Asnef et Fecemd c./ Espagne