À l’occasion de la Journée de la protection des données, le 28 janvier 2010, la Commission européenne a signalé que les règles en la matière doivent être adaptées pour rester en phase avec l’innovation technologique et garantir ainsi le respect de la vie privée, la sécurité juridique pour les entreprises et l’adoption des nouvelles technologies. En vertu de la réglementation de l’Union européenne, les données personnelles ne peuvent être utilisées que pour des motifs légitimes et avec l’accord préalable de la personne concernée.
Le traité de Lisbonne et la Charte des droits fondamentaux étant maintenant entrés en vigueur, la Commission a veut créer un cadre réglementaire clair et moderne applicable à l’ensemble de l’Union européenne et visant à garantir un niveau élevé de protection des données personnelles et de la vie privée, en commençant par une réforme de la directive de l’UE de 1995 sur la protection des données.
"Les règles de l’UE servent à protéger les données personnelles de chacun. La Commission européenne a montré sa volonté de faire respecter pleinement ces règles dans les 27 pays de l’UE. Si l’innovation est une composante importante de la société contemporaine, elle ne doit cependant pas aller à l’encontre du droit fondamental des individus au respect de la vie privée. Nous devons maintenant nous assurer que les règles générales en matière de protection des données sont en phase avec la technologie et aussi complètes que l’exige le traité de Lisbonne", a déclaré Viviane Reding, membre de la Commission européenne responsable de la société de l’information et des médias. "Les règles communautaires doivent permettre à chacun de jouir du droit d'être informé des cas dans lesquels des données personnelles peuvent être légalement utilisées, dans tous les domaines de la vie, que ce soit lors de l’embarquement à bord d’un avion, de l’ouverture d’un compte en banque ou d’une session de navigation sur internet, et de refuser lorsqu’il le souhaite."
Lors de la quatrième Journée annuelle de la protection des données qui a eu lieu le 28 janvier 2010, la Commission européenne a déclaré que les mesures qu’elle applique en matière de technologie internet sont nécessaires dans tous les secteurs de l’économie et de la société pour protéger la vie privée et les données personnelles des citoyens européens.
À cette fin, Viviane Reding a annoncé qu’elle proposera de moderniser la réglementation de l’UE en matière de respect de la vie privée, en s’appuyant sur les règles générales, telles que le directive sur la protection des données en vigueur depuis 1995, ainsi que sur les réglementations spécifiques au secteur des télécommunications et de l'internet, telles que les règles sur la protection de la vie privée dans le secteur des télécommunications.
Ces règles améliorées seraient strictement appliquées dans tous les domaines d’action et accords internationaux, qu’il s’agisse des nouvelles technologies, des droits des consommateurs ou de la sécurité publique.
Une recommandation sur les étiquettes intelligentes (smart tags) permettant une identification par ondes radio (RFID) insérées dans des produits comme les cartes de transport en commun, stipule que ces dispositifs utilisés dans le commerce de détail devraient être automatiquement désactivés, sauf si le consommateur demande expressément à ce qu’ils restent actifs.
En février 2009, elle a négocié un accord entre 18 (ils sont au nombre de 20 depuis juin) grandes sociétés de réseaux de socialisation en vue d’améliorer la sécurité en ligne des mineurs et le respect de la vie privée sur des sites de socialisation tels que Facebook. Elle présentera un rapport sur les progrès accomplis lors de la Journée pour un internet plus sûr de 2010 qui se déroule le mois prochain : par exemple, combien d’entre elles rendent les profils des mineurs privés et non accessibles par une recherche par défaut.
Suite aux propositions de la Commission, de nouvelles règles de l’UE en matière de télécoms obligent les fournisseurs de services de télécommunications tels que l’internet à avertir les autorités lorsque des infractions en matière de sécurité entraînent la perte ou l’utilisation abusive de données personnelles. Ces règles renforcent les droits des consommateurs d’être informés lorsque des dispositifs tels que des témoins de connexion ("cookies") sont installés ou accessibles sur leur ordinateur.
La Commission a lancé une action en justice contre le Royaume-Uni le 14 avril 2009 en réponse aux inquiétudes des citoyens concernant l'utilisation à des fins d’essai, par les fournisseurs de services internet, d'une technologie de publicité comportementale (connue sous le nom de "Phorm"), qui passe au crible les sites internet qu’ils visitent. La Commission a averti le Royaume-Uni que sa législation n’était pas conforme aux règles de l’UE en matière de confidentialité des télécommunications sur des questions telles que l’accord de l’utilisateur en cas d’interception de communications, les sanctions contre l'interception illégale et la surveillance des activités d’interception. L’affaire est entrée dans la deuxième phase le 3 novembre 2009. Dans l’hypothèse où le Royaume-Uni ne donnerait pas de réponse satisfaisante aux questions de la Commission, l’affaire pourrait être renvoyée devant la Cour de justice européenne.
Le respect de la vie privée et la protection des données personnelles sont des droits de l’homme inscrits dans les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne.
La directive de l'UE sur la protection des données personnelles de 1995 énonce des principes généraux en vue d’harmoniser les règles nationales comme celles relatives au traitement de données personnelles et aux droits des personnes dont les données personnelles font l’objet d’un traitement. En vertu de ces principes, le consentement d’une personne pour le traitement de ses données personnelles doit être libre, spécifique et informé.
La directive sur la vie privée et les communications électroniques de 2002 définit des principes applicables au secteur des télécommunications. Elle protège la confidentialité des communications et exige des pays membres de l’UE d’interdire leur interception et surveillance sans le consentement des utilisateurs (article 5, paragraphe 1) ou sans autorisation légale.
Le traitement des données par les institutions et organismes de l’UE est couvert par le règlement (CE) n° 45/2001 sur la protection des données. Le cadre général de l’UE en matière de protection des données personnelles dans le domaine de la coopération policière et judiciaire en matière pénale est la décision-cadre 2008/977/JHA.
Le Conseil de l'Europe a créé la Journée de la protection des données en 2007 pour expliquer quelles données personnelles sont collectées et à quelles fins, ainsi que les droits et responsabilités des citoyens.