Le respect de la vie privée est garanti en Europe depuis l'adoption par le Conseil de l'Europe, en 1950, de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH). Au cours des années 19060 et 1970, l'incidence potentielle de l'évolution des technologies de l'information et de la communication sur la vie des citoyens est devenue manifeste, en raison notamment du développement des possibilités de surveillance, tant dans le secteur public que privé.

La législation en vigueur destinée à garantir la confidentialité des données personnelles n'a plus été estimée adéquate. La notion de "vie privée" inscrite dans la CEDH comportait un certain nombre de limites: la portée de cette dernière était incertaine, et l'accent était mis sur la protection contre l'ingérence des autorités publiques et non des organisations privées.

La protection des données personnelles a été garantie pour la première fois - en tant que droit distinct accordé à un individu - dans la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108). Cette dernière a été adoptée par le Conseil de l'Europe en 1981.
Dans le même temps, l'Organisation de coopération et de développement économiques (OCDE) a élaboré des lignes directrices à l'intention de ses membres, lignes directrices qui les incitaient à à prendre des mesures pour protéger les informations à caractère personnel.

Le respect de la vie privée et la protection des données personnelles sont étroitement liés, mais sont traités comme des droits fondamentaux distincts dans les articles 7 et 8 de la Charte des droits fondamentaux de l'UE adoptée en 2000 et proclamée à nouveau en 2007.

La Convention 108 est la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, adoptée par le Conseil de l'Europe en 1981.

Cette convention a été le premier instrument international juridiquement contraignant adopté dans le domaine de la protection des données. Elle a pour objectif:

"de garantir [...] à toute personne physique [...] le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant."

Elle fixe des normes minimales destinées à protéger les personnes contre les abus susceptibles de se produire lors de la collecte et du traitement de données à caractère personnel. Elle vise en outre à réglementer les flux transfrontières de données.

Le droit à la protection des données à caractère personnel englobe la protection de la vie privée, mais il s'étend au-delà. La protection des données vise à garantir le respect des droits et des libertés fondamentales, et en particulier (c'est-à-dire pas uniquement) le droit de la personne concernée au respect de sa vie privée. Le rapport explicatif de la convention va dans le même sens. Aux termes du point 25:

"Le préambule réaffirme l'engagement des États signataires en faveur des droits de l'homme et des libertés fondamentales. Il admet […] que dans certaines conditions, l'exercice d'une complète liberté de traiter les informations risque de nuire à la jouissance d'autres droits fondamentaux (par exemple les droits à la vie privée, à la non-discrimination et à un procès équitable) ou à d'autres intérêts personnels légitimes (par exemple en matière d'emploi ou de crédit à la consommation). C'est pour maintenir un juste équilibre entre les différents droits et intérêts des personnes que la Convention impose certaines conditions ou restrictions au traitement d'informations. Aucun autre motif ne saurait justifier les règles que les États contractants s'engagent à appliquer dans ce domaine."

À ce jour, 40 États européens ont ratifié la Convention 108.

À l'issue des travaux du Conseil de l'Europe et de l'OCDE, de nombreux pays européens avaient adopté une législation destinée à instaurer un équilibre entre le droit des citoyens à la protection des données et la nécessité, pour les autorités publiques, les employeurs et autres, d'effectuer des opérations de traitement de données. Cela a été entrepris au niveau national bien avant qu'une initiative ne soit prise au niveau de l'UE au début des années 1990 afin de veiller à une meilleure harmonisation sur la base de la Convention 108.

► La protection des données est très développée au sein de l'UE. La pierre angulaire de la législation dans ce domaine est la directive 95/46/CE  ("directive sur la protection des données "), qui régit la protection des personnes physiques à l'égard du traitement des données à caractère personnel et la libre circulation de ces données. En tant qu'instrument-cadre, la directive devait être mise en œuvre au moyen de lois nationales adoptées dans les États membres.

► Le règlement (CE) nº 45/2001  définit les mêmes droits et obligations au niveau des institutions et organes communautaires. Il institue également le CEPD en tant qu'autorité de contrôle indépendante dont la mission est de garantir le respect dudit règlement.
 

► La directive 2002/58/CE  concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques est plus connue sous l'intitulé directive "vie privée et communications électroniques". Elle porte sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, et régit des domaines tels que la confidentialité, la facturation et les données relatives au trafic, et les règles concernant les communications commerciales non sollicitées.

► La décision-cadre 2008/977/JAI  relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale constitue le premier cadre juridique général en matière de protection des données pour les questions relevant du troisième pilier de l'UE. Son contenu se fonde également sur la Convention 108, mais diffère de celui de la directive 95/46/CE sur de nombreux points qui ont trait à la nature spécifique du domaine.