EMDAY16 – Email Marketing Day Strasbourg, 26 May 2016

Mesdames, Messieurs,

C’est un immense plaisir de vous accueillir au Conseil de l’Europe, maison-mère des droits de l’homme et de la démocratie. Comme votre programme le précise, il s’agit de la plus ancienne organisation intergouvernementale européenne, celle qui regroupe le plus de pays, 47 actuellement, représentant quelque 800 millions d’Européens.

Permettez-moi de vous présenter en quelques mots nos activités en matière de protection des données, un domaine dont je me suis occupé personnellement avant d’être nommé, il y a plus de trois ans, jurisconsulte de l’Organisation.

En tant que professionnel en matière de e-mail marketing, vous êtes mieux que moi conscient de la rapide évolution des technologies d’information.

Ces technologies permettent tant aux entreprises privées qu’aux pouvoirs publics d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. Ces données à caractère personnel sont l’or noire du 21^ième siècle.

De plus en plus de personnes rendent des informations les concernant accessibles à tout un chacun, où qu’il se trouve dans le monde. Combiné à la multiplication phénoménale de la puissance des ordinateurs, cela ouvre d’énormes possibilités de collecte et d’analyse de données. Aujourd’hui, il est possible, par exemple pour une entreprise privé comme Google, de collecter sur l’Internet en temps réel une quantité immense des données à caractère personnel destinées à des fins commerciales, tandis qu’une collecte similaire par les autorités publiques serait interdite en vertu des lois de nombreux pays.

L’instauration d’un climat de confiance dans l’environnement en ligne est essentielle au développement économique et commercial. En utilisant les données de 2015, une nouvelle analyse de la ‘National Telecommunications & Information Administration’ des Etats-Unis d’Amérique constate que 45 % des ménages utilisant Internet affirment qu’ils se sont abstenus d’acheter, de publier sur les médias sociaux, ou de parler de sujets controversés en ligne au cours de la dernière année.[1]

Le manque de confiance dans la sécurité et la protection de leur vie privée sur Internet ralentit l’innovation dans l’utilisation des nouvelles technologies. La protection des données joue donc un rôle crucial dans la stratégie numérique pour l’Europe et au-delà.

La vie privée et la protection des données sont depuis toujours parmi les valeurs fondamentales du Conseil de l’Europe. A l’occasion de la journée internationale de la protection des données personnelles 2011, notre Secrétaire Générale Thorbjørn Jagland a rappelé que le Conseil de l’Europe est attaché « à un espace virtuel qui ouvre des occasions illimitées, mais jamais au détriment de la dignité humaine et jamais au détriment des droits de l’homme. »

Nos activités sont centrées sur la protection et le respect des droits de l'homme avec deux instruments principaux :

• La Convention européenne des droits de l'homme (« CEDH »), grâce à laquelle le droit à la vie privée (l’article 8) est un droit fondamental directement applicable ; les justiciables de tous nos Etats membres l’invoque de plus en plus fréquemment pour s’opposer à des mesures abusives d’interception ou de conservation des données personnelles.
• La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention 108 »), le premier et le seul traité international contraignant sur la protection des données personnelles.

Nos 47 Etats membres ont reconnu déjà en 2005 que tous les droits consacrés par la CEDH restent pleinement valables à l’ère de l’information et qu’ils doivent continuer d’être protégés indépendamment des nouvelles avancées technologiques.[2]

Comme il a été exprimé à plusieurs reprises par la Cour européenne des droits de l’homme, la simple collecte des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8 de la CEDH, peu importe que les informations mémorisées soient ou non utilisées par la suite.[3]

La jurisprudence de notre Cour est celle de la Cour de justice de Luxembourg s’influencent et s’enrichissent mutuellement, au bénéfice de tous les citoyens européens. Dernier exemple est l’arrêt Zakharov c. Russie qui examine la surveillance secrète des télécommunications, faisant écho à l’arrêt Schrems dans lequel la Cour de justice avait annulé le régime « safe harbour » régissant l’échange des données à caractère personnel entre l’UE et les Etats-Unis parce qu’il n’offrait pas de garanties suffisantes contre la surveillance par les services secrets américains.

Dans Zakharov, notre Cour estima « que le mode de fonctionnement du système de surveillance secrète en Russie donne aux services de sécurité et à la police les moyens techniques de contourner la procédure d’autorisation et d’intercepter n’importe quelle communication sans mandat judiciaire préalable. Si l’on ne peut jamais, quel que soit le système, écarter complètement l’éventualité qu’un fonctionnaire malhonnête, négligent ou trop zélé commette des actes irréguliers ..., la Cour considère néanmoins qu’un système tel que le système russe, qui permet aux services secrets et à la police d’intercepter directement les communications de n’importe quel citoyen sans leur imposer l’obligation de présenter une autorisation d’interception au fournisseur de services de communication ou à quiconque, est particulièrement exposé aux abus. La nécessité de disposer de garanties contre l’arbitraire et les abus apparaît donc particulièrement forte. »[4]

La Convention 108 est le premier acte ayant force juridique obligatoire au niveau international explicitement consacré à la protection des données à caractère personnel. En dépit du fait qu’elle était ouverte à la signature en 1981, elle reste toujours une convention unique et pertinente dont les règles et principes s’appliquent à tout type de traitement automatisé des données à caractère personnel.  La Turquie était le dernier de nos 47 Etats membres à la ratifier le 2 mai 2016. Suivant l’exemple d’Uruguay, le premier pays non-européen partie à part entière à la convention, les demandes d’adhésion des Etats non membres se multiplient. Il s’agit notamment de la République de Maurice, du Sénégal, de la Tunisie et du Maroc, qui ont d’ors et déjà été invités à adhérer à la convention, et du Cap Vert, pour qui la procédure d’invitation est en cours.

Les normes générales et technologiquement neutres de la convention ont été testées et appliquées pendant plus de trente ans. Ils ont été complétés par des nombreuses « recommandations sectorielles » sur les sujets spécifiques, telles que relatives aux données médicales, l'utilisation des données par la police ou à des fins statistiques.

La plus importante pour vos métiers est certainement la recommandation CM/Rec(2010)13 du Comité des Ministres aux Etats membres sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage. Tout en reconnaissant les avantages du profilage, notamment en termes d’adaptation de l’offre à la demande ou d’analyse du risque ou de la fraude, la recommandation pose un certain nombre de principes afin de prévenir les abus et les atteintes à la dignité de la personne et de ses libertés et droits fondamentaux.

Dans quelques semaines, les 15-16 juin prochain, la modernisation de la convention sera finalisée par un comité d’experts – CAHDATA. Les experts de tous nos Etats membres ainsi que d’un nombre important d’Etats non membres, parmi lesquels le Etats-Unis d’Amérique, le Japon et le Mexique, se réuniront ici à Strasbourg afin d’élaborer une proposition finale qui contiendra un véritable standard international tout en assurant la cohérence avec le nouveau règlement et la directive de l’UE concernant la protection des données.

Un tel standard international est d’autant plus nécessaire afin de permettre la libre circulation des données à caractère personnel bien au-delà de l’Europe. Le droit de l’UE autorise le transfert des données hors l’UE uniquement à condition qu’une protection adéquate soit assurée. Comme la Cour de Justice l’a rappelé dans l’affaire Schrems, « l’expression ‘niveau de protection adéquat’ doit être comprise comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. »[5]

Une telle exigence, louable en principe, n’est pas sans problème dans un monde de plus en plus globalisé. Comme il l’a souligné la Cour constitutionnelle allemande dans son arrêt récent sur les pouvoirs d’investigation de l’office fédéral de la police dans la lutte anti-terroriste,[6] nous ne pouvons pas exiger du monde entier qu’il suive le modèle allemand ou européen, notamment en ce qui concerne les arrangements institutionnels et procéduraux. Il faudra néanmoins exiger un minimum de garanties formelles et institutionnelles afin d’assurer, entre autres, que les données ainsi transférées ne servent pas à des fins de persécution politique ou à infliger des traitements inhumains ou dégradants. Il faut veiller à ce que la protection garantie par la Convention européenne des droits de l’homme et d’autres traités internationaux relatifs aux droits de l’homme ne soit pas érodée par un transfert de données à l’étranger.

D’où l’intérêt de disposer d’un instrument véritablement international, non pas imposé unilatéralement, mais négocié librement par des pays partageant les mêmes valeurs. Nous sommes convaincus qu’une Convention 108 modernisée et dotée d’un mécanisme de suivi fort et crédible a vocation de fournir un tel cadre juridique à tous les pays du monde qui souhaitent y adhérer.

Enfin, je tiens à souligner que même si l’existence d’un cadre juridique est certes fondamental, il n’est pas suffisant pour faire face au défi du traitement des données personnelles à l’ère du numérique. Il doit être complété par une approche technologique – « privacy by design » - permettant de mettre en œuvre les principes de protection des données et l’exercice des droits des personnes concernées. Le risque aujourd’hui est une domination de la machine et des algorithmes, décidant pour nous et orientant nos choix à l’aide notamment d’analyses prédictives. Il faut impérativement inverser cette tendance et développer et utiliser la technologie d’une manière qui soit conforme aux exigences de la protection des données. Les technologies doivent être au service de la personne humaine et non l’inverse. 

Tout et chacun doit avoir le pouvoir de maîtriser de ses données ; il faudra assurer « l’autodétermination informationnelle ». Comme l’a exprimé avec beaucoup d’élégance le Professeur Luciano Floridi, nous sommes tous des voyageurs : « Nous sommes dans les mains de nos hôtes : les autres, la nature, le monde physique, mais aussi la société, la culture, le monde que nous construisons, et pas seulement le monde dans lequel nous nous trouvons. Aucun d’entre nous reste au centre, nous voyageons sans cesse d’un centre à l’autre centre. Et donc nous devrions profiter du droit à la protection et à l’hospitalité qui accueille les hôtes. Chacun de nous, en tant que belle pépin, est une entité fragile et très souple, dont la vie est essentiellement faite d’information. Notre dignité repose à être en mesure d’être les maîtres de nos propres voyages, et de garder nos identités et nos choix ouvert. Toute technologie ou politique qui tend à fixer et façonner notre esprit ouvert risque de nous déshumaniser, similaire aux invités de Circé, qui sont empêchés de quitter son île. »[7]