Bien que la Convention 108 aie résisté à l’épreuve du temps à cause de son approche technologiquement neutre et à qu´elle est basée sur des principes, en 2018 le Conseil de l’Europe a mis à jour sa Convention dans le double but de traiter les problèmes liés au respect de la vie privée résultant de l’utilisation des nouvelles technologies de l’information et de la communication (TIC) ; et de renforcer le mécanisme de suivi.

Près de 40 pays ont déjà signé le Protocole d’amendement mettant à jour le traité qui, une fois en vigueur, renforcera encore la protection des données à l'échelle mondiale.

Le processus de modernisation a visé aussi à rassembler les divers cadres normatifs qui ont été élaborés dans différentes régions du monde et à constituer un cadre multilatéral qui soit flexible, transparent et solide, pour faciliter le flux de données par-delà les frontières tout en prévoyant des garanties efficaces contre les abus.

La Convention modernisée

  • réaffirme au niveau des principes les dispositions conventionnelles appelées à être complétées par des textes sectoriels plus détaillés sous forme de recommandations ou de directives ;
  • vise à assurer la cohérence et la compatibilité avec d'autres cadres juridiques de protection des données, en particulier celui de l'UE;
  • Conserve les dispositions neutres sur le plan technologique ;
  • Réaffirme la vocation de la Convention à constituer une norme universelle.

Conformément à la philosophie de la Convention, les nouvelles dispositions comprennent des principes généraux, simples et concis permettant aux Etats parties de disposer d’une certaine marge de manœuvre pour les mettre en œuvre dans leur droit national.

Le Protocole renforce les principes de protection des données de la « Convention 108 » et intègre des garanties supplémentaires pour faire face aux nouveaux défis en matière de protection des données, engendrés par les nouvelles technologies et l’usage qui en est fait. Il étend aussi le rôle du Comité de la Convention, qui veillera à la mise en œuvre effective des dispositions de la Convention modernisée par les Parties.

La Convention modernisée vise aussi à ce que les transferts internationaux de données à caractère personnel soient assortis de garanties appropriées et compatibles avec les cadres normatifs du monde entier, et notamment avec la législation de l’Union européenne.

 

Parmi les nouveautés du Protocole, figurent :

  • Le renforcement des exigences relatives aux principes de proportionnalité et de minimisation des données, et de licéité du traitement ;
  • L’élargissement du catalogue des données sensibles, qui comprendront désormais les données génétiques et biométriques, et celles relatives à l’appartenance à un syndicat et l’origine ethnique ;
  • L’obligation de notifier les violations de données ;
  • Une plus grande transparence concernant les traitements de données ;
  • De nouveaux droits accordés aux personnes dans le contexte de prises de décision basées sur des algorithmes, ce qui est particulièrement important dans le cadre du développement de l'intelligence artificielle ;
  • Le renforcement de la responsabilité des responsables du traitement des données ;
  • L’application obligatoire du principe de « respect de la vie privée dès la conception » ;
  • L’application des principes de protection des données à l’ensemble des traitements, y compris aux traitements réalisés pour des raisons de sécurité nationale (avec des exceptions et des restrictions possibles sous réserve des conditions énoncées dans la Convention), et dans tous les cas soumis à un contrôle et à une supervision indépendante et effective ;
  • La mise en place d’un régime clair des flux transfrontières de données ;
  • Un renforcement des pouvoirs et de l'indépendance des autorités de protection des données, ainsi que des bases légales nécessaires à la coopération internationale.

Aperçu des nouveautés du Protocole

Processus de modernisation

Les propositions de modernisation élaborées par le Comité de la Convention n° 108 ont été examinées entre 2013 et 2016 par un comité intergouvernemental (le Comité ad hoc sur la protection des données), qui a élaboré un projet de protocole d’amendement.

En septembre 2016, ce projet a été soumis, pour examen et adoption, au Comité des Ministres du Conseil de l'Europe. Le 18 mai 2018, le Comité des Ministres a adopté le protocole, qui a été ouvert à la signature le 10 octobre de la même année.