Protection des données

Convention & Protocole
Modernisation
Comité
Documents

Historique

La Convention STE N 108 du Conseil de l'Europe sur la protection des personnes l'gard du traitement automatis des donnes caractre personnel (de 1981), qui est le premier instrument international juridiquement contraignant vocation universelle dans le domaine de la protection des donnes, puise sa source directement dans la Convention de sauvegarde des Droits de l'Homme et des Liberts fondamentales, ouverte la signature en 1950. En particulier, selon l'article 8 de cette Convention, "toute personne a droit au respect de sa vie prive et familiale, de son domicile et de sa correspondance". Il ne peut y avoir d'ingrence d'une autorit publique dans l'exercice de ce droit que pour autant que cette ingrence est prvue par la loi et constitue une mesure qui, dans une socit dmocratique, est ncessaire la dfense d'un certain nombre de buts lgitimes. Mais dans son article 10, la Convention affirme galement le droit fondamental la libert d'expression. Le droit la libert d'expression inclue explicitement la "libert de recevoir ou de communiquer des informations ou des ides sans qu'il puisse y avoir ingrence des autorits publiques et sans considration de frontires". "La libert de recevoir des informations" dfinie l'article 10 est considre comme s'tendant "la libert de rechercher des informations".

Dans la logique de la Convention, les articles 8 et 10 ne sont pas contradictoires mais complmentaires. Toutefois, dans la pratique, la jouissance de l'un de ces droits se trouve parfois limite par l'autre droit. C'est pourquoi la Cour Europenne des Droits de l'Homme a dfini, dans sa jurisprudence, les limites de l'exercice de chacun de ces droits, et, plus particulirement, dans quelle mesure les autorits publiques taient en droit d'interfrer. Cette jurisprudence prsente un grand intrt pour la poursuite des travaux du Conseil de l'Europe dans le domaine de la protection des donnes puisquelle a t et demeure une source extrmement importante de critres d'laboration de rgles nationales dans ce domaine. Ainsi, dans un arrt (M.S. c. Sude du 27 aot 1997), la Cour europenne des droits de l'homme, "rappelle que la protection des donnes caractre personnel (...) revt une importance fondamentale pour l'exercice du droit au respect de la vie prive et familiale garanti par l'article 8 de la Convention". Il est toutefois devenu vident dans les annes qui ont suivi l'adoption de la Convention europenne des droits de l'homme que pour tre efficace, la protection juridique de la vie prive devait tre dveloppe de manire plus spcifique et systmatique.

Ds le dbut des annes 60, les progrs rapides raliss dans le domaine du traitement lectronique des donnes et l'apparition des premiers gros ordinateurs ont permis aux administrations publiques et aux grandes entreprises de constituer d'importantes banques de donnes, d'amliorer et d'accrotre la collecte, le traitement et l'interconnexion des donnes caractre personnel. Si cette volution a prsent de grands avantages du point de vue de l'efficacit et de la productivit, elle s'est en revanche traduite par une tendance manifeste l'enregistrement lectronique massif de donnes concernant la vie prive des particuliers. Face cette tendance, le Conseil de l'Europe a dcid d'tablir un cadre de principes et de normes spcifiques afin d'viter la collecte et le traitement dloyaux de donnes caractre personnel.

Un premier pas a t fait dans cette direction en 1973 et 1974 avec l'adoption des Rsolutions (73) 22 et (74) 29 qui ont dfini les principes de la protection des donnes caractre personnel dans les traitements automatiques de banques de donnes dans les secteurs priv et public. L'objectif tait de favoriser l'laboration d'une lgislation nationale inspire de ces rsolutions. Il est toutefois apparu, lors de l'laboration de ces textes, qu'une protection gnrale des donnes caractre personnel ne serait efficace que si l'on renforait encore les rgles nationales au moyen de normes internationales caractre contraignant. La mme suggestion a t faite lors de la Confrence Europenne des Ministres de la Justice en 1972.

Ainsi, en 1981, aprs 4 annes de ngociation, la Convention pour la protection des personnes l'gard du traitement automatis de donnes caractre personnel, que l'on nomme Convention 108, a t conclue. Selon cette Convention, les Parties prennent, dans leur droit interne, les mesures ncessaires pour donner effet aux principes qu'elle pose, l'gard des donnes caractre personnel de tous les individus prsents sur leur territoire. Ces principes portent notamment sur le caractre licite et loyal de la collecte et du traitement automatis des donnes, enregistres pour des finalits dtermines et lgitimes et non utilises des fins incompatibles avec ces finalits, ni conserves au-del de ce qui est ncessaire. Ils concernent galement, la qualit des donnes et en particulier leur caractre adquat, pertinent et non excessif (proportionnalit) ou encore leur exactitude, la confidentialit des donnes sensibles, l'information de la personne concerne, leur droit d'accs et de rectification.

La Convention prvoit en outre la libre circulation des donnes caractre personnel entre les Etats Parties la Convention. Cette libre circulation ne saurait tre restreinte, pour des raisons de protection des donnes caractre personnel, moins que les Parties ne drogent cette disposition, ce qu'ils peuvent faire dans deux cas spcifiques: si la protection des donnes caractre personnel dans l'autre Partie n'est pas "quivalente" ou si le transfert a lieu en fait vers un Etat tiers, non Partie la Convention.

La Convention met en place un Comit Consultatif (T-PD), constitu de reprsentants des Parties la Convention complt par des observateurs dautres Etats (membres et non membres) et organisations internationales, qui est responsable de l'interprtation des dispositions et veille faciliter et amliorer la mise en oeuvre de la Convention. Il est galement lorigine de llaboration de rapports, guides ou principes directeurs, portant par exemple sur les clauses contractuelles rgissant la protection des donnes lors de communications de donnes caractre personnel des tiers non soumis un niveau de protection des donnes adquat ou la protection des donnes lgard de la biomtrie. Ce Comit a notamment adopt un amendement la Convention 108 permettant l'adhsion des Communauts europennes cette Convention. En outre, il a labor un protocole additionnel la Convention 108 concernant les autorits de contrle et les flux transfrontires de donnes, ouvert la signature en 2004, renforant les autorits de contrle et interdisant les flux transfrontires de donnes destination d'un Etat ou d'une organisation qui n'offriraient pas un niveau de protection adquat.

Dans la mesure o l'article 4 prvoit que les Etats doivent adopter une lgislation adquate avant de devenir partie la Convention, 38 Etats ont ce jour ratifi la Convention et 13 Etats le protocole additionnel. Dautres Etats prparent la ratification de ces instruments qui, avec la jurisprudence de la Cour europenne des droits de lhomme, font partie de lacquis communautaire. Toute fois, ces instruments ne sont pas restreints aux Etats membres du Conseil de lEurope, puisque l'article 23 de la Convention prvoit que tout Etat non membre du Conseil de l'Europe peut y adhrer.

Il est un fait que depuis l'adoption de la Convention, en 1981, le paysage socital sest compltement transform, suite en particulier lavnement des ordinateurs personnels et dinternet, qui permettent toute personne ou organisation de procder au traitement automatis des donnes. Dans l'intervalle, le dveloppement socio-conomique s'est traduit par des formes encore plus complexes d'organisation, de gestion et de production qui reposent sur de puissants systmes de traitement. Dans ces conditions, le particulier devient n'en pas douter un agent actif de la socit de l'information qui, son tour, risque de plus en plus de porter atteinte sa vie prive par l'intermdiaire des systme d'information de nombreux services privs et publics comme les banques, les organismes de crdit, la scurit sociale, les assurances, la police ou les soins mdicaux.

Cette volution constitue un dfi considrable du point de vue de la protection des donnes. Aujourd'hui, un nombre sans cesse croissant de nouveaux problmes et de questions pratiques est soumis aux autorits nationales charges de la protection des donnes, c'est--dire, dans la plupart des pays, au commissaire la protection des donnes. Ces autorits, qui comme les ombudsmans, sont devenues partie intgrante du systme de contrle dans une socit dmocratique, doivent interprter les principes de la convention et les appliquer ces nouveaux problmes et questions. Toutefois, l'exprience montre que ni les principes de la convention ni les rgles nationales sur la protection des donnes ne peuvent rglementer prcisment toutes les situations o des donnes caractre personnel sont collectes dans diffrents secteurs: mdical, scurit sociale, assurance, banque, emploi, police, tlcommunications, marketing direct, etc. Il va sans dire que dans chacun de ces secteurs, les donnes doivent tre collectes et traites en conformit avec les principes fondamentaux de la Convention mais les moyens d'y parvenir peuvent tre diffrents. Dans certains secteurs, les conditions peuvent tre plus souples que dans d'autres et l'autodiscipline peut tre plus dveloppe dans une profession que dans une autre.

Il convient donc, pour chaque secteur, d'laborer plus avant les principes de la Convention. Plutt que de modifier la Convention ou de lui ajouter des protocoles, le Conseil de l'Europe a prfr utiliser, cette fin, un autre instrument, celui des recommandations aux gouvernements. Ces recommandations prsentent l'avantage d'tre plus faciles laborer, adopter et mettre en uvre: la signature et la ratification de chaque Etat membre deviennent inutiles, car il suffit que le Comit des Ministres les adopte l'unanimit. Il est donc plus simple de les adapter aux circonstances que de modifier les conventions et surtout, bien qu'elles ne soient pas juridiquement obligatoires, elles contiennent de vritables normes de rfrence pour tous les Etats membres, qu'ils soient ou non parties la Convention. Une recommandation constitue en consquence, une invitation considrer de bonne foi la possibilit d'laborer et d'appliquer le droit interne conformment l'interprtation convenue au niveau international des principes noncs dans la Convention.

Pour tablir ces diffrentes recommandations - ce qui requiert en plus d'une certaine exprience juridique des connaissances spcifiques du sujet couvert par la Recommandation -le Comit des Ministres a mis en place en 1976 un Comit d'experts sur la protection des donnes, devenu ultrieurement en 1978 le Groupe de projet sur la Protection des Donnes (CJ-PD). Ce comit tant compos d'experts au titre de chacun des Etats membres, parfois accompagns de consultants spcialiss dans le domaine concern.

Au fil des annes, le Groupe de Projet n'a pas seulement labor une srie de Recommandations mais il a galement publi des Etudes, des rapports ou principes directeurs, afin de reflter lapplication des principes de protection des donnes des nouvelles technologies, comme les cartes puce ou la vidosurveillance.

Au cours des annes rcentes, avec la ratification de la Convention par la grande majorit des Etats membres du Conseil de lEurope, le maintien de deux comits, lun compos de reprsentants des parties la Convention et lautre de lensemble des Etats membres du Conseil de lEurope, na plus sembl pertinent. Dans un souci de rationalisation des ressources et mthodes de travail, les deux comits ont donc fusionn la fin de lanne 2003, dans le cadre dun comit unique largi qui a gard le nom de T-PD.