Convention & Protocole
Modernisation
Comité
Documents

Historique

La Convention STE N° 108 du Conseil de l'Europe sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (de 1981), qui est le premier instrument international juridiquement contraignant à vocation universelle dans le domaine de la protection des données, puise sa source directement dans la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales, ouverte à la signature en 1950. En particulier, selon l'article 8 de cette Convention, "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance". Il ne peut y avoir d'ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et constitue une mesure qui, dans une société démocratique, est nécessaire à la défense d'un certain nombre de buts légitimes. Mais dans son article 10, la Convention affirme également le droit fondamental à la liberté d'expression. Le droit à la liberté d'expression inclue explicitement la "liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence des autorités publiques et sans considération de frontières". "La liberté de recevoir des informations" définie à l'article 10 est considérée comme s'étendant à "la liberté de rechercher des informations".

Dans la logique de la Convention, les articles 8 et 10 ne sont pas contradictoires mais complémentaires. Toutefois, dans la pratique, la jouissance de l'un de ces droits se trouve parfois limitée par l'autre droit. C'est pourquoi la Cour Européenne des Droits de l'Homme a défini, dans sa jurisprudence, les limites de l'exercice de chacun de ces droits, et, plus particulièrement, dans quelle mesure les autorités publiques étaient en droit d'interférer. Cette jurisprudence présente un grand intérêt pour la poursuite des travaux du Conseil de l'Europe dans le domaine de la protection des données puisqu’elle a été et demeure une source extrêmement importante de critères d'élaboration de règles nationales dans ce domaine. Ainsi, dans un arrêt (M.S. c. Suède du 27 août 1997), la Cour européenne des droits de l'homme, "rappelle que la protection des données à caractère personnel (...) revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et familiale garanti par l'article 8 de la Convention". Il est toutefois devenu évident dans les années qui ont suivi l'adoption de la Convention européenne des droits de l'homme que pour être efficace, la protection juridique de la vie privée devait être développée de manière plus spécifique et systématique.

Dès le début des années 60, les progrès rapides réalisés dans le domaine du traitement électronique des données et l'apparition des premiers gros ordinateurs ont permis aux administrations publiques et aux grandes entreprises de constituer d'importantes banques de données, d'améliorer et d'accroître la collecte, le traitement et l'interconnexion des données à caractère personnel. Si cette évolution a présenté de grands avantages du point de vue de l'efficacité et de la productivité, elle s'est en revanche traduite par une tendance manifeste à l'enregistrement électronique massif de données concernant la vie privée des particuliers. Face à cette tendance, le Conseil de l'Europe a décidé d'établir un cadre de principes et de normes spécifiques afin d'éviter la collecte et le traitement déloyaux de données à caractère personnel.

Un premier pas a été fait dans cette direction en 1973 et 1974 avec l'adoption des Résolutions (73) 22 et (74) 29 qui ont défini les principes de la protection des données à caractère personnel dans les traitements automatiques de banques de données dans les secteurs privé et public. L'objectif était de favoriser l'élaboration d'une législation nationale inspirée de ces résolutions. Il est toutefois apparu, lors de l'élaboration de ces textes, qu'une protection générale des données à caractère personnel ne serait efficace que si l'on renforçait encore les règles nationales au moyen de normes internationales à caractère contraignant. La même suggestion a été faite lors de la Conférence Européenne des Ministres de la Justice en 1972.

Ainsi, en 1981, après 4 années de négociation, la Convention pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel, que l'on nomme Convention 108, a été conclue. Selon cette Convention, les Parties prennent, dans leur droit interne, les mesures nécessaires pour donner effet aux principes qu'elle pose, à l'égard des données à caractère personnel de tous les individus présents sur leur territoire. Ces principes portent notamment sur le caractère licite et loyal de la collecte et du traitement automatisé des données, enregistrées pour des finalités déterminées et légitimes et non utilisées à des fins incompatibles avec ces finalités, ni conservées au-delà de ce qui est nécessaire. Ils concernent également, la qualité des données et en particulier leur caractère adéquat, pertinent et non excessif (proportionnalité) ou encore leur exactitude, la confidentialité des données sensibles, l'information de la personne concernée, leur droit d'accès et de rectification.

La Convention prévoit en outre la libre circulation des données à caractère personnel entre les Etats Parties à la Convention. Cette libre circulation ne saurait être restreinte, pour des raisons de protection des données à caractère personnel, à moins que les Parties ne dérogent à cette disposition, ce qu'ils peuvent faire dans deux cas spécifiques: si la protection des données à caractère personnel dans l'autre Partie n'est pas "équivalente" ou si le transfert a lieu en fait vers un Etat tiers, non Partie à la Convention.

La Convention met en place un Comité Consultatif (T-PD), constitué de représentants des Parties à la Convention complété par des observateurs d’autres Etats (membres et non membres) et organisations internationales, qui est responsable de l'interprétation des dispositions et veille à faciliter et à améliorer la mise en oeuvre de la Convention. Il est également à l’origine de l’élaboration de rapports, guides ou principes directeurs, portant par exemple sur les clauses contractuelles régissant la protection des données lors de communications de données à caractère personnel à des tiers non soumis à un niveau de protection des données adéquat ou la protection des données à l’égard de la biométrie. Ce Comité a notamment adopté un amendement à la Convention 108 permettant l'adhésion des Communautés européennes à cette Convention. En outre, il a élaboré un protocole additionnel à la Convention 108 concernant les autorités de contrôle et les flux transfrontières de données, ouvert à la signature en 2004, renforçant les autorités de contrôle et interdisant les flux transfrontières de données à destination d'un Etat ou d'une organisation qui n'offriraient pas un niveau de protection adéquat.

Dans la mesure où l'article 4 prévoit que les Etats doivent adopter une législation adéquate avant de devenir partie à la Convention, 38 Etats ont à ce jour ratifié la Convention et 13 Etats le protocole additionnel. D’autres Etats préparent la ratification de ces instruments qui, avec la jurisprudence de la Cour européenne des droits de l’homme, font partie de l’acquis communautaire. Toute fois, ces instruments ne sont pas restreints aux Etats membres du Conseil de l’Europe, puisque l'article 23 de la Convention prévoit que tout Etat non membre du Conseil de l'Europe peut y adhérer.

Il est un fait que depuis l'adoption de la Convention, en 1981, le paysage sociétal s’est complètement transformé, suite en particulier à l’avènement des ordinateurs personnels et d’internet, qui permettent à toute personne ou organisation de procéder au «traitement automatisé des données». Dans l'intervalle, le développement socio-économique s'est traduit par des formes encore plus complexes d'organisation, de gestion et de production qui reposent sur de puissants systèmes de traitement. Dans ces conditions, le particulier devient à n'en pas douter un agent actif de «la société de l'information» qui, à son tour, risque de plus en plus de porter atteinte à sa vie privée par l'intermédiaire des système d'information de nombreux services privés et publics comme les banques, les organismes de crédit, la sécurité sociale, les assurances, la police ou les soins médicaux.

Cette évolution constitue un défi considérable du point de vue de la protection des données. Aujourd'hui, un nombre sans cesse croissant de nouveaux problèmes et de questions pratiques est soumis aux autorités nationales chargées de la protection des données, c'est-à-dire, dans la plupart des pays, au commissaire à la protection des données. Ces autorités, qui comme les ombudsmans, sont devenues partie intégrante du système de contrôle dans une société démocratique, doivent interpréter les principes de la convention et les appliquer à ces nouveaux problèmes et questions. Toutefois, l'expérience montre que ni les principes de la convention ni les règles nationales sur la protection des données ne peuvent réglementer précisément toutes les situations où des données à caractère personnel sont collectées dans différents secteurs: médical, sécurité sociale, assurance, banque, emploi, police, télécommunications, marketing direct, etc. Il va sans dire que dans chacun de ces secteurs, les données doivent être collectées et traitées en conformité avec les principes fondamentaux de la Convention mais les moyens d'y parvenir peuvent être différents. Dans certains secteurs, les conditions peuvent être plus souples que dans d'autres et l'autodiscipline peut être plus développée dans une profession que dans une autre.

Il convient donc, pour chaque secteur, d'élaborer plus avant les principes de la Convention. Plutôt que de modifier la Convention ou de lui ajouter des protocoles, le Conseil de l'Europe a préféré utiliser, à cette fin, un autre instrument, celui des recommandations aux gouvernements. Ces recommandations présentent l'avantage d'être plus faciles à élaborer, à adopter et à mettre en œuvre: la signature et la ratification de chaque Etat membre deviennent inutiles, car il suffit que le Comité des Ministres les adopte à l'unanimité. Il est donc plus simple de les adapter aux circonstances que de modifier les conventions et surtout, bien qu'elles ne soient pas juridiquement obligatoires, elles contiennent de véritables normes de référence pour tous les Etats membres, qu'ils soient ou non parties à la Convention. Une recommandation constitue en conséquence, une invitation à considérer de bonne foi la possibilité d'élaborer et d'appliquer le droit interne conformément à l'interprétation convenue au niveau international des principes énoncés dans la Convention.

Pour établir ces différentes recommandations - ce qui requiert en plus d'une certaine expérience juridique des connaissances spécifiques du sujet couvert par la Recommandation -le Comité des Ministres a mis en place en 1976 un Comité d'experts sur la protection des données, devenu ultérieurement en 1978 le Groupe de projet sur la Protection des Données (CJ-PD). Ce comité étant composé d'experts au titre de chacun des Etats membres, parfois accompagnés de consultants spécialisés dans le domaine concerné.

Au fil des années, le Groupe de Projet n'a pas seulement élaboré une série de Recommandations mais il a également publié des Etudes, des rapports ou principes directeurs, afin de refléter l’application des principes de protection des données à des nouvelles technologies, comme les cartes à puce ou la vidéosurveillance.

Au cours des années récentes, avec la ratification de la Convention par la grande majorité des Etats membres du Conseil de l’Europe, le maintien de deux comités, l’un composé de représentants des parties à la Convention et l’autre de l’ensemble des Etats membres du Conseil de l’Europe, n’a plus semblé pertinent. Dans un souci de rationalisation des ressources et méthodes de travail, les deux comités ont donc fusionné à la fin de l’année 2003, dans le cadre d’un comité unique élargi qui a gardé le nom de T-PD.