Ouverte à la signature le 28 janvier 1981, la Convention fut le premier instrument international juridique contraignant dans le domaine de la protection des données. Un protocole d’amendement a été adopté le 18 mai 2018. Pour plus d’information sur la modernisation de la Convention, voir Modernisation de la Convention 108 (CAHDATA).

Aux termes de cette Convention, les parties doivent prendre les mesures nécessaires en droit interne pour en appliquer les principes afin d'assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l'application de la protection des données.

Dans la logique de la Convention, les articles 8 et 10 ne sont pas contradictoires mais complémentaires. Toutefois, dans la pratique, la jouissance de l'un de ces droits se trouve parfois limitée par l'autre. C'est pourquoi la Cour Européenne des Droits de l'Homme a défini, dans sa jurisprudence, les limites de l'exercice de chacun de ces droits, et plus particulièrement, dans quelle mesure les autorités publiques étaient en droit d'interférer. Cette jurisprudence présente un grand intérêt pour la poursuite des travaux du Conseil de l'Europe dans le domaine de la protection des données puisqu’elle a été et demeure une source extrêmement importante de critères d'élaboration de règles nationales dans ce domaine. Ainsi, dans un arrêt (M.S. c. Suède du 27 août 1997), la Cour européenne des droits de l'homme, "rappelle que la protection des données à caractère personnel (...) revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et familiale garanti par l'article 8 de la Convention". Il est toutefois devenu évident dans les années qui ont suivi l'adoption de la Convention européenne des droits de l'homme que, pour être efficace, la protection juridique de la vie privée devait être développée de manière plus spécifique et systématique.

Dès le début des années 60, les progrès rapides réalisés dans le domaine du traitement électronique des données et l'apparition des premiers gros ordinateurs ont permis aux administrations publiques et aux grandes entreprises de constituer d'importantes banques de données, d'améliorer et d'accroître la collecte, le traitement et l'interconnexion des données à caractère personnel. Si cette évolution a présenté de grands avantages du point de vue de l'efficacité et de la productivité, elle s'est en revanche traduite par une tendance manifeste à l'enregistrement électronique massif de données concernant la vie privée des particuliers. Face à cette tendance, le Conseil de l'Europe a décidé d'établir un cadre de principes et de normes spécifiques afin d'éviter la collecte et le traitement déloyaux de données à caractère personnel.

Un premier pas a été fait dans cette direction en 1973 et 1974 avec l'adoption des Résolutions (73) 22 et (74) 29 qui ont défini les principes de la protection des données à caractère personnel dans les traitements automatiques de banques de données dans les secteurs privé et public. L'objectif était de favoriser l'élaboration d'une législation nationale inspirée de ces résolutions. Il est toutefois apparu, lors de l'élaboration de ces textes, qu'une protection générale des données à caractère personnel ne serait efficace que si l'on renforçait encore les règles nationales au moyen de normes internationales à caractère contraignant. La même suggestion a été faite lors de la Conférence Européenne des Ministres de la Justice en 1972.

Ainsi, en 1981, après 4 années de négociation, la Convention pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel, que l'on nomme Convention 108, a été conclue. Selon cette Convention, les Parties prennent, dans leur droit interne, les mesures nécessaires pour donner effet aux principes qu'elle pose à l'égard des données à caractère personnel de tous les individus présents sur leur territoire. Ces principes portent notamment sur le caractère licite et loyal de la collecte et du traitement automatisé des données, enregistrées pour des finalités déterminées et légitimes et non utilisées à des fins incompatibles avec ces finalités, ni conservées au-delà de ce qui est nécessaire. Ils concernent également, la qualité des données et en particulier leur caractère adéquat, pertinent et non excessif (proportionnalité) ou encore leur exactitude, la confidentialité des données sensibles, l'information de la personne concernée, leur droit d'accès et de rectification.

La Convention prévoit en outre la libre circulation des données à caractère personnel entre les États Parties à la Convention. Cette libre circulation ne saurait être restreinte pour des raisons de protection des données à caractère personnel à moins que les Parties ne dérogent à cette disposition, ce qu'ils peuvent faire dans deux cas spécifiques : si la protection des données à caractère personnel dans l'autre Partie n'est pas "équivalente" ou si le transfert a lieu en fait vers un État tiers, non Partie à la Convention.

La Convention met en place un Comité Consultatif (T-PD), constitué de représentants des Parties à la Convention complété par des observateurs d’autres États (membres et non membres) et organisations internationales, qui est responsable de l'interprétation des dispositions et veille à faciliter et à améliorer la mise en œuvre de la Convention. Il est également à l’origine de l’élaboration de rapports, guides ou principes directeurs, portant par exemple sur les clauses contractuelles régissant la protection des données lors de communications de données à caractère personnel à des tiers non soumis à un niveau de protection des données adéquat ou la protection des données à l’égard de la biométrie. Ce Comité a notamment adopté un amendement à la Convention 108 permettant l'adhésion des Communautés européennes à cette Convention. En outre, il a élaboré un protocole additionnel à la Convention 108 concernant les autorités de contrôle et les flux transfrontières de données, ouvert à la signature en 2004, renforçant les autorités de contrôle et interdisant les flux transfrontières de données à destination d'un État ou d'une organisation qui n'offriraient pas un niveau de protection adéquat.

Dans la mesure où l'article 4 prévoit que les États doivent adopter une législation adéquate avant de devenir partie à la Convention, 46 États ont à ce jour ratifié la Convention et 35 Etats le protocole additionnel. D’autres préparent la ratification de ces instruments qui, avec la jurisprudence de la Cour européenne des droits de l’homme, font partie de l’acquis communautaire. Toutefois, ces instruments ne sont pas restreints aux États membres du Conseil de l’Europe, puisque l'article 23 de la Convention prévoit que tout État non membre du Conseil de l'Europe peut y adhérer.

Il est un fait que depuis l'adoption de la Convention, en 1981, le paysage sociétal s’est complètement transformé, suite en particulier à l’avènement des ordinateurs personnels et d’internet qui permettent à toute personne ou organisation de procéder au «traitement automatisé des données». Dans l'intervalle, le développement socio-économique s'est traduit par des formes encore plus complexes d'organisation, de gestion et de production qui reposent sur de puissants systèmes de traitement. Dans ces conditions, le particulier devient à n'en pas douter un agent actif de «la société de l'information» qui, à son tour, risque de plus en plus de porter atteinte à sa vie privée par l'intermédiaire des système d'information de nombreux services privés et publics comme les banques, les organismes de crédit, la sécurité sociale, les assurances, la police ou les soins médicaux..

Cette évolution constitue un défi considérable du point de vue de la protection des données. Aujourd'hui, un nombre sans cesse croissant de nouveaux problèmes et de questions pratiques est soumis aux autorités nationales chargées de la protection des données, c'est-à-dire, dans la plupart des pays, au commissaire à la protection des données. Ces autorités, qui comme les ombudsmans, sont devenues partie intégrante du système de contrôle dans une société démocratique, doivent interpréter les principes de la Convention et les appliquer à ces nouveaux problèmes et questions. Toutefois, l'expérience montre que ni les principes de la Convention ni les règles nationales sur la protection des données ne peuvent réglementer précisément toutes les situations où des données à caractère personnel sont collectées dans différents secteurs : médical, sécurité sociale, assurance, banque, emploi, police, télécommunications, marketing direct, etc. Il va sans dire que dans chacun de ces secteurs, les données doivent être collectées et traitées en conformité avec les principes fondamentaux de la Convention mais les moyens d'y parvenir peuvent être différents. Dans certains secteurs, les conditions peuvent être plus souples que dans d'autres et l'autodiscipline peut être plus développée dans une profession que dans une autre.

Il convient donc, pour chaque secteur, d'élaborer plus avant les principes de la Convention. Plutôt que de la modifier ou de lui ajouter des protocoles, le Conseil de l'Europe a préféré utiliser à cette fin un autre instrument, celui des recommandations aux gouvernements. Ces recommandations présentent l'avantage d'être plus faciles à élaborer, à adopter et à mettre en œuvre : la signature et la ratification de chaque État membre deviennent inutiles car il suffit que le Comité des Ministres les adopte à l'unanimité. Il est donc plus simple de les adapter aux circonstances que de modifier les conventions et surtout, bien qu'elles ne soient pas juridiquement obligatoires, elles contiennent de véritables normes de référence pour tous les États membres qu'ils soient ou non parties à la Convention. Une recommandation constitue en conséquence, une invitation à considérer de bonne foi la possibilité d'élaborer et d'appliquer le droit interne conformément à l'interprétation convenue au niveau international des principes énoncés dans la Convention.

Pour établir ces différentes recommandations - ce qui requiert en plus d'une certaine expérience juridique des connaissances spécifiques du sujet couvert par la recommandation - le Comité des Ministres a mis en place en 1976 un Comité d'experts sur la protection des données, devenu ultérieurement en 1978 le Groupe de projet sur la Protection des Données (CJ-PD). Ce comité étant composé d'experts au titre de chacun des États membres, parfois accompagnés de consultants spécialisés dans le domaine concerné.

Au fil des années, le Groupe de Projet n'a pas seulement élaboré une série de recommandations mais il a également publié des études, des rapports ou principes directeurs, afin de refléter l’application des principes de protection des données à des nouvelles technologies, comme les cartes à puce ou la vidéosurveillance.

Au cours des années récentes, avec la ratification de la Convention par la grande majorité des États membres du Conseil de l’Europe, le maintien de deux comités, l’un composé de représentants des parties à la Convention et l’autre de l’ensemble des États membres du Conseil de l’Europe n’a plus semblé pertinent. Dans un souci de rationalisation des ressources et méthodes de travail, les deux comités ont donc fusionné à la fin de l’année 2003, dans le cadre d’un comité unique élargi qui a gardé le nom de T-PD.