Le Conseil de l’Europe met à jour sa Convention pour la protection des données à caractère personnel (« Convention n° 108 ») dans un double but :

  • traiter les problèmes liées au respect de la vie privée résultant de l’utilisation des nouvelles technologies de l’information et de la communication (TIC) ;
  • renforcer le mécanisme de suivi de la Convention.

Le processus de modernisation vise aussi à rassembler les divers cadres normatifs qui ont été élaborés dans différentes régions du monde et à constituer un cadre multilatéral qui soit flexible, transparent et solide, pour faciliter le flux de données par-delà les frontières tout en prévoyant des garanties efficaces contre les abus.

 

La Convention

La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été ouverte à la signature le 28 janvier 1981. Elle reste aujourd’hui encore le seul traité international contraignant dans ce domaine. Elle est ouverte à tout pays et pourrait devenir une norme internationale. 46 Etats - membres du Conseil de l’Europe y sont parties, tandis que Maurice, le Maroc, le Sénégal et la Tunisie ont été invités à y adhérer.

Le traité définit un certain nombre de principes qu’il appartient aux Etats de transposer dans leur droit interne pour faire en sorte que les données soient traitées à une fin donnée par des procédures déterminées par la loi, que les données ne soient pas conservées plus longtemps que nécessaire à cette fin et qu’elles ne soient pas excessives par rapport aux finalités pour lesquelles elles sont conservées.

Un protocole additionnel prévoit que les différentes parties mettent en place une autorité indépendante pour assurer le respect des principes liés à la protection des données et pour définir les règles concernant les flux de données transfrontaliers avec des Etats qui ne sont pas parties à la Convention.

 

Processus de modernisation

Les propositions de modernisation élaborées par le Comité de la Convention n° 108 ont été examinées entre 2013 et 2016 par un comité intergouvernemental (le Comité ad hoc sur la protection des données), qui a élaboré un projet de protocole d’amendement. En septembre 2016, ce projet a été soumis, pour examen et adoption, au Comité des Ministres du Conseil de l'Europe, l’organe exécutif de l’Organisation, où les 47 États membres sont représentés. Cet organe est encore en train d’examiner le projet, en vue de finaliser le texte dans les prochains mois et d’ouvrir le traité à la signature.

Le texte révisé :

  • réaffirme au niveau des principes les dispositions conventionnelles appelées à être complétées par des textes sectoriels plus détaillés sous forme de recommandations ou de directives ;
  • vise à assurer la cohérence et la compatibilité avec d'autres cadres juridiques de protection des données, en particulier celui de l'UE;
  • Conserve les dispositions neutres sur le plan technologique ;
  • Réaffirme la vocation de la Convention à constituer une norme universelle.

Conformément à la philosophie de la Convention, les nouveaux projets de dispositions comprennent des principes généraux, simples et concis permettant aux Etats parties de disposer d’une certaine marge de manœuvre pour les mettre en œuvre dans leur droit national.

 

Innovations

Les principales innovations portent sur les points suivants :

  • proportionnalité (implicite jusqu’ici et concernant uniquement les données), notamment principe de minimisation des données ;
  • obligation de rendre des comptes, en particulier pour les contrôleurs des données et les responsables de leur traitement ;
  • respect délibéré de la vie privée ;
  • obligation de déclarer les violations de données ;
  • transparence du traitement des données ;
  • garanties complémentaires pour la personne intéressée comme le droit de ne pas faire l’objet d’une décision fondée seulement sur un traitement automatisé sans que son avis soit pris en considération, le droit de connaître la logique sous-tendant le traitement et le droit de le contester.

Le texte révisé impose toujours « un niveau de protection adéquat » si les données sont communiquées ou divulguées à des destinataires qui ne relèvent pas de la juridiction d’une Partie à la Convention. Il reconnaît que cette règle a favorisé l’élaboration dans le monde entier de lois relatives à la protection des données.

 

Renforcer le mécanisme de suivi

Le rôle du Comité de suivi de la Convention, composé de représentants des Parties à ce texte, sera renforcé.

L’application effective des normes de protection des données est capitale pour la crédibilité de la Convention, c’est pourquoi il est essentiel de renforcer la mise en œuvre de la Convention à l’aide du mécanisme de suivi.