Soucieux de renforcer au plan mondial la protection des données à caractère personnel, le Conseil de l’Europe a adopté aujourd’hui unProtocole d’amendement qui actualise sa Convention relative à la protection des données, dite « Convention 108 ».
L’actualisation de laConvention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, le seul instrument international juridiquement contraignant de portée mondiale en la matière, s´attaque aux problèmes que pose, en termes de respect de la vie privée, l’utilisation des nouvelles technologies de l’information et de la communication, et renforce le mécanisme de la Convention afin de garantir sa mise en œuvre effective.
Le Protocole met en place un cadre juridique multilatéral à la fois solide et souple, destiné à faciliter les flux transfrontières de données tout en offrant des garanties effectives en cas d’utilisation de données à caractère personnel. Passerelle reliant diverses régions du monde, il constitue un trait d’union entre différents cadres normatifs, notamment la nouvelle législation de l’Union européenne, qui prendra pleinement effet le 25 mai 2018 et qui fait référence à la Convention 108 dans le contexte des flux transfrontières de données.
Constatant que « Les fréquentes violations du droit à la protection des données sont devenues une source majeure de préoccupation dans nos sociétés », le Secrétaire Général, Thorbjørn Jagland, a indiqué que « La Convention, dans sa version actualisée, établit un cadre juridique solide destiné à empêcher les abus. Les Etats devraient adhérer sans tarder au traité et veiller à ce que les règles relatives à la protection des données soient respectées et appliquées dans les faits. »
La nouvelle mouture du traité a été adoptée par le Comité des Ministres du Conseil de l’Europe à l’occasion de sa 128e session, qui s’est tenue à Elseneur. Prenant appui sur la « Convention 108 », à laquelle sont parties plus de 50 Etats, la Convention actualisée, qui se veut une norme mondiale unique, demeurera ouverte à tous les pays de la planète.
Le traité actualisés’en tient à des dispositions qui se situent au niveau des principes généraux, sans connotation technologique : il laisse aux Parties une marge de discrétion concernant les textes de droit interne appelés à leur donner effet.
Le Protocole contient d’importantes innovations ; il fait ainsi obligation de notifier les violations de données, consolide la condition de proportionnalité exigée pour le traitement des données, et consacre le principe de minimisation des données. Il renforce également la responsabilité de ceux qui sont en charge du traitement des données ainsi que la transparence dudit traitement, ce qui est essentiel pour préserver la confiance dans l’environnement numérique.
La version actualisée de la Convention exige que le traitement des données à caractère personnel intègre dès la conception le droit au respect de la vie privée (« privacy by design ») et institue des garanties supplémentaires à l’intention des personnes concernées dans un contexte décisionnel algorithmique, notamment le droit d’obtenir connaissance du raisonnement qui sous-tend le traitement des données et le droit de s’opposer à un traitement. Le Protocole renforce par ailleurs le rôle du comité en charge de la Convention en lui confiant le soin de vérifier le respect de la Convention par les Parties, et ouvre le traité à l’adhésion de l’Union européenne et des organisations internationales.
Le traité sera ouvert à la signature le 25 juin 2018 à Strasbourg, date à laquelle débutera la session d’été de l’Assemblée parlementaire.
La « Convention 108 »
En 1981, le Conseil de l’Europe a adopté le premier – et toujours le seul - traité international portant sur le droit des personnes à la protection de leurs données à caractère personnel, à savoir la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite « Convention 108 ».
Un protocole additionnel exigeait des parties la mise en place d'une autorité de contrôle indépendante chargée d'assurer le respect des principes régissant la protection des données, et fixait les règles applicables aux flux transfrontières de données.
Les 47 Etats membres du Conseil de l’Europe, de même que Maurice, le Sénégal, la Tunisie et l’Uruguay, sont Parties à la « Convention 108 »; l’Argentine, le Burkina Faso, le Cap-Vert, le Mexique et le Maroc ont quant à eux été invités à y adhérer. De nombreux autres Etats ont utilisé la Convention comme modèle pour l'élaboration de nouvelles lois sur la protection des données.
Le Protocole d’amendement de 2018 vient considérablement rehausser la « Convention 108 » et fait en sorte qu’elle continue à traiter et à répondre comme il se doit aux problèmes propres à l’ère numérique, notamment en réaffirmant ses ambitions mondiales.