DÉLÉGUÉS DES MINISTRES

Documents d’information

CM/Inf(2018)15-final

18 mai 2018

128e Session du Comité des Ministres (Elseneur, Danemark, 17-18 mai 2018) Convention modernisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel – Texte consolidé

 

 

Préambule

Les États membres du Conseil de l'Europe, et les autres signataires de la présente Convention,

Considérant que le but du Conseil de l'Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales ;

Considérant qu'il est nécessaire de garantir la dignité humaine ainsi que la protection des droits de l’homme et des libertés fondamentales de toute personne, et, eu égard à la diversification, à l’intensification et à la mondialisation des traitements des données et des flux de données à caractère personnel, l’autonomie personnelle, fondée sur le droit de la personne de contrôler ses propres données à caractère personnel et le traitement qui en est fait ;

Rappelant que le droit à la protection des données à caractère personnel est à considérer au regard de son rôle dans la société et qu’il est à concilier avec d’autres droits de l’homme et libertés fondamentales, dont la liberté d’expression ;

Considérant que la présente Convention permet de prendre en compte, dans la mise en œuvre des règles qu’elle fixe, le principe du droit d’accès aux documents officiels ;

Reconnaissant la nécessité de promouvoir les valeurs fondamentales du respect de la vie privée et de la protection des données à caractère personnel à l’échelle mondiale, favorisant ainsi la libre circulation de l'information entre les peuples ;

Reconnaissant l’intérêt d’intensifier la coopération internationale entre les Parties à la Convention.

Sont convenus de ce qui suit :

Chapitre I – Dispositions générales

Article 1^er – Objet et but

Le but de la présente Convention est de protéger toute personne physique, quelle que soit sa nationalité ou sa résidence, à l’égard du traitement des données à caractère personnel, contribuant ainsi au respect de ses droits de l’homme et de ses libertés fondamentales et notamment du droit à la vie privée.

Article 2 – Définitions

Aux fins de la présente Convention :

a.            « données à caractère personnel » signifie : toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ;

b.            « traitement de données » s’entend de toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la modification, l’extraction, la communication, la mise à disposition, l’effacement ou la destruction des données, ou l’application d’opérations logiques et/ou arithmétiques à ces données ;

c.            Lorsque aucun procédé automatisé n’est utilisé, le traitement de données désigne une opération ou des opérations effectuée(s) sur des données à caractère personnel au sein d’un ensemble structuré de données qui sont accessibles ou peuvent être retrouvées selon des critères spécifiques ;

d.            « responsable du traitement » signifie : la personne physique ou morale, l’autorité publique, le service, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, dispose du pouvoir de décision à l’égard du traitement de données ;

e.         « destinataire » signifie : la personne physique ou morale, l'autorité publique, le service, l’agence ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles ;

f.          « sous-traitant » signifie : la personne physique ou morale, l'autorité publique, le service, l’agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Article 3 – Champ d’application

1.         Chaque Partie s’engage à appliquer la présente Convention aux traitements de données relevant de sa juridiction dans les secteurs public et privé, garantissant ainsi à toute personne le droit à la protection de ses données à caractère personnel.

2.         La présente Convention ne s’applique pas au traitement de données effectué par une personne dans le cadre d’activités exclusivement personnelles ou domestiques.

Chapitre II – Principes de base pour la protection des données à caractère personnel

Article 4 – Engagements des Parties

1.         Chaque Partie prend, dans sa loi, les mesures nécessaires pour donner effet aux dispositions de la présente Convention ainsi que pour en assurer l’application effective.

2.         Ces mesures doivent être prises par chaque Partie et doivent être entrées en vigueur au moment de la ratification ou de l’adhésion à la présente Convention.

3.         Chaque Partie s’engage :

a.         à permettre au Comité conventionnel prévu au chapitre VI d’évaluer l’efficacité des mesures qu’elle aura prises dans sa loi pour donner effet aux dispositions de la présente Convention ; et

b.         à contribuer activement à ce processus d’évaluation.

Article 5 – Légitimité du traitement de données et qualité des données

1.         Le traitement de données doit être proportionné à la finalité légitime poursuivie et refléter à chaque étape du traitement un juste équilibre entre tous les intérêts en présence, qu’ils soient publics ou privés, ainsi que les droits et les libertés en jeu.

2.         Chaque Partie prévoit que le traitement de données ne peut être effectué que sur la base du consentement libre, spécifique, éclairé et non-équivoque de la personne concernée ou en vertu d’autres fondements légitimes prévus par la loi.

3.         Les données à caractère personnel faisant l'objet d'un traitement sont traitées licitement.

4.         Les données à caractère personnel faisant l’objet d’un traitement sont :

a.            traitées loyalement et de manière transparente ;

b.            collectées pour des finalités explicites, déterminées et légitimes et ne sont pas traitées de manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est compatible avec ces fins, à condition que des garanties complémentaires s’appliquent ;

c.            adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;

d.            exactes, et si nécessaire, mises à jour ;

e.            conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées.

Article 6 – Catégories particulières de données

1.         Le traitement :

- de données génétiques ;

- de données à caractère personnel concernant des infractions, des procédures et des condamnations pénales et des mesures de sûreté connexes ;

- de données biométriques identifiant un individu de façon unique ;

- de données à caractère personnel pour les informations qu’elles révèlent sur l’origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, les convictions religieuses ou autres convictions, la santé ou la vie sexuelle ;

n’est autorisé qu’à la condition que des garanties appropriées, venant compléter celles de la présente Convention, soient prévues par la loi.

2.         Ces garanties doivent être de nature à prévenir les risques que le traitement de données sensibles peut présenter pour les intérêts, droits et libertés fondamentales de la personne concernée, notamment un risque de discrimination.

Article 7 – Sécurité des données

1.         Chaque Partie prévoit que le responsable du traitement ainsi que, le cas échéant, le sous-traitant, prend des mesures de sécurité appropriées contre les risques tels que l’accès accidentel ou non autorisé aux données à caractère personnel, leur destruction, perte, utilisation, modification ou divulgation.

2.         Chaque Partie prévoit que le responsable du traitement est tenu de notifier, sans délai excessif, à tout le moins à l’autorité de contrôle compétente au sens de l’article 15 de la présente Convention, les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées.

Article 8 – Transparence du traitement

1.         Chaque Partie prévoit que le responsable du traitement informe les personnes concernées :

a.         de son identité et de sa résidence ou lieu d’établissement habituels ;

b.         de la base légale et des finalités du traitement envisagé ;

c.         des catégories des données à caractère personnel traitées ;

d.         le cas échéant, des destinataires ou catégories de destinataires des données à caractère personnel ; et

e.         des moyens d’exercer les droits énoncés à l’article 9 ;

ainsi que de toute autre information complémentaire nécessaire pour garantir un traitement loyal et transparent des données à caractère personnel.

2.         Le paragraphe 1 ne s’applique pas lorsque la personne concernée détient déjà l’information.

3.         Lorsque les données à caractère personnel ne sont pas collectées directement auprès des personnes concernées, le responsable du traitement n’est pas tenu de fournir ces informations dès lors que le traitement est expressément prévu par la loi ou que cela lui est impossible ou implique des efforts disproportionnés.

Article 9 – Droits des personnes concernées

1.         Toute personne a le droit :

a.         de ne pas être soumise à une décision l’affectant de manière significative, qui serait prise uniquement sur le fondement d’un traitement automatisé de données, sans que son point de vue soit pris en compte ;

b.         d’obtenir, à sa demande, à intervalle raisonnable et sans délai ou frais excessifs, la confirmation d’un traitement de données la concernant, la communication sous une forme intelligible des données traitées, et toute information disponible sur leur origine, sur la durée de leur conservation ainsi que toute autre information que le responsable du traitement est tenu de fournir au titre de la transparence des traitements conformément à l’article 8, paragraphe 1 ;

c.         d’obtenir, à sa demande, connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués ;

d.         de s’opposer à tout moment, pour des raisons tenant à sa situation, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement, à moins que le responsable du traitement ne démontre des motifs légitimes justifiant le traitement qui prévalent sur les intérêts, ou les droits et libertés fondamentales de la personne concernée ;

e.         d’obtenir, à sa demande, sans frais et sans délai excessifs, la rectification de ces données ou, le cas échéant, leur effacement lorsqu'elles sont ou ont été traitées en violation des dispositions de la présente Convention ;

f.          de disposer d'un recours conformément à l’article 12, lorsque ses droits prévus par la présente Convention ont été violés ;

g.         de bénéficier, quelle que soit sa nationalité ou sa résidence, de l’assistance d’une autorité de contrôle au sens de l’article 15 pour l'exercice de ses droits prévus par la présente Convention.

2.         Le paragraphe 1.a ne s’applique pas si la décision est autorisée par une loi à laquelle est soumis le responsable du traitement et qui prévoit également des mesures appropriées pour la sauvegarde des droits, des libertés et des intérêts légitimes de la personne concernée.

Article 10 – Obligations complémentaires

1.         Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, doivent prendre toutes les mesures appropriées afin de se conformer aux obligations de la présente Convention et être en mesure de démontrer sous réserve de la législation nationale adoptée conformément à l’article 11, paragraphe 3, en particulier à l’autorité de contrôle compétente, prévue à l’article 15, que le traitement dont ils sont responsables est en conformité avec les dispositions de la présente Convention.

2.         Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, doivent procéder, préalablement au commencement de tout traitement, à l’examen de l’impact potentiel du traitement de données envisagé sur les droits et libertés fondamentales des personnes concernées, et qu’ils doivent concevoir le traitement de données de manière à prévenir ou à minimiser les risques d’atteinte à ces droits et libertés fondamentales.

3.         Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, prennent des mesures techniques et organisationnelles tenant compte des implications du droit à la protection des données à caractère personnel à tous les stades du traitement des données.

4.         Chaque Partie peut, eu égard aux risques encourus pour les intérêts, droits et libertés fondamentales des personnes concernées, adapter l’application des dispositions des paragraphes 1, 2 et 3 dans la loi donnant effet aux dispositions de la présente Convention, en fonction de la nature et du volume des données, de la nature, de la portée et de la finalité du traitement et, le cas échéant de la taille des responsables du traitement et des sous-traitants.

Article 11 – Exceptions et restrictions

1.         Aucune exception aux dispositions énoncées au présent chapitre n'est admise, sauf au regard des dispositions de l’article 5 paragraphe 4, de l’article 7 paragraphe 2, de l’article 8 paragraphe 1 et de l’article 9, dès lors qu’une telle exception est prévue par une loi, qu’elle respecte l’essence des droits et libertés fondamentales, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique :

a.            à la protection de la sécurité nationale, à la défense, à la sûreté publique, à des intérêts économiques et financiers importants de l'État, à l’impartialité et à l’indépendance de la justice ou à la prévention, à l’investigation et à la répression des infractions pénales et à l’exécution des sanctions pénales, ainsi qu’à d’autres objectifs essentiels d’intérêt public général ;

b.            à la protection de la personne concernée ou des droits et libertés fondamentales d'autrui, notamment la liberté d’expression.

 

2.         Des restrictions à l'exercice des dispositions visées aux articles 8 et 9 peuvent être prévues par la loi pour le traitement des données utilisées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, lorsqu'il n'existe pas de risque identifiable d'atteinte aux droits et libertés fondamentales des personnes concernées.

3.         Outre les exceptions prévues au paragraphe 1 du présent article, relatives aux activités de traitement à des fins de sécurité nationale et de défense, chaque Partie peut prévoir par une loi et uniquement dans la mesure où cela constitue une mesure nécessaire et proportionnée dans une société démocratique à cette fin, des exceptions à l’article 4 paragraphe 3, à l'article 14 paragraphes 5 et 6 et à l'article 15 paragraphe 2, alinéas a, b, c et d.

Cela est sans préjudice de l’exigence que les activités de traitement à des fins de sécurité nationale et de défense fassent l'objet d'un contrôle et d’une supervision indépendants effectifs selon la législation nationale de chaque Partie.

Article 12 – Sanctions et recours

Chaque Partie s'engage à établir des sanctions et des recours juridictionnels et non-juridictionnels appropriés visant les violations des dispositions de la présente Convention.

Article 13 – Protection plus étendue

Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte à la faculté pour chaque Partie d'accorder aux personnes concernées une protection plus étendue que celle prévue par la présente Convention.

Chapitre III – Flux transfrontières de données à caractère personnel

Article 14 – Flux transfrontières de données à caractère personnel

1.         Une Partie ne peut, aux seules fins de la protection des données à caractère personnel, interdire ou soumettre à une autorisation spéciale le transfert de ces données à un destinataire relevant de la juridiction d’une autre Partie à la Convention. Cette Partie peut néanmoins agir ainsi lorsqu’il existe un risque réel et sérieux que le transfert à une autre Partie, ou de cette autre Partie à une non-Partie, conduise à contourner les dispositions de la Convention. Une Partie peut également agir ainsi lorsqu’elle est tenue de respecter des règles de protection harmonisées communes à des États appartenant à une organisation internationale régionale.

2.         Lorsque le destinataire relève de la juridiction d’un État ou d’une organisation internationale qui n’est pas Partie à la présente Convention, le transfert de données à caractère personnel n’est possible que si un niveau approprié de protection fondé sur les dispositions de la présente Convention est garanti.

3.         Un niveau de protection des données approprié peut être garanti par :

a.         les règles de droit de cet État ou de cette organisation internationale, y compris les traités ou accords internationaux applicables ; ou

b.         des garanties ad hoc ou standardisées agréées, établies par des instruments juridiquement contraignants et opposables, adoptés et mis en œuvre par les personnes impliquées dans le transfert et le traitement ultérieur des données.

4.         Nonobstant les modalités prévues aux paragraphes précédents, chaque Partie peut prévoir que le transfert de données à caractère personnel peut avoir lieu :

a.         si la personne concernée a donné son consentement explicite, spécifique et libre, après avoir été informée des risques introduits par l’absence de garanties appropriées ; ou

b.         si des intérêts spécifiques de la personne concernée le nécessitent dans un cas particulier ; ou

c.            si des intérêts légitimes prépondérants, notamment des intérêts publics importants, sont prévus par la loi et si ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique ; ou

d.            si ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique pour la liberté d’expression.

5.         Chaque Partie prévoit que l’autorité de contrôle compétente au sens de l’article 15 de la présente Convention obtient toute information pertinente relative aux transferts de données prévus au paragraphe 3.b, et, sur demande, aux paragraphes 4.b et 4.c.

6.         Chaque Partie prévoit également que l’autorité de contrôle peut exiger de la personne qui transfère les données qu’elle démontre l’effectivité des garanties prises ou l’existence d’ intérêts légitimes prépondérants et qu’elle peut, pour protéger les droits et les libertés fondamentales des personnes concernées, interdire ou suspendre les transferts ou soumettre à condition de tels transferts de données.

Chapitre IV – Autorités de contrôle

Article 15 – Autorités de contrôle

1.         Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des dispositions de la présente Convention.

2.         À cet effet, ces autorités :

a.         disposent de pouvoirs d'investigation et d'intervention ;

b.         exercent les fonctions en matière de transferts de données prévues à l’article 14, notamment l’agrément de garanties standardisées ;

c.         disposent du pouvoir de rendre des décisions relatives aux violations des dispositions de la présente Convention et peuvent, notamment, infliger des sanctions administratives ;

d.         disposent du pouvoir d’ester en justice ou de porter à la connaissance de l'autorité judiciaire compétente des violations des dispositions de la présente Convention ;

e.         sont chargées :

i.          de sensibiliser le public à leurs fonctions et à leurs pouvoirs, ainsi qu’à leurs activités ;

ii.         de sensibiliser le public aux droits des personnes concernées et à l’exercice de ces droits ;

iii.         de sensibiliser les responsables du traitement et les sous-traitants aux responsabilités qui leur incombent en vertu de la présente Convention ;

une attention particulière sera portée au droit à la protection des données des enfants et des autres personnes vulnérables.

3.         Les autorités de contrôle compétentes sont consultées sur toute proposition législative ou administrative impliquant des traitements de données à caractère personnel.

4.         Chaque autorité de contrôle compétente traite les demandes et les plaintes dont elle est saisie par les personnes concernées au regard de leurs droits à la protection des données et tient ces personnes informées des résultats.

5.         Les autorités de contrôle agissent avec indépendance et impartialité dans l’accomplissement de leurs fonctions et l’exercice de leurs pouvoirs et, ce faisant, elles ne sollicitent ni n’acceptent d'instructions.

6.         Chaque Partie s’assure que les autorités de contrôle disposent des ressources nécessaires à l’accomplissement effectif de leurs fonctions et à l’exercice de leurs pouvoirs. 

7.         Chaque autorité de contrôle prépare et publie un rapport d’activités périodique.

8.         Les membres et agents des autorités de contrôle sont tenus à une obligation de confidentialité à l’égard des informations confidentielles auxquelles ils ont, ou ont eu, accès dans l’accomplissement de leurs fonctions et l’exercice de leurs pouvoirs.

9.         Les décisions des autorités de contrôle peuvent faire l’objet d’un recours juridictionnel.

10.       Les autorités de contrôle ne sont pas compétentes s’agissant des traitements effectués par des organes dans l’exercice de leurs fonctions juridictionnelles.

Chapitre V – Coopération et entraide

Article 16 – Désignation des autorités de contrôle

1.         Les Parties s'engagent à coopérer et à s'accorder mutuellement assistance pour la mise en œuvre de la présente Convention.

2.         À cette fin,

a.            chaque Partie désigne une ou plusieurs autorités de contrôle au sens de l’article 15 de la présente Convention, dont elle communique la dénomination et l'adresse au Secrétaire Général du Conseil de l'Europe ;

b.            chaque Partie, qui a désigné plusieurs autorités de contrôle, indique, dans la communication visée à l'alinéa précédent, la compétence de chacune.

Article 17 – Formes de coopération

1.         Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs fonctions et l’exercice de leurs pouvoirs, notamment :

a.         en s’accordant mutuellement une assistance par l’échange d’informations pertinentes et utiles et en coopérant entre elles, à condition qu’en ce qui concerne la protection des données à caractère personnel toutes les règles et garanties de la présente Convention soient respectées ;

b.         en coordonnant leurs investigations ou interventions, ou en menant des actions conjointes ;

c.         en fournissant des informations et des documents sur leur droit et sur leurs pratiques administratives en matière de protection des données.

2.         Les informations visées au paragraphe 1 n’incluent pas les données à caractère personnel faisant l’objet d’un traitement, à moins que ces données soient essentielles à la coopération ou que la personne concernée ait donné un consentement explicite, spécifique, libre et éclairé pour ce faire.

3.         Afin d’organiser leur coopération et d’accomplir les fonctions prévues aux paragraphes précédents, les autorités de contrôle des Parties se constituent en réseau.

Article 18 – Assistance aux personnes concernées

1.         Chaque Partie prête assistance à toute personne concernée, quelle que soit sa nationalité ou sa résidence, pour l'exercice de ses droits prévus par l'article 9 de la présente Convention.

2.         Lorsque la personne concernée réside sur le territoire d'une autre Partie, elle doit avoir la faculté de présenter la demande par l'intermédiaire de l'autorité de contrôle désignée par cette Partie.

3.         La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment :

a.            le nom, l'adresse et tout autre élément pertinent d'identification de la personne concernée à l’origine de la demande ;

b.            le traitement auquel la demande se réfère ou le responsable du traitement correspondant ;

c.            l’objet de la demande.

Article 19 – Garanties

1.         Une autorité de contrôle qui a reçu des informations d'une autre autorité de contrôle, soit à l'appui d'une demande, soit en réponse à une demande qu'elle a formulée elle-même, ne pourra faire usage de ces informations à des fins autres que celles spécifiées dans la demande.

 

2.         En aucun cas une autorité de contrôle ne sera autorisée à faire une demande au nom d'une personne concernée, de sa propre initiative et sans l’approbation expresse de cette personne.

Article 20 – Refus des demandes

Une autorité de contrôle, saisie d'une demande aux termes de l’article 17 de la présente Convention, ne peut refuser d'y donner suite que si :

a.            la demande est incompatible avec ses compétences ;

b.            la demande n'est pas conforme aux dispositions de la présente Convention ;

c.            l'exécution de la demande serait incompatible avec la souveraineté, la sécurité nationale ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette Partie.

Article 21 – Frais et procédures

1.         La coopération et l'entraide que les Parties s'accordent aux termes de l'article 17, ainsi que l'assistance qu'elles prêtent aux personnes concernées aux termes des articles 9 et 18 ne donneront pas lieu au paiement de frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a fait la demande.

2.         La personne concernée ne peut être tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d'une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie.

3.         Les autres modalités relatives à la coopération et à l'entraide concernant notamment les formes et procédures ainsi que les langues à utiliser seront établies directement entre les Parties concernées.

Chapitre VI – Comité conventionnel

Article 22 – Composition du comité

1.         Un Comité conventionnel est constitué après l'entrée en vigueur de la présente Convention.

2.         Toute Partie désigne un représentant et un suppléant à ce Comité. Tout État membre du Conseil de l'Europe qui n'est pas Partie à la Convention a le droit de se faire représenter au comité par un observateur.

3.         Le Comité conventionnel peut, par une décision prise à la majorité des deux-tiers des représentants des Parties, inviter un observateur à se faire représenter à ses réunions.

4.         Toute Partie qui n’est pas membre du Conseil de l’Europe contribuera au financement des activités du Comité conventionnel selon des modalités établies par le Comité des Ministres en accord avec cette Partie.

Article 23 – Fonctions du comité

Le Comité conventionnel :

a.            peut faire des recommandations en vue de faciliter ou d'améliorer l'application de la Convention ;

b.            peut faire des propositions d'amendement à la présente Convention conformément à l'article 25 ;

c.            formule un avis sur toute proposition d'amendement à la présente Convention qui lui est soumis conformément à l'article 25, paragraphe 3 ;

d.            peut exprimer un avis sur toute question relative à l’interprétation ou à l'application de la présente Convention ;

e.            formule, préalablement à toute nouvelle adhésion à la Convention, un avis destiné au Comité des Ministres sur le niveau de protection des données à caractère personnel assuré par le candidat à l’adhésion et recommande, le cas échéant, des mesures à prendre en vue d’atteindre la conformité avec les dispositions de la présente Convention ;

f.             peut, à la demande d’un État ou d’une organisation internationale, évaluer si leur niveau de protection des données à caractère personnel est conforme aux dispositions de la présente Convention et recommande, le cas échéant, des mesures à prendre en vue d’atteindre une telle conformité ;

g.            peut élaborer ou approuver des modèles de garanties standardisées au sens de l’article 14 ;

h.            examine la mise en œuvre de la présente Convention par les Parties et recommande des mesures à prendre en cas de non-respect de la présente Convention par une Partie ;

i.              facilite au besoin le règlement amiable de toute difficulté d’application de la présente Convention.

Article 24 – Procédure

1.         Le Comité conventionnel est convoqué par le Secrétaire Général du Conseil de l'Europe. Il tient sa première réunion dans les douze mois qui suivent l'entrée en vigueur de la présente Convention. Il se réunit par la suite au moins une fois par an et, en tous cas, chaque fois qu'un tiers des représentants des Parties demande sa convocation.

2.         À l'issue de chacune de ses réunions, le Comité conventionnel soumet au Comité des Ministres du Conseil de l'Europe un rapport sur ses travaux et sur le fonctionnement de la présente Convention.

3.         Les modalités de vote au sein du Comité conventionnel sont fixées dans les éléments pour le règlement intérieur annexés au Protocole n° STCE [223]. 

4.         Le Comité conventionnel établit les autres éléments de son règlement intérieur et fixe en particulier les procédures d’évaluation et d’examen prévues à l’article 4, paragraphe 3 et à l’article 23, alinéas e, f et h sur la base de critères objectifs.

Chapitre VII – Amendements

Article 25 – Amendements 

1.         Des amendements à la présente Convention peuvent être proposés par une Partie, par le Comité des Ministres du Conseil de l'Europe ou par le comité conventionnel.

2.         Toute proposition d'amendement est communiquée par le Secrétaire Général du Conseil de l'Europe aux Parties à la présente Convention, aux autres États membres du Conseil de l'Europe, à l’Union européenne et à chaque État non membre ou organisation internationale qui a été invité(e) à adhérer à la présente Convention conformément aux dispositions de l'article 27.

3.         En outre, tout amendement proposé par une Partie ou par le Comité des Ministres est communiqué au comité conventionnel, qui soumet au Comité des Ministres son avis sur l'amendement proposé.

4.         Le Comité des Ministres examine l'amendement proposé et tout avis soumis par le comité conventionnel, et peut approuver l'amendement.

5.         Le texte de tout amendement approuvé par le Comité des Ministres conformément au paragraphe 4 du présent article est transmis aux Parties pour acceptation.

6.         Tout amendement approuvé conformément au paragraphe 4 du présent article entrera en vigueur le trentième jour après que toutes les Parties auront informé le Secrétaire Général qu'elles l'ont accepté.

7.         Par ailleurs, le Comité des Ministres peut, après consultation du comité conventionnel, décider à l’unanimité qu'un amendement en particulier entrera en vigueur à l'expiration d'une période de trois ans à compter de la date à laquelle il aura été ouvert à l'acceptation, sauf si une Partie a notifié au Secrétaire Général du Conseil de l'Europe une objection à son entrée en vigueur. Lorsqu'une telle objection a été notifiée, l'amendement entrera en vigueur le premier jour du mois suivant la date à laquelle la Partie à la présente Convention qui a notifié l'objection aura déposé son instrument d'acceptation auprès du Secrétaire Général du Conseil de l'Europe.

Chapitre VIII – Clauses finales

Article 26 – Entrée en vigueur

1.         La présente Convention est ouverte à la signature des États membres du Conseil de l'Europe et de l’Union européenne. Elle sera soumise à ratification, acceptation ou approbation. Les instruments de ratification, d'acceptation ou d'approbation seront déposés près le Secrétaire Général du Conseil de l'Europe.

2.         La présente Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle cinq États membres du Conseil de l'Europe auront exprimé leur consentement à être liés par la Convention conformément aux dispositions du paragraphe précédent.

3.         Pour toute Partie qui exprimera ultérieurement son consentement à être liée par la Convention, cette dernière entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument de ratification, d'acceptation ou d'approbation.

Article 27 – Adhésion d'États non membres ou d’organisations internationales

1.         Après l’entrée en vigueur de la présente Convention, le Comité des Ministres du Conseil de l’Europe pourra, après consultation des Parties à la présente Convention et en avoir obtenu l’assentiment unanime, et à la lumière de l’avis formulé par le Comité conventionnel conformément à l’article 23.e, inviter tout État non membre du Conseil de l’Europe ou une organisation internationale à adhérer à la présente Convention par une décision prise à la majorité prévue à l’article 20.d du Statut du Conseil de l’Europe, et à l'unanimité des représentants des États contractants ayant le droit de siéger au Comité des Ministres.

2.         Pour tout État ou organisation internationale adhérant à la présente Convention conformément au paragraphe 1 ci-dessus, la Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument d'adhésion près le Secrétaire Général du Conseil de l'Europe.

Article 28 – Clause territoriale

1.         Tout État, l’Union européenne ou une autre organisation internationale peuvent, au moment de la signature ou au moment du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, désigner le ou les territoires auxquels s'appliquera la présente Convention.

2.         Tout État, l’Union européenne ou une autre organisation internationale peuvent, à tout autre moment par la suite, par une déclaration adressée au Secrétaire Général du Conseil de l'Europe, étendre l'application de la présente Convention à tout autre territoire désigné dans la déclaration. La Convention entrera en vigueur à l'égard de ce territoire le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la déclaration par le Secrétaire Général.

3.         Toute déclaration faite en vertu des deux paragraphes précédents pourra être retirée, en ce qui concerne tout territoire désigné dans cette déclaration, par notification adressée au Secrétaire Général. Le retrait prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois après la date de réception de la notification par le Secrétaire Général

Article 29 – Réserves

Aucune réserve n'est admise aux dispositions de la présente Convention.

Article 30 – Dénonciation

1.         Toute Partie peut, à tout moment, dénoncer la présente Convention en adressant une notification au Secrétaire Général du Conseil de l'Europe.

2.         La dénonciation prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois après la date de réception de la notification par le Secrétaire Général

Article 31 – Notifications

Le Secrétaire Général du Conseil de l'Europe notifiera aux États membres du Conseil et à toute Partie à la présente Convention :

a.            toute signature ; 

b.            le dépôt de tout instrument de ratification, d'acceptation, d'approbation ou d'adhésion ;

c.            toute date d'entrée en vigueur de la présente Convention conformément à ses articles 26, 27 et 28 ;

d.            tout autre acte, notification ou communication ayant trait à la présente Convention.

Annexe au Protocole : Eléments pour le Règlement intérieur du comité conventionnel

1.         Chaque Partie a le droit de vote et dispose d'une voix.

2.         La majorité des deux tiers des représentants des Parties constitue le quorum nécessaire pour tenir une réunion du comité conventionnel. Dans le cas où le Protocole d’amendement à la Convention entrerait en vigueur conformément à l’article 37(2) avant son entrée en vigueur à l’égard de tous les Etats Contractants à la Convention, le quorum nécessaire pour tenir une réunion du comité conventionnel sera d’au moins 34 Parties au Protocole.

3.         Les décisions au titre de l’article 23 sont prises à la majorité des quatre cinquièmes. Les décisions au titre de l'article 23, alinéa h, sont prises à la majorité des quatre cinquièmes, y compris la majorité des voix des États Parties non membres d'une organisation d'intégration régionale qui est Partie à la Convention.

4.         Lorsque le comité conventionnel prend des décisions en vertu de l'article 23, alinéa h, la Partie concernée par l’examen ne vote pas. Dès lors qu’une telle décision concerne une question relevant de la compétence d’une organisation d'intégration régionale, ni l'organisation ni ses États membres ne votent.

5.         Les décisions concernant les questions procédurales sont prises à la majorité simple.

6.         Les organisations d'intégration régionale, dans les domaines relevant de leur compétence, peuvent exercer leur droit de vote au sein du comité conventionnel avec un nombre de voix égal au nombre de leurs États membres qui sont Parties à la Convention. Une telle organisation n'exerce pas son droit de vote si l'un de ses États membres exerce son droit.

7.         En cas de vote, toutes les Parties doivent être informées de l'objet et du moment du vote, ainsi que du fait que le vote sera exercé par les Parties individuellement ou par une organisation d'intégration régionale au nom de ses États membres.

8.         Le comité conventionnel peut ultérieurement amender le règlement intérieur à la majorité des deux tiers des Parties, à l’exception des modalités de vote qui ne peuvent être amendées qu’à l’unanimité et auxquelles l’article 25 de la Convention s’applique.