Le Conseil de l’Europe et la protection des données, en particulier la Convention 108+[1]


[1] Exposé dans le cadre du 11ème Séminaire Régional UniDem Med, « Vers une administration orientée vers les usagers» (visioconférence, 13 – 15 octobre 2020), texte également publié sur https://rm.coe.int/commission-de-venise-conseil-de-leurope-et-protection-des-donnees/1680a002fb

Nous avons eu l’affaire Snowden et ses révélations qui ont mis en lumière l’ampleur de la surveillance de masse mise en place par certaines autorités publiques. Parallèlement la numérisation de nos sociétés s’est poursuivie et s’est accélérée. La crise sanitaire que nous traversons y a également contribuée obligeant de nombreuses personnes à travailler, à apprendre, à partager et à socialiser à distance. Les réunions et conférences en ligne ont supplanté pour un temps du moins le présentiel. La numérisation de la société suscite aussi de grands espoirs pour améliorer nos conditions de vie et notre bien-être. Elle est souvent présentée comme la solution à tous nos problèmes. S’il est incontestable que le développement des technologies de l’information et des communications est un facteur de progrès dans de nombreux secteurs d’activités privés ou publics, force est de constater que la numérisation comporte aussi de nombreux risques et peut s’avérer « un formidable support à la surveillance et à l’instrumentation » des citoyens et citoyennes. Ces technologies, ne l’oublions pas, peuvent se montrer de plus en plus invasives et intrusives dans nos vies privées, à l’image de développements fulgurants dans le domaine de la biométrie, de la reconnaissance faciale et de l’intelligence artificielle ou encore des techniques de profilage toujours plus fines. L’affaire Clearview révélée au début 2019 par le New York Times qui a permis à cette start-up d’aspirer des milliards de photos postées sur internet et de proposer ses services de reconnaissance faciale à différentes autorités de police aux Etats-Unis ou la généralisation programmée de la reconnaissance faciale en Chine ne sont que des exemples des nombreux dérapages que jour après jour nous devons constater et qui grignotent systématiquement notre vie privée au point de la rendre illusoire si nous ne réagissons pas fortement et ne stoppons pas cette marche vers une société de surveillance généralisée – qui je le souligne n’est pas seulement le fait d’autorités publiques, mais tend à devenir le modèle économique de nombreuses entreprises actives dans le numérique. Une absence de réaction pourrait ainsi sonner le glas des droits humains et de la démocratie. C’est un défi considérable pour le respect des droits de l’Homme et des libertés fondamentales, notamment le droit à la vie privée. Il est dès lors impérieux de veiller à ce que la numérisation et le développement des technologies de l’information et des communications se fassent au bénéfice de l’humanité, respecte la dignité et le droit à l’autodétermination informationnelle de chaque être humain et s’inscrive dans un cadre démocratique. Le droit à la vie privée et à la protection des données est ainsi un droit fondamental essentiel au bon fonctionnement des sociétés modernes et démocratiques évoluant dans un environnement numérique.

Le droit au respect de la vie privée est universellement reconnu par l’article 12 de la Déclaration universelle des droits de l’homme et par l’article 17 du Pacte international relatif aux droits civils et politiques. Au niveau régional, il est également inscrit à l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950. On le retrouve également à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, lequel inclut également le droit à la protection des données.

Le Conseil de l’Europe est depuis de longue date un acteur incontournable dans le contexte de la défense de l’État de droit, de la démocratie et de la garantie des droits humains et des libertés fondamentales, y compris le droit à la vie privée. Ce rôle central du Conseil de l’Europe dans la défense des droits humains en relation avec le traitement des données à caractère personnel se manifeste à partir des années 70 avec l’adoption de deux résolutions (73) 22 et 74 (29) définissant les principes de protection des données à caractère personnel dans les traitements automatiques de banques de données dans les secteurs privé et public. Ces deux résolutions ont été adoptées parallèlement à l’apparition des premières législations nationales de protection des données.

Très rapidement ayant constaté la dimension que prenait le traitement de données personnelles et les risques qui en découlaient, le Conseil de l’Europe franchit une étape de plus en élaborant une Convention, la Convention sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ouverte à la signature le 28 janvier 1981 (Convention 108), laquelle sera complétée par un protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données du 8 novembre 2001.

La Convention 108 est à ce jour le seul instrument international juridiquement contraignant régissant le droit à la protection des données. C’est une convention qui n’est pas réservée aux seuls États membres du Conseil de l’Europe, mais se veut une convention ouverte à l’adhésion de pays non européens. En effet tout État disposant d’une législation de protection des données conforme aux exigences de la Convention 108 peut demander à y adhérer. A ce jour, les 47 États membres du Conseil de l’Europe l’ont ratifiée et 8 États tiers provenant d’Amérique latine et d’Afrique, dont le Maroc et la Tunisie, y ont adhéré. La Convention 108 définit les principes de base de la protection des données qui sont universellement reconnus, ce qui lui donne une portée universelle. Elle a un champ d’application large et couvre ainsi tout traitement de données à caractère personnel du secteur public et du secteur privé, y compris les traitements de la justice, de la sécurité nationale, de la défense et des services de renseignements.

La Convention 108 a fait l’objet d’une modernisation pour répondre aux développements juridiques et technologiques intervenus depuis son adoption, notamment suite à l’arrivée de l’Internet, des objets connectés, des téléphones intelligents, de l’exploitation des mégadonnées et du développement de l’Intelligence artificielle ou des réseaux sociaux. Cette modernisation nécessaire a pour objectif de renforcer les droits des personnes, de faciliter les flux de données, d’asseoir son caractère ouvert et universel et d’offrir ainsi une alternative crédible à l’absence d’un instrument juridique contraignant au niveau mondial. Les travaux de modernisation ont abouti à l’adoption d’un protocole d’amendement le 18 mai 2018, ouvert à la signature des Parties, le 10 octobre 2018. La désormais Convention 108+[1] a, à ce jour, été signée par 34 États et 8 l’ont ratifiée[2].  

L’objectif de la Convention 108+, tel que défini en son article 1, est de « protéger toute personne physique quelle que soit sa nationalité ou sa résidence, à l’égard du traitement de données à caractère personnel, contribuant au respect de ses droits de l’homme et de ses libertés fondamentales et notamment son droit à la vie privée ». La protection des données se veut ainsi un droit de l’Homme au service de l’exercice d’autres droits humains et libertés fondamentales, en particulier pour « garantir l’autonomie personnelle fondée sur le droit de la personne de contrôler ses propres données à caractère personnel et le traitement qui en est fait » et pour « garantir la dignité humaine »[3]. Ces garanties sont fondamentales, notamment en relation avec le débat autour des identités numériques, le développement de l’Intelligence artificielle, l’exploitation des mégadonnées et le profilage des personnes afin qu’elles ne soient pas de simples objets du traitement.

La Convention n’est pas d’application directe et implique aux termes de son article 4 que les États parties transposent dans leur droit interne les exigences de la Convention. Afin de renforcer l’effectivité des engagements des Parties et des mesures mises en place pour donner effet aux dispositions de la Convention, la Convention 108+ prévoit que ces mesures doivent être prises et effectives au moment de la ratification ou de l’adhésion. En outre, le comité conventionnel devra mener des évaluations pour vérifier l’efficacité des mesures qui ont été prises. Un mécanisme d’évaluation standardisé sera mis en place.

La Convention 108+ énonce les principes de base de la protection des données que sont en particulier la licéité et la loyauté du traitement, l’obligation de traiter des données uniquement en relation avec une finalité déterminée, légitime et explicite, la qualité des données (les données traitées doivent être pertinentes, non excessives, exactes et conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées) (art. 5). Pour ne pas être excessives, les données doivent se limiter à ce qui est nécessaire par rapport aux finalités ; elles ne devraient être traitées que dans la mesure où ces finalités ne peuvent être raisonnablement atteintes en utilisant des informations ne comportant pas de données à caractère personnel. On vise non seulement des aspects quantitatifs, mais également qualitatifs : les données peuvent s’avérer pertinentes, mais néanmoins entraîner une ingérence disproportionnée ou excessive et dès lors elles ne doivent pas être traitées.

La Convention 108+ en son article 5.1, met un accent particulier sur le principe de proportionnalité du traitement. La proportionnalité doit être garantie non seulement quant aux données collectées, mais également par rapport aux méthodes, aux moyens et aux phases du traitement des données. Elle définit également les motifs de légitimité du traitement. Il peut reposer soit sur le consentement libre, spécifique, éclairé et non-équivoque des personnes concernées, soit sur tout autre fondement légitime prévu par la loi, par exemple un contrat, les intérêts vitaux des personnes, une obligation légale ou des motifs d’intérêt public, voire un intérêt légitime prépondérant. Le traitement de données sensibles définies à l’article 6 n’est possible que moyennant des garanties appropriées supplémentaires prévues par le droit interne pour prévenir les risques pour les intérêts, droits et libertés fondamentales de la personne, notamment le risque de discrimination. En particulier, lorsque le traitement se base sur le consentement de la personne concernée, celui-ci devra être explicite.

La Convention 108+ énonce les droits des personnes concernées (art. 9). Au côté notamment du droit d’accès aux données qui les concernent, la Convention en relation notamment avec l’IA et le profilage des personnes, prévoit en particulier un droit de ne pas être soumis à une décision l’affectant de manière significative qui serait prise uniquement sur le fondement d’un traitement automatisé de données, sans que son point de vue ne soit pris en compte. Ce droit est complété par celui d’obtenir connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués. Les personnes concernées se voient également bénéficier d’un droit d’opposition au traitement, du droit de faire rectifier ou effacer les données et doivent pouvoir disposer d’un recours effectif lorsque leurs droits ont été violés.

La Convention 108+ énonce également les obligations des responsables de traitement et des sous-traitants, notamment l’obligation d’annonce des failles de sécurité, de transparence des traitements et de mise en conformité, l’obligation de procéder à des analyses de l’impact potentiel du traitement sur les droits et libertés fondamentales et celle de protection des données dès la conception et par défaut (art. 10). La Convention ne prévoit pas la possibilité d’émettre des réserves lors de la ratification. Toutefois aux termes de l’article 11, des dérogations à certaines dispositions (par exemple aux droits des personnes concernées) sont possibles pour autant que cela soit prévu par la loi, respecte l’essence des droits et libertés fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique à des fins déterminées énoncées dans la Convention.

Enfin la Convention règle les flux transfrontières de données selon le principe du libre flux entre États Parties sous réserve d’un régime spécifique. Le transfert vers un destinataire dont l’État ou l’organisation n’est pas partie à la Convention est envisageable dans la mesure où un niveau approprié de protection peut être garanti conformément à l’article 14. En l’absence de niveau suffisant, le transfert reste possible à certaines conditions. La Convention 108+ prévoit la mise en place d’autorités de surveillance indépendantes dotées de pouvoirs d’investigation et d’intervention. Ces autorités doivent pouvoir coopérer entre-elles (art. 15ss). Un comité conventionnel est également mis en place pour assurer la bonne application des dispositions de la Convention et assurer le suivi (art. 22ss).

En résumé, la Convention 108+ offre un niveau élevé de protection des données similaires à celui du RGPD. Elle apporte une réponse globale au défi découlant des traitements de données personnelles dans un monde globalisé et interconnecté. De par son approche générale et non technologique, la Convention est un instrument souple tout en offrant un socle commun de règles et de principes fort, ayant une portée universelle sur lequel il est possible de construire pour répondre aux défis internationaux tout en tenant compte des diversités. Nous sommes en présence de règles équilibrées et ambitieuses. Elle assure une parfaite cohérence avec le cadre juridique de l’Union européenne et se veut une passerelle entre le droit européen et d’autres systèmes juridiques. Dans le cadre des transferts internationaux de données, elle sera un élément clé dans l’appréciation du niveau d’adéquation au regard du RGPD. En l’absence d’une convention universelle sous l’égide de Nations Unies, la Convention 108+ offre ainsi une alternative adéquate. Il est dès lors important que l’ensemble des Parties à l’actuelle Convention 108 ratifie la nouvelle Convention 108+, que celles-ci rentrent rapidement en vigueur et que de nombreux États non-membres du Conseil de l’Europe qui en remplissent les critères puissent y adhèrer.

Le Conseil de l’Europe œuvre à la sauvegarde et à la promotion des droits à la vie privée et à la protection des données non seulement sur le plan conventionnel, mais aussi notamment par des actions de coopération au niveau régional et mondial, par l’adoption de recommandations sectorielles ou thématiques, notamment dans le domaine de la santé, de l’emploi, des assurances, par l’adoption de lignes directrices ou d’avis interprétatifs. En particulier en relation avec l’Intelligence artificielle, le comité consultatif de la Convention 108 a adopté des lignes directrices sur la protection des personnes à l’égard du traitement des données à caractère personnel à l’ère des mégadonnées du 23 janvier 2017 et des lignes directrices sur l’intelligence artificielle et la protection des données du 25 janvier 2019. D’autres comités au sein du Conseil de l’Europe travaillent sur la problématique de l’IA et un comité intergouvernemental ad’hoc travaille à l’élaboration d’une éventuelle convention en la matière. Pour sa part, le comité consultatif travaille actuellement à l’élaboration de lignes directrices relatives à la reconnaissance faciale et à la protection des données des enfants dans le domaine éducatif. Il pourrait en faire de même au sujet de la problématique des identités numériques, ainsi que la protection des données dans le cadre des campagnes politiques. Il prépare également une recommandation sur le profilage et pourrait s’atteler à préciser le cadre de protection des données dans le domaine de la sécurité nationale et des services de renseignement.


[1]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65c0 

[2] https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/223/signatures

[3] Préambule, 2ème considérant

Publié par J.-Ph. Walter

Expert indépendant en matière de protection des données et d'accès à l'information aux documents officiels Exerce la fonction de Commissaire à la protection des données du Conseil de l'Europe Ancien préposé fédéral suppléant à la protection des données et à la transparence (Suisse)

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :