EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
Signé par la France le 10 octobre 2018, jour d'ouverture à sa signature, le Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (dite « Convention 108 ») poursuit deux objectifs.
Le premier objectif consiste à moderniser la Convention 108, qui remonte à 1981, ainsi que son Protocole additionnel, de 2001, concernant les autorités de contrôle et les flux transfrontières de données. Cette modernisation était nécessaire afin de répondre aux nouveaux défis de la protection des données personnelles, dans un contexte marqué par l'utilisation croissante des nouvelles technologies de l'information et de la communication et par la mondialisation des opérations de traitement et des flux toujours plus importants de données à caractère personnel. Cet exercice de modernisation a été conduit parallèlement et en cohérence avec les travaux de modernisation du cadre juridique de l'Union européenne en matière de protection des données personnelles.
Le second objectif du Protocole d'amendement consiste à renforcer les garanties de mise en oeuvre effective des règles conventionnelles. La réalisation de cet objectif passe, au niveau national, par le renforcement des pouvoirs et des garanties d'indépendance des autorités de contrôle et, au niveau international, par l'attribution de nouvelles fonctions au Comité conventionnel de la Convention 108, telle que l'évaluation de l'efficacité de la mise en oeuvre de la Convention par chacune des Parties et l'émission de recommandations en la matière.
Le Protocole d'amendement est composé d'un préambule, de quarante articles et d'une annexe contenant des éléments pour le règlement intérieur du comité conventionnel. Est lié à ce Protocole un rapport explicatif de celui-ci.
Le préambule rappelle que de nouveaux défis ont vu le jour, depuis l'adoption de la Convention 108, en matière de protection des données à caractère personnel. Il réaffirme ensuite la nécessité de veiller à ce que la Convention 108 continue de jouer un rôle prééminent dans la protection des personnes à l'égard du traitement des données à caractère personnel, ainsi que, de façon plus générale, dans la protection des droits de l'homme et des libertés fondamentales.
L'article 1 er modifie le préambule de la Convention 108. Il réaffirme l'engagement des États signataires en faveur des droits de l'homme et des libertés fondamentales et ajoute une référence à la dignité humaine et à l'autonomie personnelle, en tant que composantes essentielles de la protection des données personnelles. En outre, il rappelle que le droit à la protection des données à caractère personnel doit être concilié avec d'autres droits ou libertés fondamentales, tels que la liberté d'expression et le droit d'accès du public aux documents publics. Enfin, il souligne la nécessité d'une protection des données à caractère personnel à l'échelle mondiale afin de favoriser en les sécurisant les flux internationaux de données et, corrélativement, l'intensification de la coopération internationale entre les Parties à la Convention 108, à travers leurs autorités de contrôle.
L'article 2 modifie l'article 1 er de la Convention 108, lequel définit l'objet et le but de celle-ci. Il réaffirme le principe de non-discrimination dans la protection. Deux éléments nouveaux peuvent être relevés : premièrement, la suppression de la référence au « territoire de chaque Partie » dans un contexte de déterritorialisation des données et d'application extraterritoriale de la règlementation de l'Union européenne en la matière et deuxièmement, la suppression de la référence au caractère automatisé du traitement des données, la protection des personnes couvrant aussi les traitements non automatisés (traitements manuels dans des systèmes d'archivage structurés, prenant la forme de dossiers papiers).
L'article 3 du Protocole actualise la liste des définitions contenues à l'article 2 de la Convention 108.
L'article 4 du Protocole modifie l'article 3 de la Convention 108 concernant son champ d'application. Ces modifications portent sur trois points. Les deux premiers points ont déjà été évoqués plus haut : application de la Convention 108 aux traitements automatisés ou non de données à caractère personnel (champ d'application matériel) qui relèvent de sa juridiction (champ d'application géographique). Le troisième point, en partie déjà évoqué, a trait au champ d'application matériel de la Convention. Si la Convention 108 prévoyait un mécanisme d'application à « géométrie variable », les Parties disposant de la faculté de décider qu'elles n'appliqueraient pas la Convention à certains domaines couverts par celle-ci ou, au contraire, qu'elles l'appliqueraient à certains domaines non couverts par celle-ci, cette faculté a été supprimée, ce qui permet d'unifier le champ d'application de la Convention entre les Parties. En contrepartie, à l'instar du Règlement général sur la protection des données (RGPD), le Protocole exclut du champ d'application de la Convention « le traitement de données effectué par une personne dans le cadre d'activités exclusivement personnelles ou domestiques ».
L'article 6 du Protocole modifie l'article 4 de la Convention afin de renforcer l'engagement des Parties qui doivent prendre les mesures nécessaires, non seulement, pour donner effet aux stipulations de la Convention, mais aussi, pour en assurer l'application effective.
En plus de compléter son intitulé, l'article 7 modifie l'article 5 de la Convention, en précisant et actualisant les principes clés de la protection des données à caractère personnel, dans le prolongement des développements du RGPD. Il en va ainsi pour les principes de licéité, de spécialité et de proportionnalité, qui sont réaffirmés, tout en étant précisés. En outre, le principe de transparence du traitement est expressément posé, en lien avec le principe de loyauté du traitement, et précisé à l'article 10 du Protocole.
L'article 8 du Protocole modifie l'article 6 de la Convention. Il concerne des catégories particulières de données, dites sensibles, qui bénéficient d'un régime de protection renforcé, en raison des risques encourus par leur traitement (discrimination, atteintes à la présomption d'innocence, à la dignité humaine ou à l'intégrité physique). La liste des données sensibles est plus détaillée : il est fait expressément référence aux données génétiques et aux données biométriques, ainsi qu'aux données concernant, non seulement, des condamnations pénales, mais aussi, des infractions, des procédures pénales et des mesures de sureté connexes. Le traitement de ces catégories de données, en principe interdit, n'est autorisé qu'à la condition d'être assorti de garanties appropriées, venant compléter celles de la Convention, afin de prévenir les risques en cause.
L'article 9 modifie l'article 7 de la Convention pour préciser que l'obligation consistant à prendre des mesures de sécurité appropriées doit être mise à la charge des responsables de traitement et, le cas échant, des sous-traitants. A l'instar du RGPD, il prévoit par ailleurs une nouvelle obligation à la charge des responsables de traitement : l'obligation de notifier, sans délai excessif, à tout le moins, à l'autorité de contrôle compétente, les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées .
L'article 10 du Protocole introduit un nouvel article à la Convention, numéroté 8 et intitulé « transparence du traitement ». Cet article implique, pour le responsable de traitement, d'informer les personnes concernées d'une série d'éléments. Dans le prolongement, l'article 12 du Protocole introduit un nouvel article à la Convention, numéroté 10, qui prévoit de nouvelles obligations à la charge des responsables de traitement, et, le cas échéant, des sous-traitants.
L'article 11 du Protocole modifie l'article 8 de la Convention qui devient l'article 9 et renforce les droits des personnes concernées.
L'article 14 du Protocole énumère de manière limitative les exceptions et restrictions susceptibles d'être apportées à certaines stipulations de la Convention.
L'engagement des Parties à établir des sanctions et recours appropriés est rappelé à l'article 15 du Protocole afin de garantir l'application effective de la Convention, avec une précision sur la nature des recours visés (juridictionnels et non juridictionnels).
L'article 17 du Protocole d'amendement modifie, non seulement, l'article 12 de la Convention 108, concernant les flux transfrontières de données à destination d'autres Parties à la Convention, mais aussi l'article 2 du Protocole additionnel à la Convention 108, concernant les flux transfrontières de données à destination d'États ou d'organisations internationales non Parties à la Convention.
Les articles 18 à 26 du Protocole renforcent les pouvoirs des autorités de contrôle, incitent à la coopération mutuelle et abordent l'assistance aux personnes concernées.
Les articles 27 à 30 du Protocole concernent le Comité consultatif qui devient le Comité conventionnel.
L'article 31 du Protocole modifie l'article 21 de la Convention, qui devient l'article 25, et traite de la procédure d'amendement à la Convention après son entrée en vigueur.
L'article 32 du Protocole modifie l'article 22 de la Convention, qui devient l'article 26, concernant les modalités d'entrée en vigueur de la Convention.
L'article 33 du Protocole modifie l'article 23 de la Convention, qui devient l'article 27, concernant l'adhésion de tiers au Conseil de l'Europe.
Les articles 36 à 40 constituent les clauses finales de celui-ci.
Le Protocole comporte enfin une annexe, intitulée « Eléments pour le règlement intérieur du comité conventionnel ».
Telles sont les principales observations qu'appelle le Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, signé à Strasbourg le 10 octobre 2018.