PREMIÈRE PARTIE : LE CONTEXTE DE L'ADOPTION DU PROTOCOLE D'AMENDEMENT

I. L'ARTICULATION DU DROIT INTERNATIONAL, DU DROIT EUROPÉEN ET DU DROIT NATIONAL

En ce qui concerne l'articulation avec le droit de l'Union européenne , il faut d'abord préciser que tous les États membres de l'Union européenne sont Parties à la Convention 108 et l'Union européenne a vocation à être Partie à la Convention modernisée, une fois que tous les États membres l'auront ratifiée.

Il est donc essentiel que les instruments juridiques mis en place au sein de l'Union européenne et du Conseil de l'Europe, en matière de protection des données à caractère personnel, soient parfaitement compatibles et ceci a été un sujet de préoccupation constante au cours des négociations.

Le Protocole d'amendement de la Convention 108, tout en étant moins détaillé, repose sur les mêmes principes que les deux textes communautaires portant sur le sujet : le Règlement général sur la protection des données (RGPD) 6 ( * ) et la directive « Police - Justice » 7 ( * ) .

Ces principes sont les suivants :

- principe de finalité (le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime) ;

- principe de proportionnalité et de pertinence (les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier) ;

- principe d'une durée de conservation (une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier) ;

- principe de sécurité (le responsable du fichier doit garantir la sécurité des informations qu'il détient) ;

- droits des personnes (notamment, droits d'accès aux données, droit de rectification et à l'effacement).

Les droits des personnes concernées par le traitement de données à caractère personnel s'en trouvent renforcés, de même que la protection de ces droits par les autorités de contrôle, ainsi que les obligations des responsables de traitement.

Comme l'indique l'étude d'impact, cette convergence des instruments contribuera à une « exportation » d'un modèle européen cohérent et ambitieux de protection des données à caractère personnel.

Enfin, les liens entre la Convention 108 du Conseil de l'Europe et le droit de l'Union européenne sont étroits.

D'une part, le considérant 105 du RGPD énonce que, lorsque la Commission évalue la situation d'un pays tiers en vue de l'adoption d'une décision d'adéquation permettant le transfert de données à caractère personnel entre l'Union et ce pays tiers, l'adhésion de ce pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel doit être prise en compte.

D'autre part, par une décision du 9 avril 2019, le Conseil de l'Union européenne a autorisé les États membres de l'Union à ratifier la Convention 108 modernisée, dans l'intérêt de l'Union.

Ainsi, il peut être considéré que la Convention 108 modernisée a vocation à constituer une source complémentaire du droit de l'Union de la protection des données personnelles.

Enfin, en ce qui concerne le Royaume-Uni , qui reste membre du Conseil de l'Europe, la Commission a récemment pris 8 ( * ) « des décisions d'adéquation » à l'égard du Royaume-Uni, indiquant que le niveau de protection des données au Royaume-Uni est substantiellement équivalent à celui garanti par la législation européenne. Les données peuvent désormais circuler librement depuis l'UE vers le Royaume-Uni.

Concernant l'articulation avec le droit interne français, le RGPD et la directive « Police - Justice », qui, comme énoncé précédemment, reposent sur les mêmes principes que le Protocole d'amendement, ont respectivement donné lieu à des mesures d'adaptation et de transposition.

Il s'agit de l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.

La Convention 108 modernisée ne devrait donc pas nécessiter de mesures d'adaptation supplémentaires, dans les domaines couverts par cette règlementation européenne.

Il en va de même dans le domaine de la sécurité nationale et de la défense, sachant que la Convention « 108+ » réserve aux Parties, à son article 11, paragraphe 1, sous a), et paragraphe 3, la faculté de prévoir des exceptions, pour des motifs tirés de la protection de la sécurité nationale et de la défense.

Ce sujet a d'ailleurs été particulièrement débattu lors des négociations, qui ont débuté en 2012.


* 6 Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD).

* 7 Directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ».

* 8 Décisions du 28 juin 2021.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page