II. M. JEAN-PHILIPPE WALTER, COMMISSAIRE À LA PROTECTION DES DONNÉES DU CONSEIL DE L'EUROPE

La numérisation de la société suscite de grands espoirs et des attentes pour améliorer nos conditions de vie et notre bien-être. Elle est souvent présentée comme la solution à tous nos problèmes individuels, sociaux ou environnementaux. S'il est incontestable que le développement des technologies de l'information et des communications est un facteur de progrès et d'amélioration dans de nombreux secteurs d'activité, qu'ils soient privés ou publics, force est aussi de constater que la numérisation comporte également de nombreux risques et peut s'avérer un formidable support à la surveillance et à l'instrumentalisation des citoyens et citoyennes du monde entier. C'est un défi considérable pour le respect des droits de l'Homme et des libertés fondamentales, notamment le droit à la vie privée. Il est dès lors impérieux de veiller à ce que la numérisation de la société se fasse au bénéfice de l'Humanité, respecte la dignité, le droit à l'autodétermination informationnelle pour chaque être humain, et s'inscrive dans un cadre démocratique.

Le Conseil de l'Europe s'efforce de mettre en place les cadres juridiques permettant de garantir l'État de droit, les droits humains et la démocratie également dans le monde numérique, concrétisant l'article 8 de la convention européenne des droits de l'Homme qui consacre le droit au respect de la vie privée. Quant à la convention 108, qui a été ouverte à la signature le 28 janvier 1981, elle est encore aujourd'hui le seul instrument international juridiquement contraignant. Elle renferme les principes de base de la protection des données, qui sont aujourd'hui universellement reconnus. Elle s'applique à tout traitement de données à caractère personnel du secteur privé et du secteur public, y compris les traitements des services de renseignement. Elle a un caractère ouvert : non seulement les États membres du Conseil de l'Europe peuvent la ratifier, mais les États non européens ayant une législation de protection des données conforme aux exigences de la convention peuvent y adhérer. Aujourd'hui, la convention a été ratifiée par les 47 États membres du Conseil de l'Europe, et 8 pays d'Afrique et d'Amérique latine y ont adhéré.

Comme vous l'avez entendu, la convention a été modernisée. Un protocole d'amendement a été ouvert à la signature des parties le 10 octobre 2018. À ce jour 34 États parties l'on signé et nous venons d'apprendre que la Lituanie a adopté sa loi de ratification. La convention 108  « + » répond vraiment au défi du numérique, notamment à l'objectif de renforcer la protection des personnes en garantissant l'autonomie personnelle fondée sur le droit de la personne à contrôler ses propres données à caractère personnel et le traitement qui en est fait, en garantissant la dignité humaine, ce qui est fondamental au regard des développements de l'intelligence artificielle et au recours croissant aux décisions individuelles automatisées algorithmiques. L'être humain ne doit pas être soumis à la machine et laisser celle-ci maîtresse des décisions. Il doit pouvoir garder le contrôle et ne pas être traité comme un simple objet.

L'article 1 er de la convention 108  « + » vise à protéger toute personne physique, quelle que soit sa nationalité ou sa résidence, à l'égard du traitement de données à caractère personnel, contribuant ainsi au respect de ses droits humains et de ses libertés fondamentales, dont notamment le droit à la vie privée. Il fait du droit à la protection des données, non pas un droit supérieur aux autres droits de l'Homme, mais bien un droit de l'Homme au service de l'exercice d'autres droits et libertés fondamentales, et notamment le droit au respect de la vie privée.

La convention 108  « + » vise à renforcer les mécanismes de mise en oeuvre et à développer la fertilité du droit à la protection des données. Elle veut également promouvoir les valeurs fondamentales du respect de la vie privée et de la protection des données à caractère personnel à l'échelle mondiale, favorisant ainsi la libre circulation de l'information entre les peuples. De par son caractère général, simple, flexible, ouvert et non orienté sur l'une ou l'autre des technologies, elle assure la cohérence et la convergence avec d'autres cadres juridiques pertinents, renforçant ainsi sa vocation universelle.

Parmi les dispositions pertinentes en relation avec les défis du numérique et des droits des citoyens et citoyennes, mentionnons l'ancrage du principe de proportionnalité pour tout traitement de données : tout traitement de données doit être proportionnel à la finalité légitime poursuivie et refléter un juste équilibre entre tous les intérêts en présence, qu'ils soient publics ou privés, ainsi que les droits et libertés en jeu. Une base de légitimité, notamment un consentement, ne suffit pas à elle seule à justifier le traitement qui fonde le respect du principe de la proportionnalité.

En lien avec ce principe, la convention 108  « + » prévoit l'obligation de mise en conformité et de démonstration de la conformité du traitement, l'obligation d'examen de l'impact potentiel du traitement envisagé sur les droits et libertés fondamentales, l'obligation à concevoir le traitement de manière à prévenir et minimiser les risques d'atteinte à ces droits et libertés fondamentales. Elle prévoit qu'un traitement de données à caractère personnel ne peut en outre intervenir que s'il repose sur une base de légitimité : consentement ou autre fondement légitime prévu par la loi. Elle interdit le traitement de données sensibles sans que les garanties appropriées supplémentaires prévues par le droit interne soient mises en place pour prévenir les risques pour les intérêts, droits et libertés fondamentales de la personne, notamment les risques de discrimination.

La convention 108  « + » renforce également les obligations de transparence et les droits des personnes concernées, en inscrivant, au côté des droits d'accès et de rectification :

- l'obligation d'informer les personnes concernées ;

- le droit de toute personne de ne pas être soumise à des décisions l'affectant de manière significative qui seraient prises uniquement sur le fondement d'un traitement automatisé où données, sanctions ou points de vue sont pris en compte ;

- le droit de toute personne d'obtenir connaissance du raisonnement qui sous-tend le traitement de données lorsque les résultats de ce traitement lui sont appliqués ;

- le droit d'opposition au traitement ;

- le droit de disposer d'un retour effectif.

Le Conseil de l'Europe, et plus particulièrement le comité de la convention 108, a complété la convention par l'adoption de textes non contraignants sous la forme d'avis, de lignes directrices et de recommandations sectorielles ou thématiques visant à préciser certaines dispositions de la convention, voire à poser les bases d'un développement législatif dépassant le strict cadre de la convention.

Ainsi le comité de la convention a-t-il adopté, le 23 janvier 2017, les lignes directrices sur la protection des personnes à l'égard du traitement des données à caractère personnel à l'ère des mégadonnées. Le 25 janvier 2019, il a adopté une ligne directrice sur l'IA et la protection des données dont l'objectif est d'assurer, dans le développement et l'utilisation de l'IA, le respect de la dignité, le droit à la vie privée et la protection des données à caractère personnel. Ce sont de premières orientations en la matière, de nature générale, mais aussi ciblées à l'intention des développeurs, des fabricants et des prestataires de services, ainsi qu'à l'intention des législateurs et des décideurs.

Actuellement, le comité travaille à la révision de la recommandation 2013 sur la protection des personnes à l'égard du traitement automatisé de données à caractère personnel dans le cadre du profilage. Il prépare également un document relatif à la reconnaissance faciale, ainsi que des lignes directrices sur la protection des données personnelles des enfants dans les systèmes éducatifs.

En conclusion, le respect des droits des personnes dans le monde numérique passe par un cadre juridique international universel. La convention 108  « + » offre un niveau élevé de protection des données, similaire à celui du RGPD dont il est important de rappeler qu'il découle de la convention 108 et permet d'apporter une réponse universelle aux défis actuels, en offrant un socle commun de règles et de principes ayant une portée mondiale, sur lesquels il est possible de construire pour répondre à la numérisation de la société. Je tiens enfin à souligner combien il est important que les États se saisissent et fassent leurs les outils normatifs, tels que la convention 108  « + » , qui permettent de créer des passerelles avec d'autres régions du monde.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page