La Convention 108+ est un instrument unique à vocation universelle relatif à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et a servi de fondation au cadre juridique international en matière de protection des données dans plus de 50 pays européens, à la fois membres du Conseil de l’Europe ou non- membres (tels que l’Argentine), en influençant également les politiques et les législations bien au-delà des frontières de l’Europe . 2
Malgré sa modernisation, la nature générale et technologiquement neutre de ses dispositions a été maintenue. À travers les principes énoncés et les valeurs qu’elle contient, la Convention 108+ protège les droits et libertés fondamentales des personnes physiques tout en définissant un cadre pour les flux internationaux des données.
Récemment, la protection des données à caractère personnel a été introduite comme un droit fondamental à l’article 8 de la Charte des droits fondamentaux de l’UE, ainsi que dans les Constitutions de plusieurs Parties à la Convention.
Les garanties prévues par la Convention s’étendent à toute personne physique, indépendamment de sa nationalité ou de son lieu de résidence.
Selon les dispositions de la Convention 108+ , le traitement des données commence par la collecte des données à caractère personnel et englobe toutes les opérations effectuées sur les données, qu’elles le soient réalisés de façon automatisée ou en partie seulement. Le traitement de données doit être, transparent légitime et proportionné à la finalité poursuivie et refléter à chaque étape un juste équilibre entre tous les intérêts en présence . 5
Ainsi, il est nécessaire à veiller d’assurer un équilibre entre les intérêts du responsable du traitement, qui dispose du pouvoir de décision à l’égard des finalités et moyens du traitement de données et la personne dont les données font l’objet d’un traitement.
Rapport explicatif de la Convention 108+, page 35 Article 2, alinéa b et c Article 8, Convention 108+ Article 5, Convention 108+.
Concernant le consentement, il représente la condition sine qua non du traitement des données et il doit émaner de la personne concernée de manière libre, spécifique, éclairé et non- équivoque ou en vertu d’autres fondements légitimes prévus par la loi . Cependant, l’expression d’un consentement ne dispense pas de respecter les principes fondamentaux de la protection des données à caractère personnel : à titre d’illustration, la proportionnalité du traitement doit, toujours 7 être prise en compte. En outre, la personne concernée a le droit de retirer son consentement à tout moment .
Les données personnelles qui font l’objet d’un traitement doivent être adéquates, pertinentes et non excessives, exactes et mises à jour régulièrement.
Concernant le caractère excessif, les données doivent être limitées aux nécessité des finalités du traitement; dans l’hypothèse où les finalités du traitement s’avèrent être déraisonnables, aussi bien au niveau quantitatif qu’au niveau qualitatif. Des données qui seraient adéquates et pertinentes mais qui entraîneraient une ingérence disproportionnée dans les droits et libertés fondamentaux en jeu doivent être considérées comme excessives et ne pas être traitées.
L’exigence à la limitation de la durée de conservation des données à caractère personnel implique l’effacement des données une fois que la finalité pour laquelle elles ont été traitées a été atteinte, ou être conservées sous une forme empêchant toute identification directe ou indirecte de la personne concernée.
Les données doivent faire l’objet d’un traitement licite, loyal et transparent . Elles doivent avoir été collectées pour des finalités explicites, déterminées et légitimes et leur traitement doit être effectué pour ces finalités.
Le traitement de données effectués dans le cadre d’activités exclusivement personnelles ou domestiques est exclu du champ d’application de la Convention 108+ . Une activité sera exclusivement personnelle ou domestique” lorsque des données personnelles sont rendues accessibles à un grand nombre de personnes ou à des personnes manifestement étrangères à la sphère privée.
La Convention ne concerne que le traitement des données relatives à des personnes physiques, mais les Parties peuvent prévoir dans leur droit interne une extension de la protection aux données relatives aux personnes morales afin de protéger les intérêts légitimes de celle-ci.
Article 5, alinéa 2, Convention 108+ Chapitre II de la Convention 108+ À distinguer du droit de s’opposer à un traitement des données Article 3, paragraphe 3 et 4, Convention 108+ Article 3, paragraphe 3, Convention 108+
En vertu de la Convention 108+, chaque personne dont les données à caractère personnel font l’objet d’un traitement doit bénéficier des droits suivants , au moyen de son droit interne, et disposer des moyens légaux et pratiques nécessaires, adéquats et effectifs de les exercer.
Selon l’alinéa a de l’article 9, une personne a le droit de ne pas être soumise à une décision l’affectant de manière significative qui serait prise uniquement sur le fondement d’un traitement automatisé de données, sans pouvoir faire valoir de manière effective son point de vue et ses arguments. Tel est notamment le cas lorsque l’application d’un raisonnement algorithmique, en conduisant à la limitation d’un droit, au refus d’un avantage social, ou à l’évaluation de leur capacité de contracter un prêt sur le seul fondement du logiciel, qui aurait pour effet de stigmatiser des personnes.
Le droit d’obtenir la confirmation de l’existence d’un traitement automatisé de ses données et la possibilité d’accès à ces données est prévue à l’alinéa b du même article, qui devrait être, en principe, gratuit.
Selon l’alinéa c, les personnes concernées ont le droit d’obtenir connaissance du raisonnement qui sous-tend le traitement des données, y compris les conséquences de ce raisonnement et les conclusions qui peuvent en effet avoir été tirées, en particulier lors de l’utilisation d’algorithmes pour une prise de décision automatisée, notamment dans le cadre du profilage.
Le droit de s’opposer au traitement des données à caractère personnel, pour des raisons qui lui sont propres, est garanti à la personne concernée (alinéa d), à moins que le responsable de traitement ne démontre des motifs légitimes justifiant le traitement qui prévalent sur ses intérêts. Par exemple, le droit d’opposition peut trouver une limite légale concernant l’investigation ou la répression d’infractions pénales.
Le droit de retirer le consentement opère d’une manière distincte et indépendante des droits d’opposition et de rectification: lorsque le traitement des données repose sur un consentement valable donné par la personne concernée, le droit de retirer son consentement peut être exercée, mais la personne concernée doit assumer les conséquences pouvant découler d’autres textes juridiques, comme l’obligation de dédommager le responsable du traitement.
Le droit de rectification ou d’effacement de données inexactes, erronées ou de données dont le traitement est illicite est également prévu par l’alinéa e de l’article 9 de la Convention 108+. S’ils se justifie, ils doivent être réalisés à titre gratuit.
Laurena Ungureanu
Master 2 Cyberjustice – Promotion 2018-2019