Le 27 mars dernier, la France, pays hôte du Conseil de l’Europe, a ratifié le protocole d’amendement à la Convention 108 (ou Convention 108+). C’est l’Ambassadeur Marie Fontanel, Représentante permanente de la France au Conseil de l’Europe, qui a déposé les instruments de ratification en présence du Secrétaire général adjoint, Monsieur Bjørn Berge.
La Convention 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
Le Conseil de l’Europe s’est construit autour de la Convention européenne des droits de l’homme (CEDH) signée par ses Etats membres le 4 novembre 1950. Ce traité international consacre une série de droits humains et de libertés fondamentales et instaure un contrôle judiciaire pour garantir leur respect. C’est la Cour européenne des droits de l’homme, située à Strasbourg, qui en est la gardienne et qui sanctionne les États violant la Convention. Les différents droits protégés par cette dernière ont été la source de nombreuses autres conventions internationales, dont la Convention pour la protection des personnes à l’égard du traitement automatisée des données à caractère personnel (STE n°108). Son fondement est l’article 8 de la CEDH : « 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. […] ». Le second alinéa de l’article interdit les ingérences publiques. L’Etat peut exceptionnellement déroger à ce droit mais uniquement si cela est prévu par la loi et nécessaire à un objectif précis tel que la sécurité nationale, la sûreté publique ou encore la protection des droits et libertés d’autrui.
A ce jour, la Convention 108 est le seul instrument juridique international universel contraignant en matière de protection des données personnelles. Elle ne se limite pas aux Etats membres du Conseil de l’Europe mais est ouverte à tous les Etats du monde. Parmi les pays non-membres ayant ratifié cette Convention, il y a l’Uruguay, Maurice, le Sénégal, la Tunisie, le Maroc, le Cap-Vert, le Mexique, l’Argentine et la Russie.
C’était un texte très novateur pour l’époque (1981) car il offrait des garanties aux individus vis-à-vis du traitement automatisé des données personnelles. Avec son approche fondée sur les principes et ses dispositions transposables et aisément adaptables, la Convention 108 s’est imposée comme un instrument unique créant les conditions nécessaires à une société numérique fondée sur la confiance et le respect de la dignité humaine et les droits de l’homme pour tous. Il prohibait tout traitement automatisé de données sensibles (origine raciale, opinions politiques, santé, religion, etc.) à moins que des garanties appropriées ne soient prévues par le droit interne.
Le protocole d’amendement instaurant la Convention 108 +
Au XXIème siècle, il devenait urgent de moderniser ce texte qui datait d’avant l’apparition d’Internet. Il s’agissait de s’adapter aux nouvelles réalités technologiques de la société moderne. Le progrès technique appelait à un renforcement de la protection des individus et à une consolidation des législations nationales.
C’est le Comité ad hoc sur la protection des données (CAHDATA) qui s’est attelé à ce long travail. Il a produit le Protocole d’amendement STCE n°223 pour la modernisation de la Convention 108 en 2018. Il est connu sous le nom de Convention 108+.
La Convention 108+, toujours contraignante, reste ouverte à tous les Etats du monde. La Convention 108 et sa version modernisée ont été conçues pour être au cœur des développements internationaux visant à la convergence des systèmes juridiques afin de garantir une protection adéquate des personnes à l’ère numérique, tout en permettant la liberté des flux de données au profit de nos sociétés et de nos économies. Elle s’applique à toutes les activités de traitement de données à caractère personnel, à la fois dans le secteur public et dans le secteur privé.
Elle prévoit, en son article 5, que pour qu’un traitement de donnée personnelle soit légal, il doit être « proportionné à la finalité légitime poursuivie » et il doit « refléter à chaque étape du traitement un juste équilibre entre tous les intérêts en présence, qu’ils soient publics ou privés, ainsi que les droits et les libertés en jeu ». La Convention apporte des garanties supplémentaires s’agissant des données sensibles. C’est un outil de convergence pour faciliter les transferts internationaux de données tout en garantissant un niveau de protection approprié pour les individus à l’échelle mondiale.
La modernisation de la Convention en fait l’instrument emblématique permettant les flux de données et le respect de la dignité humaine à l’ère numérique. Elle réaffirme l’importance des principes originaux et en établit de nouveaux, notamment la transparence, la responsabilité (« accountability ») et la protection de la vie privée dès la conception. Elle met en place un mécanisme d’évaluation et d’examen qui renforce sa crédibilité et son application effective.
La course aux ratifications
Ce protocole est ouvert à signature depuis le 18 octobre 2018. La France l’a ratifié le 27 mars 2023 et est devenue le 22e Etat partie à la Convention 108+. En tant que pays hôte du Conseil, cette ratification est une étape majeure et un signal fort envoyé aux autres Etats. D’ailleurs, l’Argentine n’a pas tardé à suivre car elle a également ratifié le protocole le 17 avril dernier, à l’occasion du Privacy Symposium à Venise.
Il faut encore 15 ratifications pour atteindre le seuil nécessaire à l’entrée en vigueur, partielle, de la Convention 108+ (38 ratifications). Le Conseil de l’Europe accompagne les Etats parties à la Convention 108 afin de faciliter leur ratification de la Convention 108 modernisée.
A ce sujet, le Rapporteur spécial des Nations Unies sur le droit à la vie privée, encourage tous les pays membres de l’ONU à adhérer à la Convention 108+.
Alors, qui sera le prochain ?
Léo Tarpin
M2 Cyberjustice – Promotion 2022/2023
Sources :
– Convention pour la protection des personnes à l’égard du traitement automatisée des données à caractère personnel (STE n°108)
– Protocole d’amendement STCE n°223 pour la modernisation de la Convention 108
– Rapport explicatif à la Convention 108+
– Unité de protection des données du Conseil de l’Europe
– https://www.coe.int/fr/web/data-protection
