La Convention 108 - d’un standard européen vers un standard universel?

L'année 2011 marque le 30e anniversaire de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (la Convention 108). C'est pour nous tout au long de cette année l'opportunité d'un bilan et d'un regard vers l'avenir.

I.  Introduction

Lors de l'adoption de la Convention, on ne parlait pas d'ordinateur portable, d'informatique pour tous, de téléphone portable ou de tablette intelligente, d'Internet des choses, de réseaux sociaux, de géo localisation, de nuage informatique ou de nanotechnologies ... Nous étions seulement confronté à des gros ordinateurs dans des centres de calcul localisés ou facilement localisables, utilisés par des administrations et des grandes entreprises ... et qui étaient en mains d'une certaine « élite ». Aujourd'hui l'informatique s'est démocratisée, est à la portée de tous et est omniprésente, sans pour autant être plus transparente. Sans perdre ses dimensions centralisatrices, elle est devenue multifonctionnelle et ubiquiste et chacun d'entre nous possède au moins un ordinateur ou un téléphone portable. L'information circule aisément et est accessible de tous les points du globe sans pour autant qu'à l'égard de l'écosystème des données qui les concernent et dont ils ignorent le plus souvent l'existence, tous les citoyens et citoyennes du monde ne bénéficient des mêmes droits et de la même protection.

Si l'objectif de la Convention, tel qu'énoncé en son article 1, à savoir la garantie à toute personne physique, quelles que soient sa nationalité ou sa résidence, du respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant, demeure d'actualité, pour ne pas dire devient toujours plus actuel, il convient:

- d'une part d'examiner si le texte actuel de la Convention et de son protocole additionnel répondent aux attentes d'une protection des données moderne assurant aux citoyens et citoyennes des pays membres du Conseil de l'Europe le respect de leurs droits et de leurs libertés fondamentales et leur assurant la maîtrise sur les données qui les concernent dans un environnement informationnel et communicationnel globalisé des plus complexes ?

- d'autre part de voir si et dans quelle mesure ces textes sont à même d'être la base d'une norme universelle contraignante de protection des données ?

Pour répondre à ces questions, il faut s'arrêter sur les points forts de la Convention et identifier les aménagements nécessaires pour répondre aux évolutions actuelles.

II.  Force de la Convention

Parmi les points forts de la Convention, permettez-moi de rappeler que :

  • La Convention est le texte de référence de nombreux textes internationaux et nationaux, en commençant par la directive 95/46/CE qui constitue un développement des principes de la Convention.

  • Avec le protocole additionnel, il s'agit du premier et seul texte international régissant la protection des données ayant un caractère contraignant. A ce jour, 77 Etats issus des 5 continents ont adopté une loi de protection des données. Plus de la moitié de ces Etats sont partie à la Convention. Celle-ci a en effet été ratifiée par 43 des 47 Etats membres du Conseil de l'Europe, dont les 27 pays membres de l'Union européenne.

  • Elle énonce les principes de base de la protection des données qui sont universellement reconnus et ses normes juridiques contraignantes sont parfaitement cohérentes avec d'autres textes comme les lignes directrices de l'OCDE ou plus encore avec les principes directeurs des Nations Unies. 

  • La Convention est rédigée de manière simple et générale et suit une approche dite « technologiquement neutre »  gardant une actualité aux normes juridiques fondamentales qu'elle contient et permettant une adaptation aux évolutions technologiques sans abaisser le niveau de protection ou exclure une protection renforcée selon les besoins ou les situations.

  • Elle est d'application horizontale et couvre l'ensemble des traitements de données automatisés du secteur privé et du secteur public, y compris dans le domaine de la police et de la justice.

  • En conciliant le droit au respect de la vie privée et la liberté d'information (notamment le droit à la libre circulation des données sans considération de frontières), elle garantit un haut niveau de protection dans le respect des systèmes juridiques existants et assure en principe la libre circulation des données entre les Etats parties tout en exigeant (au travers du protocole additionnel) un niveau de protection adéquat pour le transfert auprès des pays non parties à la convention.

  • La Convention règle la coopération entre les Parties  et l'assistance aux personnes concernées quelles que soient leur nationalité ou leur lieu de résidence. Elle met en place une plateforme de coopération multilatérale par le biais du comité consultatif.

  • Elaborée avec la participation d'Etats non membres du Conseil de l'Europe (USA, Canada, Australie et Japon), la Convention n'est pas un texte purement européen. Elle est ouverte à l'adhésion d'Etats tiers, ce qui lui donne un potentiel universel.

III.  Aménagements nécessaires

Si les dispositions de la convention et du protocole additionnel conservent toute leur pertinence et demeurent encore pleinement applicables aux différents traitements de données personnelles, il n'en demeure pas moins qu'il faut réfléchir à certains aménagements afin de mieux répondre aux défis que représentent les évolutions technologiques, leurs usages multifonctionnels et leurs effets de masse qui pèsent sur la vie privée et le droit à la protection des données. La Convention 108 demeure ainsi une excellente base à partir de laquelle il est possible de répondre aux attentes légitimes des personnes concernées et des responsables de traitement tout en renforçant l'effectivité de la protection des données et la mise en œuvre de ses principes fondamentaux.

Le comité consultatif de la Convention 108 a ainsi engagé cette réflexion depuis une année et entamé les travaux en vue de moderniser la Convention et son protocole additionnel. Le travail entamé poursuit trois objectifs principaux, à savoir :

  • répondre aux défis pour le droit à la protection des données et à la vie privée qui découlent de l'utilisation des technologies de l'information et des communications ;

  • renforcer les mécanismes de mise en œuvre et de suivi de la convention.

  • La méthode de travail que nous suivons - et il s'agit du troisième objectif -   privilégie une approche ouverte et multi parties. Nous tenons à associer non seulement l'ensemble des Etats membres du Conseil de l'Europe, parties ou non à la Convention, mais aussi des Etats tiers issus de l'ensemble des régions du monde afin de donner une meilleure assise à l'option d'ouverture de la convention et de tenir compte des exigences de base en matière de protection des données dont chaque système juridique devrait pouvoir atteindre les objectifs. Nous comptons évidemment sur l'apport de l'Union européenne et nous tenons également à associer aux travaux les représentants du secteur privé et de la société civile et notamment les organisations non gouvernementales, ainsi que les autorités de protection des données. Il nous paraît en effet incontournable de privilégier le dialogue avec tous les acteurs concernés pour élaborer des normes qui soient efficaces et acceptées de tous.  Se basant sur un rapport préparatoire du centre de recherche, information, droit et société de l'Université de Namur, le Conseil de l'Europe a ainsi lancé au début de cette année une consultation publique pour laquelle nous avons reçu plus de 50 réponses émanant des Etats, d'associations ou organismes professionnels et des représentants de la société civile et provenant du monde entier.

Il se dégage des réponses reçues aux 30 questions posées, quatre grandes tendances qui vont guider les travaux du comité consultatif :

  • Tout d'abord le caractère général, souple, simple et pragmatique des dispositions de la Convention doit être maintenu et complété par des textes sectoriels plus détaillés sur la base des Recommandations du Conseil de l'Europe.

  • Il est ensuite nécessaire de garantir la cohérence et la compatibilité avec le cadre juridique de l'Union européenne.

  • Le caractère technologiquement neutre des dispositions de la convention doit être maintenu.

  • Enfin, il convient de préserver et promouvoir la vocation universelle et le caractère ouvert de la Convention. Ainsi, il est jugé important de ne pas avoir un texte trop détaillé au risque de nuire au caractère international du texte.

Sur la base du rapport de synthèse établi par l'équipe de Namur, le bureau du comité consultatif a commencé l'examen des points qui pourraient légitimer des modifications :

a.  Objet et but de la Convention

Par rapport à l'objet et au but de la Convention 108, nous nous interrogeons sur la nécessité de renforcer le droit à la protection des données en particulier en le consacrant de manière plus affirmative à l'article 1. En ce sens, la convention garantirait aux personnes le droit à la protection des données, à savoir le respect de leur droits et de leur libertés fondamentales à l'égard du traitement de données à caractère personnel les concernant.

b.  Définitions

Au niveau des définitions, une mise à jour paraît s'imposer notamment concernant les notions de fichier, de traitement, de maître du fichier. Il s'agit ici en particulier d'assurer une plus grande cohérence avec des textes plus récents et notamment la directive européenne.

c.  Champ d'application

En ce qui concerne le champ d'application de la Convention, il y a unanimité parmi les répondants pour soutenir le fait que la Convention doit continuer de couvrir le secteur privé et le secteur public, y compris la police et la justice. Des exceptions sont possibles mais dans les limites de l'article 9 actuel. Par contre, nous devons examiner l'opportunité d'introduire une exception en faveur des traitements dits domestiques. Cette question est délicate car avec le développement des technologies de l'information et des communications et notamment  les réseaux sociaux, le caractère domestique d'un traitement a pris d'autres dimensions.

d.  Principes de base

En ce qui concerne les principes de base de la protection des données, la consultation dégage une tendance selon laquelle ces principes sont suffisants pour couvrir les différentes situations du traitement de données personnelles. Toutefois, nous nous interrogeons sur la possibilité d'inclure de manière plus explicite les principes de proportionnalité et de minimisation des données. Un certain scepticisme se dégage par contre quant à l'introduction du principe de « privacy by design », à savoir l'obligation d'appliquer les principes de protection dès la conception des équipements et des applications, et du principe d' « acccountability » ou responsabilité renforcée, au motif que ces aspects seraient en partie déjà couverts par les principes de base. Certains privilégient l'introduction d'une obligation du responsable du traitement de  procéder à une analyse de risque en matière de protection des données et de respect de la vie privée avant de procéder à la collecte et au traitement de données personnelles.

e.  Licéité du traitement

Actuellement la convention ne développe pas les motifs pouvant légitimer le traitement de données personnelles. L'article 5 prévoit simplement que la collecte et le traitement doivent être licites. Sans aller dans les détails, certaines précisions pourraient être apportées quant aux motifs de légitimation du traitement. On pense en particulier au consentement et à la loi.

f.  Données sensibles

En ce qui concerne les données sensibles au sens de l'article 6 de la Convention, nous sommes d'avis de maintenir le système actuel et de ne pas compléter la liste des catégories de données dites sensibles. Il est néanmoins admis d'une part qu'un Etat contractant peut compléter la liste des données sensibles et d'autre part que selon le contexte du traitement, il peut s'avérer légitime de renforcer les garanties de protection des données même si les données ne revêtent pas par définition un caractère sensible.

g.  Sécurité des données

Au niveau de la sécurité des données,  nous sommes d'avis qu'il convient d'introduire l'obligation de notifier les failles de sécurité. Cette obligation devrait cependant être limitée à des cas significatifs et graves. Les modalités de ces notifications doivent aussi être définies. En outre la sécurité ne doit pas être uniquement passive, mais évoluer vers des obligations actives et notamment l'obligation de concevoir les systèmes de manière à minimiser les risques d'atteinte à la protection des données et à la vie privée.

h.  Droits de personnes concernées

Les droits des personnes concernées devraient également être renforcés pour leur assurer la pleine maîtrise sur leurs données et le respect du droit à la dignité humaine et à la non discrimination. Il s'agit notamment de revoir l'étendue du droit d'accès et d'améliorer l'information des personnes concernées. Nous examinons également l'introduction de nouveaux droits, dont le droit de ne pas être soumis à une décision automatisée. Au centre des discussions se trouve aussi la question du droit à l'oubli qui est loin de faire l'unanimité. Plutôt que d'un véritable droit à l'oubli, certains préfèrent l'option d'un droit d'opposition au traitement, doublé de précisions quant aux obligations de conservation limitée des données et à l'exercice du droit de rectification et d'effacement des données déjà ancré dans la convention.

On s'interroge également sur la nécessité de renforcer les sanctions et les possibilités d'action / de recours pour les personnes concernées. Si certains estiment qu'il revient aux Etats contractants de prévoir des sanctions et des voies de recours, d'autres privilégieraient l'énoncé dans la convention de sanctions et le développement de différentes modalités de recours et d'actions pour les personnes concernées.

i.  Coopération internationale

La coopération internationale, les compétences et l'indépendance des autorités de protection des données, ainsi que le régime des flux transfrontières de données sont aussi au centre des réflexions en cours et nécessiteront certains aménagements soit dans la convention, soit par le biais de recommandation. Ainsi les compétences et les pouvoirs du comité consultatif pourraient être renforcés notamment eu égard à l'évaluation du niveau de protection offert par les Etats souhaitant adhérer à la Convention et au développement de mécanismes dynamiques de suivi. Ses avis devraient également être plus contraignants pour les Etats parties.

j.  Autorités de protection des données

Quant aux autorités de protection des données, il s'agit avant tout d'améliorer la coopération entre elles, notamment pour permettre des investigations conjointes, de renforcer les pouvoirs d'action et de mieux les harmoniser. Les contours de l'indépendance devraient également être précisés.

k.  Flux transfrontières de données

Concernant les flux transfrontières de données, le principe du niveau adéquat n'est nullement remis en question. Il s'agit d'une part de rapprocher l'article 12 et le protocole additionnel et d'autre part de réfléchir à de nouveaux aménagements qui tout en garantissant un haut  niveau de protection des données facilitent l'échange des données sans entraves inutiles. La Convention doit continuer à offrir une base solide pour permettre la libre circulation des informations entre les Parties qui, par leur ratification ou leur adhésion, apportent les garanties suffisantes d'un niveau de protection des données élevé et plus qu'adéquat. La notion même de flux transfrontières eu égard à l'Internet mériterait également des clarifications.

IV.  Conclusions

Ce travail de modernisation de la convention et des mécanismes de mise en œuvre fait partie des priorités du Conseil de l'Europe et du comité consultatif. Celui-ci devrait être en mesure d'examiner un premier projet lors de sa prochaine séance plénière de fin novembre. L'objectif est de pouvoir présenter au Comité des Ministres un projet pour adoption à la fin 2012. Parallèlement, le Conseil de l'Europe renforce sa politique de promotion de la protection des données et en particulier de la Convention dans le monde. L'adhésion d'Etats tiers est en effet un moyen de renforcer la protection des données dans le monde tout en permettant l'échange de données et la coopération entre les Parties. Un premier Etat non européen, l'Uruguay a été invité par le Comité des Ministres à adhérer à la Convention et cette adhésion pourrait être réalité cette année encore. D'autres Etats sud-américains ont entamé un processus qui pourrait les amener à l'adhésion. Des signaux positifs proviennent également du continent africain et des projets de coopération se mettent en place. Enfin, le comité consultatif poursuit son travail de mise à jour des recommandations. Outre la recommandation sur la police, les travaux de révision de la recommandation dans le domaine de l'emploi sont bien avancés.

Plus que jamais, la Convention 108 et le Conseil de l'Europe jouent un rôle fondamental et central dans le développement d'un droit ou d'une norme universelle de protection des données. La Convention 108 et son  protocole additionnel, j'en suis convaincu, constituent une base solide vers une réglementation universelle en matière de protection des données et offrent aux Etats tiers en y adhérant une opportunité de se voir reconnaître adéquat. Plus le nombre d'Etats adhérant augmentera, plus nous évoluerons vers un espace de liberté, de sécurité et de justice assurant la protection des données des personnes et garantissant l'exercice de leurs droits au-delà des frontières européennes. Dans ce processus de modernisation, nous devons privilégier le dialogue avec tous les acteurs concernés, nous ouvrir aux systèmes juridiques différents et savoir en reconnaître les apports afin de dégager ce standard universel fort et d'assurer la plus grande cohérence possible entre nos différentes approches de la protection des données et de la vie privée. Au-delà des normes et des principes de protection des données, nous devons aussi prêter une attention particulière à la mise en œuvre et penser à des structures de collaboration renforcées dotées de réels pouvoirs pour que la protection des données soit vraiment effective et réalité. Le fait d'intervenir en ordre dispersé à l'encontre de firmes comme Google ou Facebook ne peut qu'affaiblir l'impact de la protection des données en Europe et dans le monde.

Je termine en une phrase : La Convention 108 renferme un potentiel unique pour devenir la norme majeure d'une législation universelle de protection des données.

Jean-Philippe Walter, préposé fédéral suppléant à la protection des données et à la transparence (Suisse), président du Comité consultatif de la Convention 108 (T-PD) 

Exposé dans le cadre de la Conférence internationale sur la protection des données à Varsovie, 21 septembre 2011

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/dokumentation/le-pfpdt-dans-les-medias/la-convention-108---dun-standard-europeen-vers-un-standard-unive.html