CouncilEurope

English

Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données

STE n° 181

Rapport explicatif

Le texte de ce rapport explicatif ne constitue pas un instrument d'interprétation authentique du texte du Protocole, bien qu'il puisse faciliter la compréhension des dispositions qui y sont contenues. Le Protocole a été ouvert à la signature à Strasbourg, le 8 novembre 2001, à l'occasion de la 109e Session du Comité des Ministres du Conseil de l'Europe.

I. Introduction

1. Le présent Protocole a pour but de renforcer la mise en œuvre des principes contenus dans la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108, « la Convention »), par l'ajout de deux nouvelles dispositions substantielles dont l'une traite de l'institution par chaque Partie d'une ou plusieurs autorités de contrôle et l'autre des flux transfrontières de données à caractère personnel vers les pays ou organisations n'étant pas Parties à la Convention. 

2. Le Comité Consultatif, constitué en vertu de l'Article 18 de la Convention, a élaboré le présent projet de Protocole lors de sa 15ème réunion, du 16 au 18 juin 1999. Il a été soumis au Comité des Ministres par proposition du Comité consultatif pour transmission à l'Assemblée parlementaire. Le Comité consultatif a considéré le texte à la lumière de l'avis de l'Assemblée du 5 avril 2000, puis adopté le projet de protocole lors de sa 16ème réunion, du 6 au 8 juin 2000. Le Comité des Ministres a adopté le Protocole additionnel le 23 mai 2001.

Commentaire sur les dispositions du Protocole 

Préambule

3. Le renforcement de la mise en œuvre des principes contenus dans la Convention est rendu nécessaire compte tenu, notamment, du nombre croissant des flux transfrontières de données à caractère personnel depuis une Partie à la Convention vers un Etat ou entité tiers à la Convention. 

4. Cet accroissement des flux transfrontières de données est dû en particulier à la multiplication et à la globalisation des échanges internationaux ainsi qu'à l'évolution des diverses applications des progrès technologiques. Il requiert donc, parallèlement, une amélioration constante de la protection effective des droits garantis par la Convention. Or l'effectivité de cette protection implique une harmonisation au niveau international, non seulement des principes fondamentaux de la protection des données mais également, dans une certaine mesure, des moyens de mettre en œuvre ces principes - dans un domaine en perpétuelle évolution et caractérisé par une très forte technicité - et des conditions dans lesquelles les transferts de données à caractère personnel peuvent être effectués à travers les frontières.

5. La mise en œuvre effective des principes de la Convention requiert l'adoption de sanctions et de recours appropriés (article 10). La plupart des pays disposant d'une loi en matière de protection des données ont institué à cet égard une autorité de contrôle, généralement un commissaire, une commission, un ombudsman ou un inspecteur général. Ces autorités de contrôle dans le domaine de la protection des données fournissent un recours approprié lorsqu'elles sont dotées de compétences effectives et qu'elles jouissent d'une réelle indépendance dans l'exercice de leurs fonctions. Elles sont devenues partie intégrante du système de contrôle de la protection des données dans une société démocratique. 

6. La circulation de l'information constitue le nerf de la coopération internationale. Cependant, la protection effective de la vie privée et des données à caractère personnel suppose également qu'il ne puisse pas y avoir, en principe, des transferts de données à caractère personnel à travers les frontières à destination de pays ou d'organisations qui ne garantissent pas la protection de ces données. 

Article 1  – Les Autorités de contrôle 

Article 1.1

7. Aux termes de l'article 10, la Convention requiert l'établissement de recours appropriés, dans les dispositions juridiques pertinentes de chaque Partie, au regard de la violation des dispositions du droit interne donnant effet aux principes de la Convention. Elle ne prévoit pas toutefois explicitement une obligation à la charge des Parties de se doter d'une autorité de contrôle veillant, sur leur territoire, au respect des mesures donnant effet aux principes énoncés dans les chapitres II et III de la Convention et du présent protocole. L'article premier de ce protocole poursuit dans ce contexte une double finalité. 

8. Il vise à renforcer la protection effective de l'individu en rendant nécessaire la création d'une ou plusieurs autorités de contrôle qui contribuent à la protection des droits et libertés de l'individu à l'égard du traitement des données à caractère personnel. Plus d'une autorité pourrait être nécessaire pour satisfaire les particularités des différents systèmes juridiques. Ces autorités pourraient exercer leurs fonctions sans préjudice de la compétence des juridictions ou autres instances qui sont chargées de veiller au respect du droit interne donnant effet aux principes de la Convention. Les autorités de contrôle devraient pouvoir disposer de ressources humaines (juristes, informaticiens) et techniques appropriées pour agir rapidement et efficacement en faveur de l'individu. 

9. Cet article vise également à parvenir à une meilleure harmonisation des régimes régissant le contrôle des principes de la protection des données dans les Parties à la Convention. En principe, toutes les Parties à la Convention prévoient dans leur législation nationale l'établissement d'une ou plusieurs autorités de contrôle. Mais ces autorités nationales sont aménagées très différemment, suivant le système juridique de chaque pays, en ce qui concerne leur composition, leur fonctionnement et leurs compétences.

10. L'harmonisation visée ne tend pas seulement à améliorer le niveau de protection des données dans les Parties, mais est aussi aménagée dans l'optique d'une coopération plus étroite entre les Parties, sans mettre en cause le système de coopération instauré en vertu de la Convention.

Article 1.2

11. Les Parties disposent d'une marge d'appréciation quant aux pouvoirs dont devraient être dotées les autorités pour mener à bien leurs missions. Le présent protocole énonce toutefois, que pour accomplir leurs missions, ces autorités doivent être dotées, au moins, de pouvoirs d'investigation et d'intervention, ainsi que de celui d'ester en justice ou de porter à la connaissance de l'autorité judiciaire, des violations à de telles dispositions. 

12. Les autorités de contrôle devraient être dotées de pouvoirs d'investigation, tels que la possibilité de demander au responsable du traitement (1) des informations concernant des traitements de données à caractère personnel et de les obtenir. De telles informations doivent notamment être accessibles dans les cas où l'autorité est saisie par une personne voulant exercer ses droits prévus en droit interne en vertu de l'article 8 de la Convention. 

13. En ce qui concerne les pouvoirs d'intervention, ceux-ci peuvent se manifester en droit interne de différentes manières. A titre d'exemple, l'autorité de contrôle pourrait avoir la possibilité d'obliger le maître du fichier à rectifier des données incorrectes ou collectées de manière illégale, de les effacer ou de les détruire, d'office ou si l'individu n'est pas en mesure d'obtenir les mêmes résultats en agissant lui-même. La possibilité pour l'autorité de contrôle de donner des injonctions au responsable du traitement qui n'est pas prêt à communiquer les informations requises dans des délais raisonnables constituerait une transposition particulièrement efficace du pouvoir d'intervention. Le pouvoir d'intervention pourrait enfin englober la possibilité de rendre des avis préalables à la mise en œuvre du traitement ou bien de saisir les parlements nationaux ou d'autres institutions étatiques. L'autorité de contrôle pourrait informer le public par des rapports réguliers, la publication de ses avis ou par tout autre moyen de communication. 

14. Tout en contribuant à la protection des droits de l'individu, l'autorité de contrôle sert de relais entre l'individu et le responsable du traitement. Dans ce contexte, il semble particulièrement important que l'autorité de contrôle puisse fournir des informations aux individus ou aux utilisateurs de données sur les droits et obligations en matière de protection des données. En outre, toute personne devrait avoir le droit de saisir l'autorité de contrôle d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. Pour les raisons énoncées au paragraphe 7 du présent Rapport Explicatif cette saisine contribue à assurer le droit de l'individu de disposer d'un recours approprié tel que prévu à l'article 10 et à l'article 8 alinéa d) de la Convention. Il est rappelé que toute personne dispose d'un recours juridictionnel. Néanmoins, le droit interne peut soumettre ce recours juridictionnel à une saisine préalable de cette autorité.

15. Les Parties devraient accorder à l'autorité de contrôle le pouvoir, soit d'ester en justice, soit de porter à la connaissance de la justice toute violation aux principes de la protection des données. Ce pouvoir dérive notamment du pouvoir de mener des investigations qui peuvent conduire l'autorité à constater une violation aux droits des personnes. L'obligation des Parties d'accorder à l'autorité ce pouvoir peut être remplie en lui donnant le pouvoir de prendre des décisions judiciaires. 

16. La liste des pouvoirs attribués à l'autorité de contrôle par l'article 1, paragraphe 2, n'est pas exhaustive. Il convient donc de rappeler que les Parties possèdent des possibilités supplémentaires pour donner effet à la mission de l'autorité de contrôle. Elle pourrait être saisie d'une plainte d'une association, en particulier, lorsque conformément à l'article 9 de la Convention, certains droits des personnes qu'elle représente sont limités. L'autorité pourrait être habilitée à procéder à des contrôles préalables sur la légitimité d'opérations de traitements et à tenir un registre des traitements ouvert au public. L'autorité pourrait aussi être appelée à donner son avis lors de l'élaboration de mesures législatives, réglementaires ou administratives relatives à la protection des données ou sur des codes de conduite.  

Article 1.3

17. Les autorités de contrôle ne sont en mesure de remplir de manière effective leur rôle que si elles exercent leurs fonctions en toute indépendance (2). Un faisceau d'éléments contribue à garantir l'indépendance de l'autorité de contrôle dans l'exercice de ses fonctions. Parmi ces éléments on peut citer la composition de l'autorité, le mode de désignation de ses membres, la durée d'exercice et les conditions de cessation de leurs fonctions, l'octroi à l'autorité de ressources suffisantes ou l'adoption de décisions à l'abri d'ordres ou d'injonctions extérieurs à l'autorité. 

Article 1.4

18. En contrepartie de cette indépendance, les décisions des autorités de contrôle doivent elles même pouvoir faire l'objet d'un recours juridictionnel lorsqu'elles font grief, conformément au principe de légalité et de la prééminence du droit.  

19. En outre, dans les cas où l'autorité de contrôle ne dispose pas elle-même de compétences juridictionnelles, l'intervention d'une autorité de contrôle ne doit pas faire obstacle à la possibilité pour tout individu, d'exercer un recours juridictionnel.

Article 1.5

20. Le renforcement de la coopération entre les autorités de contrôle contribue au développement du niveau de protection dans la pratique conventionnelle des Parties. Cette coopération est complémentaire à l'entraide entre les Parties en vertu du Chapitre IV et aux travaux du Comité Consultatif de la Convention. Elle vise à une meilleure protection des personnes concernées. Ces personnes sont en effet de plus en plus souvent directement touchées par des traitements de données qui ne se bornent pas à un seul pays et qui concernent alors les lois et autorités de plusieurs pays. On peut ainsi citer, à titre d'exemple, le développement des réseaux électroniques internationaux, le nombre croissant de flux transfrontières en matière de la prestation de services ou dans le milieu du travail. Dans ce contexte, la coopération internationale des autorités de contrôle assure que les individus peuvent exercer leurs droits au niveau international comme au niveau national.

Article 2 – Flux transfrontières de données à caractère personnel vers un destinataire
n'étant pas soumis à la juridiction d'une Partie à la Convention 

21. L'article 12 de la Convention fixe le principe de la libre circulation des données à caractère personnel entre les Parties sous réserve des possibilités de dérogation prévues par son alinéa 3. Ceci suppose, en particulier, que les Parties ont mis en œuvre les principes de la Convention. 

22. Les flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie n'y sont visées qu'indirectement. Toute Partie peut ainsi, selon l'article 12 alinéa 3b) déroger au principe de la libre circulation de données, lorsque le transfert est effectué à partir de son territoire vers un destinataire n'étant pas soumis à la juridiction d'une Partie par l'intermédiaire du territoire d'une autre Partie, afin d'éviter que de tels transferts n'aboutissent à contourner la législation de la Partie d'origine. Il n'y a donc pas, dans la Convention, de disposition explicite sur les flux transfrontières de données à l'égard d'Etats ou d'organisations qui ne sont pas Parties à la Convention. 

23. Il s'ensuit que les Parties à la Convention pourraient prévoir dans leurs régimes juridiques des autorisations explicites pour les transferts de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie aménageant un niveau de protection différent de celui de la Convention. Lors de l'élaboration du présent Protocole, même sans obligation conventionnelle explicite, certaines Parties avaient introduit dans leur droit interne des normes traitant du transfert de données vers un destinataire n'étant pas soumis à la juridiction d'une Partie. Des différences dans la pratique pourraient, notamment vues sous l'angle de l'article 12 alinéa 3b) susmentionné, aboutir à des restrictions considérables de la libre circulation des données entre les Parties, ce qui serait également contraire aux buts de la Convention. Il s'avère donc nécessaire, à l'instar des dispositions particulières des Recommandations du Conseil de l'Europe dans le domaine de la protection des données, de procéder à l'établissement de règles communes concernant les flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie. 

24. Une telle disposition résulte, d'une part, de la volonté d'assurer une protection effective des données à caractère personnel par delà les frontières et d'autre part, de la détermination des Parties pour assurer la libre circulation de l'information entre les peuples, conformément au libellé du préambule de la Convention.

Article 2.1

25. Les flux transfrontières de données vers un destinataire n'étant pas soumis à la juridiction d'une Partie sont de leur coté, par le présent protocole, soumis à la condition du niveau adéquat de protection dans le pays ou l'organisation destinataires. Le paragraphe 70 du Rapport explicatif de la Convention évoque « les Etats non-Parties (disposant) d'un régime de protection des données satisfaisant ». Un destinataire n'étant pas soumis à la juridiction d'une Partie à la Convention pourrait être considéré comme disposant d'un régime satisfaisant de protection uniquement si il offre un niveau adéquat de protection. 

26. Le caractère adéquat du niveau de protection doit être évalué à la lumière de l'ensemble des circonstances relatives au transfert.  

27. Le niveau de la protection devrait être évalué au cas par cas et pour chaque transfert ou catégorie de transfert effectué. Dans ce contexte, les circonstances relatives au transfert doivent être examinées et en particulier : la nature des données, les finalités et la durée des traitements pour lesquels les données sont transférées, le pays d'origine et le pays de destination finale, les règles de droit, générales et sectorielles applicables dans l'Etat ou l'organisation en question et les règles professionnelles et de sécurité qui y sont respectées. 

28. Une appréciation du caractère adéquat peut toutefois être faite pour l'ensemble d'un Etat ou d'une organisation permettant ainsi tous les transferts de données vers cette destination. Dans ce cas, le niveau adéquat de protection est déterminé par les autorités compétentes de chaque Partie. 

29. L'appréciation du niveau adéquat de protection doit prendre en considération les principes du Chapitre II de la Convention et du présent Protocole et la manière dans laquelle ils sont respectés dans le pays ou l'organisation destinataires – dans la mesure où ils sont pertinents pour le cas spécifique de transfert – ainsi que la façon dont la personne concernée peut défendre ses intérêts en cas de non-conformité dans un cas spécifique. 

30. Le Comité consultatif de la Convention peut, à la demande d'une Partie, émettre un avis sur l'adéquation du niveau de protection des données dans un pays tiers ou une organisation.

Article 2.2, a

31. Les Parties possèdent une marge d'appréciation pour déterminer les dérogations au principe de niveau adéquat. Les règles pertinentes de droit interne doivent néanmoins respecter le principe de droit inhérent à l'ordre juridique européen qui consiste à interpréter les clauses d'exception de manière restrictive afin que l'exception ne devienne pas la règle. Les normes de droit interne peuvent énoncer de telles exceptions pour un intérêt légitime, lorsque celui-ci prévaut. Cet intérêt peut être de protéger un intérêt public important, tel que défini dans le contexte de l'article 8 paragraphe 2 de la Convention européenne des droits de l'homme et de l'article 9 paragraphe 2 de la Convention STE n° 108 ; l'exercice ou la défense d'un droit en justice ; ou lorsqu'il s'agit de données extraites d'un registre public. Des exceptions peuvent également être prévues pour répondre à des intérêts spécifiques de la personne concernée, pour l'exécution d'un contrat conclu avec la personne concernée ou dans l'intérêt de celle-ci, pour la protection de ses intérêts vitaux ou lorsqu'elle a donné son consentement. Dans ce cas, avant de consentir, la personne concernée doit être informée de manière appropriée du transfert envisagé. 

Article 2.2, b

32. Chaque Partie peut également prévoir qu'un transfert de données à caractère personnel, vers un destinataire n'étant pas soumis à la juridiction d'une Partie et n'assurant pas un niveau de protection adéquat pour le transfert considéré, peut être effectué lorsque la personne responsable du transfert fournit des garanties suffisantes. Ces garanties doivent être jugées suffisantes par les autorités de contrôle compétentes, conformément au droit interne. De telles garanties peuvent notamment résulter de clauses contractuelles liant le responsable du traitement à l'origine du transfert et le destinataire n'étant pas soumis à la juridiction d'une Partie.  

33. Le contenu de ces contrats doit inclure les éléments pertinents de la protection des données. En outre, du point de vue formel, les clauses contractuelles pourraient, par exemple, être aménagées de façon à ce que l'individu dispose d'une personne de référence auprès du responsable du transfert qui soit chargée de veiller au respect des normes matérielles de protection. L'individu pourrait s'adresser à elle à tout moment et sans frais et le cas échéant obtenir son aide pour l'exercice de ses droits. 

Article 3 – Dispositions finales

34. Il correspond à la pratique conventionnelle au sein du Conseil de l'Europe qu'un Protocole additionnel à une Convention ne peut être signé que par les Signataires de la Convention de base. Les Communautés européennes, qui ont participé à l'élaboration du présent Protocole, pourront signer le Protocole après avoir adhéré à la Convention dans les conditions établies par celle-ci.

35. Le paragraphe 2 de l'article 3 s'applique uniquement aux Etats membres du Conseil de l'Europe et aux Communautés européennes. Le paragraphe 4 s'applique uniquement aux Etats non-membres du Conseil de l'Europe qui ne peuvent qu'adhérer au Protocole comme à la Convention. 

36. Le nombre de ratifications nécessaires pour l'entrée en vigueur prévu au paragraphe 3 a été fixé à cinq, ce qui correspond à l'article 22 de la Convention.  

37. Les dispositions qui se trouvent aux paragraphes 3 à 6 s'inspirent des dispositions finales pertinentes de la Convention et des clauses finales habituelles contenues dans les conventions et protocoles du Conseil de l'Europe. 


Notes

(1)   Ou "maître du fichier". Retour

(2)   Dans le cadre des garanties procédurales attachées à l'article 8 de la Convention européenne des Droits de l'Homme, la jurisprudence des organes de cette Convention considère déjà, dans certaines circonstances, l'intervention d'un organe indépendant comme une garantie adéquate d'un « contrôle effectif » de la nécessité d'une ingérence d'une autorité publique dans l'exercice des droits prévus à l'article 8 (cf. l'affaire Gaskin ./. Royaume Uni, arrêt du 7 juillet 1989, série A n° 160, § 49). Retour.