MONACO parmi les premiers signataires du Protocole d’amendement (STCE n°223) à la « Convention 108 »

MONACO a signé le 10 octobre 2018, à Strasbourg, le Protocole d’amendement (STCE n°223) ouvert à la signature des 53 États parties[1] à la « Convention 108 »[2], avec 19 autres États membres du Conseil de l’Europe (Allemagne, Autriche, Belgique, Bulgarie, Espagne, Estonie, Finlande, France, Irlande, Lettonie, Lituanie, Luxembourg, Norvège, Pays-Bas, Portugal, Russie, Suède, République tchèque, Royaume-Uni), ainsi que l’Uruguay, État non membre. L’Islande a rejoint la liste des signataires le 21 novembre 2018.

Le Protocole d’amendement modernise et renforce l’effectivité de la « Convention 108 » et de son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (STCE n° 181).

Le Comité ad hoc sur la protection des données (CAHDATA) chargé de finaliser la modernisation, a été particulièrement attentif à ce que la « Convention 108 » amendée soit cohérente avec le Règlement général sur la protection des données de l’Union Européenne entré en vigueur le 25 mai 2018 (RGPD ou GDPR) qui « amplifie  les principes de la Convention ».[3]

Inversement, le RGPD tient compte s’agissant d’évaluer si un pays tiers à l’UE offre un niveau adéquat de protection des données essentiellement équivalent à celui de l’UE (si oui, les transferts de données personnelles vers ce pays tiers ne nécessitent pas l’obtention d’une autorisation) de son adhésion à la « Convention 108 »[4].

La « Convention 108 » vise le traitement des données des personnes physiques, mais le droit interne peut prévoir l’extension de la protection aux données des personnes morales afin de protéger leurs intérêts légitimes.

La « Convention 108 » telle qu’amendée par le Protocole STCE n°223 n’entrera en vigueur qu’après ratification.

 

Nouveautés introduites par le Protocole d’amendement :

Préambule

• Mention de la dignité humaine (les personnes ne doivent pas être traitées comme de simples objets) et du droit à l’autonomie personnelle (contrôler ses propres données et leur traitement)

• Rôle du droit à la protection des données personnelles dans la société et conciliation avec d’autres droits de l’homme et libertés fondamentales dont la liberté d’expression

• Principe du droit d’accès aux documents officiels

• Intensification de la coopération internationale entre les autorités de contrôle

Objet et but

• Le traitement des données personnelles peut permettre de manière positive l’exercice d’autres libertés et droits fondamentaux

Définitions et champ d’application

• Suppression du concept de « fichier »

• Le « maître du fichier » devient le « responsable du traitement »

• Insertion du « sous-traitant » et du « destinataire »

• Le traitement des données par une personne physique dans l’exercice d’activités personnelles ou domestiques ne fait plus partie du champ d’application de la Convention

• Suppression de la possibilité de déclarer que la Convention ne s’applique pas à certains types de traitements listés par l’État partie

Principes de base

• Assurer l’application effective de dispositions de la Convention (mesures internes devant être entrées en vigueur au moment de la ratification de la Convention, évaluation par le Comité conventionnel de leur efficacité)

• Légitimité du traitement (principe de proportionnalité à chaque étape du traitement, principe de limitation des données, traitement basé sur le consentement « libre, spécifique, éclairé et non-équivoque » de la personne concernée ou d’autres fondements légitimes prévus par la loi)

• Élargissement de la liste des données sensibles (données génétiques et biométriques, données traitées pour les informations qu’elles révèlent sur l’appartenance syndicale ou l’origine ethnique)

• Respect de la vie privée dès la conception (Privacy by design)

• Obligation de notification du responsable du traitement des violations en matière de sécurité des données, limitée au cas où celles-ci sont susceptibles de porter une atteinte grave aux droits et libertés fondamentales des personnes concernées (« sans délai excessif, à tout le moins à l’autorité de contrôle »)

• Garantie de la transparence du traitement par le responsable du traitement, tenu de fournir une série d’informations sauf si le traitement est expressément prévu par la loi ou si cela lui est impossible ou implique des efforts disproportionnés (identité et résidence ou lieu d’établissement habituel, base légale et finalité du traitement, catégories de données traitées, destinataires, moyens d’exercer les droits)

• Octroi de nouveaux droits aux personnes concernées (élargissement des informations à transmettre en cas d’exercice du droit d’accès, droit d’obtenir connaissance du raisonnement sous-tendant le traitement – profilage – et de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, droit de s’opposer à tout moment au traitement)

• Ajout d’exceptions et de restrictions aux droits (« objectifs essentiels d’intérêt public », traitements à des fins de sécurité nationale et défense soumis à un contrôle et à une supervision indépendants et effectifs)

Flux transfrontières

• Exception aux flux de données entre les Parties à la Convention (risque réel et sérieux que le transfert conduise à contourner les dispositions de la Convention)

• Clarification de la garantie d’un niveau de protection des données approprié pour les transferts vers des juridictions non parties (« règles de droit », « garanties ad hoc ou standardisées agréées, établies par des instruments juridiquement contraignants et opposables » et correctement mises en œuvre)

Autorités de contrôle

• Sensibilisation du public, de fourniture de renseignements et d’information de tous les acteurs concernés

• Décisions relatives aux violations des dispositions de la Convention et pouvoir d’infliger des sanctions administratives

Coopération et entraide

• Formes (échange d’informations, coordination des investigations et interventions, actions conjointes)

• Les autorités de contrôle doivent se constituer en réseau

Comité conventionnel

• Pouvoir d’évaluation avant la ratification (avis sur le niveau de protection)

• Pouvoir de surveillance (effectivité des mesures prises, normes légales régissant les transferts de données)

 

[1] État parties à la « Convention 108 » : [membres du Conseil de l’Europe] Albanie, Allemagne, Andorre, Arménie, Autriche, Azerbaïdjan, Belgique, Bosnie-Herzégovine, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Fédération de Russie, Finlande, France, Géorgie, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Ex-République yougoslave de Macédoine, Liechtenstein, Lituanie, Luxembourg, Malte, Monaco, Monténégro, Norvège, Pays-Bas, Pologne, Portugal, république de Moldova, République slovaque, république tchèque, Roumanie, Royaume-Uni, Saint-Marin, Serbie, Slovénie, Suède, Suisse, Turquie, Ukraine ; [non membres du Conseil de l’Europe] Argentine, Burkina Faso, Cap-Vert, Maroc, Maurice, Mexique, Sénégal, Tunisie, Uruguay. Les organisations internationales peuvent dorénavant être également parties à la « Convention 108 » modernisée.

[2] Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981.

[3] Rapport explicatif de la Convention n°108 telle qu’amendée par le Protocole STCE n° 223, 10 octobre 2018.

[4] Considérant 105 du RGPD.

 

 
vel, luctus non ut Praesent sit venenatis, libero in ut facilisis Sed