Allez au contenu, Allez à la navigation



24 octobre 2006 : Traitement automatisé des données à caractère personnel ( texte déposé au sénat - première lecture )

 

N° 37

SÉNAT

SESSION ORDINAIRE DE 2006-2007

Annexe au procès-verbal de la séance du 24 octobre 2006

PROJET DE LOI

autorisant l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données,

PRÉSENTÉ

au nom de M. DOMINIQUE DE VILLEPIN,

Premier ministre,

par M. PHILIPPE DOUSTE-BLAZY,

ministre des affaires étrangères

(Renvoyé à la commission des Affaires étrangères, de la défense et des forces armées, sous réserve de la constitution éventuelle d'une commission spéciale dans les conditions prévues par le Règlement).

Traités et conventions.

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Le protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données a été ouvert à la signature le 8 novembre 2001. Il est destiné à renforcer la mise en oeuvre des principes contenus dans la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et entrée en vigueur le 1er octobre 1985.

Constatant un accroissement des flux transfrontières de données, liés à la multiplication et à la globalisation des échanges internationaux et aux progrès techniques, les membres du comité consultatif, prévu au chapitre V de la convention, avaient estimé nécessaire de renforcer la protection des droits garantis par celle-ci en prévoyant, dans un protocole additionnel, l'exigence de mise en oeuvre par les États Parties d'une autorité de contrôle et l'assurance qu'aucun transfert de données ne puisse se faire à destination de pays ou d'organisations ne garantissant pas leur protection.

Dans le cadre de la négociation, le comité consultatif a décidé de l'ajout de deux dispositions importantes à la " convention mère ".

D'une part, il est désormais prévu d'imposer l'instauration par les États Parties d'une ou plusieurs autorités de contrôle, renforçant ainsi la protection des droits et libertés de l'individu à l'égard du traitement des données à caractère personnel. En second lieu, les flux transfrontières de données à caractère personnel vers les pays ou organisations n'étant pas Parties à la convention sont désormais soigneusement encadrés.

En conséquence, après avis de l'assemblée parlementaire, le comité consultatif approuvait lors de sa seizième réunion, du 6 au 8 juin 2000, le texte du projet de protocole, ultérieurement adopté par le comité des ministres le 8 novembre 2001.

* *

*

Le protocole additionnel est introduit par un préambule qui met l'accent sur le rôle des autorités de contrôle, l'importance pour les peuples de la circulation de l'information et le droit au respect de la vie privée, potentiellement menacé par l'intensification des échanges de données personnelles.

Désormais, les États Parties sont astreints à mettre en place une ou plusieurs autorités de contrôle afin d'assurer la protection des droits et libertés de l'individu à l'égard du traitement des données à caractère personnel. Les autorités ainsi créées, doivent veiller au respect des stipulations énoncées dans les chapitres II et III de la convention qui, d'une part, traitent des principes de base pour la protection des données que chaque État Partie doit respecter, et d'autre part, organisent les droits des États dans le domaine des flux transfrontières de données à caractère personnel (paragraphe 1 de l'article 1er).

Si le paragraphe 2 de l'article 1er laisse aux États Parties une marge d'appréciation quant aux pouvoirs dont doivent être dotées ces autorités de contrôle, il précise, toutefois, que pour accomplir ses missions la ou les autorités de contrôle doivent disposer de pouvoirs d'investigations et d'intervention, du droit d'ester en justice, ou de porter à la connaissance des autorités judiciaires les violations du droit interne relatif à la protection des données à caractère personnel.

Par ailleurs, ce paragraphe consacre le droit pour toute personne de saisir l'autorité de contrôle d'une demande relative à la protection de ses droits et libertés fondamentales à l'égard des traitements de données à caractère personnel relevant de sa compétence.

L'exigence d'indépendance de ces autorités de contrôle est affirmée au paragraphe 3. En contrepartie, le paragraphe 4 souligne que les décisions des autorités de contrôle doivent pouvoir faire l'objet d'un recours juridictionnel lorsqu'elles font grief.

Enfin, le paragraphe 5 encourage la coopération entre les autorités de contrôle. Une telle entraide apparaît complémentaire à l'entraide prévue au chapitre V de la convention.

Les stipulations de la convention ne traitant pas directement du problème des flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie à la convention, l'article 2 du protocole règle cette question.

Le paragraphe 1 de l'article 2 pose le principe selon lequel un tel transfert de données ne peut être effectué que si l'État destinataire des données « assure un niveau de protection adéquat pour le transfert réalisé ». Le niveau de protection adéquat doit être évalué au cas par cas et pour chaque transfert ou catégorie de transfert effectué, notamment en considération des principes de base pour la protection des données énoncés au chapitre II de la convention.

Le deuxième paragraphe de l'article 2 permet aux États Parties de déroger à ce principe dans deux hypothèses :

- si le droit interne le prévoit, dans l'intérêt spécifique de la personne concernée ou lorsqu'il s'agit de protéger un intérêt public important ;

- si la personne responsable du transfert fournit des garanties jugées suffisantes.

Les dispositions finales s'avèrent de facture classique et prévoient que le protocole, dont les stipulations sont additionnelles à celles de la convention, est ouvert à la seule signature des États signataires de celle-ci. Par ailleurs, le protocole entrera en vigueur, pour chaque État signataire, le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de son instrument de ratification, d'acceptation ou d'approbation.

Le protocole est entré en vigueur le 1er juillet 2004, après que le cinquième instrument de ratification ait été déposé.

* *

*

Telles sont les principales observations qu'appelle le protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données et qui, comportant des dispositions de nature législative, est soumis au Parlement conformément aux dispositions de l'article 53 de la Constitution.

PROJET DE LOI

Le Premier ministre,

Sur le rapport du ministre des affaires étrangères,

Vu l'article 39 de la Constitution,

Décrète :

Le présent projet de loi autorisant l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, délibéré en Conseil des ministres après avis du Conseil d'État, sera présenté au Sénat par le ministre des affaires étrangères, qui sera chargé d'en exposer les motifs et d'en soutenir la discussion.

Article unique

Est autorisée l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, fait à Strasbourg le 8 novembre 2001, et dont le texte est annexé à la présente loi.

Fait à Paris, le 24 octobre 2006

Signé : DOMINIQUE DE VILLEPIN

Par le Premier ministre :

Le ministre des affaires étrangères,

Signé : PHILIPPE DOUSTE-BLAZY

P R O T O C O L E   A D D I T I O N N E L
à la Convention pour la protection des personnes
à l'égard du traitement automatisé
des données à caractère personnel,
concernant les autorités de contrôle
et les flux transfrontières de données,
fait à Strasbourg le 8 novembre 2001

P R O T O C O L E   A D D I T I O N N E L
à la Convention pour la protection des personnes
à l'égard du traitement automatisé des données à caractère personnel,
concernant les autorités de contrôle
et les flux transfrontières de données


PRÉAMBULE

    Les Parties au présent Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ouverte à la signature à Strasbourg, le 28 janvier 1981, (ci-après dénommée « la Convention »),

    Convaincues que des autorités de contrôle exerçant leurs fonctions en toute indépendance sont un élément de la protection effective des personnes à l'égard du traitement des données à caractère personnel ;

    Considérant l'importance de la circulation de l'information entre les peuples ;

    Considérant que, avec l'intensification des échanges de données à caractère personnel à travers les frontières, il est nécessaire d'assurer la protection effective des droits de l'homme et des libertés fondamentales et notamment, du droit au respect de la vie privée, en relation avec de tels échanges,

sont convenues de ce qui suit :

Article  1er
Autorités de contrôle

    1.  Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans les chapitres Il et III de la Convention et dans le présent Protocole.

    2.  a)  A cet effet, ces autorités disposent notamment de pouvoirs d'investigation et d'intervention, ainsi que de celui d'ester en justice ou de porter à la connaissance de l'autorité judiciaire compétente des violations aux dispositions du droit interne donnant effet aux principes visés au paragraphe 1 de l'article 1er du présent Protocole.

    b)  Chaque autorité de contrôle peut être saisie par toute personne d'une demande relative à la protection de ses droits et libertés fondamentales à l'égard des traitements de données à caractère personnel relevant de sa compétence.

    3.  Les autorités de contrôle exercent leurs fonctions en toute indépendance.

    4.  Les décisions des autorités de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

    5.  Conformément aux dispositions du chapitre IV et sans préjudice des dispositions de l'article 13 de la Convention, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Article  2

Flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie à la Convention

    1.  Chaque Partie prévoit que le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d'un Etat ou d'une organisation qui n'est pas Partie à la Convention ne peut être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert considéré.

    2.  Par dérogation au paragraphe 1 de l'article 2 du présent Protocole, chaque Partie peut autoriser un transfert de données à caractère personnel :

    a)  Si le droit interne le prévoit :

    -  pour des intérêts spécifiques de la personne concernée, ou
    -  lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants, ou

    b)  Si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne.

Article  3
Dispositions finales

    1.  Les Parties considèrent les dispositions des articles 1er et 2 du présent Protocole comme des articles additionnels à la Convention, et toutes les dispositions de la Convention s'appliquent en conséquence.

    2.  Le présent Protocole est ouvert à la signature des Etats signataires de la Convention. Après avoir adhéré à la Convention dans les conditions établies par celle-ci, les Communautés européennes peuvent signer le présent Protocole. Ce Protocole sera soumis à ratification, acceptation ou approbation. Un Signataire du présent Protocole ne peut le ratifier, l'accepter ou l'approuver, sans avoir antérieurement ou simultanément ratifié, accepté ou approuvé la Convention ou sans y avoir adhéré. Les instruments de ratification, d'acceptation ou d'approbation du présent Protocole seront déposés près le Secrétaire général du Conseil de l'Europe.

    3.  a) Le présent Protocole entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle cinq de ses Signataires auront exprimé leur consentement à être liés par le présent Protocole conformément aux dispositions de son article 3 paragraphe 2.

    b)  Pour tout Signataire du présent Protocole qui exprime ultérieurement son consentement à être lié par celui-ci, le présent Protocole entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de son instrument de ratification, d'acceptation ou d'approbation.

    4.  a)  Après l'entrée en vigueur du présent Protocole, tout Etat qui a adhéré à la Convention pourra adhérer également au présent Protocole.

    b)  L'adhésion s'effectuera par le dépôt, près le Secrétaire général du Conseil de l'Europe, d'un instrument d'adhésion qui prendra effet le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de son dépôt.

    5.  a)  Toute Partie peut, à tout moment, dénoncer le présent Protocole en adressant une notification au Secrétaire général du Conseil de l'Europe.

    b)  La dénonciation prendra effet le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la notification par le Secrétaire général.

    6.  Le Secrétaire général du Conseil de l'Europe notifiera aux Etats membres du Conseil de l'Europe, aux Communautés européennes et à tout Etat ayant adhéré au présent Protocole :

    a)  Toute signature ;

    b)  Le dépôt de tout instrument de ratification, d'acceptation ou d'approbation ;

    c)  Toute date d'entrée en vigueur du présent Protocole conformément à son article 3 ;

    d)  Tout autre acte, notification ou communication ayant trait au présent Protocole.

    En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé le présent Protocole.

    Fait à Strasbourg, le 8 novembre 2001, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire, qui sera déposé dans les archives du Conseil de l'Europe. Le Secrétaire général du Conseil de l'Europe en communiquera copie certifiée conforme à chacun des Etats membres du Conseil de l'Europe, aux Communautés européennes et à tout Etat invité à adhérer à la Convention.

(cf. note 1)

NOTE (S) :

(1) TCA . - Imprimerie des Journaux officiels, Paris