Traitement automatisé des données à caractère personnel

Étude d'impact au format PDF (121 Koctets)

RÉPUBLIQUE FRANÇAISE

--------

Ministère de l'Europe
et des affaires étrangères

--------

Projet de loi

autorisant la ratification du Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

NOR : EAEJ2105282L/Bleue-1

ÉTUDE D'IMPACT

I) Situation de référence

Ouverte à la signature le 28 janvier 1981, la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ^{1 ( * )} (STE n° 108), dite « Convention 108 », fut le premier instrument international juridique contraignant en la matière.

Selon la Convention, les données à caractère personnel désignent toute information concernant une personne physique identifiée ou identifiable, et le traitement de données s'entend de toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel (notamment, la collecte, la communication, la modification ou l'effacement de données). Cette Convention a pour objet de protéger, sur le territoire de chaque Partie, la vie privée des personnes physiques, quelle que soit leur nationalité ou leur résidence, à l'égard des traitements automatisés des données à caractère personnel qui les concernent. A cet effet, elle définit, dans son chapitre II, certains principes de base, visant à assurer la qualité et la sécurité des données personnelles contenues dans les fichiers automatisés (cf. articles 5 et 7), ainsi que la protection de catégories de données particulièrement sensibles telles que les données génétiques et biométriques, les données concernant des infractions, procédures et condamnations pénales, les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions, etc. (article 6).

A cette fin, elle institue des garanties complémentaires qui assurent l'effectivité des droits d'accès, à la rectification ou à l'effacement des données et du droit au recours (article 8) et oblige les Parties à établir des sanctions et recours appropriés (article 10).

Elle prévoit néanmoins des dérogations aux principes de base de protection des données, notamment pour la protection de la sécurité de l'Etat, la sûreté publique ou la répression des infractions pénales, ou pour la protection des personnes concernées et des droits et libertés d'autrui, ainsi que des restrictions pour les fichiers automatisés de données personnelles utilisés à des fins de statistiques ou de recherches scientifiques (article 9).

Enfin, elle règlemente les flux transfrontières des données personnelles faisant l'objet de traitements automatisés (chapitre III) et institue un mécanisme d'entraide, par le biais d'une obligation de coopération entre les Parties et d'une obligation d'assistance aux personnes concernées ayant leur résidence à l'étranger (chapitre IV).

Adoptée sous l'égide du Conseil de l'Europe, la Convention 108 a été ouverte à la signature des Etats membres du Conseil de l'Europe, mais aussi, une fois entrée en vigueur, à l'adhésion d'Etats non membres. La France l'a signée le jour d'ouverture à sa signature, le 28 janvier 1981, et l'a ratifiée le 24 mars 1983. Cette Convention est entrée en vigueur le 1 ^er octobre 1985.

A ce jour, cinquante-cinq Etats y sont parties : les quarante-sept Etats membres du Conseil de l'Europe, ainsi que huit Etats tiers (Argentine, Cap Vert, Maroc, Maurice, Mexique, Sénégal, Tunisie, Uruguay).

Le 8 novembre 2001, un Protocole additionnel à cette Convention (STE n°181), concernant les autorités de contrôle et les flux transfrontières de données, a été ouvert à la signature des Etats parties.

Ce Protocole impose, par son article 1 ^er , la mise en place d'autorités de contrôle indépendantes chargées d'assurer le respect des règles nationales qui résultent de la Convention et dotées à cet effet de pouvoirs d'investigation et d'intervention en justice.

En outre, alors que la Convention s'était bornée à réglementer les transferts de données personnelles entre Etats Parties, notamment dans l'hypothèse d'un transfert ultérieur vers un Etat qui n'est pas partie à la Convention, l'article 2 du Protocole additionnel définit un régime complet pour les transferts de données à caractère personnel vers des destinataires qui ne sont pas soumis à la juridiction d'une Partie à la Convention.

La France a signé ce premier Protocole le jour d'ouverture à sa signature, le 8 novembre 2001, et l'a ratifié le 22 mai 2007, après son entrée en vigueur intervenue le 1 ^er juillet 2004.

A ce jour, quarante-quatre Etats y sont parties : trente-six Etats membres du Conseil de l'Europe, ainsi que les huit Etats tiers qui sont parties à la Convention 108. La plupart des Etats membres du Conseil de l'Europe qui n'y sont pas parties l'ont signé mais ne l'ont pas ratifié (Belgique, Russie, Grèce, Islande, Italie, Norvège, Royaume-Uni).

Cet ensemble conventionnel (Convention et Protocole additionnel) nécessitait d'être modernisé afin, d'une part, de répondre aux nouveaux défis de la protection de la vie privée et des données personnelles, que pose l'utilisation des nouvelles technologies de l'information et de la communication ainsi que l'intensification et la mondialisation accrue des échanges de données personnelles à l'ère du numérique, d'autre part, d'assurer une mise en oeuvre effective de la Convention. Les travaux qui ont été engagés en ce sens, dans le cadre du Conseil de l'Europe, ont été concomitants à ceux engagés dans le cadre de l'Union européenne, pour réformer le cadre juridique existant en la matière. La nécessité d'assurer une cohérence entre les instruments modernisés a fait l'objet d'une attention particulière.

Les travaux de modernisation ont commencé avec la préparation d'un rapport ^{2 ( * )} visant à identifier les domaines où la Convention 108 devait être mise à jour. Parallèlement, une consultation des parties prenantes a été lancée par le Secrétaire Général du Conseil de l'Europe, le 28 janvier 2011, à l'occasion du trentième anniversaire de la Convention 108. Cette consultation publique a permis aux personnes et aux institutions intéressées d'envoyer leurs commentaires, suggestions et idées sur la modernisation.

Un Protocole d'amendement à la Convention ^{3 ( * )} , intégrant l'objet du Protocole additionnel (ci-après le « Protocole d'amendement »), a été choisi comme vecteur de la réforme. L'entrée en vigueur de ce Protocole d'amendement (STCE n° 223) donnera son plein effet à une Convention rénovée : la Convention modernisée pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (dite 108+).

II) Historique des négociations

La première phase des négociations a eu lieu au sein du Comité consultatif de la Convention 108. Composé des représentants des Parties à cette Convention, ce comité a préparé un projet de propositions de modernisation qui ont été approuvées en réunion plénière fin novembre 2012. Ce projet a été ensuite soumis au Comité des Ministres du Conseil de l'Europe, lequel a chargé un comité ad hoc de poursuivre les travaux.

La deuxième phase des négociations s'est tenue dans le cadre du Comité ad hoc sur la protection des données (CAHDATA). La Commission européenne a participé aux négociations, en vertu d'une décision d'autorisation du Conseil du 6 juin 2013, comportant des directives de négociations. Le CAHDATA s'est réuni à quatre reprises. La dernière réunion, qui remonte à juin 2016, s'est tenue juste après l'adoption, le 27 avril 2016, de la réforme du cadre juridique de l'Union européenne en la matière ^{4 ( * )} , ce qui a permis de s'assurer de la cohérence entre les instruments. Le soutien de la Commission européenne et les efforts soutenus de coordination au sein de l'Union ont permis de pleinement faire valoir, au cours de la négociation, l'approche de la question de la protection des données retenue par l'Union européenne.

A l'issue de cette dernière réunion du CAHDATA, certains points sont restés en suspens et ont été soumis au Comité des Ministres du Conseil de l'Europe. Il s'en est suivi presque deux ans de négociations pour surmonter les difficultés rencontrées, dans le cadre du Groupe de rapporteurs sur la coopération juridique (dit « GR-J »). Cette troisième et dernière phase de négociations a nécessité un constant travail de coordination au sein de l'Union européenne.

Les principales difficultés ont porté sur les quatre points suivants.

Les deux premiers points, qui ont suscité des débats importants au CAHDATA, concernaient, d'une part, la soumission des services de renseignement à la future Convention 108 (sans possibilité d'exclusion), d'autre part, l'alignement éventuel des règles régissant les transferts de données personnelles vers les Etats qui ne sont pas Parties à la Convention sur le niveau d'exigences particulièrement élevé du règlement dit « RGPD » ^{5 ( * )} et de la directive dite « Police - Justice » ^{6 ( * )} s'agissant du transfert des données personnelles des Etats membres de l'Union européenne vers des Etats tiers à l'Union.

Pour mémoire, le RGPD impose des exigences détaillées aux entreprises et organisations en ce qui concerne la collecte, la conservation et la gestion des données à caractère personnel. Elles s'appliquent tant aux organisations européennes qui traitent des données à caractère personnel de personnes établies dans l'UE qu'aux organisations établies en dehors de l'UE qui ciblent des personnes vivant au sein de l'UE. ^{7 ( * )}

En outre, la directive « Police - Justice » vise à mieux protéger les données à caractère personnel lorsque ces données sont traitées par la police et par les autorités judiciaires en matière pénale, tout en en donnant aux autorités répressives des pays de l'Union les moyens d'échanger les informations nécessaires aux enquêtes et à la prévention des infractions pénales ^{8 ( * )} .

Ainsi, le nouvel article 14, alinéa 2, de la Convention, relatif aux flux transfrontières de données à caractère personnel, autorise, à l'instar du RGPD et de la directive « Police - Justice » s'agissant des transferts de données personnelles des Etats membres de l'Union européenne vers des Etats tiers, des transferts de données vers des pays tiers qui ne sont pas Parties à la Convention uniquement si un niveau approprié de protection fondé sur les dispositions de la Convention est garanti. Il prévoit également la possibilité de transferts nonobstant l'absence d'un tel niveau approprié, pourvu que certaines conditions, identiques à celles prévues par le droit de l'Union européenne, soient remplies.

Par ailleurs, s'agissant de l'autre difficulté posée par l'éventuelle soumission des services de renseignement à la future Convention 108, la nouvelle rédaction de l'article 3, relatif au champ d'application de la Convention, prévoit in fine que cette Convention s'applique aux traitements de données relevant de la juridiction de chaque Partie « dans les secteurs public et privé », ce qui inclut, par suite, les activités de traitement à des fins de sécurité nationale et de défense.

Le troisième point, qui n'avait pas été soumis au CAHDATA, mais avait été réservé à l'examen du Comité des Ministres, concernait le processus décisionnel au sein du Comité conventionnel (nouvelle appellation du comité consultatif). Etaient en cause, d'une part, le nombre de voix de l'Union européenne, laquelle pourra adhérer à la Convention 108+ après l'entrée en vigueur du Protocole, d'autre part, le seuil de majorité requis, les Etat tiers craignant que l'Union européenne et ses Etats membres ne bénéficient d'une position privilégiée dans cette enceinte.

Finalement, les modalités de vote au sein du Comité conventionnel ont été fixées dans les « Eléments pour le règlement intérieur du comité conventionnel » annexés au Protocole STCE n° 223.

Ainsi, le quorum pour tenir une réunion du Comité conventionnel est fixé à la majorité des deux tiers des représentants des Parties, et, à l'exception des questions procédurales qui seront soumises à la majorité simple, les décisions du Comité seront prises à la majorité des quatre cinquièmes.

Toutefois, pour les décisions au titre de l'article 23, alinéa h), de la nouvelle Convention qui concernent les recommandations susceptibles d'être prises par le Comité en cas de non-respect de la Convention par une Partie, est également requise une majorité de voix des Etats parties qui ne sont pas membres d'une organisation d'intégration régionale qui serait Partie à la Convention. Enfin, les organisations d'intégration régionale pourront, dans les domaines relevant de leur compétence, exercer leur droit de vote au sein du Comité conventionnel avec un nombre de voix égal au nombre de leurs Etats membres qui sont Parties à la Convention, mais elles ne pourront pas exercer leur droit de vote si l'un de leurs Etats membres exerce son droit.

Le quatrième et dernier point, qui avait été soulevé lors de la dernière réunion du CAHDATA et finalement renvoyé au Comité des Ministres, concernait les modalités d'entrée en vigueur du Protocole d'amendement. Le projet initial prévoyait une entrée en vigueur automatique de ce Protocole, à l'expiration d'un certain délai (deux ans après l'ouverture à sa signature), sauf objection d'un Etat Partie à la Convention 108. Cette clause d'entrée automatique à l'expiration d'un bref délai avait été envisagée afin de rapprocher la date d'entrée en vigueur du Protocole de celle du nouveau cadre juridique de l'Union européenne en matière de protection des données personnelles (Règlement UE 2016/679 du 27 avril 2016, dit « RGPD »). Inhabituelle en droit des traités, mais pas totalement inédite au Conseil de l'Europe, cette clause n'excluait pas la possibilité pour les Etats d'accomplir dans le délai de deux ans les démarches requises pour la ratification du Protocole. Toutefois, elle n'était pas sans risques. En effet, l'activation du droit d'objection par un seul Etat Partie à la Convention 108 aurait suffi à bloquer l'entrée en vigueur du Protocole pour un temps indéterminé et à l'égard de tous les Etats Parties à la Convention (y compris de ceux qui auraient déjà ratifié le Protocole). Il était à craindre que ce droit d'objection, comparable à un droit de veto, ne soit susceptible de mettre en péril l'ensemble des travaux de modernisation de la Convention 108. La suppression de cette clause a donné lieu à des débats approfondis portant sur une série d'options de substitution.

Au final, l'article 37 du Protocole d'amendement prévoit son entrée en vigueur le premier jour du mois suivant l'expiration d'une période de trois mois après la date à laquelle toutes les Parties à la Convention 108 auront accepté, ratifié ou approuvé le Protocole. A défaut, il peut entrer en vigueur après la ratification des trente-huit Parties, mais seulement à l'expiration d'une période de cinq ans après la date d'ouverture à la signature.

En outre, la possibilité d'une application provisoire, pour les Parties qui le souhaitent, est également prévue.

Il est à noter qu'à un état avancé des négociations sur ces différents points, l'Assemblée parlementaire du Conseil de l'Europe (APCE) a été consultée pour avis, le 6 juillet 2017, lequel a été rendu le 24 novembre 2017 (avis 296/2017). Confirmant son attachement aux travaux de modernisation de la Convention 108 et regrettant les difficultés à trouver alors un consensus, plus de six ans après l'engagement des négociations, en particulier sur la clause finale d'entrée en vigueur, l'APCE avait appelé de ses voeux la finalisation du projet dans un avenir proche et, à défaut, invité le Comité des Ministres à ouvrir rapidement des négociations en vue de l'adoption d'une nouvelle Convention, en lieu et place du projet de Protocole d'amendement, mais sur la base du projet de fond déjà approuvé par le CAHDATA.

Ainsi, l'adoption du Protocole d'amendement par le Comité des Ministres du Conseil de l'Europe, le 18 mai 2018, sous présidence danoise, a constitué l'aboutissement de sept années de négociations, et est intervenue quelques jours après l'expiration du délai de transposition de la directive « Police-Justice », et quelques jours avant l'entrée en application du RGPD. En même temps, a été entériné le rapport explicatif ^{9 ( * )} du Protocole d'amendement, en tant qu'instrument lié à celui-ci.

III) Objectifs du Protocole d'amendement

Comme cela a déjà été indiqué (cf. situation de référence), le Protocole d'amendement poursuit un double objectif :

- d'une part, de modernisation de la Convention 108 et de son Protocole additionnel STE n°181 ;

- d'autre part, de renforcement des garanties de mise en oeuvre de la Convention 108.

A cette fin, le Protocole prévoit notamment :

- l'application des principes de protection des données à l'ensemble des traitements ;

- le renforcement des exigences relatives aux principes de proportionnalité et de minimisation des données, et de licéité du traitement, ainsi que de nouveaux droits accordés aux personnes dans le contexte de prises de décision basées sur des algorithmes ;

- l'élargissement de la catégorie des données sensibles, qui comprend désormais les données génétiques et biométriques, et celles relatives à l'appartenance à un syndicat et l'origine ethnique ;

- l'obligation de notifier les violations de données ainsi qu'une plus grande transparence concernant les traitements de données ;

- le renforcement de la responsabilité des responsables du traitement des données ;

- la mise en place d'un régime clair des flux transfrontières de données ;

- un renforcement des pouvoirs et de l'indépendance des autorités de protection des données, ainsi que des bases légales nécessaires à la coopération internationale.

IV) Conséquences estimées de la mise en oeuvre du Protocole d'amendement

a) Conséquences juridiques

• Articulation avec les accords ou conventions internationales existantes

Le Protocole d'amendement procède à une révision substantielle de la Convention 108 et de son Protocole additionnel : la quasi-totalité des articles de la Convention 108 et les deux articles de fond du Protocole additionnel sont modifiés.

En outre, dès l'entrée en vigueur du Protocole d'amendement, et conformément à son article 37, paragraphe 4, le premier Protocole additionnel à la Convention 108 (STE n°181) sera abrogé.

S'agissant des transferts de données personnelles vers des Etats tiers qui sont prévus par des accords bilatéraux, dont la ratification est autorisée par le Parlement en application de l'article 53 de la Constitution ^{10 ( * )} , il est à noter que la Convention 108+ est susceptible d'avoir une incidence sur les transferts de données personnelles entre la France et les Etats tiers à l'Union européenne, qui sont ou seront Parties au Protocole d'amendement ou à la Convention amendée, alors même que ces Etats ne font pas l'objet, de la part de la Commission européenne, d'une décision d'adéquation constatant qu'ils assurent un niveau de protection adéquat des données à caractère personnel, conformément à l'article 45 du RGPD ^{11 ( * )} .

En effet, l'article 14, alinéa 1, de la Convention 108+ stipule qu'une Partie ne peut, aux seules fins de la protection des données à caractère personnel, interdire ou soumettre à une « autorisation spéciale » le transfert de ces données à un destinataire relevant de la juridiction d'une autre Partie à la Convention, sauf s'il existe un risque réel et sérieux que le transfert conduise à contourner ses dispositions, ou si un tel transfert conduirait à méconnaître les règles de protection harmonisées communes à des Etats appartenant à une organisation internationale régionale, telle que l'Union européenne.

Or, en l'absence de décision d'adéquation prise par la Commission européenne à l'égard d'un Etat tiers, les Etats membres peuvent toujours autoriser les transferts de données personnelles à l'égard d'un tel Etat, conformément à l'article 46 du RGPD, moyennant des garanties appropriées, telles qu'un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics, et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Ainsi, l'entrée en vigueur de la Convention 108+ devrait conforter des dispositifs de transferts de données personnelles prévus dans des accords bilatéraux avec les Etats tiers signataires de cette Convention, en l'absence d'un risque réel et sérieux que les transferts en cause conduisent à contourner la Convention 108+, et en l'absence de méconnaissance des règles du droit de l'Union ^{12 ( * )} .

En outre, dès lors que la Convention 108+ revêt le caractère d'un instrument juridiquement contraignant au sens de l'article 46 du RGPD, un Etat tiers signataire de cette Convention pourra désormais bénéficier de transferts de données personnelles sur le fondement de cette Convention, sous réserve que les transferts ne conduisent pas à contourner ses stipulations ou les dispositions du droit de l'Union, en particulier du RGPD.

• Articulation avec le droit de l'Union européenne

Tous les Etats membres de l'Union européenne étant Parties à la Convention 108 et l'Union européenne ayant vocation à être Partie à la Convention modernisée, la cohérence entre les réformes entreprises, au sein de l'Union européenne et du Conseil de l'Europe, en matière de protection des données à caractère personnel, a été un sujet de préoccupation constante au cours des négociations. Cet objectif a été atteint.

En effet, le Protocole d'amendement de la Convention 108, tout en étant moins détaillé, repose sur les mêmes principes que le RGPD et la directive « Police - Justice » : principe de finalité (le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime), principe de proportionnalité et de pertinence (les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier), principe d'une durée de conservation (une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier), principe de sécurité (le responsable du fichier doit garantir la sécurité des informations qu'il détient), droits des personnes (notamment, droits d'accès aux données, droit de rectification et à l'effacement). Les droits des personnes concernées par le traitement de données à caractère personnel s'en trouvent renforcés, de même que la protection de ces droits par les autorités de contrôle, ainsi que les obligations des responsables de traitement. Cette convergence des instruments contribuera à une « exportation » d'un modèle européen cohérent et ambitieux de protection des données à caractère personnel.

Deux stipulations de la Convention 108 modernisée visent à faciliter l'articulation de celle-ci avec la règlementation de l'Union européenne en matière de protection des données à caractère personnel.

En effet, l'article 11 de la Convention 108 initiale ^{13 ( * )} , dont le contenu n'a pas été modifié par le Protocole, réserve la faculté des Parties d'accorder aux personnes concernées une protection plus forte que celle prévue par la Convention. Cette clause, dite de « protection plus étendue », permet de préserver le récent cadre juridique de l'Union européenne issu du RGPD et de la directive « Police - Justice ».

En outre, et ainsi qu'indiqué ci-dessus, le Protocole d'amendement insère dans la Convention modernisée, à son article 14, paragraphe 1 ^er , dernière phrase, une clause spécifique garantissant que les flux transfrontières de données à caractère personnel entre les Parties à la Convention respectent les règles de protection harmonisées communes à des Etats appartenant à une organisation internationale régionale, telle que l'Union européenne.

Enfin, l'article 3 de la Convention modernisée, relatif au champ d'application de la Convention, prévoit que cette Convention s'applique aux traitements de données relevant de la « juridiction » de chaque Partie « dans les secteurs public et privé », ce qui inclut, par suite, les activités de traitement à des fins de sécurité nationale et de défense, qui ne relèvent pas du droit de l'Union européenne, conformément à l'article 4, paragraphe 2, du Traité sur l'Union européenne.

• Articulation avec le droit interne

Le Protocole d'amendement, sans être aussi détaillé, repose sur les mêmes principes que le RGPD et la directive « Police - Justice ». Or, ces derniers ont respectivement donné lieu à des mesures d'adaptation et de transposition, résultant, en dernier lieu, de l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.

La Convention 108 modernisée ne devrait donc pas nécessiter de mesures d'adaptation supplémentaires, dans les domaines couverts par cette règlementation européenne.

Il en va de même dans le domaine de la sécurité nationale et de la défense, sachant que la Convention 108+ réserve aux Parties, à son article 11, paragraphe 1, sous a), et paragraphe 3, la faculté de prévoir des exceptions, pour des motifs tirés de la protection de la sécurité nationale et de la défense, aux règles conventionnelles suivantes :

- obligation de permettre au Comité conventionnel d'évaluer l'efficacité des mesures d'application de la Convention (article 4, paragraphe 3) ;

- principes de loyauté, de transparence, de limitation des finalités, d'exactitude, de minimisation des données et de limitation de la conservation (article 5, paragraphe 4) ;

- obligation pour le responsable de traitement de notifier à l'autorité de contrôle compétente les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées (article 7, paragraphe 2) ; les autorités françaises considèrent (c'est le sens de la déclaration interprétative qui serait déposée, cf. infra) que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit une telle exception dans la mesure où son chapitre IV relatif aux traitements intéressant la sûreté de l'Etat et la défense, ne prévoit pas d'obligation de notification de violations de données dans ce cadre ;

- obligation d'information des personnes concernées incombant au responsable du traitement (article 8, paragraphe 1) ;

- droits des personnes concernées (article 9) ;

- droit à l'information et pouvoir d'enquête de l'autorité de contrôle en matière de flux transfrontières de données (article 14, paragraphes 5 et 6) ;

- pouvoirs et prérogatives des autorités de contrôle (article 15, paragraphe 2).

Néanmoins, ces exceptions doivent être prévues par la loi, respecter l'essence des droits et libertés fondamentales et être nécessaires et proportionnées dans une société démocratique. De telles exceptions sont déjà prévues par la loi informatique et libertés du 6 janvier 1978 modifiée. A ce titre, et pour davantage préciser l'étendue de ces exceptions, une déclaration interprétative est proposée en conclusion de cette étude d'impact (Partie VI).

Il convient enfin de signaler que la Convention 108+ ne prévoit pas d'exception, dans le domaine de la sécurité nationale et de la défense, à l'obligation des responsables de traitement, d'une part, de procéder à un examen de l'impact potentiel du traitement de données envisagé sur les droits et libertés fondamentales des personnes concernées, et, d'autre part, de concevoir le traitement de données de manière à prévenir ou à minimiser les risques d'atteinte à ces droits et libertés (article 10, paragraphe 3). Néanmoins, la législation nationale peut dispenser les responsables des traitements mis en oeuvre dans ce domaine, du contrôle de l'autorité compétente, pourvu qu'il existe un contrôle et une supervision indépendants et effectifs (cf. article 10, paragraphe 1, lequel renvoie à l'article 11, paragraphe 3). En outre, l'application de cette obligation peut donner lieu à des adaptations, en fonction, notamment, de la nature et du volume des données, ainsi que de la nature, de la portée et de la finalité du traitement (cf. article 10, paragraphe 4). Le rapport explicatif du Protocole d'amendement indique (paragraphe 88) que l'examen de l'impact potentiel « peut être fait sans formalités excessives ».

b) Conséquences économiques, financières et sociales

Le Protocole d'amendement contribuera à accompagner le développement du secteur numérique en améliorant la confiance des citoyens dans le traitement de leurs données, dans un contexte marqué notamment par la multiplication des transferts internationaux de données à caractère personnel. Ainsi, les transferts internationaux autorisés par la Commission nationale de l'informatique et des libertés (CNIL) ont fortement progressé entre 2012 (813 autorisations accordées) et 2017 (2964 autorisations accordées ^{14 ( * )} ).

c) Conséquences administratives

Le Protocole d'amendement est susceptible d'entrainer des conséquences administratives quant aux mécanismes d'évaluation et de mise en oeuvre de la Convention dont l'élaboration est en cours de discussion au Comité consultatif.

En effet, la CNIL en tant qu'autorité de contrôle en charge de veiller au respect des dispositions de la Convention sera sollicitée dans le cadre de la mise en oeuvre de ce mécanisme à l'égard de la France au moment de l'entrée en vigueur de la Convention 108+ pour évaluer la conformité de la France, et au moment de la mise en oeuvre de la procédure de suivi à l'égard de la France.

Au regard des éléments disponibles à ce jour, on peut raisonnablement estimer que la CNIL sera amenée à avoir un rôle actif dans ce cadre, ce qui constituera une charge administrative supplémentaire pour son activité. En effet, la CNIL devra mobiliser des ressources au sein de ses différents services en vue d'apporter des contributions sur les questions spécifiques à l'exercice de ses pouvoirs, missions et actions en lien avec la mise en oeuvre de la Convention, et de manière plus générale, sur des questions transversales portant sur les règles substantielles de protection des données.

Ces éléments devront être réévalués une fois la procédure de mise en oeuvre du mécanisme d'évaluation et de suivi finalisé.

V) Etat des signatures et des ratifications

Le Protocole d'amendement a été ouvert à la signature le 10 octobre 2018. N'étant ouvert à la signature que pour les Etats, seules Parties à la Convention 108, les Etats membres de l'Union ont été autorisés à le ratifier, par une décision du Conseil intervenue le 9 avril 2019, après autorisation du Parlement européen le 12 mars 2019, dans l'intérêt de l'Union, pour les domaines relevant de sa compétence exclusive, ce qui exclut les domaines de la sécurité nationale et de la défense. ^{15 ( * )}

A ce jour, il a été signé par quarante-trois Etats, dont quatre Etats tiers au Conseil de l'Europe (l'Argentine, Maurice, la Tunisie et l'Uruguay).

La France l'a signé le jour d'ouverture à sa signature le 10 octobre 2018. Il en va de même de l'Allemagne, de l'Autriche, de la Belgique, de la Bulgarie, de l'Espagne, de l'Estonie, de la Fédération de Russie, de la Finlande, de l'Irlande, de la Lettonie, de la Lituanie, du Luxembourg, de Monaco, de la Norvège, des Pays-Bas, du Portugal, de la République tchèque, du Royaume-Uni, de la Suède et de l'Uruguay.

Les signatures intervenues par la suite émanent des Etats suivants : Andorre, Argentine, Arménie, Bosnie-Herzégovine, Chypre, Croatie, Grèce, Hongrie, Islande, Italie, Liechtenstein, Macédoine du Nord, Malte, Maurice, Pologne, République Slovaque, Roumanie, Saint-Marin, Serbie, Slovénie, Suisse, Tunisie.

Onze ratifications sont intervenues à ce jour (Bulgarie, Chypre, Croatie, Espagne, Estonie, Finlande, Lituanie, Malte, Maurice, Pologne et Serbie).

VI) Déclarations ou réserves

A l'instar de la Convention 108 (article 25), le Protocole d'amendement à celle-ci (article 39) prévoit expressément qu'aucune réserve n'est admise.

En revanche, le Protocole d'amendement (article 37, paragraphe 3) laisse aux Parties la faculté de faire une déclaration, lors de la signature du Protocole ou à tout moment ultérieur, selon laquelle elles appliqueront celui-ci à titre provisoire, en attendant son entrée en vigueur. A ce jour, trois Etats ont formulé une déclaration en ce sens, lors de la signature du Protocole : la Bulgarie, Chypre, l'Estonie, la Lituanie et la Norvège. Le Gouvernement français, qui n'a pas usé de cette faculté lors de la signature du Protocole, ne prévoit pas d'assortir sa ratification d'une déclaration en ce sens.]

Il reste que la Convention 108 (article 3) avait prévu la possibilité d'émettre des déclarations pour étendre le champ d'application de la Convention. Or, cette faculté a été exercée par de nombreuses Parties. Le Protocole d'amendement a donc précisé le sort de ces déclarations (article 38) : ces déclarations deviendront caduques dès la date d'entrée en vigueur du Protocole.

La France a fait une déclaration le 14 avril 1983 (enregistrée par le Secrétariat Général du Conseil de l'Europe le 16 mai 1983), sur le fondement de l'article 3, paragraphe 2, alinéa c, de la Convention 108, pour indiquer qu'elle « appliquera cette Convention également aux fichiers de données à caractère personnel ne faisant pas l'objet de traitements automatisés ». Cette déclaration a pris effet au moment de l'entrée en vigueur de la Convention 108 à l'égard de la France (1 ^er octobre 1985).

Or, dans la mesure où le Protocole d'amendement (articles 1 et 3) ne restreint plus, comme le faisaient les articles 1 et 3 de la Convention 108, le champ d'application de la Convention 108 au traitement automatisé de données personnelles, la déclaration française, qui deviendra caduque dès l'entrée en vigueur de la Convention 108+, n'aura en tout état de cause plus lieu d'être à compter de cette date.

Au regard de l'obligation de notification de violation de données susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées et aux exceptions tenant à cette notification, il est envisagé de faire une déclaration, qui serait rédigée comme suit :

« En référence à l'article 9 du présent protocole (article 7 de la Convention 108 telle que révisée par le présent Protocole d'amendement), posant un principe général de notification de violation de données susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées et à l'article 14 du présent protocole (article 11 de la Convention 108 telle que révisée par le présent Protocole d'amendement), permettant des exceptions à cette obligation de notification, notamment quand elles constituent une mesure nécessaire et proportionnée dans une société démocratique « à la protection de la sécurité nationale, à la défense, à la sûreté publique [...] », la République française déclare que le législateur, dans le cadre de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a expressément entendu exclure toute obligation de notification à l'autorité de contrôle en cas de violation de données intervenant dans un traitement intéressant la défense et la sécurité nationales. Cette obligation, prévue dans le titre II de cette loi, relatif aux traitements relevant du règlement UE 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et dans le titre III relatif aux traitements relevant de la directive (UE) 2016/680, du même jour, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, n'a en effet pas été étendue par le législateur au titre IV de la loi susmentionnée relatif aux traitements intéressant la sûreté de l'Etat et la défense. En outre, le titre II de la loi du 6 janvier 1978 exclut expressément l'application de ses dispositions (contenant l'obligation de notification des violations) aux traitements effectués dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union européenne, ce qui est le cas des traitements intéressant la sûreté de l'Etat et la défense. Le droit positif s'entend donc comme constituant une exception au sens et pour l'application de l'article 14 du présent protocole (article 11 de la Convention 108 telle que révisée par le présent Protocole d'amendement). »

---

* ¹ https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108

* ² Accessible au lien suivant : https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806ae523 .

* ³ https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/223 .

* ⁴ Le droit dérivé de l'Union européenne en matière de protection des données personnelles comporte désormais le règlement UE 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, communément désigné comme le Règlement Général sur la Protection des Données Personnelles (« RGPD »), et la directive (UE) 2016/680, du même jour, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (directive dite « Police - Justice »).

* ⁵ Règlement UE 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, communément désigné comme le Règlement Général sur la Protection des Données Personnelles (« RGPD »).

* ⁶ Directive (UE) 2016/680, du même jour, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (directive dite « Police - Justice ».

* ⁷ Pour une présentation synthétique du RGPD, cf. le site officiel eurlex : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=legissum:310401_2 .

* ⁸ Pour une présentation synthétique de la directive « Police - Justice », cf. le site officiel eurlex : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=legissum:310401_3 .

* ⁹ Accessible sur le lien suivant : https://rm.coe.int/16808ac91b .

* ¹⁰ Avis du Conseil d'Etat du 3 juillet 2014, n° 388780, sur la Convention franco-américaine en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en oeuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers, dite « loi FATCA » .

* ¹¹ Ainsi, l'Arménie, la Bosnie-Herzégovine, Monaco, la Macédoine du Nord, Maurice, la Norvège, la Russie, Saint-Marin, la Serbie, et la Tunisie, qui ont d'ores et déjà signé le Protocole d'amendement, ne font pas l'objet de décisions d'adéquation de la part de la Commission européenne.

* ¹² A cet égard, le considérant 105 du RGPD prévoit que lors de l'évaluation du niveau de protection des données personnelles d'un Etat tiers en vue de l'édiction d'une éventuelle décision d'adéquation, la Commission européenne devrait tenir compte des obligations découlant de la participation de ce pays à des systèmes multilatéraux ou régionaux, et en particulier, à la Convention 108.

* ¹³ Il s'agit de l'article 13 de la Convention amendée.

* ¹⁴ Ces chiffres ne tiennent pas compte des transferts pouvant être mis en oeuvre dans le cadre de formalités simplifiées (tels que la déclaration simplifiée, autorisation unique car ne nécessitant pas d'autorisation de la CNIL) ou ceux n'ayant pas fait l'objet de formalités auprès de la CNIL, sachant que depuis l'entrée en vigueur du RGPD, la CNIL n'a plus à autoriser les transferts en tant que tels de données, c'est-à-dire un flux spécifique de données mis en oeuvre par un organisme.

* ¹⁵ Décision (UE) 2019/682, du Conseil, du 9 avril 2019.