N° 135
SÉNAT
SESSION ORDINAIRE DE 2006-2007
|
Annexe au procès-verbal de la séance du 20 décembre 2006 |
RAPPORT
FAIT
au nom de la commission des Affaires étrangères, de la défense et des forces armées (1) sur le projet de loi autorisant l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel , concernant les autorités de contrôle et les flux transfrontières de données,
Par M. Philippe NOGRIX,
Sénateur.
(1) Cette commission est composée de : M. Serge Vinçon, président ; MM. Jean François-Poncet, Robert del Picchia, Jacques Blanc, Mme Monique Cerisier-ben Guiga, MM. Jean-Pierre Plancade, Philippe Nogrix, Mme Hélène Luc, M. André Boyer, vice - présidents ; MM. Daniel Goulet, Jean-Guy Branger, Jean-Louis Carrère, Jacques Peyrat, André Rouvière, secrétaires ; MM. Bernard Barraux, Jean-Michel Baylet, Mme Maryse Bergé-Lavigne, MM. Pierre Biarnès, Didier Borotra, Didier Boulaud, Robert Bret, Mme Paulette Brisepierre, M. André Dulait, Mme Josette Durrieu, MM. Hubert Falco, Jean Faure, Jean-Pierre Fourcade, Mmes Joëlle Garriaud-Maylam, Gisèle Gautier, MM. Jean-Noël Guérini, Michel Guerry, Robert Hue, Joseph Kergueris, Robert Laufoaulu, Louis Le Pensec, Philippe Madrelle, Pierre Mauroy, Louis Mermaz, Mme Lucette Michaux-Chevry, MM. Charles Pasqua, Jacques Pelletier, Daniel Percheron, Xavier Pintat, Yves Pozzo di Borgo, Jean Puech, Jean-Pierre Raffarin, Yves Rispat, Josselin de Rohan, Roger Romani, Gérard Roujas, Mme Catherine Tasca, MM. André Trillard, André Vantomme, Mme Dominique Voynet.
Voir le numéro :
Sénat : 37 (2006-2007)
|
Traités et conventions. |
INTRODUCTION
Mesdames, Messieurs,
La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été signée le 28 janvier 1981 à Strasbourg.
Négociée dans le cadre du Conseil de l'Europe, elle est le premier instrument international à traiter de cette question.
Prenant acte du développement du traitement informatique des données, elle a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel et de réglementer les flux transfrontaliers de données.
Outre des garanties pour le traitement automatisé des données à caractère personnel, elle proscrit, en l'absence de garanties offertes par le droit interne, le traitement des données "sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc... La Convention garantit également le droit des personnes concernées à connaître les informations stockées à leur sujet et à exiger le cas échéant des rectifications.
La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel est entrée en vigueur le 1 er octobre 1985. Trente-huit Etats, sur les quarante-six Etats membres que compte le Conseil de l'Europe, ont ratifié ce texte. La France, pour sa part, a ratifié la Convention en mars 1983.
Ouvert à la signature le 8 novembre 2001, le Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données, qui fait l'objet du présent projet de loi, vise à conforter la mise en oeuvre de la Convention. Il ne traite pas de principes fondamentaux, déjà garantis par la Convention mais des moyens de les mettre effectivement en oeuvre.
I. LE PROTOCOLE ADDITIONNEL CONCERNANT LES AUTORITÉS DE CONTRÔLE ET LES FLUX TRANSFRONTIÈRES DE DONNÉES
Il vise à conforter la mise en oeuvre de la Convention en imposant l'institution d'une autorité de contrôle et en encadrant les flux de données à caractère personnel vers les pays non Parties à la Convention.
Il comporte un préambule et trois articles.
Le préambule rappelle « l'importance de la circulation de l'information entre les peuples » mais souligne la nécessité, devant l'intensification des transferts de données, de protéger les droits de l'homme et des libertés fondamentales.
A. LES AUTORITÉS DE CONTRÔLE
L'article premier du Protocole prescrit la mise en place d'une ou plusieurs autorités pour la protection des individus dans le traitement des données à caractère personnel. Il prévoit, de façon précise, que ces autorités doivent disposer de pouvoirs d'investigation et d'intervention ainsi que de la capacité d'ester en justice ou de porter d'éventuelles violations devant l'autorité judiciaire. Elles doivent pouvoir être saisies par les particuliers, exercer leurs fonctions en toute indépendance et leurs décisions faisant grief doivent pouvoir faire l'objet d'un recours juridictionnel.
L'article premier établit également le principe de la coopération entre autorités nationales, notamment par l'échange d'informations, en complément de l'entraide entre les parties déjà prévue par la Convention.