ratification par la France du Protocole d’amendement à la convention 108 : quels sont les apports en termes de protection des données personnelles ?

Article rédigé par Alice Agard et Adriane Louyer

Loi n°2022-1461 du 24 novembre 2022 autorisant la ratification du protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel

La loi du 24 novembre 2022 a permis la ratification du Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Le protocole avait été signé à Strasbourg le 10 octobre 2018. Une occasion de rappeler l’existence et l’intérêt de cette Convention dite « 108 ».

En effet, si nul n’ignore aujourd’hui le règlement général sur la protection des données (RGPD) issu de la législation de l’Union européenne, les normes édictées sous l’égide du Conseil de l’Europe se font plus discrètes en la matière. Pourtant, le Conseil de l’Europe est à l’origine du premier accord multilatéral juridiquement contraignant dans le domaine des données à caractère personnel : la Convention dite « 108 ». Elle a été à ce jour ratifiée par 51 Etats, dont les 28 Etats membres de l’UE, mais aussi plusieurs Etats non-membres du Conseil de l’Europe, tels que l’Argentine, le Maroc, la Tunisie, le Mexique…. Elle a pour objectif de protéger le droit au respect de la vie privée reconnu à l’article 8 de la Convention européenne des droits de l’Homme (CESDH) et a été l’une des principales sources d’inspiration pour l’élaboration de l’acquis de l’UE dans le domaine de la protection des données.

Ouverte à signature le 28 janvier 1981, une réforme semblait ainsi nécessaire. C’est toute la raison d’être du Protocole d’amendement, signé à Strasbourg le 10 octobre 2018 et visant à moderniser la Convention 108 dans l’objectif d’apporter des solutions à ces nouveaux défis. Ce protocole d’amendement vient d’être ratifié par la France ce 24 novembre. Il est prévu que le protocole d’amendement entrera en vigueur lorsque toutes les Parties à la convention auront déposé leurs instruments de ratification, d’acceptation ou d’approbation auprès du Secrétaire général du Conseil de l’Europe. Une entrée en vigueur « partielle » est toutefois prévue pour un groupe plus restreint de parties, une fois que 38 parties au moins auront exprimé leur consentement à être liées. Par ailleurs, tout autre Etat qui souhaiterait devenir partie à la Convention 108 devrait adhérer simultanément au Protocole.

Outre le renforcement des droits et du rôle des autorités de contrôle nationales en matière de protection des données personnelles (I.), est aussi visée une plus grande effectivité des garanties de mise en œuvre des règles posées par la Convention, notamment via un processus d’évaluation des Etats parties (II.). L’articulation de la Convention amendée avec le droit de l’Union européenne, comme sa portée à l’échelle internationale peuvent également être questionnées (III.).

1. Les apports substantiels du Protocole d’amendement : renforcement des droits des personnes et du rôle des autorités de contrôle

A titre liminaire, il convient de noter que le protocole d’amendement instaure un champ d’application uniforme pour toutes les parties à la Convention, empêchant d’en exclure totalement certains secteurs ou certaines activités (tel que le domaine de la sécurité nationale). Elle couvrirait donc tous les types de traitement des données relevant de la juridiction des parties, dans les secteurs publics comme privés.

Selon le rapport du Sénat en date du 7 juillet 2021, le premier objectif du protocole d’amendement est le renforcement des autorités de contrôle nationales, instaurées par le protocole additionnel de 2001.

Si pour les Etats parties au protocole additionnel de 2001, des autorités de contrôle avaient déjà été mises en place, participant à l’élaboration de normes et sanctions, le protocole d’amendement obligera les Etats parties à octroyer à ces autorités les prérogatives suivantes :

• des pouvoirs d’investigation et d’intervention ;
• des pouvoirs en matière de transferts de données ;
• le pouvoir de rendre des décisions relatives aux violations des dispositions de la Convention 108 et d’infliger des sanctions administratives ;
• le pouvoir d’ester en justice ou de porter à la connaissance de l’autorité judiciaire compétente des violations des dispositions de la Convention ;
• une mission de sensibilisation du public et des organismes chargés de traiter des données personnelles ;
• leur consultation sur toute proposition législative ou administrative impliquant des traitements de données à caractère personnel ;
• leur compétence pour traiter les demandes et les plaintes relative à la protection des données.

Le Protocole d’amendement prévoit également la coopération entre les autorités de contrôle « dans la mesure nécessaire à l’accomplissement de leurs fonctions et l’exercice de leurs pouvoirs », en se constituant en « réseau » (article 22 du Protocole d’amendement). Un autre instrument de coopération parait ainsi amené à se développer, aux côtés de la coopération assurée par le Comité européen de protection des données, entre les Etats membres de l’UE.

En France, l’autorité de contrôle compétente est la Commission nationale informatique et liberté (CNIL), qui outre ses missions au titre du RGPD, est aussi en charge de veiller au respect des dispositions de la Convention. Elle sera donc sollicitée dans le cadre de la mise en œuvre des mécanismes nouveaux instaurés par le protocole : au moment de l’entrée en vigueur de la Convention « 108+ » réformée, pour évaluer la conformité de la France, mais aussi au moment de la mise en œuvre de la procédure de suivi à l’égard de celle-ci.

2. Renforcement des garanties de mises en œuvre des règles conventionnelles de protection des données

Suivant le même rapport, le second objectif principal du protocole d’amendement est de renforcer les garanties de mise en œuvre effectives des règles conventionnelles de protection des données.

Dans cette perspective, le Comité consultatif devenu Comité conventionnel se voit octroyé par le Protocole d’amendement des pouvoirs plus étendus. Il aura toujours pour objectif de faciliter l’application de la Convention et la capacité de la perfectionner en proposant des amendements ou en examinant des propositions d’amendements formulées par une autre partie ou par le comité des ministres.

En outre, il jouera désormais un rôle clef dans l’évaluation du respect de la Convention, notamment via un examen périodique de son application par les parties et une évaluation du niveau de protection des données offert par un candidat à l’adhésion.

Il aura la faculté d’évaluer la conformité avec la Convention du régime de protection des données d’un Etat ou d’une organisation internationale et d’approuver des modèles de garanties standardisées pour les transferts de données. Le règlement du Comité devra clairement définir le processus et les critères utilisés pour cette évaluation, en établissant une « procédure objective, équitable et transparente » (selon le rapport enregistré à la Présidence du Sénat le 7 juillet 2021).

Ces travaux d’évaluation du respect par les Etats parties de la Convention pourront s’avérer très utiles pour tout responsable de traitement chargé de procéder à l’évaluation préalable du niveau de protection des données du pays destinataire des données avec le niveau de protection garanti par le RGPD.

Malgré son absence de caractère juridictionnel, le Comité pourra toutefois contribuer au règlement de toute difficulté entre les Parties et devra s’efforcer de parvenir à un règlement par la négociation ou par tout autre moyen amiable.

3. La Convention modernisée : articulation avec le droit de l’UE et portée à l’échelle mondiale

L’Union européenne pourra adhérer à la Convention « 108 + » après l’entrée en vigueur du protocole. Afin de répondre aux préoccupations relatives au poids du vote de l’Union, une solution de compromis a été retenue s’agissant du processus décisionnel au sein du Comité conventionnel.

Par ailleurs, le Protocole d’amendement a fait l’objet d’une coordination avec les représentants des Etats membres. Il est donc parfaitement conforme tant au RGPD qu’à la directive dite « Police-Justice », ce qui, selon le Conseil européen, « évite que les États membres soient soumis à des obligations différentes voire contradictoires en vertu du droit de l’Union et du Conseil de l’Europe. ».

Le cadre juridique protecteur déjà développé au sein de l’UE semble en effet pouvoir relativiser la portée des changements prévus par le Protocole d’amendement, nombre de droits relatifs à la protection des données personnelles étant déjà prévus par le RGPD et les législations nationales.

Par ailleurs et selon ce même rapport, l’ouverture de la Convention 108 et de son protocole d’amendement aux Etats non européens pourrait exercer une grande influence auprès des pays se préparent à adopter une législation en matière de protection des données. Compte tenu de la diversité des modèles de réglementation sur les données personnelles selon les pays et influences juridiques la Convention modernisée pourrait constituer un socle commun de réglementation sur la protection des données au niveau mondial.