N° 3744
______
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
DOUZIÈME LÉGISLATURE
Enregistré à la Présidence de l'Assemblée nationale le 20 février 2007.
RAPPORT
FAIT
AU NOM DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES SUR LE PROJET DE LOI, ADOPTÉ PAR LE SÉNAT, autorisant l'approbation du protocole additionnel à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données,
PAR M. JACQUES REMILLER,
Député
——
_______________________________________________________________________________________________________________
Voir les numéros :
Sénat : 37, 135 et T.A. 42 (2006-2007).
Assemblée nationale : 3564
INTRODUCTION 5
I – LE PROTOCOLE ADDITIONNEL GARANTIT LA MISE EN œUVRE EFFECTIVE DES DROITS CONTENUS DANS LA CONVENTION DU CONSEIL DE L’EUROPE 7
A – LA CONVENTION DU CONSEIL DE L’EUROPE DU 28 JANVIER 1981 SUR LA PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT AUTOMATISÉ DES DONNÉES À CARACTÈRE PERSONNEL 7
1) Concilier la libre circulation de l’information avec le respect de la vie privée 7
2) S’adapter aux évolutions technologiques 8
B – LE MÉCANISME DE CONTRÔLE PRÉVU PAR LE PROTOCOLE ADDITIONNEL 9
1) L’instauration d’autorités de contrôle dans les Etats Parties à la Convention 9
2) Les conditions de transferts de données à caractère personnel vers les Etats non Parties à la Convention 10
II - UNE JUXTAPOSITION AVEC LE DROIT DE L’UNION EUROPÉENNE 13
A – SI LA CONVENTION DU CONSEIL DE L’EUROPE A INSPIRÉ LA COMMUNAUTARISATION DU DROIT À LA PROTECTION DES DONNÉES PERSONNELLES… 13
B – … ELLE NE COMBLE TOUTEFOIS PAS LES LACUNES DU CADRE JURIDIQUE ACTUEL DE L’UNION EUROPÉENNE 14
Mesdames, Messieurs,
La Convention du Conseil de l’Europe du 28 janvier 1981 relative à la protection des personnes à l’égard du traitement automatisé des données à caractère personnel est entrée en vigueur le 1er octobre 1985. Elle a été ratifiée par la France en mars 1983. Cette Convention constitue le premier instrument international contraignant ayant pour objet de protéger les personnes contre l’usage abusif du traitement automatisé des données à caractère personnel et de réglementer des flux transfrontières de données.
En Europe et dans le monde, la protection des données s’est imposée comme un sujet politique et juridique de premier plan, tant en raison de la vitesse des évolutions technologiques que du fait des impératifs liés à la lutte contre le terrorisme international et le crime organisé.
Ouvert à la signature le 8 novembre 2001, le Protocole additionnel relatif aux autorités de contrôle et aux flux transfrontières de données – qui fait l’objet du présent projet de loi adopté par le Sénat le 11 janvier 2007 – vise à conforter la mise en œuvre effective de la Convention.
Au fur et à mesure des élargissements successifs de l’Union européenne, la coexistence de deux systèmes juridiques distincts – Conseil de l’Europe et Union européenne – met toutefois en évidence la nécessité de réfléchir aux moyens de renforcer la complémentarité entre ces deux ensembles.
I – LE PROTOCOLE ADDITIONNEL GARANTIT LA MISE EN œUVRE EFFECTIVE DES DROITS CONTENUS DANS LA CONVENTION
DU CONSEIL DE L’EUROPE
A – La Convention du Conseil de l’Europe du 28 janvier 1981 sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel
1) Concilier la libre circulation de l’information avec le respect de la vie privée
Afin de garantir à tout individu, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée à l’égard du traitement automatisé des données à caractère personnel le concernant, le Conseil de l'Europe a élaboré la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Ouverte à la signature le 28 janvier 1981, cette Convention fut le premier instrument international juridique contraignant dans le domaine de la protection des données. Aux termes de la Convention, les Parties doivent prendre les mesures nécessaires en droit interne pour en appliquer les principes afin d'assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l'application de la protection des données.
Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, la Convention proscrit le traitement de données « sensibles » relatives, en particulier, à l’origine raciale, aux opinions politiques, à la santé, à la religion et à l’orientation sexuelle (1). La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications. La seule restriction à ce droit est prévue lorsque les intérêts majeurs de l’Etat sont en jeu.
La Convention du 28 janvier 1981 puise sa source directement dans la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales de 1950 qui prévoit notamment (article 8) que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Il ne peut y avoir d'ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et constitue une mesure qui, dans une société démocratique, est nécessaire à la défense d'un certain nombre de buts légitimes. Mais dans son article 10, la Convention de 1950 affirme également le droit fondamental à la liberté d'expression. Le droit à la liberté d'expression inclut explicitement la « liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence d’autorités publiques et sans considération de frontière ».
L’instauration de possibles contrôles ne doit en effet pas entraver la libre circulation internationale des informations qui constitue un principe d'importance fondamentale tant pour les individus que pour les peuples.
La Convention du Conseil de l’Europe du 28 janvier 1981 constitue à l’heure actuelle l’unique instrument juridique contraignant sur le plan international, à vocation universelle, c’est-à-dire ouvert à l'adhésion de tous les pays, y compris non membre du Conseil de l'Europe.
2) S’adapter aux évolutions technologiques
La question de la protection des données a pris une importance croissante depuis l'élaboration de la Convention, il y a plus de vingt-cinq ans. Les « autoroutes de l’information » permettent en effet désormais de transférer en temps réel et à l'échelle de la planète une quantité considérable d'informations personnelles. Comment dès lors faire en sorte que le droit à la vie privée et à la protection des données à caractère personnel soit respecté ?
La révolution numérique a fait de l'ordinateur personnel un instrument courant de la vie quotidienne et a renforcé la dépendance de l'individu à l'égard d'un certain nombre de services publics et privés – banques, sécurité sociale, assurance, marketing direct, statistiques, police, télécommunications, etc. – qui sont tous informatisés.
Or il ne devrait pas être fait de différence selon que les opérations de traitement s'effectuent dans un ou plusieurs pays. Les mêmes règles fondamentales devraient s'appliquer et les personnes concernées devraient avoir les mêmes garanties pour la protection de leurs droits et intérêts.
En pratique toutefois la protection des personnes perd en efficacité lorsque l'aire géographique s'élargit. On craint notamment que les utilisateurs ne soient tentés d'éviter les contrôles imposés par la protection des données en déplaçant leurs opérations, en totalité ou en partie vers des « paradis de données », c'est-à-dire dans des pays ayant des lois sur la protection des données moins strictes, voire une absence de législation.
Ce sont ces considérations qui ont motivé la signature du présent Protocole additionnel relatif aux autorités de contrôle et aux flux transfrontières de données.
B – Le mécanisme de contrôle prévu par le Protocole additionnel
Ce protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel a été signé à Strasbourg le 8 novembre 2001. Il est entré en vigueur le 1er juillet 2004 (2). Constitué d’un préambule et de trois articles, il ne traite pas des principes fondamentaux, déjà garantis par la Convention, mais des moyens de les mettre effectivement en œuvre.
A la date du 16 février 2007, 30 des 46 Etats membres du Conseil de l’Europe ont signé le protocole additionnel et 15 d’entre eux l’ont d’ores et déjà ratifié.
Ce Protocole additionnel impose l’institution d’une autorité de contrôle dans les Etats Parties à la Convention tandis qu’il soumet à conditions le transfert de données à caractère personnel vers les pays non Parties à la Convention.
1) L’instauration d’autorités de contrôle dans les Etats Parties à la Convention
L’article 1er du Protocole additionnel prévoit l’existence d’une ou de plusieurs autorités de contrôle dans chaque Etat Partie, « chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans la Convention ». Ces autorités de contrôle doivent nécessairement disposer de pouvoirs d’investigation et d’intervention, ainsi que de celui d’ester en justice(3). La liste des pouvoirs attribués à l’autorité de contrôle par cet article 1er n’est pas exhaustive.
Tous les Etats membres de l’Union européenne sont déjà tenus, en vertu de la directive 95/46/CE du 24 octobre 1995, par l’obligation d’instaurer une autorité de contrôle. Il ne s’agit donc d’une obligation nouvelle que pour les seuls pays signataires non membres de l’Union européenne à savoir, à ce jour, l’Albanie, la Bosnie-Herzégovine, la Croatie, l’Islande, la Norvège, la Russie, la Suisse, la Turquie et l’Ukraine.
En ce qui concerne la France, notre pays dispose depuis l’entrée en vigueur, en 1978, de la loi « informatique et libertés », d’une autorité de contrôle avec la Commission nationale informatique et libertés (CNIL), dont les pouvoirs ont été sensiblement renforcés par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Cette loi, qui transpose avec retard la directive communautaire du 24 octobre 1995 relative à l'informatique, aux fichiers et aux libertés modifie sensiblement le dispositif légal applicable au traitement des données dites sensibles.
La CNIL, après en avoir informé le Procureur de la République, peut charger l’un ou plusieurs de ses membres ou de ses agents, de se rendre entre 6 heures et 21 heures partout où est mis en oeuvre un traitement de données à caractère personnel, afin de procéder à des vérifications ou d’obtenir des copies de tous documents ou supports d’information. La CNIL peut également infliger des sanctions allant du simple avertissement au paiement d'une amende proportionnée à la gravité du manquement commis et aux avantages tirés de ce manquement d'un montant de 150 000 euros ou 300 000 euros en cas de récidive dans les cinq ans.
2) Les conditions de transferts de données à caractère personnel vers les Etats non Parties à la Convention
En ce qui concerne le transfert de données à caractère personnel vers un destinataire non soumis à la juridiction d’une Partie à la Convention, l’article 2 du Protocole additionnel n’autorise le transfert de données que vers un Etat ou une organisation assurant un niveau de protection adéquat (4). L’appréciation du niveau adéquat de protection doit prendre en considération les principes du Chapitre II de la Convention et du présent Protocole, la manière dont ils sont respectés dans le pays ou l’organisation destinataires ainsi que la façon dont la personne concernée peut défendre ses intérêts en cas de non-conformité dans un cas spécifique.
Cela signifie, a contrario, que toute partie peut déroger au principe de la libre circulation des données, lorsque le transfert est effectué à partir de son territoire vers un destinataire n’étant pas soumis à la juridiction d’une Partie par l’intermédiaire du territoire d’une autre Partie ; ceci afin d’éviter que de tels transferts n’aboutissent à contourner la législation du pays d’origine.
Le Protocole additionnel prévoit toutefois la possibilité de déroger au principe de niveau adéquat de protection lorsque des intérêts légitimes prévalent, en particulier des « intérêts publics importants ». Chaque Partie peut également prévoir qu’un transfert de données à caractère personnel, vers un destinataire n’étant pas soumis à la juridiction d’une Partie et n’assurant pas un niveau de protection adéquat pour le transfert considéré, peut être effectué lorsque la personne responsable du transfert fournit des garanties suffisantes. Ces garanties doivent être jugées suffisantes par les autorités de contrôle compétentes, conformément au droit interne. De telles garanties peuvent notamment résulter de clauses contractuelles liant le responsable du traitement à l’origine du transfert et le destinataire n’étant pas soumis à la juridiction d’une Partie. Le contenu de ces éventuels contrats doit inclure les éléments pertinents de la protection des données.
II - UNE JUXTAPOSITION AVEC LE DROIT DE L’UNION EUROPÉENNE
En soumettant les Parties signataires à des obligations similaires à celles auxquelles elles sont déjà liées du fait de leur appartenance à l’Union européenne, ce Protocole additionnel illustre la duplication qui peut parfois exister entre l’Union européenne et le Conseil de l’Europe en ce qui concerne la protection des droits fondamentaux.
Dans son rapport présenté au printemps 2006 sur les relations entre le Conseil de l’Europe et l’Union européenne (5), le Premier ministre Luxembourgeois, M. Jean-Claude Juncker, soulignait ainsi l’enjeu d’une meilleure complémentarité entre les deux institutions. L’exemple de la protection des données personnelles ferait presque figure de cas d’école.
A – Si la Convention du Conseil de l’Europe a inspiré la communautarisation du droit à la protection des données personnelles…
L’élargissement de l’Union européenne, la mise en place de l’espace Schengen et l’élaboration des politiques dans le domaine de la justice et des affaires intérieures (troisième pilier de l’Union européenne) ont conduit l’Union européenne à intégrer dans les traités et dans le droit dérivé les clauses d’une trentaine de conventions parmi les deux cents qui constituent l’acquis du Conseil de l’Europe. Dans de nombreux domaines – droits de l’Homme, prévention de la torture, droits sociaux, droits des minorités, protection des données, etc. –l’acquis conventionnel du Conseil de l’Europe constitue une référence fondamentale de l’Union européenne. La Cour européenne des Droits de l´Homme contribue également, par sa jurisprudence, à dessiner les contours et à enrichir le droit de la protection des données en Europe.
S’agissant plus spécifiquement de la protection des données personnelles, les dispositions de la Convention du Conseil de l’Europe du
28 janvier 1981 ont inspiré le droit communautaire, avec l’adoption de la directive 95/46/CE sur l’harmonisation des législations nationales relatives au traitement des données à caractère personnel. Afin de parvenir à un niveau de protection équivalent et élevé au sein de l’espace communautaire, cette directive fixe les lignes directrices encadrant le traitement de données à caractère personnel, et s'applique dès lors que l'activité du responsable du traitement des données relève du champ des compétences communautaires (c’est-à-dire du premier pilier de l’Union européenne).
La directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et impose la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données. La directive a également institué un groupe de travail (appelé « groupe de l’article 29 »), composé des représentants des autorités indépendantes des Etats membres, qui est notamment chargé de la coordination des pratiques nationales.
Les règles fixées par la directive de 1995, d’abord applicables aux seuls Etats membres, ont vu leur champ d’application étendu aux institutions et organes de la Communauté avec l’introduction, par le traité d’Amsterdam (1997) d’un nouvel article 286 du Traité instituant la Communauté européenne (TCE).
L’article 8 de la Charte des droits fondamentaux de l’Union européenne, proclamée en décembre 2000 par les Chefs d’Etat ou de gouvernement, énonce aussi le droit de toute personne à la protection des données à caractère personnel la concernant.
Charte des droits fondamentaux de l’Union européenne
Article 8
Protection des données à caractère personnel
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.
Le Traité établissant une Constitution pour l’Europe, qui donnait force juridique à la Charte des droits fondamentaux de l’Union européenne, prévoyait également, à son article I-51, que « toute personne à droit à la protection des données à caractère personnel la concernant ». Cet article envisageait l’adoption par les institutions de l’Union européenne d’une législation fixant les règles relatives à la protection des personnes physiques s’agissant du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union.
B – … elle ne comble toutefois pas les lacunes du cadre juridique actuel de l’Union européenne
La directive 95/46/CE ne couvrant que le pilier communautaire, la protection des données à caractère personnel dans le cadre de la coopération policière et pénale (c’est-à-dire le troisième pilier de l’Union européenne) continue, faute de mieux, de relever de la Convention du Conseil de l’Europe du 28 janvier 1981, ratifiée par les 27 Etats membres de l’Union. Or les dispositions de la Convention sont moins précises et moins rigoureuses que celles de la directive communautaire, en particulier pour ce qui concerne le transfert de données vers les pays tiers.
Dès lors, en l’absence de cadre général, des régimes spécifiques de protection des données ont dû être mis en place et des autorités de contrôle communes distinctes ont été créées pour :
- la protection des données du système d’information Schengen ;
- la protection des données d’Europol ;
- la protection des données du système d’information douanier ;
- la protection des données d’Eurojust.
Les conventions en vigueur dans le cadre du troisième pilier de l’Union européenne contiennent ainsi des dispositifs distincts de protection des données. Les droits accordés aux personnes, les voies de recours et les systèmes de contrôle sont différents et n'offrent pas les garanties d'indépendance prévues par la directive communautaire. Or il s’agit, en particulier dans le cadre de la mise en œuvre des politiques de lutte contre le terrorisme international, d’un sujet très sensible au regard du respect des droits et des libertés des citoyens.
C’est la raison pour laquelle la Commission européenne a présenté en 2005 une proposition de décision-cadre (6), fondée sur les articles 30 et 31 Traité sur l’Union européenne (TUE) (7) visant à établir des normes communes de traitement et de protection des données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale (8). Cette proposition de la Commission est actuellement en cours de négociation entre les Etats membres.
Ce Protocole additionnel à la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données, ne contient pas d’obligations nouvelles pour la France, déjà liée par le droit communautaire.
L’intérêt de ce Protocole additionnel est ainsi d’étendre aux pays non membres de l’Union européenne l’obligation d’instaurer des autorités de contrôle pour veiller au respect de la protection des données personnelles. A cet égard, il s’agit d’un progrès incontestable.
Par ailleurs, en l’absence de cadre juridique commun pour la protection des données dans le cadre des activités relevant du troisième pilier de l’Union européenne (justice et affaires intérieures), la Convention du Conseil de l’Europe, d’application générale et à vocation universelle, demeure le point de référence pour l’élaboration, par l’Union européenne, d’un nouvel instrument sur la protection des données personnelles.
En conséquence, votre Rapporteur vous recommande d’émettre un avis favorable à l’adoption du présent projet de loi.
La Commission a examiné le présent projet de loi au cours de sa réunion du mardi 20 février 2007.
Après l’exposé du Rapporteur, et suivant ses conclusions, la Commission a adopté le projet de loi (no 3664).
*
* *
La Commission vous demande donc d’adopter, dans les conditions prévues à l’article 128 du Règlement, le présent projet de loi.
NB : Le texte du protocole figure en annexe au projet de loi (n° 3564).
ANNEXE 1 : ETAT DES RATIFICATIONS
Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données Traité ouvert à la signature des Signataires du traité STE 108 et des Communautés européennes, et à l'adhésion des Etats adhérents au STE 108 Ouverture à la signature Entrée en vigueur Lieu : Strasbourg Conditions : 5 Ratifications. Situation au 16/2/2007 Etats membres du Conseil de l'Europe Etats Signature Ratification Entrée en vigueur Renv. R. D. A. T. C. O. Albanie 9/6/2004 14/2/2005 1/6/2005
Allemagne 8/11/2001 12/3/2003 1/7/2004
X
Andorre
Arménie
Autriche 8/11/2001
Azerbaïdjan
Belgique 30/4/2002
Bosnie-Herzégovine 2/3/2004 31/3/2006 1/7/2006
Bulgarie
Chypre 3/10/2002 17/3/2004 1/7/2004
Croatie 5/6/2003 21/6/2005 1/10/2005
Danemark 8/11/2001
Espagne
Estonie
Finlande 8/11/2001
France 8/11/2001
Géorgie
Grèce 8/11/2001
Hongrie 30/3/2004 4/5/2005 1/9/2005
Irlande 8/11/2001
Islande 8/11/2001
Italie 8/11/2001
Lettonie
l'ex-République yougoslave de Macédoine
Liechtenstein
Lituanie 8/11/2001 2/3/2004 1/7/2004
Luxembourg 24/2/2004 23/1/2007 1/5/2007
Malte
Moldova
Monaco
Norvège 8/11/2001
Pays-Bas 12/5/2003 8/9/2004 1/1/2005
X
Pologne 21/11/2002 12/7/2005 1/11/2005
Portugal 8/11/2001 11/1/2007 1/5/2007
République tchèque 10/4/2002 24/9/2003 1/7/2004
Roumanie 13/7/2004 15/2/2006 1/6/2006
Royaume-Uni 8/11/2001
X
Russie 13/3/2006
Saint-Marin
Serbie
Slovaquie 8/11/2001 24/7/2002 1/7/2004
Slovénie
Suède 8/11/2001 8/11/2001 1/7/2004
Suisse 17/10/2002
Turquie 8/11/2001
Ukraine 29/8/2005
Etats non membres du Conseil de l'Europe Etats Signature Ratification Entrée en vigueur Renv. R. D. A. T. C. O. Organisations internationales Organisations Signature Ratification Entrée en vigueur Renv. R. D. A. T. C. O. Nombre total de signatures non suivies de ratifications : 15 Nombre total de ratifications/adhésions : 15 Renvois :a.: Adhésion - s.: Signature sans réserve de ratification - su.: Succession - r.: signature "ad referendum". Source : Bureau des Traités sur http://conventions.coe.int |