CM(2003).... / meeting n° / full document title - APDA

Sur ce fondement, la Cour a eu l'occasion de préciser, à l'occasion d'arrêts, que
les mesures d'ingérence, même si elles visent à protéger la démocratie, ne
devraient pas la ..... Il est à noter que les deux premières étapes (entreposage et
forage des données) peuvent s'effectuer sur des données anonymisées ou
codées.

Part of the document


Délégués des Ministres
Documents CM CM(2010)147 add3final 25 novembre 2010[1]
1098 Réunion, 17 novembre 2010
10 Questions juridiques 10.2 Comité européen de coopération juridique (CDCJ) -
d. Recommandation CM/Rec(2010)13 du Comité des Ministres aux Etats membres
sur la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel dans le cadre du profilage Exposé des motifs
I. Avant-propos
Droit à la vie privée comme un droit fondamental 1. Le Conseil de l'Europe, dont le siège se trouve à Strasbourg (France)
est la doyenne des organisations politiques européennes. Créée en 1949,
elle recouvre aujourd'hui la quasi-totalité du continent européen, avec
ses 47 Etats membres. 2. La première et l'une des plus importantes conventions établies par le
Conseil de l'Europe est la Convention de sauvegarde des droits de
l'homme et des libertés fondamentales, plus communément appelée
« Convention européenne des droits de l'homme » (STE No. 5) (ci-après
« la CEDH »), et qui a été ouverte à la signature en 1950. Elle crée la
Cour européenne des droits de l'homme (ci-après « la Cour »),
juridiction internationale compétente pour statuer sur des requêtes
individuelles ou étatiques alléguant des violations des droits civils
et politiques, tels qu'énoncés par la CEDH. Ses arrêts ont force
obligatoire pour les Etats concernés et, dès lors, conduisent les
gouvernements à modifier tantôt leur législation, tantôt leur pratique
administrative dans de nombreux domaines. 3. L'article 8 de la CEDH énonce en son premier alinéa : « toute personne
a droit au respect de sa vie privée et familiale, de son domicile et de
sa correspondance ». L'alinéa 2 précise qu'il ne peut y avoir
d'ingérence d'une autorité publique dans l'exercice de ce droit que
pour autant que cette ingérence est prévue par la loi et qu'elle
constitue une mesure qui, dans une société démocratique, est nécessaire
à la défense d'un certain nombre de buts légitimes. 4. Sur ce fondement, la Cour a eu l'occasion de préciser, à l'occasion
d'arrêts, que les mesures d'ingérence, même si elles visent à protéger
la démocratie, ne devraient pas la détruire au motif de la défendre[2].
La Cour a également dégagé une jurisprudence selon laquelle l'article 8
peut engendrer, de surcroît, des obligations positives inhérentes à un
« respect » effectif de la vie privée. Conformément à cette théorie
dite des « obligations positives », l'action de l'Etat consiste alors à
mettre en place les mesures nécessaires, y compris législatives, pour
garantir le respect concret et effectif des droits découlant de
l'article 8 de la CEDH. 5. Ainsi, la protection des données a? caractère personnel joue un rôle
fondamental pour l'exercice du droit au respect de la vie privée et
familiale consacré par cet article 8 en vertu duquel la législation
interne se doit de prévoir des garanties appropriées pour empêcher
toute utilisation de données a? caractère personnel non conforme aux
garanties prévues dans cet article et d'assurer la protection efficace
des données à caractère personnel enregistrées contre les usages
impropres et abusifs.[3]
6. La CEDH consacre également, dans son article 10, le droit fondamental à
la liberté d'expression. Le droit à la liberté d'expression inclut
explicitement la « liberté de recevoir ou de communiquer des
informations ou des idées sans qu'il puisse y avoir ingérence des
autorités publiques et ce, sans considération de frontières ». Cette
liberté de recevoir des informations est considérée comme s'étendant à
la « liberté de rechercher des informations ». L'exercice de cette
liberté de recevoir, de communiquer ou de rechercher des informations à
l'aide des technologies d'information et de communication suppose un
anonymat car, sans une telle garantie raisonnable, la crainte d'une
ingérence de la part des autorités publiques ou de compagnies privées
serait légitime, même si cette ingérence se limite à une simple
observation et à un enregistrement du comportement des internautes. La Convention 108 et son Protocole Additionnel 7. Dans les années qui ont suivi l'adoption de la CEDH, il est apparu de
plus en plus nécessaire de développer la protection juridique de la vie
privée de manière plus spécifique et systématique par souci
d'efficacité et pour faire face à la montée des risques nouveaux
d'atteinte à la vie privée nés des technologies de l'information. 8. C'est ainsi que fut élaborée la Convention pour la protection des
personnes à l'égard du traitement automatisé des données à caractère
personnel (STE n° 108)[4], que l'on nomme « Convention 108 ». Elle fut
élaborée en même temps que les Lignes directrices régissant la
protection de la vie privée et les flux transfrontières de données de
caractère personnel de l'Organisation de coopération et de
développement économiques. Des Etats non membres du Conseil de
l'Europe, tels que l'Australie, le Canada, le Japon et les Etats-Unis
d'Amérique, ont participé à l'élaboration de la Convention 108[5]. 9. La Convention 108 a été ouverte à la signature le 28 janvier 1981. A ce
jour, 44[6] Etats membres du Conseil de l'Europe l'ont ratifiée ;
certains autres l'ont signée et préparent sa ratification. 10. Elle constitue un instrument juridique contraignant avec une vocation
universelle car elle est ouverte à l'adhésion d'Etats non membres de
l'Organisation et le Comité des Ministres a affirmé sa volonté
d'examiner les demandes d'adhésion provenant des Etats qui ne sont pas
membres du Conseil de l'Europe[7]. 11. Le 15 juin 1999, le Comité des Ministres a adopté des amendements à la
Convention 108 pour permettre l'adhésion des Communautés
européennes[8]. 12. La Convention 108 établit des principes applicables au secteur public
comme au secteur privé et ayant trait à la qualité des données, au
traitement des données sensibles, à l'information de la personne
concernée, au droit d'accès et de rectification. 13. La Convention 108 prévoit également la libre circulation des données à
caractère personnel entre les Parties à la Convention. Cette libre
circulation ne saurait être restreinte pour les seules raisons de
protection des données à caractère personnel. L'objectif de cette
disposition est, et reste, de permettre le transfert à l'intérieur d'un
périmètre géographique de pays qui offrent un niveau adéquat de
protection des données à caractère personnel. 14. Les garanties existantes ont été renforcées par un Protocole
additionnel[9] qui prévoit une obligation pour les Parties de se doter
d'une ou de plusieurs autorités exerçant un contrôle en toute
indépendance, ainsi qu'une obligation de ne pas permettre, en principe,
le flux des données à destination de pays ou d'organisations n'offrant
pas un niveau de protection adéquat. Le refus de transfert vers un Etat
n'offrant pas de garanties adéquates ou vers un Etat tiers, non Partie
à la Convention 108, est possible[10]. Activités normatives du Conseil de l'Europe en matière de protection des
données 15. Même si les dispositions de la Convention 108, à l'heure actuelle,
relèvent de l'ordre juridique interne de la plupart des Etats membres
du Conseil de l'Europe, la complexité des questions relatives à la
protection efficace des données à caractère personnel au vu, notamment,
de l'apparition constante des nouvelles technologies et des pratiques,
appelle une analyse et une solution innovatrices. Face à ces défis, les
autorités nationales chargées de la protection des données ou les
commissaires à la protection des données se trouvent au premier rang
pour aborder ces questions complexes et apporter des solutions
appropriées. Les tribunaux contribuent, par ailleurs, à la protection
de l'individu face aux atteintes à la vie privée.
16. Le Comité des Ministres a adopté plusieurs recommandations basées sur
la Convention 108[11]. Il convient de s'assurer que la collecte et le
traitement de données dans un secteur donné (banque, assurance, santé,
police etc.) ou effectués à l'aide d'une technique ou d'une technologie
particulière (smart card, vidéo surveillance, marketing direct) ou
encore relatifs à une catégorie particulière de données (sensibles,
biométriques, etc.) sont toujours conformes aux principes généraux
établis par la Convention 108. 17. Ces recommandations s'adressent aux gouvernements de l'ensemble des
Etats membres du Conseil de l'Europe. Bien qu'elles ne soient pas
juridiquement contraignantes, elles constituent des normes de référence
et contiennent une invitation à considérer la possibilité d'adopter et
d'appliquer le droit interne conformément à des principes énoncés dans
les recommandations. 18. Tout en continuant à reconnaître l'absolue nécessité d'une législation,
il convient également de promouvoir, parmi les acteurs de la société de
l'information, un régime d'autorégulation visant à rendre plus
effective la protection de la vie privée et des données face aux vastes
réseaux de télécommunication sans frontières, à la croissance des flux
des données personnelles et au développement constant des technologies
d'information et de communication. Les travaux du Conseil de l'Europe sur le profilage 19. En 2008, une équipe d'experts scientifiques a présenté un rapport sur
l'application de la Convention 108 au mécanisme de profilage[12] lors
de la 24e réunion plénière du Comité consultatif de la Convention pour
la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel (ci-après le
«T-PD »). 20. Le rapport mettait no