La convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après la «convention 108») est le seul accord multilatéral juridiquement contraignant dans le domaine des données à caractère personnel. Elle a pour objectif de protéger le droit au respect de la vie privée, reconnu à l'article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Le droit au respect de la vie privée et le droit à la protection des données sont également consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’UE et à l’article 16 du TFUE.

La convention 108 exige des parties qu’elles intègrent dans leur droit national respectif les mesures nécessaires pour garantir le respect du droit de chacun à une protection à l’égard du traitement des données à caractère personnel. Elle a été l’une des principales sources d’inspiration pour l'élaboration de l’acquis de l’UE dans le domaine de la protection des données. Selon le considérant 11 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, l’un des objectifs de cette directive était précisément de «précise[r] et amplifie[r] [les principes et les droits] qui sont contenus dans la [convention 108]».

À ce jour, 51 États ont ratifié la convention 108, dont les 28 États membres de l’UE, les quatre États de l’AELE, tous les pays des Balkans occidentaux, plusieurs pays du voisinage européen (tels que l’Arménie et la Géorgie), la Fédération de Russie, la Turquie et plusieurs pays non européens situés en Afrique (tels que le Sénégal et la Tunisie) et en Amérique latine (Uruguay). Plusieurs demandes d’adhésion (telles que celles de l’Argentine, du Mexique et du Maroc) sont en cours d’examen et un certain nombre de pays ont un statut d’observateur (le Japon et la Corée du Sud, par exemple).

La convention 108 a été ouverte à la signature en 1981, bien avant l’ère de l’internet et des communications électroniques. L’évolution technologique et la mondialisation de l’information posent de nouveaux défis dans le domaine de la protection des données à caractère personnel. Le protocole d'amendement vise à moderniser la convention 108 de manière à apporter des solutions à ces défis.

La convention modernisée (c’est-à-dire la convention 108 telle que modifiée par le protocole d’amendement) aura un champ d'application uniforme pour toutes les parties à la convention, sans qu’il soit possible d’en exclure totalement certains secteurs ou certaines activités (dans le domaine de la sécurité nationale, par exemple), comme le prévoit le texte actuel de la convention 108. Elle couvrirait donc tous les types de traitement des données relevant de la juridiction des parties dans les secteurs tant public que privé.

Le protocole d’amendement rehausse considérablement le niveau de protection des données garanti par la convention 108. Plus particulièrement, la convention modernisée précisera davantage le principe de traitement licite (notamment en ce qui concerne le respect des exigences en matière de consentement) et renforcera encore la protection de catégories particulières de données (tout en étendant les catégories concernées à celles qui sont reconnues par le droit de l’Union comme constituant des catégories particulières de données à caractère personnel). De plus, elle prévoira des garanties supplémentaires pour les personnes dont les données à caractère personnel font l’objet d’un traitement (notamment, les obligations d’examiner l’impact potentiel du traitement de données envisagé et de mettre en œuvre les mesures techniques et organisationnelles nécessaires, ou encore celle de notifier les violations graves de données), et renforcera les droits de ces personnes (principalement en ce qui concerne la transparence et l’accès aux données). Le protocole d’amendement introduit aussi de nouveaux droits pour les personnes concernées, tels que le droit, pour une personne concernée, de ne pas être soumise à une décision l’affectant de manière significative prise sur le seul fondement d’un traitement automatisé de données, de s’opposer au traitement ou celui de disposer d’un recours en cas de violation de ses droits.

La convention modernisée comportera des dispositions révisées (qui figurent actuellement dans un protocole additionnel signé par certaines parties seulement) exigeant des parties qu’elles établissent une ou plusieurs autorités indépendantes chargées de veiller au respect des dispositions de la convention 108. La position de ces autorités serait renforcée en exigeant des parties qu’elles leur confèrent des pouvoirs supplémentaires, tels que celui de rendre des décisions relatives aux violations des dispositions de la convention 108 et d’infliger des sanctions administratives.

Le système de dérogations aux droits et obligations susmentionnés tel qu’il est prévu dans le protocole d'amendement satisfait à trois conditions essentielles: la préservation de l’ensemble du champ d'application étendu de la convention 108 (pas de dérogations générales), la flexibilité (permettant de concilier des normes élevées en matière de protection des données avec d'autres intérêts publics importants, par exemple des considérations de sécurité nationale) et la cohérence générale avec la jurisprudence de la Cour européenne des droits de l’homme (en particulier l’absence de restrictions affectant l’essence même du droit fondamental à la protection des données).

De manière générale, la convention modernisée garantirait un niveau de protection élevé tout en laissant aux parties une marge de flexibilité en ce qui concerne la mise en œuvre de ses dispositions dans leur droit interne, ce qui rendrait l'adhésion à cette convention attrayante pour les pays, y compris hors d’Europe, qui envisagent de créer leurs systèmes de protection des données ou de les renforcer. On peut s’attendre à ce qu’elle produise des effets concrets beaucoup plus importants que la convention 108 dans sa version actuelle, qu’ils tiennent à son champ d'application ou aux obligations qu’elle impose.

Lorsqu’il entrera en vigueur, le protocole d’amendement introduira la possibilité, pour l’Union, de devenir partie à la convention (modernisée). En ce qui concerne les droits de vote au sein du comité conventionnel, le texte qui a fait l’objet de l’accord garantit que l’Union pourra voter dans son domaine de compétence, en exprimant un nombre de voix égal au nombre de ses États membres parties à la convention Afin de répondre aux préoccupations relatives au poids du vote de l’Union, une solution de compromis a été retenue selon laquelle les décisions ne peuvent être prises qu’à une «hyper majorité» des parties (majorité des quatre cinquièmes), les décisions les plus importantes concernant le respect de la convention par une partie exigeant une «double majorité» (une majorité qualifiée assortie d’une majorité simple des parties non membres de l’UE).

La convention modernisée renforcerait aussi l’efficacité de la protection des données en permettant au comité conventionnel d’évaluer l’efficacité des mesures prises en droit national pour donner effet à ses dispositions.

Le texte du protocole d'amendement a fait l’objet d’une coordination avec les représentants des États membres au sein du groupe de travail compétent du Conseil et met en œuvre les directives de négociation du Conseil. Il est aussi parfaitement conforme tant au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, «RGPD») et à la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (directive «police» relative à la protection des données), ce qui évite que les États membres soient soumis à des obligations différentes voire contradictoires en vertu du droit de l’Union et du Conseil de l’Europe. L'adoption d’une convention solide, reposant sur la même approche et sur les mêmes principes que le (nouvel) acquis de l’Union est particulièrement importante pour la stratégie internationale de l’Union dans le domaine de la protection des données. La convention 108, qui est également ouverte aux États non européens, suscite un grand intérêt de la part des pays qui, à travers le monde, se préparent à adopter une législation en matière de protection des données ou envisagent de le faire. Dans sa communication de janvier 2017 intitulée «Échange et protection de données à caractère personnel à l’ère de la mondialisation», COM(2017) 7 final, la Commission fait référence à la convention 108 et reconnaît que la convention modernisée serait fondée sur les mêmes principes que la législation de l’UE en matière de protection des données, «contribuant ainsi à la convergence vers un ensemble de normes élevées en matière de protection des données» à l'échelle mondiale. Elle a par conséquent affirmé sa volonté d’«encourager activement l’adoption rapide» du protocole d'amendement.

Le domaine régi par la convention modifiée est désormais largement couvert par le cadre législatif de l’Union en matière de protection des données. Le RGPD, applicable depuis le 25 mai 2018, et la directive «police», dont le délai de transposition a expiré le 6 mai 2018, prévoient un système complet de règles dans le domaine de la protection des données et garantissent un niveau de protection au moins équivalent et, dans bien des cas, supérieur à celui qu’offre la convention. Selon l'article 13 de la convention modernisée, les parties peuvent accorder aux personnes concernées une «protection plus étendue que celle prévue par la présente convention», ce qui leur laisse toute latitude pour adopter des mesures offrant une protection plus élevée.

Le protocole d’amendement entrera en vigueur une fois que toutes les parties auront déposé leurs instruments de ratification, d'acceptation ou d'approbation auprès du secrétaire général du Conseil de l'Europe. En outre, vu le nombre élevé de parties qui doivent le ratifier, le protocole d’amendement prévoit une «entrée en vigueur partielle» pour un groupe plus restreint de parties, après cinq ans, une fois que 38 parties au moins auront exprimé leur consentement à être liées.

Les États membres de l’UE (actuellement les seuls à être parties à la convention 108) devraient prendre les mesures nécessaires pour que le protocole d’amendement puisse entrer en vigueur rapidement.

Premièrement, étant donné que la convention modernisée prévoirait des garanties largement similaires à celles qu’offrent le RGPD et la directive «police», son entrée en vigueur (partielle) contribuera à la promotion, à l'échelle mondiale, des normes de l’Union en matière de protection des données. En effet, la convention 108 a joué un rôle essentiel dans la diffusion du «modèle européen de protection des données» dans le monde, car les pays qui envisagent d’adopter des dispositions en matière de protection de la vie privée ou de moderniser leur législation en la matière s’en inspirent souvent. Ce rôle est d'autant plus important aujourd’hui qu’un nombre croissant de pays de nombreuses régions du globe adoptent ce type de législation. Relever les normes de protection appliquées par les parties à la convention faciliterait aussi les flux de données entre celles qui sont membres de l’UE et celles qui sont extérieures à l’UE. Pour un certain nombre de pays, l’adhésion à la convention 108 a aussi constitué une préparation utile en vue de l’obtention d’un constat d’adéquation de la Commission européenne. Le RGPD renforce cet aspect en disposant expressément que l’adhésion à la convention 108 est un facteur important dont la Commission européenne doit tenir compte dans son appréciation de l’adéquation. Même en l’absence d’adéquation, un niveau de protection plus élevé (principalement en ce qui concerne les possibilités de recours juridictionnels et non juridictionnels, ainsi qu’une surveillance effective par les autorités de contrôle) faciliterait l'échange de données sur la base de garanties appropriées (notamment parce que ces garanties pourraient s'avérer plus faciles à appliquer dans les systèmes juridiques des parties).

Deuxièmement, il est important que la convention modernisée reste pleinement conforme aux dispositions du RGPD et de la directive «police», de manière à permettre aux États membres de l’UE de rester parties à la convention et d’en respecter les dispositions sans enfreindre le droit de l’Union. Cela concerne en particulier les dispositions relatives à la libre circulation des données entre les parties puisque la convention modernisée (à la différence du texte actuel) prévoit une exemption à cette règle pour les parties «tenue[s] de respecter des règles de protection harmonisées communes à des États appartenant à une organisation internationale régionale». Cette exemption garantira le respect de la convention par les États membres de l’UE malgré les conditions en matière de transferts internationaux imposées par la législation de l’UE dans le domaine de la protection des données.

Troisièmement, dans sa version actuelle, la convention 108 ne permet pas l’adhésion d’organisations internationales. Le protocole d'amendement met fin à cette situation, si bien que son entrée en vigueur conditionne l’adhésion future de l’UE à la convention.

La proposition de décision du Conseil repose sur l’article 218, paragraphe 6, du TFUE, en liaison avec l'article 16 de ce dernier.