Texte original

Protocole portant amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel Conclu à Strasbourg le 10 octobre 2018 Approuvé par l'Assemblée fédérale le ...1 Instrument de ratification déposé par la Suisse le ...

Entré en vigueur pour la Suisse le ...

Préambule Les États membres du Conseil de l'Europe et les autres Parties à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE no 108)2, ouverte à la signature à Strasbourg le 28 janvier 1981 (ci-après dénommée «la Convention»), tenant compte de la Résolution no 3 sur la protection des données et la vie privée au troisième millénaire adoptée lors de la 30 Conférence du Conseil de l'Europe des ministres de la Justice (Istanbul, Turquie, 24­26 novembre 2010), tenant compte de la Résolution 1843 (2011) de l'Assemblée parlementaire du Conseil de l'Europe «La protection de la vie privée et des données à caractère personnel sur l'internet et les médias en ligne» ainsi que de sa Résolution 1986 (2014) «Améliorer la protection et la sécurité des utilisateurs dans le cyberespace», tenant compte de l'Avis 296 (2017) «Projet de Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE no 108) et à son rapport explicatif», adopté par la Commission permanente agissant au nom de l'Assemblée parlementaire du Conseil de l'Europe le 24 novembre 2017, considérant que de nouveaux défis ont vu le jour en matière de protection des personnes au regard du traitement des données à caractère personnel depuis l'adoption de la Convention,

1 2

FF 2020 577 RS 0.235.1

2019-2838

577

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

considérant qu'il est nécessaire de veiller à ce que la Convention continue de jouer son rôle prééminent dans la protection des personnes à l'égard du traitement des données à caractère personnel, ainsi que, de façon plus générale, dans la protection des droits de l'homme et des libertés fondamentales, sont convenus de ce qui suit:

Art. 1 1.

Le premier alinéa du préambule de la Convention est remplacé par ce qui suit: «Les États membres du Conseil de l'Europe, et les autres signataires de la présente Convention,»

2.

Le troisième alinéa du préambule de la Convention est remplacé par ce qui suit: «considérant qu'il est nécessaire de garantir la dignité humaine ainsi que la protection des droits de l'homme et des libertés fondamentales de toute personne, et, eu égard à la diversification, à l'intensification et à la mondialisation des traitements des données et des flux de données à caractère personnel, l'autonomie personnelle, fondée sur le droit de toute personne de contrôler ses propres données à caractère personnel et le traitement qui en est fait,»

3.

Le quatrième alinéa du préambule de la Convention est remplacé par ce qui suit: «rappelant que le droit à la protection des données à caractère personnel est à considérer au regard de son rôle dans la société et qu'il est à concilier avec d'autres droits de l'homme et libertés fondamentales, dont la liberté d'expression,»

4.

L'alinéa qui suit est ajouté après le quatrième alinéa du préambule de la Convention: «considérant que la présente Convention permet de prendre en compte, dans la mise en oeuvre des règles qu'elle fixe, le principe du droit d'accès aux documents officiels,»

5.

Le cinquième alinéa du préambule de la Convention est supprimé. De nouveaux cinquième et sixième alinéas sont ajoutés comme suit: «reconnaissant la nécessité de promouvoir les valeurs fondamentales du respect de la vie privée et de la protection des données à caractère personnel à l'échelle mondiale, favorisant ainsi la libre circulation de l'information entre les peuples,» «reconnaissant l'intérêt d'intensifier la coopération internationale entre les Parties à la Convention,»

578

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 2 L'art. 1 est modifié comme suit: «Art. 1

Objet et but

Le but de la présente Convention est de protéger toute personne physique, quelle que soit sa nationalité ou sa résidence, à l'égard du traitement des données à caractère personnel, contribuant ainsi au respect de ses droits de l'homme et de ses libertés fondamentales, et notamment du droit à la vie privée.» Art. 3 L'art. 2 est modifié comme suit: «Art. 2

Définitions

Aux fins de la présente Convention: a.

[inchangé]

b.

«traitement de données» s'entend de toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que la collecte, l'enregistrement, la conservation, la modification, l'extraction, la communication, la mise à disposition, l'effacement ou la destruction des données, ou l'application d'opérations logiques et/ou arithmétiques à ces données;

c.

lorsqu'aucun procédé automatisé n'est utilisé, le traitement de données désigne une opération ou des opérations effectuée(s) sur des données à caractère personnel au sein d'un ensemble structuré de données qui sont accessibles ou peuvent être retrouvées selon des critères spécifiques;

d.

«responsable du traitement» signifie: la personne physique ou morale, l'autorité publique, le service, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, dispose du pouvoir de décision à l'égard du traitement de données;

e.

«destinataire» signifie: la personne physique ou morale, l'autorité publique, le service, l'agence ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles;

f.

«sous-traitant» signifie: la personne physique ou morale, l'autorité publique, le service, l'agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.»

579

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 4 L'art. 3 est modifié comme suit: «Art. 3

Champ d'application

1. Chaque Partie s'engage à appliquer la présente Convention aux traitements de données relevant de sa juridiction dans les secteurs public et privé, garantissant ainsi à toute personne le droit à la protection de ses données à caractère personnel.

2. La présente Convention ne s'applique pas au traitement de données effectué par une personne dans le cadre d'activités exclusivement personnelles ou domestiques.

3. [Abrogé] 4. [Abrogé] 5. [Abrogé] 6. [Abrogé]» Art. 5 Le titre du chapitre II de la Convention est modifié comme suit: «Principes de base pour la protection des données à caractère personnel».

Art. 6 L'art. 4 est modifié comme suit: «Art. 4

Engagements des Parties

1. Chaque Partie prend, dans sa loi, les mesures nécessaires pour donner effet aux dispositions de la présente Convention ainsi que pour en assurer l'application effective.

2. Ces mesures doivent être prises par chaque Partie et doivent être entrées en vigueur au moment de la ratification ou de l'adhésion à la présente Convention.

3. Chaque Partie s'engage: a.

à permettre au comité conventionnel prévu au chapitre VI d'évaluer l'efficacité des mesures qu'elle aura prises dans sa loi pour donner effet aux dispositions de la présente Convention, et

b.

à contribuer activement à ce processus d'évaluation.»

580

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 7 L'art. 5 et son titre sont modifiés comme suit: «Art. 5

Légitimité du traitement de données et qualité des données

1. Le traitement de données doit être proportionné à la finalité légitime poursuivie et refléter à chaque étape du traitement un juste équilibre entre tous les intérêts en présence, qu'ils soient publics ou privés, ainsi que les droits et les libertés en jeu.

2. Chaque Partie prévoit que le traitement de données ne peut être effectué que sur la base du consentement libre, spécifique, éclairé et non équivoque de la personne concernée ou en vertu d'autres fondements légitimes prévus par la loi.

3. Les données à caractère personnel faisant l'objet d'un traitement sont traitées licitement.

4. Les données à caractère personnel faisant l'objet d'un traitement sont: a.

traitées loyalement et de manière transparente;

b.

collectées pour des finalités explicites, déterminées et légitimes, et ne sont pas traitées de manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins de statistiques est compatible avec ces fins, à condition que des garanties complémentaires s'appliquent;

c.

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

d.

exactes et, si nécessaire, mises à jour;

e.

conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées.»

Art. 8 L'art. 6 est modifié comme suit: «Art. 6

Catégories particulières de données

1. Le traitement: ­

de données génétiques;

­

de données à caractère personnel concernant des infractions, des procédures et des condamnations pénales, et des mesures de sûreté connexes;

­

de données biométriques identifiant un individu de façon unique;

­

de données à caractère personnel pour les informations qu'elles révèlent sur l'origine raciale ou ethnique, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou autres convictions, la santé ou la vie sexuelle, 581

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

n'est autorisé qu'à la condition que des garanties appropriées, venant compléter celles de la présente Convention, soient prévues par la loi.

2. Ces garanties doivent être de nature à prévenir les risques que le traitement de données sensibles peut présenter pour les intérêts, droits et libertés fondamentales de la personne concernée, notamment un risque de discrimination.» Art. 9 L'art. 7 est modifié comme suit: «Art. 7

Sécurité des données

1. Chaque Partie prévoit que le responsable du traitement, ainsi que, le cas échéant, le sous-traitant, prend des mesures de sécurité appropriées contre les risques tels que l'accès accidentel ou non autorisé aux données à caractère personnel, leur destruction, perte, utilisation, modification ou divulgation.

2. Chaque Partie prévoit que le responsable du traitement est tenu de notifier, dans les meilleurs délais, à tout le moins à l'autorité de contrôle compétente au sens de l'art. 15 de la présente Convention, les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées.» Art. 10 La Convention est complétée par un nouvel art. 8: «Art. 8

Transparence du traitement

1. Chaque Partie prévoit que le responsable du traitement informe les personnes concernées: a.

de son identité et de sa résidence ou lieu d'établissement habituels;

b.

de la base légale et des finalités du traitement envisagé;

c.

des catégories des données à caractère personnel traitées;

d.

le cas échéant, des destinataires ou catégories de destinataires des données à caractère personnel, et

e.

des moyens d'exercer les droits énoncés à l'art. 9,

ainsi que de toute autre information complémentaire nécessaire pour garantir un traitement loyal et transparent des données à caractère personnel.

2. Le par. 1 ne s'applique pas lorsque la personne concernée détient déjà l'information.

3. Lorsque les données à caractère personnel ne sont pas collectées directement auprès des personnes concernées, le responsable du traitement n'est pas tenu de fournir ces informations dès lors que le traitement est expressément prévu par la loi ou que cela lui est impossible ou implique des efforts disproportionnés.» 582

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 11 L'art. 8 de la Convention devient l'art. 9 et est modifié, ainsi que son titre, comme suit: «Art. 9

Droits des personnes concernées

1. Toute personne a le droit: a.

de ne pas être soumise à une décision l'affectant de manière significative, qui serait prise uniquement sur le fondement d'un traitement automatisé de données, sans que son point de vue soit pris en compte;

b.

d'obtenir, à sa demande, à intervalle raisonnable et sans délai ou frais excessifs, la confirmation d'un traitement de données la concernant, la communication sous une forme intelligible des données traitées, et toute information disponible sur leur origine, sur la durée de leur conservation ainsi que toute autre information que le responsable du traitement est tenu de fournir au titre de la transparence des traitements, conformément à l'art. 8, par. 1;

c.

d'obtenir, à sa demande, connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués;

d.

de s'opposer à tout moment, pour des raisons tenant à sa situation, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement, à moins que le responsable du traitement ne démontre des motifs légitimes justifiant le traitement, qui prévalent sur les intérêts ou les droits et libertés fondamentales de la personne concernée;

e.

d'obtenir, à sa demande, sans frais et sans délai excessifs, la rectification de ces données ou, le cas échéant, leur effacement lorsqu'elles sont ou ont été traitées en violation des dispositions de la présente Convention;

f.

de disposer d'un recours, conformément à l'art. 12, lorsque ses droits prévus par la présente Convention ont été violés;

g.

de bénéficier, quelle que soit sa nationalité ou sa résidence, de l'assistance d'une autorité de contrôle au sens de l'art. 15 pour l'exercice de ses droits prévus par la présente Convention.

2. Le par. 1, let. a, ne s'applique pas si la décision est autorisée par une loi à laquelle est soumis le responsable du traitement, et qui prévoit également des mesures appropriées pour la sauvegarde des droits, des libertés et des intérêts légitimes de la personne concernée.» Art. 12 La Convention est complétée par un nouvel art. 10: «Art. 10

Obligations complémentaires

1. Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, doivent prendre toutes les mesures appropriées afin de se 583

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

conformer aux obligations de la présente Convention et être en mesure de démontrer, sous réserve de la législation nationale adoptée conformément à l'art. 11, par. 3, en particulier à l'autorité de contrôle compétente, prévue à l'art. 15, que le traitement dont ils sont responsables est en conformité avec les dispositions de la présente Convention.

2. Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, doivent procéder, préalablement au commencement de tout traitement, à l'examen de l'impact potentiel du traitement de données envisagé sur les droits et libertés fondamentales des personnes concernées, et qu'ils doivent concevoir le traitement de données de manière à prévenir ou à minimiser les risques d'atteinte à ces droits et libertés fondamentales.

3. Chaque Partie prévoit que les responsables du traitement, ainsi que, le cas échéant, les sous-traitants, prennent des mesures techniques et organisationnelles tenant compte des implications du droit à la protection des données à caractère personnel à tous les stades du traitement des données.

4. Chaque Partie peut, eu égard aux risques encourus pour les intérêts, droits et libertés fondamentales des personnes concernées, adapter l'application des dispositions des par. 1, 2 et 3 dans la loi donnant effet aux dispositions de la présente Convention, en fonction de la nature et du volume des données, de la nature, de la portée et de la finalité du traitement et, le cas échéant, de la taille des responsables du traitement et des sous-traitants.» Art. 13 Les art. 9 à 12 de la Convention deviennent les art. 11 à 14.

Art. 14 L'art. 9 de la Convention devient l'art. 11 et est modifié comme suit: «Art. 11

Exceptions et restrictions

1. Aucune exception aux dispositions énoncées au présent chapitre n'est admise, sauf au regard des dispositions de l'art. 5, par. 4, de l'art. 7, par. 2, de l'art. 8, par. 1, et de l'art. 9, dès lors qu'une telle exception est prévue par une loi, qu'elle respecte l'essence des droits et libertés fondamentales, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique: a.

à la protection de la sécurité nationale, à la défense, à la sûreté publique, à des intérêts économiques et financiers importants de l'État, à l'impartialité et à l'indépendance de la justice ou à la prévention, à l'investigation et à la répression des infractions pénales et à l'exécution des sanctions pénales, ainsi qu'à d'autres objectifs essentiels d'intérêt public général;

b.

à la protection de la personne concernée ou des droits et libertés fondamentales d'autrui, notamment la liberté d'expression.

584

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

2. Des restrictions à l'exercice des dispositions visées aux art. 8 et 9 peuvent être prévues par la loi pour le traitement des données utilisées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, lorsqu'il n'existe pas de risque identifiable d'atteinte aux droits et libertés fondamentales des personnes concernées.

3. Outre les exceptions prévues au par. 1 du présent article, relatives aux activités de traitement à des fins de sécurité nationale et de défense, chaque Partie peut prévoir par une loi et uniquement dans la mesure où cela constitue une mesure nécessaire et proportionnée dans une société démocratique à cette fin, des exceptions à l'art. 4, par. 3, à l'art. 14, par. 5 et 6, et à l'art. 15, par. 2, let. a, b, c et d.

Cela est sans préjudice de l'exigence que les activités de traitement à des fins de sécurité nationale et de défense fassent l'objet d'un contrôle et d'une supervision indépendants effectifs selon la législation nationale de chaque Partie.» Art. 15 L'art. 10 de la Convention devient l'art. 12 et est modifié comme suit: «Art. 12

Sanctions et recours

Chaque Partie s'engage à établir des sanctions et des recours juridictionnels et non juridictionnels appropriés visant les violations des dispositions de la présente Convention.» Art. 16 Le titre du chapitre III de la Convention est modifié comme suit: «Flux transfrontières de données à caractère personnel».

Art. 17 L'art. 12 de la Convention devient l'art. 14 qui intègre l'art. 2 du Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données (Protocole additionnel)3. Il est modifié comme suit: «Art. 14

Flux transfrontières de données à caractère personnel

1. Une Partie ne peut, aux seules fins de la protection des données à caractère personnel, interdire ou soumettre à une autorisation spéciale le transfert de ces données à un destinataire relevant de la juridiction d'une autre Partie à la Convention. Cette Partie peut néanmoins agir ainsi lorsqu'il existe un risque réel et sérieux que le transfert à une autre Partie, ou de cette autre Partie à une non-Partie, conduise à contourner les dispositions de la Convention. Une Partie peut également agir ainsi 3

RS 0.235.11

585

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

lorsqu'elle est tenue de respecter des règles de protection harmonisées communes à des États appartenant à une organisation internationale régionale.

2. Lorsque le destinataire relève de la juridiction d'un État ou d'une organisation internationale qui n'est pas Partie à la présente Convention, le transfert de données à caractère personnel n'est possible que si un niveau approprié de protection fondé sur les dispositions de la présente Convention est garanti.

3. Un niveau de protection des données approprié peut être garanti par: a.

les règles de droit de cet État ou de cette organisation internationale, y compris les traités ou accords internationaux applicables, ou

b.

des garanties ad hoc ou standardisées agréées, établies par des instruments juridiquement contraignants et opposables, adoptés et mis en oeuvre par les personnes impliquées dans le transfert et le traitement ultérieur des données.

4. Nonobstant les modalités prévues aux paragraphes précédents, chaque Partie peut prévoir que le transfert de données à caractère personnel peut avoir lieu: a.

si la personne concernée a donné son consentement explicite, spécifique et libre, après avoir été informée des risques induits par l'absence de garanties appropriées, ou

b.

si des intérêts spécifiques de la personne concernée le nécessitent dans un cas particulier, ou

c.

si des intérêts légitimes prépondérants, notamment des intérêts publics importants, sont prévus par la loi et si ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique, ou

d.

si ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique pour la liberté d'expression.

5. Chaque Partie prévoit que l'autorité de contrôle compétente au sens de l'art. 15 de la présente Convention obtient toute information pertinente relative aux transferts de données prévus au par. 3, let. b, et, sur demande, au par. 4, let. b et c.

6. Chaque Partie prévoit également que l'autorité de contrôle peut exiger de la personne qui transfère les données qu'elle démontre l'effectivité des garanties prises ou l'existence d'intérêts légitimes prépondérants et qu'elle peut, pour protéger les droits et les libertés fondamentales des personnes concernées, interdire ou suspendre les transferts ou soumettre à condition de tels transferts de données.» Art. 18 La Convention est complétée par un nouveau chapitre IV: «Autorités de contrôle».

Art. 19 Un nouvel art. 15 intègre l'art. 1 du Protocole additionnel qui est modifié comme suit:

586

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

«Art. 15

FF 2020

Autorités de contrôle

1. Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des dispositions de la présente Convention.

2. À cet effet, ces autorités: a.

disposent de pouvoirs d'investigation et d'intervention;

b.

exercent les fonctions en matière de transfert de données, prévues à l'art. 14, notamment l'agrément de garanties standardisées;

c.

disposent du pouvoir de rendre des décisions relatives aux violations des dispositions de la présente Convention et peuvent, notamment, infliger des sanctions administratives;

d.

disposent du pouvoir d'ester en justice ou de porter à la connaissance de l'autorité judiciaire compétente des violations des dispositions de la présente Convention;

e.

sont chargées: I. de sensibiliser le public à leurs fonctions et à leurs pouvoirs, ainsi qu'à leurs activités, II. de sensibiliser le public aux droits des personnes concernées et à l'exercice de ces droits, III. de sensibiliser les responsables du traitement et les sous-traitants aux responsabilités qui leur incombent en vertu de la présente Convention,

une attention particulière sera portée au droit à la protection des données des enfants et des autres personnes vulnérables.

3. Les autorités de contrôle compétentes sont consultées sur toute proposition législative ou administrative impliquant des traitements de données à caractère personnel.

4. Chaque autorité de contrôle compétente traite les demandes et les plaintes dont elle est saisie par les personnes concernées au regard de leurs droits à la protection des données et tient ces personnes informées des résultats.

5. Les autorités de contrôle agissent avec indépendance et impartialité dans l'accomplissement de leurs fonctions et l'exercice de leurs pouvoirs et, ce faisant, elles ne sollicitent ni n'acceptent d'instructions.

6. Chaque Partie s'assure que les autorités de contrôle disposent des ressources nécessaires à l'accomplissement effectif de leurs fonctions et à l'exercice de leurs pouvoirs.

7. Chaque autorité de contrôle prépare et publie un rapport d'activités périodique.

8. Les membres et agents des autorités de contrôle sont tenus à une obligation de confidentialité à l'égard des informations confidentielles auxquelles ils ont, ou ont eu, accès dans l'accomplissement de leurs fonctions et l'exercice de leurs pouvoirs.

9. Les décisions des autorités de contrôle peuvent faire l'objet d'un recours juridictionnel.

587

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

10. Les autorités de contrôle ne sont pas compétentes s'agissant des traitements effectués par des organes dans l'exercice de leurs fonctions juridictionnelles.» Art. 20 1. Les chapitres IV à VII de la Convention deviennent les nouveaux chapitres V à VIII.

2. Le titre du nouveau chapitre V est modifié comme suit: «Coopération et entraide».

3. La Convention est complétée par l'art. 17 et les art. 13 à 27 deviennent les nouveaux art. 16 à 31.

Art. 21 L'art. 13 de la Convention devient le nouvel art. 16 et est modifié, ainsi que son titre, comme suit: «Art. 16

Désignation des autorités de contrôle

1. Les Parties s'engagent à coopérer et à s'accorder mutuellement assistance pour la mise en oeuvre de la présente Convention.

2. À cette fin: a.

chaque Partie désigne une ou plusieurs autorités de contrôle, au sens de l'art. 15 de la présente Convention, dont elle communique la dénomination et l'adresse au Secrétaire Général du Conseil de l'Europe;

b.

chaque Partie qui a désigné plusieurs autorités de contrôle indique, dans la communication visée au paragraphe précédent, la compétence de chacune.

3. [Abrogé]» Art. 22 La Convention est complétée par un nouvel art. 17: «Art. 17

Formes de coopération

1. Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs fonctions et l'exercice de leurs pouvoirs, notamment: a.

en s'accordant mutuellement une assistance par l'échange d'informations pertinentes et utiles et en coopérant entre elles, à condition qu'en ce qui concerne la protection des données à caractère personnel toutes les règles et garanties de la présente Convention soient respectées;

b.

en coordonnant leurs investigations ou interventions, ou en menant des actions conjointes;

588

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

c.

FF 2020

en fournissant des informations et des documents sur leur droit et sur leur pratique administrative en matière de protection des données.

2. Les informations visées au par. 1 n'incluent pas les données à caractère personnel faisant l'objet d'un traitement, à moins que ces données soient essentielles à la coopération ou que la personne concernée ait donné son consentement explicite, spécifique, libre et éclairé pour ce faire.

3. Afin d'organiser leur coopération et d'accomplir les fonctions prévues aux paragraphes précédents, les autorités de contrôle des Parties se constituent en réseau.» Art. 23 L'art. 14 de la Convention devient le nouvel art. 18 et est modifié, ainsi que son titre, comme suit: «Art. 18

Assistance aux personnes concernées

1. Chaque Partie prête assistance à toute personne concernée, quelle que soit sa nationalité ou sa résidence, pour l'exercice de ses droits prévus par l'art. 9 de la présente Convention.

2. Lorsque la personne concernée réside sur le territoire d'une autre Partie, elle doit avoir la faculté de présenter la demande par l'intermédiaire de l'autorité de contrôle désignée par cette Partie.

3. La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment: a.

le nom, l'adresse et tout autre élément pertinent d'identification de la personne concernée à l'origine de la demande;

b.

le traitement auquel la demande se réfère ou le responsable du traitement correspondant;

c.

l'objet de la demande.»

Art. 24 L'art. 15 de la Convention devient le nouvel art. 19 et est modifié, ainsi que son titre, comme suit: «Art. 19

Garanties

1. Une autorité de contrôle qui a reçu des informations d'une autre autorité de contrôle, soit à l'appui d'une demande, soit en réponse à une demande qu'elle a formulée elle-même, ne pourra faire usage de ces informations à des fins autres que celles spécifiées dans la demande.

2. En aucun cas une autorité de contrôle ne sera autorisée à faire une demande au nom d'une personne concernée, de sa propre initiative et sans l'approbation expresse de cette personne.» 589

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 25 L'art. 16 de la Convention devient le nouvel art. 20 et est modifié, ainsi que son titre, comme suit: «Art. 20

Refus des demandes

Une autorité de contrôle, saisie d'une demande aux termes de l'art. 17 de la présente Convention, ne peut refuser d'y donner suite que si: a.

la demande est incompatible avec ses compétences;

b.

ne concerne que le texte allemand

c.

l'exécution de la demande serait incompatible avec la souveraineté, la sécurité nationale ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette Partie.»

Art. 26 L'art. 17 de la Convention devient le nouvel art. 21 et est modifié, ainsi que son titre, comme suit: «Art. 21

Frais et procédures

1. La coopération et l'entraide que les Parties s'accordent aux termes de l'art. 17, ainsi que l'assistance qu'elles prêtent aux personnes concernées aux termes des art. 9 et 18 ne donneront pas lieu au paiement de frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a fait la demande.

2. [Inchangé] 3. [Inchangé]» Art. 27 Le titre du nouveau chapitre VI est modifié comme suit: «comité conventionnel».

Art. 28 L'art. 18 de la Convention devient le nouvel art. 22 et est modifié comme suit: «Art. 22

Composition du comité

1. Un comité conventionnel est constitué après l'entrée en vigueur de la présente Convention.

2. [Inchangé]

590

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

3. Le comité conventionnel peut, par une décision prise à la majorité des deux tiers des représentants des Parties, inviter un observateur à se faire représenter à ses réunions.

4. Toute Partie qui n'est pas membre du Conseil de l'Europe contribuera au financement des activités du comité conventionnel selon des modalités établies par le Comité des Ministres en accord avec cette Partie.» Art. 29 L'art. 19 de la Convention devient le nouvel art. 23 et est modifié comme suit: «Art. 23

Fonctions du comité

Le comité conventionnel: a.

peut faire des recommandations en vue de faciliter ou d'améliorer l'application de la Convention;

b.

peut faire des propositions d'amendement à la présente Convention conformément à l'art. 25;

c.

formule un avis sur toute proposition d'amendement à la présente Convention qui lui est soumis conformément à l'art. 25, par. 3;

d.

peut exprimer un avis sur toute question relative à l'interprétation ou à l'application de la présente Convention;

e.

formule, préalablement à toute nouvelle adhésion à la Convention, un avis destiné au Comité des Ministres sur le niveau de protection des données à caractère personnel assuré par le candidat à l'adhésion et recommande, le cas échéant, des mesures à prendre en vue d'atteindre la conformité avec les dispositions de la présente Convention;

f.

peut, à la demande d'un État ou d'une organisation internationale, évaluer si leur niveau de protection des données à caractère personnel est conforme aux dispositions de la présente Convention et recommande, le cas échéant, des mesures à prendre en vue d'atteindre une telle conformité;

g.

peut élaborer ou approuver des modèles de garanties standardisées au sens de l'art. 14;

h.

examine la mise en oeuvre de la présente Convention par les Parties et recommande des mesures à prendre en cas de non-respect de la présente Convention par une Partie;

i.

facilite au besoin le règlement amiable de toute difficulté d'application de la présente Convention.»

591

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 30 L'art. 20 de la Convention devient le nouvel art. 24 et est modifié comme suit: «Art. 24

Procédure

1. Le comité conventionnel est convoqué par le Secrétaire Général du Conseil de l'Europe. Il tient sa première réunion dans les douze mois qui suivent l'entrée en vigueur de la présente Convention. Il se réunit par la suite au moins une fois par an et, en tout cas, chaque fois qu'un tiers des représentants des Parties demande sa convocation.

2. À l'issue de chacune de ses réunions, le comité conventionnel soumet au Comité des Ministres du Conseil de l'Europe un rapport sur ses travaux et sur le fonctionnement de la présente Convention.

3. Les modalités de vote au sein du comité conventionnel sont fixées dans les éléments pour le règlement intérieur annexés au Protocole du 10 octobre 2018 4 portant amendement à la présente Convention.

4. Le comité conventionnel établit les autres éléments de son règlement intérieur et fixe en particulier les procédures d'évaluation et d'examen prévues à l'art. 4, par. 3, et à l'art. 23, let. e, f et h, sur la base de critères objectifs.» Art. 31 L'art. 21 de la Convention devient le nouvel art. 25 et est modifié comme suit: «Art. 25

Amendements

1. Des amendements à la présente Convention peuvent être proposés par une Partie, par le Comité des Ministres du Conseil de l'Europe ou par le comité conventionnel.

2. Toute proposition d'amendement est communiquée par le Secrétaire Général du Conseil de l'Europe aux Parties à la présente Convention, aux autres États membres du Conseil de l'Europe, à l'Union européenne et à chaque État non membre ou organisation internationale qui a été invité(e) à adhérer à la présente Convention conformément aux dispositions de l'art. 27.

3. En outre, tout amendement proposé par une Partie ou par le Comité des Ministres est communiqué au comité conventionnel, qui soumet au Comité des Ministres son avis sur l'amendement proposé.

4. Le Comité des Ministres examine l'amendement proposé et tout avis soumis par le comité conventionnel, et peut approuver l'amendement.

5. [Inchangé] 6. [Inchangé]

4

592

FF 2020 ...

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

7. Par ailleurs, le Comité des Ministres peut, après consultation du comité conventionnel, décider à l'unanimité qu'un amendement en particulier entrera en vigueur à l'expiration d'une période de trois ans à compter de la date à laquelle il aura été ouvert à l'acceptation, sauf si une Partie a notifié au Secrétaire Général du Conseil de l'Europe une objection à son entrée en vigueur. Lorsqu'une telle objection a été notifiée, l'amendement entrera en vigueur le premier jour du mois suivant la date à laquelle la Partie à la présente Convention qui a notifié l'objection aura déposé son instrument d'acceptation auprès du Secrétaire Général du Conseil de l'Europe.» Art. 32 L'art. 22 de la Convention devient le nouvel art. 26 et est modifié comme suit: «Art. 26

Entrée en vigueur

1. La présente Convention est ouverte à la signature des États membres du Conseil de l'Europe et de l'Union européenne. Elle sera soumise à ratification, acceptation ou approbation. Les instruments de ratification, d'acceptation ou d'approbation seront déposés près le Secrétaire Général du Conseil de l'Europe.

2. [Inchangé] 3. Pour tout État partie qui exprimera ultérieurement son consentement à être lié par la Convention, celle-ci entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument de ratification, d'acceptation ou d'approbation.» Art. 33 L'art. 23 de la Convention devient le nouvel art. 27 et est modifié, ainsi que son titre, comme suit: «Art. 27

Adhésion d'États non membres ou d'organisations internationales

1. Après l'entrée en vigueur de la présente Convention, le Comité des Ministres du Conseil de l'Europe pourra, après consultation des Parties à la présente Convention et en avoir obtenu l'assentiment unanime, et à la lumière de l'avis formulé par le comité conventionnel, conformément à l'art. 23, let. e, inviter tout État non membre du Conseil de l'Europe ou une organisation internationale à adhérer à la présente Convention par une décision prise à la majorité prévue à l'art. 20, let. d du Statut du Conseil de l'Europe, et à l'unanimité des représentants des États contractants ayant le droit de siéger au Comité des Ministres.

2. Pour tout État ou organisation internationale adhérant à la présente Convention conformément au par. 1 ci-dessus, la Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument d'adhésion près le Secrétaire Général du Conseil de l'Europe.»

593

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Art. 34 L'art. 24 de la Convention devient le nouvel art. 28 et est modifié comme suit: «Art. 28

Clause territoriale

1. Tout État, l'Union européenne ou une autre organisation internationale peut, au moment de la signature ou au moment du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, désigner le ou les territoires auxquels s'appliquera la présente Convention.

2. Tout État, l'Union européenne ou une autre organisation internationale peut, à tout autre moment par la suite, par une déclaration adressée au Secrétaire Général du Conseil de l'Europe, étendre l'application de la présente Convention à tout autre territoire désigné dans la déclaration. La Convention entrera en vigueur à l'égard de ce territoire le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la déclaration par le Secrétaire Général.

3. [Inchangé]» Art. 35 L'art. 27 de la Convention devient le nouvel art. 31 et est modifié comme suit: «Art. 31

Notifications

Le Secrétaire général du Conseil de l'Europe notifiera aux États Parties du Conseil et à tout État ayant adhéré à la présente Convention: a.

[Inchangé]

b.

[Inchangé]

c.

toute date d'entrée en vigueur de la présente Convention conformément à ses art. 26, 27 et 28;

d.

[Inchangé]»

Art. 36

Signature, ratification et adhésion

1. Le présent Protocole est ouvert à la signature des États Contractants à la Convention. Il est soumis à ratification, acceptation ou approbation. Les instruments de ratification, d'acceptation ou d'approbation seront déposés près le Secrétaire Général du Conseil de l'Europe.

2. Après l'ouverture à la signature du présent Protocole et avant son entrée en vigueur, tout autre État exprime son consentement à être lié par le présent Protocole par adhésion. Il ne peut devenir Partie à la Convention sans adhérer simultanément au présent Protocole.

594

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

Art. 37

FF 2020

Entrée en vigueur

1. Le présent Protocole entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle toutes les Parties à la Convention auront exprimé leur consentement à être liées par le Protocole, conformément aux dispositions du par. 1 de l'art. 36.

2. Dans l'hypothèse où le présent Protocole ne serait pas entré en vigueur conformément au par. 1, à l'expiration d'une période de cinq ans après la date à laquelle il a été ouvert à la signature, le Protocole entrera en vigueur, à l'égard des États ayant exprimé leur consentement à être liés par celui-ci, conformément au par. 1, pourvu que le Protocole compte au moins trente-huit Parties. En ce qui concerne les Parties au Protocole, toutes les dispositions de la Convention amendée prennent effet immédiatement après son entrée en vigueur.

3. En attendant l'entrée en vigueur du présent Protocole, et sans préjudice des dispositions relatives à l'entrée en vigueur et à l'adhésion d'États non membres ou d'organisations internationales, une Partie à la Convention peut, au moment de la signature du présent Protocole, ou à tout moment ultérieur, déclarer que les dispositions du présent Protocole lui seront applicables à titre provisoire. Dans ce cas, les dispositions du présent Protocole ne s'appliqueront qu'aux Parties à la Convention ayant fait une déclaration similaire à cet effet. Cette déclaration prendra effet le premier jour du troisième mois qui suit la date de sa réception par le Secrétaire Général du Conseil de l'Europe.

4. Dès la date d'entrée en vigueur du présent Protocole, le Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données5 sera abrogé.

5. Dès la date d'entrée en vigueur du présent Protocole, les amendements à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel approuvés par le Comité des Ministres, à Strasbourg, le 15 juin 1999, deviendront sans objet.

Art. 38

Déclarations relatives à la Convention

Dès la date d'entrée en vigueur du présent Protocole, pour les Parties ayant fait une ou plusieurs déclarations en vertu de l'art. 3 de la Convention, cette ou ces déclarations deviendront caduques.

Art. 39

Réserves

Aucune réserve ne peut être faite aux dispositions du présent Protocole.

5

RS 0.235.11

595

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

Art. 40

FF 2020

Notifications

Le Secrétaire Général du Conseil de l'Europe notifiera aux États membres du Conseil de l'Europe et à toute autre Partie à la Convention: a.

toute signature;

b.

le dépôt de tout instrument de ratification, d'acceptation, d'approbation ou d'adhésion;

c.

la date d'entrée en vigueur du présent Protocole, conformément à son art. 37;

d.

tout autre acte, notification ou communication ayant trait au présent Protocole.

En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé le présent Protocole.

Fait à Strasbourg le 10 octobre 2018, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l'Europe. Le Secrétaire Général du Conseil de l'Europe en communiquera copie certifiée conforme à chacun des États membres du Conseil de l'Europe, aux autres Parties à la Convention et à tout État invité à adhérer à cette dernière.

596

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

FF 2020

Annexe au Protocole: Éléments pour le règlement intérieur du comité conventionnel 1. Chaque Partie a le droit de vote et dispose d'une voix.

2. La majorité des deux tiers des représentants des Parties constitue le quorum nécessaire pour tenir une réunion du comité conventionnel. Dans le cas où le Protocole d'amendement à la Convention entrerait en vigueur conformément à l'art. 37, par. 2 avant son entrée en vigueur à l'égard de tous les États Contractants à la Convention, le quorum nécessaire pour tenir une réunion du comité conventionnel sera d'au moins 34 Parties au Protocole.

3. Les décisions au titre de l'art. 23 sont prises à la majorité des quatre cinquièmes.

Les décisions au titre de l'art. 23, let. h, sont prises à la majorité des quatre cinquièmes, y compris la majorité des voix des États Parties non membres d'une organisation d'intégration régionale qui est Partie à la Convention.

4. Lorsque le comité conventionnel prend des décisions en vertu de l'art. 23, let. h, la Partie concernée par l'examen ne vote pas. Dès lors qu'une telle décision concerne une question relevant de la compétence d'une organisation d'intégration régionale, ni l'organisation ni ses États membres ne votent.

5. Les décisions concernant les questions procédurales sont prises à la majorité simple.

6. Les organisations d'intégration régionale, dans les domaines relevant de leur compétence, peuvent exercer leur droit de vote au sein du comité conventionnel avec un nombre de voix égal au nombre de leurs États membres qui sont Parties à la Convention. Une telle organisation n'exerce pas son droit de vote si l'un de ses États membres exerce son droit.

7. En cas de vote, toutes les Parties doivent être informées de l'objet et du moment du vote, ainsi que du fait que le vote sera exercé par les Parties individuellement ou par une organisation d'intégration régionale au nom de ses États membres.

8. Le comité conventionnel peut ultérieurement amender le règlement intérieur à la majorité des deux tiers des Parties, à l'exception des modalités de vote qui ne peuvent être amendées qu'à l'unanimité et auxquelles l'art. 25 de la Convention s'applique.

597

Protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Prot.

598

FF 2020