Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Philippe Nogrix
Commission des affaires étrangères, de la défense et des forces armées — Réunion du 20 décembre 2006 : 2ème réunion
Traités et conventions — Protection des personnes concernant les autorités de contrôle et les flux transfrontières de données - examen du rapport
Philippe Nogrix, rapporteur :a tout d'abord souligné que l'accélération des évolutions technologiques dans le traitement des données et le développement de leur utilisation en matière de sécurité avaient des répercussions directes sur les droits et libertés des personnes, illustrées récemment par le dossier PNR (Passenger Name Record) sur le transfert des données passagers par les compagnies aériennes aux autorités américaines.
Il a indiqué que cette question avait été abordée pour la première fois par un instrument international au début des années 1980, dans le cadre du Conseil de l'Europe. La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel a été signée le 28 janvier 1981 à Strasbourg.
Prenant acte du développement du traitement informatique des données, cette convention a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel et de réglementer les flux transfrontaliers de données. La Convention garantit également le droit des personnes à connaître les informations stockées les concernant et à exiger, le cas échéant, des rectifications.
a précisé que la Convention était entrée en vigueur le 1er octobre 1985 et que 38 Etats, sur les 46 que compte le Conseil de l'Europe, l'avaient ratifiée.
Il a indiqué que le Protocole additionnel avait été ouvert à la signature le 8 novembre 2001. Il vise à renforcer la mise en oeuvre de la Convention en imposant l'institution d'une autorité de contrôle et en encadrant les flux de données à caractère personnel vers les pays non Parties à la Convention.
Il a précisé que l'article premier du Protocole prescrivait la mise en place d'une ou plusieurs autorités chargées de la protection des individus dans le traitement des données à caractère personnel. Il prévoit, de façon précise, que ces autorités doivent disposer de pouvoirs d'investigation et d'intervention, ainsi que de la capacité d'ester en justice ou de porter d'éventuelles violations devant la justice. Ces autorités doivent pouvoir être saisies par les particuliers, exercer leurs fonctions en toute indépendance et leurs décisions faisant grief pouvoir faire l'objet d'un recours juridictionnel.
a indiqué que l'article 2 concernait les flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie à la Convention. Il pose le principe qu'un tel transfert ne peut être effectué que si l'Etat destinataire des données « assure un niveau de protection adéquat pour le transfert réalisé ».
Des dérogations à ce principe sont possibles, si le droit interne le prévoit, pour les intérêts spécifiques de la personne concernée ou lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants. Des garanties peuvent également résulter de clauses contractuelles fournies par la personne responsable du transfert si elles sont jugées suffisantes par les autorités compétentes, conformément au droit interne.
a précisé que l'entrée en vigueur du Protocole, subordonnée à la ratification de cinq signataires, était intervenue le 1er juillet 2004.
Il a indiqué que le Conseil des ministres avait adopté le projet de loi de ratification le 24 octobre 2006, soit cinq ans après la signature du Protocole par la France. Il a souligné que la France se conformait d'ores et déjà aux obligations du protocole additionnel. Elle avait d'ailleurs été, en 1978, l'un des premiers Etats à s'être doté d'une loi « informatique et libertés » et d'une autorité de contrôle indépendante, la CNIL.
a indiqué que le niveau de protection des données personnelles dans l'Union européenne avait été harmonisé par une directive du 24 octobre 1995, transposée en droit français par la loi 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Cette loi a accru les pouvoirs de la CNIL afin de lui permettre d'assurer un contrôle a posteriori efficace de la mise en oeuvre des fichiers et des traitements informatisés. Ses pouvoirs d'investigation ont été rendus contraignants et ses pouvoirs d`intervention et de sanction, étendus. La loi traite également des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne en prévoyant, dans son article 68, que ces transferts ne peuvent s'effectuer que si l'Etat « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux de la personne à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ».
Il a précisé que le pouvoir d'apprécier si un pays accordait une « protection adéquate ou suffisante » appartenait à la Commission européenne.
Il a noté que parmi les pays « non-adéquats » figuraient des Etats ayant ratifié le Protocole additionnel comme l'Albanie, la Bosnie-Herzégovine, la Croatie ou encore la Roumanie.
La CNIL, a poursuivi le rapporteur, pouvait néanmoins autoriser un transfert vers un pays tiers ne disposant pas d'un niveau de protection adéquat lorsque « le traitement garantissait un niveau de protection suffisant en raison des clauses contractuelles ou règles internes dont il fait l'objet ».
D'autres dérogations sont possibles si la personne concernée a consenti au transfert ou si le transfert est nécessaire à la sauvegarde de la vie de la personne, à la sauvegarde de l'intérêt public, au respect d'obligations permettant d'assurer l'exercice d'un droit en justice, à la consultation d'un registre public, à l'exécution d'un contrat ou à sa conclusion.
Le rapporteur a considéré que la ratification du protocole additionnel ne devrait rien changer à la pratique des transferts de données vers les Etats non-membres de l'Union européenne, puisque la qualification du caractère adéquat ou non du pays destinataire avait été communautarisée et relevait de la Commission européenne.
a estimé qu'indirectement, ce Protocole posait la question de la juxtaposition et de la superposition partielle des deux espaces de droit que sont d'une part le Conseil de l'Europe et d'autre part l'Union européenne dans les domaines où ils interviennent concurremment.
Il a cependant considéré que le protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel avait le mérite d'élargir le champ géographique de la protection des données personnelles. Il restait à en garantir l'effectivité, certains pays Parties à la Convention et à son Protocole, étaient considérés comme n'assurant pas un niveau de protection adéquat.
Au demeurant, la question de l'effectivité de la protection des personnes n'était pas propre aux Etats tiers. Elle était aujourd'hui soumise au double défi de la technologie et de l'acceptation des citoyens eux-mêmes d'atteintes à leur vie privée face aux exigences de la lutte contre le terrorisme.
Un débat a suivi l'exposé du rapporteur.
