Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Le droit et la plainte - Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Le droit et la plainte - Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Le droit et la plainte - Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnelLe droit et la plainte - Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnelLe droit et la plainte - Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Cette convention fut ouverte à la signature des Etats membres du Conseil de l'Europe, à Strasbourg, le 28 janvier 1981 et est entrée en vigueur le 1er octobre 1985.

La Convention est le premier instrument international contraignant qui a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données.

Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données "sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc... , en l'absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d'exiger le cas échéant des rectifications.

Seule restriction à ce droit : lorsque les intérêts majeurs de l'Etat (sécurité publique, défense, etc...) sont en jeu.

La Convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où n'existe aucune protection équivalente.

Europe - Convention 108 - Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Strasbourg, 28 janvier 1981


Conseil de l'Europe (Council of Europe)

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Strasbourg, 28.I.1981

Lire également :
Amendements
Protocole
Rapport explicatif



Préambule

Les Etats membres du Conseil de l'Europe, signataires de la présente Convention,

Considérant que le but du Conseil de l'Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales;

Considérant qu'il est souhaitable d'étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l'intensification de la circulation à travers les frontières des données à caractère personnel faisant l'objet de traitements automatisés;

Réaffirmant en même temps leur engagement en faveur de la liberté d'information sans considération de frontières;

Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples,

Sont convenus de ce qui suit:

Chapitre I – Dispositions générales

Article 1er – Objet et but

Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»).

Article 2 – Définitions

Aux fins de la présente Convention:
  1. «données à caractère personnel» signifie: toute information concernant une personne physique identifiée ou identifiable («personne concernée»);
  2. «fichier automatisé» signifie: tout ensemble d'informations faisant l'objet d'un traitement automatisé;
  3. «traitement automatisé» s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion;
  4. «maître du fichier» signifie: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées.
Article 3 – Champ d'application
  1. Les Parties s'engagent à appliquer la présente Convention aux fichiers et aux traitements automatisés de données à caractère personnel dans les secteurs public et privé.
  2. Tout Etat peut, lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration adressée au Secrétaire Général du Conseil de l'Europe:
    1. qu'il n'appliquera pas la présente Convention à certaines catégories de fichiers automatisés de données à caractère personnel dont une liste sera déposée. Il ne devra toutefois pas inclure dans cette liste des catégories de fichiers automatisés assujetties selon son droit interne à des dispositions de protection des données. En conséquence, il devra amender cette liste par une nouvelle déclaration lorsque des catégories supplémentaires de fichiers automatisés de données à caractère personnel seront assujetties à son régime de protection des données;
    2. qu'il appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique;
    3. qu'il appliquera la présente Convention également aux fichiers de données à caractère personnel ne faisant pas l'objet de traitements automatisés.
  3. Tout Etat qui a étendu le champ d'application de la présente Convention par l'une des déclarations visées aux alinéas 2.b ou c ci-dessus peut, dans ladite déclaration, indiquer que les extensions ne s'appliqueront qu'à certaines catégories de fichiers à caractère personnel dont la liste sera déposée.
  4. Toute Partie qui a exclu certaines catégories de fichiers automatisés de données à caractère personnel par la déclaration prévue à l'alinéa 2.a ci-dessus ne peut pas prétendre à l'application de la présente Convention à de telles catégories par une Partie qui ne les a pas exclues.
  5. De même, une Partie qui n'a pas procédé à l'une ou à l'autre des extensions prévues aux paragraphes 2.b et c du présent article ne peut se prévaloir de l'application de la présente Convention sur ces points à l'égard d'une Partie qui a procédé à de telles extensions.
  6. Les déclarations prévues au paragraphe 2 du présent article prendront effet au moment de l'entrée en vigueur de la Convention à l'égard de l'Etat qui les a formulées, si cet Etat les a faites lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou trois mois après leur réception par le Secrétaire Général du Conseil de l'Europe si elles ont été formulées à un moment ultérieur. Ces déclarations pourront être retirées en tout ou en partie par notification adressée au Secrétaire Général du Conseil de l'Europe. Le retrait prendra effet trois mois après la date de réception d'une telle notification.
Chapitre II – Principes de base pour la protection des données

Article 4 – Engagements des Parties
  1. Chaque Partie prend, dans son droit interne, les mesures nécessaires pour donner effet aux principes de base pour la protection des données énoncés dans le présent chapitre.
  2. Ces mesures doivent être prises au plus tard au moment de l'entrée en vigueur de la présente Convention à son égard.
Article 5 – Qualité des données

Les données à caractère personnel faisant l'objet d'un traitement automatisé sont:
  1. obtenues et traitées loyalement et licitement;
  2. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités;
  3. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées;
  4. exactes et si nécessaire mises à jour;
  5. conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
Article 6 – Catégories particulières de données

Les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales.

Article 7 – Sécurité des données

Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisés.

Article 8 – Garanties complémentaires pour la personne concernée

Toute personne doit pouvoir:
  1. connaître l'existence d'un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier;
  2. obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible;
  3. obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention;
  4. disposer d'un recours s'il n'est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d'effacement, visée aux paragraphes b et c du présent article.
Article 9 – Exceptions et restrictions
  1. Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n'est admise, sauf dans les limites définies au présent article.
  2. Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique:
    1. à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales;
    2. à la protection de la personne concernée et des droits et libertés d'autrui.
  3. Des restrictions à l'exercice des droits visés aux paragraphes b, c et d de l'article 8 peuvent être prévues par la loi pour les fichiers automatisés de données à caractère personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu'il n'existe manifestement pas de risques d'atteinte à la vie privée des personnes concernées.
Article 10 – Sanctions et recours

Chaque Partie s'engage à établir des sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre.

Article 11 – Protection plus étendue

Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte à la faculté pour chaque Partie d'accorder aux personnes concernées une protection plus étendue que celle prévue par la présente Convention.

Chapitre III – Flux transfrontières de données

Article 12 – Flux transfrontières de données à caractère personnel et droit interne
  1. Les dispositions suivantes s'appliquent aux transferts à travers les frontières nationales, quel que soit le support utilisé, de données à caractère personnel faisant l'objet d'un traitement automatisé ou rassemblées dans le but de les soumettre à un tel traitement.
  2. Une Partie ne peut pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d'une autre Partie.
  3. Toutefois, toute Partie a la faculté de déroger aux dispositions du paragraphe 2:
    1. dans la mesure où sa législation prévoit une réglementation spécifique pour certaines catégories de données à caractère personnel ou de fichiers automatisés de données à caractère personnel, en raison de la nature de ces données ou de ces fichiers, sauf si la réglementation de l'autre Partie apporte une protection équivalente;
    2. lorsque le transfert est effectué à partir de son territoire vers le territoire d'un Etat non contractant par l'intermédiaire du territoire d'une autre Partie, afin d'éviter que de tels transferts n'aboutissent à contourner la législation de la Partie visée au début du présent paragraphe.
Chapitre IV – Entraide

Article 13 – Coopération entre les Parties
    1. Les Parties s'engagent à s'accorder mutuellement assistance pour la mise en œuvre de la présente Convention.
    2. A cette fin,
      1. chaque Partie désigne une ou plusieurs autorités dont elle communique la dénomination et l'adresse au Secrétaire Général du Conseil de l'Europe;
      2. chaque Partie qui a désigné plusieurs autorités indique dans la communication visée à l'alinéa précédent la compétence de chacune de ces autorités.
  1. Une autorité désignée par une Partie, à la demande d'une autorité désignée par une autre Partie:
    1. fournira des informations sur son droit et sur sa pratique administrative en matière de protection des données;
    2. prendra, conformément à son droit interne et aux seules fins de la protection de la vie privée, toutes mesures appropriées pour fournir des informations de fait concernant un traitement automatisé déterminé effectué sur son territoire à l'exception toutefois des données à caractère personnel faisant l'objet de ce traitement.
Article 14 – Assistance aux personnes concernées ayant leur résidence à l'étranger
  1. Chaque Partie prête assistance à toute personne ayant sa résidence à l'étranger pour l'exercice des droits prévus par son droit interne donnant effet aux principes énoncés à l'article 8 de la présente Convention.
  2. Si une telle personne réside sur le territoire d'une autre Partie, elle doit avoir la faculté de présenter sa demande par l'intermédiaire de l'autorité désignée par cette Partie.
  3. La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment:
    1. le nom, l'adresse et tous autres éléments pertinents d'identification concernant le requérant;
    2. le fichier automatisé de données à caractère personnel auquel la demande se réfère ou le maître de ce fichier;
    3. le but de la demande.
Article 15 – Garanties concernant l'assistance fournie par les autorités désignées
  1. Une autorité désignée par une Partie qui a reçu des informations d'une autorité désignée par une autre Partie, soit à l'appui d'une demande d'assistance, soit en réponse à une demande d'assistance qu'elle a formulée elle-même, ne pourra faire usage de ces informations à des fins autres que celles spécifiées dans la demande d'assistance.
  2. Chaque Partie veillera à ce que les personnes appartenant ou agissant au nom de l'autorité désignée soient liées par des obligations appropriées de secret ou de confidentialité à l'égard de ces informations.
  3. En aucun cas, une autorité désignée ne sera autorisée à faire, aux termes de l'article 14, paragraphe 2, une demande d'assistance au nom d'une personne concernée résidant à l'étranger, de sa propre initiative et sans le consentement exprès de cette personne.
Article 16 – Refus des demandes d'assistance

Une autorité désignée, saisie d'une demande d'assistance aux termes des articles 13 ou 14 de la présente Convention, ne peut refuser d'y donner suite que si:
  1. la demande est incompatible avec les compétences, dans le domaine de la protection des données, des autorités habilitées à répondre;
  2. la demande n'est pas conforme aux dispositions de la présente Convention;
  3. l'exécution de la demande serait incompatible avec la souveraineté, la sécurité ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette Partie.
Article 17 – Frais et procédures de l'assistance
  1. L'entraide que les Parties s'accordent aux termes de l'article 13, ainsi que l'assistance qu'elles prêtent aux personnes concernées résidant à l'étranger aux termes de l'article 14, ne donnera pas lieu au paiement des frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a désigné l'autorité qui a fait la demande d'assistance.
  2. La personne concernée ne peut être tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d'une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie.
  3. Les autres modalités relatives à l'assistance concernant notamment les formes et procédures ainsi que les langues à utiliser seront établies directement entre les Parties concernées.
Chapitre V – Comité consultatif

Article 18 – Composition du comité
    1. Un comité consultatif est constitué après l'entrée en vigueur de la présente Convention.
    2. Toute Partie désigne un représentant et un suppléant à ce comité. Tout Etat membre du Conseil de l'Europe qui n'est pas Partie à la Convention a le droit de se faire représenter au comité par un observateur.
    3. Le comité consultatif peut, par une décision prise à l'unanimité, inviter tout Etat non membre du Conseil de l'Europe qui n'est pas Partie à la Convention à se faire représenter par un observateur à l'une de ses réunions.
Article 19 – Fonctions du comité

Le comité consultatif:
  1. peut faire des propositions en vue de faciliter ou d'améliorer l'application de la Convention;
  2. peut faire des propositions d'amendement à la présente Convention conformément à l'article 21;
  3. formule un avis sur toute proposition d'amendement à la présente Convention qui lui est soumis conformément à l'article 21 , paragraphe 3;
  4. peut, à la demande d'une Partie, exprimer un avis sur toute question relative à l'application de la présente Convention.
Article 20 – Procédure
  1. Le comité consultatif est convoqué par le Secrétaire Général du Conseil de l'Europe. Il tient sa première réunion dans les douze mois qui suivent l'entrée en vigueur de la présente Convention. Il se réunit par la suite au moins une fois tous les deux ans et, en tout cas, chaque fois qu'un tiers des représentants des Parties demande sa convocation.
  2. La majorité des représentants des Parties constitue le quorum nécessaire pour tenir une réunion du comité consultatif.
  3. A l'issue de chacune de ses réunions, le comité consultatif soumet au Comité des Ministres du Conseil de l'Europe un rapport sur ses travaux et sur le fonctionnement de la Convention.
  4. Sous réserve des dispositions de la présente Convention, le Comité consultatif établit son règlement intérieur.
Chapitre VI – Amendements

Article 21 – Amendements
    1. Des amendements à la présente Convention peuvent être proposés par une Partie, par le Comité des Ministres du Conseil de l'Europe ou par le comité consultatif.
    2. Toute proposition d'amendement est communiquée par le Secrétaire Général du Conseil de l'Europe aux Etats membres du Conseil de l'Europe et à chaque Etat non membre qui a adhéré ou a été invité à adhérer à la présente Convention conformément aux dispositions de l'article 23.
    3. En outre, tout amendement proposé par une Partie ou par le Comité des Ministres est communiqué au comité consultatif qui soumet au Comité des Ministres son avis sur l'amendement proposé.
    4. Le Comité des Ministres examine l'amendement proposé et tout avis soumis par le comité consultatif et peut approuver l'amendement.
    5. Le texte de tout amendement approuvé par le Comité des Ministres conformément au paragraphe 4 du présent article est transmis aux Parties pour acceptation.
    6. Tout amendement approuvé conformément au paragraphe 4 du présent article entrera en vigueur le trentième jour après que toutes les Parties auront informé le Secrétaire Général qu'elles l'ont accepté.
Chapitre VII – Clauses finales

Article 22 – Entrée en vigueur
    1. La présente Convention est ouverte à la signature des Etats membres du Conseil de l'Europe. Elle sera soumise à ratification, acceptation ou approbation. Les instruments de ratification, d'acceptation ou d'approbation seront déposés près le Secrétaire Général du Conseil de l'Europe.
    2. La présente Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle cinq Etats membres du Conseil de l'Europe auront exprimé leur consentement à être liés par la Convention conformément aux dispositions du paragraphe précédent.
    3. Pour tout Etat membre qui exprimera ultérieurement son consentement à être lié par la Convention, celle-ci entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument de ratification, d'acceptation ou d'approbation.
Article 23 – Adhésion d'Etats non membres
  1. Après l'entrée en vigueur de la présente Convention, le Comité des Ministres du Conseil de l'Europe pourra inviter tout Etat non membre du Conseil de l'Europe à adhérer à la présente Convention par une décision prise à la majorité prévue à l'article 20.d du Statut du Conseil de l'Europe et à l'unanimité des représentants des Etats contractants ayant le droit de siéger au comité.
  2. Pour tout Etat adhérant, la Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument d'adhésion près le Secrétaire Général du Conseil de l'Europe.
Article 24 – Clause territoriale
  1. Tout Etat peut, au moment de la signature ou au moment du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, désigner le ou les territoires auxquels s'appliquera la présente Convention.
  2. Tout Etat peut, à tout autre moment par la suite, par une déclaration adressée au Secrétaire Général du Conseil de l'Europe, étendre l'application de la présente Convention à tout autre territoire désigné dans la déclaration. La Convention entrera en vigueur à l'égard de ce territoire le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la déclaration par le Secrétaire Général.
  3. Toute déclaration faite en vertu des deux paragraphes précédents pourra être retirée, en ce qui concerne tout territoire désigné dans cette déclaration, par notification adressée au Secrétaire Général. Le retrait prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois après la date de réception de la notification par le Secrétaire Général.
Article 25 – Réserves

Aucune réserve n'est admise aux dispositions de la présente Convention.

Article 26 – Dénonciation
  1. Toute Partie peut, à tout moment, dénoncer la présente Convention en adressant une notification au Secrétaire Général du Conseil de l'Europe.
  2. La dénonciation prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois après la date de réception de la notification par le Secrétaire Général.
Article 27 – Notifications

Le Secrétaire Général du Conseil de l'Europe notifiera aux Etats membres du Conseil et à tout Etat ayant adhéré à la présente Convention:

  1. toute signature;
  2. le dépôt de tout instrument de ratification, d'acceptation, d'approbation ou d'adhésion;
  3. toute date d'entrée en vigueur de la présente Convention conformément à ses articles 22, 23 et 24;
  4. tout autre acte, notification ou communication ayant trait à la présente Convention.
En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé la présente Convention.

Fait à Strasbourg, le 28 janvier 1981, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l'Europe. Le Secrétaire Général du Conseil de l'Europe en communiquera copie certifiée conforme à chacun des Etats membres du Conseil de l'Europe et à tout Etat invité à adhérer à la présente Convention.