02
déc.
2024
Actualités juridiques
Droit international et européen
Données personnelles
2024
Actualités juridiques
Droit international et européen — Données personnelles
Protection des données personnelles : ratification du Protocole d'amendement (STCE n°223) à la Convention 108 du Conseil de l'Europe (projet de loi n° 1053 voté)
Le projet de loi n° 1053 portant approbation de ratification du protocole d’amendement à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (« Convention 108+ ») a été reçu par le Conseil National le 20 décembre 2021 et voté le 28 décembre 2024, concomitamment au projet de loi n° 1054 réformant le dispositif de protection des données personnelles (remplaçant la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives modifiée.
Le Protocole d’amendement modernise et renforce l’effectivité de la Convention 108 du 28 janvier 1981 et de son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données.
La réforme de la législation relative à la protection des données personnelles transcrit les nouvelles exigences de la Convention 108+ du Conseil de l’Europe (dont l’approbation de ratification par le Parlement est l’objet du projet de loi n°1053 ici présenté). Le Protocole d’amendement a modernisé et renforcé l’effectivité de la Convention 108 du 28 janvier 1981 et de son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données.
Par ailleurs, la nouvelle législation monégasque est alignée sur les standards du « paquet de protection des données » de l’Union Européenne constitué du Règlement UE) 2016/679 « RGPD » / « GDPR », et de la Directive (UE) 2016/680 « Police Justice » (afin d’obtenir une décision d’adéquation de la Commission Européenne et ainsi faciliter le transfert des données personnelles de l’Union Européenne vers Monaco).
* * *
EN SAVOIR PLUS SUR LA CONVENTION 108+
♦ Signature et ratification par Monaco, entrée en vigueur de la Convention 108+
La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (STE n° 108, dite « Convention 108 » ) et son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (STE n° 181) sont en vigueur à Monaco depuis le 1er avril 2009 (Ordonnances Souveraines n° 2.118 et n° 2.119 du 23 mars 2009).
Monaco a été parmi les premiers signataires du Protocole d’amendement (STCE n°223) à la Convention 108 à Strasbourg, le 10 octobre 2018, date de son ouverture à la signature des États parties (membres ou non membres du Conseil de l’Europe). Ont signé le Protocole d’amendement le même jour que Monaco, 19 autres États membres du Conseil de l’Europe (Allemagne, Autriche, Belgique, Bulgarie, Espagne, Estonie, Finlande, France, Irlande, Lettonie, Lituanie, Luxembourg, Norvège, Pays-Bas, Portugal, Russie, Suède, République tchèque, Royaume-Uni), ainsi que l’Uruguay, État non membre du Conseil de l’Europe.
La Constitution (C) monégasque requiert que la ratification du Protocole d’amendement à la Convention 108 soit au préalable approuvée par le Conseil National :
- Article 14, 2e alinéa, chiffre 2° - traités et accords internationaux dont la ratification entraîne la modification de dispositions législatives existantes ;
- et 4° - traités et accords internationaux dont l’exécution a pour effet de créer une charge budgétaire relative à des dépenses dont la nature ou la destination n’est pas prévue par la loi de budget). En vertu de la Convention 108+ (nouvel article 11, dernier alinéa, introduit par l’article 14 du Protocole d’amendement), les activités de traitement à des fins de sécurité nationale et de défense (articles 9 à 19 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale) doivent être contrôlés et supervisés par une Commission indépendante, dont il est projeté qu’elle fera l’objet d’une ligne spécifique au sein du budget de l’Etat pour retracer ses dépenses.)
Au 3 décembre 2024, le Protocole d’amendement a été ratifié par 31 Etats. 22 Etats (dont Monaco) doivent ratifier le Protocole d'amendement pour que ce dernier entre en vigueur (Article 37).
♦ Convention 108+ et Règlement général sur la protection des données de l’Union Européenne (RGPD/GDPR)
Le Comité ad hoc sur la protection des données (CAHDATA) chargé de finaliser la modernisation, a été particulièrement attentif à ce que la Convention 108 amendée soit cohérente avec le Règlement général sur la protection des données de l’Union Européenne (RGPD, en anglais GDPR) entré en vigueur le 25 mai 2018 qui « amplifie les principes de la Convention » (Rapport explicatif de la Convention n°108 telle qu’amendée par le Protocole STCE n° 223, 10 octobre 2018).
Inversement, le RGPD tient compte s’agissant d’évaluer si un pays tiers à l’UE offre un niveau adéquat de protection des données essentiellement équivalent à celui de l’UE (si oui, les transferts de données personnelles vers ce pays tiers ne nécessitent pas l’obtention d’une autorisation), de son adhésion à la Convention (Considérant 105 du RGPD).
♦ Nouveautés introduites par le Protocole d’amendement
Préambule
- Mention de la dignité humaine (les personnes ne doivent pas être traitées comme de simples objets) et du droit à l’autonomie personnelle (contrôler ses propres données et leur traitement).
- Rôle du droit à la protection des données personnelles dans la société et conciliation avec d’autres droits de l’homme et libertés fondamentales dont la liberté d’expression.
- Principe du droit d’accès aux documents officiels.
- Intensification de la coopération internationale entre les autorités de contrôle.
Objet et but
- Le traitement des données personnelles peut permettre de manière positive l’exercice d’autres libertés et droits fondamentaux.
Définitions et champ d’application
- Suppression du concept de « fichier ».
- Le « maître du fichier » devient le « responsable du traitement ».
- Insertion du « sous-traitant » et du « destinataire ».
- Le traitement des données par une personne physique dans l’exercice d’activités personnelles ou domestiques ne fait plus partie du champ d’application de la Convention.
- Suppression de la possibilité de déclarer que la Convention ne s’applique pas à certains types de traitements listés par l’État partie.
Principes de base
- Assurer l’application effective de dispositions de la Convention (mesures internes devant être entrées en vigueur au moment de la ratification de la Convention, évaluation par le Comité conventionnel de leur efficacité).
- Légitimité du traitement (principe de proportionnalité à chaque étape du traitement, principe de limitation des données, traitement basé sur le consentement « libre, spécifique, éclairé et non-équivoque » de la personne concernée ou d’autres fondements légitimes prévus par la loi).
- Élargissement de la liste des données sensibles (données génétiques et biométriques, données traitées pour les informations qu’elles révèlent sur l’appartenance syndicale ou l’origine ethnique).
- Respect de la vie privée dès la conception (privacy by design).
- Obligation de notification du responsable du traitement des violations en matière de sécurité des données, limitée au cas où celles-ci sont susceptibles de porter une atteinte grave aux droits et libertés fondamentales des personnes concernées (« sans délai excessif, à tout le moins à l’autorité de contrôle »).
- Garantie de la transparence du traitement par le responsable du traitement, tenu de fournir une série d’informations sauf si le traitement est expressément prévu par la loi ou si cela lui est impossible ou implique des efforts disproportionnés (identité et résidence ou lieu d’établissement habituel, base légale et finalité du traitement, catégories de données traitées, destinataires, moyens d’exercer les droits).
- Octroi de nouveaux droits aux personnes concernées (élargissement des informations à transmettre en cas d’exercice du droit d’accès, droit d’obtenir connaissance du raisonnement sous-tendant le traitement – profilage – et de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, droit de s’opposer à tout moment au traitement).
- Ajout d’exceptions et de restrictions aux droits (« objectifs essentiels d’intérêt public », traitements à des fins de sécurité nationale et défense soumis à un contrôle et à une supervision indépendants et effectifs).
Flux transfrontières
- Exception aux flux de données entre les Parties à la Convention (risque réel et sérieux que le transfert conduise à contourner les dispositions de la Convention).
- Clarification de la garantie d’un niveau de protection des données approprié pour les transferts vers des juridictions non parties (« règles de droit », « garanties ad hoc ou standardisées agréées, établies par des instruments juridiquement contraignants et opposables » et correctement mises en œuvre).
Autorités de contrôle
- Sensibilisation du public, de fourniture de renseignements et d’information de tous les acteurs concernés.
- Décisions relatives aux violations des dispositions de la Convention et pouvoir d’infliger des sanctions administratives.
Coopération et entraide
- Formes (échange d’informations, coordination des investigations et interventions, actions conjointes)
- Les autorités de contrôle doivent se constituer en réseau.
Comité conventionnel
- Pouvoir d’évaluation avant la ratification (avis sur le niveau de protection).
- Pouvoir de surveillance (effectivité des mesures prises, normes légales régissant les transferts de données).
* * *
Autres publications