Protection juridique des données personnelles, Conseil de l’Europe

3- Le Conseil de l’Europe
Le rôle du Conseil de l’Europe en matière de protection des données personnelles n’est pas des moindres. Déjà, le chapitre III de la Convention n°108 du 28 janvier 1981 prévoit que les parties ne peuvent pas, afin de protéger la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d’un autre Etat partie (art. 12). Cependant des dérogations sont prévues.
D’autre part, la recommandation du Comité des Ministres du 23 février 1999, sur la vie privée sur Internet, établit des instructions pour la protection des particuliers en ce qui concerne la collecte et le traitement des données personnelles sur les autoroutes de l’information. Les Etats membres sont invités à assurer la large diffusion des instructions auprès des utilisateurs et des prestataires de services sur Internet.
Dans sa déclaration sur une politique européenne pour les nouvelles technologies de l’information, le Comité des Ministres suggère aux Etats membres des mesures pour les nouvelles technologies, en ce qui concerne l’accès et la participation, la compétence et l’habilitation, la créativité des individus et des industries culturelles, la diversité du contenu et des langues et la protection des droits et des libertés.
Enfin, le Conseil de l’Europe a préparé un protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108) concernant les autorités de contrôle et les flux transfrontières de données. Ce texte renforcera la protection des données personnelles et de la vie privée, en complétant la «convention-mère» de 1981 sur deux points : il prévoit l’établissement d’autorités de contrôle chargées d’assurer le respect des lois ou règlements introduits par les Etats en application de la Convention concernant la protection des données personnelles et les flux transfrontières de données. Le deuxième point concerne les flux transfrontières de données vers des pays tiers, qui ne pourront être transférées que si elles bénéficient dans l’Etat ou l’organisation internationale destinataire, d’un niveau de protection adéquat. Le Protocole sera ouvert à la signature à Strasbourg le 8 novembre 2001, à l’occasion de la 109e Session du Comité des Ministres du Conseil de l’Europe.
4- Les lignes directrices de l’OCDE et des Nations Unies
Le 23 septembre 1980, l’OCDE a adopté une recommandation en matière de protection des données personnelles. Des lignes directrices y sont annexées. Par ce texte, l’OCDE recommande aux Etats membres de s’efforcer « de supprimer ou d’éviter de créer, au nom de la protection de la vie privée, des obstacles injustifiés aux flux transfrontières de données à caractère personnel » (point 2). Il énonce un certain nombre de principes généraux : la limitation en matière de collecte, le principe de la qualité des données, de la spécification des finalités, de la limitation de l’utilisation, des garanties de sécurité, de transparence, de participation individuelle et de responsabilité. Ce texte a servi de source d’inspiration à la directive n°95/46/CE du 24 octobre 1995.
Il faut noter qu’à la suite de la conférence d’Ottawa d’octobre 1998, l’OCDE a adopté une recommandation relative aux lignes directrices régissant la protection des consommateurs dans le contexte de commerce électronique 225. Certains aspects de la recommandation touchent à la protection de la vie privée.
Dans le domaine de l’échange des données personnelles (EDI), la norme la plus connue est la norme EDIFACT des Nations Unies. Cette norme contient un ensemble de règles, qui sont notamment relatives à la structure des messages d’échange des données. Elle donne des exemples de messages.
B- L’obligation de déclaration aux autorités compétentes : l’exemple de la CNIL
En Allemagne, la loi fédérale du 21 janvier 1977 a créé une « Autorité de supervision », une procédure d’enregistrement et un Commissaire fédéral à la protection226. Au Danemark, l’article 10 du Payment Card Act 1984 prévoit que « si l’Ombudsman n’est pas satisfait avec les mesures de sécurité [prises par le responsable], il oblige celui-ci de les changer et de négocier avec l’autorité compétente. En cas d’échec, l’Ombudsman peut prononcer des sanctions ». En Grèce, la loi n°2472/1997 sur la protection des données personnelles, transposant la directive communautaire, crée une autorité compétente. La loi prévoit également les conditions de notification à l’Autorité des données et les pouvoirs de celle-ci (y compris le pouvoir de sanctionner ceux qui violent la loi). Au Royaume Uni, la Data Protection Act 1998 (section 1, sous section 4), définit le « contrôleur des données » comme toute personne qui détermine les objectifs et les méthodes selon lesquels les informations personnelles sont ou doivent être traitées227.
En France, la loi 6 janvier 1978, relative à l’informatique a créé une autorité administrative indépendante : la CNIL.
Tout traitement nominatif doit être déclaré à la CNIL, qu’il s’agisse d’un traitement directement nominatif228 ou d’un traitement indirectement nominatif. Ce dernier est défini comme le traitement permettant d’identifier une personne physique sans que son nom apparaisse en clair. Les données bancaires (par exemple, le numéro de carte bancaire) constituent une donnée indirectement nominative.
Dans toutes les hypothèses, le marchand doit procéder à une déclaration au CNIL229.
A l’occasion du conseil des ministres du 18 juillet dernier, la ministre de la Justice a présenté un projet de loi renforçant le contrôle des fichiers informatiques230. Destiné à transposer la directive européenne du 24 octobre 1995 sur le traitement des données à caractère personnel, ce texte accroît considérablement les pouvoirs de la Commission nationale informatique et libertés. En effet, la CNIL se voit conférer de nouvelles prérogatives de contrôle. Les fichiers commerciaux contenant des données personnelles seront désormais soumis à un contrôle préalable, et non plus à une simple déclaration préalable. Ce contrôle pourra, également, être pratiqué a posteriori et sera étendu à tous les fichiers, alors que seuls les dossiers publics étaient concernés jusqu’ici. De plus, la CNIL aura désormais un pouvoir de sanction et pourra infliger des amendes d’un montant maximal de 150.000 € (soit 983.935,50 FF). Ce plafond pourra être doublé en cas de récidive.
Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA
________________________________________
225 Signée le 9 décembre 1999.
226 La loi a été modifiée par la loi fédérale sur les activités en ligne du 1er juillet 1997, et l’accord entre Länder sur les médias électroniques.
227 A propos du traitement des informations personnelles dans des documents publiés à des fins journalistiques, littéraires ou artistiques. la loi donne le pouvoir au contrôleur des données de demander une exemption des parties spécifiques du texte « s’il croit …qu’une publication serait d’intérêt public… » (section 32).
228 Il s’agit de tout traitement utilisant les noms des personnes physiques.
229 Seuls sont exonérés de déclaration, sous certaines conditions, les traitements :
– de la comptabilité générale (délibération n°80-034 de la CNIL);
– des registres des membres ou des correspondants des églises ou des regroupements à caractère religieux, philosophique, politique ou syndical (art.31 de la loi du 6 janvier 1978).
230 Voir Annexe : Textes, 3- PROJET DE LOI relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (extraits). Le projet sera présenté aux Chambres avant la fin de l’année.