La protection de la vie privée et des données à caractère personnel sur l'internet et les médias en ligne
- Auteur(s) :
- Assemblée parlementaire
- Origine
- Discussion par l’Assemblée
le 7 octobre 2011 (36e séance) (voir Doc. 12695, rapport de la commission
de la culture, de la science et de l'éducation, rapporteur: Mme
Rihter; Doc. 12726,
avis de la commission des questions juridiques et des droits de
l'homme, rapporteur: M. Salles). Texte adopté par l’Assemblée le
7 octobre 2011 (36e séance). Voir également la Recommandation 1984
(2011).
- Thesaurus
1. Tout en saluant les progrès historiques
des technologies de l’information et de la communication (ci-après
«TIC») et les effets positifs qui en découlent pour les individus,
les sociétés et notre civilisation tout entière, l’Assemblée parlementaire
note avec préoccupation que la numérisation des informations a engendré des
possibilités sans précédent d’identifier les individus grâce à leurs
données. Les données personnelles sont traitées par un nombre toujours
croissant d’organismes privés et d’instances publiques dans le monde.
Les informations à caractère personnel sont introduites dans le
cyberespace par les utilisateurs eux-mêmes et par des tiers. Les
individus laissent des traces de leur identité en utilisant les
TIC. L’établissement de profils d’utilisateurs de l’internet est
devenu un phénomène répandu. Les sociétés surveillent parfois leurs
employés et leurs contacts commerciaux au moyen des TIC.
2. En outre, les systèmes fondés sur les TIC sont souvent infiltrés
dans le but d’obtenir des données relatives à des entités juridiques,
en particulier les sociétés commerciales, les institutions financières,
les instituts de recherche et les pouvoirs publics. Ce type d’accès
pourrait causer des préjudices économiques au secteur privé et avoir
une incidence négative sur le bien-être économique des Etats, la
sûreté publique ou la sécurité nationale.
3. L’Assemblée s’alarme de cette évolution qui remet en cause
le droit à la vie privée et à la protection des données. Dans un
Etat démocratique régi par la prééminence du droit, le cyberespace
ne doit pas être considéré du point de vue juridique comme un espace
où le droit, et en particulier les droits de l’homme, ne s’applique
pas.
4. L’Assemblée rappelle le droit fondamental au respect de la
vie privée et familiale, du domicile et de la correspondance, tel
qu’il est garanti par l’article 8 de la Convention européenne des
droits de l’homme (STE no 5). Ce droit comprend le droit à la protection
des données à caractère personnel ainsi que l’obligation des Etats,
à cet égard, de prévoir des garanties appropriées dans le cadre
de la loi nationale.
5. L’Assemblée souligne la nécessité de lutter efficacement contre
la collecte, la diffusion et la consultation, par le biais des technologies
de l’information et de la communication, et notamment de l’internet,
de la pornographie enfantine, conformément aux dispositions de la
Convention du Conseil de l’Europe sur la protection des enfants
contre l’exploitation et les abus sexuels (STCE no 201).
6. Rappelant qu’elle soutient de longue date la protection de
la vie privée depuis sa Recommandation 509 (1968) relative aux droits
de l’homme et aux réalisations scientifiques et technologiques modernes, l’Assemblée
accueille avec satisfaction et appuie la Résolution no 3 sur la
protection des données et la vie privée au IIIe millénaire, qui
a été adoptée lors de la 30e Conférence des ministres de la Justice
du Conseil de l’Europe (Istanbul, 24-26 novembre 2010).
7. Comme l’Assemblée le déclarait dans sa Résolution 428 (1970)
portant déclaration sur les moyens de communication de masse et
les droits de l’homme :«Lorsque
des banques régionales, nationales ou internationales de données
informatiques sont instituées, l’individu ne doit pas être rendu
totalement vulnérable par l’accumulation d’informations concernant
sa vie privée. Ces centres doivent enregistrer uniquement le minimum
de renseignements nécessaires…».
8. Faisant référence à la Convention pour la protection des personnes
à l’égard du traitement automatisé des données à caractère personnel
(STE no 108, ci-après «Convention no 108»), l’Assemblée souligne
que le droit à la protection des données à caractère personnel comprend
notamment le droit à ce que ces données soient traitées loyalement
et de manière sécurisée, pour des finalités déterminées et légitimes,
et le droit de chacun de connaître, de consulter et de rectifier
les données à caractère personnel traitées par des tiers ou de supprimer
les données à caractère personnel qui ont été traitées sans autorisation.
Le respect de ces obligations doit être supervisé par une autorité
indépendante, conformément au Protocole additionnel à la Convention
no 108, concernant les autorités de contrôle et les flux transfrontières
de données (STCE no 181).
9. L’Assemblée réaffirme que les Etats membres ne devraient transférer
des données à caractère personnel vers un autre Etat ou une organisation
que si cet Etat ou cette organisation est Partie à la Convention no
108 et à son protocole additionnel ou assure un niveau de protection
adéquat pour le transfert considéré. Les transferts de données à
caractère personnel qui violent le droit à la protection de la vie
privée garanti par l’article 8 de la Convention européenne des droits
de l’homme peuvent faire l’objet de recours devant les juridictions
nationales et, en dernier ressort, devant la Cour européenne des
droits de l’homme.
10. L’Assemblée se félicite de ce que la Convention no 108 ait
été signée et ratifiée par presque tous les Etats membres du Conseil
de l’Europe – à l’exception, regrettable, de l’Arménie, de la Fédération
de Russie, de Saint-Marin et de la Turquie – et note que les articles 7
et 8 de la Charte des droits fondamentaux de l’Union européenne
contiennent dans une large mesure les mêmes principes. Face à la
mondialisation croissante des services fournis par les TIC, il est
de la plus grande urgence pour toute l’Europe d’adhérer aux mêmes
normes et de s’efforcer d’impliquer d’autres pays dans le monde.
11. Si l’article 17 du Pacte international relatif aux droits
civils et politiques (ci-après «PIDCP») reconnaît le droit à la
vie privée, l’interprétation juridique et l’application pratique
de cet article restent nettement en deçà des normes européennes.
L’Assemblée estime donc que toute initiative de portée mondiale
devrait être fondée sur la Convention no 108 et son protocole additionnel,
tous deux étant en principe ouverts à la signature d’Etats non membres
du Conseil de l’Europe.
12. Bien que l’usage de technologies et de logiciels de prévention,
la pratique de l’autorégulation volontaire par les fournisseurs
de TIC et les utilisateurs privés ainsi qu’une meilleure sensibilisation
des utilisateurs puissent réduire le risque d’ingérence dans la
vie privée et le traitement préjudiciable des données à caractère personnel
au moyen des TIC, l’Assemblée estime que seule une législation spécifique
et une mise en application effective peuvent assurer suffisamment
le droit à la protection de la vie privée et des données à caractère
personnel visé par l’article 17 du PIDCP et l’article 8 de la Convention
européenne des droits de l’homme.
13. L’Assemblée déplore que l’absence de normes juridiques mondialement
acceptées sur la protection des données concernant les réseaux et
services fondés sur les TIC débouche sur une insécurité juridique
et contraigne les tribunaux nationaux à combler ce vide, au cas
par cas, en interprétant les lois internes à la lumière de l’article
17 du PIDCP et de l’article 8 de la Convention européenne des droits
de l’homme. Non seulement cela expose les individus à une inégalité
dans la protection de leurs droits, mais entraîne aussi des exigences
différentes et variables pour les fournisseurs de TIC et les utilisateurs
au niveau global, rendant le niveau de responsabilité pratiquement
imprévisible.
14. L’Assemblée se félicite de la coopération internationale établie
entre les autorités indépendantes de protection des données et appuie
les efforts qu’elles déploient pour garantir la protection internationale commune
de la vie privée et des données à caractère personnel face aux développements
rapides des technologies, comme l’attestent leurs résolutions adoptées
à Madrid en 2009 et à Jérusalem en 2010. L’Assemblée partage leur
avis selon lequel la Convention no 108 devrait être soutenue au
niveau mondial, car il s’agit de l’ensemble de normes les plus avancées
dans ce domaine en droit international public.
15. Rappelant la Convention sur la cybercriminalité (STE no 185),
l’Assemblée se félicite du fait que plus de 100 Etats aient adopté
une législation qui s’inspire de l’esprit de cette convention. En
vertu des articles 2, 3 et 4 de ladite convention, ses Parties sont
tenues d’ériger en infraction pénale dans leur droit interne tout
accès, interception et manipulation de données informatiques effectués
sciemment, sans autorisation. Ces données informatiques peuvent
contenir des données à caractère personnel de personnes physiques
et des données à caractère confidentiel de personnes morales présentes
sur les réseaux informatiques.
16. Rappelant l’article 10 de la Convention sur les droits de
l’homme et la biomédecine (STE no 164) et l’article 16 de son Protocole
additionnel relatif aux tests génétiques à des fins médicales (SCTE
no 203), l’Assemblée insiste sur le droit de chacun à la protection
des informations relatives à sa santé, notamment le droit d’être
informé de toute collecte et traitement de ces données au moyen
des TIC et d’y consentir ou non. Les données à caractère sanitaire
et médical des personnes exigent le niveau le plus élevé de protection
des données, car elles constituent l’un des éléments essentiels
de la vie privée et de la dignité humaine.
17. L’Assemblée rappelle également l’obligation de respecter le
droit à la vie privée et à la protection des données en vertu de
la Convention du Conseil de l’Europe sur l’accès aux documents publics
(STCE no 205) ainsi que les limites fixées à la protection des données
à caractère personnel par la Convention du Conseil de l’Europe relative
au blanchiment, au dépistage, à la saisie et à la confiscation des
produits du crime et au financement du terrorisme (STCE n° 198)
et par la Convention concernant l’assistance administrative mutuelle en
matière fiscale (STE no 127) et son protocole d’amendement (STCE
no 208).
18. L’Assemblée approuve les principes généraux suivants concernant
la protection de la vie privée et des données à caractère personnel
dans un environnement de TIC:
18.1 la
protection de la vie privée est un élément nécessaire de la vie
humaine et du fonctionnement humain d’une société démocratique;
toute violation de la vie privée d’une personne met en jeu sa dignité, sa
liberté et sa sécurité;
18.2 le droit à la protection de la vie privée et des données
à caractère personnel est un droit fondamental qui impose aux Etats
l’obligation de fournir un cadre juridique adapté à une telle protection contre
toute ingérence des pouvoirs publics, de simples particuliers ou
d’entités privées;
18.3 toute personne doit pouvoir contrôler l’utilisation par
d’autres de ses données à caractère personnel, notamment l’accès,
la collecte, le stockage, la divulgation, la manipulation, l’exploitation
ou autre traitement de ces données, à l’exception de la rétention
licite ou techniquement nécessaire des données de trafic liées aux
TIC et des données de localisation; le contrôle de l’utilisation
des données à caractère personnel doit comprendre le droit de chacun
de connaître et de rectifier les données qui le concernent, et de
faire supprimer des systèmes et réseaux fondés sur les TIC toutes
les données qui ont été fournies sans obligation juridique;
18.4 les données à caractère personnel ne doivent pas être
utilisées par d’autres sans consentement préalable de la personne
concernée, ce qui exige l’expression d’un consentement en connaissance
de cause concernant cette utilisation, à savoir une manifestation
de volonté libre, spécifique et informée, et exclut tout usage tacite
ou automatique; le consentement peut être retiré à tout moment par
la suite; dans ce cas, les données à caractère personnel ne peuvent
plus être utilisées;
18.5 lorsque des données à caractère personnel doivent être
utilisées à des fins d’exploitation commerciale, la personne concernée
doit être également informée à l’avance de cette exploitation commerciale;
lorsque des données à caractère personnel peuvent être utilisées
par d’autres, parce que la personne concernée a donné son accord
ou parce que ces données, par ailleurs anonymes, sont accessibles
au public, l’accumulation, l’interconnexion, la personnalisation
et l’utilisation intentionnelles de ces données accumulées exigent
toutefois le consentement de la personne concernée;
18.6 les systèmes TIC personnels ainsi que les communications
fondées sur des TIC ne doivent pas être infiltrés ou manipulés si
une telle action viole la vie privée ou le secret de la correspondance;
l’accès ou la manipulation sans autorisation au moyen de «cookies»
ou d’autres dispositifs automatisés non autorisés constituent une
violation de la vie privée, en particulier lorsque cet accès ou
cette manipulation servent d’autres intérêts, notamment commerciaux;
18.7 un degré de protection supérieur doit être accordé aux
images privées, aux données à caractère personnel des mineurs ou
des personnes souffrant d’un handicap mental ou psychologique, aux données
personnelles ethniques, aux données personnelles sanitaires, médicales
ou sexuelles, aux données personnelles biométriques et génétiques,
aux données personnelles politiques, philosophiques ou religieuses,
aux données financières à caractère personnel et à d’autres informations qui
relèvent du domaine essentiel de la vie privée; un degré de protection
supérieur doit être également accordé aux données à caractère personnel
liées aux poursuites judiciaires ou au secret professionnel des
juristes, des professionnels de santé et des journalistes; ce degré
de protection supérieur peut être obtenu par des moyens d’autorégulation,
des moyens techniques et juridiques qui permettent de rendre dûment
responsables ceux qui violent la protection des données ou la vie
privée; il conviendrait de fixer des délais au-delà desquels de
telles données ne pourraient plus être conservées ou utilisées;
18.8 les entités publiques et privées qui collectent, stockent,
traitent ou utilisent d’une autre manière des données à caractère
personnel doivent être tenues de réduire le volume de ces données
au plus strict minimum; les données à caractère personnel doivent
être supprimées lorsqu’elles sont obsolètes ou inutilisées, ou lorsque
la finalité de leur collecte a été atteinte ou n’existe plus; la
collecte et le stockage aléatoires de données à caractère personnel
doivent être évités;
18.9 toute personne doit pouvoir disposer d’un recours efficace
devant les tribunaux nationaux contre toute ingérence illicite dans
son droit à la protection de sa vie privée et de ses données à caractère personnel;
des organes d’autorégulation et d’arbitrage volontaire ainsi que
des autorités indépendantes de protection des données doivent compléter
le système judiciaire afin de garantir la protection efficace de
ce droit; les pouvoirs publics et les sociétés commerciales doivent
être encouragés à élaborer des mécanismes permettant de recevoir
et de traiter les plaintes émanant d’individus qui allèguent que
leur droit à la protection de leurs données ou de leur vie privée
a été violé, ainsi que des mécanismes garantissant le respect au
niveau interne du droit à la protection de la vie privée et des
données à caractère personnel; toute violation de la protection
de la vie privée et des données à caractère personnel doit être
sanctionnée pénalement.
19. L’Assemblée se félicite que les Parties à la Convention no 108
aient commencé à préparer une révision possible de cette convention
à la suite de l’évolution rapide des technologies et de la concurrence
commerciale de plus en plus agressive qui règne dans les services
fondés sur les TIC.
20. C’est pourquoi l’Assemblée invite:
20.1 les Parlements d’Arménie, de la Fédération de Russie,
de Saint-Marin et de Turquie à lancer sans délai leur processus
de ratification de la Convention no 108, ce qui permettra à leur
pays de jouer un rôle actif dans l’évolution ultérieure de cette
convention;
20.2 ses délégations d’observateurs du Canada, d’Israël et
du Mexique à lancer un débat dans leurs parlements respectifs sur
la signature et la ratification de la Convention no 108 et la participation
à son évolution ultérieure. Les délégations d’observateurs sont
invitées à faire rapport sur les progrès accomplis à cet égard à
l’Assemblée en temps utile;
20.3 les autres Etats qui coopèrent avec le Conseil de l’Europe,
en particulier les autres Etats observateurs que sont le Japon,
les Etats-Unis d’Amérique et le Saint-Siège, à encourager leurs autorités
à adhérer à la Convention no 108;
20.4 la Commission européenne pour la démocratie par le droit
(Commission de Venise) à faire rapport à l’Assemblée sur le degré
de conformité de la législation interne de ses Etats membres et observateurs
avec le droit fondamental et universel à la protection de la vie
privée et des données à caractère personnel, à la lumière de la
Convention no 108 et de son protocole additionnel, et sur l’intention
éventuelle des Etats qui ne sont pas encore parties à cette convention
de la signer et de la ratifier.
21. L’Assemblée demande au Secrétaire Général du Conseil de l’Europe:
21.1 de rechercher un appui à haut
niveau des Nations Unies pour inciter les Etats du monde entier
à adhérer à la Convention no 108, par le biais notamment du Forum
des Nations Unies sur la gouvernance de l’internet (IGF), de l’Union
internationale des télécommunications et de l’Organisation des Nations Unies
pour l’éducation, la science et la culture (UNESCO);
21.2 de s’assurer que l’utilisation généralisée des TIC au
sein du Conseil de l’Europe et son statut juridique extraterritorial
ne nuisent pas à la protection de la vie privée et des données à
caractère personnel. Dans ce contexte, la position et les activités
du Commissaire à la protection des données du Conseil de l’Europe
devraient être renforcées et le cadre réglementaire interne révisé
en conséquence.
22. L’Assemblée appelle l’Union européenne à continuer de soutenir
une large adhésion à la Convention no 108 et à son protocole additionnel,
et à en devenir elle-même partie quand les amendements nécessaires
pour permettre cette adhésion seront entrés en vigueur.
23. Se félicitant des efforts déployés au niveau international
par les différentes parties prenantes pour garantir le droit à la
protection des données à caractère personnel dans un environnement
fondé sur les TIC, tels que les résolutions de Madrid (2009) et
de Jérusalem (2010) adoptées par des autorités indépendantes de
protection des données, ainsi que des diverses initiatives conduites
par la Chambre internationale de commerce dans le domaine de la
protection des données, l’Assemblée invite toutes les parties prenantes
à joindre leurs forces à celles du Conseil de l’Europe afin que
les initiatives individuelles n’entrent pas en contradiction les
unes avec les autres ou ne risquent pas d’être utilisées pour brouiller
une approche commune du droit universel au respect de la vie privée
et des données à caractère personnel, ou pour affaiblir les normes juridiques
existantes.