Le protocole 223 portant amendement à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel est entré en vigueur. Il complète la convention 108 +.
Sommaire
Périmètre du protocole 223
Le protocole d’amendement, dit « protocole 223 », signé par la France le 10 octobre 2018, vient apporter des modifications à la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite n° 108, signée par la France le 28 janvier 1981.
Il poursuit un double objectif de modernisation en réponse, d’une part, aux évolutions technologiques associées à l’utilisation de nouvelles technologies de l’information et de la communication et, d’autre part, à l’intensification des échanges de données personnelles à l’échelle internationale.
Cela s’est vérifié par exemple dans des cadres de coopérations récemment comme au niveau des données de santé et de paramètres biométriques pour les mouvements transfrontaliers post-COVID, mais également dans des scandales venant des opérateurs américains suite à l’affaire Facebook / Cambridge Analytica, et sur des exemples de croisements et transferts de données entre plateformes en France avec la Caisse d’allocations familiales (CAF), qui a utilisé ces données pour réaliser des profilages des allocataires sur la base de données sensibles et pour ficher des « profils à risque de fraude ».
Récemment, des ONG ont lancé une pétition contre Doctolib pour dénoncer l’envoi direct de données sensibles aux États-Unis sans anonymisation préalable, ce qui est contraire au Règlement général sur la protection des données (RGPD).
Le protocole vient donc consolider l’édifice juridique européen et international existant en matière de protection des données personnelles. Il s’agit d’un domaine qui a fait l’objet d’une adaptation juridique dense et dynamique ces dernières années, entraînant pour les acteurs concernés
La complémentarité entre le droit de l’Union européenne et la future convention 108 +
La complémentarité entre le droit de l’Union européenne et la future convention 108 + est manifeste concernant le RGPD. Il s’agit de deux instruments permettant d’assurer un haut niveau de protection de la vie privée et des données à caractère personnel.
Si la convention du Conseil de l’Europe est moins détaillée que le RGPD et la directive « Police – Justice », elle repose sur des principes communs : le principe de finalité, le principe de proportionnalité et de pertinence, le principe d’une durée de conservation limitée, le principe de sécurité, l’existence de droits pour les personnes tels que les droits d’accès aux données, le droit de rectification ou encore le droit à l’effacement.
De la même façon, les droits des personnes concernées, la protection de ces droits par les autorités de contrôle, ainsi que les obligations des responsables de traitement se trouvent réaffirmés.
Impact sur la CNIL
La CNIL est également concernée par le chapitre IV de la convention, qui traite de l’entraide entre les parties. En effet, la CNIL a été désignée pour assurer la mise en œuvre de ce pan du texte en France, qui se traduira par :
– une assistance mutuelle entre les autorités désignées en matière de contrôle ;
– des échanges d’informations (bilatéraux, multilatéraux ou par l’intermédiaire du Conseil de l’Europe) ;
– une assistance aux personnes concernées ayant leur résidence à l’étranger.
Enfin, la CNIL participe aux travaux du comité consultatif (futur comité conventionnel, évoqué précédemment), au sein de la délégation française menée par le ministère de l’Europe et des affaires étrangères