|
|
Protection des données à caractère personnel des personnes morales - Conseil de l'Europe - Convention 108 et directive 95/46/CE - Révision
protection de la vie privée
données personnelles
personne morale
convention européenne
directive (UE)
| 12/7/2011 | Envoi question |
| 1/12/2011 | Réponse |
La Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) fête en 2011 son trentième anniversaire. La Convention 108, qui constituait un tournant dans l'histoire de la protection des données à caractère personnel, doit à présent être modernisée si elle ne veut pas rester lettre morte. Le 29 janvier 2011, Journée européenne de la protection de la vie privée et des données, marque le lancement d'une série de consultations publiques sur la révision de la Convention 108.
À l'échelon de l'Union européenne (UE) également, domine le sentiment que la législation relative à la vie privée, directive 95/46/CE relative à la protection des personnes physiques à l'égard des données à caractère personnel et à la libre circulation de ces données mérite d'être actualisée. La Commission européenne n'a pas encore de proposition mais, dans une communication au Parlement européen et au Conseil, elle prône une approche globale la protection des données à caractère personnel qui passe par :
- le renforcement des droits des personnes ;
- le renforcement de la dimension « marché intérieur » ;
- la révision des règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale ;
- la clarification et la simplification des règles applicables aux transferts internationaux de données ;
- le renforcement du cadre institutionnel en vue d'un plus grand respect des règles de protection des données.
Dans sa communication en vue d'une approche globale de la protection de données à caractère personnel dans l'Union européenne, la Commission européenne signale que la directive 95/46/CE n'a pas entièrement atteint l'un de ses principaux objectifs, à savoir l'harmonisation des règles nationales relatives à la protection de la vie privée. Ces différences se manifestent dans un grand nombre de secteurs et de situations, par exemple lors du traitement des données à caractère personnel dans le contexte professionnel ou à des fins de santé publique. Il ne faut pas en sous-estimer les conséquences néfastes (par exemple des coûts supplémentaires et des charges administratives pour les personnes concernées, une insécurité juridique pour les responsables du traitement des données et pour la personne concernée elle-même).
C'est pourquoi la Commission étudie actuellement les moyens de pousser plus loin l'harmonisation des règles en matière de protection des données à l'échelon européen afin d'améliorer le fonctionnement du marché intérieur. Dans ce contexte, il me paraît inévitable que l'UE prenne une bonne fois pour toutes position en matière de protection des données à caractère personnel des personnes morales. Sans se prononcer à ce sujet, la directive actuelle laisse toutefois aux États membres la possibilité d'intégrer ou non les personnes morales dans leur législation en matière de protection des données à caractère personnel. Cette base volontaire se retrouve également dans la Convention 108 du Conseil de l'Europe. L'article 3 de la Convention dispose : « Tout État peut, lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration adressée au Secrétaire général du Conseil de l'Europe qu'il appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique. » La plupart des États membres du Conseil de l'Europe, dont la Belgique, n'ont pas fait usage de cette possibilité. En Norvège, en Autriche en Italie et au Danemark (en partie seulement), les personnes morales ont bel et bien droit à la protection de leurs données à caractère personnel. Cette diversité dans la portée des législations nationales a entravé le fonctionnement du marché intérieur. Dans certains pays, les responsables du traitement sont en effet tenus de protéger les données à caractère personnel des personnes morales, ce qui n'est pas le cas dans d'autres pays. Une uniformisation des ces règles me paraît souhaitable.
Se pose alors la question de savoir si les personnes morales doivent ou non être exclues du droit à la protection des données à caractère personnel. Cette question a été débattue au Conseil de l'Europe. Il en est ressorti qu'il y avait lieu de songer sérieusement à une protection totale, ou à tout le moins partielle, des données à caractère personnel des personnes morales, l'argument étant que selon la jurisprudence de la Cour européenne des droits de l'homme, les personnes morales peuvent, dans certaines circonstances, invoquer l'article 8 de la Convention européenne de sauvegarde des droits de l'homme (droit à la protection de la vie privée) et que les personnes morales n'utiliseront massivement le « cloud computing » que si leurs données sont suffisamment protégées.
Je souhaiterais obtenir une réponse aux questions suivantes :
1) Le ministre peut-il indiquer à quel stade la modification la directive UE 95/46/CE et de la Convention 108 du Conseil de l'Europe se trouvent à l'heure actuelle ? Quand peut-on espérer qu'un accord interviendra pour les deux ?
2) Est-il favorable à ce que, dans le cadre de l'UE :
a) on instaure des obligations spécifiques à l'égard des responsables du traitement en ce qui concerne le type d'informations qui peuvent être fournies et les conditions auxquelles elles peuvent l'être à l'égard d'enfants ? Dans l'affirmative, à quelles obligations le ministre songe-t-il ?
b) on instaure pour l'ensemble des secteurs (donc pas seulement celui des télécommunications) une obligation de signalement pour l'utilisateur en cas de violation de ses données à caractère personnel ?
c) on rende obligatoire des actions de sensibilisation dans le domaine de la protection des données à caractère personnel ? Dans l'affirmative, relie-t-il cette obligation à un cofinancement par le biais du budget de l'EU ?
d) on étende les catégories de données sensibles, notamment aux données à caractère génétique ?
e) on donne aux autorités de protection des données la compétence de porter une affaire devant le juge national ?
f) on renforce les règles sanctionnelles existantes ? Dans l'affirmative, doit-on donner aux consommateurs la possibilité d'introduire une demande d'indemnisation collective ?
g) on instaure un règlement de certification UE dans le domaine de la protection de la vie privée et des données à caractère personnel ?
h) on élargisse l'application des règles générales en matière de protection des données à la coopération policière et judiciaire en matière pénale ?
3) Les différentes législations nationales en matière de droit à la protection des données à caractère personnel des personnes morales constituent-elles une entrave à la libre circulation des données à caractère personnel dans le marché intérieur ? Dans l'affirmative, la nouvelle directive UE doit-elle protéger les données à caractère personnel des personnes morales ? En l'absence d'un accord à l'échelon européen, est-il ou non favorable à une protection, à l'échelon national, des données à caractère personnel des personnes morales ? Peut-il argumenter sa réponse, compte tenu de la jurisprudence de la Cour européenne des droits de l'homme ?
1 Concernant la révision de la directive 95/46/CE, le Conseil Justice et Affaires intérieures (JAI) de l’Union européenne, tenu les 24 et 25 février 2011, a adopté des conclusions relatives à la communication de la Commission au Parlement européen et au Conseil intitulé « une approche globale de la protection des données à caractère personnel dans l’Union européenne ». Monsieur le sénateur trouvera ces conclusions à l’adresse suivante: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/jha/119462.pdf.
Le point 2 de ces conclusions dispose qu’ « il conviendrait qu’un nouveau cadre juridique fondé sur une approche globale garantisse le respect de normes appropriées de protection des données dans tous les domaines dans lesquels des données à caractère personnel sont traitées ».
Le Conseil attend à présent une proposition de directive de la Commission européenne, qui devrait être déposée d’ici à la fin de l’année 2011.
Concernant la révision de la Convention n°108, le Comité des ministres du Conseil de l’Europe du 10 mars 2010 a encouragé la modernisation de la convention n° 108 afin de tenir compte des nouveaux défis issus des nouvelles technologies et de renforcer le mécanisme de suivi de la Convention. Le 28 janvier 2011, le Conseil de l’Europe a lancé une consultation publique, dont la synthèse est en cours en vue de son examen par le Bureau du Comité consultatif de la Convention n° 108.
2. Pour répondre aux différentes questions de M. le Sénateur, je m’en tiendrai aux conclusions précitées du Conseil JAI des 24 et 25 février, qui sont les conclusions communes des ministres de la Justice des 27 sur ces questions.
a) Au point 7 de ses conclusions, le Conseil demande « qu’une attention particulière soit portée aux mineurs, qui ont souvent accès à toutes sortes d’outils informatiques et peuvent ainsi partager leurs données avec d’autres utilisateurs par différents moyens ». Il estime qu’il est essentiel d’accroitre la sensibilisation dans ce domaine, notamment en ce qui concerne la question du consentement ;
b) Au point 19 de ses conclusions précitées, le Conseil « encourage la Commission à étudier s’il serait opportun d’étendre l’obligation de notifier les violations de données à caractère personnel à des secteurs autres que les télécommunications et à examiner le coût d’une telle extension pour les entreprises ainsi que ses conséquences pour la compétitivité de l’UE. Toutefois la notification ne devrait pas être utilisée systématiquement pour signaler toutes sortes de violation de sécurité de données à caractère personnel. Il conviendrait d’y recourir uniquement lorsque les risques découlant de la violation en question peuvent avoir des conséquences négatives pour la protection de la vie privée de la personne ».
c) Dans sa communication intitulée « une approche globale de la protection des données à caractère personnel dans l’Union européenne », la Commission déclare, au point 2.1.4, qu’elle étudiera la possibilité de cofinancer des actions de sensibilisation à la protection des données, à l’aide du budget de l’Union.
Au point 18 de ses conclusions précitées, le Conseil précise qu’il est « nécessaire de mieux sensibiliser la personne concernée aux conséquences du partage de ses données à caractère personnel » mais ne se prononce pas sur des actions de sensibilisation cofinancées.
d) Au point 8 de ses conclusions précitées, le Conseil « escompte que la protection particulière des données à caractère personnel sensibles demeurera au coeur de la proposition de la Commission et invite cette dernière à évaluer s’il y a lieu d’élargir les catégories de données sensibles compte tenu des nouvelles évolutions technologiques » ;
Dans le point 10 de ses conclusions, le Conseil est d’avis que « le traitement de données génétiques devrait être effectué en conformité avec les principes de nécessité et de proportionnalité et estime qu’il conviendrait d’examiner des dispositions spéciales relatives aux questions de traitement transfrontalier » ;
e) Au point 2. 1. 7 de sa communication intitulée « une approche globale de la protection des données à caractère personnel dans l’Union européenne », la Commission déclare qu’elle va envisager la possibilité d’accorder le pouvoir de saisir les juridictions nationales aux autorités de protection des données.
Au point 23 de ses conclusions précitées, le Conseil « se déclare favorable à une harmonisation accrue du rôle des autorités chargées de la protection des données à caractère personnel (…) ».
Au point 26 de ses conclusions, le Conseil rajoute : « (…) il conviendra également d’harmoniser et de repréciser le rôle des autorités chargées de la protection des données (…). ».
Le Conseil n’envisage ni n’exclut explicitement de donner aux autorités de protection des données le pouvoir de saisir les juridictions nationales.
Il attend les propositions de la Commission sur ce point.
Rappelons que ce pouvoir existe déjà en droit belge.
L’article 32 § 2 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel dispose que « sauf si la loi en dispose autrement, la Commission de la protection de la vie privée dénonce au Procureur du Roi les infractions dont elle a connaissance ».
L’article 32 § 3 de la loi précitée rajoute que : « sans préjudicie de la compétence des cours et tribunaux ordinaires pour l’application des principes généraux en matière de protection de la vie privée, le Président de la Commission peut soumettre au tribunal de Premier instance tout litige concernant l’application de la présente loi et de ses mesures d’exécution. ».
f) Aux points 16 et 17 de ses conclusions, le Conseil « salue les travaux réalisés sur la définition du principe de responsabilité, qui mettent l’accent sur des liens fondamentaux entre différents éléments des dispositions, à savoir des règles claires, l’attribution claire de responsabilité, les conséquences du non-respect des règles (sanctions) et la protection de la personne concernée (…) ».
Afin de mieux faire respecter les dispositions en matière de protection des données, le Conseil invite la Commission à étudier les possibilités de recourir au principe de responsabilité et aux instruments d’autorégulation qui sont susceptibles de mener à un fonctionnement plus harmonieux du marché intérieur.
Au point 25 de ses conclusions, le Conseil « appuie l’objectif de la Commission consistant à responsabiliser davantage le responsable du traitement et encourage la Commission à prévoir, dans son analyse d’impact, une évaluation de la désignation éventuelle de délégués à la protection des données, tout en ne souhaitant pas imposer de charges administratives ou réglementaires superflues ».
g) Au point 11 de ses conclusions, le Conseil se déclare « favorable à l’idée de labels européens de protection de la vie privée (régimes européens de certifications) et d’initiatives en matière d’autoréglementation ; dans ces deux cas, ces mesures prévoiraient une coopération étroite avec les acteurs concernés du secteur, tels que prestataires de services, et pourraient accroître le niveau de protection des données et renforcer la sensibilisation, la Commission étant encouragée à examiner le rôle que pourraient jouer les autorités de protection des données pour garantir le respect des réglementations dans les deux cas de figure ».
h) Au point 3 et 4 de ses conclusions le Conseil :
souligne « qu’il y aurait lieu d’envisager d’inclure dans le nouveau cadre des dispositions relatives à la protection des données dans le domaine de la coopération policière et judiciaire en matière pénale, en tenant dûment compte de la spécificité de ces domaines et de l’évaluation de la mise en œuvre de la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale » ;
« partage le point de vue exprimé dans la communication de la Commission selon lequel la notion d’approche globale en matière de protection des données n’exclut pas nécessairement l’adoption, à l’intérieur de ce régime de protection global, de règles spécifiques pour la coopération policière et judiciaire en matière pénale » et
« encourage la Commission à proposer un nouveau cadre juridique qui tienne compte des spécificités de ce domaine. Dans ce contexte, il faut fixer, de façon harmonieuse et équilibrée, certaines limites aux droits de la personne concernée, lorsque cela se révèle nécessaire et proportionné et compte tenu des objectifs légitimes des autorités répressives en matière de lutte contre la criminalité et de maintien de la sécurité publique. »
3. Sur la question de savoir si les différentes législations nationales relatives à la protection des données des personnes morales constituent un obstacle à la libre circulation des données à caractère personnel dans le marché intérieur, la communication de la Commission intitulé « une approche globale de la protection des données à caractère personnel dans l’Union européenne » ne se prononce pas.
La Commission indique seulement que « les divergences entre les législations nationales transposant la directive vont à l’encontre de l’un de ses objectifs principaux, à savoir la libre circulation des données à caractère personnel dans le marché intérieur » et que « la Commission étudiera les moyens de pousser plus loin l’harmonisation des règles de protection des données ».
La question de la protection des donnés des personnes morales a été débattue en Belgique en 1991, au moment de l’adoption de la loi du 8 décembre 1992. Les travaux parlementaires de l’époque (Doc. Parl., Ch., 1610/1-90/91, p. 6) soulignent que la loi « limite la protection des données aux personnes physiques. La protection des données relatives aux personnes morales pose, en effet, des problèmes plus complexes et se situe dans un autre cadre que celui définit par l’article 8 de la Convention européenne des droits de l’Homme. Il va de soi toutefois que si des données relatives à des personnes morales contiennent des informations relatives à des personnes physiques (par exemple les noms des administrateurs d’une société ou des membres d’une association sans but lucratif) ces dernières bénéficieront, à l’égard des données qui les concernent, de la totalité de la protection accordée par la loi. ».