Un besoin d’harmonisation supranational des législations

Au début des années 80, la multiplication de lois comparables suscite la crainte de certains États de voir les législations sur la protection des données entraver la libre circulation de ces données et les échanges commerciaux dont elles font l’objet. Au niveau international, deux conceptions existent en matière de protection des données personnelles. Le modèle européen est imposé, réglementaire et contraignant. Il est très protecteur et prévoit un contrôle par une entité

« 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

« 3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante ».

859 _{Traité instituant la Communauté européenne ou Traité de Rome du 25 mars 1957, devenu le traité sur le}

fonctionnement de l’Union européenne selon le « traité modificatif » signé le 13 décembre 2007 à Lisbonne, dit traité de Lisbonne.

860 _{Anne Débet, « La protection des données personnelles, point de vue du droit privé », Revue du droit public n}o ₁

du 1 janvier 2016, p. 17.

861 _{Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des}

personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

862 _{Loi n}o _{2016-1 321 du 7 octobre 2016 pour une République numérique, publiée au JOR‑ n}o _{0235 du 8 octobre}

2016.

863 _{Cet article était le seul article non modifié par la loi n}o _{2004-801 du 6 août 2004 qui avait transposé la}

directive 95/46/C‐ en droit français.

864 _{Anne Débet, « La protection des données personnelles, point de vue du droit privé », Revue du droit public n}o ₁

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

179

indépendante. Le modèle nord-américain est fondé sur le pragmatisme, l’autorégulation et la confiance dans la convergence des intérêts individuels865_.

1) Les lignes directrices de l’OCDE

Le 23 septembre 1980, l’OCD‐ adopte les « lignes directrices régissant la vie privée et le flux

transfrontalières des données à caractère personnel» pour « favoriser la libre circulation de l’information entre les pays membres et à éviter la création d’obstacles injustifiés au développement des relations économiques et sociales entre ces pays ». Ces lignes directrices

énoncent plusieurs principes : principe de la limitation en matière de collecte des données à caractère personnel obtenues par des moyens licites après information et avec le consentement de la personne concernée ; principe de la limitation de l’utilisation de ces données non divulguées ni utilisées sans le consentement de la personne concernée ou la permission d’une règle de droit ; principe des garanties de sécurité contre les risques d’accès, d’utilisation ou de divulgation non autorisés de ces données ; principe de la participation individuelle permettant à toute personne d’obtenir du maître du fichier confirmation de la détention ou non de ces données et de se les faire communiquer et d’en obtenir l’effacement, la rectification ou la correction ; principe de la responsabilité du maître de fichier du respect de ces principes. C’est la Convention n° 108 qui établit le premier cadre international sur la protection des données personnelles866_.

2) La Convention no ₁₀₈

Adopté par le Conseil de l’‐urope le 28 janvier 1981, le traité no _{108 intitulé « Convention pour}

la protection des personnes à l’égard du traitement automatisé des données à caractère personnel » est plus connu sous le nom de « Convention no 108 ». Le résumé de la Convention

est disponible sur le site du Conseil de l’‐urope867 _{: « La Convention est le premier instrument}

international contraignant qui a pour objet de protéger les personnes contre l’usage abusif du

865 _{Stéphane Tijardovic, « La protection juridique des données personnelles. Vers une nécessaire adaptation de la}

norme juridique aux évolutions du monde numérique », Les Cahiers du numérique, 2003/3 (Vol. 4), pp. 185-203. URL : https://www.cairn.info/revue-les-cahiers-du-numerique-2003-3-page-185.htm consulté le 28 décembre 2017.

866 _Ibid.

traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données.

« Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données "sensibles" relatives à l’origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc., en l’absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications.

« Seule restriction à ce droit : lorsque les intérêts majeurs de l’État (sécurité publique, défense, etc.) sont en jeu.

« La Convention impose également des restrictions aux flux transfrontaliers de données dans les États où n’existe aucune protection équivalente».

Le traité a été ratifié par 51 États868_{. Cette convention consacre les principes énoncés par la loi}

no _{78-17 : collecte des données loyale et proportionnée au but déclaré ; restrictions concernant}

des données sensibles ; sécurité des enregistrements ; droit de consultation, modification et effacement en cas de collectes non conformes ; sanctions en cas de violation des règles ; flux transfrontaliers de données soumis à une protection équivalente dans l’État de destination. ‐lle est applicable depuis le 1er octobre 1985 et dès son préambule, elle évoque « la nécessité de

concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples».

Une révision de la convention est en cours, cette révision prend en compte les nouveaux risques apparus en 30 ans et harmonise certaines définitions et concepts avec la directive 95/46/C‐869 _:

le concept de « fichier automatisé » est remplacé par la notion de « traitement de données », effaçant toute connotation technologique ; le « maître du fichier » devient le « responsable de traitement » et la notion de sous-traitant apparaît ; le texte révisé utilise la notion de « juridiction » d’un État en lieu et place de « territoire ». Le préambule mentionne expressément

868 _{Dont 9 États non membres du Conseil de l’‐urope (source Conseil de l’‐urope, « ‐tat des signatures et}

ratifications du traité 108, Situation au 16/03/2018 », disponible à https://www.coe.int/fr/web/conventions/full- list/-/conventions/treaty/108/signatures?p_auth=pSG7TTpG consulté le 16 mars 2018).

869 _{Cécile De Terwangne, « La réforme de la convention 108 du Conseil de l’‐urope pour la protection des}

personnes à l’égard du traitement automatisé des données à caractère personnel », in Quelle protection des données

personnelles en Europe ? Larcier Bruxelles, 2015. pp. 81-120. URL : http://www.crid.be/pdf/public/7635.pdf

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

181

le droit à l’autonomie personnelle, le droit de chacun de contrôler ses propres données à caractère personnel870_.

Deux points de vue coexistent, points de vue compatibles, mais correspondant néanmoins à deux sensibilités différentes : tandis que les droits allemands, français ou suédois font de la protection de l’individu face aux dangers de l’informatique une fin en soi, le droit international et le droit européen font de cette protection la contrepartie du principe de libre circulation de l’information.