Index A-Z
 
Actualité
Toute l'info
Bulletin (Newsletter)
RSS
 
Réunions
L'actualité de la semaine
Sessions
Conférences et colloques
Toutes les réunions  
 
Documents
Textes adoptés
Documents de travail
Rapports en préparation
Comptes rendus
Aide à la recherche
 
Fonctionnement
L'APCE en bref (PDF)
- Origine
- Structure
- Procédures
- Commissions
Règlement
Secrétaire Général
Organigramme
 
Membres
Liste de A à Z
Par groupe politique
Par délégation nationale
Par commission
Autres organes
Membres depuis 1949
 
Groupes politiques (www)
PPE/DC
SOC
ADLE
GDE
GUE
 
Liens
Conseil de l'Europe
Parlements nationaux
Partenaires internationaux
 
Téléchargement
Logo de l'APCE
Photos

Edition provisoire

La protection de la vie privée et des données à caractère personnel sur l'internet et les médias en ligne

Résolution 1843 (2011)1

1.       Tout en saluant les progrès historiques des technologies de l’information et de la communication (ci-après «TIC») et les effets positifs qui en découlent pour les individus, les sociétés et notre civilisation toute entière, l’Assemblée parlementaire note avec préoccupation que la numérisation des informations a engendré des possibilités jusqu'alors impensables d’identifier les individus grâce à leurs données. Celles-ci sont traitées par un nombre toujours croissant d’instances publiques et privées dans le monde. Les informations à caractère personnel sont introduites dans le cyberespace par les utilisateurs eux-mêmes et des tiers. Les individus laissent des traces de leur identité en utilisant les TIC. L’établissement des profils d’utilisateurs de l’internet est devenu un phénomène répandu. Les sociétés contrôlent parfois les employés et les contacts commerciaux au moyen des TIC.

2.       En outre, les systèmes fondés sur les TIC sont souvent infiltrés dans le but d’obtenir des données relatives à des entités juridiques, en particulier les sociétés commerciales, les institutions financières, les institutions de recherche et les pouvoirs publics. Ce type d’accès pourrait causer des préjudices économiques au secteur privé et avoir une incidence négative sur le bien-être économique des Etats, la sûreté publique ou la sécurité nationale.

3.       L’Assemblée s'alarme de cette évolution qui remet en cause le droit à la vie privée et à la protection des données. Dans un Etat démocratique régi par la prééminence du droit, le cyberespace ne doit pas être considéré du point de vue juridique comme un espace où le droit, en particulier les droits de l’homme, ne s’applique pas.

4.       L’Assemblée rappelle le droit fondamental de chacun au respect de sa vie privée et familiale, de son domicile et de sa correspondance tel qu’il est garanti par l’article 8 de la Convention européenne des droits de l’homme (STE n° 5). Ce droit comprend le droit à la protection des données à caractère personnel ainsi que l’obligation, à cet égard, de prévoir des garanties appropriées dans le cadre de la loi interne.

5.       L'Assemblée souligne la nécessité de lutter efficacement contre la collecte, la diffusion et la consultation, par le biais des technologies de l'information et de la communication, et notamment de l'internet, de contenus impliquant des abus sur enfants, conformément aux dispositions de la Convention du Conseil de l’Europe sur la protection des enfants contre l'exploitation et les abus sexuels (STCE no 201).

6.       Rappelant qu’elle soutient de longue date la protection de la vie privée depuis sa Recommandation 509 (1968) relative aux droits de l’homme et aux réalisations scientifiques et technologiques modernes, l’Assemblée accueille avec satisfaction et appuie la Résolution n° 3 sur la protection des données et la vie privée au troisième millénaire, qui a été adoptée lors de la 30e Conférence des Ministres de la Justice du Conseil de l’Europe (Istanbul, 24-26 novembre 2010).

7.       Comme l’Assemblée le déclarait dans sa Résolution 428 (1970) sur les moyens de communication de masse et les droits de l’homme, «lorsque des banques régionales, nationales ou internationales de données informatiques sont instituées, l’individu ne doit pas être rendu totalement vulnérable par l’accumulation d’informations concernant sa vie privée. Ces centres doivent enregistrer uniquement le minimum de renseignements nécessaires.»

8.       Faisant référence à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108, ci-après «Convention n° 108»), l’Assemblée souligne que le droit à la protection des données à caractère personnel comprend notamment le droit à ce que ces données soient traitées loyalement et de manière sécurisée, pour des finalités déterminées et légitimes, et le droit de chacun de connaître, de consulter et de rectifier les données à caractère personnel traitées par des tiers ou de supprimer les données à caractère personnel qui ont été traitées sans autorisation. Le respect de ces obligations doit être supervisé par une autorité indépendante conformément au Protocole additionnel à la Convention n° 108, concernant les autorités de contrôle et les flux transfrontières de données (STCE n° 181).

9.       L’Assemblée réaffirme que les Etats membres ne devraient transférer des données à caractère personnel vers un autre Etat ou une organisation que si cet Etat ou cette organisation est Partie à la Convention n° 108 et à son Protocole additionnel ou assure un niveau de protection adéquat pour le transfert considéré. Les transferts de données à caractère personnel qui violent le droit à la protection de la vie privée garanti par l’article 8 de la Convention européenne des droits de l'homme peuvent faire l’objet de recours devant les juridictions nationales et, en dernier ressort, devant la Cour européenne des droits de l’homme.

10.       L’Assemblée se félicite que la Convention n° 108 ait été signée et ratifiée par presque tous les Etats membres du Conseil de l’Europe – à l’exception, regrettable, de l’Arménie, de la Fédération de Russie, de Saint-Marin et de la Turquie – et note que les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne contiennent dans une large mesure les mêmes principes. Face à la mondialisation croissante des services fournis par les TIC, il est de la plus grande urgence pour toute l’Europe d’adhérer aux mêmes normes et de s’efforcer d’impliquer d’autres pays dans le monde.

11.       Si l’article 17 du Pacte international relatif aux droits civils et politiques (ci-après «PIDCP») reconnaît le droit à la vie privée, l’interprétation juridique et l’application pratique de cet article restent nettement en deçà des normes européennes. L’Assemblée estime donc que toute initiative de portée mondiale devrait être fondée sur la Convention n° 108 et son Protocole additionnel, tous deux étant en principe ouverts à la signature d'Etats non membres du Conseil de l’Europe.

12.       Bien que l’usage de technologies et de logiciels de prévention, la pratique de l’autorégulation volontaire par les fournisseurs de TIC et les utilisateurs privés ainsi qu’une meilleure sensibilisation des utilisateurs peuvent réduire le risque d’ingérence dans la vie privée et le traitement préjudiciable des données à caractère personnel au moyen des TIC, l’Assemblée estime que seule une législation spécifique et une mise en application effective peuvent protéger suffisamment le droit à la protection de la vie privée et des données à caractère personnel visé par l’article 17 du PIDCP et l’article 8 de la Convention européenne des droits de l'homme.

13.       L’Assemblée déplore que l’absence de normes juridiques mondialement acceptées sur la protection des données concernant les réseaux et services fondés sur les TIC débouche sur une insécurité juridique et contraint les tribunaux nationaux à combler ce vide, au cas par cas, en interprétant les lois internes à la lumière de l’article 17 du PIDCP et de l’article 8 de la Convention européenne des droits de l'homme. Non seulement cela expose les individus à une protection différenciée de leurs droits, mais entraîne des exigences différentes et variables pour les fournisseurs de TIC et les utilisateurs au niveau global, ce qui rend le niveau de responsabilité pratiquement imprévisible.

14.       L’Assemblée se félicite de la coopération internationale établie entre les autorités indépendantes de protection des données et appuie les efforts qu’elles déploient pour garantir une protection internationale commune de la vie privée et des données à caractère personnel face aux développements rapides des technologies, comme indiqué dans leurs résolutions adoptées à Madrid en 2009 et à Jérusalem en 2010. L’Assemblée partage leur avis selon lequel la Convention n° 108 devrait être soutenue au niveau mondial car il s’agit de l'ensemble de normes les plus avancées dans ce domaine en droit international public.

15.       Rappelant la Convention sur la cybercriminalité (STE n° 185), l’Assemblée se félicite que plus de 100 Etats aient adopté une législation qui s’inspire de l’esprit de cette convention. En vertu des articles 2, 3 et 4 de ladite convention, ses parties sont tenues d’ériger en infraction pénale dans leur droit interne tout accès, interception et manipulation de données informatiques effectués sciemment sans autorisation. Ces données informatiques peuvent contenir des données à caractère personnel de personnes physiques et des données à caractère confidentiel de personnes morales qui sont présentes sur les réseaux informatiques.

16.       Rappelant l’article 10 de la Convention sur les droits de l’homme et la biomédecine (STE n° 164) et l’article 16 du Protocole additionnel à cette Convention relatif aux tests génétiques à des fins médicales (SCTE n° 203), l’Assemblée insiste sur le droit de chacun à la protection des informations relatives à sa santé, notamment le droit d’être informé de toute collecte et traitement de ces données au moyen des TIC et d’y consentir ou non. Les données à caractère sanitaire et médical des personnes exigent le niveau de protection des données le plus élevé, car elles constituent l’un des éléments essentiels de la vie privée et de la dignité humaine.

17.       L’Assemblée rappelle également l’obligation de respecter le droit à la vie privée et à la protection des données en vertu de la Convention sur l’accès aux documents publics (STCE n° 205) ainsi que les limites fixées à la protection des données à caractère personnel par la Convention relative au blanchiment, au dépistage, à la saisie et à la confiscation des produits du crime et au financement du terrorisme (STCE n° 198) et par la Convention concernant l’assistance administrative mutuelle en matière fiscale (STE n° 127) et son Protocole d'amendement (STCE n° 208).

18.       L’Assemblée approuve les principes généraux suivants concernant la protection de la vie privée et des données à caractère personnel dans un environnement de TIC:

    18.1.       la protection de la vie privée est un élément nécessaire de la vie humaine et du fonctionnement humain d’une société démocratique; toute violation de la vie privée d’une personne met en jeu sa dignité, sa liberté et sa sécurité;

    18.2.       le droit à la protection de la vie privée et des données à caractère personnel est un droit fondamental qui impose aux Etats l’obligation de fournir un cadre juridique adéquat à une telle protection contre toute ingérence des pouvoirs publics, de simples particuliers et d'entités privées;

    18.3.       toute personne doit pouvoir contrôler l’utilisation que d’autres font de ses données à caractère personnel, notamment l’accès, la collecte, le stockage, la divulgation, la manipulation, l’exploitation ou autre traitement de ces données, à l’exception de la rétention licite ou techniquement nécessaire des données de trafic liées aux TIC et des données de localisation; le contrôle de l’utilisation des données à caractère personnel doit comprendre le droit de chacun de connaître et de rectifier les données qui le concernent, et de faire supprimer des systèmes et réseaux fondés sur les TIC toutes les données qui ont été fournies sans obligation juridique;

    18.4.       les données à caractère personnel ne doivent pas être utilisées par d’autres sans consentement préalable, ce qui exige l’expression d’un consentement en connaissance de cause concernant cette utilisation, à savoir une manifestation de volonté libre, spécifique et informée, et exclut un usage tacite ou automatique; le consentement peut être retiré par la suite à tout moment; dans ce cas, les données à caractère personnel ne peuvent plus être utilisées;

    18.5.       lorsque des données à caractère personnel doivent être utilisées à des fins d’exploitation commerciale, la personne concernée doit être également informée à l’avance de cette exploitation commerciale; lorsque des données à caractère personnel peuvent être utilisées par d’autres, parce que la personne concernée a donné son accord ou parce que ces données, par ailleurs anonymes, sont accessibles au public, l’accumulation, l’interconnexion, la personnalisation et l’utilisation intentionnelles de ces données accumulées exigent toutefois le consentement de la personne concernée;

    18.6.       les systèmes TIC personnels ainsi que les communications fondés sur des TIC ne doivent pas être infiltrés ou manipulés si une telle action viole la vie privée ou le secret de la correspondance; l’accès et la manipulation sans autorisation au moyen de «cookies» ou d’autres dispositifs automatisés non autorisés constituent une violation de la vie privée, en particulier lorsque cet accès ou cette manipulation servent d’autres intérêts, notamment commerciaux;

    18.7.       un degré de protection supérieur doit être accordé aux images privées, aux données à caractère personnel des mineurs ou des personnes souffrant d’un handicap mental ou psychologique, aux données personnelles ethniques, aux données personnelles sanitaires, médicales ou sexuelles, aux données personnelles biométriques et génétiques, aux données personnelles politiques, philosophiques ou religieuses, aux données financières à caractère personnel et à d’autres informations qui relèvent du domaine essentiel de la vie privée; un degré de protection supérieur doit être également accordé aux données à caractère personnel liées aux poursuites judiciaires ou au secret professionnel des juristes, des professionnels de la santé et des journalistes; ce degré de protection supérieur peut être assuré par des moyens d’autorégulation, des moyens techniques et des moyens juridiques qui permettent de rendre dûment responsables ceux qui violent la protection des données ou la vie privée; il conviendrait de fixer des délais au-delà desquels de telles données ne pourraient plus être conservées ou utilisées;

    18.8.       les entités publiques et privées qui collectent, stockent, traitent ou utilisent des données à caractère personnel doivent être tenues de réduire le volume de ces données au plus strict minimum nécessaire; les données à caractère personnel doivent être supprimées lorsqu’elles sont obsolètes ou inutilisées ou lorsque la finalité de leur collecte a été atteinte ou n'existe plus; la collecte et le stockage aléatoires de données à caractère personnel doivent être évités;

    18.9.       toute personne doit pouvoir disposer d’un recours efficace devant les tribunaux nationaux contre toute ingérence illicite dans son droit à la protection de sa vie privée et de ses données à caractère personnel; des organes d’autorégulation et d’arbitrage volontaire ainsi que des autorités indépendantes de protection des données doivent compléter le système judiciaire afin de garantir la protection efficace de ce droit; les pouvoirs publics et les sociétés commerciales doivent être encouragés à élaborer des mécanismes permettant de recevoir et de traiter les plaintes émanant d’individus qui allèguent que leur droit à la protection de leurs données ou de leur vie privée a été violé, ainsi que des mécanismes garantissant le respect au niveau interne du droit à la protection de la vie privée et des données à caractère personnel; toute violation de la protection de la vie privée et des données à caractère personnel doit être sanctionnée pénalement.

19.       L’Assemblée se félicite que les Parties à la Convention n° 108 aient commencé à préparer une révision possible de cette convention suite à l’évolution rapide des technologies et à la concurrence commerciale de plus en plus agressive qui règne dans les services fondés sur les TIC.

20.       C'est pourquoi l’Assemblée invite:

      20.1.       les parlements d’Arménie, de la Fédération de Russie, de Saint-Marin et de Turquie à lancer sans délai leur processus de ratification de la Convention n° 108, ce qui permettra à leurs pays de jouer un rôle actif dans l’évolution ultérieure de cette convention;

      20.2.       ses délégations d’observateurs du Canada, d’Israël et du Mexique à lancer un débat dans leurs parlements respectifs sur la signature et la ratification de la Convention n° 108 et la participation à son évolution ultérieure. Les délégations d’observateurs sont invitées à faire rapport sur les progrès accomplis à cet égard à l’Assemblée en temps utile;

      20.3.       les autres Etats qui coopèrent avec le Conseil de l’Europe, en particulier les Etats observateurs du Conseil de l’Europe que sont le Japon, les Etats-Unis d’Amérique et le Saint-Siège, à encourager leurs autorités à adhérer à la Convention n° 108;

      20.4.       la Commission européenne pour la démocratie par le droit (Commission de Venise) à faire rapport à l’Assemblée sur le degré de conformité de la législation interne de ses Etats membres et observateurs avec le droit fondamental et universel à la protection de la vie privée et des données à caractère personnel à la lumière de la Convention n° 108 et de son Protocole additionnel, et sur l’intention éventuelle des Etats qui ne sont pas encore parties à cette convention de la signer et de la ratifier.

21.       L’Assemblée demande au Secrétaire Général du Conseil de l’Europe:

    21.1.       de rechercher un appui à haut niveau des Nations Unies pour inciter les Etats à adhérer à la Convention n° 108, par le biais notamment du Forum des Nations Unies sur la gouvernance de l’internet, de l’Union internationale des télécommunications et de Organisation des Nations Unies pour l'éducation, la science et la culture (UNESCO);

      21.2.       de s'assurer que l'utilisation généralisée des TIC au sein du Conseil de l'Europe et son statut juridique extraterritorial ne nuisent pas à la protection de la vie privée et des données à caractère personnel. Dans ce contexte, la position et les activités du Commissaire à la protection des données du Conseil de l’Europe devraient être renforcées et le cadre réglementaire interne révisé en conséquence.

22.       L’Assemblée appelle l’Union européenne à soutenir une large adhésion à la Convention n° 108 et à son Protocole additionnel, et à en devenir elle-même partie quand les amendements nécessaires pour permettre cette adhésion seront entrés en vigueur.

23.       Se félicitant des efforts déployés au niveau international par les différentes parties prenantes pour garantir le droit à la protection des données à caractère personnel dans un environnement fondé sur les TIC, tels que les résolutions de Madrid (2009) et de Jérusalem (2010) adoptées par des autorités indépendantes de protection des données, ainsi que des diverses initiatives conduites par la Chambre internationale de commerce dans le domaine de la protection des données, l’Assemblée invite toutes les parties prenantes à joindre leurs forces à celles du Conseil de l’Europe afin que les initiatives individuelles n’entrent pas en contradiction les unes avec les autres ou risquent d’être utilisées pour brouiller une approche commune du droit universel au respect de la vie privée et des données à caractère personnel ou pour affaiblir les normes juridiques existantes.

1 Discussion par l’Assemblée le 7 octobre 2011 (36e séance) (voir Doc. 12695, rapport de la commission de la culture, de la science et de l'éducation, rapporteur: Mme Rihter; Doc. 12726, avis de la commission des questions juridiques et des droits de l'homme, rapporteur: M. Salles). Texte adopté par l’Assemblée le 7 octobre 2011 (36e séance).

Voir également la Recommandation 1984 (2011).
     
© APCE | Clause de non-responsabilité | © Crédits photos | Adresse | Contact : webmaster.assembly@coe.int