II. UNE PRÉOCCUPATION LIÉE AUX SUJETS DE SÉCURITÉ NATIONALE ET DE DÉFENSE
Si les négociations ont débuté en 2012, une deuxième phase de négociation a pris place au sein du Comité ad hoc sur la protection des données (CAHDATA).
Le CAHDATA s'est réuni à quatre reprises, la dernière réunion s'étant déroulée en juin 2016. À son issue, certains points étaient restés en suspens, dont ceux intéressant les questions de sécurité nationale et de défense. C'est alors le Comité des Ministres du Conseil de l'Europe qui en a été saisi. Deux ans de négociations ont été nécessaires pour surmonter les difficultés rencontrées.
Comme l'indique l'étude d'impact, il s'agit, d'une part, de la soumission des services de renseignement à la future Convention 108 (sans possibilité d'exclusion), et, d'autre part, de l'alignement éventuel des règles régissant les transferts de données personnelles vers les États qui ne sont pas Parties à la Convention sur le niveau d'exigences particulièrement élevé du règlement dit « RGPD » et de la directive dite « Police - Justice » s'agissant du transfert des données personnelles des États membres de l'Union européenne vers des États tiers à l'Union.
Pour mémoire, le RGPD impose des exigences détaillées aux entreprises et organisations en ce qui concerne la collecte, la conservation et la gestion des données à caractère personnel. Elles s'appliquent tant aux organisations européennes qui traitent des données à caractère personnel de personnes établies dans l'UE qu'aux organisations établies en dehors de l'UE qui ciblent des personnes vivant au sein de l'UE.
En outre, la directive « Police - Justice » vise à mieux protéger les données à caractère personnel lorsque ces données sont traitées par la police et par les autorités judiciaires en matière pénale, tout en donnant aux autorités répressives des pays de l'Union les moyens d'échanger les informations nécessaires aux enquêtes et à la prévention des infractions pénales.
Ainsi, le nouvel article 14, alinéa 3, de la Convention « 108+ » 9 ( * ) , relatif aux flux transfrontières de données à caractère personnel, autorise, à l'instar du RGPD et de la directive « Police - Justice » s'agissant des transferts de données personnelles des États membres de l'Union européenne vers des États tiers, des transferts de données vers des pays tiers qui ne sont pas parties à la Convention uniquement si un niveau approprié de protection fondé sur les dispositions de la Convention est garanti . Il prévoit également la possibilité de transferts nonobstant l'absence d'un tel niveau approprié, pourvu que certaines conditions, identiques à celles prévues par le droit de l'Union européenne, soient remplies.
Par ailleurs, s'agissant de l'autre difficulté posée par l'éventuelle soumission des services de renseignement à la future Convention 108, la nouvelle rédaction de l'article 3 10 ( * ) , relatif au champ d'application de la Convention, prévoit in fine que cette Convention s'applique aux traitements de données relevant de la juridiction de chaque partie « dans les secteurs public et privé », ce qui inclut les activités de traitement à des fins de sécurité nationale et de défense.
Si, contrairement à la Convention originelle, tous les domaines sont couverts par la Convention « 108+ », y compris la sécurité nationale et la défense et qu'il n'y a pas de réserves possibles sur le champ d'application, l'article 14 du Protocole (qui deviendra l'article 11 de la Convention « 108+ ») prévoit cependant des exceptions pour des motifs tirés de la protection de la sécurité nationale et de la défense, à plusieurs règles conventionnelles.
Cet article dispose que :
« Aucune exception aux dispositions énoncées au présent chapitre n'est admise, sauf au regard des dispositions de l'article 5, paragraphe 4, de l'article 7, paragraphe 2, de l'article 8, paragraphe 1, et de l'article 9, dès lors qu'une telle exception est prévue par une loi, qu'elle respecte l'essence des droits et libertés fondamentales, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique :
a) à la protection de la sécurité nationale, à la défense, à la sûreté publique, à des intérêts économiques et financiers importants de l'État, à l'impartialité et à l'indépendance de la justice ou à la prévention, à l'investigation et à la répression des infractions pénales et à l'exécution des sanctions pénales, ainsi qu'à d'autres objectifs essentiels d'intérêt public général. [...] ».
Pour toutes ces raisons, et conformément à la jurisprudence de la Convention européenne des droits de l'Homme, l'impératif des intérêts de protection de la sécurité et de la défense nationale peut justifier des exceptions telles que prévues par l'article 14 du Protocole, pourvu qu'elles obéissent au principe de proportionnalité et qu'elles soient prévues par une loi suffisamment claire et intelligible.
Dans le cadre du Comité de suivi de la Convention 108, des travaux viennent justement d'être engagés sur la portée des dérogations permises par l'article 14 du Protocole. Ils devraient aboutir à l'adoption d'une note d'orientation qui permettrait notamment de clarifier, au bénéfice de tous les États Parties, les concepts-clés mentionnés dans cet article (sécurité nationale, défense, mesures nécessaires et proportionnées, ...).
Enfin, si, à l'instar de la Convention 108 (article 25), le Protocole d'amendement à celle-ci (article 39) prévoit expressément qu'aucune réserve n'est admise, il laisse aux Parties la faculté de faire une déclaration.
C'est ainsi qu'une déclaration interprétative a été préparée en interministériel. Le texte projeté figure dans l'étude d'impact, dont voici un extrait :
« En référence à l'article 9 du présent protocole (article 7 de la Convention 108 telle que révisée par le présent Protocole d'amendement), posant un principe général de notification de violation de données susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées et à l'article 14 du présent protocole (article 11 de la Convention 108 telle que révisée par le présent Protocole d'amendement), permettant des exceptions à cette obligation de notification, notamment quand elles constituent une mesure nécessaire et proportionnée dans une société démocratique « à la protection de la sécurité nationale, à la défense, à la sûreté publique [...] », la République française déclare que le législateur, dans le cadre de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a expressément entendu exclure toute obligation de notification à l'autorité de contrôle en cas de violation de données intervenant dans un traitement intéressant la défense et la sécurité nationales ».
Ainsi, les autorités françaises considèrent que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit une telle exception dans la mesure où son chapitre IV, relatif aux traitements intéressant la sûreté de l'Etat et la défense, ne prévoit pas d'obligation de notification de violations de données dans ce cadre.
Dans ces conditions, nous pouvons donc considérer que la ratification de ce protocole d'amendement ne pénalisera pas nos services chargés d'assurer la sécurité et la défense de notre territoire.
* 9 Article 17 alinéa 2 du présent Protocole.
* 10 Article 4 du présent Protocole.