Rapport n° 749 (2020-2021) de M. Bruno SIDO , fait au nom de la commission des affaires étrangères, de la défense et des forces armées, déposé le 7 juillet 2021
Disponible au format PDF (340 Koctets)
N° 749
SÉNAT
SESSION EXTRAORDINAIRE DE 2020-2021
Enregistré à la Présidence du Sénat le 7 juillet 2021
RAPPORT
FAIT
au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur le projet de loi autorisant la ratification du Protocole d' amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ,
Par M. Bruno SIDO,
Sénateur
(1) Cette commission est composée de : M. Christian Cambon , président ; MM. Pascal Allizard, Olivier Cadic, Olivier Cigolotti, Robert del Picchia, André Gattolin, Guillaume Gontard, Jean-Noël Guérini, Joël Guerriau, Pierre Laurent, Cédric Perrin, Gilbert Roger, Jean-Marc Todeschini , vice-présidents ; Mmes Hélène Conway-Mouret, Joëlle Garriaud-Maylam, MM. Philippe Paul, Hugues Saury , secrétaires ; MM. François Bonneau, Gilbert Bouchet, Mme Marie-Arlette Carlotti, MM. Alain Cazabonne, Pierre Charon, Édouard Courtial, Yves Détraigne, Mme Nicole Duranton, MM. Philippe Folliot, Bernard Fournier, Mme Sylvie Goy-Chavent, M. Jean-Pierre Grand, Mme Michelle Gréaume, MM. André Guiol, Alain Houpert, Mme Gisèle Jourda, MM. Alain Joyandet, Jean-Louis Lagourgue, Ronan Le Gleut, Jacques Le Nay, Mme Vivette Lopez, MM. Jean-Jacques Panunzi, François Patriat, Gérard Poadja, Mme Isabelle Raimond-Pavero, MM. Stéphane Ravier, Bruno Sido, Rachid Temal, Mickaël Vallet, André Vallini, Yannick Vaugrenard, Richard Yung .
Voir les numéros :
Sénat : |
561 et 750 (2020-2021) |
INTRODUCTION
Mesdames, Messieurs,
Le Sénat est saisi du projet de loi n° 561 (2020-2021) autorisant la ratification du Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
Signé par la France le 10 octobre 2018, jour d'ouverture à sa signature, ce Protocole amende, pour la 2 ème fois 1 ( * ) , la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « Convention 108 » , du Conseil de l'Europe, qui date de 1981 2 ( * ) .
Elle fut, il faut le remarquer, non seulement le premier instrument international juridique contraignant en la matière, mais aussi le seul à ce jour.
À ce jour, cinquante-cinq États sont parties à la Convention : les quarante-sept États membres du Conseil de l'Europe, ainsi que huit États tiers (Argentine, Cap Vert, Maroc, Maurice, Mexique, Sénégal, Tunisie, Uruguay).
Quarante-quatre États sont parties au Protocole additionnel : trente-six États membres du Conseil de l'Europe, ainsi que les huit États tiers qui sont parties à la Convention 108. La plupart des États membres du Conseil de l'Europe qui n'y sont pas parties l'ont signé mais ne l'ont pas ratifié 3 ( * ) .
La Convention et son Protocole additionnel nécessitent d'être modernisés afin de répondre aux nouveaux défis que posent l'utilisation des nouvelles technologies de l'information et de la communication ainsi que l'intensification et la mondialisation accrue des échanges de données personnelles à l'ère du numérique, par rapport à la protection de la vie privée et des données personnelles.
C'est ce que propose de faire ce protocole d'amendement, qui comporte un préambule, quarante articles et une annexe.
En fait, si la philosophie reste la même, c'est l'ensemble de la Convention et de son Protocole additionnel qui se trouve modifié par le présent protocole d'amendement. Il est déjà convenu d'appeler la future Convention révisée « Convention 108+ ».
Cette convention modernisée est par ailleurs parfaitement compatible avec la règlementation européenne 4 ( * ) et notre réglementation nationale en la matière 5 ( * ) .
Compte tenu de l'intérêt que représente cet accord pour la protection des données personnelles à un niveau international, la commission des affaires étrangères, de la défense et des forces armées a adopté ce projet de loi, dont le Sénat est saisi en premier.
PREMIÈRE PARTIE : LE CONTEXTE DE L'ADOPTION DU PROTOCOLE D'AMENDEMENT
I. L'ARTICULATION DU DROIT INTERNATIONAL, DU DROIT EUROPÉEN ET DU DROIT NATIONAL
En ce qui concerne l'articulation avec le droit de l'Union européenne , il faut d'abord préciser que tous les États membres de l'Union européenne sont Parties à la Convention 108 et l'Union européenne a vocation à être Partie à la Convention modernisée, une fois que tous les États membres l'auront ratifiée.
Il est donc essentiel que les instruments juridiques mis en place au sein de l'Union européenne et du Conseil de l'Europe, en matière de protection des données à caractère personnel, soient parfaitement compatibles et ceci a été un sujet de préoccupation constante au cours des négociations.
Le Protocole d'amendement de la Convention 108, tout en étant moins détaillé, repose sur les mêmes principes que les deux textes communautaires portant sur le sujet : le Règlement général sur la protection des données (RGPD) 6 ( * ) et la directive « Police - Justice » 7 ( * ) .
Ces principes sont les suivants :
- principe de finalité (le responsable d'un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime) ;
- principe de proportionnalité et de pertinence (les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier) ;
- principe d'une durée de conservation (une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier) ;
- principe de sécurité (le responsable du fichier doit garantir la sécurité des informations qu'il détient) ;
- droits des personnes (notamment, droits d'accès aux données, droit de rectification et à l'effacement).
Les droits des personnes concernées par le traitement de données à caractère personnel s'en trouvent renforcés, de même que la protection de ces droits par les autorités de contrôle, ainsi que les obligations des responsables de traitement.
Comme l'indique l'étude d'impact, cette convergence des instruments contribuera à une « exportation » d'un modèle européen cohérent et ambitieux de protection des données à caractère personnel.
Enfin, les liens entre la Convention 108 du Conseil de l'Europe et le droit de l'Union européenne sont étroits.
D'une part, le considérant 105 du RGPD énonce que, lorsque la Commission évalue la situation d'un pays tiers en vue de l'adoption d'une décision d'adéquation permettant le transfert de données à caractère personnel entre l'Union et ce pays tiers, l'adhésion de ce pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel doit être prise en compte.
D'autre part, par une décision du 9 avril 2019, le Conseil de l'Union européenne a autorisé les États membres de l'Union à ratifier la Convention 108 modernisée, dans l'intérêt de l'Union.
Ainsi, il peut être considéré que la Convention 108 modernisée a vocation à constituer une source complémentaire du droit de l'Union de la protection des données personnelles.
Enfin, en ce qui concerne le Royaume-Uni , qui reste membre du Conseil de l'Europe, la Commission a récemment pris 8 ( * ) « des décisions d'adéquation » à l'égard du Royaume-Uni, indiquant que le niveau de protection des données au Royaume-Uni est substantiellement équivalent à celui garanti par la législation européenne. Les données peuvent désormais circuler librement depuis l'UE vers le Royaume-Uni.
Concernant l'articulation avec le droit interne français, le RGPD et la directive « Police - Justice », qui, comme énoncé précédemment, reposent sur les mêmes principes que le Protocole d'amendement, ont respectivement donné lieu à des mesures d'adaptation et de transposition.
Il s'agit de l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
La Convention 108 modernisée ne devrait donc pas nécessiter de mesures d'adaptation supplémentaires, dans les domaines couverts par cette règlementation européenne.
Il en va de même dans le domaine de la sécurité nationale et de la défense, sachant que la Convention « 108+ » réserve aux Parties, à son article 11, paragraphe 1, sous a), et paragraphe 3, la faculté de prévoir des exceptions, pour des motifs tirés de la protection de la sécurité nationale et de la défense.
Ce sujet a d'ailleurs été particulièrement débattu lors des négociations, qui ont débuté en 2012.
II. UNE PRÉOCCUPATION LIÉE AUX SUJETS DE SÉCURITÉ NATIONALE ET DE DÉFENSE
Si les négociations ont débuté en 2012, une deuxième phase de négociation a pris place au sein du Comité ad hoc sur la protection des données (CAHDATA).
Le CAHDATA s'est réuni à quatre reprises, la dernière réunion s'étant déroulée en juin 2016. À son issue, certains points étaient restés en suspens, dont ceux intéressant les questions de sécurité nationale et de défense. C'est alors le Comité des Ministres du Conseil de l'Europe qui en a été saisi. Deux ans de négociations ont été nécessaires pour surmonter les difficultés rencontrées.
Comme l'indique l'étude d'impact, il s'agit, d'une part, de la soumission des services de renseignement à la future Convention 108 (sans possibilité d'exclusion), et, d'autre part, de l'alignement éventuel des règles régissant les transferts de données personnelles vers les États qui ne sont pas Parties à la Convention sur le niveau d'exigences particulièrement élevé du règlement dit « RGPD » et de la directive dite « Police - Justice » s'agissant du transfert des données personnelles des États membres de l'Union européenne vers des États tiers à l'Union.
Pour mémoire, le RGPD impose des exigences détaillées aux entreprises et organisations en ce qui concerne la collecte, la conservation et la gestion des données à caractère personnel. Elles s'appliquent tant aux organisations européennes qui traitent des données à caractère personnel de personnes établies dans l'UE qu'aux organisations établies en dehors de l'UE qui ciblent des personnes vivant au sein de l'UE.
En outre, la directive « Police - Justice » vise à mieux protéger les données à caractère personnel lorsque ces données sont traitées par la police et par les autorités judiciaires en matière pénale, tout en donnant aux autorités répressives des pays de l'Union les moyens d'échanger les informations nécessaires aux enquêtes et à la prévention des infractions pénales.
Ainsi, le nouvel article 14, alinéa 3, de la Convention « 108+ » 9 ( * ) , relatif aux flux transfrontières de données à caractère personnel, autorise, à l'instar du RGPD et de la directive « Police - Justice » s'agissant des transferts de données personnelles des États membres de l'Union européenne vers des États tiers, des transferts de données vers des pays tiers qui ne sont pas parties à la Convention uniquement si un niveau approprié de protection fondé sur les dispositions de la Convention est garanti . Il prévoit également la possibilité de transferts nonobstant l'absence d'un tel niveau approprié, pourvu que certaines conditions, identiques à celles prévues par le droit de l'Union européenne, soient remplies.
Par ailleurs, s'agissant de l'autre difficulté posée par l'éventuelle soumission des services de renseignement à la future Convention 108, la nouvelle rédaction de l'article 3 10 ( * ) , relatif au champ d'application de la Convention, prévoit in fine que cette Convention s'applique aux traitements de données relevant de la juridiction de chaque partie « dans les secteurs public et privé », ce qui inclut les activités de traitement à des fins de sécurité nationale et de défense.
Si, contrairement à la Convention originelle, tous les domaines sont couverts par la Convention « 108+ », y compris la sécurité nationale et la défense et qu'il n'y a pas de réserves possibles sur le champ d'application, l'article 14 du Protocole (qui deviendra l'article 11 de la Convention « 108+ ») prévoit cependant des exceptions pour des motifs tirés de la protection de la sécurité nationale et de la défense, à plusieurs règles conventionnelles.
Cet article dispose que :
« Aucune exception aux dispositions énoncées au présent chapitre n'est admise, sauf au regard des dispositions de l'article 5, paragraphe 4, de l'article 7, paragraphe 2, de l'article 8, paragraphe 1, et de l'article 9, dès lors qu'une telle exception est prévue par une loi, qu'elle respecte l'essence des droits et libertés fondamentales, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique :
a) à la protection de la sécurité nationale, à la défense, à la sûreté publique, à des intérêts économiques et financiers importants de l'État, à l'impartialité et à l'indépendance de la justice ou à la prévention, à l'investigation et à la répression des infractions pénales et à l'exécution des sanctions pénales, ainsi qu'à d'autres objectifs essentiels d'intérêt public général. [...] ».
Pour toutes ces raisons, et conformément à la jurisprudence de la Convention européenne des droits de l'Homme, l'impératif des intérêts de protection de la sécurité et de la défense nationale peut justifier des exceptions telles que prévues par l'article 14 du Protocole, pourvu qu'elles obéissent au principe de proportionnalité et qu'elles soient prévues par une loi suffisamment claire et intelligible.
Dans le cadre du Comité de suivi de la Convention 108, des travaux viennent justement d'être engagés sur la portée des dérogations permises par l'article 14 du Protocole. Ils devraient aboutir à l'adoption d'une note d'orientation qui permettrait notamment de clarifier, au bénéfice de tous les États Parties, les concepts-clés mentionnés dans cet article (sécurité nationale, défense, mesures nécessaires et proportionnées, ...).
Enfin, si, à l'instar de la Convention 108 (article 25), le Protocole d'amendement à celle-ci (article 39) prévoit expressément qu'aucune réserve n'est admise, il laisse aux Parties la faculté de faire une déclaration.
C'est ainsi qu'une déclaration interprétative a été préparée en interministériel. Le texte projeté figure dans l'étude d'impact, dont voici un extrait :
« En référence à l'article 9 du présent protocole (article 7 de la Convention 108 telle que révisée par le présent Protocole d'amendement), posant un principe général de notification de violation de données susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées et à l'article 14 du présent protocole (article 11 de la Convention 108 telle que révisée par le présent Protocole d'amendement), permettant des exceptions à cette obligation de notification, notamment quand elles constituent une mesure nécessaire et proportionnée dans une société démocratique « à la protection de la sécurité nationale, à la défense, à la sûreté publique [...] », la République française déclare que le législateur, dans le cadre de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, a expressément entendu exclure toute obligation de notification à l'autorité de contrôle en cas de violation de données intervenant dans un traitement intéressant la défense et la sécurité nationales ».
Ainsi, les autorités françaises considèrent que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit une telle exception dans la mesure où son chapitre IV, relatif aux traitements intéressant la sûreté de l'Etat et la défense, ne prévoit pas d'obligation de notification de violations de données dans ce cadre.
Dans ces conditions, nous pouvons donc considérer que la ratification de ce protocole d'amendement ne pénalisera pas nos services chargés d'assurer la sécurité et la défense de notre territoire.
DEUXIÈME PARTIE - LES OBJECTIFS DU PROTOCOLE D'AMENDEMENT
I. RENFORCER LES AUTORITÉS DE CONTRÔLE NATIONALES
Le premier objectif consiste à moderniser la Convention 108, qui remonte à 1981, ainsi que son Protocole additionnel, de 2001, notamment en ce qui concerne les autorités de contrôle.
Ce Protocole, signé par la France le 8 novembre 2001, ratifié le 22 mai 2007, impose, par son article 1 er , la mise en place d'autorités de contrôle indépendantes chargées d'assurer le respect des règles nationales qui résultent de la Convention et dotées à cet effet de pouvoirs d'investigation et d'intervention en justice.
L'article 11 du Protocole d'amendement renforce les droits des personnes concernées, ainsi que la protection de ces droits par les autorités de contrôle, en prévoyant 11 ( * ) que « toute personne a le droit (...) de bénéficier, quelle que soit sa nationalité ou sa résidence, de l'assistance d'une autorité de contrôle au sens de l'article 15 pour l'exercice de ses droits prévus par la présente Convention ».
En ce qui concerne la France, l'autorité de contrôle en charge de veiller au respect des dispositions de la Convention, la Commission nationale informatique et liberté (CNIL) sera sollicitée dans le cadre de la mise en oeuvre de ce mécanisme à l'égard de la France au moment de l'entrée en vigueur de la Convention « 108+ » pour évaluer la conformité de la France, et au moment de la mise en oeuvre de la procédure de suivi à l'égard de la France.
Au regard des éléments disponibles à ce jour, on peut raisonnablement estimer que la CNIL sera amenée à avoir un rôle actif dans ce cadre, ce qui constituera une charge administrative supplémentaire pour son activité.
En effet, la CNIL devra mobiliser des ressources au sein de ses différents services en vue d'apporter des contributions sur les questions spécifiques à l'exercice de ses pouvoirs, missions et actions en lien avec la mise en oeuvre de la Convention, et de manière plus générale, sur des questions transversales portant sur les règles substantielles de protection des données.
II. RENFORCER LES GARANTIES DE MISE EN oeUVRE EFFECTIVES DES RÈGLES CONVENTIONNELLES
Les articles 27 à 30 du Protocole d'amendement concernent le Comité consultatif, qui devient le Comité conventionnel .
Le Comité conventionnel aura un rôle en partie identique au Comité consultatif actuel en ce qu'il aura pour objectif commun de faciliter l'application (et l'interprétation) de la Convention et, le cas échéant, de perfectionner celle-ci, notamment en ayant la capacité de proposer des amendements à la convention et d'examiner des propositions d'amendement formulées par une autre Partie ou par le Comité des Ministres.
Néanmoins, il aura des pouvoirs plus étendus .
Tout d'abord, le Comité conventionnel jouera un rôle-clé dans l'évaluation du respect de la Convention, soit par la préparation d'une évaluation du niveau de protection des données offert par un candidat à l'adhésion 12 ( * ) , soit par l'examen périodique de l'application de la Convention par les Parties.
L'objectif est de garantir la mise en oeuvre des principes de protection des données consacrés par la Convention. À ce titre, le processus et les critères utilisés pour cette évaluation doivent être clairement définis dans le règlement du Comité conventionnel : une procédure objective, équitable et transparente, décrite en détail dans son règlement.
Le Comité conventionnel aura également la faculté d'évaluer la conformité avec la Convention du régime de protection des données d'un État ou d'une organisation internationale, à la demande des derniers.
Il aura également la faculté d'approuver des modèles de garanties standardisées pour les transferts de données.
Enfin, il pourra contribuer au règlement de toute difficulté surgissant entre les Parties. En cas de différends, le Comité conventionnel s'efforcera de parvenir à un règlement par la négociation ou par tout autre moyen amiable.
Il faut préciser que le processus décisionnel au sein du Comité conventionnel a fait l'objet de négociations au sein du Comité des Ministres. En effet, il y avait une interrogation concernant le nombre de voix de l'Union européenne, laquelle pourra adhérer à la Convention « 108+ » après l'entrée en vigueur du Protocole, mais aussi sur le seuil de majorité requis, les Etats tiers craignant que l'Union européenne et ses Etats membres ne bénéficient d'une position privilégiée dans cette enceinte.
Une solution a été trouvée. Elle figure dans les « Eléments pour le règlement intérieur du comité conventionnel » annexés au Protocole d'amendement : le quorum pour tenir une réunion du Comité conventionnel est fixé à la majorité des deux tiers des représentants des Parties, et, à l'exception des questions procédurales qui seront soumises à la majorité simple, les décisions du Comité seront prises à la majorité des quatre cinquièmes.
Les modalités de suivi de la mise en oeuvre de la Convention 108 + sont en cours de discussion au sein du Comité de suivi.
Nos échanges avec le ministre de l'Europe et des affaires étrangères nous ont permis de prendre connaissance de quelques pistes quant au mécanisme qui sera mis en oeuvre en cas de non-conformité constaté par le Comité de suivi : l'objectif du Comité sera d'aider la Partie concernée ou le candidat à l'adhésion et ses autorités compétentes à se mettre en conformité au regard de la Convention et de ses (futurs) engagements. Ces mesures recommandées devraient être de nature incitative et progressive.
L'adoption du présent Protocole permettra donc de renforcer le caractère contraignant de la Convention « 108+ », malgré l'absence d'une juridiction dédiée.
CONCLUSION
Après un examen attentif des stipulations de cet accord, la commission a adopté ce projet de loi n° 561 (2020-2021) autorisant la ratification du Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
En effet, ce Protocole et la future Convention « 108+ » sont compatibles avec le droit de l'Union européenne et notre droit national.
Si les dispositifs prévus sont moins détaillés que ceux qui existent déjà au niveau communautaire ou national, ils reposent sur les mêmes principes de protection.
La Convention « 108+ » constituera un modèle européen cohérent et ambitieux de protection des données à caractère personnel.
Concernant le processus de ratification, le Protocole n'est pas en vigueur au plan international. Comme rappelé dans l'étude d'impact, l'article 37 du Protocole d'amendement prévoit son entrée en vigueur le premier jour du mois suivant l'expiration d'une période de trois mois après la date à laquelle toutes les Parties à la Convention 108 auront accepté, ratifié ou approuvé le Protocole. A défaut, il peut entrer en vigueur après la ratification de trente-huit Parties au Protocole, mais seulement à l'expiration d'une période de cinq ans après la date d'ouverture à la signature, soit le 11 octobre 2023.
Le Protocole d'amendement a été ouvert à la signature le 10 octobre 2018. À ce jour, il a été signé par quarante-trois États, dont quatre États tiers au Conseil de l'Europe (l'Argentine, Maurice, la Tunisie et l'Uruguay). La France l'a signé le jour d'ouverture à sa signature. Onze ratifications sont intervenues à ce jour (Bulgarie, Chypre, Croatie, Espagne, Estonie, Finlande, Lituanie, Malte, Maurice, Pologne et Serbie).
En ce qui concerne la France, une fois la loi autorisant la ratification de la Convention votée par le Parlement, la ratification sera effective dès que l'instrument de ratification aura été transmis au Conseil de l'Europe, accompagné de la déclaration interprétative mentionnée dans l'étude d'impact.
Il est donc important que la France le ratifie dans les meilleurs délais, afin de montrer son attachement à la protection des données et de la vie privée, principes particulièrement mis à mal ces derniers temps.
L'examen en séance publique, prévu selon la procédure simplifiée, aura lieu le mardi 13 juillet 2021.
EXAMEN EN COMMISSION
Réunie le mercredi 7 juillet 2021, sous la présidence de M. Cédric Perrin, vice-président, la commission des affaires étrangères, de la défense et des forces armées a procédé à l'examen du rapport de M. Bruno Sido sur le projet de loi n° 561 (2020-2021) autorisant la ratification du Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
M. Bruno Sido, rapporteur . - Monsieur le Président, mes chers collègues, nous examinons aujourd'hui le projet de loi n° 561 (2020-2021) autorisant la ratification du Protocole d'amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
Signé par la France le 10 octobre 2018, jour d'ouverture à sa signature, ce Protocole amende, pour la 2 e fois, la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dite « Convention 108 », du Conseil de l'Europe, qui date de 1981.
Elle fut, il faut le remarquer, non seulement le premier instrument international juridique contraignant en la matière, mais elle continue aussi d'être le seul à ce jour.
À ce jour, cinquante-cinq États sont parties à la Convention : les quarante-sept États membres du Conseil de l'Europe, ainsi que huit États tiers (Argentine, Cap Vert, Maroc, Maurice, Mexique, Sénégal, Tunisie, Uruguay).
Quarante-quatre États sont parties au Protocole additionnel : trente-six États membres du Conseil de l'Europe, ainsi que les huit États tiers qui sont parties à la Convention 108. La plupart des États membres du Conseil de l'Europe qui n'y sont pas parties l'ont signé mais ne l'ont pas ratifié.
La Convention et son Protocole additionnel nécessitent d'être modernisés afin de répondre aux nouveaux défis que posent l'utilisation des nouvelles technologies de l'information et de la communication ainsi que l'intensification et la mondialisation accrue des échanges de données personnelles à l'ère du numérique, par rapport à la protection de la vie privée et des données personnelles.
C'est ce que propose de faire ce protocole d'amendement, qui comporte un préambule, quarante articles et une annexe.
En fait, si la philosophie reste la même, c'est l'ensemble de la Convention et de son Protocole additionnel qui se trouve modifié par le présent protocole d'amendement. Il est déjà convenu d'appeler la future Convention révisée « Convention 108+ ».
En particulier, il intègre dans la convention les grands principes du Règlement général sur la protection des données (RGPD) et de la directive « Police - Justice », textes postérieurs à la Convention d'origine. Il prévoit également le renforcement des autorités de contrôle nationales.
Cette convention modernisée est par ailleurs parfaitement compatible avec la règlementation européenne et notre réglementation nationale en la matière.
De plus, les précautions ont été prises pour qu'elle n'enfreigne pas l'activité de nos services de renseignement.
En conclusion, je recommande l'adoption de ce projet de loi, dont le Sénat est saisi en premier, compte tenu de l'intérêt que représente ce protocole d'amendement pour la protection des données personnelles à un niveau international.
De plus, comme l'indique l'étude d'impact, la nouvelle Convention « 108+ » contribuera à une « exportation » d'un modèle européen cohérent et ambitieux de protection des données à caractère personnel.
L'examen en séance publique au Sénat est prévu le mardi 13 juillet 2021, selon la procédure simplifiée, ce à quoi la conférence des présidents, de même que votre rapporteur, a souscrit.
Suivant l'avis du rapporteur, la commission a adopté le rapport et le projet de loi précité, une sénatrice du groupe communiste, républicain, citoyen et écologiste (CRCE) s'abstenant.
LISTE DES PERSONNES AUDITIONNÉES
Ministère de l'Europe et des affaires étrangères
- M. Vincent Filhol , chargé de mission, Direction des affaires juridiques.
- M. Damien Dubois , rédacteur, magistrat, Direction des affaires juridiques.
* 1 Protocole additionnel concernant les autorités de contrôle et les flux transfrontaliers de données signé par la France le 8 novembre 2001, ratifié le 22 mai 2007, après son entrée en vigueur, le 1 er juillet 2004.
* 2 Convention signée par la France le 28 janvier 1981, ratifiée le 24 mars 1983 et entrée en vigueur le 1 er octobre 1985.
* 3 Belgique, Russie, Grèce, Islande, Italie, Norvège, Royaume-Uni.
* 4 RGPD et directive « police-justice ».
* 5 Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
* 6 Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD).
* 7 Directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ».
* 8 Décisions du 28 juin 2021.
* 9 Article 17 alinéa 2 du présent Protocole.
* 10 Article 4 du présent Protocole.
* 11 Article 11-2-1.g) du Protocole d'amendement, qui deviendra l'article 9-1.g) de la Convention « 108+ ».
* 12 Article 29-5 du Protocole, qui deviendra l'article 23 de la Convention « 108+ ».