Résolution 1843 (2011)1

La protection de la vie privée et des données à caractère personnel sur l’internet et les médias en ligne


1. Tout en saluant les progrès historiques des technologies de l’information et de la communication (ci-après «TIC») et les effets positifs qui en découlent pour les individus, les sociétés et notre civilisation tout entière, l’Assemblée parlementaire note avec préoccupation que la numérisation des informations a engendré des possibilités sans précédent d’identifier les individus grâce à leurs données. Les données personnelles sont traitées par un nombre toujours croissant d’organismes privés et d’instances publiques dans le monde. Les informations à caractère personnel sont introduites dans le cyberespace par les utilisateurs eux-mêmes et par des tiers. Les individus laissent des traces de leur identité en utilisant les TIC. L’établissement de profils d’utilisateurs de l’internet est devenu un phénomène répandu. Les sociétés surveillent parfois leurs employés et leurs contacts commerciaux au moyen des TIC.

2. En outre, les systèmes fondés sur les TIC sont souvent infiltrés dans le but d’obtenir des données relatives à des entités juridiques, en particulier les sociétés commerciales, les institutions financières, les instituts de recherche et les pouvoirs publics. Ce type d’accès pourrait causer des préjudices économiques au secteur privé et avoir une incidence négative sur le bien-être économique des Etats, la sûreté publique ou la sécurité nationale.

3. L’Assemblée s’alarme de cette évolution qui remet en cause le droit à la vie privée et à la protection des données. Dans un Etat démocratique régi par la prééminence du droit, le cyberespace ne doit pas être considéré du point de vue juridique comme un espace où le droit, et en particulier les droits de l’homme, ne s’applique pas.

4. L’Assemblée rappelle le droit fondamental au respect de la vie privée et familiale, du domicile et de la correspondance, tel qu’il est garanti par l’article 8 de la Convention européenne des droits de l’homme (STE no 5). Ce droit comprend le droit à la protection des données à caractère personnel ainsi que l’obligation des Etats, à cet égard, de prévoir des garanties appropriées dans le cadre de la loi nationale.

5. L’Assemblée souligne la nécessité de lutter efficacement contre la collecte, la diffusion et la consultation, par le biais des technologies de l’information et de la communication, et notamment de l’internet, de la pornographie enfantine, conformément aux dispositions de la Convention du Conseil de l’Europe sur la protection des enfants contre l’exploitation et les abus sexuels (STCE no 201).

6. Rappelant qu’elle soutient de longue date la protection de la vie privée depuis sa Recommandation 509 (1968) relative aux droits de l’homme et aux réalisations scientifiques et technologiques modernes, l’Assemblée accueille avec satisfaction et appuie la Résolution no 3 sur la protection des données et la vie privée au IIIe millénaire, qui a été adoptée lors de la 30e Conférence des ministres de la Justice du Conseil de l’Europe (Istanbul, 24-26 novembre 2010).

7. Comme l’Assemblée le déclarait dans sa Résolution 428 (1970) portant déclaration sur les moyens de communication de masse et les droits de l’homme : «Lorsque des banques régionales, nationales ou internationales de données informatiques sont instituées, l’individu ne doit pas être rendu totalement vulnérable par l’accumulation d’informations concernant sa vie privée. Ces centres doivent enregistrer uniquement le minimum de renseignements nécessaires…».

8. Faisant référence à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108, ci-après «Convention no 108»), l’Assemblée souligne que le droit à la protection des données à caractère personnel comprend notamment le droit à ce que ces données soient traitées loyalement et de manière sécurisée, pour des finalités déterminées et légitimes, et le droit de chacun de connaître, de consulter et de rectifier les données à caractère personnel traitées par des tiers ou de supprimer les données à caractère personnel qui ont été traitées sans autorisation. Le respect de ces obligations doit être supervisé par une autorité indépendante, conformément au Protocole additionnel à la Convention no 108, concernant les autorités de contrôle et les flux transfrontières de données (STCE no 181).

9. L’Assemblée réaffirme que les Etats membres ne devraient transférer des données à caractère personnel vers un autre Etat ou une organisation que si cet Etat ou cette organisation est Partie à la Convention no 108 et à son protocole additionnel ou assure un niveau de protection adéquat pour le transfert considéré. Les transferts de données à caractère personnel qui violent le droit à la protection de la vie privée garanti par l’article 8 de la Convention européenne des droits de l’homme peuvent faire l’objet de recours devant les juridictions nationales et, en dernier ressort, devant la Cour européenne des droits de l’homme.

10. L’Assemblée se félicite de ce que la Convention no 108 ait été signée et ratifiée par presque tous les Etats membres du Conseil de l’Europe – à l’exception, regrettable, de l’Arménie, de la Fédération de Russie, de Saint-Marin et de la Turquie – et note que les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne contiennent dans une large mesure les mêmes principes. Face à la mondialisation croissante des services fournis par les TIC, il est de la plus grande urgence pour toute l’Europe d’adhérer aux mêmes normes et de s’efforcer d’impliquer d’autres pays dans le monde.

11. Si l’article 17 du Pacte international relatif aux droits civils et politiques (ci-après «PIDCP») reconnaît le droit à la vie privée, l’interprétation juridique et l’application pratique de cet article restent nettement en deçà des normes européennes. L’Assemblée estime donc que toute initiative de portée mondiale devrait être fondée sur la Convention no 108 et son protocole additionnel, tous deux étant en principe ouverts à la signature d’Etats non membres du Conseil de l’Europe.

12. Bien que l’usage de technologies et de logiciels de prévention, la pratique de l’autorégulation volontaire par les fournisseurs de TIC et les utilisateurs privés ainsi qu’une meilleure sensibilisation des utilisateurs puissent réduire le risque d’ingérence dans la vie privée et le traitement préjudiciable des données à caractère personnel au moyen des TIC, l’Assemblée estime que seule une législation spécifique et une mise en application effective peuvent assurer suffisamment le droit à la protection de la vie privée et des données à caractère personnel visé par l’article 17 du PIDCP et l’article 8 de la Convention européenne des droits de l’homme.

13. L’Assemblée déplore que l’absence de normes juridiques mondialement acceptées sur la protection des données concernant les réseaux et services fondés sur les TIC débouche sur une insécurité juridique et contraigne les tribunaux nationaux à combler ce vide, au cas par cas, en interprétant les lois internes à la lumière de l’article 17 du PIDCP et de l’article 8 de la Convention européenne des droits de l’homme. Non seulement cela expose les individus à une inégalité dans la protection de leurs droits, mais entraîne aussi des exigences différentes et variables pour les fournisseurs de TIC et les utilisateurs au niveau global, rendant le niveau de responsabilité pratiquement imprévisible.

14. L’Assemblée se félicite de la coopération internationale établie entre les autorités indépendantes de protection des données et appuie les efforts qu’elles déploient pour garantir la protection internationale commune de la vie privée et des données à caractère personnel face aux développements rapides des technologies, comme l’attestent leurs résolutions adoptées à Madrid en 2009 et à Jérusalem en 2010. L’Assemblée partage leur avis selon lequel la Convention no 108 devrait être soutenue au niveau mondial, car il s’agit de l’ensemble de normes les plus avancées dans ce domaine en droit international public.

15. Rappelant la Convention sur la cybercriminalité (STE no 185), l’Assemblée se félicite du fait que plus de 100 Etats aient adopté une législation qui s’inspire de l’esprit de cette convention. En vertu des articles 2, 3 et 4 de ladite convention, ses Parties sont tenues d’ériger en infraction pénale dans leur droit interne tout accès, interception et manipulation de données informatiques effectués sciemment, sans autorisation. Ces données informatiques peuvent contenir des données à caractère personnel de personnes physiques et des données à caractère confidentiel de personnes morales présentes sur les réseaux informatiques.

16. Rappelant l’article 10 de la Convention sur les droits de l’homme et la biomédecine (STE no 164) et l’article 16 de son Protocole additionnel relatif aux tests génétiques à des fins médicales (SCTE no 203), l’Assemblée insiste sur le droit de chacun à la protection des informations relatives à sa santé, notamment le droit d’être informé de toute collecte et traitement de ces données au moyen des TIC et d’y consentir ou non. Les données à caractère sanitaire et médical des personnes exigent le niveau le plus élevé de protection des données, car elles constituent l’un des éléments essentiels de la vie privée et de la dignité humaine.

17. L’Assemblée rappelle également l’obligation de respecter le droit à la vie privée et à la protection des données en vertu de la Convention du Conseil de l’Europe sur l’accès aux documents publics (STCE no 205) ainsi que les limites fixées à la protection des données à caractère personnel par la Convention du Conseil de l’Europe relative au blanchiment, au dépistage, à la saisie et à la confiscation des produits du crime et au financement du terrorisme (STCE n° 198) et par la Convention concernant l’assistance administrative mutuelle en matière fiscale (STE no 127) et son protocole d’amendement (STCE no 208).

18. L’Assemblée approuve les principes généraux suivants concernant la protection de la vie privée et des données à caractère personnel dans un environnement de TIC:

18.1. la protection de la vie privée est un élément nécessaire de la vie humaine et du fonctionnement humain d’une société démocratique; toute violation de la vie privée d’une personne met en jeu sa dignité, sa liberté et sa sécurité;

18.2. le droit à la protection de la vie privée et des données à caractère personnel est un droit fondamental qui impose aux Etats l’obligation de fournir un cadre juridique adapté à une telle protection contre toute ingérence des pouvoirs publics, de simples particuliers ou d’entités privées;

18.3. toute personne doit pouvoir contrôler l’utilisation par d’autres de ses données à caractère personnel, notamment l’accès, la collecte, le stockage, la divulgation, la manipulation, l’exploitation ou autre traitement de ces données, à l’exception de la rétention licite ou techniquement nécessaire des données de trafic liées aux TIC et des données de localisation; le contrôle de l’utilisation des données à caractère personnel doit comprendre le droit de chacun de connaître et de rectifier les données qui le concernent, et de faire supprimer des systèmes et réseaux fondés sur les TIC toutes les données qui ont été fournies sans obligation juridique;

18.4. les données à caractère personnel ne doivent pas être utilisées par d’autres sans consentement préalable de la personne concernée, ce qui exige l’expression d’un consentement en connaissance de cause concernant cette utilisation, à savoir une manifestation de volonté libre, spécifique et informée, et exclut tout usage tacite ou automatique; le consentement peut être retiré à tout moment par la suite; dans ce cas, les données à caractère personnel ne peuvent plus être utilisées;

18.5. lorsque des données à caractère personnel doivent être utilisées à des fins d’exploitation commerciale, la personne concernée doit être également informée à l’avance de cette exploitation commerciale; lorsque des données à caractère personnel peuvent être utilisées par d’autres, parce que la personne concernée a donné son accord ou parce que ces données, par ailleurs anonymes, sont accessibles au public, l’accumulation, l’interconnexion, la personnalisation et l’utilisation intentionnelles de ces données accumulées exigent toutefois le consentement de la personne concernée;

18.6. les systèmes TIC personnels ainsi que les communications fondées sur des TIC ne doivent pas être infiltrés ou manipulés si une telle action viole la vie privée ou le secret de la correspondance; l’accès ou la manipulation sans autorisation au moyen de «cookies» ou d’autres dispositifs automatisés non autorisés constituent une violation de la vie privée, en particulier lorsque cet accès ou cette manipulation servent d’autres intérêts, notamment commerciaux;

18.7. un degré de protection supérieur doit être accordé aux images privées, aux données à caractère personnel des mineurs ou des personnes souffrant d’un handicap mental ou psychologique, aux données personnelles ethniques, aux données personnelles sanitaires, médicales ou sexuelles, aux données personnelles biométriques et génétiques, aux données personnelles politiques, philosophiques ou religieuses, aux données financières à caractère personnel et à d’autres informations qui relèvent du domaine essentiel de la vie privée; un degré de protection supérieur doit être également accordé aux données à caractère personnel liées aux poursuites judiciaires ou au secret professionnel des juristes, des professionnels de santé et des journalistes; ce degré de protection supérieur peut être obtenu par des moyens d’autorégulation, des moyens techniques et juridiques qui permettent de rendre dûment responsables ceux qui violent la protection des données ou la vie privée; il conviendrait de fixer des délais au-delà desquels de telles données ne pourraient plus être conservées ou utilisées;

18.8. les entités publiques et privées qui collectent, stockent, traitent ou utilisent d’une autre manière des données à caractère personnel doivent être tenues de réduire le volume de ces données au plus strict minimum; les données à caractère personnel doivent être supprimées lorsqu’elles sont obsolètes ou inutilisées, ou lorsque la finalité de leur collecte a été atteinte ou n’existe plus; la collecte et le stockage aléatoires de données à caractère personnel doivent être évités;

18.9. toute personne doit pouvoir disposer d’un recours efficace devant les tribunaux nationaux contre toute ingérence illicite dans son droit à la protection de sa vie privée et de ses données à caractère personnel; des organes d’autorégulation et d’arbitrage volontaire ainsi que des autorités indépendantes de protection des données doivent compléter le système judiciaire afin de garantir la protection efficace de ce droit; les pouvoirs publics et les sociétés commerciales doivent être encouragés à élaborer des mécanismes permettant de recevoir et de traiter les plaintes émanant d’individus qui allèguent que leur droit à la protection de leurs données ou de leur vie privée a été violé, ainsi que des mécanismes garantissant le respect au niveau interne du droit à la protection de la vie privée et des données à caractère personnel; toute violation de la protection de la vie privée et des données à caractère personnel doit être sanctionnée pénalement.

19. L’Assemblée se félicite que les Parties à la Convention no 108 aient commencé à préparer une révision possible de cette convention à la suite de l’évolution rapide des technologies et de la concurrence commerciale de plus en plus agressive qui règne dans les services fondés sur les TIC.

20. C’est pourquoi l’Assemblée invite:

20.1. les Parlements d’Arménie, de la Fédération de Russie, de Saint-Marin et de Turquie à lancer sans délai leur processus de ratification de la Convention no 108, ce qui permettra à leur pays de jouer un rôle actif dans l’évolution ultérieure de cette convention;

20.2. ses délégations d’observateurs du Canada, d’Israël et du Mexique à lancer un débat dans leurs parlements respectifs sur la signature et la ratification de la Convention no 108 et la participation à son évolution ultérieure. Les délégations d’observateurs sont invitées à faire rapport sur les progrès accomplis à cet égard à l’Assemblée en temps utile;

20.3. les autres Etats qui coopèrent avec le Conseil de l’Europe, en particulier les autres Etats observateurs que sont le Japon, les Etats-Unis d’Amérique et le Saint-Siège, à encourager leurs autorités à adhérer à la Convention no 108;

20.4. la Commission européenne pour la démocratie par le droit (Commission de Venise) à faire rapport à l’Assemblée sur le degré de conformité de la législation interne de ses Etats membres et observateurs avec le droit fondamental et universel à la protection de la vie privée et des données à caractère personnel, à la lumière de la Convention no 108 et de son protocole additionnel, et sur l’intention éventuelle des Etats qui ne sont pas encore parties à cette convention de la signer et de la ratifier.

21. L’Assemblée demande au Secrétaire Général du Conseil de l’Europe:

21.1. de rechercher un appui à haut niveau des Nations Unies pour inciter les Etats du monde entier à adhérer à la Convention no 108, par le biais notamment du Forum des Nations Unies sur la gouvernance de l’internet (IGF), de l’Union internationale des télécommunications et de l’Organisation des Nations Unies pour l’éducation, la science et la culture (UNESCO);

21.2. de s’assurer que l’utilisation généralisée des TIC au sein du Conseil de l’Europe et son statut juridique extraterritorial ne nuisent pas à la protection de la vie privée et des données à caractère personnel. Dans ce contexte, la position et les activités du Commissaire à la protection des données du Conseil de l’Europe devraient être renforcées et le cadre réglementaire interne révisé en conséquence.

22. L’Assemblée appelle l’Union européenne à continuer de soutenir une large adhésion à la Convention no 108 et à son protocole additionnel, et à en devenir elle-même partie quand les amendements nécessaires pour permettre cette adhésion seront entrés en vigueur.

23. Se félicitant des efforts déployés au niveau international par les différentes parties prenantes pour garantir le droit à la protection des données à caractère personnel dans un environnement fondé sur les TIC, tels que les résolutions de Madrid (2009) et de Jérusalem (2010) adoptées par des autorités indépendantes de protection des données, ainsi que des diverses initiatives conduites par la Chambre internationale de commerce dans le domaine de la protection des données, l’Assemblée invite toutes les parties prenantes à joindre leurs forces à celles du Conseil de l’Europe afin que les initiatives individuelles n’entrent pas en contradiction les unes avec les autres ou ne risquent pas d’être utilisées pour brouiller une approche commune du droit universel au respect de la vie privée et des données à caractère personnel, ou pour affaiblir les normes juridiques existantes.


1 . Discussion par l’Assemblée le 7 octobre 2011 (36e séance) (voir Doc. 12695, rapport de la commission de la culture, de la science et de l'éducation, rapporteur: Mme Rihter; Doc. 12726, avis de la commission des questions juridiques et des droits de l'homme, rapporteur: M. Salles). Texte adopté par l’Assemblée le 7 octobre 2011 (36e séance). Voir également la Recommandation 1984 (2011).