Académique Documents
Professionnel Documents
Culture Documents
www.coe.int/dataprotection
Convention 108 +
Convention pour la protection des personnes
à l’égard du traitement des données
à caractère personnel
Conseil de l’Europe
Edition anglaise :
Convention 108+
Convention for the protection
of individuals with regard to the
processing of personal data
Toute demande de reproduction
ou de traduction de tout ou
d’une partie de ce document
doit être adressée à la
Direction de la communication
(F 67075 Strasbourg ou
publishing@coe.int). Toute autre
correspondance relative à ce
document doit être adressée à
la Direction générale des droits
de l’homme et État de droit
(DataProtection@coe.int).
Photo couverture : Shutterstock
Couverture et mise en page :
Service de la production des
documents et des publications
(SPDP), Conseil de l’Europe
© Conseil de l’Europe, juin 2018
Imprimé dans les ateliers
du Conseil de l’Europe
Table des matières
► Page 3
Décision du Comité des Ministres
(128e session du Comité des Ministres,
Elseneur, 18 mai 2018)
c. des catégories des données à caractère personnel g. de bénéficier, quelle que soit sa nationalité ou sa
traitées ; résidence, de l’assistance d’une autorité de contrôle au
sens de l’article 15 pour l’exercice de ses droits prévus
d. le cas échéant, des destinataires ou catégories par la présente Convention.
de destinataires des données à caractère personnel ;
et 2. Le paragraphe 1.a ne s’applique pas si la décision
est autorisée par une loi à laquelle est soumis le res-
e. des moyens d’exercer les droits énoncés à ponsable du traitement et qui prévoit également des
l’article 9 ; mesures appropriées pour la sauvegarde des droits,
ainsi que de toute autre information complémentaire des libertés et des intérêts légitimes de la personne
nécessaire pour garantir un traitement loyal et trans- concernée.
parent des données à caractère personnel.
Article 10 – Obligations complémentaires
2. Le paragraphe 1 ne s’applique pas lorsque la
personne concernée détient déjà l’information. 1. Chaque Partie prévoit que les responsables du
traitement, ainsi que, le cas échéant, les sous-traitants,
3. Lorsque les données à caractère personnel ne
doivent prendre toutes les mesures appropriées afin de
sont pas collectées directement auprès des personnes
se conformer aux obligations de la présente Convention
concernées, le responsable du traitement n’est pas tenu
de fournir ces informations dès lors que le traitement et être en mesure de démontrer sous réserve de la
est expressément prévu par la loi ou que cela lui est législation nationale adoptée conformément à l’article
impossible ou implique des efforts disproportionnés. 11, paragraphe 3, en particulier à l’autorité de contrôle
compétente, prévue à l’article 15, que le traitement
Article 9 – Droits des personnes dont ils sont responsables est en conformité avec les
concernées dispositions de la présente Convention.
1. Toute personne a le droit : 2. Chaque Partie prévoit que les responsables du
traitement, ainsi que, le cas échéant, les sous-traitants,
a. de ne pas être soumise à une décision l’affectant
doivent procéder, préalablement au commencement
de manière significative, qui serait prise uniquement
de tout traitement, à l’examen de l’impact potentiel
sur le fondement d’un traitement automatisé de don-
du traitement de données envisagé sur les droits et
nées, sans que son point de vue soit pris en compte ;
libertés fondamentales des personnes concernées, et
b. d’obtenir, à sa demande, à intervalle raisonnable qu’ils doivent concevoir le traitement de données de
et sans délai ou frais excessifs, la confirmation d’un manière à prévenir ou à minimiser les risques d’atteinte
traitement de données la concernant, la communica- à ces droits et libertés fondamentales.
tion sous une forme intelligible des données traitées,
et toute information disponible sur leur origine, sur 3. Chaque Partie prévoit que les responsables du
la durée de leur conservation ainsi que toute autre traitement, ainsi que, le cas échéant, les sous-traitants,
information que le responsable du traitement est tenu prennent des mesures techniques et organisation-
de fournir au titre de la transparence des traitements nelles tenant compte des implications du droit à la
conformément à l’article 8, paragraphe 1 ; protection des données à caractère personnel à tous
les stades du traitement des données.
c. d’obtenir, à sa demande, connaissance du
raisonnement qui sous-tend le traitement de don- 4. Chaque Partie peut, eu égard aux risques encou-
nées, lorsque les résultats de ce traitement lui sont rus pour les intérêts, droits et libertés fondamentales
appliqués ; des personnes concernées, adapter l’application des
f. peut, à la demande d’un État ou d’une organisa- 4. Le Comité des Ministres examine l’amendement
tion internationale, évaluer si leur niveau de protection proposé et tout avis soumis par le comité convention-
des données à caractère personnel est conforme aux nel, et peut approuver l’amendement.
dispositions de la présente Convention et recom- 5. Le texte de tout amendement approuvé par le
mande, le cas échéant, des mesures à prendre en vue Comité des Ministres conformément au paragraphe
d’atteindre une telle conformité ; 4 du présent article est transmis aux Parties pour
g. peut élaborer ou approuver des modèles de acceptation.
garanties standardisées au sens de l’article 14 ;
6. Tout amendement approuvé conformément au
h. examine la mise en œuvre de la présente paragraphe 4 du présent article entrera en vigueur
Convention par les Parties et recommande des le trentième jour après que toutes les Parties auront
mesures à prendre en cas de non-respect de la pré- informé le Secrétaire Général qu’elles l’ont accepté.
sente Convention par une Partie ;
7. Par ailleurs, le Comité des Ministres peut, après
i. facilite au besoin le règlement amiable de toute consultation du comité conventionnel, décider à
difficulté d’application de la présente Convention. l’unanimité qu’un amendement en particulier entrera
en vigueur à l’expiration d’une période de trois ans
Article 24 – Procédure à compter de la date à laquelle il aura été ouvert à
1. Le Comité conventionnel est convoqué par le l’acceptation, sauf si une Partie a notifié au Secrétaire
Secrétaire Général du Conseil de l’Europe. Il tient sa Général du Conseil de l’Europe une objection à son
première réunion dans les douze mois qui suivent entrée en vigueur. Lorsqu’une telle objection a été
l’entrée en vigueur de la présente Convention. Il se notifiée, l’amendement entrera en vigueur le premier
réunit par la suite au moins une fois par an et, en tous jour du mois suivant la date à laquelle la Partie à la pré-
cas, chaque fois qu’un tiers des représentants des sente Convention qui a notifié l’objection aura déposé
Parties demande sa convocation. son instrument d’acceptation auprès du Secrétaire
2. À l’issue de chacune de ses réunions, le Comité Général du Conseil de l’Europe.
conventionnel soumet au Comité des Ministres du
Conseil de l’Europe un rapport sur ses travaux et sur
le fonctionnement de la présente Convention. Chapitre VIII – Clauses finales
3. Les modalités de vote au sein du Comité conven-
tionnel sont fixées dans les éléments pour le règlement Article 26 – Entrée en vigueur
intérieur annexés au Protocole n° STCE [223]. 1. La présente Convention est ouverte à la signature
4. Le Comité conventionnel établit les autres élé- des États membres du Conseil de l’Europe et de l’Union
ments de son règlement intérieur et fixe en particulier européenne. Elle sera soumise à ratification, accepta-
les procédures d’évaluation et d’examen prévues à tion ou approbation. Les instruments de ratification,
l’article 4, paragraphe 3 et à l’article 23, alinéas e, f et d’acceptation ou d’approbation seront déposés près
h sur la base de critères objectifs. le Secrétaire Général du Conseil de l’Europe.
I. Introduction
1. Depuis son ouverture à la signature il y a plus de transfrontières de données de caractère personnel,
trente-cinq ans, la Convention pour la protection des des Principes directeurs de 1990 des Nations Unies
personnes à l’égard du traitement automatisé des don- pour la réglementation des fichiers informatisés conte-
nées à caractère personnel, dénommée Convention nant des données à caractère personnel, du cadre de
108 (ci-après « la Convention » également) a servi de l’Union européenne1 (UE) depuis 1995, du cadre relatif
fondation au cadre juridique international en matière à la protection de la vie privée de la Coopération éco-
de protection des données dans plus de 40 pays euro- nomique pour l’Asie-Pacifique (2004) et des Normes
péens. Elle a influencé également les politiques et les internationales de 2009 sur la protection de la vie
législations bien au-delà des frontières de l’Europe.
privée à l’égard du traitement des données à caractère
Avec de nouveaux défis voyant le jour quotidienne-
personnel2. S’agissant de la réforme du cadre légis-
ment pour les droits de l’homme et les libertés fon-
latif en matière de protection des données de l’UE
damentales, et notamment le droit à la vie privée, il
est devenu évident que la Convention 108 devait être en particulier, les travaux ont été menés en parallèle
modernisée pour mieux répondre aux nouveaux défis et la plus grande attention a été portée au maintien
en matière de protection de la vie privée découlant de de la cohérence entre les deux cadres législatifs. Le
l’utilisation croissante des nouvelles technologies de cadre de l’UE en matière de protection des données
l’information et de la communication, de la mondialisa- précise et amplifie les principes de la Convention 108
tion des opérations de traitement et des flux toujours et prend en considération l’adhésion à la Convention,
plus importants de données à caractère personnel, notamment au regard des transferts internationaux3.
tout en renforçant le mécanisme d’évaluation et de 4. Le Comité consultatif constitué en application
suivi de la Convention.
de l’article 18 de la Convention a préparé le projet de
2. Un large consensus sur les aspects suivants de propositions de modernisation qui a été adopté à sa
la modernisation de la Convention a vu le jour : il 29e réunion plénière (27-30 novembre 2012) et soumis
convenait de maintenir la nature générale et techno- au Comité des Ministres qui a ensuite chargé le Comité
logiquement neutre de ses dispositions, de préserver ad hoc sur la protection des données (CAHDATA) de
la cohérence et la compatibilité de la Convention avec le finaliser. Ce travail a été terminé à l’occasion de
d’autres cadres juridiques et de réaffirmer son caractère la 3e réunion du CAHDATA (1-3 décembre 2014).
ouvert, qui lui donne un potentiel unique d’instrument Après la finalisation du cadre de l’UE en matière de
à vocation universelle. Le texte de la Convention est protection des données, un autre CAHDATA a été
de nature générale et peut être complété par des établi pour examiner les questions en suspens. La
textes sectoriels plus détaillés et non contraignants,
dernière réunion du CAHDATA (15-16 juin 2016) a
par exemple des recommandations du Comité des
finalisé les propositions et les a transmises au Comité
Ministres élaborées avec la participation des parties
des Ministres pour examen et adoption.
intéressées.
3. Les travaux de modernisation s’inscrivent dans 1. Règlement général sur la protection des données (UE)
le cadre plus général de plusieurs réformes parallèles 2016/679 (« RGPD ») et Directive relative à la protection des
données à caractère personnel dans le secteur de la police
des instruments internationaux de protection des et de la justice pénale (UE) 2016/680 (« Directive Police »).
données ; ils ont tenu dûment compte des Lignes 2. Saluées par la 31e Conférence internationale des commissaires
directrices de 1980 (révisées en 2013) de l’Organisation à la protection des données et à la vie privée, tenue à Madrid
de coopération et de développement économiques les 4-6 novembre 2009.
3. Voir en particulier le considérant 105 du RGPD.
(OCDE) sur la protection de la vie privée et les flux
7. Voir Cour de Justice de l’UE, František Ryneš contre Úřad, 11 8. Les organisations internationales sont définies comme des
décembre 2014, C212/13k. organisations soumises au droit international public.
108. Le paragraphe 2 prévoit l’obligation d’assurer, 112. L’appréciation du niveau adéquat de protec-
en principe, qu’un « niveau approprié de protection tion doit prendre en considération les principes de
fondé sur les dispositions de la présente Convention est la Convention et la manière dans laquelle ils sont
garanti ». Dans le même temps, en vertu du paragraphe respectés dans l’État ou l’organisation destinataires
4, les Parties peuvent transférer des données même – dans la mesure où ils sont pertinents pour le cas
en l’absence d’un niveau de protection approprié spécifique de transfert – ainsi que la façon dont la
lorsque cela est justifié, entre autres, par « des intérêts personne concernée peut défendre ses intérêts en cas
légitimes prépondérants, notamment des intérêts de non-conformité. L’évaluation doit également porter
publics importants », dans la mesure où un tel transfert sur le caractère exécutoire des droits des personnes
est prévu par la loi et constitue une mesure nécessaire concernées et l’existence de recours juridictionnels
et proportionnée dans une société démocratique et administratifs effectifs pour les personnes dont les
(alinéa c). Les données à caractère personnel peuvent données font l’objet d’un transfert. Une évaluation
donc être transférées pour des motifs similaires à peut aussi être faite pour l’ensemble d’un État ou d’une
ceux énumérés à l’article 11, paragraphes 1 et 3. Dans organisation, permettant ainsi tous les transferts de
données vers cette destination.
tous les cas, les Parties restent libres en vertu de la
Convention de restreindre les transferts de données 113. Le paragraphe 4 permet aux Parties de déroger
à des non-Parties, que ce soit aux fins de la protection au principe selon lequel un niveau de protection
des données ou pour d’autres raisons. approprié doit être assuré et d’autoriser un transfert
Article 29 – Réserves
175. Les règles contenues dans cette Convention
constituent les éléments les plus fondamentaux et
essentiels pour une protection efficace des données.
C’est pourquoi la Convention n’admet aucune réserve
à ses dispositions, qui offrent toutefois une souplesse
raisonnable compte tenu des exceptions et restrictions
admises par certains articles.
PREMS 085318
FRA
Le Conseil de l’Europe est la principale organisation de défense
des droits de l’homme du continent. Il comprend 47 États
membres, dont les 28 membres de l’Union européenne.
www.coe.int Tous les États membres du Conseil de l’Europe ont signé la
Convention européenne des droits de l’homme, un traité visant
à protéger les droits de l’homme, la démocratie et l’État de
droit. La Cour européenne des droits de l’homme contrôle la
mise en œuvre de la Convention dans les États membres.