La numé­ri­sa­tion de la société suscite de grands espoirs pour amélio­rer nos condi­tions de vie et notre bien-être. Elle est souvent présen­tée comme la solu­tion à tous nos problèmes. S’il est incon­tes­table que le déve­lop­pe­ment des tech­no­lo­gies de l’information et des commu­ni­ca­tions est un facteur de progrès dans de nombreux secteurs d’activités privés ou publics, force est de consta­ter que la numé­ri­sa­tion comporte aussi de nombreux risques et peut s’avérer « un formi­dable support à la surveillance et à l’instrumentation » des citoyens et citoyennes. C’est un défi consi­dé­rable pour le respect des droits de l’Homme et des liber­tés fonda­men­tales, notam­ment le droit à la vie privée. Il est dès lors impé­rieux de veiller à ce que la numé­ri­sa­tion se fasse au béné­fice de l’humanité, respecte la dignité et le droit à l’autodétermination infor­ma­tion­nelle de chaque être humain et s’inscrive dans un cadre démocratique.

Le Conseil de l’Europe s’efforce de mettre en place les cadres juri­diques permet­tant de garan­tir l’Etat de droit, les droits humains et la démo­cra­tie égale­ment dans le monde numé­rique. Concrétisant l’article 8 de la Convention euro­péenne des droits de l’homme qui consacre le droit au respect de la vie privée, le Conseil de l’Europe a adopté la Convention sur la protec­tion des personnes à l’égard du trai­te­ment auto­ma­tisé de données à carac­tère person­nel (Convention 108) ouverte à la signa­ture le 28 janvier 1981. Cette Convention demeure le seul instru­ment inter­na­tio­nal juri­di­que­ment contrai­gnant. Elle renferme les prin­cipes de base de la protec­tion des données aujourd’hui univer­sel­le­ment recon­nus. Elle s’applique à tout trai­te­ment de données à carac­tère person­nel du secteur public et du secteur privé. Elle a un carac­tère ouvert : non seule­ment les Etats membres du Conseil de l’Europe peuvent la rati­fier, mais les Etats non-euro­péens ayant une légis­la­tion de protec­tion des données conforme aux exigences de la Convention peuvent y adhé­rer. Aujourd’hui la Convention a été rati­fiée par les quarante-sept Etats membres du Conseil de l’Europe. Huit pays prove­nant d’Afrique et d’Amérique latine y ont adhéré. La Convention 108 vient d’être moder­ni­sée et un proto­cole d’amendement a été ouvert à la signa­ture des Parties le 10 octobre 2018. À ce jour, cinq Etats parties l’ont rati­fiée et trente-trois autres, dont la Suisse, l’ont signée. La Convention 108+ se veut une réponse aux défis du numé­rique et a notam­ment pour objec­tif de renfor­cer la protec­tion des personnes en garan­tis­sant « l’autonomie person­nelle fondée sur le droit de la personne de contrô­ler ses propres données à carac­tère person­nel et le trai­te­ment qui en est fait » et en garan­tis­sant la dignité humaine. Le respect de la dignité humaine est fonda­men­tal au regard du déve­lop­pe­ment de l’Intelligence Artificielle et du recours crois­sant aux déci­sions indi­vi­duelles auto­ma­ti­sées ou algo­rith­miques. En effet l’être humain ne doit pas être soumis à la machine et lais­ser celle-ci maître des déci­sions, mais il doit pouvoir garder le contrôle et ne pas être traité comme un simple objet. La Convention 108+ vise, par son article premier, à « proté­ger toute personne physique, quelle que soit sa natio­na­lité ou sa rési­dence, à l’égard du trai­te­ment des données à carac­tère person­nel, contri­buant ainsi au respect de ses droits de l’homme et de ses liber­tés fonda­men­tales et notam­ment du droit à la vie privée ». Elle fait du droit à la protec­tion des données non pas un droit supé­rieur aux autres droits de l’homme, mais un droit au service de l’exercice d’autres droits et liber­tés fondamentales.

Elle vise aussi à renfor­cer les méca­nismes de mise en œuvre et à amélio­rer l’effectivité du droit à la protec­tion des données. Elle veut égale­ment promou­voir « les valeurs fonda­men­tales du respect de la vie privée et de la protec­tion des données à carac­tère person­nel à l’échelle mondiale, favo­ri­sant ainsi la libre circu­la­tion de l’information entre les peuples ». De par son carac­tère géné­ral, ouvert et non orienté sur l’une ou l’autre tech­no­lo­gie, elle assure la cohé­rence et la conver­gence avec d’autres cadres juri­diques pertinents.

Parmi les dispo­si­tions perti­nentes, mentionnons :

• l’ancrage du prin­cipe de propor­tion­na­lité pour tout trai­te­ment de données. Une base de légi­ti­mité ne suffit pas à elle-seule pour justi­fier le trai­te­ment, il faut le respect de la proportionnalité ;
• en lien avec ce prin­cipe, la Convention 108+ prévoit l’obligation de mise en confor­mité et de démons­tra­tion de la confor­mité du trai­te­ment, l’obligation de l’examen de l’impact poten­tiel du trai­te­ment sur les droits et liber­tés fonda­men­tales, l’obligation de conce­voir le trai­te­ment de manière à préve­nir les risques d’atteintes à ces droits et libertés ;
• elle prévoit qu’un trai­te­ment de données à carac­tère person­nel ne peut en outre inter­ve­nir que s’il repose sur une base de légi­ti­mité (consen­te­ment, ou autres fonde­ments légi­times prévus par la loi). Elle inter­dit le trai­te­ment de données sensibles sans que des garan­ties appro­priées prévues par le droit interne des Etats parties ne soient mises en place pour préve­nir les risques pour les inté­rêts, droits et liber­tés fonda­men­tales de la personne, notam­ment les risques de discrimination.

La Convention 108+ renforce égale­ment les obli­ga­tions de trans­pa­rence et les droits des personnes concer­nées, en parti­cu­lier en inscri­vant au côté des droits d’accès et de rectification :

• l’obligation d’informer les personnes concernées ;
• le droit de toute personne de ne pas être soumise à une déci­sion l’affectant de manière signi­fi­ca­tive, qui serait prise unique­ment sur le fonde­ment d’un trai­te­ment auto­ma­tisé de données sans que son point de vue soit pris en compte ;
• le droit de toute personne d’obtenir connais­sance du raison­ne­ment qui sous-tend le trai­te­ment de données, lorsque les résul­tats de ce trai­te­ment lui sont appliqués ;
• le droit d’opposition au trai­te­ment ; et
• le droit de dispo­ser d’un recours effectif.

En conclu­sion, le respect des droits des personnes dans le monde numé­rique passe par un cadre juri­dique inter­na­tio­nal fort. Le Convention 108+ offre un niveau élevé de protec­tion des données, simi­laire à celui du RGPD et permet d’apporter une réponse univer­selle aux défis actuels.