Le projet de loi n 132-13 portant approbation du protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel est tombé au Secrétariat général du gouvernement (SGG).
Ouvert à la signature le 8 novembre 2001, ce protocole est destiné à renforcer la mise en oeuvre des principes contenus dans la convention du 28 janvier 1981 qui, rappelons-le, fut le premier instrument international juridique contraignant dans le domaine de la protection des données. Ladite convention vise à garantir, sur le territoire de chaque partie, à toute personne physique le respect de ses droits et de ses libertés fondamentaux, notamment son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant. Le renforcement de la protection des données s’impose face à l’accroissement des flux transfrontières de données, liés à la multiplication et à la globalisation des échanges internationaux et aux progrès techniques.
Le protocole additionnel prévoit ainsi la mise en oeuvre par les États parties d’une autorité de contrôle et l’assurance qu’aucun transfert de données ne puisse se faire à destination de pays ou d’organisations ne garantissant pas leur protection. Le protocole a prévu d’imposer l’instauration par les États parties d’une ou plusieurs autorités de contrôle, renforçant ainsi la protection des droits et libertés de l’individu à l’égard du traitement des données à caractère personnel.
Pour accomplir ces missions les autorités de contrôle doivent disposer de pouvoirs d’investigation et d’intervention, du droit d’ester en justice, ou de porter à la connaissance des autorités judiciaires les violations du droit interne relatif à la protection des données à caractère personnel. Chaque autorité de contrôle peut être saisie par toute personne d’une demande relative à la protection de ses droits et libertés fondamentaux à l’égard des traitements de données à caractère personnel relevant de sa compétence. L’exigence d’indépendance de ces autorités de contrôle est affirmée au paragraphe 3 de l’article 1er du protocole. En contrepartie, le paragraphe 4 précise que les décisions des autorités de contrôle doivent pouvoir faire l’objet d’un recours juridictionnel lorsqu’elles font grief.
Le paragraphe 5 de l’article 1er encourage la coopération entre les autorités de contrôle. Pour sa part l’article 2 souligne que «les flux transfrontières de données à caractère personnel vers un destinataire ne sont pas soumis à la juridiction d’une partie à la Convention». Le paragraphe 1 dudit article pose le principe selon lequel un tel transfert de données ne peut être effectué que si l’État destinataire des données «assure un niveau de protection adéquat pour le transfert considéré». En revanche, le deuxième paragraphe de l’article 2 permet aux États Parties de déroger à ce principe dans deux hypothèses : si le droit interne le prévoit, dans l’intérêt spécifique de la personne concernée ou lorsqu’il s’agit de protéger un intérêt public important; si la personne responsable du transfert fournit des garanties jugées suffisantes.
Notons que le protocole entrera en vigueur, pour chaque État signataire, le premier jour du mois qui suit l’expiration d’une période de trois mois après la date du dépôt de son instrument de ratification, d’acceptation ou d’approbation.
