Le 8 juillet 2021, l’Italie a ratifié le protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel (c.d. Convention 108+) signé le 05 mars 2019. Il s’agit, à ce jour, du seul instrument de protection des données contraignant au niveau international.
Avec la ratification par l’Italie du protocole d’amendement à la Convention 108, un pas supplémentaire, important, a été accompli vers la pleine application de la c.d. Convention 108 modernisée (Convention 108+).
Comme vous le savez, le 10 octobre 2018 à Strasbourg a pris forme le Traité no 223 intitulé Protocole d’amendement à la Convention sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
Il s’agit d’un cadre juridique qui vise à moderniser et à améliorer la Convention 108 en facilitant le flux transfrontalier de données entre différentes parties du monde et les différentes réglementations, y compris notamment le nouveau règlement de l’Union européenne, pleinement applicable à compter du 25 mai 2018, qui fait référence à la convention 108 dans le contexte du flux de données transfrontalier (voir considérant 105).
Parmi les nouveautés du Protocole figurent:
– des exigences plus strictes concernant les principes de proportionnalité et de minimisation des données et la licéité de leur traitement;
– élargissement des catégories de données connues sous le nom de « sensibles », qui engloberont dorénavant les données génétiques et biométriques, celles indiquant l’appartenance à des syndicats et l’origine ethnique;
– l’obligation de notifier la violation de données;
– Une plus grande transparence dans le traitement des données;
– Nouveaux droits des personnes à l’égard des processus décisionnels basés sur des algorithmes, qui revêtent une importance particulière dans le cadre du développement de l’intelligence artificielle;
– Renforcement de la responsabilité des contrôleurs des données;
– Obligation d’appliquer le principe de « protection de la vie privée dès la phase de conception »;
– Application des principes relatifs à la protection des données à toutes les activités de traitement de données, y compris celles effectuées pour des raisons de sécurité nationale, sous réserve des exceptions et restrictions éventuelles, sous réserve des conditions énoncées dans la convention, dans tous les cas avec la garantie d’un contrôle et d’une surveillance efficaces et indépendants;
– mise en place d’un système clair de règles régissant le flux transfrontalier de données;
– Renforcement des pouvoirs et de l’indépendance des autorités chargées de la protection des données et des bases juridiques nécessaires à la coopération internationale.
Comme le relève notre Autorité : « L’adoption du Protocole marque la conclusion du processus de modernisation de la Convention 108, à ce jour le seul instrument sur la protection des données contraignant au niveau international. La Convention modernisée, également appelée « Convention 108+ », répond aux nombreux défis posés par le développement des nouvelles technologies et de la mondialisation, assure la tenue des principes de la Convention et renforce ses mécanismes de mise en œuvre effective.
À l’instar de la Convention d’origine, le protocole garantit des normes de protection élevées dans un cadre réglementaire flexible, ce qui facilite l’adoption par un grand nombre de pays, y compris ceux qui ne sont pas membres du Conseil de l’Europe et auxquels le protocole est ouvert. Il constitue également un lien important entre les différentes approches régionales, y compris le règlement (UE) 2016/679, qui place l’adhésion de pays tiers à la Convention 108 parmi les critères à prendre en compte dans l’évaluation de l’adéquation de ces pays dans le contexte des transferts de données extra-UE (considérant 105).
Nombreuses sont les nouveautés contenues dans la nouvelle Convention : d’une part, le renforcement des obligations du titulaire, y compris le principe de responsabilisation, une plus grande transparence dans les traitements, l’évaluation préalable des risques du traitement, les principes de confidentialité by design et by default, la notification des données Breach. D’autre part, l’élargissement des droits des personnes concernées, y compris le droit de ne pas être soumis à des décisions purement automatisées et de connaître la logique du traitement.
En outre, le protocole renforce les tâches des autorités chargées de la protection des données et du comité de la convention, appelé à jouer un rôle spécifique dans le processus d’évaluation du respect effectif des principes de la convention, qui doit être assuré par les pays qui souhaitent y adhérer, ainsi que par les pays qui, bien qu’étant déjà parties à la convention, seront de toute façon soumis à une vérification du respect de celle-ci. (Source : www.garanteprivacy.it [doc. web n. 9088792] du 06.03.2019.
Avec la signature de la ratification de l’Italie s’élèvent à 12 Etats qui ont ratifié le Protocole amendement qui pourra entrer en vigueur s’il est ratifié par tous les Etats actuels parties à la Convention n.108 (actuellement 55)ou même si, dans les cinq ans suivant l’ouverture (et donc avant le 11 octobre 2023) à la signature du protocole, la ratification d’au moins 38 États est atteinte.
SOURCE: FEDERPRIVACY