Lexipedia

AS 2002 2847

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Texte original

Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel

Conclue à Strasbourg le 28 janvier 1981 Approuvée par l’Assemblée fédérale le 5 juin 19971 Instrument de ratification déposé par la Suisse le 2 octobre 1997 Entrée en vigueur pour la Suisse le 1er février 1998

Préambule Les Etats membres du Conseil de l’Europe, signataires de la présente Convention, considérant que le but du Conseil de l’Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l’homme et des libertés fondamentales; considérant qu’il est souhaitable d’étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l’intensification de la circulation à travers les frontières des données à caractère personnel faisant l’objet de traitements automatisés; réaffirmant en même temps leur engagement en faveur de la liberté d’information sans considération de frontières; reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples, sont convenus de ce qui suit:

Chapitre I Dispositions générales

Art. 1 Objet et but Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la con- cernant («protection des données»).

RS 0.235.1 1 RO 2002 2845

2001-2356 2847

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Art. 2 Définitions Aux fins de la présente Convention: a. «données à caractère personnel» signifie: toute information concernant une personne physique identifiée ou identifiable («personne concernée»); b. «fichier automatisé» signifie: tout ensemble d’informations faisant l’objet d’un traitement automatisé; c. «traitement automatisé» s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés: enregistrement des données, application à ces données d’opérations logiques et/ou arithmé- tiques, leur modification, effacement, extraction ou diffusion; d. «maître du fichier» signifie: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées.

Art. 3 Champ d’application

1. Les Parties s’engagent à appliquer la présente Convention aux fichiers et aux

traitements automatisés de données à caractère personnel dans les secteurs public et privé. 2. Tout Etat peut, lors de la signature ou du dépôt de son instrument de ratification, d’acceptation, d’approbation ou d’adhésion, ou à tout moment ultérieur, faire con- naître par déclaration adressée au Secrétaire général du Conseil de l’Europe: a. qu’il n’appliquera pas la présente Convention à certaines catégories de fichiers automatisés de données à caractère personnel dont une liste sera déposée. Il ne devra toutefois pas inclure dans cette liste des catégories de fichiers automatisés assujetties selon son droit interne à des dispositions de protection des données. En conséquence, il devra amender cette liste par une nouvelle déclaration lorsque des catégories supplémentaires de fichiers automatisés de données à caractère personnel seront assujetties à son régime de protection des données; b. qu’il appliquera la présente Convention également à des informations affé- rentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des person- nes physiques et jouissant ou non de la personnalité juridique; c. qu’il appliquera la présente Convention également aux fichiers de données à caractère personnel ne faisant pas l’objet de traitements automatisés.

3. Tout Etat qui a étendu le champ d’application de la présente Convention par

l’une des déclarations visées aux al. 2.b ou c ci-dessus peut, dans ladite déclaration, indiquer que les extensions ne s’appliqueront qu’à certaines catégories de fichiers à caractère personnel dont la liste sera déposée.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

4. Toute Partie qui a exclu certaines catégories de fichiers automatisés de données à caractère personnel par la déclaration prévue à l’al. 2.a ci-dessus ne peut pas préten- dre à l’application de la présente Convention à de telles catégories par une Partie qui ne les a pas exclues.

5. De même, une Partie qui n’a pas procédé à l’une ou à l’autre des extensions

prévues aux par. 2.b et c du présent article ne peut se prévaloir de l’application de la présente Convention sur ces points à l’égard d’une Partie qui a procédé à de telles extensions. 6. Les déclarations prévues au par. 2 du présent article prendront effet au moment de l’entrée en vigueur de la convention à l’égard de l’Etat qui les a formulées, si cet Etat les a faites lors de la signature ou du dépôt de son instrument de ratification, d’acceptation, d’approbation ou d’adhésion, ou trois mois après leur réception par le Secrétaire général du Conseil de l’Europe si elles ont été formulées à un moment ultérieur. Ces déclarations pourront être retirées en tout ou en partie par notification adressée au Secrétaire général du Conseil de l’Europe. Le retrait prendra effet trois mois après la date de réception d’une telle notification.

Chapitre II Principes de base pour la protection des données

Art. 4 Engagements des Parties 1. Chaque Partie prend, dans son droit interne, les mesures nécessaires pour donner effet aux principes de base pour la protection des données énoncés dans le présent chapitre. 2. Ces mesures doivent être prises au plus tard au moment de l’entrée en vigueur de la présente Convention à son égard.

Art. 5 Qualité des données Les données à caractère personnel faisant l’objet d’un traitement automatisé sont: a. obtenues et traitées loyalement et licitement; b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utili- sées de manière incompatible avec ces finalités; c. adéquates, pertinentes et non excessives par rapport aux finalités pour les- quelles elles sont enregistrées; d. exactes et si nécessaire mises à jour; e. conservées sous une forme permettant l’identification des personnes concer- nées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Art. 6 Catégories particulières de données Les données à caractère personnel révélant l’origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automati- quement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales.

Art. 7 Sécurité des données Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés.

Art. 8 Garanties complémentaires pour la personne concernée Toute personne doit pouvoir: a. connaître l’existence d’un fichier automatisé de données à caractère person- nel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier; b. obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible; c. obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les art. 5 et 6 de la pré- sente Convention; d. disposer d’un recours s’il n’est pas donné suite à une demande de confirma- tion ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux par. b et c du présent article.

Art. 9 Exceptions et restrictions 1. Aucune exception aux dispositions des art. 5, 6 et 8 de la présente Convention n’est admise, sauf dans les limites définies au présent article. 2. Il est possible de déroger aux dispositions des art. 5, 6 et 8 de la présente Con- vention lorsqu’une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique: a. à la protection de la sécurité de l’Etat, à la sûreté publique, aux intérêts monétaires de l’Etat ou à la répression des infractions pénales; b. à la protection de la personne concernée et des droits et libertés d’autrui.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

3. Des restrictions à l’exercice des droits visées aux par. b, c et d de l’art. 8 peuvent être prévues par la loi pour les fichiers automatisés de données à caractère personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu’il n’existe manifestement pas de risques d’atteinte à la vie privée des personnes concernées.

Art. 10 Sanctions et recours Chaque Partie s’engage à établir des sanctions et recours appropriés visant les viola- tions aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre.

Art. 11 Protection plus étendue Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte à la faculté pour chaque partie d’accorder aux personnes concernées une protection plus étendue que celle prévue par la présente Convention.

Chapitre III Flux transfrontières de données

Art. 12 Flux transfrontières de données à caractère personnel et droit interne 1. Les dispositions suivantes s’appliquent aux transferts à travers les frontières nationales, quel que soit le support utilisé, de données à caractère personnel faisant l’objet d’un traitement automatisé ou rassemblées dans le but de les soumettre à un tel traitement. 2. Une Partie ne peut pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à carac- tère personnel à destination du territoire d’une autre Partie.

3. Toutefois, toute Partie a la faculté de déroger aux dispositions du par. 2:

a. dans la mesure où sa législation prévoit une réglementation spécifique pour certaines catégories de données à caractère personnel ou de fichiers automa- tisés de données à caractère personnel, en raison de la nature de ces données ou de ces fichiers, sauf si la réglementation de l’autre Partie apporte une protection équivalente; b. lorsque le transfert est effectué à partir de son territoire vers le territoire d’un Etat non contractant par l’intermédiaire du territoire d’une autre Partie, afin d’éviter que de tels transferts n’aboutissent à contourner la législation de la Partie visée au début du présent paragraphe.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Chapitre IV Entraide

Art. 13 Coopération entre les Parties

1. Les Parties s’engagent à s’accorder mutuellement assistance pour la mise en

œuvre de la présente Convention.

2. A cette fin,

a. chaque Partie désigne une ou plusieurs autorités dont elle communique la dénomination et l’adresse au Secrétaire général du Conseil de l’Europe; b. chaque Partie qui a désigné plusieurs autorités indique dans la communi- cation visée à l’alinéa précédent la compétence de chacune de ces autorités. 3. Une autorité désignée par une Partie, à la demande d’une autorité désignée par une autre Partie: a. fournira des informations sur son droit et sur sa pratique administrative en matière de protection des données; b. prendra, conformément à son droit interne et aux seules fins de la protection de la vie privée, toutes mesures appropriées pour fournir des informations de fait concernant un traitement automatisé déterminé effectué sur son territoire à l’exception toutefois des données à caractère personnel faisant l’objet de ce traitement.

Art. 14 Assistance aux personnes concernées ayant leur résidence à l’étranger 1. Chaque Partie prête assistance à toute personne ayant sa résidence à l’étranger pour l’exercice des droits prévus par son droit interne donnant effet aux principes énoncés à l’art. 8 de la présente Convention. 2. Si une telle personne réside sur le territoire d’une autre Partie, elle doit avoir la faculté de présenter sa demande par l’intermédiaire de l’autorité désignée par cette Partie. 3. La demande d’assistance doit contenir toutes les indications nécessaires concer- nant notamment: a. le nom, l’adresse et tous autres éléments pertinents d’identification concer- nant le requérant; b. le fichier automatisé de données à caractère personnel auquel la demande se réfère ou le maître de ce fichier; c. le but de la demande.

Art. 15 Garanties concernant l’assistance fournie par les autorités désignées 1. Une autorité désignée par une Partie qui a reçu des informations d’une autorité désignée par une autre Partie, soit à l’appui d’une demande d’assistance, soit en réponse à une demande d’assistance qu’elle a formulée elle-même, ne pourra faire

Protection des personnes à l’égard du traitement automatisé des données RO 2002

usage de ces informations à des fins autres que celles spécifiées dans la demande d’assistance. 2. Chaque Partie veillera à ce que les personnes appartenant ou agissant au nom de l’autorité désignée soient liées par des obligations appropriées de secret ou de confi- dentialité à l’égard de ces informations.

3. En aucun cas, une autorité désignée ne sera autorisée à faire, aux termes de

l’art. 14, par. 2, une demande d’assistance au nom d’une personne concernée rési- dant à l’étranger, de sa propre initiative et sans le consentement exprès de cette personne.

Art. 16 Refus des demandes d’assistance Une autorité désignée, saisie d’une demande d’assistance aux termes des art. 13 ou

14 de la présente Convention, ne peut refuser d’y donner suite que si:

a. la demande est incompatible avec les compétences, dans le domaine de la protection des données, des autorités habilitées à répondre; b. la demande n’est pas conforme aux dispositions de la présente Convention; c. l’exécution de la demande serait incompatible avec la souveraineté, la sécu- rité ou l’ordre public de la Partie qui l’a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette Partie.

Art. 17 Frais et procédures de l’assistance

1. L’entraide que les Parties s’accordent aux termes de l’art. 13, ainsi que

l’assistance qu’elles prêtent aux personnes concernées résidant à l’étranger aux termes de l’art. 14, ne donnera pas lieu au paiement des frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a désigné l’autorité qui a fait la demande d’assistance. 2. La personne concernée ne peut être tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d’une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie. 3. Les autres modalités relatives à l’assistance concernant notamment les formes et procédures ainsi que les langues à utiliser seront établies directement entre les Par- ties concernées.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Chapitre V Comité consultatif

Art. 18 Composition du Comité 1. Un Comité consultatif est constitué après l’entrée en vigueur de la présente Con- vention.

2. Toute Partie désigne un représentant et un suppléant à ce Comité. Tout Etat

membre du Conseil de l’Europe qui n’est pas Partie à la Convention a le droit de se faire représenter au Comité par un observateur. 3. Le Comité consultatif peut, par une décision prise à l’unanimité, inviter tout Etat non membre du Conseil de l’Europe qui n’est pas Partie à la Convention à se faire représenter par un observateur à l’une de ses réunions.

Art. 19 Fonctions du Comité Le Comité consultatif: a. peut faire des propositions en vue de faciliter ou d’améliorer l’application de la Convention; b. peut faire des propositions d’amendement à la présente Convention confor- mément à l’art. 21; c. formule un avis sur toute proposition d’amendement à la présente Conven- tion qui lui est soumis conformément à l’art. 21, par. 3; d. peut, à la demande d’une Partie, exprimer un avis sur toute question relative à l’application de la présente Convention.

Art. 20 Procédure

1. Le Comité consultatif est convoqué par le Secrétaire général du Conseil de

l’Europe. Il tient sa première réunion dans les douze mois qui suivent l’entrée en vigueur de la présente Convention. Il se réunit par la suite au moins une fois tous les deux ans et, en tout cas, chaque fois qu’un tiers des représentants des Parties demande sa convocation.

2. La majorité des représentants des Parties constitue le quorum nécessaire pour

tenir une réunion du Comité consultatif. 3. A l’issue de chacune de ses réunions, le Comité consultatif soumet au Comité des Ministres du Conseil de l’Europe un rapport sur ses travaux et sur le fonctionnement de la Convention. 4. Sous réserve des dispositions de la présente Convention, le Comité consultatif établit son règlement intérieur.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Chapitre VI Amendements

Art. 21 Amendements 1. Des amendements à la présente Convention peuvent être proposés par une Partie, par le Comité des Ministres du Conseil de l’Europe ou par le Comité consultatif

2. Toute proposition d’amendement est communiquée par le Secrétaire général du

Conseil de l’Europe aux Etat membres du Conseil de l’Europe et à chaque Etat non membre qui a adhéré ou a été invité à adhérer à la présente Convention conformé- ment aux dispositions de l’art. 23. 3. En outre, tout amendement proposé par une Partie ou par le Comité des Ministres est communiqué au Comité consultatif qui soumet au Comité des Ministres son avis sur l’amendement proposé.

4. Le Comité des Ministres examine l’amendement proposé et tout avis soumis par

le Comité consultatif et peut approuver l’amendement.

5. Le texte de tout amendement approuvé par le Comité des Ministres conformé-

ment au par. 4 du présent article est transmis aux Parties pour acceptation.

6. Tout amendement approuvé conformément au par. 4 du présent article entrera en

vigueur le trentième jour après que toutes les Partie auront informé le Secrétaire général qu’elles l’ont accepté.

Chapitre VII Clauses finales

Art. 22 Entrée en vigueur 1. La présente Convention est ouverte à la signature des Etats membres du Conseil de l’Europe. Elle sera soumise à ratification, acceptation ou approbation. Les instruments de ratification, d’acceptation ou d’approbation seront déposés près le Secrétaire général du Conseil de l’Europe.

2. La présente Convention entrera en vigueur le premier jour du mois qui suit

l’expiration d’une période de trois mois après la date à laquelle cinq Etats membres du Conseil de l’Europe auront exprimé leur consentement à être liés par la conven- tion conformément aux dispositions du paragraphe précédent. 3. Pour tout Etat membre qui exprimera ultérieurement son consentement à être lié par la convention, celle-ci entrera en vigueur le premier jour du mois qui suit l’expiration d’une période de trois mois après la date du dépôt de l’instrument de ratification, d’acceptation ou d’approbation.

Art. 23 Adhésion d’Etats non membres 1. Après l’entrée en vigueur de la présente Convention, le Comité des Ministres du Conseil de l’Europe pourra inviter tout Etat non membre du Conseil de l’Europe à adhérer à la présente Convention par une décision prise à la majorité prévue à

Protection des personnes à l’égard du traitement automatisé des données RO 2002

l’art. 20.d du Statut du Conseil de l’Europe et à l’unanimité des représentants des Etats contractants ayant le droit de siéger au Comité. 2. Pour tout Etat adhérant, la convention entrera en vigueur le premier jour du mois qui suit l’expiration d’une période de trois mois après la date du dépôt de l’instru- ment d’adhésion près le Secrétaire général du Conseil de l’Europe.

Art. 24 Clause territoriale 1. Tout Etat peut, au moment de la signature ou au moment du dépôt de son instru- ment de ratification, d’acceptation, d’approbation ou d’adhésion, désigner le ou les territoires auxquels s’appliquera la présente Convention. 2. Tout Etat peut, à tout autre moment par la suite, par une déclaration adressée au Secrétaire général du Conseil de l’Europe, étendre l’application de la présente Con- vention à tout autre territoire désigné dans la déclaration. La convention entrera en vigueur à l’égard de ce territoire le premier jour du mois qui suit l’expiration d’une période de trois mois après la date de réception de la déclaration par le Secrétaire général.

3. Toute déclaration faite en vertu des deux paragraphes précédents pourra être

retirée, en ce qui concerne tout territoire désigné dans cette déclaration, par notifi- cation adressée au Secrétaire général. Le retrait prendra effet le premier jour du mois qui suit l’expiration d’une période de six mois après la date de réception de la notifi- cation par le Secrétaire général.

Art. 25 Réserves Aucune réserve n’est admise aux dispositions de la présente Convention.

Art. 26 Dénonciation 1. Toute Partie peut, à tout moment, dénoncer la présente Convention en adressant une notification au Secrétaire général du Conseil de l’Europe. 2. La dénonciation prendra effet le premier jour du mois qui suit l’expiration d’une période de six mois après la date de réception de la notification par le Secrétaire général.

Art. 27 Notifications Le Secrétaire général du Conseil de l’Europe notifiera aux Etats membres du Con- seil et à tout Etat ayant adhéré à la présente Convention: a. toute signature; b. le dépôt de tout instrument de ratification, d’acceptation, d’approbation ou d’adhésion; c. toute date d’entrée en vigueur de la présente Convention conformément à ses art. 22, 23 et 24;

Protection des personnes à l’égard du traitement automatisé des données RO 2002

d. tout autre acte, notification ou communication ayant trait à la présente Con- vention.

En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé la présente Convention.

Fait à Strasbourg, le 28 janvier 1981, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l’Europe. Le Secrétaire général du Conseil de l’Europe en communiquera copie certifiée conforme à chacun des Etats membres du Conseil de l’Europe et à tout Etat invité à adhérer à la présente Convention.

Suivent les signatures

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Champ d’application de la convention le 1er mars 2002 Etats parties Ratification Entrée en vigueur

Allemagne* 19 juin 1985 1er octobre 1985 Autriche* 30 mars 1988 1er juillet 1988 Belgique* 28 mai 1993 1er septembre 1993 Danemark* 23 octobre 1989 1er février 1990 Espagne* 31 janvier 1984 1er octobre 1985 Estonie* 14 novembre 2001 1er mars 2002 Finlande* 2 décembre 1991 1er avril 1992 France* 24 mars 1983 1er octobre 1985 Grèce 11 août 1995 1er décembre 1995 Hongrie* 8 octobre 1997 1er février 1998 Irlande* 25 avril 1990 1er août 1990 Islande 25 mars 1991 1er juillet 1991 Italie* 29 mars 1997 1er juillet 1997 Lettonie* 30 mai 2001 1er septembre 2001 Luxembourg* 10 février 1988 1er juin 1988 Norvège* 20 février 1984 1er octobre 1985 Pays-Bas* 24 août 1993 1er décembre 1993 Portugal 2 septembre 1993 1er janvier 1994 République tchèque* 9 juillet 2001 1er novembre 2001 Royaume-Uni* 26 août 1987 1er décembre 1987 Guernesey 26 août 1987 1er décembre 1987 Ile de Man* 21 janvier 1993 1er mai 1993 Jersey 26 août 1987 1er décembre 1987 Slovaquie* 13 septembre 2000 1er janvier 2001 Slovénie* 27 mai 1994 1er septembre 1994 Suède 29 septembre 1982 1er octobre 1985 Suisse* 2 octobre 1997 1er février 1998 * Déclarations, voir ci-après.

Déclarations Allemagne La République fédérale d’Allemagne part du principe qu’aucune suite ne peut être donnée à une demande de renseignements conformément au par. b de l’art. 8 si la personne concernée n’est pas en mesure de spécifier suffisamment sa demande de renseignements. Se référant à l’al. 5 du par. 67 du Rapport explicatif relatif à la convention, le Gou- vernement de la République fédérale d’Allemagne part du principe que le par. 2 de l’art. 12 laisse aux Parties contractantes la liberté de prévoir, dans le cadre de leur

Protection des personnes à l’égard du traitement automatisé des données RO 2002

droit interne en matière de protection des données, des règles interdisant dans cer- tains cas particuliers le transfert de données à caractère personnel afin de tenir compte d’intérêts de la personne concernée dignes d’être protégés. Art. 13 L’autorité compétente, au niveau de la Fédération, est: Bundesministerium des Innern Graurheindorfer Strasse 198

53117 Bonn

Les autorités compétentes, au niveau des Länder, sont: Baden-Württemberg Innenministerium Baden-Württemberg Dorotheenstrasse 6

70173 Stuttgart

Freistaat Bayern Bayerisches Staatsministerium des Innern Odeonsplatz 3

80539 München

Berlin Senatsverwaltung für Inneres von Berlin Fehrbelliner Platz 2

10707 Berlin

Brandenburg Ministerium des Innern des Landes Brandenburg Postfach 60 11 65

14411 Potsdam

Freie Hansestadt Bremen Senator für Inneres und Sport der Freien Hansestadt Bremen Postfach 10 15 05

28203 Bremen

Freie und Hansestadt Hamburg Finanzbehörde – Amt für Informations- und Kommunikationstechnik – Steckelhörn 12 (Gotenhof)

20457 Hamburg

Hessen Hessisches Ministerium des Innern und für Europaangelegenheiten Friedrich-Ebert-Allee 12

65185 Wiesbaden

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Mecklenburg-Vorpommern Innenminister des Landes Mecklenburg-Vorpommern Karl-Marx-Strasse 1

19055 Schwerin

Niedersachsen Niedersächsisches Innenministerium Postfach 2 21

30002 Hannover

Nordrhein-Westfalen Innenministerium des Landes Nordrhein-Westfalen

40190 Düsseldorf

Rheinland-Pfalz Ministerium des Innern und für Sport Postfach 32 80

55022 Mainz

Saarland Ministerium des Innern des Saarlandes Postfach 10 24 41

66024 Saarbrücken

Freistaat Sachsen Sächsisches Staatsministerium des Innern

01095 Dresden

Sachsen-Anhalt Ministerium des Innern des Landes Sachsen-Anhalt Postfach 35 60

39010 Magdeburg

Schleswig-Holstein Innenminister des Landes Schleswig Holstein Düsternbrooker Weg 92

24105 Kiel

Freistaat Thüringen Innenministerium Thüringen Postfach 2 61

99006 Erfurt

Autriche La République d’Autriche interprète le terme «diffusion» dans le sens des termes «transmission» et «remise» utilisés à l’art. 3, ch. 9 et 10, de la loi autrichienne concernant la protection des données, dans la version de l’amendement publié au Bulletin des lois fédérales no 370/1986.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

La République d’Autriche estime que cette obligation (art. 5, al. e) est entièrement remplie par la loi autrichienne concernant la protection des données qui prévoit l’effacement des données à la demande de la personne concernée. La République d’Autriche estime que l’expression «prévue par la loi de la Partie» à la première phrase de l’art. 9, par. 2, de la convention a exactement le même sens que l’expression «prévue par la loi» à l’art. 8 par. 2, de la Convention européenne des droits de l’homme2 et qu’il est par conséquent compatible avec la convention que, selon le droit fondamental autrichien à la protection des données, ce droit fon- damental ne peut être limité que lorsque la loi le prévoit. La République d’Autriche estime en outre que la restriction en faveur des «intérêts monétaires de l’Etat» selon l’art. 9, par. 2, al. a, de la convention, en liaison avec la restriction selon le par. 2, al. b, correspond, quant à sa portée, à la restriction selon l’art. 8, par. 2, de la Convention européenne des droits de l’homme, en faveur du «bien-être économique du pays». L’autorité autrichienne compétente pour l’assistance pour la mise en œuvre de la présente convention est, conformément à l’art. 13, par. 2, le Bundeskanzleramt Ballhausplatz 2, A–1014 Vienne Conformément à l’art. 3, par. 2, al. b, la République d’Autriche fait savoir qu’elle appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corporations ou à tout autre orga- nisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique (personnes morales ou communautés de person- nes au sens de l’art. 3, al. 2, de la loi sur la protection des données).

Belgique Conformément à l’art. 3, par. 2, let. a, de la convention, la Belgique n’appliquera pas la convention – aux traitements de données à caractère personnel gérés par des personnes physiques qui, de par leur nature, sont destinés à un usage privé, familial ou domestique et conservent cette destination; – aux traitements portant exclusivement sur des données à caractère personnel qui font l’objet d’une publicité en vertu d’une disposition légale ou régle- mentaire; – aux traitements portant exclusivement sur des données à caractère personnel dont la personne à laquelle elles se rapportent assure ou fait assurer la publi- cité, pour autant que le traitement respecte la finalité de cette publicité. Conformément à l’art. 3, par. 2, let. c, de la convention, la Belgique appliquera également la convention aux fichiers de données à caractère personnel tenus sur des supports non-automatisés.

2 RS 0.101

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Art. 13 L’autorité désignée pour fournir les informations visées à l’art. 13, par. 3, let. a, est le Ministère de la Justice Administration des Affaires civiles et criminelles Place Poelaert, 3

1000 Bruxelles

L’autorité compétente pour fournir les informations visées à l’art. 13, par. 3, let. b, est la Commission de la protection de la vie privée Place Poelaert, 3

1000 Bruxelles

L’autorité désignée aux fins de l’art. 14 est la Commission de la protection de la vie privée Place Poelaert, 3

1000 Bruxelles

Danemark La convention ne s’applique ni aux îles Féroé ni au Groenland. L’autorité danoise désignée est: Data Surveillance Authority (D.S.A.) (Registertilsynet) Christians Brygge 28, 4 DK–1559 Copenhagen V

Espagne Autorité centrale: Ministerio de Justicia, Secretaría General Técnica San Bernardo, 45

28071 Madrid

España

Estonie Conformément à l’art. 3, par. 2, al. a, de la convention, la République d’Estonie déclare qu’elle n’appliquera pas la présente convention au traitement des données à caractère personnel rassemblées par des personnes physiques à des fins privées. Conformément à l’art. 13, par. 2, al. a, de la convention, la République d’Estonie désigne le Bureau de la Protection des données comme l’autorité compétente.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Finlande La Finlande désigne l’autorité compétente suivante: Ombudsman à la protection des données Kauppakartanonkatu 7 A 41 P.O. Box 31

00931 Helsinki

Finlande

France La France déclare conformément aux dispositions de l’art. 3, par. 2, al. c, qu’elle appliquera la présente Convention également aux fichiers de données à caractère personnel ne faisant pas l’objet de traitements automatisés. La France désigne l’autorité compétente suivante: Commission Nationale de l’Informatique et des Libertés 21, rue Saint-Guillaume

75007 Paris

Hongrie Le Gouvernement de la République de Hongrie déclare par la présente que confor- mément à l’art. 3, par. 2, al. c, de la convention, il appliquera également la conven- tion aux données classifiées sans l’aide de moyens électroniques ou automatisés. Conformément à l’art. 13, par. 2, al. a, de la convention, le Ministère de la Justice de la République de Hongrie a été désigné par le Gouvernement de la République de Hongrie comme autorité compétente pour accorder l’assistance aux Parties pour la mise en œuvre de la convention. L’adresse du Ministère de la Justice de la République de Hongrie est la suivante: Igazságügyi Minisztérium H–1363 Budapest Szalay u. 16.

Irlande

1. Le Gouvernement d’Irlande souhaite faire, conformément à l’art. 3, par. 2,

al. a, de la convention, une déclaration afin d’exclure l’application de la convention aux catégories suivantes de fichiers automatisés de données à caractère personnel qui sont énumérées à l’art. 1, par. 4, de la loi de 1988 sur la protection des données, c’est-à-dire: a. données à caractères personnel qui, de l’avis du Ministre de la Justice ou du Ministre de la Défense sont, ou étaient à un quelconque moment, conservées, aux fins de sauvegarder la sécurité de l’Etat; b. données à caractère personnel consistant en informations que le déten- teur des données a l’obligation, de par la loi, de rendre publiques;

Protection des personnes à l’égard du traitement automatisé des données RO 2002

c. données à caractère personnel soit détenues par une personne et ne con- cernant que la gestion de sa vie personnelle, familiale ou domestique, soit détenues par une personne à de seules fins récréatives.

2. Conformément à l’art. 13, par. 2, al. a, de la convention le Gouvernement de

l’Irlande désigne l’autorité suivante: M. Dónal Linehan Commissaire à la protection des données Earl Court Adelaide Road Dublin 2 Irlande

Italie L’Italie déclare, au sens de l’art. 3, par. 2, al. a, de la convention, qu’elle n’appli- quera pas la convention, pourvu que ces données ne soient pas destinées à une communication systématique ou à la diffusion. – Liste prévue par l’art. 3, par. 2, al. a: Traitement de données personnelles effectué par des personnes physiques à des fins exclusivement personnelles, pourvu que les données ne soient pas destinées à une communication systématique ou à la diffusion. L’Italie déclare, au sens de l’art. 3, par. 2, al. b, de la convention, qu’elle appliquera la convention aussi aux traitements de données personnelles concernant des person- nes juridiques, des groupements, fondations, associations. L’Italie déclare, au sens de l’art. 3, par. 2, al. c, de la convention, qu’elle appliquera la convention aussi aux données classifiées sans l’aide de moyens électroniques ou automatisés. L’Italie déclare que l’autorité désignée aux fins de la coopération et de l’entraide entre les Parties prévues par le Chapitre IV de la convention est le «Garante per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali», dont le siège provisoire est à la Chambre des Députés, Palais Montecitorio, I–00100 Rome.

Lettonie Conformément à l’art. 3, par. 2, al. a, de la convention, la République de Lettonie déclare qu’elle n’appliquera pas ladite Convention aux catégories suivantes de fichiers automatisés de données à caractère personnel:

1. ceux faisant l’objet d’un secret d’Etat;

2. ceux étant traités par des institutions publiques à des fins de sécurité natio- nale et de législation pénale.

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Conformément à l’art. 13, par. 2, al. a, de la convention, la République de Lettonie déclare que l’autorité compétente désignée par la République de Lettonie est: Data State Inspection Kr. Barona Street 5–4 Riga, LV–1050 Latvia

Lituanie Conformément à l’art. 13, par. 2, al. a, de la convention, la République de Lituanie déclare que l’autorité compétente désignée par la République de Lituanie est: Bureau d’Etat pour la Protection des données Gedimino pr.27/2 LT-2600 Vilnius Lituanie

Luxembourg Le Luxembourg déclare qu’il se réserve le droit, dans les limites de l’art. 3, par. 2, al. a, de la convention, de ne pas appliquer la convention: a. aux banques de données qui en vertu d’une loi ou d’un règlement sont accessibles au public; b. à celles qui contiennent exclusivement des données en rapport avec le pro- priétaire de la banque; c. à celles qui sont établies pour le compte des institutions de droit interna- tional public. Le Luxembourg désigne comme autorité compétente pour accorder l’assistance pour la mise en œuvre de cette convention: La Commission consultative instituée par la loi du 31 mars 1979 réglementant l’utilisation des données nominatives dans les traitements informatiques c/o Minis- tère de la Justice, L–2910 Luxembourg.

Norvège La convention ne s’appliquera pas à des fichiers privés de caractère personnel qui ne sont utilisés ni dans le secteur privé ni par des sociétés ou fondations. Les dispositions de la convention s’appliqueront également à des informations affé- rentes à des associations ou fondations. La convention ne s’applique pas à Spitzbergen (Svalbard). L’autorité désignée en Norvège conformément à l’art. 13, par. 2, al. a, de la conven- tion est: Datatilsynet (Inspection des données) Postboks 8177 Dep. N–Oslo 1

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Pays-Bas Conformément à l’art. 24, par. 1, la convention s’applique au Royaume en Europe. Conformément à l’art. 3, par. 2, al. a, de la convention, le Royaume des Pays-Bas (pour le Royaume en Europe) déclare que: I. La convention ne s’appliquera pas aux fichiers de données à caractère personnel suivants: – fichiers de données à caractère personnel destinés par nature à une utilisation personnelle ou interne; – fichiers de données à caractère personnel exclusivement détenus à des fins d’information du public par la presse, la radio ou la télévision; – livres et autres publications écrites et tout index s’y rattachant; – fichiers de données à caractère personnel conservés dans des archives dési- gnées à cet effet par la loi; – fichiers de données à caractère personnel dont la création et la consultation par le public sont requises par la loi; – fichiers de données à caractère personnel destinés à l’application de la loi électorale («Kieswet»); II. La convention ne s’appliquera pas pour l’instant aux fichiers de données à caractère personnel suivants: – fichiers de données à caractère personnel établis dans le cadre ou conformé- ment à la loi sur le casier judiciaire et les certificats de bonne conduite («Wet op de justitiële documentatie en op de verklaringen omtrent het gedrag»); – fichiers de données à caractère personnel établis conformément à la loi sur les registres d’état civil et du lieu de résidence («Wet bevolkings- en verblijfsregisters»); – fichier central des étudiants de l’enseignement supérieur, établi dans le cadre de la loi sur l’enseignement universitaire, de la loi sur l’enseignement professionnel supérieur et de la loi sur l’université populaire («Wet op het wetenschappelijk onderwijs, Wet op het hoger beroepsonderwijs, Wet op de open universiteit»); et – les fichiers des numéros d’immatriculation des véhicules et des permis de conduire délivrés, établis conformément à la loi sur la circulation routière («Wegenverkeerswet»). L’autorité désignée par le Royaume des Pays-Bas (pour le Royaume en Europe) au sens de l’art. 13, par. 2, al. a, de la convention est: Registratiekamer Postbus 3011 NL–2280 GA Rijswijk Les Pays-Bas

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Royaume-Uni Art. 3.2 Le Royaume-Uni fait la déclaration suivante à l’égard du Royaume-Uni seulement: Le Royaume-Uni appliquera la convention aux données à caractère personnel ne faisant pas l’objet de traitements automatisés mais qui sont conservées dans un sys- tème de classement pertinent. «Un système de classement pertinent» signifie toutes les informations concernant des personnes dans la mesure où, bien que les informa- tions ne fassent pas l’objet d’un traitement automatisé conformément aux instruc- tions données dans ce but, l’ensemble est structuré, soit par référence aux personnes, soit par référence à des critères concernant les personnes, de telle sorte qu’une information spécifique à une personne précise soit facilement accessible. Déclaration à l’égard de Jersey, Guernesey et de l’Ile de Man seulement: La convention ne s’appliquera pas aux catégories suivantes de fichiers automatisés de données à caractère personnel: a. registres de paye et pensions: données à caractère personnel détenues exclu- sivement pour calculer les rémunérations et les pensions du personnel ou les déductions à celles-ci; b. fichiers de comptabilité et de transactions: données à caractère personnel détenues exclusivement pour tenir des comptes ou des fichiers de transac- tions; c. informations disponibles au public en vertu de la loi: données à caractère personnel qui doivent être disponibles au public en vertu de la loi. Déclaration à l’égard de l’Ile de Man uniquement: Conformément à l’art. 3, par. 2, al. a, de la convention, le Royaume-Uni déclare que la convention n’est pas applicable aux fichiers servant uniquement à la distribution, la fourniture ou l’enregistrement de la distribution ou la fourniture d’articles, d’informations ou de services aux personnes concernées. Autorités désignées conformément à l’art. 13, par. 2, al. a, de la convention: Pour le Royaume-Uni: The Information Commissioner Wycliffe House Water Lane Pour le bailliage de Guernesey: The Data Protection Commissioner Sir Charles Frossard House PO Box 43 La Charroterie St Peter Port – Guernsey GY1 1 FH

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Pour le bailliage de Jersey: The Data Protection Registrar The Data Protection Registry Morier House Halkett Place Pour l’Ile de Man: The Isle of Man Data Protection Registrar Willow House, Main Road, Onchan, Art. 24 Outre le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, la convention s’appliquera également au bailliage de Jersey et au bailliage de Guernesey. Le 21 janvier 1993, le Gouvernement du Royaume Uni a déclaré que la convention s’applique à l’Ile de Man, territoire dont les relations internationales relèvent de sa compétence.

République tchèque Conformément à l’art. 13 de la convention, la République tchèque déclare que l’autorité compétente désignée est: Bureau de la protection des données à caractère personnel Havelkova 22

130 00 Praha 3

République tchèque

Slovaquie Conformément à l’art. 13, par. 2, de la convention, la Slovaquie désigne l’autorité compétente suivante: Le Commissaire du Gouvernement pour la protection des données à caractère per- sonnel des systèmes d’information et l’Unité de Contrôle des données à caractère personnel Siège du Gouvernement de la République slovaque Namestie slobody 1 SK–813 70 Bratislava 1 République slovaque

Protection des personnes à l’égard du traitement automatisé des données RO 2002

Slovénie La Slovénie désigne conformément à l’art. 13, par. 2, al. a, l’autorité compétente suivante: Ministry of Justice of the Republic of Slovenia M. Joze Santovec Counsellor to the Government (Chief of the Data Protection Sector) Zupanciceva 3

61000 Ljubljana

Slovénie

Suède L’Inspection de l’Informatique (Data Inspection Board) Box 12050 S–102 22 Stockholm Suède a été désignée comme autorité compétente conformément à l’art. 13, par. 2, al. a, de la convention.

Suisse A. La Suisse, conformément à l’art. 3 de la convention, formule la déclaration suivante:

1. La convention s’applique également aux données personnelles concernant

des personnes morales et aux fichiers de données personnelles ne faisant pas l’objet d’un traitement automatisé.

2. La convention ne s’applique pas:

a. aux fichiers constitués et utilisés par les Parlements fédéral et canto- naux dans le cadre de leurs délibérations, b. aux fichiers du Comité international de la Croix-Rouge, c. aux fichiers de données personnelles qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers. B. Le «préposé fédéral à la protection des données» est l’autorité compétente pour accorder l’assistance pour la mise en œuvre de la convention.

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel | Lexipedia | Lexipedia