AS 2008 731
Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données
Texte original
Protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données
Conclu à Strasbourg le 8 novembre 2001 Approuvé par l’Assemblée fédérale le 24 mars 20061 Instrument de ratification déposé par la Suisse le 20 décembre 2007 Entré en vigueur pour la Suisse le 1er avril 2008
Préambule Les Parties au présent Protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel2, ouverte à la signature à Strasbourg, le 28 janvier 1981, (ci-après dénommée «la Convention»), convaincues que des autorités de contrôle exerçant leurs fonctions en toute indé- pendance sont un élément de la protection effective des personnes à l’égard du trai- tement des données à caractère personnel, considérant l’importance de la circulation de l’information entre les peuples, considérant que, avec l’intensification des échanges de données à caractère person- nel à travers les frontières, il est nécessaire d’assurer la protection effective des droits de l’homme et des libertés fondamentales, et, notamment du droit au respect de la vie privée, en relation avec de tels échanges, sont convenues de ce qui suit:
Art. 1 Autorités de contrôle 1. Chaque Partie prévoit qu’une ou plusieurs autorités sont chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans le présent Protocole. 2. a. A cet effet, ces autorités disposent notamment de pouvoir d’investigation et d’intervention, ainsi que de celui d’ester en justice ou de porter à la connais- sance de l’autorité judiciaire compétente des violations aux dispositions du droit interne donnant effet aux principes visés au par. 1 de l’art. 1 du présent Protocole.
RS 0.235.11
2002-2762 731
Protection des personnes à l’égard du traitement automatisé des données RO 2008 à caractère personnel. Autorités de contrôle et flux transfrontières de données. Prot. add.
b. Chaque autorité de contrôle peut être saisie par toute personne d’une demande relative à la protection de ses droits et libertés fondamentales à l’égard des traitements de données à caractère personnel relevant de sa com- pétence.
3. Les autorités de contrôle exercent leurs fonctions en toute indépendance.
4. Les décisions des autorités de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel. 5. Conformément aux dispositions du chap. IV et sans préjudice des dispositions de l’art. 13 de la Convention, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.
Art. 2 Flux transfrontières de données à caractère personnel vers un destinataire n’étant pas soumis à la juridiction d’une Partie à la Convention 1. Chaque Partie prévoit que le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui n’est pas Partie à la Convention ne peut être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert considéré.
2. Par dérogation au par. 1 de l’art. 2 du présent Protocole, chaque Partie peut
autoriser un transfert de données à caractère personnel: a. si le droit interne le prévoit: – pour des intérêts spécifiques de la personne concernée, ou – lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants, ou b. si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne.
Art. 3 Dispositions finales 1. Les Parties considèrent les dispositions des art. 1 et 2 du présent Protocole com- me des articles additionnels à la Convention, et toutes les dispositions de la Conven- tion s’appliquent en conséquence. 2. Le présent Protocole est ouvert à la signature des Etats signataires de la Conven- tion. Après avoir adhéré à la Convention dans les conditions établies par celle-ci, les Communautés européennes peuvent signer le présent Protocole. Ce Protocole sera soumis à ratification, acceptation ou approbation. Un Signataire du présent Protocole ne peut le ratifier, l’accepter ou l’approuver, sans avoir antérieurement ou simulta- nément ratifié, accepté ou approuvé la Convention ou sans y avoir adhéré. Les instruments de ratification, d’acceptation ou d’approbation du présent Protocole seront déposés près le Secrétaire Général du Conseil de l’Europe.
Protection des personnes à l’égard du traitement automatisé des données RO 2008 à caractère personnel. Autorités de contrôle et flux transfrontières de données. Prot. add.
3. a. Le présent Protocole entrera en vigueur le premier jour du mois qui suit
l’expiration d’une période de trois mois après la date à laquelle cinq de ses Signataires auront exprimé leur consentement à être liés par le présent Pro- tocole conformément aux dispositions de son art. 3 par. 2. b. Pour tout Signataire du présent Protocole qui exprime ultérieurement son consentement à être lié par celui-ci, le présent Protocole entrera en vigueur le premier jour du mois qui suit l’expiration d’une période de trois mois après la date du dépôt de son instrument de ratification, d’acceptation ou d’approbation. 4. a. Après l’entrée en vigueur du présent Protocole, tout Etat qui a adhéré à la Convention pourra adhérer également au présent Protocole. b. L’adhésion s’effectuera par le dépôt, près le Secrétaire Général du Conseil de l’Europe, d’un instrument d’adhésion qui prendra effet le premier jour du mois qui suit l’expiration d’une période de trois mois après la date de son dépôt. 5. a. Toute Partie peut, à tout moment, dénoncer le présent Protocole en adressant une notification au Secrétaire Général du Conseil de l’Europe. b. La dénonciation prendra effet le premier jour du mois qui suit l’expiration d’une période de trois mois après la date de réception de la notification par le Secrétaire Général.
6. Le Secrétaire Général du Conseil de l’Europe notifiera aux Etats membres du
Conseil de l’Europe, aux Communautés européennes et à tout Etat ayant adhéré au présent Protocole: a. toute signature; b. le dépôt de tout instrument de ratification, d’acceptation ou d’approbation; c. toute date d’entrée en vigueur du présent Protocole conformément à son art. 3; d. tout autre acte, notification ou communication ayant trait au présent Proto- cole.
En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé le présent Protocole.
Protection des personnes à l’égard du traitement automatisé des données RO 2008 à caractère personnel. Autorités de contrôle et flux transfrontières de données. Prot. add.
Fait à Strasbourg, le 8 novembre 2001, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l’Europe. Le Secrétaire Général du Conseil de l’Europe en communique- ra copie certifiée conforme à chacun des Etats membres du Conseil de l’Europe, aux Communautés européennes et à tout Etat invité à adhérer à la Convention.
(Suivent les signatures)
Protection des personnes à l’égard du traitement automatisé des données RO 2008 à caractère personnel. Autorités de contrôle et flux transfrontières de données. Prot. add.
Champ d’application le 7 mars 2008 Etats parties Ratification Entrée en vigueur
Albanie 14 février 2005 1er juin 2005 Allemagne* 12 mars 2003 1er juillet 2004 Bosnie et Herzégovine 31 mars 2006 1er juillet 2006 Chypre 17 mars 2004 1er juillet 2004 Croatie 21 juin 2005 1er octobre 2005 France 22 mai 2007 1er septembre 2007 Hongrie 4 mai 2005 1er septembre 2005 Lettonie 21 novembre 2007 1er mars 2008 Lituanie 2 mars 2004 1er juillet 2004 Luxembourg 23 janvier 2007 1er mai 2007 Pays-Basa 8 septembre 2004 1er janvier 2005 Pologne 12 juillet 2005 1er novembre 2005 Portugal 11 janvier 2007 1er mai 2007 République tchèque 24 septembre 2003 1er juillet 2004 Roumanie 15 février 2006 1er juin 2006 Slovaquie 24 juillet 2002 1er juillet 2004 Suède 8 novembre 2001 1er juillet 2004 Suisse 20 décembre 2007 1er avril 2008 * Réserves et déclarations Les réserves et déclarations ne sont pas publiées au RO. Les textes en français et en anglais pourront être consultés à l’adresse du site Internet du Conseil de l’Europe : http://conventions.coe.int ou obtenus à la Direction du droit international public (DDIP), Section des traités internationaux, 3003 Berne. a Pour le Royaume en Europe.
Protection des personnes à l’égard du traitement automatisé des données RO 2008 à caractère personnel. Autorités de contrôle et flux transfrontières de données. Prot. add.