- La révision de la Convention 108 élargit l’étendue de la protection, notamment pour les données génétiques et biométriques, ainsi que pour les données pénales et de santé.
- Des droits de transparence et d’information renforcés, ainsi qu’un droit de consultation en cas de décisions automatisées et un objet d’information élargi.
- Introduction d’obligations de notification en cas de violation de données, d’autorités de contrôle plus fortes et d’obligations de diligence raisonnable et d’impact en matière de protection des données.
Mise à jour 12 octobre 2016:
Le Comité ad hoc sur la protection des données (CAHDATA) a poursuivi ses discussions sur la révision de la Convention lors de sa 40e réunion, qui s’est tenue du 30 novembre 2016 au 2 décembre 2016. En amont, le état actuel du projet publié le 12 septembre 2016 (PDF).
Mise à jour 17 mai 2016:
Le comité ad hoc sur la protection des données (CAHDATA) a présenté un projet consolidé de la Convention 108 en date du 3 mai 2016.
Pas seulement le Législation européenne sur la protection des donnéesmais aussi la Convention du Conseil de l’Europe 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel est en cours de révision. En Suisse, cette convention est en vigueur depuis 1998 (mise en œuvre par la révision partielle de la LPD à l’époque ; en vigueur depuis le 1er janvier 2008) ; Message FF 2003 2101). Elle définit notamment ce que la Suisse entend par protection adéquate des données au sens de l’art. 6, al. 1, LPD (à ce sujet → Annonce à l’étranger). La convention a été signée à ce jour par environ 50 États ratifié.
Un aperçu du processus de révision se trouve sur le Site web du Conseil de l’Europe. Le 1er avril 2015, le comité ad hoc sur la protection des données (CAHDATA) a présenté l’état actuel du projet de loi. approuvé (voir texte ci-dessous). Le projet devrait être adopté dans le courant de l’année 2016. Il est fort probable que la Suisse ratifie la révision. Il ne devrait toutefois pas en résulter de modifications majeures du droit suisse de la protection des données. Les principales nouveautés concernent les points suivants (voir à ce sujet David Rosenthal sur allemand et sur anglais et les mises en évidence dans le texte suivant de la convention) :
- La notion de données personnelles sensibles est un peu plus large (p. ex. données génétiques et biométriques).
- les exigences de transparence deviennent plus strictes ;
- l’objet du droit d’accès est élargi
- Droit d’être entendu sur les décisions automatisées
- Obligation de notification en cas de violation (breach notification).
En l’état actuel, le texte révisé de la convention a la teneur suivante :
Chapitre I Dispositions générales
Article 1 – Objet et finalité
L’objectif de cette convention est de protéger chaque individu, quelle que soit sa nationalité ou sa résidence, en ce qui concerne le traitement des données à caractère personnel, contribuant ainsi au respect de ses droits de l’homme et de ses libertés fondamentales, et en particulier de son droit à la vie privée.
Article 2 – Définitions
Aux fins de la présente convention :
a. “données personnelles” désigne toute information se rapportant à un individu identifié ou identifiable (“sujet des données”) ;
b. “traitement de données” désigne toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, le stockage, la conservation, l’altération, la récupération, la divulgation, la mise à disposition, l’effacement ou la destruction de ces données, ou l’exécution d’opérations logiques et/ou arithmétiques sur ces données ; lorsque le traitement automatisé n’est pas utilisé, le traitement de données désigne une opération ou un ensemble d’opérations effectuées sur des données à caractère personnel dans le cadre d’un ensemble structuré de ces données qui sont accessibles ou récupérables selon des critères spécifiques ;
c. “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détient le pouvoir de décision en matière de traitement des données ;
d. “destinataire” : une personne physique ou morale, une autorité publique, un service, une agence ou tout autre organisme auquel les données sont divulguées ou mises à disposition ;
e. “processeur” désigne une personne physique ou morale, une autorité publique, un service, une agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Article 3 – Champ d’application
1) Chaque Partie s’engage à appliquer la présente Convention au traitement des données relevant de sa compétence dans les secteurs public et privé, en garantissant ainsi à chaque individu le droit à la protection de ses données à caractère personnel.
1bis. La présente Convention ne s’applique pas au traitement de données effectué par un individu dans le cadre d’activités [purement] personnelles ou domestiques.
Chapitre II – Principes de base de la protection des données à caractère personnel
Article 4 – Responsabilités des parties
Chaque Partie prend les mesures nécessaires dans sa législation pour donner effet aux dispositions de la présente Convention et en assurer l’application effective.
Ces mesures seront prises par chaque Partie et entreront en vigueur à la date de la ratification ou de l’adhésion à la présente Convention.
3) Chaque partie s’engage :
a. de permettre au Comité de la Convention prévu au Chapitre V d’évaluer l’efficacité des mesures qu’il a prises dans sa législation pour donner effet aux dispositions de la présente Convention ; et
b. à contribuer activement à ce processus d’évaluation.
Article 5 – Légitimité du traitement des données et qualité des données
1. le traitement des données doit être proportionné aux fins légitimes poursuivies et refléter, à tous les stades du traitement, un juste équilibre entre tous les intérêts en jeu, qu’ils soient publics ou privés, et les droits et libertés en cause
2. chaque partie doit veiller à ce que le traitement des données puisse être effectué sur la base du consentement libre, spécifique, informé et libre de toute ambiguïté du sujet des données ou de toute autre base légitime prévue par la loi.
3) Les données à caractère personnel en cours de traitement doivent être traitées conformément à la loi.
4. les données à caractère personnel en cours de traitement doivent être :
a. traitées de manière équitable et transparente ;
b. collectées à des fins explicites, spécifiées et légitimes et non traitées de manière incompatible avec ces finalités ; tout traitement ultérieur à des fins historiques, statistiques et scientifiques est, sous réserve de garanties appropriées, compatible avec ces finalités ;
c. adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
d. exactes et, le cas échéant, tenues à jour ;
e. conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles ces données sont traitées.
Article 6 – Catégories spéciales de données
1. le traitement de :
données génétiques ;
les données à caractère personnel relatives aux infractions, aux procédures pénales et aux condamnations, ainsi qu’aux mesures de sécurité connexes ;
données biométriques identifiant de manière unique une personne ;
données personnelles pour les informations qu’elles révèlent sur l’origine raciale, les opinions politiques, le commerce et l’emploi.
l’appartenance à un syndicat, les convictions religieuses ou autres, la santé ou la vie sexuelle ;
ne sont autorisées que si des garanties spécifiques et supplémentaires appropriées sont inscrites dans la loi, en complément de celles prévues par la présente convention.
2. ces mesures de protection doivent prévenir les risques que le traitement de ces données sensibles peut présenter pour les intérêts, les droits et les libertés fondamentales du sujet des données, notamment les risques de discrimination.
Article 7 – Sécurité des données
1. chaque partie doit veiller à ce que le responsable du traitement et, le cas échéant, le processeur, prennent des mesures de sécurité appropriées contre les risques tels que l’accès accidentel ou non autorisé, la destruction, la perte, l’utilisation, la modification ou la divulgation de données à caractère personnel.
Chaque Partie doit veiller à ce que le responsable du traitement notifie sans délai, au moins à l’autorité de contrôle compétente au sens de l’article 12bis de la présente Convention, les violations de données susceptibles de porter gravement atteinte aux droits et aux libertés fondamentales des personnes concernées.
Article 7bis – Transparence du traitement
1) Chaque partie doit veiller à ce que le contrôleur informe les personnes concernées de :
a. l’identité du contrôleur et son lieu de résidence ou d’établissement habituel ;
b. la base juridique et les finalités du traitement envisagé ;
c. les catégories de données à caractère personnel traitées ;
d. les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant ; et
e. les moyens d’exercer les droits énoncés à l’article 8 ; ainsi que toute information supplémentaire nécessaire pour assurer un traitement équitable et transparent des données à caractère personnel.
1bis.Le paragraphe 1 ne s’applique pas lorsque le sujet des données dispose déjà des informations pertinentes.
2. lorsque les données à caractère personnel ne sont pas collectées auprès des personnes concernées, le responsable du traitement n’est toutefois pas tenu de fournir de telles informations si le traitement est expressément prescrit par la loi ou si cela s’avère impossible ou implique des efforts disproportionnés.
Article 8 – Droits du sujet des données
Chaque individu doit avoir un droit :
a. à ne pas être soumis à une décision l’affectant de manière significative fondée uniquement sur un traitement automatisé de données sans que son avis ait été pris en considération ;
b. d’obtenir, sur demande, à des intervalles raisonnables et sans retard ni frais excessifs, la confirmation du traitement de données à caractère personnel le concernant ; la communication sous une forme intelligible des données traitées ; toutes les informations disponibles sur leur origine, sur leur période de conservation ainsi que toute autre information que le responsable du traitement est tenu de fournir afin d’assurer la transparence du traitement conformément à l’article 7bis, paragraphe 1 ;
c. d’obtenir, sur demande, des informations sur le raisonnement qui sous-tend le traitement des données lorsque les résultats de ce traitement lui sont appliqués ;
d. de s’opposer à tout moment au traitement de données à caractère personnel le concernant, à moins que le responsable du traitement ne démontre l’existence de motifs légitimes pour le traitement qui prévalent sur ses intérêts ou sur ses droits et libertés fondamentaux ;
e. d’obtenir, sur demande, sans frais et sans retard excessif, la rectification ou l’effacement, selon le cas, de ces données lorsqu’elles sont ou ont été traitées contrairement aux dispositions de la présente Convention ;
f. de disposer d’un recours conformément à l’article 10 en cas de violation de ses droits au titre de la présente Convention ;
g. à bénéficier, quelle que soit sa nationalité ou sa résidence, de l’assistance d’une autorité de contrôle au sens de l’article 12bis, dans l’exercice de ses droits en vertu de la présente Convention.
Article 8bis – Obligations supplémentaires
1) Chaque Partie veille à ce que les contrôleurs et, le cas échéant, les transformateurs prennent toutes les mesures appropriées pour se conformer aux obligations prévues par la présente Convention et soient en mesure de démontrer, notamment à l’autorité de contrôle compétente prévue à l’article 12bis, que le traitement des données qu’ils contrôlent est conforme aux dispositions de la présente Convention.
2. chaque partie doit veiller à ce que les contrôleurs et, le cas échéant, les transformateurs, examinent l’impact probable du traitement de données envisagé sur les droits et les libertés fondamentales des personnes concernées avant le début de ce traitement et conçoivent le traitement des données de manière à prévenir ou à minimiser le risque d’interférence avec ces droits et libertés fondamentales.
3. chaque partie doit veiller à ce que les contrôleurs et, le cas échéant, les processeurs, mettent en œuvre des mesures techniques et organisationnelles qui tiennent compte des implications du droit à la protection des données à caractère personnel à tous les stades du traitement des données.
4. chaque Partie peut, eu égard aux risques encourus pour les intérêts, les droits et les libertés fondamentales des personnes concernées, adapter l’application des dispositions des paragraphes 1, 2 et 3 dans la loi donnant effet aux dispositions de la présente Convention, en fonction de la nature et du volume des données, de la nature, de l’étendue et des finalités du traitement et, le cas échéant, de la taille du contrôleur ou du processeur.
Article 9 Exceptions et restrictions
Aucune dérogation aux dispositions du présent chapitre n’est autorisée, à l’exception des dispositions des articles 5.4, 7.2, 7bis, paragraphe 1, et de l’article 8, lorsque cette dérogation est prévue par la loi et constitue une mesure nécessaire et proportionnée dans une société démocratique :
a. la protection de la sécurité nationale, de la sûreté publique, d’intérêts économiques et financiers importants de l’Etat, l’impartialité et l’indépendance du pouvoir judiciaire ou la prévention, l’instruction et la poursuite d’infractions pénales ;
b. la protection du sujet des données ou les droits et libertés fondamentales d’autrui, notamment la liberté d’expression.
2) des restrictions à l’exercice des dispositions prévues aux articles 7bis et 8 peuvent être prévues par la loi en ce qui concerne le traitement de données à des fins historiques, statistiques et scientifiques lorsqu’il n’existe pas de risque identifiable de violation des droits et des libertés fondamentales des personnes concernées.
Article 10 Sanctions et remèdes
Chaque Partie s’engage à établir des sanctions et des remèdes judiciaires et non judiciaires appropriés en cas de violation des dispositions de la présente Convention.
Article 11 Protection étendue
Aucune des dispositions du présent chapitre ne doit être interprétée comme limitant ou affectant d’une autre manière la possibilité pour une Partie d’accorder aux sujets de données un degré de protection plus élevé que celui prévu par la présente Convention.
Chapitre III Flux transfrontières de données à caractère personnel
Article 12 Flux transfrontières de données à caractère personnel
1) Une Partie ne peut, dans le seul but de protéger des données à caractère personnel, interdire ou soumettre à une autorisation spéciale le transfert de ces données à un destinataire relevant de la compétence d’une autre Partie à la Convention. Toutefois, une telle Partie peut le faire si elle est liée par des règles de protection harmonisées partagées par des États faisant partie d’une organisation internationale régionale9 .
2) lorsque le destinataire relève de la compétence d’un État ou d’une organisation internationale non partie à la présente convention, le transfert de données à caractère personnel ne peut avoir lieu que si un niveau de protection adéquat, fondé sur les dispositions de la présente convention, est assuré.
3. un niveau de protection approprié peut être assuré par :
a. la législation de cet État ou de cette organisation internationale, y compris les traités ou accords internationaux applicables ; ou
b. des garanties standard ad hoc ou approuvées, prévues par des instruments juridiquement contraignants et exécutoires adoptés et mis en œuvre par les personnes impliquées dans le transfert et le traitement ultérieur.
4. nonobstant les dispositions des paragraphes précédents, chaque Partie peut prévoir que le transfert de données à caractère personnel peut avoir lieu si :
a. le sujet des données a donné un consentement explicite, spécifique et libre, après avoir été informé des risques encourus en l’absence de garanties appropriées ; ou
b. les intérêts spécifiques du sujet des données l’exigent dans le cas particulier ; ou
c. des intérêts légitimes prévalents, en particulier des intérêts publics importants, sont garantis par la loi et que ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique.
5. chaque partie veille à ce que l’autorité de contrôle compétente au sens de l’article 12bis de la présente convention reçoive toutes les informations pertinentes concernant les transferts de données visés au paragraphe 3.b et, sur demande, aux paragraphes 4.b et 4.c.
6) Chaque Partie doit également prévoir que l’autorité de contrôle est habilitée à exiger que la personne qui transfère des données démontre l’effectivité des garanties ou l’existence d’intérêts légitimes prévalents et que l’autorité de contrôle peut, afin de protéger les droits et les libertés fondamentales des personnes concernées, interdire, suspendre ou soumettre à conditions de tels transferts.
7) Les exceptions aux dispositions du présent article sont autorisées dans la mesure où elles constituent une mesure nécessaire et proportionnée, dans une société démocratique, à la liberté d’expression.
Chapitre III bis Autorités de surveillance
Article 12bis Autorités de surveillance
1 Chaque Partie doit prévoir une ou plusieurs autorités chargées d’assurer le respect des dispositions de la présente Convention.
2 To this end, such authorities :
a. ont des pouvoirs d’investigation et d’intervention ;
b. exerce les fonctions relatives aux transferts de données prévus à l’article 12, notamment l’approbation de garanties standardisées :
c. a le pouvoir de prendre des décisions concernant les violations des dispositions de la présente Convention et peut, en particulier, imposer des sanctions administratives ;
d. aura le pouvoir d’engager des poursuites judiciaires ou de porter à l’attention des autorités judiciaires compétentes les violations des dispositions de la présente Convention ;
e. doit promouvoir :
i. la sensibilisation du public à leurs fonctions et à leurs pouvoirs, ainsi qu’à leurs activités ;
ii. la sensibilisation du public aux droits des personnes concernées par les données et à l’exercice de ces droits ;
iii. la sensibilisation des contrôleurs et des processeurs à leurs responsabilités en vertu de la présente convention ; une attention particulière doit être accordée aux droits des enfants et des autres personnes vulnérables en matière de protection des données.
2bis. Les autorités de contrôle compétentes sont consultées sur les propositions de toute mesure législative ou administrative prévoyant le traitement de données à caractère personnel.
3) chaque autorité de contrôle compétente traite les demandes et les plaintes des personnes concernées concernant leurs droits en matière de protection des données et tient les personnes concernées informées des progrès accomplis.
4. les autorités de contrôle agissent en toute indépendance et impartialité dans l’exercice de leurs fonctions et de leurs pouvoirs et, à cet effet, ne recherchent ni n’acceptent
instructions.
5. chaque partie veille à ce que les autorités de contrôle disposent des ressources nécessaires à l’accomplissement effectif de leurs fonctions et à l’exercice de leurs pouvoirs.
5bis. Chaque autorité de contrôle prépare et publie un rapport périodique décrivant ses activités.
5ter. Les membres et le personnel des autorités de contrôle sont soumis à des obligations de confidentialité en ce qui concerne les informations confidentielles auxquelles ils ont ou ont eu accès dans l’exercice de leurs fonctions et de leurs pouvoirs.
6. les décisions des autorités de contrôle peuvent faire l’objet d’un recours devant les tribunaux.
7) Conformément aux dispositions du chapitre IV, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs tâches et à l’exercice de leurs pouvoirs, en particulier
by :
a. de se prêter une assistance mutuelle en échangeant des informations pertinentes et utiles et en coopérant les uns avec les autres, à condition que, en ce qui concerne la protection des données à caractère personnel, toutes les règles et garanties de la présente Convention soient respectées ;
b. coordonner leurs enquêtes ou leurs interventions, ou mener des actions conjointes ;
c. en fournissant des informations et de la documentation sur leurs pratiques législatives et administratives en matière de protection des données.
7bis. Les informations visées au paragraphe 7, point a), ne comprennent pas les données à caractère personnel en cours de traitement, à moins que ces données ne soient essentielles à la coopération ou que le sujet des données n’ait donné son consentement explicite, spécifique, libre et éclairé à leur fourniture.
8) Afin d’organiser leur coopération et de s’acquitter des obligations prévues aux paragraphes précédents, les autorités de contrôle des Parties forment un réseau.
9) Les autorités de contrôle ne sont pas compétentes en ce qui concerne les traitements effectués par des organismes agissant dans l’exercice de leur fonction judiciaire.
Chapitre IV Assistance mutuelle
Article 13 Coopération entre les parties
1) Les parties conviennent de se prêter mutuellement assistance en vue de la mise en œuvre de la présente convention.
2. à cette fin
a. chaque Partie désigne une ou plusieurs autorités de contrôle au sens de l’article 12bis de la présente Convention et communique le nom et l’adresse de chacune d’elles au Secrétaire général du Conseil de l’Europe ;
b. toute Partie qui a désigné plus d’une autorité de contrôle doit préciser la compétence de chaque autorité dans sa communication mentionnée au paragraphe précédent.
Article 14 Assistance aux personnes concernées
Chaque Partie aidera tout sujet, quelle que soit sa nationalité ou son lieu de résidence, à exercer les droits qui lui sont conférés par l’article 8 de la présente Convention.
2. lorsqu’une personne concernée réside sur le territoire d’une autre Partie, elle doit avoir la possibilité de présenter sa demande par l’intermédiaire de l’autorité de contrôle désignée par cette Partie.
3. la demande d’assistance doit comporter toutes les précisions nécessaires concernant notamment
a. le nom, l’adresse et tout autre détail pertinent permettant d’identifier le sujet des données qui a fait la demande ;
b. le traitement auquel la demande se rapporte ou son contrôleur ;
c. l’objet de la demande.
Article 15Safeguards concernant l’assistance fournie par les autorités de contrôle désignées
1) Une autorité de contrôle désignée par une Partie qui a reçu des informations d’une autorité de contrôle désignée par une autre Partie, soit en accompagnement d’une demande d’assistance, soit en réponse à sa propre demande d’assistance, ne doit pas utiliser ces informations à d’autres fins que celles spécifiées dans la demande d’assistance.
2. en aucun cas, une autorité de contrôle désignée ne peut être autorisée à formuler une demande d’assistance pour le compte d’un sujet de données de son propre chef et sans le consentement explicite du sujet de données concerné.
Article 16 Refus des demandes d’assistance
Une autorité de contrôle désignée à laquelle une demande d’assistance est adressée en vertu de l’article 13 de la présente convention ne peut refuser de s’y conformer à moins que :
a. la demande n’est pas compatible avec les compétences dans le domaine de la protection des données des autorités chargées de répondre ;
b. la demande n’est pas conforme aux dispositions de la présente convention ;
c. le respect de la demande serait incompatible avec la souveraineté, la sécurité nationale ou l’ordre public de la Partie par laquelle elle a été désignée, ou avec les droits et les libertés fondamentales des personnes relevant de la juridiction de cette Partie.
Article 17 Coûts et procédures d’assistance
1) L’assistance mutuelle que les Parties se prêtent mutuellement en vertu de l’article 13 et l’assistance qu’elles fournissent aux personnes concernées en vertu des articles 8 et 14 ne donnent pas lieu au paiement de frais ou de redevances autres que ceux qui sont engagés pour les experts et les interprètes. Les frais ou honoraires restants sont à la charge de la Partie qui a désigné l’autorité de contrôle qui fait la demande d’assistance.
2. la personne concernée ne doit pas être redevable de frais ou de coûts liés aux démarches effectuées pour son compte sur le territoire d’une autre partie, autres que ceux qui sont légalement exigibles des résidents de cette partie.
3) Les autres détails concernant l’assistance, notamment les formes et procédures et les langues à utiliser, sont établis directement entre les parties concernées.
Comité de la convention du chapitre V
Article 18 Composition du comité
1) Un comité conventionnel est créé après l’entrée en vigueur de la présente convention.
2) Chaque Partie désigne un représentant auprès du Comité et un représentant suppléant. Tout État membre du Conseil de l’Europe qui n’est pas partie à la convention a le droit d’être représenté au comité par un observateur.
3. le Comité de la Convention peut, par une décision prise à la majorité des deux tiers des représentants des Parties, inviter un observateur à être représenté à ses réunions.
4. toute partie qui n’est pas membre du Conseil de l’Europe contribue au financement des activités du Comité de la Convention selon les modalités établies par le Comité des ministres en accord avec cette partie.
Article 19 Fonctions du comité
Le comité de la convention :
a. peut faire des recommandations en vue de faciliter ou d’améliorer l’application de la Convention ;
b. peut proposer des amendements à la présente convention conformément à l’article 21 ;
c. formule son avis sur toute proposition d’amendement à la présente Convention qui lui est soumise conformément au paragraphe 3 de l’article 21 ;
d. peut exprimer une opinion sur toute question relative à l’interprétation ou à l’application de la présente Convention ;
e. préparera, avant toute nouvelle adhésion à la Convention, un avis à l’intention du Comité des ministres sur le niveau de protection des données à caractère personnel du candidat à l’adhésion et recommandera, le cas échéant, les mesures à prendre pour se conformer aux dispositions de la présente Convention ;
f. peut, à la demande d’un État ou d’une organisation internationale, évaluer si le niveau de protection des données à caractère personnel fourni par le premier est conforme aux dispositions de la présente Convention et, le cas échéant, recommander des mesures à prendre pour parvenir à cette conformité ;
g. peut élaborer ou approuver des modèles de garanties standardisées visées à l’article 12 ;
h. examinera la mise en œuvre de la présente Convention par les Parties et recommandera des mesures à prendre lorsqu’une Partie ne respecte pas la présente Convention ;
i. facilitera, en tant que de besoin, le règlement amiable de toutes les difficultés liées à l’application de la présente Convention.
Article 20 Procédure
1) Le Comité de la Convention est convoqué par le Secrétaire général du Conseil de l’Europe. Sa première réunion se tiendra dans les douze mois suivant l’entrée en vigueur de la présente Convention. Il se réunit ensuite au moins une fois par an et, en tout état de cause, lorsque un tiers des représentants des Parties en font la demande.
2. la majorité des représentants des parties constitue un quorum pour une réunion du comité de la convention.
3. chaque partie a le droit de vote et dispose d’une voix. Sur les questions relevant de sa compétence, l’Union européenne exerce son droit de vote et dispose d’un nombre de voix égal au nombre de ses États membres qui sont parties à la Convention et qui ont transféré des compétences à l’Union européenne dans le domaine concerné. Dans ce cas, ces États membres de l’Union européenne ne votent pas.
4) Après chacune de ses réunions, le Comité de la Convention soumet au Comité des ministres du Conseil de l’Europe un rapport sur ses travaux et sur le fonctionnement de la présente Convention.
5) Le comité de la convention élabore ses propres règles de procédure et établit, en particulier, les procédures d’évaluation visées à l’article 4.3 et d’examen du niveau de protection visé à l’article 19, sur la base de critères objectifs.
Chapitre VI Amendements
Article 21 Amendements
1) Des amendements à la présente convention peuvent être proposés par une partie, par le comité des ministres du Conseil de l’Europe ou par le comité de la convention.
2. toute proposition d’amendement est communiquée par le Secrétaire général du Conseil de l’Europe aux parties à la présente convention, aux autres États membres du Conseil de l’Europe, à l’Union européenne et aux pays tiers.
Union européenne et à tout État non membre ou à toute organisation internationale qui a été invité à adhérer à la présente convention conformément aux dispositions de l’article 23.
3. en outre, tout amendement proposé par une Partie ou par le Comité des ministres est communiqué au Comité de la Convention, qui soumet au Comité des ministres son avis sur l’amendement proposé.
4. le Comité des ministres examine l’amendement proposé et toute opinion soumise par le Comité de la Convention et peut approuver l’amendement.
5. le texte de tout amendement approuvé par le Comité des ministres conformément au paragraphe 4 du présent article est transmis aux Parties pour acceptation.
6) Tout amendement approuvé conformément au paragraphe 4 du présent article entre en vigueur le trentième jour qui suit la date à laquelle toutes les parties ont informé le secrétaire général de leur acceptation de cet amendement.
7) En outre, le Comité des ministres peut, après avoir consulté le Comité de la Convention, décider qu’un amendement particulier entrera en vigueur à l’expiration d’une période de deux ans à compter de la date à laquelle il a été ouvert à l’acceptation, à moins qu’une Partie ne notifie au Secrétaire général du Conseil de l’Europe une objection à son entrée en vigueur. Si une telle objection est notifiée, l’amendement entre en vigueur le premier jour du mois suivant la date à laquelle la Partie à la présente Convention qui a notifié l’objection a déposé son instrument d’acceptation auprès du Secrétaire Général du Conseil de l’Europe.
8) Si un amendement a été approuvé par le Comité des ministres mais n’est pas encore entré en vigueur conformément aux dispositions des paragraphes 6 ou 7, un État, l’Union européenne ou une organisation internationale ne peut exprimer son consentement à être lié par la présente Convention sans accepter en même temps l’amendement.
Chapitre VII Clauses finales
Article 22 Entrée en vigueur
1) La présente convention est ouverte à la signature des États membres du Conseil de l’Europe et de l’Union européenne. Elle est soumise à ratification, acceptation ou approbation. Les instruments de ratification, d’acceptation ou d’approbation sont déposés auprès du Secrétaire général du Conseil de l’Europe.
2) La présente convention entre en vigueur le premier jour du mois suivant l’expiration d’une période de trois mois après la date à laquelle cinq États membres du Conseil de l’Europe ont exprimé leur consentement à être liés par la convention conformément aux dispositions du paragraphe précédent.
3. à l’égard de toute Partie qui exprimera ultérieurement son consentement à être liée par elle, la Convention entrera en vigueur le premier jour du mois suivant l’expiration d’une période de trois mois après la date de dépôt de l’instrument de ratification, d’acceptation ou d’approbation.
Article 23 Accession par des États non membres et des organisations internationales
Après l’entrée en vigueur de la présente Convention, le Comité des ministres du Conseil de l’Europe peut, après avoir consulté les Parties à la présente Convention et obtenu leur accord unanime et à la lumière de l’avis préparé par le Comité de la Convention conformément à l’article 19.e, inviter tout État non membre du Conseil de l’Europe ou toute organisation internationale à adhérer à la présente Convention par une décision prise à la majorité prévue à l’article 20.d du Statut du Conseil de l’Europe et par le vote unanime des représentants des États contractants ayant le droit de siéger au Comité des ministres.
2) En ce qui concerne tout État ou organisation internationale adhérant à la présente convention conformément au paragraphe 1 ci-dessus, la convention entre en vigueur le premier jour du mois suivant l’expiration d’une période de trois mois après la date de dépôt de l’instrument d’adhésion auprès du secrétaire général du Conseil de l’Europe.
Article 24 Clause territoriale
1) Tout État, l’Union européenne ou toute autre organisation internationale peut, au moment de la signature ou au moment du dépôt de son instrument de ratification, d’acceptation, d’approbation ou d’adhésion, préciser le ou les territoires auxquels s’applique la présente convention.
2) Tout État, l’Union européenne ou toute autre organisation internationale peut, à toute date ultérieure, par une déclaration adressée au Secrétaire général du Conseil de l’Europe, étendre l’application de la présente Convention à tout autre territoire désigné dans la déclaration. En ce qui concerne ce territoire, la Convention entrera en vigueur le premier jour du mois suivant l’expiration d’une période de trois mois après la date de réception de ladite déclaration par le Secrétaire Général.
3) Toute déclaration faite en vertu des deux paragraphes précédents peut être retirée, en ce qui concerne tout territoire désigné dans cette déclaration, par notification adressée au Secrétaire général. Le retrait prendra effet le premier jour du mois suivant l’expiration d’une période de six mois après la date de réception de ladite notification par le Secrétaire général.
Article 25 Réservations
Aucune réserve ne peut être faite en ce qui concerne les dispositions de la présente convention.
Article 26 Dénonciation
1) Toute partie peut à tout moment dénoncer la présente convention par notification adressée au Secrétaire général du Conseil de l’Europe.
2) Cette dénonciation prend effet le premier jour du mois suivant l’expiration d’une période de six mois après la date de réception de la notification par le Secrétaire général.
Article 27 Notifications
Le Secrétaire général du Conseil de l’Europe notifiera aux États membres du Conseil et à toute partie à la présente convention :
a. toute signature ;
b. le dépôt de tout instrument de ratification, d’acceptation, d’approbation ou d’adhésion ;
c. toute date d’entrée en vigueur de la présente convention conformément à ses articles 22, 23 et 24 ;
d. tout autre acte, notification ou communication ayant trait à la présente convention.
Article … du Protocole : signature et entrée en vigueur
1) Le présent Protocole est ouvert à la signature des Parties à la Convention. Il sera soumis à ratification, acceptation ou approbation. Les instruments de ratification, d’acceptation ou d’approbation sont déposés auprès du Secrétaire général du Conseil de l’Europe.
2) Le présent Protocole entre en vigueur le premier jour du mois qui suit l’expiration d’une période de [trois] mois après la date à laquelle toutes les Parties à la Convention ont exprimé leur consentement à être liées par le Protocole conformément aux dispositions du paragraphe 1 du présent article.
Toutefois, le présent Protocole entrera en vigueur à l’expiration d’un délai de [deux] ans à compter de la date à laquelle il aura été ouvert à la signature, à moins qu’une Partie à la Convention n’ait notifié au Secrétaire général du Conseil de l’Europe une objection à son entrée en vigueur. Le droit de soulever une objection est réservé aux États qui étaient parties à la convention à la date d’ouverture à la signature du présent protocole.
4. si une telle objection est notifiée, le protocole entre en vigueur le premier jour du mois suivant l’expiration d’une période de [trois] mois après la date à laquelle la partie à la convention qui a notifié l’objection a déposé son instrument de ratification, d’acceptation ou d’approbation auprès du Secrétaire général du Conseil de l’Europe.
5. à compter de l’entrée en vigueur du présent Protocole, à l’égard d’une Partie ayant fait une ou plusieurs déclarations en application de l’article 2 de la Convention originale, cette ou ces déclarations cesseront d’avoir effet.