Pour une protection des flux transfrontières de données
Un traitement dans le secteur privé peut être considéré comme légitime dès
lors qu'il y a consentement de la personne concernée, existence d'une relation de
type contractuel ou que les données proviennent de sources accessibles
au public. Il est également indiqué que “ le responsable du fichier poursuit un intérêt
légitime à condition que l'intérêt de la personne concernée ne prévale pas ”. Les
possibles extensions de finalité ne sont pas évoquées; toute communication doit
cependant être compatible avec la finalité du fichier. A la différence de ce qui est
prévu pour les cessions opérées entre administrations, le responsable du fichier
doit lors de la première communication, en informer les personnes concernées
qui peuvent s'opposer à la cession ou au traitement. Des exceptions sont possibles
mais seulement sur autorisation dérogatoire de l'autorité de contrôle. Une notification
auprès de cette dernière, doit être faite de l'établissement des fichiers dont les
données sont destinées à être communiquées et ne proviennent pas de sources
généralement accessibles au public. Cette notification doit comprendre un minimum
de renseignements et notamment la finalité du fichier.
Les droits de la personne concernée
Les articles relatifs aux droits des personnes concernées reprennent des
dispositions de la convention 108 du Conseil de l'Europe et de la loi française du 6
janvier 1978 : droit à l'information préalable, droit d'opposition, droits d'accès et de
rectification. L'article 2 de la loi de 1978 sur l'interdiction des décisions prises sur le seul
fondement d'un traitement donnant une définition du profil ou de la personnalité, qui
n'existe dans aucun autre texte, est consacré dans la directive. Les exceptions possibles
au droit d'accès sont les exceptions habituellement prévues avec en plus, des
exceptions pour des motifs relatifs aux secrets des affaires ou à un intérêt économique
et financier sérieux d'un Etat membre ou de la CEE. Il est reconnu cependant dans ces
cas, un droit d'accès indirect puisque l'autorité de contrôle doit pouvoir procéder à des
vérifications sur la demande de la personne fichée.
La qualité des données
Les grands principes de la Convention du Conseil de l'Europe sont ici
repris : collecte loyale et licite; enregistrement pour des finalités explicites et
légitimes; données adéquates, pertinentes et non excessives par rapport aux
finalités; données exactes et mises à jour; durée de conservation limitée à ce qui
est nécessaire.
Certaines données, par nature plus sensibles que les autres, ne doivent
pas faire l'objet d'un traitement automatisé. Ce sont les mêmes que celles que
prévoit la loi française auxquelles il faut ajouter celles de la convention du Conseil
de l'Europe. L'accord exprès c'est-à-dire écrit de l'intéressé peut permettre un
traitement automatisé de ces informations. Les États membres peuvent prévoir
des dérogations pour des motifs d'intérêt public importants sur la base d'une loi.
Les condamnations pénales sont obligatoirement conservées dans des
51