Pour une protection des flux transfrontières de données
gouvernements des pays représentés, à la Commission des Communautés et au
Parlement européen.
De manière générale, les participants à cette réunion ont critiqué le projet.
Le texte est jugé complexe et mal structuré. A l'exception du “ Registrar ” du
Royaume-Uni, tous les commissaires ont considéré que, s'il n'était pas
substantiellement revu et amendé, son application aboutirait à abaisser le niveau de
protection existant actuellement dans leur pays.
UN TEXTE COMPLEXE ET MAL STRUCTURE
Le projet de directive qui constitue un “ patchwork ” de législations est
complexe. Certains de ses articles se réfèrent à des concepts ou à des dispositions
de différentes lois nationales : allemande en ce qui concerne les notions de
légitimité, de verrouillage ou de relation de confiance quasi-contractuelle,
française pour ce qui a trait à la collecte des informations et aux profils,
britannique pour le rôle limité de l'autorité nationale de contrôle à l'égard des
formalités préalables et l'accent mis sur les codes de déontologie. A l'évidence
l'harmonisation de concepts et de règles provenant de traditions juridiques
différentes sera difficile, de même que leur interprétation dans des contextes
nationaux particuliers.
Le texte comporte plusieurs notions mal explicitées et certaines définitions
proposées gagneraient à être revues. Ainsi, il semble préférable de se référer à la
notion de “ traitement de données ” plutôt qu'à celle de “ fichier ” pour définir le
champ d'application de la directive. Si la notion de fichier est nécessaire, on ne
peut construire un dispositif contraignant sur cette seule notion qui peut faire l'objet
d'interprétations diverses et restrictives comme le montre l'appréciation parfois
divergente des tribunaux français. La définition de “ donnée anonyme ” proposée, a
le défaut de faire dépendre l'anonymat d'une information du coût “ en personnel, en
frais et en temps ”. Il serait plus avisé de faire l'économie d'une définition spécifique
de la notion qui, sans inconvénient, peut être définie a contrario de la notion de
“ donnée à caractère personnel ”. Une remarque voisine concerne la suppression
de la référence “ à l'état de l'art en la matière et (au) coût de la mise en œuvre ”,
pour la mise en place de mesures de sécurité appropriées. Tout transfert de données
vers un pays tiers est conditionné par l'existence d'un “ niveau de protection
adéquate ”. Cette expression comparée à l'expression “ protection équivalente ”
employée par le Conseil de l'Europe, traduit une exigence moindre. Cependant, il
convient de noter que dans le train de mesures accompagnant la directive, une
décision du Conseil porte sur l'ouverture de négociations en vue de l'adhésion de la
CEE à la convention 108 du Conseil de l'Europe. Par conséquent, si la CEE ratifie
cette convention, l'ensemble des pays-membres devront l'appliquer et celle-ci parle
de dispositions “ équivalentes ” et non “ adéquates ”.
Le plan du projet manque de rigueur. Par exemple, les dispositions
relatives à la qualité des données et aux droits des personnes, qui sont des
53