Une CNIL toujours plus présente
légitime qui ne porte pas atteinte aux droits de la personne concernée puisqu'il s'agit
de son droit à l'information... A la différence des cessions opérées entre
administrations, la directive prévoit, lors de la cession de données d'un fichier privé,
une obligation d'informer les personnes concernées qui peuvent ainsi s'y opposer
encore que là encore, des exceptions soient possibles.
L'absence de formalités préalables présente de graves inconvénients. Seuls
les fichiers dont les données sont susceptibles d'être communiquées ou destinées à
être communiquées et ne proviennent pas de sources généralement accessibles,
doivent être notifiés à l'autorité de contrôle. Ces dispositions semblent découler
d'une conception selon laquelle la personne court peu de risque lorsque
l'information est conservée par l'utilisateur d'origine mais que ce risque est réel
lorsque l'information est transmise à des tiers. Cette conception n'est pas celle
retenue jusqu'à présent par l'ensemble des législations existantes, en particulier
s'agissant des traitements du secteur public. Par exemple, de nombreux
traitements utilisés uniquement à l'intérieur d'un organisme sont considérés en
France comme des fichiers sensibles tels ceux de l'administration fiscale, de la
police ou des organismes de crédit, des hôpitaux... etc... La notification
envisagée qui est portée sur un registre tenu par l'autorité de contrôle, laisse à
cette dernière un rôle réduit. Il s'agit d'un simple enregistrement qui ne lui donne pas
la possibilité d'exprimer une opinion ou un avis. Pour le secteur privé, il n'est pas
indiqué que cette notification doit être préalable à la cession des données. La
procédure prévue ne permet ni à l'individu, ni à l'autorité de contrôle d'avoir
connaissance de l'existence des fichiers, connaissance qui est pourtant la
condition première de tout contrôle.
Un autre point préoccupant est la quasi inexistence des pouvoirs du
Groupe de protection des données. Son indépendance même n'est pas assurée
puisque ses travaux sont placés non pas sous la responsabilité d'un président élu,
mais sous celle d'un représentant de la Commission.
C. Les améliorations nécessaires
Si l'on veut véritablement établir dans l'Europe des 12, une protection de
“ haut niveau ”, il convient de porter remède aux principales insuffisances du projet
de texte. Ces modifications paraissent nécessaires à l'ensemble des commissaires
européens avec naturellement parfois, quelques divergences sur les modalités
pratiques à adopter.
LES PRECISIONS A APPORTER A LA NOTION DE LEGITIMITE
Dans la mesure où il n'est pas prévu de formalités préalables à la
création des traitements, le projet de directive tente de définir a priori les
conditions de leur légitimité. Cette approche comme on l'a vu, laisse une trop
grande place au pouvoir d'appréciation des responsables des fichiers et aboutit
en définitive, à une regrettable confusion des finalités et des destinataires.
56