Pour une protection des flux transfrontières de données
Le contenu en lui-même de la notion de légitimité n'appelle pas d'objection :
il s'agit de la cohérence du fichier avec la vocation ou la mission de l'organisme
qui le tient. Ce qui est critiquable c'est le rôle que lui fait jouer le projet de directive.
Finalement, une des expressions les plus satisfaisante de cette notion de légitimité qui
permet en même temps d'établir la base d'un contrôle, est le principe de finalité.
Ce principe qui consiste à déterminer le but d'un traitement et à obliger le
responsable du fichier à s'y tenir, ne laisse pas à ce seul responsable
l'appréciation de la légitimité et évite la tentation des interconnexions. Encore faut-il
que cette finalité soit déclarée et enregistrée quelque part.
LES FORMALITÉS PRÉALABLES A RÉINTRODUIRE
La connaissance des traitements et de leurs caractéristiques est en effet une
exigence essentielle. Seules des formalités préalables à leurs mises en œuvre ou à tout
le moins des notifications systématiques, peuvent permettre un contrôle a priori et
une action préventive de l'autorité de contrôle et par exemple, une appréciation de
la légitimité et de la finalité des traitements, de la pertinence et de la durée de
conservation des informations, des destinataires, etc... On peut imaginer à cet
égard plusieurs formules d'une rigueur décroissante. La plus rigoureuse consisterait
à reconnaître à une autorité de contrôle le pouvoir d'analyser les projets de
traitement, de faire des observations voire de s'opposer à leur mise en oeuvre. Un
degré en dessous, on pourrait réserver un sort différent au secteur public ou au secteur
privé. Puis, ce serait un système où seuls les traitements de certains secteurs
devraient être soumis à l'approbation de l'organe de contrôle, ceux des autres
secteurs étant considérés comme suffisamment banalisés. A un degré moindre
encore, on aurait une simple déclaration donnant quand même à l'instance de
contrôle la possibilité d'examiner les traitements et de réagir. Enfin, dispositif le
plus faible, la création des traitements pourrait n'être soumise qu'à une simple
publication dans un bulletin officiel, ce qui permettrait au moins encore à la
commission d'être informée de leur existence. C'est là un minimum exigible.
De nombreuses dispositions de la directive n'ont de sens que si l'existence
des fichiers est connue. On voit mal par exemple comment l'individu peut exercer
ses droits d'accès et de rectification s'il ignore qui le fiche et où il est fiché.
L'AUTORITÉ A DONNER AU GROUPE EUROPEEN DE
PROTECTION DES DONNÉES
L'existence d'une instance de protection européenne indépendante et
pouvant exercer une influence véritable sur et dans la CEE, constitue un élément
essentiel d'un dispositif efficace. A cet égard, l'instance prévue composée de
représentants des autorités nationales de contrôle et d'un représentant de la
Commission qui la préside, devrait pouvoir élire son président. Compte tenu du
57