Le 13 septembre 2017, Le Parlement et le Conseil de l’UE ont publié une proposition de règlement relatif à un cadre pour libre circulation des données à caractère non personnel dans l’UE. Celle-ci fait suite à la Communication de la Commission «Créer Une Économie Européenne Fondée Sur Les Données».
Dans sa proposition, la Commission avance un nouveau principe consistant à supprimer les exigences en matière de localisation des données à caractère non personnel, les données techniques, tout en garantissant aux autorités compétentes des droits d’accès aux données à des fins de contrôle réglementaire.
Ces nouvelles règles viendraient se greffer au règlement général sur la protection des données (RGPD), en vue de créer un espace européen commun des données, élément clé de la stratégie pour un marché unique numérique.
Qu’entend-on par Données techniques, ou « Données à caractère non personnel »?
L’article 3.1 de cette proposition de règlement définit ce types de données par référence à tout ce qui n’est pas compris dans la définition des données à caractère personnel en vertu de l’article 4, paragraphe 1, du règlement (UE) 2016/679:
« Sont des « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
Dans quel contexte s’inscrit cette proposition de règlement et quelle limite s’impose-t-il?
Dans la mesure où cette proposition concerne la prestation des services d’hébergement ou de traitement des données à caractère non personnel, elle ne va à l’encontre d’aucune norme existante. Elle s’inscrit dans une perspective de création d’un marché unique européen efficace pour ces services. Elle est donc conforme tant à la directive sur le commerce électronique qu’à la directive «Services».
Cette proposition exclut expressément les données à caractère personne. Le cadre juridique de l’Union en matière de protection des données, en particulier le règlement (UE) 2016/679 (RGPD), la directive (UE) 2016/680 (directive «police») et la directive 2002/58/CE (directive vie privée et communications électroniques), ne s’appliquent pas.
Que faut-il retenir de cette proposition de règlement ?
Ce règlement a pour objet de lever les obstacles à libre circulation des données dans l’UE. Pour les entreprises, les administrations mais aussi les particuliers. Cela s’articulera autour de quatre points de repères:
Le règlement contribuera au bon fonctionnement du marché intérieur
Il permettra de supprimer les normes nationales dépassées entravant la liberté des entreprises de choisir un lieu pour le stockage et le traitement des données. Les Etats membres devront donc communiquer à la Commission leurs nouvelles exigences en matières de localisation des données.
Le règlement instaurera des garanties pour les autorités compétentes nationales
Ces autorités auront un accès aux données stockées et traitées dans un autre Etat membre comme si celles-ci étaient stockées et traitées dans leur propre territoire.
Le règlement favorisera l’élaboration de codes de conduite autorégulatifs
Ces codes permettront de faciliter le changement de fournisseur de service en « Cloud » en informant les utilisateurs de la portabilité de leurs données.
Le règlement créera un point de contact unique dans chaque Etat membre
L’ensemble de ces points de contact communiqueront entre eux et avec la Commission pour garantir l’application des nouvelles règles relative à la libre circulation des données à caractère non personnel.
Quels sont ces obstacles à la mobilité des données techniques ?
Actuellement, il existe des restrictions imposées par les autorités publiques de certains États membres en matière de localisation des données. Cela constitue des obstacles à la circulation des données entre les systèmes informatiques. Ce qui génère une insécurité juridique et un déficit de confiance.
Dans la pratique, cela signifie qu’une entreprise peut se trouver ou s’estimer dans l’impossibilité d’utiliser pleinement les services de « Cloud », de choisir les endroits présentant le meilleur rapport coût efficacité pour ses ressources informatiques, de changer de fournisseur de services ou de portabiliser ses données pour les rapatrier vers ses propres systèmes informatiques.
Avec le principe de la libre circulation des données à caractère non personnel, les entreprises pourront stocker les traiter les données par le biais d’un service choisi conformément au libre choix évoqué ci-avant et elles pourront investir de nouveaux marchés sans craintes.
Pourquoi lever ces obstacles à la mobilité des données techniques ?
Afin d’exploiter au mieux une économie fondée sur les données, il est inévitable que celles-ci puissent circuler et être exploitées dans l’ensemble des Etats membres.
Les prévisions quant à l’impact de la suppression des restrictions en matière de localisation des données donnent à réfléchir:
- Permettre à l’économie fondée sur les données de connaître un expansion importante et de porter sa croissance à 739 milliards d’euros en 2020, doublant ainsi sa valeur pour atteindre 4% du PIB;
- Faire baisser le coût des services de données et offrir une plus grande souplesse aux entreprises pour l’organisation de la gestion et de l’analyse des données.
- Permettre à ces mêmes entreprises d’être libre dans leur utilisation des données mais aussi dans leur choix des fournisseurs. La croissance du PIB qui en découlerait pourrait atteindre 8 milliards d’euros par an.
En conclusion
Ce nouveau règlement aurait donc pour vocation d’empêcher les doublons et de garantir une vraie cohérence avec les instruments juridiques existants dans l’UE. L’objectif avéré est donc bel et bien d’appliquer les règles de libre de circulation dans l’UE au traitement et au stockage de données électroniques techniques, autres que les données à caractère personnel. Ce nouvel outil viendrait donc parfaitement compléter le RGPD et offrirait une approche globale et cohérente en matière de libre circulation et de portabilité des données dans l’UE.
Notre conseil :
Le nouveau règlement n’instaurerait pas une liberté absolue car il précise que toutes les exigences de sécurité qui s’appliquent actuellement aux entreprises et aux administrations publiques resteront applicables même si celles-ci choisissent d’assurer le stockage ou le traitement des données dans un autre État membre ou de recourir aux services de « Cloud ».
En conséquence, il convient d’attirer l’attention en tant qu’entreprise sur vos responsabilités en matière de sécurité dans le stockage et le traitement de données dans un contexte transnational.