Quelle règlementation pour les données non personnelles ?

Publié le par - 4130 vues

Le 14 novembre 2018, un règlement européen relatif aux données non personnelles a été adopté. Il vise à favoriser la mobilité de données non personnelles en supprimant les règles nationales imposant des exigences de localisation des données. Avec ce nouveau règlement, les institutions européennes espèrent que le libre flux des données au sein de l’Union jouera un rôle important dans la croissance et l’innovation fondées sur les données.

L’économie des données et les obstacles à son développement

Le couplet est connu : les données (« data ») sont le nouveau fuel de l’économie. Les technologies de l’information et de la communication ne constitueraient plus un secteur d’activité parmi d’autres, mais la base de tous les systèmes économiques innovants et des sociétés modernes. Les données électroniques sont au centre de ces systèmes et peuvent générer une grande valeur lorsqu’elles sont analysées ou combinées à des services et des produits. Le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G va de pair avec une offre de plus en plus variée de services de traitements de données. Ceux-ci peuvent être prestés dans les locaux de l’utilisateur ou externalisés chez le fournisseur de services. Les traitements visés sont divers depuis le stockage des données (infrastructure à la demande) jusqu’au traitement des données sur des plateformes (plateforme à la demande) ou dans des applications (logiciel à la demande).

D’où l’importance de pouvoir garantir un grand marché permettant à chaque fournisseur de traitement la possibilité de prester ses services indépendamment de sa localisation ou de celles des traitements offerts. Le règlement s’appliquera d’ailleurs au traitement des données au sens le plus large, quel que soit le type de système informatique utilisé.

Le règlement identifie cependant, dans ses considérants, deux types d’obstacles au développement de la mobilité et du grand marché des données : les réglementations nationales en matière de localisation des données d’une part, et les pratiques menant à une dépendance à l’égard des fournisseurs dans le secteur privé d’autre part. Elles entravent tant la libre circulation des données que la libre prestation de service des fournisseurs de données ou leur liberté d’établissement.

Les exigences nationales de localisation des données sont définies comme suit par le règlement 2018/1807 (article 3.5) : « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d’un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE, qui impose le traitement des données sur le territoire d’un État membre donné ou qui entrave le traitement des données dans un autre État membre ».

A titre d’exemple de réglementations nationales, en Allemagne, une loi oblige les compagnies Telecom a stocker les métadonnées sur le territoire Allemand uniquement.

En ce qui concerne les pratiques de fournisseurs du secteur privé, il est fait référence aux questions qui dissuadent ou empêchent les utilisateurs des services de traitement des données de transférer leurs données d’un fournisseur de services à un autre ou de les rapatrier vers leur propre système informatique, en fin de contrat notamment (absence de portabilité).

Il est important de souligner que le présent règlement concerne les données entendues comme  les données autres que les données à caractère personnel au sens de l’article 4.1 du GDPR.

Les principaux points du  règlement

Le règlement prévoit des règles spécifiques concernant  trois points principaux : la libre circulation des données, la disponibilité des données pour les autorités compétentes, et le portage des données.

Le règlement s’applique au traitement de données électroniques autres que les données à caractère personnel dans l’Union, qui est soit fourni en tant que service aux utilisateurs résidant ou disposant d’un établissement dans l’Union soit effectué par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins (article 2).

a) Libre circulation des données

L’article 4 du règlement pose le principe de l’interdiction des exigences de localisation des données, sauf si elles sont justifiées par des motifs de sécurité publique. Le concept de sécurité publique, au sens de l’article 52 du traité sur le fonctionnement de l’Union européenne et tel que l’interprète la Cour de justice, englobe à la fois la sécurité intérieure et extérieure d’un État membre, mais aussi les questions de sûreté publique, afin, en particulier, de faciliter la détection des infractions pénales, les enquêtes et les poursuites en la matière.

C’est donc un important travail législatif qui va devoir être mis en place au sein des Etats membres dont la réglementation prévoit des mesures de localisation des données. Le règlement prévoit en effet que les États membres doivent veiller, d’ici le 30 mai 2021, à ce que toute exigence existante de localisation des données qui est établie dans une disposition législative, réglementaire ou administrative de nature générale et qui n’est pas conforme au principe établi soit abrogé.

Les Etats membres doivent également communiquer tout projet d’acte qui introduit une nouvelle exigence de localisation à la Commission, ainsi qu’une justification des mesures existantes.

Le règlement prévoit également la création d’un point d’information unique en ligne national où seront publiées toutes les exigences de localisation des données.

b) Disponibilité des données pour les autorités compétentes et procédure de coopération entre les autorités

D’après le Règlement, les exigences de localisation des données trouvent souvent leur origine dans un manque de confiance dans le traitement transfrontière des données, découlant de l’indisponibilité présumée de celles-ci à des fins d’intervention des autorités compétentes des États membres, comme l’inspection et l’audit dans le cadre d’un contrôle réglementaire ou prudentiel.

Par conséquent, le règlement précise qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre (art. 5).

Lorsqu’une autorité compétente demande l’accès aux données d’un utilisateur mais que cet accès lui est refusé, cette autorité peut solliciter l’assistance d’une autorité compétente dans un autre Etat membre. Cette demande d’assistance se fait via la création par le règlement d’un point de contact unique. La création de ce point de contact permet de faciliter la transmission de la demande à l’autorité compétente.

Le règlement prévoit également que les Etats membres peuvent imposer des sanctions en cas de manquement à l’obligation de fournir des données.

c) Portage des données

Le règlement introduit une possibilité de portage des données. La capacité de transférer des données sans entrave est, selon les instances européennes, un élément clé pour faciliter le choix de l’utilisateur et favoriser une concurrence effective sur les marchés pour les services de traitement des données.

Il s’agit ici d’un concept comparable à celui de droit à la portabilité des données à caractère personnel introduit par l’article 20 du GDPR (voyez notre précédent article à ce sujet ici ).

En effet, alors que les consommateurs individuels bénéficient du droit à la portabilité mentionné ci-avant, il n’existe actuellement pas de mesures facilitant le changement de fournisseur de services pour les utilisateurs professionnels (formats standards ouverts, structurés et lisibles par machine etc.).

Le règlement privilégie à cet effet l’autorégulation et prévoit que les informations et exigences fonctionnelles détaillées concernant le portage des données devraient être définies par les acteurs du marché sous la forme de codes de conduite de l’Union pouvant comporter des conditions générales contractuelles types. Le règlement (article 6) prévoit que « La Commission encourage les fournisseurs de services à terminer le développement des codes de conduite au plus tard le 29 novembre 2019 et à les mettre effectivement en œuvre  au plus tard le 29 mai 2020 ».

Quid de la protection des données à caractère personnel ?

Le cadre juridique de l’Union relatif à la protection de la vie privée, et en particulier le règlement GDPR et les directives (UE) 2016/680 et 2002/58/CE du Parlement européen et du Conseil, n’est pas remis en question par le présent règlement.

Premièrement, le règlement ne concerne que les données qui ne sont pas considérées comme étant des données à caractère personnel. Dans le cas d’un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le règlement s’applique aux données de l’ensemble à caractère non personnel. Finalement, lorsque les données à caractère personnel et les données à caractère non personnel d’un ensemble sont inextricablement liées, le règlement est sans préjudice de l’application du GDPR (article 2.2).

Il est important de souligner cependant que protection des données à caractère personnel et libre circulation des données, ne sont pas des termes incompatibles. En effet, l’article 1.3  du GDPR rappelle que «La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ».

Le règlement en question établit le même principe de libre circulation (avec les limitations mentionnées ci-avant).

Entrée en vigueur et entrée en application

Le règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. Il s’applique six mois après la date de sa publication. Des délais plus longs sont cependant octroyés aux Etats membres pour les différents aspects mentionnés ci-avant.

Plus d’infos ?

Le règlement est téléchargeable en annexe.

Droit & Technologies

Annexes

Règlement UE 2018/1807

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK