Dans le but de favoriser les innovations liées au big data, à l’internet des objets (l’IoT) et à l’intelligence artificielle (l’AI où les développements sont quasi quotidiens), l’Union européenne s’est doté d’un Règlement favorable à la lire circulation des données non personnelles entre les Etats membres. Analyse de la situation après le vote du texte au Parlement européen.

Parcours législatif de la proposition de Règlement

Avec la transformation numérique de l’économie qui s’accélère sans cesse, les technologies de l’information et des communications ne constituent plus un secteur d’activité parmi d’autres. En effet, ces technologies sont à la base de tous les systèmes économiques innovants des sociétés modernes. Les données électroniques sont au centre de ces systèmes et peuvent générer une valeur énorme lorsqu’elles sont analysées ou combinées à des services et des produits.

Les chaînes de valeur des données sont le résultat de diverses activités. Citons, en exemple : création et collecte; agrégation et organisation; stockage et traitement; analyse, commercialisation et distribution; utilisation et réutilisation. Le fonctionnement efficace et efficient du stockage et du traitement des données est un élément fondamental de toute chaîne de valeur. Toutefois, le fonctionnement et le développement de l’économie des données dans l’Union européenne sont actuellement entravés par des exigences nationales de localisation. Ces exigences nuisent particulièrement à la mobilité des données et au marché intérieur.

La libre circulation des données non personnelles (le « free flow of non-personal data ») a été épinglée dès 2015 comme l’un des 16 éléments clef devant booster le marché unique digital européen. Lors de sondages ou d’études, il était courant que les répondants mettent en évidence les nombreuses restrictions nationales en matière de localisation/traitement des données comme ayant une incidence négative (surcoût) sur leur stratégie commerciale.

C’est à ce titre que, le 13 septembre 2017, la Commission européenne a présenté une proposition de Règlement visant à éliminer les obstacles à la libre circulation des données non personnelles à travers les frontières européennes .

La commission IMCO (« Internal Market and Consumer protection ») du Parlement européen a adopté son rapport le 4 juin 2018, ainsi que le mandat de négociation de son rapporteur pour engager des négociations interinstitutionnelles avec le Conseil. Le 19 juin 2018, un un accord politique a été conclu en trilogue (Parlement européen-Conseil-Commission européenne). Le Parlement européenne a adopté formellement le texte en séance plénière le 4 octobre 2018.

La libre circulation des données sera instaurée comme ”la cinquième liberté au sein de l’Union européenne“.

Contenu du texte

Dans ses attendus, le texte évoque l’utilisation des données non personnelles ou anonymisées pour l’internet des objets, l’intelligence artificielle et l’analyse des mégadonnées à des fins scientifiques ou technologiques pour justifier qu’elles puissent circuler dans l’UE, au même titre que les biens, les capitaux, les services et les personnes. De nombreux domaines tels que la science et la médecine sont concernés. De même, la libre circulation de ces données entre les Etats-Membres de l’Union européenne pourrait simplifier l’échange de données judiciaires ou fiscales, très utile pour la justice et les autorités.

La future réglementation (tout en ne donnant pas de définition de ce qu’il faut entendre par donnée non personnelle) précise qu’elle ne concerne pas les données personnelles ni les données produites par les autorités et organismes publics participant de l’organisation interne des Etats membres.

Une fois la nouvelle règlementation en vigueur, les Etats membres n’auront plus le droit d’imposer le stockage et le traitement des données numériques sur leur territoire ou un autre territoire de l’UE. Les risques pour la sécurité nationale/publique seront la seule exception. Vingt-quatre mois après son entrée en vigueur, les Etats membres devront avoir supprimé toutes leurs exigences de localisation et avoir notifié à la Commission européenne les exigences pour sécurité publique qu’ils entendent maintenir.

En revanche, dans le cas de données à caractère personnel et non personnel non dissociablesce sera le RGPD qui prévaudra comme pour les données purement à caractère personnel.

Il restera permis aux parties d’organiser contractuellement (et donc librement) le choix de localisation des données issues de leurs activités.

Les données non personnelles doivent restées disponibles à des fins de contrôle réglementaire de la part des autorités nationales compétentes (judiciaires ou fiscales, par exemple). À cet effet, les utilisateurs ne peuvent refuser de donner aux autorités compétentes accès à des données au motif que celles-ci sont stockées ou traitées dans un autre État membre. Lorsqu’une autorité compétente a épuisé tous les moyens possibles d’avoir accès à des données, elle peut demander l’assistance d’une autorité dans un autre État membre s’il n’existe aucun mécanisme de coopération spécifique.

La Commission européenne est chargée d’encourager les fournisseurs de services et les utilisateurs professionnels à élaborer et appliquer des codes de conduite précisant les informations sur les conditions de portage des données (y compris les exigences techniques et fonctionnelles) que les fournisseurs devraient mettre à la disposition de leurs utilisateurs professionnels de façon suffisamment détaillée, claire et transparente avant la conclusion d’un contrat.

Entrée en vigueur

Le texte doit entrer en vigueur six mois après sa publication au Journal officiel de l’Union européenne.

Egalement six mois après la publication de ce Règlement, la Commission européenne devra publier des guidances relatives à l’interaction entre ce texte et le RGPD/GDPR, preuve s’il en est que le législateur européen s’attend à des difficultés de compréhension sur le sujet surtout par rapport aux paquets de données mixtes (composés de données personnelles et non personnelles).

Pour mettre adéquatement votre société en conformité avec le RGPD/GDPR, un seul livre: le « Guide pratique du RGPD » publié aux Editions Bruylant.

Legal GDPR Expert
Share This