Dans le cadre de sa stratégie pour le marché unique du numérique, la Commission européenne avait annoncé en janvier 2017 le lancement de plusieurs initiatives pour une économie européenne fondée sur les données. Dans ce contexte, le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai dernier. Par ailleurs, la directive sur la réutilisation des informations du secteur public est actuellement en cours de refonte. A ce titre, la proposition de refonte de cette directive a fait l’objet d’un accord en date du 25 octobre 2018 au sein du Comité des représentants permanents. Ainsi, un mandat est donné à la présidence du Conseil pour entamer des discussions avec le Parlement européen.

Mathias Avocats fait le point sur la proposition de règlement concernant le cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (UE). Le Conseil et le Parlement européen ont voté le texte respectivement le 9 novembre et le 4 octobre dernier. Le règlement devrait être signé par les deux institutions au cours de la session plénière du Parlement de la mi-novembre, puis publié au journal officiel de l’UE. Il sera directement applicable dans tous les États membres six mois après sa publication.

Pourquoi faciliter la libre circulation des données non personnelles ?

Les technologies dépendantes des données jouent un rôle de plus en plus important dans l’économie européenne et, de ce fait, le libre flux des données non personnelles dans l’UE est devenue un enjeu important. Il s’agit par exemple des données générées par des machines ou des données commerciales : métadonnées, données techniques relatives aux machines industrielles, etc.

La Commission a souhaité organiser la suppression des restrictions en la matière afin de favoriser la croissance, notamment dans les domaines tels que l’intelligence artificielle ou les objets connectés. En effet, le caractère fragmenté des législations en la matière au sein des Etats membres constituerait un obstacle à cette croissance. La Commission déplore particulièrement l’impact négatif sur la concurrence entre les services de cloud computing au sein de l’Union et, partant, le manque de mobilité des données. Selon cette dernière, les politiques de localisation des données auraient fortement restreint les capacité des entreprises de recherche et de développement à organiser la collaboration entre entreprises, universités et autres organismes de recherche dans une perspective d’innovation.

Comment faciliter la libre circulation des données non personnelles ?

La réforme interdit les restrictions liées à la localisation des données imposées par les États membres pour ce qui concerne le lieu de stockage ou de traitement des données à caractère non personnel, excepté pour des raisons de sécurité publique (article 4 du règlement). Il est exigé de la part des Etats membres d’abroger toute disposition contraire dans un délai de vingt-quatre mois à compter de l’entrée en application du règlement. En outre, les Etats membres devront publier en ligne, sur un seul et même site, les détails relatifs aux exigences de localisation contenues dans la réglementation nationale. Cette liste fera l’objet d’une mise à jour régulière. La Commission européenne publiera sur son site les liens hypertexte de chacun des sites mis en ligne par les Etats membres.

Par ailleurs, le règlement traite de l’effet de blocage des fournisseurs (ou « vendor lock-in ») considéré comme étant un obstacle important à la libre circulation des données. Cependant, le recours à des codes de conduite élaborés par les fournisseurs de services eux-mêmes – comme le prévoit le règlement – permettra-t-il de mettre fin à cet effet de blocage ? A noter que cet effet de blocage est notamment mis en oeuvre par les fournisseurs à travers des clauses contractuelles. L’article 6 du règlement précise en outre que ces codes de conduite doivent notamment contenir des bonnes pratiques relatives au changement de fournisseur de service et à la portabilité des données dans un format structuré et couramment utilisé.

Enfin, les autorités des États membres continueront d’avoir accès à ces données, y compris lorsqu’elles sont localisées dans un autre pays. Une procédure de coopération est en effet prévue en la matière aux articles 5 et 7 du règlement.

Comment concilier RGPD et règlement sur le libre flux des données non personnelles ?

L’article 2 de cette nouvelle réglementation prévoit – de manière lacunaire – que lorsque les données personnelles et les données non personnelles sont inextricablement liées, ladite réglementation ne doit pas porter atteinte à l’application du RGPD.

Cependant, la Commission a d’ores et déjà annoncé qu’elle publierait des lignes directrices concernant l’interaction entre le règlement sur le libre flux des données et le RGPD, notamment en ce qui concerne leur application à des données dites mixtes.