Projet de Règlement communautaire relatif à la libre circulation des données à caractère non personnel au sein de l’Union Européenne
Le 13 septembre 2017, la Commission européenne a rendu publique une proposition de Règlement relatif à la libre circulation des données à caractère non personnel. […] Ce texte constitue une étape supplémentaire de l’émergence d’un « droit de la donnée » qui transcende et traverse les branches traditionnelles du droit.
Le 13 septembre 2017, la Commission européenne a rendu publique une proposition de Règlement relatif à la libre circulation des données à caractère non personnel. Complétant l’arsenal réglementaire protégeant les données à caractère personnel (incarné par le très médiatique Règlement Général sur la Protection des Données 2016/679 – « RGPD » – adopté en avril 2016), ce texte est le premier à s’appliquer aux données à caractère non personnel, prises comme une catégorie en tant que telle. Il constitue une étape supplémentaire de l’émergence d’un « droit de la donnée » qui transcende et traverse les branches traditionnelles du droit. Retour sur ce projet de texte et ses apports.
1/- Pourquoi ce texte ?
Selon la Commission européenne, la suppression des restrictions liées à la localisation des données, qu’organise ce texte, devrait permettre à l’économie fondée sur les données de doubler sa valeur pour atteindre 4 % du PIB européen en 2020. L’objectif affiché est de permettre à l’Europe, grâce à ce texte et au RGDP, de s’afficher comme un coffre-fort numérique, proposant au reste du monde des prestations de traitement de données sécurisées, répondant à une législation harmonisée.
2/- A quelles données s’appliquera ce futur Règlement ?
Il s’appliquera aux données qui répondent à deux caractéristiques :
- être stockées ou traitées sous une forme numérique ; c’est une différence notable avec le RGPD qui s’applique indifféremment aux données numériques et non numériques ;
- ne pas répondre à la définition de données à caractère personnel ; cette définition négative a pour effet de conférer à ce projet de texte un champ d’application très large (en l’absence de définition de la notion de « donnée(s) »), tout en évitant les chevauchements avec le RGPD.
En pratique, il pourra s’agir de données anonymisées (de manière irréversible), de données relatives à des personnes morales (par ex. leurs données financières ou d’exploitation), de flux d’informations boursières, de données relatives à des produits, de données géographiques (à l’exclusion de toute géolocalisation de personnes physiques)…
3/- Quels opérateurs économiques sont visés par ce futur Règlement ?
Ce texte s’appliquera à tous les prestataires de traitement de données (« prestataire(s) ») résidant ou établis en Union Européenne (« UE »), ainsi qu’à tous ceux qui – résidant et établis ailleurs – fournissent leurs services à des bénéficiaires (personnes physiques ou morales – « utilisateur(s) ») résidant ou établis au sein de l’UE.
4/- Quelles règles pose ce projet de Règlement ?
Il en pose trois principales.
a) Prohibition de restrictions de localisation de données au sein de l’UE
Tout d’abord, ce texte interdit toute restriction imposant de localiser le stockage – ou toute autre opération de traitement – de données dans le territoire d’un État membre de l’UE, sauf justification fondée sur la sécurité publique. Ainsi, sera favorisée l’émergence d’un marché unique numérique puisque seront interdites les barrières restreignant la fourniture de prestations de traitement de données au sein de l’UE (art. 4.1).
Les Etats membres devront abroger toute loi nationale contraire à ce principe, et notifier à la Commission les éventuels textes contraires qui seraient maintenus en en justifiant la raison (art. 4.2).
En France, on pensera notamment aux dispositions du code du patrimoine (art. L.111-7) restreignant le transfert de données qualifiées d’archives publiques en dehors du territoire national, et sur lesquelles se sont récemment appuyées certaines administrations pour s’opposer à la souscription, par des collectivités territoriales, d’offres de « cloud non souverain » (c’est-à-dire fournies par des prestataires recourant à des moyens de traitement – serveurs – situés en dehors du territoire national).
En revanche, les éventuelles restrictions limitant la circulation des données vers des pays tiers à l’UE ne seront pas concernées par ce futur Règlement, lequel sera applicable uniquement aux circulations intra-européennes.
b) Libre accessibilité des données par les autorités nationales
Ensuite, ce texte consacre un principe de libre accessibilité des données par les autorités nationales compétentes à des fins d’exécution de leurs missions. Ce texte prévoit également une coopération intracommunautaire entre les autorités des différents États membres (art. 5), et crée à cet effet un mécanisme de guichet unique correspondant à un point de contact (« single point of contact » – art. 7) que chaque État membre devra désigner et à qui toute autorité d’un autre État membre pourra s’adresser pour accéder à des données.
c) Portabilité au bénéfice des utilisateurs professionnels
Enfin, ce texte prévoit la mise en place d’une politique, par la Commission Européenne, en faveur de l’élaboration de codes de conduite pour faciliter le changement de prestataire de traitement de données.
Ces derniers devront ainsi être encouragés à communiquer aux utilisateurs professionnels des informations précises sur les mécanismes de portabilité et de réversibilité qu’ils proposent (art. 6). Cette information devra notamment porter sur les modalités d’exécution de ces mécanismes, tels que les procédures, le calendrier, les coûts, la localisation en matière de sauvegarde des données, les formats et supports de données disponibles, les configurations informatiques requises et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure, la durée pendant laquelle les données resteront accessibles, les garanties d’accès aux données en cas de faillite du prestataire.
5/- Quel serait le délai d’adoption et d’entrée en application de ce texte ?
Le délai d’adoption peut être relativement long, à l’instar du RGPD que les autorités communautaires ont mis plus de quatre ans à adopter. Toutefois, il est permis de penser que ce texte, moins technique et surtout portant sur des données moins sensibles que le RGPD, suscitera moins débat que ce dernier. Il devrait donc être adopté plus rapidement.
Le mécanisme d’entrée en application, prévu par ce projet de texte, est similaire à celui du RGPD : une date d’entrée en vigueur 20 jours après son adoption par le Parlement Européen, puis une date d’entrée en application différée, ici de six mois (au lieu de deux ans pour le RGPD).