Règlement sur les données à caractère non personnel : l’autre réglementation sur les données !

Alors que tous les yeux étaient rivés sur le 25 mai 2018, date d’entrée en application du Règlement général sur la protection des données personnelles (RGPD) [1] , les discussions concernant l’adoption du règlement européen relatif à la libre circulation des données à caractère non personnel sont passées quasiment inaperçues. Or ce texte vient justement compléter les dispositions du RGPD sur le volet non personnel des données et pourrait avoir un impact significatif. En effet, à l’heure de l’intelligence artificielle et de la robotisation, il vise clairement à réglementer l’usage des données produites par des machines, générées sans intervention humaine directe par des processus informatiques, des applications ou des services, ou par des capteurs qui traitent des informations reçues d’équipements, de logiciels ou de dispositifs virtuels ou réels. Retour sur la genèse de cette proposition.

Les trois objectifs de la proposition européenne

La proposition de règlement de la Commission concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne (UE) [2] a été publiée le 13 septembre 2017. Ce texte s’inscrit dans le cadre de la stratégie de la Commission pour un marché unique numérique visant à libérer le potentiel de l’économie fondée sur les données dans l’UE et fait suite à sa communication intitulée « Créer une économie européenne fondée sur les données » [3] . D’après les estimations, l’économie des données représentait 257 milliards d’euros dans l’UE en 2014, soit 1,85 % du PIB de l’Union [4] . En 2015, ce chiffre est passé à 272 milliards d’euros et pourrait atteindre 643 milliards d’euros d’ici à 2020, soit 3,17 % du PIB global de l’Union en 2020, si les conditions politiques et juridiques nécessaires sont mises en place. Or la Commission a constaté que les producteurs de données n’y donnent pas accès et que ces données sont analysées de manière isolée, ce qui ne permet pas d’exploiter le potentiel des données brutes [5] produites par les processus ou les machines d’où l’importance de traiter cette question au risque sinon de compromettre le développement de cette économie.

Quelles sont les données concernées ? Le texte définit le concept de données non personnelles par la négative, en précisant qu’il s’agit « des données autres que les données à caractère personnel visées à l’article 4 du RGPD ». Dès lors, il s’agit de toute donnée qui ne permet pas d’identifier une personne physique, ce qui apparaît particulièrement vaste, allant des données économiques aux données démographiques en passant par l’ensemble des indicateurs météoritiques ou les informations sur les déplacements.

Ce projet de texte vise principalement à traiter trois questions :

• améliorer la circulation des données à caractère non personnel au sein du marché unique, lequel peut être limité par des restrictions géographiques ou des incertitudes juridiques ;
• veiller à ce que les autorités compétentes aient toujours la possibilité de demander et d’obtenir l’accès à des données à des fins de contrôle réglementaire, comme l’inspection et l’audit ;
• permettre aux utilisateurs professionnels des services de stockage (en particulier des services de cloud computing) de changer de fournisseur et de transférer leurs données plus facilement (portabilité des données non personnelles).

La libre circulation des données au sein de l’UE

L’article 4 de ce projet précise que la localisation des données à des fins de stockage ou de traitement au sein de l’UE n’est pas limitée au territoire d’un État membre. Par ailleurs, le stockage ou le traitement dans un autre État membre ne doit faire l’objet d’aucune interdiction ou restriction, sauf si elle est justifiée par des raisons de sécurité publique. C’est donc une interdiction des barrières à la circulation des données en Europe qui est proposée, et non une limitation des transferts hors Union européenne. Elle vise à prévenir au sein de l’UE l’adoption de dispositions visant à imposer une restriction à la localisation des données comme l’on fait certains gouvernements [6] . En octobre 2016, la Commission européenne avait identifié environ 70 dispositions de cette nature en Europe, la majorité dans les secteurs financier et médical [7] . Comme le souligne la Commission, ces restrictions sont difficiles à identifier notamment dans la mesure où elles peuvent s’établir à différents niveaux (législatif, réglementaire, administratif) et être directe ou indirecte.

La disponibilité des données pour les autorités compétentes

L’article 5 vise à maintenir le pouvoir des autorités compétentes de demander et d’obtenir un accès à des données pour l’accomplissement de leurs missions, conformément aux dispositions législatives et réglementaires applicables. La possibilité pour les entreprises et organismes du secteur public de stocker des données en dehors de leur État membre d’établissement ne doit pas être utilisée comme un moyen de soustraire des informations aux autorités compétentes.

Le texte prévoit également la désignation par chaque État membre d’un point de contact unique afin de faire la liaison avec les points de contact des autres pays et la Commission pour l’application de ce règlement. Ce point de contact sera notamment en charge de transmettre les demandes d’une autorité compétente ayant échoué à obtenir communication des informations auprès de l’opérateur concerné, à charge pour lui d’identifier l’autorité devant en être destinataire et de la lui transmettre. La demande présentée au point de contact unique devra être dûment motivée.

La portabilité des données

L’article 6 dispose que « la Commission encourage et facilite l’élaboration de code de conduite par autorégulation au niveau de l’Union afin de définir des lignes directrices concernant les bonnes pratiques pour faciliter le changement de fournisseur ». Ces codes de conduite devront également fournir aux utilisateurs professionnels des informations « suffisamment détaillées, claires et transparentes préalablement à la signature d’un contrat de stockage et de traitement des données ». Ces informations devront notamment porter sur :

• les processus, les exigences techniques, les délais et les frais qui s’appliquent dans le cas où un utilisateur professionnel souhaite[rait] changer de fournisseur ou transférer ses données pour les rapatrier vers ses propres systèmes informatiques ;
• le délai à prévoir avant le lancement de la procédure de portage et la durée pendant laquelle les données resteront accessibles en vue de leur portage ;
• les garanties d’accès aux données en cas de faillite du fournisseur ;
• et les exigences fonctionnelles pour que le changement de fournisseur ou le portage des données s'effectue dans un format structuré, couramment utilisé, et lisible par machine accordant suffisamment de temps à l’utilisateur pour changer de fournisseur ou transférer les données.

Cette disposition semble plus avoir un caractère incitatif que véritablement contraignant. En outre, le caractère réversible de la prestation et la nécessité pour le client d’un prestataire de services de Cloud de récupérer les données à l’issue de celle-ci font d’ores et déjà partie des préoccupations majeures des établissements financiers et figurent en bonne place dans les contrats.

Une mise en œuvre complexe

En première lecture, les dispositions de ce règlement semblent assez timides, même si on ne peut que se satisfaire de la volonté de limiter les barrières à la circulation des données en Europe, et loin de l’ambition qu’on aurait pu prêter à la Commission d’ouverture généralisée des données non personnelles. Toutefois, cette nouvelle réglementation risque de complexifier le cadre juridique applicable en cas de traitement de données mixtes, c’est-à-dire en cas de mélange de données à caractère personnel et non personnel, ce qui sera sans doute fréquent et soulève déjà des interrogations.

Il apparaît en effet que, combiné au RGPD et au règlement E-Privacy [8] , c’est un triple régime qui sera applicable aux traitements de données. La commission du marché intérieur et des consommateurs a d’ailleurs déjà soulevé ce point soulignant que « la plupart des ensembles de données contiennent à la fois des données à caractère personnel et des données à caractère non personnel ». Dès lors, elle recommande que lorsque des ensembles de données mixtes peuvent facilement être dissociés, le règlement relatif aux données non personnel s’applique à cette catégorie de l’ensemble et lorsque des données à caractère non personnel et personnel sont inextricablement liées, le règlement s’applique à tout l’ensemble sans préjudice du règlement général sur la protection des données.

Cette version n’est toutefois pas définitive. Après un accord obtenu en trilogue le 19 juin 2018, le règlement devrait, en effet, être soumis en première lecture au Parlement européen à partir du 1er octobre 2018 [9] . À suivre donc…

Achevé de rédiger le 18 septembre 2018.