Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant un cadre pour la libre circulation des données à caractère non personnel au sein de l’Union européenne (UE). Que propose-t-elle ? Garance Mathias, Mathias Avocats, Avocat à la Cour décrypte la proposition pour Solutions Numériques.
Lors de du discours annuel sur l’état de l’Union, Stratégie industrielle : Investir dans une industrie intelligente, innovante et durable, le président Juncker a déclaré qu’ils présentaient « une nouvelle stratégie industrielle pour l’Europe qui permettra à notre industrie de rester ou de devenir le numéro un mondial en matière d’innovation [et] de numérisation ». A terme, l’objectif est de créer un marché numérique unique par le biais du renforcement de la cybersécurité, de la libre circulation des données et d’une modernisation du cadre juridique régissant la propriété intellectuelle.
La proposition de règlement fait suite à une communication du 10 janvier 2017 de la Commission relative à la construction d’une économie européenne de données. La Commission prônait déjà la libre circulation des données à caractère non personnel et prenait appui sur le Règlement Général de la Protection des Données (règlement n°2016/679, dit RGPD).
La proposition de règlement pour la libre circulation des données à caractère non personnel au sein de l’UE vient compléter le RGPD, dans la mesure où ce dernier concerne uniquement les données à caractère personnel. Cette harmonisation souhaitée vise à avoir un cadre juridique unique et commun afin de développer l’innovation et l’économie autour de la donnée.
A ce titre, la proposition de règlement vise notamment à améliorer la mobilité transfrontalière des données non personnelles dans le marché unique, qui est aujourd’hui limitée dans de nombreux États membres par des restrictions de localisation, et à faciliter le transfert de données vers des fournisseurs de services pour les utilisateurs professionnels des services de traitement des données.
Quelles définitions et quelle portée ?
Les données à caractère non personnel sont toutes les données autres que celles visées à l’article 4, 1° du RGPD (article 3, 1° de la proposition de règlement fixant un cadre pour la libre circulation des données à caractère non personnel au sein de l’UE). Les données à caractère personnel telles que définies à l’article 4 du RGPD sont « toute information se rapportant à une personne physique identifiée ou identifiable ».
La proposition de règlement définie des règles relatives aux exigences de localisation des données, à l’accès aux données par les autorités compétentes et à la portabilité des données pour les utilisateurs professionnels (article 1).
La proposition bénéficie d’un large champ d’application dans la mesure où elle a vocation à s’appliquer à tout traitement de données à caractère non personnel :
- fourni en tant que service aux utilisateurs, résidant ou ayant un établissement dans l’UE, que le prestataire soit ou non établi dans l’Union ; ou
- mis en œuvre par une personne physique ou morale, résidant ou ayant un établissement dans l’UE, pour ses propres besoins.
De plus, la définition de la notion de fournisseur ne restreint nullement la portée du texte. En effet, il s’agit de « toute personne physique ou morale fournissant des services d’enregistrement de données ou d’autres services de traitement » (article 3, 4° de la proposition de règlement). Ainsi, la proposition de règlement ne distingue pas selon le système informatique utilisé et semble comprendre l’ensemble des traitements de données électroniques à caractère non personnel.
En outre, un utilisateur professionnel doit s’entendre comme « tout personne physique ou morale, y compris une entité du secteur public, utilisant ou demandant un service de traitement de données à des fins liés à son métier, à son entreprise, à son artisanat, à sa profession, ou à sa tâche » (article 3, 8° de la proposition de règlement).
De manière similaire au RGPD, la proposition de règlement vise à recouvrir l’ensemble des traitements de données électroniques à caractère non personnel et les acteurs intervenant dans ces activités afin d’harmoniser les règles applicables.
Qu’est-ce que la libre circulation des données ?
La proposition de règlement pose un nouveau principe en vertu duquel le traitement des données à caractère non personnel ne sera plus limité au territoire d’un Etat membre, à moins que des raisons de sécurité publique ne le justifient (article 4 de la proposition de règlement).
Il convient de souligner que la notion de sécurité publique n’est pas définie dans la proposition de règlement. Néanmoins, ce nouveau principe étend de manière non négligeable la circulation des données à caractère non personnel.
La proposition de règlement prévoit qu’un an après l’entrée en vigueur du règlement, toute disposition nationale non conforme au principe précité sera abrogée. Les Etats membres bénéficieront donc d’une période de transition.
En ce qui concerne la portabilité des données à caractère non personnel, assurant également une libre circulation des données, la proposition de règlement pose des règles similaires à celles du droit à la portabilité tel que défini à l’article 20 du RGPD. Ce dernier énonce que « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement (…) elle a [également] le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible ».
Or, l’article 6 de la proposition de règlement dispose que les utilisateurs professionnels ont le droit de changer de fournisseur ou de récupérer leurs données à caractère non personnel. Dans tous les cas, les données doivent être fournies dans un format structuré, couramment utilisé et lisible par machine.
La proposition de règlement prévoit également qu’une information claire doit être fournie aux utilisateurs professionnels concernant le traitement de leurs données. La Commission encourage les fournisseurs à établir des codes de conduite dans l’année suivant l’entrée en vigueur du règlement.
Une coopération accrue entre les autorités de contrôle ?
Il convient de souligner que la proposition de règlement n’impacte pas les pouvoirs de l’autorité de contrôle nationale compétente en ce qui concerne son droit d’accès aux données. Ce droit d’accès ne pourra être refuser pour la simple raison que le traitement des données à caractère non personnel a lieu dans un autre Etat membre.
Cependant, dans l’hypothèse où l’autorité de contrôle exerçant son droit d’accès aurait épuisé les moyens d’accès applicables et n’aurait toujours pas eu accès aux données, elle peut solliciter l’assistance d’une autorité de contrôle dans un autre Etat membre. Cette dernière sera tenue de collaborer à moins que l’ordre public ne l’interdisse (article 6 de la proposition de règlement).
En instaurant un principe de coopération entre les autorités de contrôle des Etats membres, tout en laissant une place pour l’autorégulation, la proposition de règlement assure une certaine flexibilité qui permet de prendre en compte les besoins fluctuants des utilisateurs, des fournisseurs et des autorités nationales de contrôle.
Les Etats membres devront désigner un point de contact unique qui assurera la liaison avec les points de contact unique des autres Etats membres et avec la Commission quant à l’application du règlement (article 7 de la proposition de règlement). De manière similaire au Délégué à la Protection des Données (DPO), ce point de contact échangera avec l’autorité de contrôle compétente et assurera la conformité au règlement.
Quel avenir ?
Cette proposition prend en compte l’économie de la donnée et s’inscrit dans une démarche d’industrie intelligente. Compte-tenu de l’entrée en application imminente du RGPD, la proposition de règlement assure une harmonisation pour l’ensemble des données à caractère personnel ou non personnel.
Il convient de souligner qu’à la proposition de règlement s’ajoutent d’autres textes qui sont également de nouveaux éléments dans la stratégie industrielle de l’UE, notamment :
- La proposition de règlement sur la cybersécurité qui a été adoptée le 13 septembre 2017. Elle vise à renforcer la cybersécurité de l’industrie européenne notamment par le biais d’un Centre européen de recherches et de compétences en matière de cybersécurité pour appuyer le développement de capacités technologiques et industrielles en la matière ;
- Un ensemble d’initiatives, qui devraient être adoptées en automne 2017, en vue de moderniser la cadre régissant la propriété intellectuelle notamment en ce qui concerne les brevets essentiels liés aux normes.
Ainsi, l’UE met en place de nombreuses mesures dans tous les domaines de la cybersécurité à la finance ou encore la mobilité et la compétitivité afin d’anticiper les évolutions et les besoins du marché. L’ambition de la Commission européenne est grande, les débats sont très riches et l’adoption des textes risque encore de prendre quelques années.
