Après avoir abondamment parlé du RGPD, concernant les données personnelles – rassurons-nous, on n'a pas fini d'en parler ! – voici le récent Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne.
Vers le marché unique numérique
L'idée générale de ce texte – comme de quelques autres en préparation – est de donner un cadre légal à cet "élément clé de la stratégie pour un marché unique numérique" (communiqué de la Commission du 19 septembre 2017) que sont les données détenues et gérées par les acteurs économiques, visant à favoriser leur libre circulation au sein de l'Union.
Notons que cette notion de marché unique numérique est également présente dans la proposition de directive sur le droit d’auteur dans le marché unique numérique évoquée dans notre actualité du 18 septembre 2018.
Grands axes du texte
Ce règlement est censé lever
"les obstacles à la libre circulation des données au sein de l'UE pour les entreprises, les administrations publiques et les particuliers.
a) Il contribue au bon fonctionnement du marché intérieur en assurant la libre circulation des données à caractère non personnel au sein de l'UE. Il supprime les règles nationales injustifiées ou disproportionnées qui entravent ou restreignent la liberté des entreprises de choisir un lieu pour le stockage ou le traitement de leurs données. Les États membres devront communiquer à la Commission les exigences nouvelles ou existantes en matière de localisation des données."
b) Il garantit que les autorités compétentes ont accès aux données stockées ou traitées dans un autre État membre pour pouvoir s'acquitter des tâches qui leur incombent en vertu de leur mandat légal, dans les mêmes conditions que lorsque les données sont stockées sur leur propre territoire.
c) Il encourage l'élaboration de codes de conduite autorégulatifs visant à faciliter le changement de fournisseur de services en nuage en informant, par exemple, les utilisateurs des conditions selon lesquelles ils peuvent portabiliser leurs données en dehors de leur propre environnement informatique.
d) Il institue un point de contact unique dans chaque État membre, qui est chargé de communiquer avec les points de contact des autres États membres et avec la Commission afin de garantir l'application effective des nouvelles règles relatives à la libre circulation des données à caractère non personnel.
Source : communiqué de la Commission du 19 septembre 2017
Un texte très court
Ce texte est relativement court – 9 articles au total – et on y retrouve pour parti des thèmes déjà abordés pour les données personnelles (articles 4 à 8) :
- Libre circulation des données au sein de l'UE
- Disponibilité des données pour les autorités compétentes
- Portage des données
- Procédure de coopération entre les autorités
- Évaluation et lignes directrices
Un texte applicable le 29 avril prochain
Aux termes de l'article 9, le règlement, publié au JOUE le 28 novembre dernier, est entré en vigueur le 19 décembre 2018 et sera applicable le 29 avril 2019, 6 mois après sa date de publication.