Les discussions se poursuivent sur la libre circulation des données. Au cours d’un deuxième dialogue structuré, le 30 mars, la Commission a identifié le manque de confiance mutuelle, l’insécurité juridique et une perception erronée des règles actuelles comme étant les principaux défis à relever.
La circulation des données est un sujet sensible dans l’UE. La directive sur le commerce électronique (2000/31/CE) consacre la libre circulation des services de la société de l’information entre les États membres. Elle permet toutefois aux Vingt-huit d’imposer des restrictions dans certaines conditions (ordre public, santé publique, sécurité publique, protection des consommateurs, etc.).
Or, à l'heure où l'informatique en nuage est en plein développement, la Commission souhaite lutter contre les restrictions injustifiées quant à la localisation des données à des fins de stockage ou de traitement.
D'après nos informations, elle aurait déjà soumis un projet de réglementation au comité d'examen de la réglementation (ancien comité d'évaluation d'impact), mais n'aurait pas reçu son feu vert, faute de justification. À l'heure actuelle, elle bénéficie, dans sa démarche, du soutien d'une quinzaine d'États membres (Belgique, Bulgarie, République tchèque, Danemark, Estonie, Irlande, Lettonie, Lituanie, Luxembourg, Pays-Bas, Pologne, Slovénie, Suède, Royaume-Uni, Slovaquie et Finlande) cosignataires d'un document officieux fin 2016 appuyant la libre circulation des données (EUROPE 11681). Un groupe de pays parmi lesquels la France souhaite, par contre, fixer préalablement des prérequis en matière d'accessibilité, d'intégrité et de portabilité des données.
Rassembler des preuves
Dans ce contexte, la Commission a lancé, le 10 janvier, une consultation destinée aux pouvoirs publics afin d'identifier les possibles justifications aux restrictions, les moyens dont dispose l’UE pour s’attaquer aux restrictions injustifiées ainsi que les impacts perçus de la suppression des restrictions injustifiées. Elle mène aussi un dialogue structuré avec les États membres. Elle a, par ailleurs, chargé les contractants Time.lex, Spark Legal Network et T4i2 de mener une étude sur les restrictions à la localisation des données.
Les résultats préliminaires dévoilés le 20 mars dans le cadre d'un atelier de travail font état de 41 obligations de localisation à des fins de stockage ou de traitement dans 20 États membres : - onze barrières directes, telles que des critères géographiques de stockage et des exigences techniques nationales ; - trente barrières indirectes, parmi lesquelles l'accessibilité requise des contrôleurs, des systèmes d’autorisation préalable, l'accès interdit à des tiers, des restrictions pour les sous-contractants, des critères techniques génériques, des recours obligatoires à des infrastructures spécifiques, des critères de ségrégation et des critères de destruction dans certaines situations.
Les obstacles concernent des domaines divers : 7 ont trait aux données financières, 7 de santé, 4 sont liés au registre de citoyens et d’entreprises, 4 aux données judiciaires et privilégiées, 7 à la fiscalité et la comptabilité et 12 concernent des domaines divers.
L'étude préliminaire identifie ce type de pratiques à des degrés divers en Allemagne, en Autriche, en Belgique, en Bulgarie, en Croatie, au Danemark, en Estonie, en Finlande, en Irlande, au Luxembourg, aux Pays-Bas, en Pologne, au Portugal, en République tchèque, en Roumanie, en Slovénie et en Suède.
Les contractants, qui ont également mené des entretiens avec 20 parties prenantes (11 liées à l'industrie, 3 au secteur financier, 2 à la santé et 4 du secteur public), affirment que les répondants ont indiqué que « la Commission pourrait proposer un règlement ouvrant la localisation des données dans UE en combinaison avec un processus de notification exigeant, où les restrictions juridiques nationales doivent être approuvées par la CE ».
Un nouveau dialogue structuré avec les États membres est prévu, sous réserve de changement, le 5 mai. (Sophie Petitjean)