La Commission européenne s’apprête à présenter, dans les prochaines semaines, sa proposition législative sur la libre circulation des données. Le projet de règlement, fuité sur le site Politico, interdit la localisation injustifiée des données et promeut l’autoréglementation sur la question de l’accès.
La libre circulation des données est l’un des sujets favoris du vice-président Andrus Ansip : il a en effet d’ores et déjà présenté deux études d’impact, toutes deux recalées par le comité de contrôle réglementaire sur l’évaluation d’impact (le 28 septembre 2016 et le 25 août 2017).
N’en déplaise : poussé par un noyau dur de 14 États membres (EUROPE 11681) et fort du soutien de son pays (qui occupe actuellement la présidence tournante du Conseil), M. Ansip s’apprête à présenter, à l’automne, un projet de règlement en la matière. Il avance en effet que le règlement général sur la protection des données (2016/679), qui contient déjà un ensemble de règles relatives au traitement des données à caractère personnel dans l'UE, ne s'applique pas aux données à caractère non personnel lorsqu'il s'agit de données industrielles ou générées automatiquement, ni aux obstacles à la circulation des données à caractère personnel relevant de considérations autres que la protection de ces données, telles que la fiscalité ou la législation comptable. En juillet dernier, il avait reçu l'accord de principe des ministres des Télécommunications (EUROPE 11832).
Analyse du contenu
Le projet de texte dévoilé par la presse interdit toute restriction en matière de localisation des données pour le stockage et/ou le traitement ultérieur de ces données au sein de l'Union pour des raisons autres que la sécurité nationale. Il s’attaque plus particulièrement à quatre chantiers : les conditions de localisation des données, leur disponibilité pour les autorités compétentes, la transparence contractuelle en matière d’accès et la sécurité du stockage et de la transformation des données. Il impose aux États membres l’obligation de notifier des règles nationales qui introduiraient des obligations de localisation et les charge de supprimer les restrictions injustifiées existantes un an après l’application dudit règlement. Il précise en outre qu’un État membre qui souhaiterait maintenir des dispositions contraires serait obligé de le notifier et de la justifier auprès de la Commission. Ces dispositions seraient reprises sur un « point d’information unique en ligne » librement accessible.
La portabilité exclue
Afin de dissiper les réticences de la France, le projet de texte ne réglemente pas la portabilité des services en nuage. « La Commission a choisi, à la place, une option plus proportionnée et moins lourde, dans la mesure où elle ne crée pas un nouveau droit à la portabilité des services en nuage et repose sur l’autorégulation facilitée par la Commission », indique le projet de texte, qui explique que l’idée initiale consistait à introduire une obligation pour les fournisseurs de faciliter le changement ou l’accès aux données des utilisateurs. Le texte qui a fuité prévoit, quant à lui, l’adoption de codes de conduite 2 ans après son entrée en vigueur, codes détaillant les conditions d’accès aux données par des acteurs du marché via la libre circulation. Toutefois, il prévoit que, si des mesures d’autoréglementation ne sont pas mises en œuvre dans une « période de temps raisonnable », il restera possible à la Commission d’établir les conditions de cet accès à travers un acte d’exécution.
À noter aussi que la Commission prévoit de réévaluer les règles 5 ans après leur mise en place. (Sophie Petitjean)