L’industrie européenne n’apprécie pas beaucoup la tournure que prennent les discussions sur la libre circulation des données non personnelles. Et pour cause: lundi 18 décembre, les États membres devaient discuter d’un nouveau compromis mis sur la table par la Présidence estonienne du Conseil de l'UE qui élargit les exceptions à la politique publique.
Le projet de règlement, présenté en septembre 2017, prévoit que la localisation des données à des fins de stockage ou de traitement ne puisse être limitée au territoire d’un seul État membre, sauf pour des raisons de sécurité publique. Tout projet d’acte d’un État qui introduirait une nouvelle exigence de localisation devrait être notifié à la Commission européenne et justifié. De la même manière, toute limite existante à la libre circulation devrait faire l’objet d’une justification pour être maintenue.
Or, le Sénat français a adopté, le 5 décembre, un avis motivé dénonçant la non-conformité de la proposition législative au principe de subsidiarité. La résolution évoque les faiblesses de l’étude d’impact réalisée par la Commission européenne qui, selon elle, « ne justifie pas l’initiative proposée ». Elle souligne que les gains espérés pour l’économie européenne de la levée des obligations nationales de localisation sont faibles, « de l’ordre de 0,06% du PIB ». Elle conclut que « les EM sont fondés à invoquer au minimum la sécurité publique, le l'ordre public et la santé publique pour imposer une obligation de localisation des données sur leur territoire ».
Quelques jours plus tard, la Présidence estonienne a publié un projet de compromis qui élargit les dérogations du règlement : ainsi, il prévoit que les dérogations sont permises lorsqu’elles sont justifiées pour des motifs impératifs de sécurité publique ou de politique publique (…) ou concernent des activités qui sont liées aux ‘obligations’ (exercice) d’une autorité officielle. Et le considérant ajoute : « Il faut noter que le droit de l’Union n’impose pas aux États membres une échelle uniforme de valeurs en ce qui concerne l’évaluation de la conduite qui peut être considérée comme contraire à la sécurité publique et à la politique publique ».
Réaction de l’industrie
Sitôt ce compromis publié dans la presse française (contexte.com), l’industrie européenne a réagi en appelant les États membres à « résister à la tentation d’affaiblir la proposition ». Le communiqué, cosigné par Allied for Startups, BusinessEurope, The Software Alliance (BSA) et CCIA Europe, appelle le Conseil à ne pas élargir la dérogation liée à la sécurité publique figurant dans la proposition législative. « Les efforts visant à élargir la portée de l'exception à toutes les ‘données du secteur public’ et à autoriser des exceptions pour toute ‘politique publique’ ouvriraient la voie à une prolifération des exigences de localisation des données dans toute l'UE et rendraient le règlement inefficace. », déclarent les quatre organisations. Elles plaident pour définir l'atteinte à la sécurité publique comme « une menace réelle et suffisamment sérieuse pour un intérêt fondamental de la société ». (Sophie Petitjean)