Les ambassadeurs des États membres auprès de l'UE (Coreper) ont arrêté in extremis leur position de négociation sur la libre circulation des données non personnelles, mercredi 20 décembre lors de leur dernière réunion de l'année.
Contrairement à ce que voulait la France, le texte ne reprend finalement qu'une seule dérogation, celle liée à la sécurité publique proposée par la Commission européenne.
La proposition de règlement crée un marché unique pour les services de traitement et de stockage des données non personnelles, tels que l'informatique en nuage. Elle couvre, par exemple, des ensembles de données agrégés et anonymisés utilisés pour l'analyse du big data, des données sur l'agriculture de précision permettant de surveiller et d'optimiser l'utilisation des pesticides et de l'eau, ou encore des données sur les besoins de maintenance des machines industrielles.
Des restrictions limitées
Le mandat de négociation octroyé par le Coreper à la future présidence bulgare du Conseil se rapproche peu ou prou de ce qu'a proposé la Commission en septembre 2017 (EUROPE 11861). Il interdit de limiter la localisation des données au territoire d’un seul État membre, sauf pour des raisons de sécurité publique.
Contrairement à une précédente mouture (EUROPE 11928), le texte faisant l'objet d'un compromis au Conseil n'introduit plus de dérogation pour les activités liées à la politique publique ou concernant des activités liées aux ‘obligations’ ('exercice') d’une autorité officielle.
Par contre, le compromis indique, dans un considérant, que les pouvoirs publics ne sont pas obligés d'externaliser leurs services. « Il peut y avoir des raisons légitimes poussant une administration publique à fournir elle-même des services ou à s'organiser en interne ('insourcing'). Par conséquent, rien dans le présent règlement n'oblige les États membres à sous-traiter ou à externaliser la prestation de services qu'ils souhaitent fournir ni à organiser par des moyens autres que des marchés publics. », stipule le texte.
La position du Conseil, applaudie par l'industrie des technologies numériques DigitalEurope, prévoit qu'un État qui introduirait une nouvelle exigence de localisation devrait notifier (et justifier) son projet d'acte auprès de la Commission. De la même manière, toute limite existante à la libre circulation devrait faire l’objet d’une justification pour être maintenue.
Est prévu un mécanisme de coopération entre les États membres, les autorités compétentes ne peuvent se voir refuser l'accès à des données stockées et traitées dans un autre État membre. La dernière mouture indique que « les autorités compétentes peuvent imposer des exigences fonctionnelles pour faciliter l'accès aux données, telles que la nécessité de conserver les descriptions des systèmes et les mots de passe dans l'État membre concerné ».
La 'responsabilité' doit être étudiée
Le texte du Conseil invite en outre l'Union européenne à examiner la question de la responsabilité, notamment par le biais de l'autorégulation et d'autres bonnes pratiques. Et ce, précise le document, en tenant compte des recommandations, décisions et actions prises sans interaction humaine tout au long de la chaîne de traitement des données. Il ajoute que ce travail peut également prendre en compte des mécanismes destinés à déterminer la responsabilité, les transferts de responsabilité entre les services de coopération, l'assurance et l'audit.
Reste maintenant au Parlement européen à définir sa position pour que les négociations interinstitutionnelles puissent démarrer. Le rapporteur du PE, Madame Anna Corazza Bildt (PPE, suédoise), n'a pas encore publié son projet de résolution pour la commission du marché intérieur et de la protection des consommateurs.
Voir le mandat du Conseil: http://bit.ly/2CNdOWx (Sophie Petitjean)