Le rapporteur au Parlement européen, Anna Maria Corazza Bildt (PPE, suédoise), n’est pas d’accord d'exclure les autorités publiques du champ d’application du règlement sur la libre circulation des données, comme le réclame pourtant le Conseil de l'UE dans son approche générale (EUROPE 11930). C’est ce qui ressort de son projet de rapport publié début mars.
Pour rappel, le projet de règlement présenté en septembre 2017 vise à faciliter la libre circulation des données non personnelles. Il prévoit que la localisation des données à des fins de stockage ou de traitement ne puisse être limitée au territoire d’un seul État membre, sauf pour des raisons de sécurité publique.
Lors d’un atelier de travail, le 20 février, le rapporteur, Anna Maria Corazza Bildt, avait exprimé son vif intérêt pour la proposition : « Je suis une fervente partisane de cette proposition parce que, cette fois, c'est une réglementation sur la déréglementation », avait-elle déclaré.
Des motifs « impérieux » de sécurité publique
Son projet de rapport soutient de ce fait les grands principes de la proposition législative. Elle limite les dérogations au principe de libre circulation à des motifs « impérieux » de sécurité publique. Elle précise que « le concept de motifs impérieux de sécurité publique présuppose une menace à la sécurité publique qui soit particulièrement sérieuse ». Pour ces situations, rappelons-le, les États membres peuvent maintenir ou introduire des exigences de localisation. Pour le rapporteur, les États membres doivent « communiquer » (et non plus « notifier ») toute mesure allant dans ce sens, tandis que la Commission peut adopter des décisions demandant aux États membres de les amender ou de les retirer.
En réaction à l’accord politique du Conseil, Anna Maria Corazza Bildt prend soin de préciser que les autorités et les organes publics devraient être couverts par le règlement (là où les États membres prévoient une exclusion pure et dure, ce qui signifie qu’aucune notification ou communication ne devra être adressée à la Commission en cas d’exigence de localisation). « Déplacer des données dans l’UE est volontaire, ce n’est pas une obligation, mais une possibilité. Toutes les parties de la société devraient être en mesure de bénéficier de cette possibilité, y compris le secteur public », indique-t-elle. Elle justifie cette précision dans un souci d’éviter qu’un nombre important de données non personnelles soient bloquées dans des silos nationaux.
Données mixtes et suivi
Sur les données mixtes (c’est-à-dire celles qui contiennent à la fois des données à caractère personnel et des données à caractère non personnel), elle estime que le règlement devrait s’appliquer à la partie concernant les données non personnelles, et à l’ensemble des données, lorsqu’une telle distinction n’est pas possible. Elle invite aussi la Commission à publier des « lignes directrices » sur cette question, avant que le règlement ne commence à s’appliquer.
Enfin, en matière d'accès, le rapporteur soutient la diffusion d’un code de conduite pour faciliter le partage des données. Elle clarifie toutefois que la Commission ne devrait pas seulement « encourager et faciliter la création et l’efficacité d’un tel code, mais aussi veiller à son application ». Elle charge aussi la Commission de procéder à une évaluation du nouveau règlement après 3 ans et demi (plutôt que 5 ans) après sa mise en œuvre, en raison des développements techniques rapides. Lire le rapport : http://bit.ly/2IaLq49 (Sophie Petitjean)