Vers un marché européen de la donnée !! ( adoption du règlement communautaire n°2018/1807 « établissant un cadre applicable au libre flux de données à caractère non personnel au sein de l’union européenne »).
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Marion Moine, Matthieu Bourgeois, 20/12/2018
Le 14 novembre 2018, le Parlement Européen a définitivement adopté le Règlement n°2018/1807 « établissant un cadre applicable au libre flux de données à caractère non personnel au sein de l’Union Européenne ». Complétant l’arsenal réglementaire protégeant les données à caractère personnel (incarné par le très médiatique Règlement Général sur la Protection des Données n°2016 /679 – « RGPD » - entré en application le 25 Mai 2018), ce texte est le premier à s’appliquer aux données à caractère non personnel, prises comme une catégorie en tant que telle. Pouvant s’appliquer cumulativement avec le RGPD, ce nouveau texte, qui est entré en vigueur le 19 décembre 2018, entrera en application le 19 juin 2019 . Toutes les organisations, et notamment leur DPO, doivent donc l’assimiler rapidement.
1/ POURQUOI CE TEXTE ?
Selon la Commission Européenne, le développement rapide de l’économie fondée sur le traitement des données – permettant notamment l’émergence de technologies, telles que l’intelligence artificielle et l’Internet des objets – se heurte à deux écueils : les exigences de localisation de données (issues de règlementations nationales), et les pratiques (de certains fournisseurs notamment) aboutissant à rendre certains utilisateurs dépendant (technologiquement et/ou économiquement), étant ainsi dissuadés de changer de fournisseur, pour des raisons étrangères à leur seule compétitivité. C’est donc afin de supprimer ces deux sources faisant obstacle à la libre concurrence et – donc – au développement du marché des services de traitement de données, que ce texte avait été proposé dès septembre 2017 . Moins technique et portant sur un sujet moins vaste que le RGPD (dont l’adoption avait pris quatre ans), ce Règlement - que nous dénommerons « Libre Flux de données » aura été adopté avec une rapidité (environ un an) qu’il faut saluer. L’objectif affiché est de permettre à l’Europe, grâce à ce texte et au RGPD, de se présenter comme un coffre-fort numérique, proposant au reste du monde des prestations de traitement de données sécurisées, répondant à une législation harmonisée.
2/ A QUELLES DONNEES S’APPLIQUERA CE REGLEMENT ?
Il s’appliquera aux données qui répondent à deux caractéristiques :
(i) Faire l’objet d’un service de « traitement », notion qui est définie – de manière identique à celle figurant dans le RGPD – comme « toute opération (…) effectuée ou non à l’aide de procédés automatisés » (article 3, 2)) et qui vise donc aussi bien les traitements effectués sur support « papier », que ceux utilisant des supports « numériques » ; pourtant de manière peu explicable – hormis une erreur de plume – ce nouveau Règlement vise expressément les « données électroniques » (article 2, article 3,2), tant et si bien que le doute subsiste : s’applique-t-il uniquement aux données traitées sous une forme numérique (ce qui constituerait une différence notable avec le RGPD qui s’applique indifféremment aux données numériques et non numériques) ? Il faudra attendre les lignes directrices – que ce texte impose à la Commission, de publier prochainement (article 8) – pour se prononcer avec certitude.
(ii) Ne pas répondre à la définition de données à caractère personnel ; cette définition négative a pour effet de conférer à ce texte un champ d’application très large (en l’absence de réelle définition de la notion de « donnée(s) »), sans toutefois éviter les risques de chevauchement avec le RGPD ; en effet, ce nouveau Règlement prévoit de s’appliquer cumulativement au RGPD « lorsque les données à caractère personnel et les données à caractère non personnel d’un ensemble sont inextricablement liées » (article 2.2). En outre, le considérant (9) de ce texte indique que « si les évolutions technologiques permettent de transformer les données anonymisées en données à caractère personnel, ces données doivent être traitées comme des données à caractère personnel » et le RGPD « doit s’appliquer en conséquence » : de nombreux utilisateurs et fournisseurs seront donc bien inspirés d’appliquer cumulativement le nouveau texte et le RGPD ne serait-ce que par prudence.
En pratique, ce nouveau texte visera notamment « les ensembles de données agrégées et anonymisées utilisées pour l’analyse des mégadonnées, les données sur l’agriculture de précision qui peuvent aider à contrôler et à optimiser l’utilisation des pesticides et de l’eau, ou encore les données sur les besoins d’entretien des machines industrielles », nous précise le considérant (9). Il s’agira également des données relatives aux personnes morales (données financières ou d’exploitation), d’informations boursières (dès lors qu’aucune personne physique n’y est rattachable), ou encore de données relatives à des produits (déconnectées de toute information relative à l’auteur d’une transaction sur ceux-ci).
(i) Faire l’objet d’un service de « traitement », notion qui est définie – de manière identique à celle figurant dans le RGPD – comme « toute opération (…) effectuée ou non à l’aide de procédés automatisés » (article 3, 2)) et qui vise donc aussi bien les traitements effectués sur support « papier », que ceux utilisant des supports « numériques » ; pourtant de manière peu explicable – hormis une erreur de plume – ce nouveau Règlement vise expressément les « données électroniques » (article 2, article 3,2), tant et si bien que le doute subsiste : s’applique-t-il uniquement aux données traitées sous une forme numérique (ce qui constituerait une différence notable avec le RGPD qui s’applique indifféremment aux données numériques et non numériques) ? Il faudra attendre les lignes directrices – que ce texte impose à la Commission, de publier prochainement (article 8) – pour se prononcer avec certitude.
(ii) Ne pas répondre à la définition de données à caractère personnel ; cette définition négative a pour effet de conférer à ce texte un champ d’application très large (en l’absence de réelle définition de la notion de « donnée(s) »), sans toutefois éviter les risques de chevauchement avec le RGPD ; en effet, ce nouveau Règlement prévoit de s’appliquer cumulativement au RGPD « lorsque les données à caractère personnel et les données à caractère non personnel d’un ensemble sont inextricablement liées » (article 2.2). En outre, le considérant (9) de ce texte indique que « si les évolutions technologiques permettent de transformer les données anonymisées en données à caractère personnel, ces données doivent être traitées comme des données à caractère personnel » et le RGPD « doit s’appliquer en conséquence » : de nombreux utilisateurs et fournisseurs seront donc bien inspirés d’appliquer cumulativement le nouveau texte et le RGPD ne serait-ce que par prudence.
En pratique, ce nouveau texte visera notamment « les ensembles de données agrégées et anonymisées utilisées pour l’analyse des mégadonnées, les données sur l’agriculture de précision qui peuvent aider à contrôler et à optimiser l’utilisation des pesticides et de l’eau, ou encore les données sur les besoins d’entretien des machines industrielles », nous précise le considérant (9). Il s’agira également des données relatives aux personnes morales (données financières ou d’exploitation), d’informations boursières (dès lors qu’aucune personne physique n’y est rattachable), ou encore de données relatives à des produits (déconnectées de toute information relative à l’auteur d’une transaction sur ceux-ci).
3/ QUELS OPERATEURS ECONOMIQUES SONT VISES PAR CE REGLEMENT ?
Ce texte s’appliquera à tous les prestataires de traitement de données (« prestataire(s) ») résidant ou établis en Union Européenne (« UE »), ainsi qu’à tous ceux qui – résidant et établis ailleurs – fournissent leurs services à des bénéficiaires (personnes physiques ou morales) – (« utilisateur(s) »)) résidant ou établis au sein de l’UE (article 2.1).
4/ QUELLES REGLES POSE CE REGLEMENT ?
Il en pose trois principales.
4.1/- Prohibition de restriction de localisation de données au sein de l’UE.
Tout d’abord, ce texte interdit toute restriction imposant de localiser le stockage – ou toute autre opération de traitement – de données dans le territoire d’un Etat membre de l’UE, sauf justification fondée sur la sécurité publique. En France, on pensera notamment aux opérateurs d’importance vitale (« OIV ») et aux opérateurs de services essentiels (« OSE »). Ainsi, sera favorisée l’émergence d’un marché unique numérique puisque seront interdites les barrières restreignant la fourniture de prestations de traitement de données au sein de l’UE (article 4.1).
Les Etats membres devront abroger toute loi nationale contraire à ce principe, et notifier à la Commission les éventuels textes contraires qui seraient maintenus en en justifiant la raison, et ce d’ici au 30 mai 2021 au plus tard (article 4.3).
En France, on pensera notamment aux dispositions du Code du patrimoine (articles L.111-1 et suivants) restreignant le transfert de données qualifiées d’archives publiques, en dehors du territoire national, et sur lesquelles se sont récemment appuyées certaines administrations pour s’opposer à la souscription, par des collectivités territoriales, d’offres de « Cloud non souverain » (c’est-à-dire fournies par des prestataires recourant à des moyens de traitement – serveurs – situés en dehors du territoire national).
En revanche, les éventuelles restrictions limitant la circulation des données vers des pays tiers à l’UE ne seront pas concernées par ce nouveau Règlement, lequel sera applicable uniquement aux circulations intra-européennes.
4.2/ - Libre accessibilité des données par les autorités nationales
Ensuite, ce texte consacre un principe de libre accessibilité des données par les autorités nationales compétentes à des fins d’exécution de leurs missions. Ce texte prévoit également une coopération intracommunautaire entre les autorités des différents Etats membres (article 5), et crée à cet effet un mécanisme de guichet unique correspondant à un point de contact (article 7) que chaque Etat membre devra désigner et à qui toute autorité d’un autre Etat membre pourra s’adresser pour accéder à des données.
4.3/ - Portage des données au bénéfice des utilisateurs professionnels
Enfin, ce texte prévoit la mise en place d’une politique, par la Commission Européenne, en faveur de l’élaboration de codes de conduite pour faciliter le changement de prestataire de traitement de données.
Ces derniers devront ainsi être encouragés à communiquer aux utilisateurs professionnels des informations précises sur les mécanismes de portabilité et de réversibilité qu’ils proposent (article 6). Cette information devra notamment porter sur les modalités d’exécution de ces mécanismes, tels que les procédures, les exigences techniques, les délais et les coûts, les formats et supports de données disponibles, les configurations informatiques requises et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure, la durée pendant laquelle les données resteront accessibles, les garanties d’accès aux données, en cas de faillite du prestataire (considérant 31).
4.1/- Prohibition de restriction de localisation de données au sein de l’UE.
Tout d’abord, ce texte interdit toute restriction imposant de localiser le stockage – ou toute autre opération de traitement – de données dans le territoire d’un Etat membre de l’UE, sauf justification fondée sur la sécurité publique. En France, on pensera notamment aux opérateurs d’importance vitale (« OIV ») et aux opérateurs de services essentiels (« OSE »). Ainsi, sera favorisée l’émergence d’un marché unique numérique puisque seront interdites les barrières restreignant la fourniture de prestations de traitement de données au sein de l’UE (article 4.1).
Les Etats membres devront abroger toute loi nationale contraire à ce principe, et notifier à la Commission les éventuels textes contraires qui seraient maintenus en en justifiant la raison, et ce d’ici au 30 mai 2021 au plus tard (article 4.3).
En France, on pensera notamment aux dispositions du Code du patrimoine (articles L.111-1 et suivants) restreignant le transfert de données qualifiées d’archives publiques, en dehors du territoire national, et sur lesquelles se sont récemment appuyées certaines administrations pour s’opposer à la souscription, par des collectivités territoriales, d’offres de « Cloud non souverain » (c’est-à-dire fournies par des prestataires recourant à des moyens de traitement – serveurs – situés en dehors du territoire national).
En revanche, les éventuelles restrictions limitant la circulation des données vers des pays tiers à l’UE ne seront pas concernées par ce nouveau Règlement, lequel sera applicable uniquement aux circulations intra-européennes.
4.2/ - Libre accessibilité des données par les autorités nationales
Ensuite, ce texte consacre un principe de libre accessibilité des données par les autorités nationales compétentes à des fins d’exécution de leurs missions. Ce texte prévoit également une coopération intracommunautaire entre les autorités des différents Etats membres (article 5), et crée à cet effet un mécanisme de guichet unique correspondant à un point de contact (article 7) que chaque Etat membre devra désigner et à qui toute autorité d’un autre Etat membre pourra s’adresser pour accéder à des données.
4.3/ - Portage des données au bénéfice des utilisateurs professionnels
Enfin, ce texte prévoit la mise en place d’une politique, par la Commission Européenne, en faveur de l’élaboration de codes de conduite pour faciliter le changement de prestataire de traitement de données.
Ces derniers devront ainsi être encouragés à communiquer aux utilisateurs professionnels des informations précises sur les mécanismes de portabilité et de réversibilité qu’ils proposent (article 6). Cette information devra notamment porter sur les modalités d’exécution de ces mécanismes, tels que les procédures, les exigences techniques, les délais et les coûts, les formats et supports de données disponibles, les configurations informatiques requises et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure, la durée pendant laquelle les données resteront accessibles, les garanties d’accès aux données, en cas de faillite du prestataire (considérant 31).
5/ A QUELLE DATE CE NOUVEAU TEXTE ENTRE-T-IL EN VIGUEUR, PUIS EN APPLICATION ?
Le mécanisme d’entrée en application, prévu par ce texte, est similaire à celui du RGPD :
- une date d’entrée en vigueur, 20 jours après sa publication, soit le 19 décembre 2018 ;
- une date d’entrée en application différée, de six mois, qui interviendra donc le 19 juin 2019.
Bien que ce texte ne prévoit pas de sanctions, les textes qui contreviendraient à cette date, aux dispositions du règlement pourraient être écartés par le juge judiciaire (arrêt « Société des cafés Jacques Vabre » rendu par le Cour de cassation le 24 mai 1975) et/ou le juge administratif (arrêt « Nicolo » rendu par le Conseil d’Etat le 20 octobre 1989).
Ce texte vient compléter l’arsenal du droit de la concurrence et confirme que la donnée est un élément incontournable de notre économie moderne.
Il est en outre, prévu que la Commission publie prochainement « des lignes directrices », notamment, sur l’articulation de ce nouveau texte avec le RGPD. Affaire à suivre donc …
- une date d’entrée en vigueur, 20 jours après sa publication, soit le 19 décembre 2018 ;
- une date d’entrée en application différée, de six mois, qui interviendra donc le 19 juin 2019.
Bien que ce texte ne prévoit pas de sanctions, les textes qui contreviendraient à cette date, aux dispositions du règlement pourraient être écartés par le juge judiciaire (arrêt « Société des cafés Jacques Vabre » rendu par le Cour de cassation le 24 mai 1975) et/ou le juge administratif (arrêt « Nicolo » rendu par le Conseil d’Etat le 20 octobre 1989).
Ce texte vient compléter l’arsenal du droit de la concurrence et confirme que la donnée est un élément incontournable de notre économie moderne.
Il est en outre, prévu que la Commission publie prochainement « des lignes directrices », notamment, sur l’articulation de ce nouveau texte avec le RGPD. Affaire à suivre donc …