La libre circulation des données non personnelles : quèsaco ?
29/05/2019
Après le règlement général sur la protection des données (RGPD) du 14 avril 2016, le parlement et le conseil européens ont adopté le règlement sur la libre circulation des données non personnelles, entré en vigueur le 27 mai 2019 au sein de l’Union européenne. Décryptage avec Nicolas Eréséo, chercheur au sein de l’unité de recherche Droit, religion, économie et société (DRES).
Qu’entend-on par données non personnelles ?
Ce sont les données qui ne permettent pas d’identifier les personnes. Cela peut être par exemple les données de l’agriculture sur l’utilisation des pesticides, celles des industriels sur les besoins de maintenance d’un appareil, etc. Il existe des « controverses » sur ce que sont ces données, comme dans le cas d’une base de données créée à partir de patients bénéficiant de soin, pour une certaine maladie dans une région particulière. Bien que ces données puissent être « anonymisées » et non personnelles, un risque existe que des personnes soient indirectement identifiées.
Pourquoi le règlement a-t-il été mis en place ?
Le marché unique européen permet la circulation libre des personnes, des capitaux, des marchandises et des prestations de service dans l’Union européenne. Depuis quelques années, le marché du numérique connaît une accélération. Il est devenu nécessaire d’adapter le droit européen pour prendre en compte cette dimension. L’idée est de créer un marché unique numérique et les conditions d’une concurrence plus forte entre fournisseurs de services informatiques, pour le cloud notamment. Pour cela il faut supprimer les obstacles en ligne qui entravent l’accès des citoyens aux biens et aux services, limitent l’horizon des entreprises et des start-up du secteur de l’internet et empêchent les entreprises et les États de tirer pleinement partie des outils numériques.
Vous parlez d’obstacles, pouvez-vous en dire plus ?
Il en existe deux types : publics et privés. Les obstacles d’origine publique sont les Etats membres qui exigent une localisation nationale des bases de données. Cela devient interdit avec le nouveau règlement sauf pour des raisons de sécurité publique, si les données sont trop sensibles. Les accords conclus entre les entreprises et les prestataires de service constituent les obstacles d’origine privée. Les entreprises clientes sont en effet souvent dépendantes de ces prestataires et peuvent éprouver des difficultés à récupérer leurs données ou à les transférer à un autre prestataire du fait d’obstacles techniques (utilisation de formats informatiques non standards et fermés) ou de clauses contractuelles les dissuadant de mettre un terme à la relation. Il peut s’agir par exemple d’une clause prévoyant une somme d’argent importante à payer en contrepartie de la migration des données ou encore d’une clause prévoyant que l’entreprise ne pourra pas mettre un terme au contrat avant plusieurs années.
Comment concrètement faire face à ces obstacles privés ?
La commission européenne invite les fournisseurs de service informatique à se réunir avant le 29 novembre 2019 pour adopter des codes de conduite, afin de favoriser le libre échange des données. Le règlement ne fixe pas de règles contraignantes comme il le fait pour les obstacles publics et fait le choix de l’auto-régulation. Il pourra s’agir par exemple d’établir des modèles de contrats pour organiser la manière dont les données seront transférées si le client le demande. La mise en œuvre effective de ces pratiques devra avoir lieu au plus tard le 29 mai 2020.
Vanessa Narbonne