Libre circulation des données non personnelles dans l'Union européenne

2017/0228(COD)

La commission du marché intérieur et de la protection des consommateurs a adopté le rapport d’Anna Maria CORAZZA BILDT (PPE, SE) de sur la proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne.

Pour rappel, le règlement proposé vise à assurer la libre circulation de données autres que les données à caractère personnel au sein de l’Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels.

La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition de la Commission comme suit :

Principe de libre circulation des données à caractère non personnel: les députés ont précisé que les exigences de localisation des données devraient être interdites, sauf si, à titre exceptionnel, elles sont justifiées par des raisons impérieuses de sécurité publique, dans le respect du principe de proportionnalité.

La notion de «motifs impérieux de sécurité publique» présuppose une menace pour la sécurité publique d’un degré de gravité particulièrement élevé. L’amendement s’appuie sur le traité et la jurisprudence applicable de la Cour de justice pour clarifier le concept de sécurité publique.

Les députés ont souhaité fixer une échéance précise (au plus tard un an après l’entrée en vigueur du règlement] avant laquelle les États membres doivent communiquer les exigences de localisation des données qu’ils souhaitent maintenir. La Commission devrait examiner le projet d’acte dans un délai de trois mois et décider si l’État membre en cause doit ou non modifier ou abroger les exigences de localisation des données. Toutes les autres exigences de localisation des données devraient être publiées sur le site web de la Commission, afin de garantir un accès aisé à ces informations.

Champ d’application: les députés ont précisé que les autorités et entités du secteur public devraient également bénéficier de la libre circulation des données. Le règlement devrait s’appliquer à tous les niveaux de gouvernance, y compris dans le domaine des marchés publics.

Ensemble de données mixtes: dans le cas d’un ensemble de données mixtes, à savoir un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le règlement devrait s’appliquer aux données à caractère non personnel de l’ensemble. Lorsque des données à caractère personnel et non personnel dans un ensemble de données mixtes sont inextricablement liées, le règlement s’appliquerait sans préjudice du règlement général sur la protection des données (règlement (UE) 2016/679).

Accès aux données pour les autorités compétentes: la proposition de la Commission prévoit que lorsqu’une autorité compétente a épuisé tous les moyens possibles d’avoir accès à des données, elle pourrait demander l’assistance d’une autorité dans un autre État membre s’il n’existe aucun mécanisme de coopération spécifique. Les députés estiment pour leur part qu’une telle assistance pourrait être sollicitée lorsqu’une autorité compétente n’obtient pas l’accès aux données après avoir contacté l’utilisateur du service de traitement de données et qu'il n'existe pas de mécanisme de coopération spécifique en vertu du droit de l'Union ou d'accords internationaux pour l'échange de données entre autorités compétentes de différents États membres.

Les députés précisent en outre que l’accès aux installations où sont stockées les données devrait être accordé conformément à la législation nationale de l’État membre où se trouvent les locaux ou les équipements.

Codes de conduite: les codes de conduite par autorégulation au niveau de l’Union devraient contribuer à une économie des données compétitive, qui soient fondés sur le principe de transparence et qui établissent des lignes directrices concernant, notamment, les questions suivantes:

  • les bonnes pratiques qui facilitent le changement de fournisseurs et le portage des données dans des formats structurés, usuels, interopérables et lisibles par machine;
  • les exigences minimales d’information afin que les utilisateurs professionnels disposent d’informations suffisamment détaillées, claires et transparentes, préalablement à la signature d’un contrat de stockage et de traitement des données.

La Commission devrait encourager les fournisseurs à terminer le développement des codes de conduite au plus tard un an après la date de publication du règlement et à les mettre effectivement en œuvre au plus tard 2 ans après la date de publication du règlement. Elle devrait veiller à ce que les codes de conduite soient élaborés en étroite coopération avec toutes les parties intéressées, y compris les associations de petites et moyennes entreprises et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage.

Point de contact unique: les députés estiment que le savoir-faire des points de contact uniques pourrait non seulement être utilisé comme relais entre les États membres et la Commission, mais qu’il pourrait aussi faire le lien entre les établissements d’enseignement et les utilisateurs.

Réexamen: au plus tard 3 ans et 6 mois après la date de publication du  règlement, la Commission devrait soumettre un rapport évaluant la mise en œuvre du règlement, notamment en ce qui concerne: i) l’application du règlement aux ensembles de données mixtes; ii) la mise en œuvre par les États membres de l’exception relative à la sécurité publique; iii) l’élaboration et la mise en œuvre effective des codes de conduite.