La commission du marché intérieur et de la protection des consommateurs a adopté le rapport dAnna Maria CORAZZA BILDT (PPE, SE) de sur la proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans lUnion européenne.
Pour rappel, le règlement proposé vise à assurer la libre circulation de données autres que les données à caractère personnel au sein de lUnion, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels.
La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture dans le cadre de la procédure législative ordinaire modifie la proposition de la Commission comme suit :
Principe de libre circulation des données à caractère non personnel: les députés ont précisé que les exigences de localisation des données devraient être interdites, sauf si, à titre exceptionnel, elles sont justifiées par des raisons impérieuses de sécurité publique, dans le respect du principe de proportionnalité.
La notion de «motifs impérieux de sécurité publique» présuppose une menace pour la sécurité publique dun degré de gravité particulièrement élevé. Lamendement sappuie sur le traité et la jurisprudence applicable de la Cour de justice pour clarifier le concept de sécurité publique.
Les députés ont souhaité fixer une échéance précise (au plus tard un an après lentrée en vigueur du règlement] avant laquelle les États membres doivent communiquer les exigences de localisation des données quils souhaitent maintenir. La Commission devrait examiner le projet dacte dans un délai de trois mois et décider si lÉtat membre en cause doit ou non modifier ou abroger les exigences de localisation des données. Toutes les autres exigences de localisation des données devraient être publiées sur le site web de la Commission, afin de garantir un accès aisé à ces informations.
Champ dapplication: les députés ont précisé que les autorités et entités du secteur public devraient également bénéficier de la libre circulation des données. Le règlement devrait sappliquer à tous les niveaux de gouvernance, y compris dans le domaine des marchés publics.
Ensemble de données mixtes: dans le cas dun ensemble de données mixtes, à savoir un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le règlement devrait sappliquer aux données à caractère non personnel de lensemble. Lorsque des données à caractère personnel et non personnel dans un ensemble de données mixtes sont inextricablement liées, le règlement sappliquerait sans préjudice du règlement général sur la protection des données (règlement (UE) 2016/679).
Accès aux données pour les autorités compétentes: la proposition de la Commission prévoit que lorsquune autorité compétente a épuisé tous les moyens possibles davoir accès à des données, elle pourrait demander lassistance dune autorité dans un autre État membre sil nexiste aucun mécanisme de coopération spécifique. Les députés estiment pour leur part quune telle assistance pourrait être sollicitée lorsquune autorité compétente nobtient pas laccès aux données après avoir contacté lutilisateur du service de traitement de données et qu'il n'existe pas de mécanisme de coopération spécifique en vertu du droit de l'Union ou d'accords internationaux pour l'échange de données entre autorités compétentes de différents États membres.
Les députés précisent en outre que laccès aux installations où sont stockées les données devrait être accordé conformément à la législation nationale de lÉtat membre où se trouvent les locaux ou les équipements.
Codes de conduite: les codes de conduite par autorégulation au niveau de lUnion devraient contribuer à une économie des données compétitive, qui soient fondés sur le principe de transparence et qui établissent des lignes directrices concernant, notamment, les questions suivantes:
La Commission devrait encourager les fournisseurs à terminer le développement des codes de conduite au plus tard un an après la date de publication du règlement et à les mettre effectivement en uvre au plus tard 2 ans après la date de publication du règlement. Elle devrait veiller à ce que les codes de conduite soient élaborés en étroite coopération avec toutes les parties intéressées, y compris les associations de petites et moyennes entreprises et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage.
Point de contact unique: les députés estiment que le savoir-faire des points de contact uniques pourrait non seulement être utilisé comme relais entre les États membres et la Commission, mais quil pourrait aussi faire le lien entre les établissements denseignement et les utilisateurs.
Réexamen: au plus tard 3 ans et 6 mois après la date de publication du règlement, la Commission devrait soumettre un rapport évaluant la mise en uvre du règlement, notamment en ce qui concerne: i) lapplication du règlement aux ensembles de données mixtes; ii) la mise en uvre par les États membres de lexception relative à la sécurité publique; iii) lélaboration et la mise en uvre effective des codes de conduite.