Le Parlement européen a adopté par 520 voix pour, 81 contre et 6 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans lUnion européenne.
La position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit:
Objet: le règlement proposé vise à assurer la libre circulation de données autres que les données à caractère personnel au sein de lUnion, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels.
Lessor de linternet des objets, lintelligence artificielle et lapprentissage automatique représentent des sources importantes de données à caractère non personnel. Parmi les données à caractère non personnel, le projet dacte législatif cite notamment les ensembles de données agrégées et anonymisées utilisées pour lanalyse des mégadonnées, les données sur lagriculture de précision qui peuvent aider à contrôler et à optimiser lutilisation des pesticides et de leau, ou encore les données sur les besoins dentretien des machines industrielles.
Principe de libre circulation des données à caractère non personnel: en vertu du texte amendé, les exigences de localisation des données seraient interdites, sauf si elles sont justifiées par des raisons impérieuses de sécurité publique, dans le respect du principe de proportionnalité.
Le concept de sécurité publique, au sens de larticle 52 du traité sur le fonctionnement de lUnion européenne et tel que linterprète la Cour de justice, englobe à la fois la sécurité intérieure et extérieure dun État membre, mais aussi les questions de sûreté publique.
Le Parlement a fixé une échéance précise (au plus tard deux ans après lentrée en vigueur du règlement] avant laquelle les États membres doivent communiquer les exigences existantes de localisation des données quils souhaitent maintenir. La Commission devrait examiner le projet dacte dans un délai de six mois et adresser, le cas échéant, des observations à lÉtat membre concerné, y compris en lui recommandant de modifier ou dabroger la mesure.
Les États membres devraient publier les détails de toutes les exigences de localisation des données par lintermédiaire dun point dinformation unique en ligne national. La Commission publierait sur son site internet les liens vers ces points dinformation unique ainsi quune liste consolidée régulièrement mise à jour de toutes les exigences de localisation des données.
Accès aux données pour les autorités compétentes: laccès aux données par les autorités compétentes ne pourrait être refusé au motif que les données sont traitées dans un autre État membre.
Lorsquune autorité compétente nobtient pas laccès aux données après avoir contacté lutilisateur du service de traitement de données et qu'il n'existe pas de mécanisme de coopération spécifique en vertu du droit de l'Union ou d'accords internationaux pour l'échange de données entre autorités compétentes de différents États membres, cette autorité pourrait solliciter lassistance de lautorité compétente dans un autre État membre.
Les États membres pourraient imposer des sanctions effectives, proportionnées et dissuasives en cas de manquement à lobligation de fournir des données, conformément au droit de lUnion et au droit national.
Codes de conduite: la Commission devrait encourager lélaboration de codes de conduite par autorégulation au niveau de lUnion afin de contribuer à une économie des données compétitive, fondée sur les principes de transparence et dinteropérabilité et tenant compte des normes ouvertes, concernant, notamment, les aspects suivants :
La Commission devrait encourager les fournisseurs à terminer le développement des codes de conduite au plus tard un an après la date de publication du règlement et à les mettre effectivement en uvre au plus tard 18 mois après cette date. Elle devrait veiller à ce que les codes de conduite soient élaborés en étroite coopération avec toutes les parties intéressées, y compris les associations de PME et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage.
Données mixtes: dans le cas dun ensemble de données mixtes, à savoir un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le règlement devrait sappliquer aux données à caractère non personnel de lensemble. Lorsque des données à caractère personnel et non personnel dans un ensemble de données mixtes sont inextricablement liées, le règlement sappliquerait sans préjudice du règlement général sur la protection des données (règlement (UE) 2016/679).
Réexamen: au plus tard quatre ans après la date de publication du règlement, la Commission devrait soumettre un rapport évaluant la mise en uvre du règlement, notamment en ce qui concerne: i) lapplication du règlement aux ensembles de données mixtes; ii) la mise en uvre par les États membres de lexception relative à la sécurité publique; iii) lélaboration et la mise en uvre effective des codes de conduite.