OBJECTIF: éliminer les obstacles à la libre circulation des données à caractère non personnel dans l'UE.
ACTE LÉGISLATIF: Règlement (UE) 2018/1807 du Parlement européen et du Conseil établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne.
CONTENU: le règlement vise à assurer le libre flux de données autres que les données à caractère personnel au sein de l'Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels.
La nouvelle réglementation est conçue pour dynamiser l'économie des données et le développement de technologies émergentes telles que l'intelligence artificielle, les produits et les services en lien avec l'internet des objets et les systèmes autonomes et la 5G qui soulèvent de nouvelles questions juridiques quant à l'accès aux données et à leur réutilisation, à la responsabilité, à l'éthique et à la solidarité.
Principe de libre circulation des données au sein de l'Union
Le règlement interdit les restrictions liées à la localisation des données imposées par les États membres en matière de localisation géographique du stockage ou du traitement des données à caractère non personnel, à moins qu'elles ne se justifient par des motifs de sécurité publique.
Les États membres devront communiquer immédiatement à la Commission tout projet d'acte introduisant une nouvelle exigence de localisation des données ou modifiant une exigence de localisation des données existante. Au plus tard le 30 mai 2021, toute exigence existante de localisation des données devra être abrogée.
Disponibilité des données pour les autorités compétentes
Les autorités compétentes conserveront le pouvoir de demander l'accès à des données pour l'accomplissement de leurs fonctions officielles, conformément au droit de l'Union ou au droit national. L'accès aux données par les autorités compétentes ne pourra être refusé au motif que les données sont traitées dans un autre État membre.
Lorsquune autorité compétente nobtient pas laccès aux données après avoir contacté lutilisateur du service de traitement de données et qu'il n'existe pas de mécanisme de coopération spécifique en vertu du droit de l'Union ou d'accords internationaux pour l'échange de données entre autorités compétentes de différents États membres, cette autorité pourra solliciter lassistance de lautorité compétente dans un autre État membre.
Les États membres pourront imposer des sanctions effectives, proportionnées et dissuasives en cas de manquement à lobligation de fournir des données.
Codes de conduite
Le règlement encourage l'élaboration de codes de conduite afin qu'il soit plus facile pour les utilisateurs de services de traitement de données de changer de fournisseur et de transférer leurs données pour les rapatrier vers leur propre système informatique.
Les codes de conduite devront être complets et englober au minimum les aspects qui s'avèrent essentiels au cours du processus de portage des données, tels que i) les processus et la localisation des sauvegardes de données, ii) les formats et supports de données disponibles, iii) la configuration informatique requise et la bande passante minimale du réseau, iv) le délai à prévoir avant le lancement de la procédure de portage et la durée pendant laquelle les données resteront accessibles en vue de leur portage, ainsi que vi) les garanties d'accès aux données en cas de faillite du fournisseur de services.
La Commission encouragera les fournisseurs de services à terminer le développement des codes de conduite au plus tard le 29 novembre 2019 et à les mettre effectivement en uvre au plus tard le 29 mai 2020. Elle devra veiller à ce que les codes de conduite soient élaborés en étroite coopération avec toutes les parties intéressées, y compris les associations de PME et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage.
Données mixtes
Dans le cas dun ensemble de données mixtes, à savoir un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le règlement sappliquera aux données à caractère non personnel de lensemble.
Lorsque des données à caractère personnel et non personnel dans un ensemble de données mixtes sont inextricablement liées, le règlement sappliquerait sans préjudice du règlement général sur la protection des données (règlement (UE) 2016/679).
Chaque État membre devra désigner un point de contact unique qui assure la liaison avec les points de contact uniques des autres États membres et la Commission en ce qui concerne l'application du règlement.
ENTRÉE EN VIGUEUR : 18.12.2018
APPLICATION : à partir du 18.6.2019