Pour une libre circulation des données à caractère non personnel

Un règlement européen a été adopté en marge du cadre juridique relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, afin de faciliter le flux des données à caractère non personnel sur le marché intérieur.

Source : Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne

 

L’essor de l’internet des objets, l’intelligence artificielle et l’apprentissage automatique représentent des sources importantes de données à caractère non personnel, par exemple en raison de leur déploiement dans des processus automatisés de production industrielle.

 

Ainsi, des données à caractère non personnel présentent une valeur lorsqu’elles sont analysées ou combinées à des services et des produits.

 

Dans le même temps, l’émergence de technologies telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, la responsabilité, l’éthique et la solidarité.

 

Le Parlement européen et le Conseil ont donc décidé d’apporter un cadre juridique concernant la libre circulation des données non personnelles, afin de faciliter la concurrence entre les fournisseurs de services informatiques en nuage dans l’Union et développer les activités des entreprises de recherche et de développement, des universités et d’autres organismes de recherche.

 

Cette réglementation ne remet aucunement en cause le cadre juridique existant concernant la protection des données à caractère personnel, puisqu’il concerne les données anonymisées.

 

Le Règlement s’applique au traitement de données électroniques non personnelles, qui est :

 

- fourni en tant que service aux utilisateurs résidant ou disposant d’un établissement dans l’Union par un fournisseur de service disposant d’un établissement dans l’Union ou non ;

 

- effectué par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins.

 

Selon le principe de libre circulation des données non personnelles, les exigences de localisation des données sont interdites, sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité.

 

Cette règle n’affecte pas le pouvoir des autorités compétentes, à commencer par la CNIL, de demander ou d’obtenir l’accès à des données pour l’accomplissement de leurs fonctions officielles. Aussi, les autorités compétentes sont encouragées à faciliter l’élaboration de codes de conduite par autorégulation, afin de contribuer à une économie de données compétitive, fondée sur des principes de transparence et d’intéropérabilité et tenant compte des normes ouvertes concernant notamment :

 

- les bonnes pratiques qui facilitent le changement de fournisseurs de services et le portage des données dans des formats structurés, usuels et lisibles par machine ;

 

- les exigences minimales d’information afin que les utilisateurs professionnels disposent, préalablement à la conclusion d’un contrat de traitement des données, d’informations suffisamment détaillées, claires et transparentes en ce qui concerne les processus, les exigences techniques, les délais et les frais qui s’appliquent dans le cas où un utilisateur professionnel souhaite changer de fournisseur ;

 

- les approches en matière de dispositifs de certification facilitant la comparaison entre les produits et services de traitement des données pour les utilisateurs professionnels ;

 

- les feuilles de route de communication axées sur une démarche pluridisciplinaire afin d’informer les parties sur les codes de conduite.

 

Il est également prévu plusieurs règles destinées à faciliter le contact entre les différentes autorités de l’Union, pour une meilleure harmonisation des normes nationales.