France: À l'heure du règlement européen relatif au libre flux des données à caractère non personnel

1. De l'économie de la donnée. Pour un peu, on aurait presque oublié que toutes les données ne sont pas nécessairement à caractère personnel ; voire que l'immense majorité d'entre elles, dont les données bancaires et financières1, ne le sont sans doute pas. Il est vrai qu'en cette époque de « RGPD mania », on voit des données personnelles partout. Prenez l'exemple des contrats bancaires (conventions de compte, contrats-cadres de services de paiement, etc.), mis à jour plus ou moins en catastrophe : on y constate une ridicule hypertrophie de la « clause RGPD ».

D'où l'intérêt de prendre connaissance du règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne, publié au JOUE du 28 novembre, date marquant le point de départ du délai de six mois au terme duquel le présent règlement s'appliquera2. Où l'on remarque que le texte ne porte plus, comme à l'origine (la proposition de règlement date du 13 septembre 20173), sur la libre « circulation » mais sur le libre « flux » (flow)4 des données non personnelles, ce qui accentue sans doute le caractère de fluidité recherché.

On souhaite insister sur ces premiers mots du considérant (1) du règlement nouveau : « La transformation numérique de l'économie s'accélère. Les technologies de l'information et des communications ne constituent plus un secteur d'activité parmi d'autres, mais la base de tous les systèmes économiques innovants et des sociétés modernes. Les données électroniques sont au centre de ces systèmes et peuvent générer une grande valeur lorsqu'elles sont analysées ou combinées à des services et des produits ». C'est en effet d'économie des données (de 4e révolution industrielle dit-on parfois) dont il s'agit et dont le free flow doit être assuré, afin de construire l'espace européen unique des données, qui compose lui-même le marché unique numérique. Intelligence artificielle, internet des objets, systèmes autonomes, etc., sont autant d'activités qui se nourrissent de données et en créent à leur tour. La littérature européenne est riche à cet égard, comme l'illustrent les trois documents préparatoires suivants : Vers une économie de la donnée prospère5, Créer une économie européenne fondée sur les données6 et Vers un espace européen commun des données7. On retient de la première communication que « sous réserve que les règles relatives à la protection des données à caractère personnel, le cas échéant, soient respectées, les données, une fois enregistrées, peuvent être réutilisées de nombreuses fois, sans perte de fidélité. Cette génération de valeur agrégée se trouve au centre du concept de chaîne de valeur des données. Par exemple, les informations agrégées sur la position géographique des téléphones mobiles dans les voitures peuvent être réutilisées pour évaluer le trafic routier en temps réel » (p. 5) ; de la seconde, que « l'économie fondée sur les données mesure l'incidence globale du marché des données – c'est-à-dire le marché sur lequel les données numériques s'échangent sous forme de produits ou services dérivés de données brutes – sur l'économie dans son ensemble. Elle englobe la production, la collecte, le stockage, le traitement, la distribution, l'analyse, l'élaboration, la fourniture et l'exploitation des données grâce aux technologies numériques » (p. 2, note 1), sachant que, en terme de marché, l'économie fondée sur les données a représenté 272 milliards d'euros en 2015 et devrait passer à 643 milliards d'euros d'ici 2020 (id.) ; enfin, on note dans la troisième que « les données constituent la matière première du marché unique numérique. Elles peuvent révolutionner nos vies et créer de nouvelles perspectives de croissance, y compris pour les petites et moyennes entreprises » (p. 2).

2. Du libre flux des données à caractère non personnel. L'unité de base : la donnée, peut se définir comme « une représentation réinterprétable d'une information sous une forme conventionnelle convenant à la communication, à l'interprétation ou au traitement » (définition ISO)8. Les données numériques sont aujourd'hui traitées massivement (big data), conduisent elles-mêmes l'innovation (data- driven innovation) et sont au coeur de la « révolution fintech »9.

On distingue ensuite, et désormais, entre données à caractère personnel, au sens du « fameux » règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit « RGPD »)10, et données à caractère non personnel, i.e. « les données autres que les données à caractère personnel au sens de l'article 4, point 1) du règlement (UE) 2016/679 »11. Sauf que les données peuvent composer un ensemble mélangeant à la fois données à caractère personnel et données à caractère non personnel. En ce cas, le règlement sous commentaire prévoit qu'il s'appliquera aux données de l'ensemble à caractère non personnel, sauf à ce que les unes et les autres ne soient « inextricablement liées », ce qui aura comme conséquence (la formule est sibylline) que « le présent règlement [sera] sans préjudice de l'application du règlement (UE) 2016/679 » (art. 2, 2).

Arrêtons-nous un instant sur cet apparent paradoxe : nous trouvons d'un côté un règlement « général » portant sur des données « particulières » (les données à caractère personnel) et, de l'autre, un règlement « particulier » traitant des données « générales » (les données à caractère non personnel) 12. Quoi qu'il en soit, RGPD et règlement sur les données à caractère non personnel partagent le même objectif de promotion de la mobilité des données ; objectif central dans ce dernier texte, qui « vise à assurer le libre flux de données autres que les données à caractère personnel au sein de l'Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels » (art. 1er).

3. Localisation, disponibilité et portage des données à caractère non personnel. Comparé à la « logorrhée » du RGPD (173 considérants, 99 articles), le règlement sur les données à caractère non personnel fait montre d'une grande sobriété (trop peut-être), car s'il compte 39 considérants passablement « verbeux », il n'édicte que 9 articles, les articles 4, 5 et 6 en formant la matière essentielle. Article 4, d'abord, portant sur la « libre circulation des données au sein de l'Union », mais relatif en réalité à la localisation, qui dispose principalement : « Les exigences de localisation des données sont interdites, sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité » (art. 4, 1). S'ensuit un régime, que nous ne détaillerons pas, d'obligations de communication, de publication ou d'abrogation par les États membres à la Commission de toute exigence de localisation existante ou projetée (art. 4, 2 à 5), exigence de localisation définie comme « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d'un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE, qui impose le traitement des données sur le territoire d'un État membre donné ou qui entrave le traitement des données dans un autre État membre » (art. 3, 5)).

La disponibilité des données à caractère non personnel, ensuite, concerne l'accès à celles-ci par les autorités compétentes (autorité habilitée à exercer une fonction publique ou la puissance publique et qui a le pouvoir d'obtenir l'accès aux données pour l'exécution de ses fonctions officielles), y compris lorsque les données sont traitées dans un autre État membre (art. 5, 1) ; étant ajouté qu'une procédure de coopération entre les autorités est prévue à l'article 7 du règlement, qui impose à chaque État membre de désigner un point de contact unique – c'est très à la mode – en charge d'assurer la liaison avec les autres points de contact uniques des autres États en ce qui concerne l'application du règlement. On remarque par ailleurs qu'une sorte d'« obligation de fournir des données » serait mise à la charge de l'utilisateur (art. 5, 4), entendus comme « une personne physique ou morale, y compris une autorité publique ou un organisme de droit public, qui utilise ou demande un service de traitement des données » (art. 3, 7)).

On terminera ce commentaire en évoquant la question, sans doute majeure, du « portage des données », objet de l'article 6 et placée sous le signe de l'autorégulation : « La Commission encourage et facilite l'élaboration de codes de conduite par autorégulation au niveau de l'Union (ci-après dénommés "codes de conduite"), afin de contribuer à une économie des données compétitive, fondée sur les principes de transparence et d'interopérabilité et tenant dûment compte des normes ouvertes (...) » (art. 6, 1). Sachant que la Commission encourage enfin les fournisseurs de services (en nuage, cloud)13 à disposer de codes de conduite au plus tard le 29 novembre 2019 et à les mettre effectivement en place avant le 29 mai 2020.

Footnotes

1 - Cf. ACPR, Analyses et Synthèses, Étude sur la révolution numérique dans le secteur bancaire français, n° 88, mars 2018, où les occurrences du mot « donnée » sont très nombreuses, parmi lesquelles on retiendra ceci : « Le principal défi sera de surmonter les différents silos de données ainsi que les différences de qualité de celles-ci (données structurées et non structurées, mise en commun de données issus d'univers distincts), et de développer plus avant des outils d'exploitation de ces masses de données. Les établissements cherchent donc à mettre en place des entrepôts de données (data lake), mais la constitution d'un entrepôt de données doit être accompagnée de la définition d'un modèle économique de la donnée en interne (qui est en le propriétaire, qui en assure la collecte et la qualité, qui y a accès et sous quelles conditions, qui est en responsable) » (p. 21).

2 - Voir déjà A. Banck, Règlement sur les données à caractère non personnel : l'autre réglementation sur les données !, Revue Banque n° 825, nov. 2018, p. 46.

3 - COM(2017) 495 final.

4 - En réalité, la version anglaise de la proposition de règlement a toujours porté sur le "free flow", d'abord traduit par « libre circulation » et, dans le dernier état du texte, par « libre flux ».

5 - Communication de la Commission européenne, COM (2014) 442 final, 2 juill. 2014.

6 - Communication de la Commission européenne, COM (2017) 9 final, 10 janv. 2017.

7 - Communication de la Commission européenne, COM(2018) 232 final, 25 avr. 2018.

8 - Communication de la Commission européenne, Vers une économie de la donnée prospère, précit., p. 5. 9- Cf. Joint Comittee Discussion Paper on the Use of Big Data by Financial Institutions, JC 2016 86. Adde, Joint Committer Final Report on Big Data, JC/2018/04, 15 march 2018.

10 - Cf. art. 4, 1) : « "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

11 - Règl. 2018/1807, art. 3, 1).

12 - Sans oublier ce 3e côté que serait un futur règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement dit « vie privée et communications électroniques »), dont la proposition date du 10 janvier 2017, mais est encore bloquée au Conseil (COM(2017) 10 final).

13 - Cf. EBA, Recommandations sur l'externalisation vers des fournisseurs de services en nuage, EBA/REC/2017/03, 23/03/2018.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

To print this article, all you need is to be registered on Mondaq.com.

Click to Login as an existing user or Register so you can print this article.

Authors
 
Some comments from our readers…
“The articles are extremely timely and highly applicable”
“I often find critical information not available elsewhere”
“As in-house counsel, Mondaq’s service is of great value”

Related Topics
 
Related Articles
 
Up-coming Events Search
Tools
Print
Font Size:
Translation
Channels
Mondaq on Twitter
 
Mondaq Sign Up
Gain free access to lawyers expertise from more than 250 countries.
 
Email Address
Company Name
Password
Confirm Password
Country
Position
Industry
Mondaq Newsalert
Select Topics
Select Regions
Registration (please scroll down to set your data preferences)

Mondaq Ltd requires you to register and provide information that personally identifies you, including your content preferences, for three primary purposes (full details of Mondaq’s use of your personal data can be found in our Privacy and Cookies Notice):

  • To allow you to personalize the Mondaq websites you are visiting to show content ("Content") relevant to your interests.
  • To enable features such as password reminder, news alerts, email a colleague, and linking from Mondaq (and its affiliate sites) to your website.
  • To produce demographic feedback for our content providers ("Contributors") who contribute Content for free for your use.

Mondaq hopes that our registered users will support us in maintaining our free to view business model by consenting to our use of your personal data as described below.

Mondaq has a "free to view" business model. Our services are paid for by Contributors in exchange for Mondaq providing them with access to information about who accesses their content. Once personal data is transferred to our Contributors they become a data controller of this personal data. They use it to measure the response that their articles are receiving, as a form of market research. They may also use it to provide Mondaq users with information about their products and services.

Details of each Contributor to which your personal data will be transferred is clearly stated within the Content that you access. For full details of how this Contributor will use your personal data, you should review the Contributor’s own Privacy Notice.

Please indicate your preference below:

Yes, I am happy to support Mondaq in maintaining its free to view business model by agreeing to allow Mondaq to share my personal data with Contributors whose Content I access
No, I do not want Mondaq to share my personal data with Contributors

Also please let us know whether you are happy to receive communications promoting products and services offered by Mondaq:

Yes, I am happy to received promotional communications from Mondaq
No, please do not send me promotional communications from Mondaq
Terms & Conditions

Mondaq.com (the Website) is owned and managed by Mondaq Ltd (Mondaq). Mondaq grants you a non-exclusive, revocable licence to access the Website and associated services, such as the Mondaq News Alerts (Services), subject to and in consideration of your compliance with the following terms and conditions of use (Terms). Your use of the Website and/or Services constitutes your agreement to the Terms. Mondaq may terminate your use of the Website and Services if you are in breach of these Terms or if Mondaq decides to terminate the licence granted hereunder for any reason whatsoever.

Use of www.mondaq.com

To Use Mondaq.com you must be: eighteen (18) years old or over; legally capable of entering into binding contracts; and not in any way prohibited by the applicable law to enter into these Terms in the jurisdiction which you are currently located.

You may use the Website as an unregistered user, however, you are required to register as a user if you wish to read the full text of the Content or to receive the Services.

You may not modify, publish, transmit, transfer or sell, reproduce, create derivative works from, distribute, perform, link, display, or in any way exploit any of the Content, in whole or in part, except as expressly permitted in these Terms or with the prior written consent of Mondaq. You may not use electronic or other means to extract details or information from the Content. Nor shall you extract information about users or Contributors in order to offer them any services or products.

In your use of the Website and/or Services you shall: comply with all applicable laws, regulations, directives and legislations which apply to your Use of the Website and/or Services in whatever country you are physically located including without limitation any and all consumer law, export control laws and regulations; provide to us true, correct and accurate information and promptly inform us in the event that any information that you have provided to us changes or becomes inaccurate; notify Mondaq immediately of any circumstances where you have reason to believe that any Intellectual Property Rights or any other rights of any third party may have been infringed; co-operate with reasonable security or other checks or requests for information made by Mondaq from time to time; and at all times be fully liable for the breach of any of these Terms by a third party using your login details to access the Website and/or Services

however, you shall not: do anything likely to impair, interfere with or damage or cause harm or distress to any persons, or the network; do anything that will infringe any Intellectual Property Rights or other rights of Mondaq or any third party; or use the Website, Services and/or Content otherwise than in accordance with these Terms; use any trade marks or service marks of Mondaq or the Contributors, or do anything which may be seen to take unfair advantage of the reputation and goodwill of Mondaq or the Contributors, or the Website, Services and/or Content.

Mondaq reserves the right, in its sole discretion, to take any action that it deems necessary and appropriate in the event it considers that there is a breach or threatened breach of the Terms.

Mondaq’s Rights and Obligations

Unless otherwise expressly set out to the contrary, nothing in these Terms shall serve to transfer from Mondaq to you, any Intellectual Property Rights owned by and/or licensed to Mondaq and all rights, title and interest in and to such Intellectual Property Rights will remain exclusively with Mondaq and/or its licensors.

Mondaq shall use its reasonable endeavours to make the Website and Services available to you at all times, but we cannot guarantee an uninterrupted and fault free service.

Mondaq reserves the right to make changes to the services and/or the Website or part thereof, from time to time, and we may add, remove, modify and/or vary any elements of features and functionalities of the Website or the services.

Mondaq also reserves the right from time to time to monitor your Use of the Website and/or services.

Disclaimer

The Content is general information only. It is not intended to constitute legal advice or seek to be the complete and comprehensive statement of the law, nor is it intended to address your specific requirements or provide advice on which reliance should be placed. Mondaq and/or its Contributors and other suppliers make no representations about the suitability of the information contained in the Content for any purpose. All Content provided "as is" without warranty of any kind. Mondaq and/or its Contributors and other suppliers hereby exclude and disclaim all representations, warranties or guarantees with regard to the Content, including all implied warranties and conditions of merchantability, fitness for a particular purpose, title and non-infringement. To the maximum extent permitted by law, Mondaq expressly excludes all representations, warranties, obligations, and liabilities arising out of or in connection with all Content. In no event shall Mondaq and/or its respective suppliers be liable for any special, indirect or consequential damages or any damages whatsoever resulting from loss of use, data or profits, whether in an action of contract, negligence or other tortious action, arising out of or in connection with the use of the Content or performance of Mondaq’s Services.

General

Mondaq may alter or amend these Terms by amending them on the Website. By continuing to Use the Services and/or the Website after such amendment, you will be deemed to have accepted any amendment to these Terms.

These Terms shall be governed by and construed in accordance with the laws of England and Wales and you irrevocably submit to the exclusive jurisdiction of the courts of England and Wales to settle any dispute which may arise out of or in connection with these Terms. If you live outside the United Kingdom, English law shall apply only to the extent that English law shall not deprive you of any legal protection accorded in accordance with the law of the place where you are habitually resident ("Local Law"). In the event English law deprives you of any legal protection which is accorded to you under Local Law, then these terms shall be governed by Local Law and any dispute or claim arising out of or in connection with these Terms shall be subject to the non-exclusive jurisdiction of the courts where you are habitually resident.

You may print and keep a copy of these Terms, which form the entire agreement between you and Mondaq and supersede any other communications or advertising in respect of the Service and/or the Website.

No delay in exercising or non-exercise by you and/or Mondaq of any of its rights under or in connection with these Terms shall operate as a waiver or release of each of your or Mondaq’s right. Rather, any such waiver or release must be specifically granted in writing signed by the party granting it.

If any part of these Terms is held unenforceable, that part shall be enforced to the maximum extent permissible so as to give effect to the intent of the parties, and the Terms shall continue in full force and effect.

Mondaq shall not incur any liability to you on account of any loss or damage resulting from any delay or failure to perform all or any part of these Terms if such delay or failure is caused, in whole or in part, by events, occurrences, or causes beyond the control of Mondaq. Such events, occurrences or causes will include, without limitation, acts of God, strikes, lockouts, server and network failure, riots, acts of war, earthquakes, fire and explosions.

By clicking Register you state you have read and agree to our Terms and Conditions