France: À l'heure du règlement européen relatif au libre flux des données à caractère non personnel

1. De l'économie de la donnée. Pour un peu, on aurait presque oublié que toutes les données ne sont pas nécessairement à caractère personnel ; voire que l'immense majorité d'entre elles, dont les données bancaires et financières¹, ne le sont sans doute pas. Il est vrai qu'en cette époque de « RGPD mania », on voit des données personnelles partout. Prenez l'exemple des contrats bancaires (conventions de compte, contrats-cadres de services de paiement, etc.), mis à jour plus ou moins en catastrophe : on y constate une ridicule hypertrophie de la « clause RGPD ».

D'où l'intérêt de prendre connaissance du règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne, publié au JOUE du 28 novembre, date marquant le point de départ du délai de six mois au terme duquel le présent règlement s'appliquera². Où l'on remarque que le texte ne porte plus, comme à l'origine (la proposition de règlement date du 13 septembre 2017³), sur la libre « circulation » mais sur le libre « flux » (flow)⁴ des données non personnelles, ce qui accentue sans doute le caractère de fluidité recherché.

On souhaite insister sur ces premiers mots du considérant (1) du règlement nouveau : « La transformation numérique de l'économie s'accélère. Les technologies de l'information et des communications ne constituent plus un secteur d'activité parmi d'autres, mais la base de tous les systèmes économiques innovants et des sociétés modernes. Les données électroniques sont au centre de ces systèmes et peuvent générer une grande valeur lorsqu'elles sont analysées ou combinées à des services et des produits ». C'est en effet d'économie des données (de 4e révolution industrielle dit-on parfois) dont il s'agit et dont le free flow doit être assuré, afin de construire l'espace européen unique des données, qui compose lui-même le marché unique numérique. Intelligence artificielle, internet des objets, systèmes autonomes, etc., sont autant d'activités qui se nourrissent de données et en créent à leur tour. La littérature européenne est riche à cet égard, comme l'illustrent les trois documents préparatoires suivants : Vers une économie de la donnée prospère⁵, Créer une économie européenne fondée sur les données⁶ et Vers un espace européen commun des données⁷. On retient de la première communication que « sous réserve que les règles relatives à la protection des données à caractère personnel, le cas échéant, soient respectées, les données, une fois enregistrées, peuvent être réutilisées de nombreuses fois, sans perte de fidélité. Cette génération de valeur agrégée se trouve au centre du concept de chaîne de valeur des données. Par exemple, les informations agrégées sur la position géographique des téléphones mobiles dans les voitures peuvent être réutilisées pour évaluer le trafic routier en temps réel » (p. 5) ; de la seconde, que « l'économie fondée sur les données mesure l'incidence globale du marché des données – c'est-à-dire le marché sur lequel les données numériques s'échangent sous forme de produits ou services dérivés de données brutes – sur l'économie dans son ensemble. Elle englobe la production, la collecte, le stockage, le traitement, la distribution, l'analyse, l'élaboration, la fourniture et l'exploitation des données grâce aux technologies numériques » (p. 2, note 1), sachant que, en terme de marché, l'économie fondée sur les données a représenté 272 milliards d'euros en 2015 et devrait passer à 643 milliards d'euros d'ici 2020 (id.) ; enfin, on note dans la troisième que « les données constituent la matière première du marché unique numérique. Elles peuvent révolutionner nos vies et créer de nouvelles perspectives de croissance, y compris pour les petites et moyennes entreprises » (p. 2).

2. Du libre flux des données à caractère non personnel. L'unité de base : la donnée, peut se définir comme « une représentation réinterprétable d'une information sous une forme conventionnelle convenant à la communication, à l'interprétation ou au traitement » (définition ISO)⁸. Les données numériques sont aujourd'hui traitées massivement (big data), conduisent elles-mêmes l'innovation (data- driven innovation) et sont au coeur de la « révolution fintech »⁹.

On distingue ensuite, et désormais, entre données à caractère personnel, au sens du « fameux » règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit « RGPD »)¹⁰, et données à caractère non personnel, i.e. « les données autres que les données à caractère personnel au sens de l'article 4, point 1) du règlement (UE) 2016/679 »¹¹. Sauf que les données peuvent composer un ensemble mélangeant à la fois données à caractère personnel et données à caractère non personnel. En ce cas, le règlement sous commentaire prévoit qu'il s'appliquera aux données de l'ensemble à caractère non personnel, sauf à ce que les unes et les autres ne soient « inextricablement liées », ce qui aura comme conséquence (la formule est sibylline) que « le présent règlement [sera] sans préjudice de l'application du règlement (UE) 2016/679 » (art. 2, 2).

Arrêtons-nous un instant sur cet apparent paradoxe : nous trouvons d'un côté un règlement « général » portant sur des données « particulières » (les données à caractère personnel) et, de l'autre, un règlement « particulier » traitant des données « générales » (les données à caractère non personnel) ¹². Quoi qu'il en soit, RGPD et règlement sur les données à caractère non personnel partagent le même objectif de promotion de la mobilité des données ; objectif central dans ce dernier texte, qui « vise à assurer le libre flux de données autres que les données à caractère personnel au sein de l'Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels » (art. 1er).

3. Localisation, disponibilité et portage des données à caractère non personnel. Comparé à la « logorrhée » du RGPD (173 considérants, 99 articles), le règlement sur les données à caractère non personnel fait montre d'une grande sobriété (trop peut-être), car s'il compte 39 considérants passablement « verbeux », il n'édicte que 9 articles, les articles 4, 5 et 6 en formant la matière essentielle. Article 4, d'abord, portant sur la « libre circulation des données au sein de l'Union », mais relatif en réalité à la localisation, qui dispose principalement : « Les exigences de localisation des données sont interdites, sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité » (art. 4, 1). S'ensuit un régime, que nous ne détaillerons pas, d'obligations de communication, de publication ou d'abrogation par les États membres à la Commission de toute exigence de localisation existante ou projetée (art. 4, 2 à 5), exigence de localisation définie comme « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d'un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE, qui impose le traitement des données sur le territoire d'un État membre donné ou qui entrave le traitement des données dans un autre État membre » (art. 3, 5)).

La disponibilité des données à caractère non personnel, ensuite, concerne l'accès à celles-ci par les autorités compétentes (autorité habilitée à exercer une fonction publique ou la puissance publique et qui a le pouvoir d'obtenir l'accès aux données pour l'exécution de ses fonctions officielles), y compris lorsque les données sont traitées dans un autre État membre (art. 5, 1) ; étant ajouté qu'une procédure de coopération entre les autorités est prévue à l'article 7 du règlement, qui impose à chaque État membre de désigner un point de contact unique – c'est très à la mode – en charge d'assurer la liaison avec les autres points de contact uniques des autres États en ce qui concerne l'application du règlement. On remarque par ailleurs qu'une sorte d'« obligation de fournir des données » serait mise à la charge de l'utilisateur (art. 5, 4), entendus comme « une personne physique ou morale, y compris une autorité publique ou un organisme de droit public, qui utilise ou demande un service de traitement des données » (art. 3, 7)).

On terminera ce commentaire en évoquant la question, sans doute majeure, du « portage des données », objet de l'article 6 et placée sous le signe de l'autorégulation : « La Commission encourage et facilite l'élaboration de codes de conduite par autorégulation au niveau de l'Union (ci-après dénommés "codes de conduite"), afin de contribuer à une économie des données compétitive, fondée sur les principes de transparence et d'interopérabilité et tenant dûment compte des normes ouvertes (...) » (art. 6, 1). Sachant que la Commission encourage enfin les fournisseurs de services (en nuage, cloud)¹³ à disposer de codes de conduite au plus tard le 29 novembre 2019 et à les mettre effectivement en place avant le 29 mai 2020.

Footnotes

1 - Cf. ACPR, Analyses et Synthèses, Étude sur la révolution numérique dans le secteur bancaire français, n° 88, mars 2018, où les occurrences du mot « donnée » sont très nombreuses, parmi lesquelles on retiendra ceci : « Le principal défi sera de surmonter les différents silos de données ainsi que les différences de qualité de celles-ci (données structurées et non structurées, mise en commun de données issus d'univers distincts), et de développer plus avant des outils d'exploitation de ces masses de données. Les établissements cherchent donc à mettre en place des entrepôts de données (data lake), mais la constitution d'un entrepôt de données doit être accompagnée de la définition d'un modèle économique de la donnée en interne (qui est en le propriétaire, qui en assure la collecte et la qualité, qui y a accès et sous quelles conditions, qui est en responsable) » (p. 21).

2 - Voir déjà A. Banck, Règlement sur les données à caractère non personnel : l'autre réglementation sur les données !, Revue Banque n° 825, nov. 2018, p. 46.

3 - COM(2017) 495 final.

4 - En réalité, la version anglaise de la proposition de règlement a toujours porté sur le "free flow", d'abord traduit par « libre circulation » et, dans le dernier état du texte, par « libre flux ».

5 - Communication de la Commission européenne, COM (2014) 442 final, 2 juill. 2014.

6 - Communication de la Commission européenne, COM (2017) 9 final, 10 janv. 2017.

7 - Communication de la Commission européenne, COM(2018) 232 final, 25 avr. 2018.

8 - Communication de la Commission européenne, Vers une économie de la donnée prospère, précit., p. 5. 9- Cf. Joint Comittee Discussion Paper on the Use of Big Data by Financial Institutions, JC 2016 86. Adde, Joint Committer Final Report on Big Data, JC/2018/04, 15 march 2018.

10 - Cf. art. 4, 1) : « "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

11 - Règl. 2018/1807, art. 3, 1).

12 - Sans oublier ce 3e côté que serait un futur règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement dit « vie privée et communications électroniques »), dont la proposition date du 10 janvier 2017, mais est encore bloquée au Conseil (COM(2017) 10 final).

13 - Cf. EBA, Recommandations sur l'externalisation vers des fournisseurs de services en nuage, EBA/REC/2017/03, 23/03/2018.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.