En date du 29 mai 2019, la Commission Européenne a publié des lignes directrices en grande partie consacrées à l’interaction entre le règlement Free Flow of Data et le RGPD, en particulier en ce qui concerne les ensembles de données « mixtes », c’est-à-dire composés de données personnelles et non personnelles.
Ce texte doit permettre d’augmenter les flux de données entre Etats membres, favoriser le développement de technologies émergentes telles que l’Intelligence Artificielle, augmenter la concurrence, et créer des emplois. Il constitue le cinquième pilier de l’Union Européenne (UE), après la libre circulation des biens, des personnes, des services et des capitaux.
Comme mentionné dans mon article du 18 janvier 2018, la Commission Européenne devait au plus tard le 29 mai 2019 publier des lignes directrices**, ce qu’elle a fait le dernier jour de la date butoir. Ces lignes directrices portent en grande partie sur l’interaction entre le présent règlement et le RGPD***, en particulier en ce qui concerne les ensembles de données composés à la fois de données à caractère personnel et de données à caractère non personnel, dites « données mixtes ». Le principe de libre circulation de ces deux types de données est affirmé dans chacun de ces deux règlements.
Les données mixtes
Concernant ces données mixtes, le règlement Free Flow of Data dispose qu’il s’applique aux données de l’ensemble à caractère non personnel. Les lignes directrices précisent que lorsque les données à caractère personnel et non personnel sont inextricablement liées, ce règlement est sans préjudice de l’application du RGPD. Autrement dit, les droits et obligations en matière de protection des données du RGPD s’appliquent à l’intégralité de l’ensemble de données mixtes, même lorsque les données à caractère personnel ne représentent qu’une petite partie de l’ensemble de données. Ce principe qui est conforme à la charte des droits fondamentaux de l’Union Européenne, vise à éviter une diminution de la valeur de l’ensemble des données, à apporter une sécurité juridique aux particuliers et aux entreprises. Ce principe est essentiel pour l’économie des données.
Interdiction des exigences de localisation des données
Un des points central du règlement est qu’il interdit à un État d’imposer le stockage et le traitement des données sur son territoire ou un autre territoire de l’UE. La question de la libre circulation des données et de la suppression des exigences de localisation des données est un autre point soulevé par les lignes directrices de la Commission. Le règlement dispose que « les exigences de localisation des données sont interdites, sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité ».
Ainsi, un Etat membre qui souhaite maintenir une localisation de données sur son territoire devra publier les détails de celle-ci par l’intermédiaire d’un point d’information unique en ligne national, avec des informations à jour. La Commission publiera prochainement les liens vers ces points d’information sur le portail « L’Europe est à vous ».
Les autres points abordés
Les lignes directrices encouragent en outre l’adhésion à des codes de conduite concernant la protection des données personnelles, le portage des données, pouvant faire l’objet de certifications, ainsi que la sécurité des traitements transfrontières des données, principalement opéré par les services de Cloud.
Évaluation de la mise en œuvre du règlement.
La Commission évaluera la mise en œuvre du règlement d’ici au 29 novembre 2019. Cette évaluation portera sur l’incidence sur le libre flux des données en Europe, sur l’application du règlement, en particulier aux ensembles de données mixtes sur la mise en œuvre effective de l’abrogation des mesures restrictives existantes en matière de localisation des données et sur l’efficacité des codes de conduite relatifs au portage des données et le changement de fournisseur de Cloud.
Conclusion
Ces lignes directrices soulignent l’importance attachée par la Commission européenne à la sécurité juridique et la confiance dans le traitement des données, ceci afin que l’UE puisse exploiter pleinement les données, avec création in fine des chaînes de valeur subséquente. Le règlement Free Flow of Data et le RGPD posent les bases du libre flux des données au sein de l’UE, dans le but de favoriser la compétitivité des données au sein du marché unique numérique.