Le 28 novembre 2018 a été publié au Journal Officiel de l’Union Européenne le règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne, communément appelé règlement Free Flow of Data.
Objet et champ d’application
L’objet de ce règlement est d’assurer le libre flux de données autres que les données à caractère personnel au sein de l’Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels.
Ce règlement s’appliquera aux personnes physiques ou morales qui fournissent des services de traitement des données aux utilisateurs résidant ou ayant un établissement dans l’Union, y compris à celles qui fournissent des services dans l’Union sans y avoir d’établissement. Il ne s’appliquera donc pas aux services de traitement des données ayant lieu en dehors de l’Union ni aux exigences de localisation relatives à ces données.
Points essentiels
Ce texte pose un principe essentiel, qui est le suivant : les exigences de localisation des données sont interdites, sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité. On entend par exigence de localisation de données, toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d’un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics.
Le libre flux des données dans l’Union jouera un rôle important dans la croissance et l’innovation fondées sur les données.
Dans le cas d’un ensemble de données composé à la fois de données à caractère personnel et de données à caractère non personnel, le présent règlement s’applique aux données de l’ensemble à caractère non personnel. Lorsque les données à caractère personnel et les données à caractère non personnel d’un ensemble sont inextricablement liées, le présent règlement est sans préjudice de l’application du RGPD.
Les Etats membres auront une obligation de transparence. Ils seront dans l’obligation de publier les détails de toutes les exigences de localisation des données, établies dans une disposition législative, réglementaire ou administrative de nature générale et applicables sur leur territoire, par l’intermédiaire d’un point d’information unique en ligne national qu’ils tiendront à jour, ou fourniront des détails actualisés de telles exigences de localisation à un point d’information central établi au titre d’un autre acte de l’Union.
Les États membres communiqueront à la Commission Européenne l’adresse de leur point d’information unique. La Commission publiera sur son site internet les liens vers ces points d’information, ainsi qu’une liste consolidée régulièrement mise à jour de toutes les exigences de localisation des données, avec une synthèse des informations sur ces exigences.
Échéances à venir
Le règlement s’appliquera six mois après la date de sa publication, soit le 27 mai 2019.
Et au plus tard le 29 mai 2019, la Commission Européenne publiera des lignes directrices sur l’interaction entre le présent règlement et le RGPD, en particulier en ce qui concerne les ensembles de données composés à la fois de données à caractère personnel et de données à caractère non personnel.