Après les données personnelles, les données non personnelles !

Droit du numérique
base-donnees-cloud-2.jpg

Si le Règlement Général sur la protection des Données Personnelles (RGPD) est désormais bien connu, peu d’acteurs savent qu’il existe également un Règlement Européen sur les Données Non Personnelles. Ce texte devrait pourtant avoir un impact important pour les fournisseurs de services numériques et leurs clients professionnels.

Ce Règlement n°2018/1807 du 14 novembre 2018, passé pour le moins inaperçu, a pour objectif d’établir un « cadre applicable au libre flux de données à caractère non personnel dans l’UE », et ainsi de créer « un libre marché de la donnée ». Selon la Commission Européenne, cette libre circulation de la donnée permettrait ainsi la création de nouveaux services et le renforcement de la compétitivité des entreprises européennes.

Il est certain que l’essor de l'internet des objets, l'intelligence artificielle et l'apprentissage automatique représentent des sources importantes de données à caractère non personnel, susceptibles d’être exploitées par de nouveaux acteurs, dans le cadre de services de « big data ». Ainsi, par exemple, les données sur l'agriculture de précision peuvent aider à contrôler et à optimiser l'utilisation des pesticides et de l'eau, ou encore les données générées par des capteurs intelligents permettent une meilleure gestion des immeubles d’habitation ou professionnels par leurs exploitants.

Pour autant, la circulation de ces données est entravée par des règles de localisation nationale (par ex. en matière de données de santé), et surtout pas des règles et pratiques contractuelles empêchant ou rendant difficile la maitrise et la récupération des données par les entreprises dans le cadre de contrats d’externalisation (« cloud computing »).

En outre, le cadre juridique de ces données relève d’une « zone grise », car elles ne font l’objet d’aucun droit de propriété légal, alors même que la notion de « propriété des données » est parfois prévue contractuellement.

S’il ne tranche pas cette question épineuse, le Règlement édicte néanmoins trois principes novateurs, qui vont dans le sens d’une plus grande concurrence entre les fournisseurs de services, et d’une meilleure maitrise de la donnée par les entreprises qui la génèrent.

L’interdiction des exigences de localisation

L’article 4.1 du Règlement pose le principe de l’interdiction des exigences de localisation des données au sein d’un Etat membre, sauf si elles sont justifiées par des motifs de « sécurité publique », laquelle est entendue très restrictivement. Ainsi, les Etats membres sont invités à abroger les textes édictant de telles exigences avant le 31 mars 2021, ou bien justifier leur maintien en vigueur, qui pourra être contesté par la Commission.

Parmi les normes nationales imposant la localisation des données en France, on peut citer celui imposant aux services médicaux d’héberger toutes données de santé auprès d’un hébergeur certifié; ce qui implique généralement d’avoir recours à un hébergement localisé en France ; ou encore la circulaire du 5 avril 2016 de la direction générale des collectivités locales imposant aux collectivités territoriales d’héberger l’ensemble de leurs données sur un « cloud souverain », c’est-à-dire français.

Il appartiendra par conséquent au gouvernement de justifier du maintien ou non de ces normes auprès de la Commission, ce qui promet un débat intéressant à l’heure où les notions de souveraineté, notamment numérique, connaissent un retour en grâce suite à la crise sanitaire.

Un droit d’accès préservé pour les Etats membres

En contrepartie de la suppression des exigences de localisation des données, le Règlement affirme le principe selon lequel « l’accès aux données par les autorités compétentes ne peut être refusé au motif que les données sont traitées dans un autre Etat membre ». Il prévoit à cet égard un mécanisme de coopération spécifique entre Etats membres, voire même de « relocalisation temporaire » des données, en cas de refus d’accès aux données par l’utilisateur du service numérique.

Ainsi, l’administration fiscale française ou la DGCCRF par exemple pourront exiger l’accès aux données d’une entreprise située sur le sol français, quand bien même celles-ci seraient hébergées dans un autre Etat membre. On sait néanmoins que les procédures d’assistance judiciaire ou administrative intra-UE sont parfois longues à mettre en œuvre, ce qui peut faire craindre une certaine ineffectivité du principe d’accès aux données hébergées dans l’UE.

Une portabilité des données, mais non contraignante

Enfin, la principale innovation de ce texte réside dans l’instauration d’un principe de portage des données non personnelles, visant à permettre aux utilisateurs de services en ligne (qu’il s’agisse de stockage, de sauvegarde, ou de logiciels en mode « SaaS »), de récupérer leurs données, afin de les transmettre à un autre prestataire, ou de les rapatrier vers leur propre système informatique.

Mais, contrairement au principe de portabilité des données personnelles, celui-ci est non contraignant, l’article 6 du Règlement se contentant « d’encourager » les opérateurs à établir des codes de conduite, afin de mettre en œuvre ce portage. Ces Codes de conduite devront notamment prévoir le portage de données dans des formats structurés, usuels et lisibles ; ainsi que des informations contractuelles sur la réversibilité des données. Cela inclut : les processus, les configurations techniques requises, la bande passante minimale, le délai à prévoir pour l’opération de portage, la durée pendant laquelle ces données seront conservées ou encore des garanties d’accès aux données en cas de faillite du prestataire. Autant de points techniques cruciaux pour favoriser une maitrise effective de ses données par l’entreprise ou l’organisme qui choisit de les externaliser (car il n’y a aucune obligation en ce sens, ce que rappelle le Règlement), et éviter la dépendance technologique souvent subie par les clients. Concrètement, tout fournisseur de service, quelle que soit sa taille, doit ainsi vérifier que ces contrats contiennent les clauses nécessaires pour garantir l’accès du client à ses données et leur réversibilité.

En d’autres termes, le Règlement fait confiance aux opérateurs de services numériques et aux acteurs du marché pour établir des « bonnes pratiques » en matière d’accès aux données par les clients, et de récupération de ces données en fin de contrat, ce qui est unanimement reconnu comme l’un des obstacles principaux à la concurrence dans ce secteur.

Pour autant, si l’on se place du côté des utilisateurs, il est à craindre que la démarche de la commission ne soit qu’un coup d’épée dans l’eau. En effet, selon l’article 6.3 du Règlement, ces Codes de conduite devaient en principe être mis en œuvre au plus tard le 29 mai 2020. Or, à ce jour, le seul code de conduite élaboré au niveau européen concerne celui sur le partage des données agricoles, et on ne peut que constater qu’aucun grand opérateur de service numérique n’en est signataire…Il y a donc fort à parier que, lors de la revue du Règlement prévue en 2022, la Commission soit amenée à édicter des normes plus contraignantes, à l’instar de celles prévues au RGPD.

Article rédigé par Josquin Louvier, Avocat, et publié aux Affiches de Grenoble et du Dauphiné en date du 03 août 2020.