Libre flux des données à caractère non personnel dans l’Union européenne
SYNTHÈSE DU DOCUMENT:
Règlement (UE) 2018/1807 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
QUEL EST L’OBJET DE CE RÈGLEMENT?
- Il vise à garantir que les données électroniques autres que les données à caractère personnel puissent être traitées librement dans toute l’Union.
- Il abolit les restrictions en matière de localisation du traitement et des sauvegardes de données.
POINTS CLÉS
Ce règlement s’applique au traitement des données à caractère non personnel* qui est:
- fourni en tant que service aux utilisateurs résidant dans l’Union;
- effectué par un individu, une entreprise ou une organisation au sein de l’Union pour ses propres besoins.
Le règlement abolit les mesures appelées exigences de localisation*, qui restreignent le traitement des données à un territoire spécifique de l’Union, sauf pour des motifs de sécurité publique.
Les pays de l’Union européenne doivent:
- informer immédiatement la Commission européenne de toute nouvelle exigence de localisation des données potentielle;
- au plus tard le 30 mai 2021, abroger toute exigence de localisation non justifiée ou informer la Commission de toute exigence qu’ils estiment justifiée;
- établir un point d’information unique en ligne national contenant toutes les exigences de localisation à jour;
- désigner un point de contact unique pour assurer la liaison et coopérer avec leurs homologues dans les autres États membres, notamment en ce qui concerne les demandes d’assistance.
Les autorités publiques peuvent demander l’accès à des données localisées dans un autre pays de l’Union européenne, ou stockées ou traitées dans un nuage, et nécessaires à leurs fonctions officielles.
La Commission doit:
- publier les liens vers les points d’information uniques en ligne nationaux sur son site internet et mettre régulièrement à jour une liste consolidée des exigences de localisation;
- au plus tard le 29 mai 2019, fournir une aide relative à l’interaction entre le présent règlement et le règlement (UE) 2016/679 relatif au traitement et transfert des données à caractère personnel, notamment en matière de données contenant à la fois des informations à caractère personnel et non personnel;
- au plus tard le 29 novembre 2022, soumettre un rapport au Parlement européen, au Conseil et au Comité économique et social européen faisant état de la mise en œuvre du règlement.
La Commission encourage la création de codes de conduite par autorégulation au niveau de l’Union. Ceux-ci devront:
- être élaborés en étroite coopération avec les parties intéressées, y compris les associations de PME et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage;
- être terminés au plus tard le 29 novembre 2019 afin qu’ils puissent être mis en œuvre au plus tard le 29 mai 2020;
- couvrir
- les bonnes pratiques en matière de changement de fournisseur de services ou de portage des données*
- les exigences minimales d’information à l’intention des utilisateurs professionnels avant la conclusion d’un contrat de traitement des données
- les dispositifs de certification facilitant la comparaison entre les produits et services de traitement des données pour les professionnels
- la communication visant à faire connaître les codes de conduite.
DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?
Il s’applique à partir du 28 mai 2019. Comme mentionné dans la synthèse, le règlement contient des délais spécifiques qui doivent être respectés, comme l’abrogation, au plus tard le 30 mai 2021, de toute exigence de localisation injustifiée.
CONTEXTE
Les nouvelles dispositions visent à simplifier les activités transfrontalières dans l’Union et à créer un marché unique de services de stockage et de traitement des données, tels les services en nuage.
La possibilité de choisir un fournisseur de services de données n’importe où dans l’Union devrait donner lieu à des services axés sur les données plus innovants et à des prix plus compétitifs pour les entreprises, les consommateurs et les administrations publiques.
Dans un environnement réglementaire favorable, l’économie des données pourrait représenter 4 % du PIB (produit intérieur brut) de l’Union d’ici 2020.
Pour plus d’informations, voir:
TERMES CLÉS
Données à caractère non personnel: toute information ne se rapportant pas à un individu identifié ou identifiable, soit toutes données autres que les données à caractère personnel telles que définies à l’article 4, point 1, du règlement général sur la protection des données (RGPD).
Exigences de localisation: toute mesure réglementaire ou administrative qui impose le traitement des données sur un territoire spécifique de l’Union.
Portage des données: transfert de données d’un fournisseur de services vers un autre, ou vers les propres serveurs d’une entreprise.
DOCUMENT PRINCIPAL
Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère personnel dans l’Union européenne (JO L 303 du 28.11.2018, p. 59-68)
DOCUMENT LIÉ
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)
Veuillez consulter la version consolidée.
dernière modification 15.02.2019