28.6.2018

Journal officiel de l'Union européenne

C 227/78

Avis du Comité économique et social européen sur la «Proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne»

[COM(2017) 495 final — 2017/0228(COD)]

(2018/C 227/12)

Rapporteur:

Jorge PEGADO LIZ

Consultations	Parlement européen, 23.10.2017 Conseil de l’Union européenne, 24.10.2017
Base juridique	Article 114 du traité sur le fonctionnement de l’Union européenne
Compétence	Section spécialisée «Transports, énergie, infrastructures et société de l’information»
Adoption en section spécialisée	5.2.2018
Adoption en session plénière	15.2.2018
Session plénière no	532
Résultat du vote (pour/contre/abstentions)	163/3/4

1. Conclusions et recommandations

1.1. Conclusions

1.1.1.

Le CESE a déjà souligné, dans plusieurs de ses avis antérieurs, la nécessité d’une initiative législative en matière de libre circulation des données à caractère non personnel, estimant qu’il s’agit d’un passage obligé qui est essentiel pour atteindre les objectifs de la stratégie numérique et mettre en œuvre le marché unique numérique.

1.1.2.

La proposition de la Commission à l’examen constitue aujourd’hui l’outil juridique le plus pertinent s’agissant de l’avenir de la politique européenne en faveur du développement de l’économie des données et de ses effets sur le taux de croissance économique, la recherche scientifique, la stimulation des nouvelles technologies, notamment dans le domaine de l’intelligence artificielle, l’informatique en nuage, les métadonnées et l’internet des objets (IdO), l’industrie, ainsi que les services en général et les services publics en particulier.

1.1.3.

Le CESE considère cependant que cette proposition intervient assez tardivement et qu’en outre, son champ d’application trop étriqué, le flou et le manque d’assertivité des mécanismes annoncés et surtout le manque d’ambition, de volonté et de détermination politiques sont de nature à compromettre ses objectifs.

1.1.4.

En effet, pour ce qui concerne le premier et le plus important d’entre eux, à savoir améliorer la mobilité transfrontière des données à caractère non personnel dans le marché unique, le CESE estime, contrairement à la Commission, qu’il ne suffit pas, dans un premier temps, d’enjoindre aux États membres de lui notifier «tout projet d’acte qui introduit une nouvelle exigence de localisation des données ou modifie une exigence de localisation des données existantes» seulement dans un délai de 12 mois après le début de l’application du règlement, qui ne devrait pas avoir lieu avant la fin de l’année 2018, dans le meilleur des cas, et d’obliger les États membres à veiller à ce que soit abrogée «toute exigence de localisation des données non conforme» à la règle de la non-interdiction ou restriction de la libre circulation de ces données, et toujours sous réserve de raisons de sécurité publique.

1.1.5.

Quant au deuxième objectif, à savoir «veiller à ce que le pouvoir des autorités compétentes de demander et d’obtenir l’accès à des données à des fins de contrôle réglementaire, comme l’inspection et l’audit, reste inchangé», le CESE n’admet pas que la communication se limite à proposer une procédure de coopération entre les instances compétentes de chaque État membre, consistant à créer un réseau de points de contact uniques, qui mettra chacun d’entre eux en liaison avec ceux des autres États membres et avec la Commission pour les questions relatives à l’application du règlement.

1.1.6.

Enfin, en ce qui concerne le troisième objectif, qui est de «permettre aux utilisateurs professionnels des services de stockage ou de traitement des données de changer de fournisseur et de transférer leurs données plus facilement», le CESE désapprouve que la Commission se borne à prendre l’engagement d’encourager et de faciliter «l’élaboration de codes de conduite par autorégulation au niveau de l’Union», en particulier dans une matière pour la réglementation de laquelle seules des dispositions législatives devraient être envisagées, et sans même avoir proposé l’élaboration de «lignes directrices» pour l’élaboration desdits codes de conduite.

1.1.7.

Pour toutes ces raisons, le CESE ne peut donner son aval au document dans sa version actuelle. Il n’est disposé à souscrire à la proposition à l’examen que si et seulement si elle est modifiée conformément aux suggestions énumérées dans le présent document et qu’elle est clairement envisagée comme le plus grand dénominateur commun qui soit acceptable, pour les États membres comme pour les parties intéressées, mais en se plaçant, en tout état de cause, dans la perspective qu’il s’agit d’un premier pas qui évoluera vers des formes plus ambitieuses mettant en œuvre une véritable libre circulation des données à caractère non personnel au sein du marché numérique de l’Union européenne.

1.1.8.

Une autre condition indispensable est qu’il soit dûment tenu compte lors de cet exercice des aspects internationaux d’une économie mondiale dans laquelle cette initiative doit nécessairement s’inscrire.

1.2. Recommandations

1.2.1.

Le CESE recommande donc à la Commission de revoir sa proposition afin de la rapprocher significativement des termes définis dans l’option 3, que le CESE préfère à la sous-option 2a retenue dans la communication.

Par ailleurs, il invite instamment la Commission à intégrer en particulier dans sa proposition les suggestions figurant aux points 3.4.1 (date d’entrée en vigueur), 3.4.2 (absence de la procédure obligatoire en cas de non-respect), 3.6 (inexistence de lignes directrices pour l’élaboration de codes de conduite), 3.7 (non-prise en compte de la classification des métadonnées) et 3.8 (manque de prise en considération du caractère mondial et transeuropéen de l’économie numérique), et celle notamment qui concerne la nécessité de prévoir une procédure spécifique en cas de manquement de la part d’un État membre.

1.2.2.

Le CESE insiste par ailleurs pour que la Commission accueille favorablement les différentes propositions d’amélioration qu’il suggère d’apporter, en particulier, à divers articles de la proposition de règlement à l’examen.

1.2.3.

En outre, il recommande vivement à la Commission d’intégrer dans sa proposition les modifications proposées dans la position de la présidence du Conseil de décembre, qu’il approuve dans la mesure où elles constituent une amélioration intrinsèque et sont de nature à rendre la proposition viable.

2. Synthèse succincte et contexte général

2.1. Résumé de la proposition et de ses motifs

2.1.1.

Pour établir que sa proposition de règlement (1) à l’examen est nécessaire et respecte le principe de proportionnalité, la Commission avance les arguments suivants:

—	«améliorer la mobilité des données à caractère non personnel à travers les frontières au sein du marché unique, laquelle est aujourd’hui limitée par des restrictions géographiques ou des incertitudes juridiques dans de nombreux États membres,

—	veiller à ce que le pouvoir des autorités compétentes de demander et d’obtenir l’accès à des données à des fins de contrôle réglementaire […] reste inchangé,

—	permettre aux utilisateurs professionnels des services de stockage ou de traitement des données de changer de fournisseur et de transférer leurs données plus facilement».

2.1.2.

La Commission juge que cette proposition respecte le principe de subsidiarité, dès lors que, en assurant la libre circulation des données au sein de l’Union», elle entend assurer «le bon fonctionnement du marché intérieur des services susmentionnés, lequel ne se limite pas au territoire d’un État membre», étant donné que la «libre circulation des données à caractère non personnel au sein de l’Union ne peut être garantie par les États membres au niveau national car le problème essentiel est la mobilité transfrontière des données».

2.1.3.

Par ailleurs, elle considère que sa proposition respecte le principe de proportionnalité, dans la mesure où elle «vise à établir un équilibre entre la réglementation de l’Union européenne et les intérêts des États membres en matière de sécurité publique ainsi qu’entre la réglementation de l’Union européenne et l’autorégulation par le marché».

2.2. Le contexte juridico-politique

2.2.1.

Du point de vue juridique, la Commission a étudié trois options, qu’elle présente sous forme succincte dans son exposé des motifs, en récapitulant les études d’«analyse d’impact» préliminaire et les consultations des «parties intéressées» qui ont été réalisées durant l’élaboration du texte législatif (2) et que l’on peut résumer comme suit:

L’option 1«consistait à recourir à des orientations et/ou à l’autorégulation pour traiter les différents problèmes recensés et impliquait une application plus rigoureuse de la loi concernant divers cas de restrictions injustifiées ou disproportionnées en matière de localisation des données imposées par des États membres».

L’option 2«consistait à établir des principes juridiques concernant les différents problèmes recensés et à prévoir la désignation de points de contact uniques par les États membres et la création d’un groupe d’experts chargé de discuter des approches et pratiques communes et de donner des orientations relatives aux principes instaurés».

L’option 3«consistait en une initiative législative détaillée visant à établir, entre autres, des évaluations (harmonisées) prédéfinies de ce qui constitue une restriction (in)justifiée et (dis)proportionnée en matière de localisation des données, et un nouveau droit de portage des données».

2.2.2.

Face aux divergences avec le comité d’examen de la réglementation, qui a émis deux avis négatifs sur ses propositions et bien que la majorité des parties prenantes estime que l’option de l’initiative législative (option 3) constitue l’instrument le plus approprié, la Commission a élaboré, pour des raisons de pure stratégie politique, une

sous-option 2a«pour permettre d’évaluer une solution associant des mesures législatives établissant le cadre de la libre circulation des données et les points de contact uniques et un groupe d’experts ainsi que des mesures d’autorégulation sur le portage des données».

La Commission estime que cette option «garantirait la levée effective des actuelles restrictions injustifiées en matière de localisation et éviterait efficacement de futures restrictions de même nature» et qu’en outre, elle «contribuera également à promouvoir l’utilisation transfrontière et intersectorielle des services de stockage ou de traitement des données et le développement du marché des données» et que, par conséquent, elle «permettra de transformer la société et l’économie et offrira de nouvelles possibilités aux particuliers, aux entreprises et aux administrations publiques en Europe».

2.2.3.

À cette fin, elle a présenté une proposition de règlement, considérant qu’elle est propre à «garantir que des règles uniformes relatives à la libre circulation des données à caractère non personnel seront applicables dans toute l’Union en même temps», un élément qui s’avérera «particulièrement important pour lever les restrictions existantes et éviter que des États membres en imposent de nouvelles».

2.2.4.

La proposition à l’examen tire son origine des développements récents de la technologie numérique, grâce auxquels il devient possible de stocker et d’utiliser de grands volumes de données avec une efficacité croissante, qui est source d’économies d’échelle et d’avantages pour leurs utilisateurs, leur offrant un accessibilité rapide, une connectivité accrue et une plus grande autonomie.

2.2.4.1.

C’est dans sa communication «Créer une économie européenne fondée sur les données» (3) que la Commission a tout particulièrement pointé du doigt le lien qui existe entre les obstacles à la libre circulation des données et le retard de développement qu’accuse le marché européen en la matière, d’où la nécessité qu’elle ressent d’avancer une proposition de cadre juridique qui en finisse avec l’idée des «contrôles aux frontières».

Du côté des États membres, il convient de relever que seule une moitié d’entre eux, environ, a signé le document officieux sur l’initiative relative à la libre circulation des données (4) et que dans ce groupe ne figurent notamment ni l’Allemagne, ni la France, ni aucun des pays du Sud de l’Union européenne.

2.2.4.2.

Le thème a été repris dans la communication de la Commission sur l’examen à mi-parcours de la stratégie pour le marché unique numérique, intitulée «Un marché unique numérique connecté pour tous» (5), où elle annonce la publication, en 2017, de deux initiatives législatives, la première sur la libre circulation transfrontière des données à caractère non personnel, qui fait l’objet du présent avis, et la seconde, sur l’accessibilité et la réutilisation des données du secteur public et des données obtenues au moyen de fonds publics, laquelle est toujours en cours de préparation au sein de ses services.

2.2.4.3.

Enfin, dans son avis sur le «Marché unique numérique: examen à mi-parcours» (6), le CESE «considère que l’économie européenne fondée sur les données est l’un des secteurs où l’écart entre l’Union européenne et les champions de l’innovation numérique mondiale apparaît le plus évident» et «approuve la proposition de créer un cadre réglementaire pour autant que celui-ci prenne une forme qui soit également adaptée à l’informatique en nuage, à l’intelligence artificielle et à l’internet des objets, prenne en compte la liberté contractuelle en supprimant les obstacles à l’innovation et bénéficie d’un financement approprié de l’Union européenne», ce qui correspondrait à l’option 3.

2.2.4.4.

La proposition de la Commission à l’examen présente donc la portée juridique la plus pertinente en ce qui concerne l’avenir de la politique européenne en faveur du développement de l’économie des données et de ses effets sur le taux de croissance économique, la recherche scientifique, la stimulation des nouvelles technologies, notamment dans le domaine de l’intelligence artificielle, l’informatique en nuage, les métadonnées et l’internet des objets (IdO), l’industrie, ainsi que les services en général et les services publics en particulier (7).

3. Observations générales

3.1.

Le CESE prend note de l’objectif visé par l’initiative proposée, qu’il avait déjà assuré de son soutien dans plusieurs de ses avis antérieurs, estimant qu’il s’agit d’un passage obligé qui est essentiel pour atteindre les objectifs de la stratégie numérique et mettre en œuvre le marché unique numérique.

3.2.

Il ne peut toutefois s’abstenir de se dire déçu que son champ d’application soit trop étriqué, qu’elle soit timorée dans ses intentions, que les mécanismes annoncés soient flous et manquent d’assertivité et, surtout, qu’elle témoigne d’un manque tant d’ambition que de volonté et de détermination politiques.

Plus concrètement, on formulera les observations suivantes.

3.3.

Grâce à cette notion de «libre circulation» des données à caractère non personnel, la Commission entend bien s’opposer à l’ensemble des politiques et pratiques usitées dans les États membres qui créent, imposent ou autorisent des entraves concernant la localisation des données en vue de leur stockage ou d’autres traitements d’informations de ce type, dont elle estime, de manière tout aussi justifiée, qu’elles ne doivent être soumises à aucune interdiction ou restriction, sauf si elles se justifient pour des motifs de sécurité publique (8), et le moyen qu’elle veut utiliser à cette fin consiste à établir des règles concernant:

a)	les exigences en matière de localisation de données;

b)	la disponibilité des données pour les autorités compétentes;

c)	le portage des données pour les utilisateurs professionnels.

3.4.

Or, pour mettre en œuvre le premier des points susmentionnés, à savoir les exigences en matière de localisation des données, la Commission a estimé que, dans un premier temps, il suffirait d’enjoindre aux États membres de lui notifier «tout projet d’acte qui introduit une nouvelle exigence de localisation des données ou modifie une exigence de localisation des données existante».

3.4.1.

C’est seulement 12 mois après l’entrée en vigueur du règlement à l’examen — laquelle ne devrait pas intervenir avant la fin 2018 — que les États membres seront tenus de veiller à ce que soit abrogée «toute exigence de localisation des données non conforme» à la règle voulant que la libre circulation des données visées ne soit pas soumise à des interdictions ou des restrictions, sauf s’ils estiment qu’elles se justifient pour des motifs de sécurité publique. Dans ce cas, ils sont tenus de les notifier à la Commission, en précisant pour quelles raisons ils considèrent qu’elles sont conformes à la règle susdite et doivent, par conséquent, rester en vigueur.

3.4.2.

Absence d’une procédure spécifique en cas de manquement de la part d’un État membre.

3.5.

Pour ce qui est du deuxième point, la disponibilité des données pour les autorités compétentes, la proposition ne modifie pas le pouvoir dont elles disposent de demander et obtenir l’accès à des données pour l’accomplissement de leurs fonctions officielles, suivant les prescriptions du droit de l’Union ou du droit national.

Elle ajoute toutefois une disposition importante:«L’accès aux données par les autorités compétentes ne peut être refusé au motif que les données sont stockées ou traitées dans un autre État membre.»

3.5.1.

Cependant, pour assurer la mise en œuvre de ce droit, elle se limite à proposer une procédure de coopération entre les instances compétentes de chaque État membre, qui est similaire à celles existant déjà dans d’autres domaines et pour les besoins de laquelle il est prévu de créer un réseau de points de contact uniques, qui mettra chacun d’entre eux en liaison avec ceux des autres États membres et avec la Commission pour les questions relatives à l’application du règlement, sans pourtant évaluer ni l’efficacité de ces points de contact, ni la soutenabilité des dépenses induites.

3.5.2.

En fin de compte, toutefois, c’est toujours selon la législation procédurale de chaque État membre qu’il y aura lieu d’appliquer les mesures de coercition voulues pour obtenir l’accès à toute installation d’une personne physique ou morale, y compris les équipements et moyens de stockage ou de traitement des données.

3.5.3.

Autrement dit, dans le cas, plus que probable, d’une défaillance en la matière, la seule possibilité sera de saisir les juridictions ordinaires des États membres, en devant composer avec les atermoiements bien connus de la justice, son coût exorbitant et l’imprévisibilité de ses résultats.

3.6.

Enfin, pour ce qui est du troisième des points susmentionnés, le portage des données pour les utilisateurs professionnels, la Commission se borne à encourager et faciliter «l’élaboration de codes de conduite par autorégulation au niveau de l’Union, afin de définir des lignes directrices concernant les bonnes pratiques pour faciliter le changement de fournisseur et de veiller à ce qu’ils fournissent aux utilisateurs professionnels des informations suffisamment détaillées, claires et transparentes préalablement à la signature d’un contrat de stockage et de traitement des données», en ce qui concerne une série d’aspects véritablement structurels et essentiels (9).

3.6.1.

C’est donc une démarche hautement critiquable que de s’en remettre purement et simplement aux seuls mécanismes de l’autoréglementation pour ce qui est de réglementer des aspects fondamentaux qui ne devraient être traités que par des dispositions législatives.

Bien qu’il ait toujours compté parmi les partisans de la corégulation, en tant qu’elle constitue un instrument auxiliaire particulièrement important dans le cadre juridique de l’Union, le CESE se refuse à ce que des normes et principes qui sont fondamentaux pour la cohérence du droit de l’Union et son harmonisation soient laissés purement et simplement au jeu de l’autoréglementation, sans être orientés par de quelconques paramètres ou lignes directrices.

Un élément plus grave, pour ce qui est spécifiquement du portage, réside dans la limitation de la responsabilité et dans l’instauration de périodes de fidélisation pour le détenteur des données, ainsi que dans la possibilité d’effacement des contenus en cas de non-respect.

3.6.2.

Un autre point encore plus contestable est que la Commission n’ait même pas, ne fût-ce que proposé, un mécanisme de corégulation suivant le modèle et les modalités que le CESE a définis en temps utile (10).

Dans cet ordre d’idées, le CESE estime que le règlement à l’examen devrait, au minimum, prévoir un ensemble de règles fondamentales touchant aux relations contractuelles entre les prestataires de services et les utilisateurs, ainsi qu’une liste noire de clauses interdites en vertu de la limitation du droit au portage, suivant les paramètres qu’il a énoncés expressément dans son avis sur l’autorégulation et la corégulation.

3.6.3.

On ne peut toutefois admettre que la Commission n’ait même pas proposé de rédiger des «lignes directrices» pour élaborer les codes de conduite qu’elle évoque, alors qu’elle l’a déjà fait dans d’autres domaines, ainsi que le CESE s’en était félicité.

En effet, pour ce qui est du portage des données, certaines entreprises ont adopté des comportements qui portent atteinte aux droits des utilisateurs, en l’occurrence pour ce qui concerne des restrictions apportées à la propriété des données ou à la propriété intellectuelle du contenu des services en nuage, le consentement à la collecte et au traitement des données, avec l’instauration de règles par lesquelles elles présument qu’il est accordé, ou encore des paiements déguisés ou le droit qu’elles s’arrogent de suspendre le service sur la base d’une décision unilatérale.

3.6.4.

Enfin, la Commission promet, sans avancer une quelconque autre piste de nature législative, qu’elle réexaminera «l’élaboration et la mise en œuvre effective de ces codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs, au plus tard deux ans après le début de l’application du présent règlement». Et ensuite, quoi?

3.7.

Il convient encore de noter qu’en limitant sa proposition aux trois situations visées, la Commission s’abstient de tenir compte des inquiétudes croissantes qui ont trait aux métadonnées, lesquelles sont considérées comme des données à caractère non personnel alors qu’elles doivent, sauf exceptions justifiées, bénéficier de la même protection que celles de type personnel, en particulier pour ce qui est des droits de leur détenteur à y accéder, à les rectifier, à les annuler ou à y faire opposition.

3.7.1.

En effet, les sociétés qui entreprennent d’analyser les métadonnées réalisent des analyses de prospective et d’anticipation qui, sur la base des données concernées, décèlent des tendances ou des conditions en rapport avec les décisions que les entreprises seront appelées à prendre.

3.7.2.

En outre, on ne discerne pas clairement si le futur règlement ne s’appliquera qu’aux données obtenues sous forme électronique, dès lors que le paragraphe 2 de l’article 3 définit le stockage comme étant toute forme de stockage électronique de données alors que l’article 2 mentionne quant à lui que le règlement s’applique «au stockage ou tout autre traitement de données électroniques». Or, si l’on prend comme exemple un questionnaire anonyme qui est complété en présence physique du détenteur des données et est stocké également de manière physique, ces dispositions pourraient impliquer qu’il ne sera pas couvert par le règlement à l’examen.

3.7.3.

Par ailleurs, avec l’internet des objets, la multiplication des appareils électroniques, notamment électroménagers, qui entreprennent de récolter et de croiser des données à caractère non personnel pourrait avoir pour effet, à l’avenir, de poser diverses questions concernant la sécurité et la protection de la vie privée, de sorte qu’il apparaît crucial que la Commission européenne renforce l’attention qu’elle porte à ces données non personnelles, en veillant aux droits fondamentaux des citoyens.

3.7.4.

Enfin, et compte tenu de la zone de flou qui existe entre les données personnelles et celles à caractère non personnel, dont certaines peuvent facilement passer d’une catégorie à l’autre, le maintien de régimes complètement distincts pour ces types de données pourrait aboutir à ce que des acteurs s’efforcent de qualifier de non personnelles celles qu’ils ont obtenues et qu’ils se dérobent ainsi à l’application du règlement (UE) 2016/679, du 27 avril 2016.

3.8.

En outre, la proposition de la Commission ne prend pas suffisamment en compte le caractère mondial et transeuropéen de l’économie numérique, car ne se souciant que de réguler le marché intérieur, elle perd de vue que celui dans lequel il se développe est d’ampleur mondiale, elle ne dispose d’aucune garantie que les autres pays et continents appliqueront les mêmes règles que celles qu’elle tente actuellement de mettre en œuvre et elle n’a pas le pouvoir de les imposer dans les négociations internationales.

3.9.

Pour toutes ces raisons, le CESE n’est pas favorable à la sous-option 2a que la Commission préconise sans argument valide ou cohérent au détriment de l’option 3, à laquelle le Comité donne son soutien.

3.10.

Le CESE n’est disposé à donner son aval à la proposition à l’examen que si et seulement si elle intègre les modifications qu’il suggère, ainsi que celles qui découlent de la position de la présidence du Conseil exposée dans sa déclaration du 19 décembre 2017, à laquelle il souscrit, et à la condition que ladite proposition soit clairement envisagée comme un plus grand dénominateur commun acceptable tant par les États membres que par les parties intéressées, et qu’elle continue par ailleurs à être considérée comme une première étape, appelée à évoluer ultérieurement vers des formes plus ambitieuses, qui mettent effectivement en place une véritable libre circulation de données à caractère non personnel dans le marché unique numérique de l’Union européenne.

4. Observations particulières

4.1. Article 2 — Champ d’application

4.1.1.

Le CESE s’interroge sur la nature du point a), en l’occurrence sur le sens de l’expression «fourni en tant que services aux utilisateurs», notamment s’agissant de savoir si l’on peut avoir affaire à une transaction juridique dispensée à titre gratuit ou onéreux.

Il importe, en effet de souligner qu’il existe actuellement différents services qui sont fournis gratuitement, dont, Google Analytics. Or, à défaut de vérification de cet impératif de non-gratuité, les entreprises qui dispensent ce service ont pu introduire dans leurs contrats de prestation de services des clauses abusives, en vertu desquelles elles s’exonèrent de toute responsabilité en cas de perte, égarement ou destruction des données, voire s’octroient le droit de les effacer sans le consentement de leur détenteur.

4.1.2.

Par ailleurs, le CESE juge nécessaire que comme dans le cas du règlement (UE) 2016/679, celui qui est à l’examen s’applique également aux pays tiers et que le droit d’un État membre ait force de droit international privé.

4.2. Article 3 — Définitions

4.2.1. La notion de «données à caractère non personnel»

4.2.1.1.

La proposition ne contient aucune définition de type aristotélicien quant à ce que sont les «données à caractère non personnels»: tout au plus peut-on dire qu’il s’agit, à première vue, des données autres que celles de caractère personnel, c’est-à-dire qu’elles sont définies de manière purement négative, comme il semble qu’on puisse l’inférer du septième considérant du préambule du règlement proposé, ainsi que de son article premier.

4.2.1.2.

Un examen plus approfondi permet toutefois de constater que le concept exclut uniquement les données personnelles qui font l’objet d’une protection spécifique en droit, en l’occurrence celle octroyée actuellement dans l’Union européenne par le règlement (UE) 2016/679, du 27 avril 2016, et les directives (UE) 2016/680, de la même date, et 2002/58/CE, du 12 juillet 2002 (11), ainsi que par les législations nationales qui les transposent.

4.2.1.3.

En conséquence, il semble que la proposition qui fait l’objet du présent avis couvre non seulement les données relatives aux personnes morales (lesdites données, contrairement au souhait que le Comité a exprimé à plusieurs reprises, ne bénéficient pas d’une protection identique à celle qui est octroyée aux personnes physiques, alors qu’on peut constater que c’est le cas dans différents ordres juridiques nationaux) mais également celles de nature personnelle qui sont «anonymes», auxquelles il n’est fait référence que dans le considérant 26 du règlement général sur la protection des données.

4.2.1.4.

Vu l’imprécision du texte, le CESE souligne que pour des raisons de cohérence, d’harmonie et de clarté juridique entre les actes de l’Union européenne, il est nécessaire que le règlement à l’examen sanctionne expressément la définition des données à caractère non personnel, plutôt que de la présenter sous une forme subsidiaire et subordonnée à celle figurant dans le règlement (UE) 2016/679, étant donné que nombre de juridictions ont donné des interprétations différentes du sens à donner à la notion de données personnelles et non personnelles.

4.3. Article 4 — Libre circulation des données au sein de l’Union

4.3.1.

En vertu de considérations de clarté et de sécurité juridiques, le CESE juge qu’il y a lieu de préciser les délais impartis aux États membres pour notifier les mesures justifiant le maintien ou l’instauration de règles qui, pour des raisons de sécurité publique, s’opposent au règlement à l’examen.

4.3.2.

De l’avis du CESE, il apparaît également important que la Commission européenne en informe les autres États membres, afin de vérifier si lesdites mesures auront ou non un impact direct ou indirect pour la circulation des données à caractère non personnel sur leur territoire.

4.4. Article 9 — Réexamen

4.4.1.

C’est seulement au terme de cinq années après l’entrée en vigueur du règlement que la Commission se mettra en devoir de le soumettre à un réexamen et de présenter un rapport reprenant ses principales conclusions au Parlement, au Conseil et au CESE.

4.4.2.

Dès lors que rien ne permet de penser que, dans le meilleur des cas, cette date de mise en application se situera avant fin 2018, il apparaît plus indiqué que la révision s’effectue à une échéance de trois ans, eu égard à l’évidente fragilité du dispositif et aux matières qu’il couvre, qui sont de nature à évoluer très rapidement.

4.5. Position de la présidence du Conseil

4.5.1.

Il s’est fait entre-temps que durant l’élaboration du présent projet d’avis, la présidence du Conseil européen a présenté, le 19 décembre, un texte amendé (12) qui modifie de manière substantielle la proposition de la Commission dans le sens exact que préconisent les présentes recommandations du CESE.

4.5.2.

En bref, il s’agit notamment:

a)	à l’article 2 (champ d’application), et aux considérants 7 bis et 8 bis, de la clarification des éléments qui restent en dehors du champ d’application du règlement;

b)	à l’article 3 (définitions), de l’introduction d’un nouveau paragraphe 2 bis précisant la signification de la notion de «traitement»;

c)	au même article 3, paragraphe 5, de la mention explicite des pratiques administratives dans la définition de la localisation des données et d’une modification de l’article 4, paragraphe 1, en conséquence;

à l’article 5, paragraphe 2 bis, de l’établissement d’un mécanisme contraignant pour obliger à fournir des données et, au paragraphe 3 bis du même article, d’une disposition prévoyant que les États membres imposent des sanctions aux utilisateurs en cas de fraude liée à la fourniture des données, comme le recommande le présent avis;

e)	à l’article 6, de l’établissement de lignes directrices en vue de l’élaboration des codes de conduite;

f)	à l’article 7, de la définition du rôle des «points de contact uniques» et de l’accélération du processus de communication entre les autorités;

g)	de la suppression de l’article 8 et, avec lui, du comité de la libre circulation des données;

h)	dans plusieurs articles, d’une meilleure harmonisation avec la directive sur la transparence (13);

i)	aux considérants 10 et 10 bis, de la clarification indispensable qui a maintenant été apportée à la question des données mixtes et des données anonymes, comme le demande le présent avis;

j)	au considérant 12 bis, de la notion de sécurité publique visée à l’article 4, qui est clarifiée et s’inspire de la jurisprudence de la Cour de justice, comme recommandé dans le présent avis.

4.5.3.

Le CESE se déclare nettement favorable à toutes ces suggestions de la présidence et demande instamment à la Commission, au Parlement européen et aux États membres de les prendre dûment en compte.

Bruxelles, le 15 février 2018.

Le président du Comité économique et social européen

Georges DASSIS

(1) COM(2017) 495 final du 13.9.2017.

(2) Voir le document SWD(2017) 304 final.

(3) Voir la communication COM(2017) 9 final, du 10 janvier 2017, ainsi que le document de travail afférent SWD(2017) 2 final, publié à la même date, sur lesquels le CESE a émis son avis TEN/630 sur le thème «Créer une économie européenne fondée sur les données», JO C 345 du 13.10.2017, p. 130.

(4) http://www.brukselaue.msz.gov.pl/resource/76f021fe-0e02-4746-8767-5f6a01475099:JCR.

(5) COM(2017) 228 final du 10 mai 2017, et le document de travail annexé, SWD(2017) 155 final.

(6) Marché unique numérique: examen à mi-parcours (non encore paru au Journal officiel).

(7) COM(2017) 495 final, exposé des motifs, p. 4.

(8) Notion figurant à l’article 4, paragraphe 2, du traité sur l’Union européenne comme étant de la seule responsabilité des États membres, mais dont la définition doit se référer à la jurisprudence de la Cour de justice (voir, pour l’ensemble, l’arrêt de la Cour de justice du 21 décembre 2016 dans les affaires jointes C-203/15 et C-698/15 Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a., à l’adresse http://eur-lex.europa.eu/legal-content/FR/TXT/?qid=1513080243312&uri=CELEX:62015CJ0203, paragraphes 11 et 88-89), ainsi que de la Cour européenne des droits de l’homme.

(9) Voir l’article 6, paragraphe 1, points a) et b).

(10) Voir le rapport d’information INT/204 du 25 janvier 2005 sur le thème «L’état actuel de la corégulation et de l’autorégulation dans le marché unique» et l’avis d’initiative sur le thème «Autorégulation et corégulation», JO C 291 du 4.9.2015, p. 29.

(11) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques», JO L 201 du 31.7.2002, p. 37), qui a déjà fait l’objet d’une refonte par la proposition de la Commission relative à un code des communications électroniques européen [COM(2016) 590 final, 12.10.2016] et la proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») [COM(2017) 10 final — 2017/0003 (COD)].

(12) Dossier interinstitutionnel 2017/0228 (COD) 15724/1/17REV 1 du 19 décembre 2017.

(13) JO L 294 du 6.11.2013, p. 13.