(1)

La transformation numérique de l'économie s'accélère. Les technologies de l'information et des communications ne constituent plus un secteur d'activité parmi d'autres, mais la base de tous les systèmes économiques innovants et des sociétés modernes. Les données électroniques sont au centre de ces systèmes et peuvent générer une grande valeur lorsqu'elles sont analysées ou combinées à des services et des produits. Dans le même temps, le développement rapide de l'économie des données et des technologies émergentes telles que l'intelligence artificielle, les produits et les services en lien avec l'internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l'accès aux données et à leur réutilisation, à la responsabilité, à l'éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d'autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits.

(2)

Les chaînes de valeur des données sont le résultat de diverses activités: création et collecte des données; agrégation et organisation des données; traitement des données; analyse, commercialisation et distribution des données; utilisation et réutilisation des données. Le fonctionnement efficace et efficient du traitement des données est un élément fondamental de toute chaîne de valeur. Toutefois, le fonctionnement efficace et efficient du traitement des données et le développement de l'économie des données dans l'Union sont entravés, en particulier, par deux types d'obstacles à la mobilité des données et au marché intérieur: les exigences en matière de localisation des données mises en place par les autorités des États membres et les pratiques menant à une dépendance à l'égard des fournisseurs dans le secteur privé.

(3)

La liberté d'établissement et la liberté de prestation de services consacrées par le traité sur le fonctionnement de l'Union européenne s'appliquent aux services de traitement des données. Cependant, la prestation de ces services est entravée ou, parfois, empêchée par certaines exigences nationales, régionales ou locales exigeant que les données soient localisées sur un territoire précis.

(4)

Ces obstacles à la libre circulation des services de traitement des données et à la liberté d'établissement des fournisseurs de services découlent des exigences, dans le droit des États membres, visant à localiser les données dans une zone géographique ou un territoire précis à des fins de traitement des données. D'autres règles ou pratiques administratives ont un effet équivalent en imposant des exigences spécifiques qui rendent plus difficile le traitement de données en dehors d'une zone géographique ou d'un territoire précis dans l'Union, telles que les exigences d'utiliser des moyens techniques qui sont certifiés ou agréés dans un État membre particulier. L'absence de sécurité juridique quant à la portée des exigences, légitimes ou non, de localisation des données restreint encore le choix offert aux acteurs du marché et au secteur public concernant la localisation du traitement des données. Le présent règlement ne limite en rien la liberté des entreprises de conclure des contrats précisant où les données doivent être localisées. Le présent règlement vise simplement à sauvegarder cette liberté en permettant de convenir d'une localisation située en tout lieu de l'Union.

(5)

En même temps, la mobilité des données dans l'Union est également freinée par des restrictions relevant du secteur privé, à savoir les questions juridiques, contractuelles et techniques qui dissuadent ou empêchent les utilisateurs des services de traitement des données de transférer leurs données d'un fournisseur de services à un autre ou de les rapatrier vers leur propre système informatique, en particulier au terme de leur contrat avec un fournisseur.

(6)

La combinaison de ces obstacles a entraîné un manque de concurrence entre les fournisseurs de services informatiques en nuage dans l'Union, divers problèmes de dépendance à l'égard des fournisseurs et un sérieux manque de mobilité des données. De même, les politiques de localisation des données ont entravé la capacité des entreprises de recherche et développement à faciliter la collaboration entre les entreprises, les universités et d'autres organismes de recherche aux fins de la stimulation de l'innovation.

(7)

Pour des raisons de sécurité juridique et vu la nécessité de conditions de concurrence égales au sein de l'Union, un ensemble unique de règles applicables à tous les acteurs du marché est un élément essentiel du fonctionnement du marché intérieur. Afin de supprimer les obstacles aux échanges et les distorsions de concurrence qui résultent des divergences entre les droits nationaux, et d'empêcher l'apparition probable d'autres obstacles et distorsions de concurrence importantes, il est nécessaire d'adopter des règles uniformes applicables dans tous les États membres.

(8)

Le cadre juridique de l'Union relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, au respect de la vie privée et à la protection des données à caractère personnel dans les communications électroniques, et en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil (3) et les directives (UE) 2016/680 (4) et 2002/58/CE (5) du Parlement européen et du Conseil, n'est pas remis en question par le présent règlement.

(9)

L'essor de l'internet des objets, l'intelligence artificielle et l'apprentissage automatique représentent des sources importantes de données à caractère non personnel, par exemple en raison de leur déploiement dans des processus automatisés de production industrielle. Des exemples spécifiques de données à caractère non personnel sont notamment les ensembles de données agrégées et anonymisées utilisées pour l'analyse des mégadonnées, les données sur l'agriculture de précision qui peuvent aider à contrôler et à optimiser l'utilisation des pesticides et de l'eau, ou encore les données sur les besoins d'entretien des machines industrielles. Si les évolutions technologiques permettent de transformer les données anonymisées en données à caractère personnel, ces données doivent être traitées comme des données à caractère personnel, et le règlement (UE) 2016/679 doit s'appliquer en conséquence.

(10)

En vertu du règlement (UE) 2016/679, les États membres ne peuvent ni limiter ni interdire la libre circulation des données à caractère personnel au sein de l'Union pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Le présent règlement établit le même principe de libre circulation, au sein de l'Union, des données à caractère non personnel sauf si une restriction ou une interdiction se justifie par des motifs de sécurité publique. Le règlement (UE) 2016/679 et le présent règlement énoncent un ensemble cohérent de règles concernant la libre circulation de différents types de données. En outre, le présent règlement n'impose pas d'obligation de stocker séparément les différents types de données.

(11)

Afin d'établir un cadre applicable au libre flux des données à caractère non personnel dans l'Union et les bases pour développer l'économie des données et renforcer la compétitivité des entreprises de l'Union, il convient d'instaurer un cadre juridique clair, complet et prévisible concernant le traitement des données autres que personnelles dans le marché intérieur. Grâce à une approche fondée sur des principes, prévoyant une coopération entre les États membres ainsi qu'une autorégulation, le cadre devrait être assez souple pour permettre de prendre en compte l'évolution des besoins des utilisateurs, des fournisseurs de services et des autorités nationales dans l'Union. Afin d'éviter le risque de recoupement avec des mécanismes existants et ainsi un alourdissement de la charge pour les États membres comme pour les entreprises, il convient de ne pas établir de règles techniques détaillées.

(12)

Le présent règlement ne devrait pas avoir d'incidence sur le traitement des données dès lors qu'il est effectué dans le cadre d'une activité qui ne relève pas du droit de l'Union. Il convient, en particulier, de rappeler que la sécurité nationale relève de la seule responsabilité de chaque État membre conformément à l'article 4 du traité sur l'Union européenne.

(13)

Le libre flux des données dans l'Union jouera un rôle important dans la croissance et l'innovation fondées sur les données. À l'instar des entreprises et des consommateurs, les autorités publiques et les organismes de droit public des États membres peuvent bénéficier d'une plus grande liberté de choix pour ce qui est des fournisseurs de services axés sur les données, de prix plus concurrentiels et d'une meilleure fourniture de services aux citoyens. Compte tenu des volumes élevés de données que gèrent les autorités publiques et les organismes de droit public, il est de la plus haute importance qu'ils montrent l'exemple en utilisant les services de traitement des données et qu'ils s'abstiennent de prendre des mesures restrictives en matière de localisation des données lorsqu'ils recourent à des services de traitement des données. Il convient donc que les autorités publiques et les organismes de droit public relèvent du présent règlement. À cet égard, le principe du libre flux des données à caractère non personnel prévu par le présent règlement devrait également s'appliquer aux pratiques administratives générales et cohérentes et aux autres exigences de localisation des données dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE du Parlement européen et du Conseil (6).

(14)

À l'instar de la directive 2014/24/UE, le présent règlement est sans préjudice des dispositions législatives, réglementaires et administratives qui concernent l'organisation interne des États membres et qui attribuent aux autorités publiques et aux organismes de droit public des pouvoirs et des responsabilités en matière de traitement des données sans rémunération contractuelle de parties privées, ainsi que des dispositions législatives, réglementaires et administratives des États membres qui prévoient la mise en œuvre de ces pouvoirs et responsabilités. Si les autorités publiques et les organismes de droit public sont encouragés à prendre en considération les avantages économiques et autres bienfaits de l'externalisation vers des prestataires de services extérieurs, ils peuvent avoir des raisons légitimes de choisir l'autoprestation de services ou l'internalisation. Par conséquent, aucune disposition du présent règlement n'oblige les États membres à sous-traiter ou à externaliser la prestation de services qu'ils souhaitent fournir eux-mêmes ou organiser autrement que par des marchés publics.

(15)

Le présent règlement devrait s'appliquer aux personnes physiques ou morales qui fournissent des services de traitement des données aux utilisateurs résidant ou ayant un établissement dans l'Union, y compris à celles qui fournissent des services dans l'Union sans y avoir d'établissement. Le présent règlement ne devrait donc pas s'appliquer aux services de traitement des données ayant lieu en dehors de l'Union ni aux exigences de localisation relatives à ces données.

(16)

Le présent règlement ne fixe pas de règles relatives à la détermination de la loi applicable en matière commerciale et est donc sans préjudice du règlement (CE) no 593/2008 du Parlement européen et du Conseil (7). En particulier, dès lors que la loi applicable à un contrat n'a pas été choisie conformément audit règlement, un contrat de prestation de services est en principe régi par la loi du pays dans lequel le prestataire de services a sa résidence habituelle.

(17)

Le présent règlement devrait s'appliquer au traitement des données au sens le plus large, quel que soit le type de système informatique utilisé, qu'il ait lieu dans les locaux de l'utilisateur ou qu'il soit externalisé chez un fournisseur de services. Il devrait couvrir le traitement des données à différents niveaux d'intensité, depuis le stockage des données (infrastructure à la demande) jusqu'au traitement des données sur des plateformes (plateforme à la demande) ou dans des applications (logiciel à la demande).

(18)

Les exigences de localisation des données constituent incontestablement un obstacle à la libre prestation des services de traitement des données dans l'ensemble de l'Union, et au marché intérieur. À ce titre, elles devraient être interdites à moins qu'elles ne se justifient par des motifs de sécurité publique comme prévu par le droit de l'Union, en particulier au sens de l'article 52 du traité sur le fonctionnement de l'Union européenne, et respecter le principe de proportionnalité consacré par l'article 5 du traité sur l'Union européenne. Afin de donner effet au principe du libre flux des données à caractère non personnel à travers les frontières, d'assurer la levée rapide des exigences actuelles de localisation des données et de permettre, pour des raisons fonctionnelles, le traitement des données à plusieurs endroits dans l'Union, et comme le présent règlement prévoit des mesures pour garantir la disponibilité des données à des fins de contrôle réglementaire, les États membres ne devraient pouvoir invoquer que la sécurité publique pour justifier des exigences de localisation des données.

(19)

Le concept de sécurité publique, au sens de l'article 52 du traité sur le fonctionnement de l'Union européenne et tel que l'interprète la Cour de justice, englobe à la fois la sécurité intérieure et extérieure d'un État membre, mais aussi les questions de sûreté publique, afin, en particulier, de faciliter la détection des infractions pénales, les enquêtes et les poursuites en la matière. Il présuppose l'existence d'une menace réelle et suffisamment grave portant atteinte à l'un des intérêts fondamentaux de la société, telle qu'une menace pour le fonctionnement des institutions et des services publics essentiels et pour la survie de la population, ainsi que le risque d'une perturbation grave des relations extérieures ou de la coexistence pacifique des nations, ou un risque pour les intérêts militaires. Conformément au principe de proportionnalité, les exigences de localisation des données qui sont justifiées par des motifs de sécurité publique devraient être adaptées à la réalisation de l'objectif poursuivi et ne devraient pas aller au-delà de ce qui est nécessaire pour atteindre cet objectif.

(20)

Afin d'assurer l'application effective du principe du libre flux des données à caractère non personnel à travers les frontières et d'empêcher l'apparition de nouveaux obstacles au bon fonctionnement du marché intérieur, les États membres devraient communiquer immédiatement à la Commission tout projet d'acte prévoyant une nouvelle exigence de localisation des données ou modifiant une exigence existante. Ces projets d'acte devraient être transmis et appréciés conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil (8).

(21)

De plus, afin de supprimer les dispositions pouvant constituer des obstacles, les États membres devraient, durant une période transitoire de 24 mois à partir de la date d'application du présent règlement, procéder à l'examen des dispositions législatives, réglementaires ou administratives de nature générale existantes qui énoncent des exigences de localisation des données et communiquer à la Commission toute exigence de localisation des données qu'ils jugent conforme au présent règlement ainsi que sa justification. Cela devrait permettre à la Commission d'examiner la conformité de toute exigence de localisation des données restante. La Commission devrait être à même, le cas échéant, d'adresser des observations à l'État membre concerné. Ces observations pourraient comprendre une recommandation de modifier ou d'abroger l'exigence de localisation des données.

(22)

Les obligations établies par le présent règlement de communiquer à la Commission les exigences existantes de localisation des données et les projets d'actes devraient s'appliquer aux exigences réglementaires de localisation des données et aux projets d'actes de nature générale mais pas aux décisions adressées à une personne physique ou morale spécifique.

(23)

Afin d'assurer la transparence des exigences de localisation des données en vigueur dans les États membres, qui sont établies dans une disposition législative, réglementaire ou administrative de nature générale, pour les personnes physiques et morales comme les fournisseurs de services et les utilisateurs des services de traitement des données, les États membres devraient publier les informations sur ces exigences sur un point d'information unique en ligne national et les mettre à jour régulièrement. À défaut, les États membres devraient fournir des informations actualisées sur ces exigences à un point d'information central établi au titre d'un autre acte de l'Union. Afin que les personnes physiques et morales soient correctement informées des exigences de localisation des données dans l'ensemble de l'Union, les États membres devraient notifier à la Commission les adresses de ces points d'information uniques. La Commission devrait publier ces informations sur son propre site internet, ainsi qu'une liste consolidée régulièrement mise à jour de toutes les exigences de localisation des données en vigueur dans les États membres, avec une synthèse des informations sur ces exigences.

(24)

Les exigences de localisation des données trouvent souvent leur origine dans un manque de confiance dans le traitement transfrontière des données, découlant de l'indisponibilité présumée de celles-ci à des fins d'intervention des autorités compétentes des États membres, comme l'inspection et l'audit dans le cadre d'un contrôle réglementaire ou prudentiel. Un tel manque de confiance ne peut être surmonté uniquement par la nullité des clauses contractuelles interdisant aux autorités compétentes l'accès légal aux données pour l'exercice de leurs fonctions officielles. Par conséquent, le présent règlement devrait clairement préciser qu'il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d'obtenir l'accès à des données conformément au droit de l'Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l'accès aux données au motif que les données sont traitées dans un autre État membre. Les autorités compétentes pourraient imposer des exigences fonctionnelles pour faciliter l'accès aux données et exiger, par exemple, que les descriptions des systèmes doivent demeurer dans l'État membre concerné.

(25)

Les personnes physiques ou morales qui sont soumises à l'obligation de fournir des données à des autorités compétentes peuvent s'en acquitter en donnant et en garantissant auxdites autorités un accès effectif et en temps utile, par voie électronique, aux données, indépendamment de l'État membre sur le territoire duquel celles-ci sont traitées. Cet accès peut être garanti par des clauses et conditions contractuelles concrètes entre la personne physique ou morale soumise à l'obligation de donner accès aux données et le fournisseur de services.

(26)

Lorsqu'une personne physique ou morale est soumise à une obligation de fournir des données et ne la respecte pas, l'autorité compétente devrait être en mesure de demander l'assistance des autorités compétentes dans d'autres États membres. En pareil cas, les autorités compétentes devraient utiliser des instruments de coopération spécifiques du droit de l'Union ou en vertu d'accords internationaux, en fonction du sujet dans une situation donnée, comme par exemple dans le domaine de la coopération policière, de la justice pénale ou civile ou des questions administratives — respectivement, la décision-cadre 2006/960/JAI du Conseil (9), la directive 2014/41/UE du Parlement européen et du Conseil (10), la convention sur la cybercriminalité du Conseil de l'Europe (11), le règlement (CE) no 1206/2001 du Conseil (12), la directive 2006/112/CE du Conseil (13) et le règlement (UE) no 904/2010 du Conseil (14). En l'absence de tels mécanismes de coopération spécifiques, les autorités compétentes devraient coopérer les unes avec les autres en vue de fournir l'accès aux données sollicitées par l'intermédiaire de points de contact uniques désignés.

(27)

Lorsqu'une demande d'assistance implique d'obtenir, de la part de l'autorité sollicitée, l'accès à tous les locaux d'une personne physique ou morale, y compris à tous les équipements et moyens de traitement des données, cet accès doit être conforme au droit de l'Union ou au droit procédural national, y compris toute obligation d'obtenir une autorisation judiciaire préalable.

(28)

Le présent règlement ne devrait pas permettre aux utilisateurs de tenter d'échapper à l'application du droit national. Il devrait dès lors permettre aux États membres d'infliger des sanctions effectives, proportionnées et dissuasives aux utilisateurs qui empêchent les autorités compétentes d'accéder aux données nécessaires à l'accomplissement de leurs missions officielles en vertu du droit de l'Union et du droit national. En cas d'urgence, lorsqu'un utilisateur abuse de son droit, les États membres devraient pouvoir imposer des mesures provisoires strictement proportionnées. Toute mesure provisoire nécessitant la relocalisation de données pendant plus de 180 jours à compter de la relocalisation s'écarterait du principe de libre circulation des données pendant une période importante et devrait dès lors être communiquée à la Commission pour examen de sa compatibilité avec le droit de l'Union.

(29)

La capacité de transférer des données sans entrave est un élément clé pour faciliter le choix de l'utilisateur et favoriser une concurrence effective sur les marchés pour les services de traitement des données. Les difficultés réelles ou ressenties concernant le portage transfrontière de données rendent également les utilisateurs professionnels moins confiants à l'égard des offres transfrontières et sapent de ce fait leur confiance dans le marché intérieur. Alors que les consommateurs individuels bénéficient du droit de l'Union en vigueur, il n'existe pas de mesures facilitant le changement de fournisseur de services pour les utilisateurs intervenant dans le cadre de leurs activités commerciales ou professionnelles. Des exigences techniques cohérentes dans l'ensemble de l'Union, que cela concerne l'harmonisation technique, la reconnaissance mutuelle ou l'harmonisation volontaire, contribuent également à la mise en place d'un marché intérieur concurrentiel pour les services de traitement des données.

(30)

Pour tirer pleinement parti de l'environnement concurrentiel, les utilisateurs professionnels devraient être en mesure de faire des choix en connaissance de cause et de comparer facilement les différentes composantes des divers services de traitement des données proposés dans le marché intérieur, notamment en ce qui concerne les conditions générales contractuelles de portage des données lors de la résiliation d'un contrat. Afin de s'aligner sur le potentiel d'innovation du marché et de tenir compte de l'expérience et de l'expertise des fournisseurs de services et des utilisateurs professionnels des services de traitement des données, les informations et exigences fonctionnelles détaillées concernant le portage des données devraient être définies par les acteurs du marché dans le cadre de l'autorégulation, encouragée, facilitée et contrôlée par la Commission, sous la forme de codes de conduite de l'Union pouvant comporter des conditions générales contractuelles types.

(31)

Pour être efficaces et faciliter les changements de fournisseur de services et le portage des données, de tels codes de conduite devraient être complets et englober au minimum les aspects qui s'avèrent essentiels au cours du processus de portage des données, tels que les processus et la localisation des sauvegardes de données, les formats et supports de données disponibles, la configuration informatique requise et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure de portage et la durée pendant laquelle les données resteront accessibles en vue de leur portage, ainsi que les garanties d'accès aux données en cas de faillite du fournisseur de services. Les codes de conduite devraient aussi indiquer clairement que la dépendance à l'égard des fournisseurs n'est pas une pratique commerciale acceptable, prévoir des technologies renforçant la confiance et être régulièrement mis à jour pour suivre l'évolution technologique. Tout au long du processus, la Commission devrait veiller à consulter toutes les parties prenantes, y compris les associations de petites et moyennes entreprises (PME) et de jeunes pousses, les utilisateurs et les fournisseurs de services en nuage. Elle devrait évaluer l'élaboration de ces codes de conduite et l'efficacité de leur mise en application.

(32)

Lorsqu'une autorité compétente d'un État membre sollicite l'assistance d'un autre État membre pour obtenir l'accès à des données conformément au présent règlement, elle devrait présenter, par l'intermédiaire d'un point de contact unique désigné, une demande dûment motivée au point de contact unique désigné dudit État membre, qui devrait comprendre une explication écrite des motifs et des bases juridiques pour demander l'accès aux données. Le point de contact unique désigné par l'État membre sollicité devrait faciliter la transmission de la demande à l'autorité compétente concernée dans l'État membre en question. Afin de garantir une coopération effective, l'autorité à laquelle une demande est transmise devrait fournir une assistance sans retard indu, pour répondre à une demande donnée ou pour fournir des informations sur les difficultés rencontrées pour satisfaire cette demande ou sur ses motifs de rejet.

(33)

Le renforcement de la confiance dans la sécurité du traitement transfrontière des données devrait réduire la propension des acteurs du marché et du secteur public à utiliser la localisation des données en lieu et place d'une assurance de sécurité des données. Il devrait également améliorer la sécurité juridique pour les entreprises en ce qui concerne le respect des exigences de sécurité applicables lorsqu'elles externalisent leurs activités de traitement des données à des fournisseurs de services, y compris à ceux qui sont situés dans d'autres États membres.

(34)

Toutes les exigences de sécurité relatives au traitement des données qui s'appliquent de manière justifiée et proportionnée sur la base du droit de l'Union ou du droit national en conformité avec le droit de l'Union dans l'État membre de résidence ou d'établissement des personnes physiques ou morales dont les données sont concernées devraient continuer à s'appliquer au traitement des données dans un autre État membre. Ces personnes physiques ou morales devraient pouvoir satisfaire à ces exigences par elles-mêmes ou par des clauses contractuelles dans les contrats conclus avec les fournisseurs de services.

(35)

Les exigences de sécurité fixées au niveau national devraient être nécessaires et proportionnées aux risques qui menacent la sécurité du traitement des données dans le domaine d'application du droit national contenant ces exigences.

(36)

La directive (UE) 2016/1148 du Parlement européen et du Conseil (15) prévoit des mesures juridiques pour renforcer le niveau global de cybersécurité dans l'Union. Les services de traitement des données sont au nombre des services numériques régis par ladite directive. Selon ladite directive, les États membres doivent veiller à ce que les fournisseurs de service numérique identifient les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer. Ces mesures devraient garantir un niveau de sécurité adapté au risque existant et prendre en considération la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l'audit et le contrôle, ainsi que le respect des normes internationales. Ces éléments doivent être complétés par la Commission dans des actes d'exécution adoptés au titre de ladite directive.

(37)

La Commission devrait présenter un rapport sur la mise en œuvre du présent règlement, notamment en vue de déterminer s'il est nécessaire de le modifier pour tenir compte de l'évolution des technologies ou des marchés. Il convient, dans ce rapport, d'évaluer en particulier le présent règlement, spécialement son application aux ensembles de données composés à la fois de données à caractère personnel et de données à caractère non personnel, ainsi que l'application de l'exception relative à la sécurité publique. Avant la mise en application du présent règlement, la Commission devrait également publier des lignes directrices sur la manière de traiter les ensembles de données composés à la fois de données à caractère personnel et de données à caractère non personnel, afin que les entreprises, dont les PME, puissent mieux comprendre l'interaction entre le présent règlement et le règlement (UE) 2016/679 et afin de veiller à ce que les deux règlements soient respectés.

(38)

Le présent règlement respecte les droits fondamentaux et observe les principes reconnus, en particulier, par la Charte des droits fondamentaux de l'Union européenne, et devrait être interprété et appliqué dans le respect de ces droits et principes, notamment les droits à la protection des données à caractère personnel, la liberté d'expression et d'information et la liberté d'entreprise.

(39)

Étant donné que l'objectif du présent règlement, à savoir garantir le libre flux des données autres que des données à caractère personnel dans l'Union, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de ses dimensions et de ses effets, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif,