Comité économique et social européen
TEN/699
Lignes directrices concernant le libre flux
des données à caractère non personnel
AVIS
Section «Transports, énergie, infrastructures et société de l’information»
Communication de la Commission au Parlement européen et au Conseil – Lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
[COM(2019) 250 final]
Rapporteure: Laure BATUT
|
Consultation
|
Commission européenne, 22/07/2019
|
|
Base juridique
|
Article 304 du traité sur le fonctionnement de l’Union européenne
|
|
|
|
|
Compétence
|
Section «Transports, énergie, infrastructures et société de l’information»
|
|
Adoption en section spécialisée
|
11/09/2019
|
|
Adoption en session plénière
|
DD/MM/YYYY
|
|
Session plénière nº
|
...
|
|
Résultat du vote
(pour/contre/abstentions)
|
…/…/…
|
1.Recommandations
1.1Le CESE recommande à la Commission:
·de communiquer de manière simple et claire sur les critères de définition de la donnée non personnelle et sur le champ d’application du règlement établissant un cadre applicable au libre flux des données à caractère non personnel (RDNP) pour lever les incertitudes et accroître la confiance;
·d’informer les acteurs sur les zones de chevauchement entre les textes européens relatifs aux données;
·de veiller, tout en favorisant la libre circulation, à ce que les données à caractère personnel (DP) ne soient pas peu à peu considérées comme des données à caractère non personnel (DNP) et de faire en sorte que le règlement général sur la protection des données (RGPD) conserve l‘intégralité de son champ d’application, quitte à fusionner à moyen terme les deux règlements dans le sens d’une plus grande protection, et non d’une marchandisation accrue de la donnée;
·de prendre en compte l’éventualité de portages transplateformes;
·de développer des fédérations de services paneuropéens pour l’informatique en nuage;
·d’aider à très court terme les Européens à utiliser des algorithmes capables de traiter les masses de DNP du marché unique de la donnée; d’encourager les États membres à renforcer l’éducation en matière de technologies informatiques (TI) et d’intelligence artificielle (IA), à tous les niveaux (école, université, monde professionnel) et ceci tout au long de la vie;
·d’inciter les acteurs à développer un esprit de responsabilité, d’éthique et de solidarité, et de ne pas laisser l’autorégulation et le règlement «amiable» des différends donner naissance à des interprétations divergentes des textes;
·de ne pas négliger le recours à l’outil réglementaire;
·d’informer les entreprises, qu’au-delà des codes de conduite et du règlement amiable des différends, elles ont la possibilité de saisir en référé la justice européenne;
·de prévoir une harmonisation des sanctions;
·d’élaborer une feuille de route pour vérifier si la sécurité juridique des entreprises est une réalité dans le cadre de la libre utilisation de leurs données telle que prévue au RDNP;
·de faire un bilan de la situation actuelle des 27 États membres et d’évaluer l’action des points de contact nationaux dès leur sixième mois de fonctionnement;
·d’assumer largement le rôle d’information, de communication et d’alerte qui lui appartient;
·d’inviter les États membres à communiquer avec les acteurs sur leurs critères de «sécurité publique»;
·d’inviter les États membres à disséminer leurs zones de stockage des données non transférables;
·de réexaminer en temps utile la politique de concurrence pour vérifier qu’elle est adaptée à la libre circulation des données dans ses termes actuels.
2.Introduction
2.1Le CESE prend note de la volonté de la Commission de guider les entreprises concernées par les transferts de données non personnelles avant que ne soient négociés dans le courant de 2020 des codes de conduite entre parties prenantes. La fréquence des données à caractère mixte, pouvant être à la fois non personnelles et personnelles, peut créer de l'incertitude pour les entreprises sur les actions à diligenter pour les protéger. Il convient de rappeler ici les grands principes de la règlementation existante avant d'examiner les points que le CESE souligne de commentaires.
2.2La Commission a observé que le manque de compétitivité entre les services d’informatique en nuage au sein de l’Union et, partant, le manque de mobilité des données dans un contexte d’oligopoles, avaient un impact négatif sur le marché de la donnée. Le RDNP demande aux États membres de réduire au minimum leurs exigences de localisation des données, ainsi que la fragmentation des législations en la matière de façon à stimuler la croissance et à libérer les capacités d’innovation des entreprises.
2.3Avec l’adoption du règlement sur la libre circulation des données non personnelles, complémentaire du RGPD, c’est une «cinquième liberté de circulation» s’appliquant à toutes les données qui se met en place dans les textes européens du XXIe siècle (sic: Anna-Maria Corazza Bildt, députée au Parlement européen, rapporteure). Cette marchandise immatérielle, si on peut ainsi la qualifier, doit pouvoir être transférée et gérée là où le souhaitent ses détenteurs auprès de fournisseurs-hébergeurs dans des pays autres que celui de sa création et/ou de son utilisation au sein de l’Union européenne (article 1 RDNP). Les détenteurs de cette marchandise gagnent ainsi en facilité et en compétitivité.
Le RDNP
2.4Le règlement (UE) 2018/1807 favorise la liberté de circulation dans l’Union des données non personnelles afin de développer l’intelligence artificielle, l’informatique en nuage et l’analyse des mégadonnées. Il prévoit (article 6) que la Commission guide, encourage et facilite l’élaboration, par les opérateurs qui travaillent sur ces données non personnelles, de codes de conduite par autorégulation au niveau de l’Union.
2.5Le texte à l’examen qui est destiné aux professionnels des microentreprises et des PME, doit favoriser leur compréhension des interactions entre ledit règlement et le RGPD au moyen de lignes directrices. Pour être pédagogique, la Commission utilise de nombreux exemples de situations.
2.6Les codes de conduite en préparation devraient être prêts entre novembre 2019 et mai 2020 (considérants 30 et 31, article 6, paragraphe 1). Leur élaboration tiendra compte de l’avis de toutes les parties. Deux consultations publiques ont lieu et deux groupes de travail, composés de professionnels, apportent leur concours à la Commission: l’un sur la certification de la cybersécurité du nuage (CSPCERT) et l’autre sur le portage des données et le changement de fournisseurs de services (SWIPO). Leurs contributions couvrent l’infrastructure à la demande et le logiciel à la demande. En mai 2020, la Commission proposera d’encourager l’industrie à développer un modèle de clauses contractuelles et, en 2022, elle fera rapport au Parlement européen, au Conseil et au CESE sur l’application du règlement, en particulier sur l’utilisation des données «composées» ou mixtes.
3.Observations générales
3.1Mission de la Commission: concilier le RGPD et le RDNP
3.1.1Pour concilier les deux règlements qui sont complémentaires, la Commission explique que 1) les exigences de localisation des données sont désormais interdites; 2) les données restent accessibles aux autorités compétentes; 3) les données deviennent mobiles et peuvent donc faire l’objet de «portage». Le RGPD évoque la «portabilité». Le RDNP parle du «portage». Les utilisateurs peuvent transférer leurs données hors du pays de création puis les récupérer sans (trop de) contraintes après avoir changé de fournisseur de services, pour leur stockage, leur traitement ou leur analyse. À la différence de la «portabilité», qui est un droit pour les personnes concernées, le «portage» s’organise selon des codes de conduite et donc dans le cadre d’une démarche d’autorégulation.
3.1.2Ce point constitue une différence importante entre les deux règlements, l’un s’appuie sur le droit dur, l’autre sur des instruments non contraignants (soft law) dont on sait qu’ils offrent beaucoup moins de garanties. Or, selon la Commission elle-même, la majorité des données présentent à la fois des caractères personnel et non personnel inextricablement liés, qui en font des données «mixtes» (DM).
3.1.3Le CESE salue cette démarche d’aide et ne remet pas en cause les exemples choisis. Il n’est pas dans son propos d’en indiquer d’autres. Toutefois, il observe que les orientations de la Commission destinées aux opérateurs se résument à illustrer le contexte par des exemples de situations. Le CESE souhaite souligner, dans le but d’alerter la Commission, les zones critiques qui lui paraissent pouvoir poser problème aux utilisateurs malgré les lignes directrices et les codes à venir.
3.2Rappel des principes
3.2.1Le principe: la liberté de circulation des données
Plus que géographiques, les barrières à la libre circulation des DNP sont fonctionnelles et/ou liées aux moyens dont disposent les entreprises pour utiliser les technologies informatiques.
Le RDNP interdit les exigences de localisation des DNP sur un territoire donné (article 4). Il demande des États membres d’abroger toute disposition contraire dans un délai de vingt-quatre mois à compter de l’entrée en application du règlement (mai 2021).
Le règlement accepte les exceptions liées à la sécurité publique. Les États doivent publier en ligne des informations détaillées concernant leurs exigences de localisation au niveau national. La Commission européenne peut formuler des observations et relaie les sites mis en ligne par les États membres.
3.2.2Exceptions à la liberté de circulation
·Les autorités des États membres peuvent avoir accès aux données transférées: le RNDP met en œuvre une procédure permettant à toute autorité de contrôle d’un État X d’obtenir des données traitées dans un État Y. Une procédure de coopération entre États est prévue (articles 5 et 7). Cependant, en l’absence de localisation, la crainte du CESE est forte de voir les données (comptables, financières, contractuelles, etc.) échapper au contrôle des autorités des États membres. Il rappelle à la Commission de ne pas de ne pas négliger le recours à l’outil réglementaire si nécessaire
·Le «point de contact» unique de chaque État traitera la demande avec l’autorité de contrôle nationale qui pourra fournir ou non les données si elle estime la demande recevable. Les points de contact devraient, conformément à l’esprit du RDNP, aider les acteurs à choisir de manière éclairée leurs transferts et leurs fournisseurs de services dans toute l’Union, et ceci en toute concurrence.
Le CESE estime que les lignes directrices ne sont pas en mesure de lever à elles seules les nombreuses incertitudes liées à la mise en œuvre de ce principe. Il est compliqué d’apprécier les justifications des États, la bonne foi des opérateurs ou le bon fonctionnement des points de contact. Toute évaluation en la matière sera difficile.
·Interdiction d’exiger directement ou indirectement la localisation des données, sauf pour les cas justifiés de «sécurité publique». Le CESE estime que la notion de «sécurité publique» invoquée dans le règlement manque de précision, et il se demande jusqu’où elle s’étend. Le RDNP définit les exigences de localisation comme «toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d’un État membre», ou résultant de pratiques administratives, qui obligeraient les opérateurs à conserver les données dans le périmètre d’un territoire donné au sein de l’Union. Pour la Cour de justice de l’Union européenne (CJUE) (et le considérant 19, RDNP), la sécurité publique englobe «la sécurité intérieure et extérieure d’un Etat membre», et présuppose l’existence «d’une menace réelle et suffisamment grave portant atteinte à l’un des intérêts fondamentaux de la société». Cette définition inclut les données génétiques, biométriques et concernant la santé. La réponse de l’Etat membre doit être proportionnée.
3.2.3Le Comité estime que, pour la libre circulation comme pour la localisation des données:
-les critères retenus peuvent recevoir de nombreuses interprétations;
-seul le juge pourra les éclairer au cas par cas, ce qui pourra nuire à la confiance nécessaire au commerce, surtout pour les données sensibles; les litiges nés à partir des codes de conduite pourraient accroître l’éparpillement des situations;
-le temps de la justice n’a rien à voir avec celui du numérique et du mouvement des données.
Le CESE estime que les incertitudes et la complexité de la situation sont dissuasives pour les microentreprises et les PME. Il recommande à la Commission d’informer les entreprises de la possibilité de saisir en référé la justice européenne pour obtenir rapidement des décisions sur leurs litiges.
3.2.4Le CESE déplore que rien ne soit prévu dans les lignes directrices ni sur les contentieux ni sur les façons de vérifier comment les États membres respecteront les critères de sécurité publique, et comment ils pourraient être, le cas échéant, sanctionnés. Le CESE craint que le texte explicatif de la communication ne soit insuffisant pour permettre aux opérateurs des microentreprises et des PME de se positionner entre tous les écueils juridiques des textes, et que les incertitudes ne permettent pas de susciter le sentiment de confiance et de sécurité juridique nécessaire au développement du secteur.
3.2.5Le CESE reconnaît à la communication de la Commission le grand mérite de diffuser largement, du sommet vers la base, des informations sur la situation créée par les deux règlements. Elle est plus que nécessaire pour le monde des microentreprises et des PME. Le CESE souhaite que l’action des points de contact nationaux et la fréquentation du site de la Commission par ces acteurs soient évaluées dès leur sixième mois de fonctionnement, pour que les correctifs soient appliqués rapidement si un manque d’information et de communication devait être ressenti.
4.Observations spécifiques
4.1Sur les données
4.1.1Les données non personnelles englobent par défaut l’ensemble des données numériques qui n’entrent pas dans le champ des données personnelles telles que définies par le RGPD
. Il peut s’agir de données commerciales, de données sur l’agriculture de précision, sur les besoins d’entretien des machines, météorologiques, etc.
4.1.2Les données recueillies par les services publics comme les hôpitaux ou celles de l’aide sociale ou des services des impôts, peuvent se trouver en totale proximité avec des données personnelles de patients ou de contribuables. Les entreprises qui les utiliseraient doivent veiller à ce qu’elles ne permettent pas d’identifier des personnes ni, après leur anonymisation, à ce qu’elles ne puissent pas être désanonymisées. Pour une microentreprise ou une PME, cela peut signifier des procédures qui exigent trop de temps et d’argent. Comme les deux règlements (RGPD et RDNP) assurent ensemble la libre circulation de toutes les données dans l’UE quand elles sont «inextricablement liées», les protections légales prévues par le RGPD s’appliquent alors à l’ensemble des données mixtes (considérant 8 et article 2, paragraphe 2, du règlement (UE) 2018/1807). À la première restriction au libre flux des données non personnelles liée à la sécurité publique, s’ajoute donc une restriction liée à la nature même des données. C’est la question centrale de la communication de la Commission qui évoque à plusieurs reprises la proximité des DP et des DNP: «la majorité des données sont des données mixtes» (communication, point 2.2); elles peuvent être «inextricablement liées» (point 2.2); «aucun des deux règlements n’oblige les entreprises à séparer les ensembles de données» (point 2.2).
4.1.3C’est à l’entreprise de se demander si les données non personnelles qu’elle traite sont «inextricablement liées» à des données personnelles, et de les protéger si elles le sont. Pour l’entreprise, il n’est pas simple de préparer un «out management». Une définition générale des données mixtes paraît impossible, et le chevauchement des deux règlements en entraîne probablement d’autres avec d’autres textes relatifs au droit de la donnée, comme ceux relatifs à la propriété intellectuelle: la DNP peut circuler, mais si elle est réutilisée dans une œuvre, elle ne sera plus soumise aux mêmes règles. Le CESE estime que les articulations entre les différents textes seront très délicates. La jurisprudence a déjà exigé que l’inextricabilité soit examinée à l’aune d’un critère «raisonnable». Le CESE constate que la communication à l’examen est manifestement dans l’impossibilité de passer en revue tous les cas de figure pour aider les acteurs, et que la situation créée favorise plutôt les grandes entreprises. Le CESE recommande à la Commission de veiller à ce que, dans la pratique, les DP ne soient pas peu à peu considérées comme des DNP et faire en sorte que le RGPD conserve l’intégralité de son champ d’application, quitte à fusionner à moyen terme les deux règlements dans le sens d’une plus grande protection des données, et non de leur marchandisation accrue.
4.2Sur la portabilité, le transfert, le traitement et le stockage des données
Le RGPD prévoit que la portabilité doit être encadrée par la régulation (article 20) et le RDNP par l’autorégulation. Le CESE regrette que puisse se développer une grande part d’incertitude juridique qui risque de pénaliser les microentreprises et les PME en raison des nombreux risques de contentieux. Le CESE estime que si les DNP sont des marchandises, certes immatérielles, mais en libre circulation, elles peuvent s’importer et s’exporter. Un débat sur leur propriété serait intéressant dans le contexte présent. Or, plus que la donnée elle-même, c’est la masse des données qui est le vrai gisement de valeur. Cela conduit le Comité à penser que la politique de concurrence n’est peut-être pas adaptée à ce type de marché. Le CESE se demande comment la situation créée va renforcer la productivité des microentreprises et les PME. La communication de la Commission ne leur donne pas de clés sur ce point.
4.3Sur les fournisseurs de services
4.3.1L’UE ne possède pas de grands opérateurs, ni de nuage «européen», ce que le CESE déplore depuis longtemps. L’effet d’échelle toujours recherché est l’apanage des très grandes entreprises américaines de l’informatique et de certaines entreprises chinoises. C’est ainsi que même les grandes administrations des États membres sont tentées de leur faire confiance et de leur transférer la gestion de leurs données (cas de la France).
4.3.2Le CESE estime que les Européens auraient besoin de créer des écosystèmes partenaires, ainsi que de prévoir des transferts de données transplateformes. Au-delà de cette communication, la Commission pourrait aider les microentreprises et les PME à développer des ressources en ce sens, comme elle l’a fait pour les SIG dans son projet de 2018 d’une «Fédération de services pan-européens d’informatique en nuage» pour la fourniture de services d’intérêt général économiques et non-économiques (service à la demande, FaaS) et comme elle le prévoit avec le réseau de pôles d’innovation numérique («A network of Digital Innovation Hubs», web/Commission/DIHs/janvier 2019).
4.4Sur la sécurité des données
4.4.1Au plan interne, les opérateurs nationaux vérifient la nature de leurs données à transférer et les sécurisent. L’obligation de localisation correspondait à des règles de sécurité contrôlables en droit national. Malgré le RGPD et le RDNP, les normes de sécurité informatiques ne sont pas unifiées entre les différents pays de l’UE. Le Comité estime que des informations très sérieuses devraient être fournies sur ce point aux microentreprises et aux PME ainsi qu’aux services privés et publics par les points de contact nationaux et dans différentes langues.
Au plan externe, le CESE estime que la capacité des entreprises étrangères à l’UE à respecter les codes de conduite et à restituer les données après de nouveaux transferts voulus par leurs détenteurs n’est pas certaine. Il craint que sur le temps long, il devienne difficile de démêler les responsabilités.
Le Comité recommande à la Commission d’aider des acteurs européens à parvenir à très court terme à utiliser des algorithmes capables de traiter les masses de DNP du marché unique de la donnée.
4.4.2La question de la localisation physique des serveurs et de leur sécurité va rester du domaine de la négociation commerciale et diplomatique d’État à État. Cette question est essentielle. Face aux grands de l’informatique et à leurs États de référence respectifs, et bien que la gestion des données soit une compétence partagée entre les États membres et l’UE, il ne serait pas sans risque pour les États membres de négocier un par un.
4.4.3Le CESE propose à la Commission de préciser sa communication sur les obligations faites aux fournisseurs de services concernant le stockage des DNP, les méthodes utilisées, les lieux physiques, la durée de conservation prévue ou autorisée et l’utilisation après traitement, car ces éléments conditionnent leur sécurité et peuvent être importants pour les entreprises européennes dans le contexte de la compétition mondiale.
4.5Sur les codes de conduite
4.5.1À compter de mai 2019, les acteurs concernés par le RDNP (utilisateurs et fournisseurs de service en nuage principalement) sont encouragés à élaborer leur code de conduite dans un délai de 12 mois. Selon la Commission, il convient de prendre en compte les bonnes pratiques, les approches en matière de dispositifs de certification et les feuilles de route de communication. Les groupes de travail SWIPO et CSPCERT apportent leur expertise.
4.5.2La Commission se réfère à ce qui s’est fait pour le RGPD (communication, page 23). En effet celui-ci étant encadré par l’avis du CEPD, il peut servir d’appui pour le RDNP. Des associations des représentants d’un secteur d’activité peuvent élaborer leur code de conduite. Les auteurs doivent démontrer aux autorités compétentes (CompSA) que leur projet de code, qu’il soit national ou transnational, remplit un besoin spécifique du secteur, facilite l’application du règlement et établit des mécanismes efficaces pour surveiller le respect du code.
4.5.3Avant même l’entrée en vigueur du RGPD, les principaux fournisseurs d’infrastructure à la demande (IaaS) et de logiciel à la demande (SaaS) avaient élaboré leur propre code de conduite pour définir leurs modalités de mise en œuvre, et ainsi lever les zones d’incertitudes pointées par les professionnels; ils associaient les PME, estimant que pour beaucoup d’entre elles, l’auto-certification était préférable au coût très élevé d’une certification.
4.5.4Le CESE approuve une approche secteur par secteur pour le RDNP, si une formule unique valable pour tous ne semble pas convenir. Dans le cadre du RGPD, une liste non exhaustive de points à couvrir par les codes a été établie (article 40, paragraphe 2), notamment en ce qui concerne le caractère loyal et transparent des procédures, la sécurité en matière de transfert des données et le règlement des différends. Dans leur propre intérêt et pour renforcer la confiance des consommateurs dans l’approche européenne, les acteurs doivent être incités à s’en inspirer et à développer un esprit de responsabilité, d’éthique et de solidarité, en particulier par des lignes directrices prenant en compte l’intelligence artificielle. C’est un des points que souhaite relever le Comité: il recommande à la Commission de ne pas laisser l’autorégulation et le règlement «amiable» des différends » donner naissance à des interprétations divergentes des textes. Il y aurait lieu au contraire de tout faire pour les unifier afin d’en faire ultérieurement des règles s’appliquant à tous et de l’annoncer dans ses feuilles de route sur l’information et la communication.
5.Sur l’évaluation
La Commission procédera à une évaluation régulière concernant l’incidence du libre flux, l’application du règlement, l’abrogation des mesures restrictives par les États membres et l’efficacité des codes de conduite. Le CESE estime que des représentants de la société civile devraient être invités à s’exprimer dans ce contexte. Pour que l’ensemble de la société se sente en sécurité et, par conséquent, ait confiance en ces nouvelles pratiques numériques, l’Union comme les États membres doivent lever les incertitudes en ce qui concerne le droit applicable, la confidentialité, la conservation et la récupération sans perte des données, les garanties de faisabilité et de bonne foi des acteurs, ainsi que les garanties financières. L’inextricabilité des données qui sont à la fois DP-DNP est source d’inquiétude et la proportion de celles-ci par rapport à l’ensemble des données porte le CESE à se demander si l’autorégulation était réellement la seule voie possible. Il recommande qu’à moyen terme les règles du RGPD s’appliquent à toutes les données et à tous les mouvements de données, avec des exceptions concernant les «véritables» DNP.
Bruxelles, le 11 septembre 2019
Pierre Jean COULON
Président de la section spécialisée «Transports, énergie, infrastructures et société de l’information»
_____________