Navigation path

Left navigation

Additional tools

Commission européenne - Fiche d'information

Un cadre pour la libre circulation des données à caractère non personnel dans l'UE

Bruxelles, le 19 septembre 2017

Questions et réponses

IP/17/3190

Que propose la Commission?

Dans sa proposition de règlement relatif à la libre circulation des données à caractère non personnel, la Commission avance un nouveau principe consistant à supprimer les exigences en matière de localisation des données tout en garantissant aux autorités compétentes des droits d'accès aux données à des fins de contrôle réglementaire.

Conjuguées avec les règles européennes relatives à la protection des données à caractère personnel instaurées par le règlement général sur la protection des données (RGPD), les nouvelles mesures créent un espace européen commun des données, élément clé de la stratégie pour un marché unique numérique.

Quels sont les principaux éléments de la proposition?

Le règlement lèvera les obstacles à la libre circulation des données au sein de l'UE pour les entreprises, les administrations publiques et les particuliers.

a) Il contribue au bon fonctionnement du marché intérieur en assurant la libre circulation des données à caractère non personnel au sein de l'UE. Il supprime les règles nationales injustifiées ou disproportionnées qui entravent ou restreignent la liberté des entreprises de choisir un lieu pour le stockage ou le traitement de leurs données. Les États membres devront communiquer à la Commission les exigences nouvelles ou existantes en matière de localisation des données.

b) Il garantit que les autorités compétentes ont accès aux données stockées ou traitées dans un autre État membre pour pouvoir s'acquitter des tâches qui leur incombent en vertu de leur mandat légal, dans les mêmes conditions que lorsque les données sont stockées sur leur propre territoire.

c) Il encourage l'élaboration de codes de conduite autorégulatifs visant à faciliter le changement de fournisseur de services en nuage en informant, par exemple, les utilisateurs des conditions selon lesquelles ils peuvent portabiliser leurs données en dehors de leur propre environnement informatique.

d) Il institue un point de contact unique dans chaque État membre, qui est chargé de communiquer avec les points de contact des autres États membres et avec la Commission afin de garantir l'application effective des nouvelles règles relatives à la libre circulation des données à caractère non personnel.

Pourquoi est-il nécessaire de lever les obstacles à la mobilité des données?

L'innovation fondée sur les données est un facteur de croissance et d'emploi déterminant et est susceptible de donner un élan considérable à la compétitivité européenne sur le marché mondial. Pour tirer le meilleur parti de l'économie fondée sur les données, il est essentiel que celles-ci puissent circuler entre les pays et être exploitées en dehors du territoire national.

La suppression des restrictions en matière de localisation des données est considérée comme le principal facteur devant permettre à l'économie fondée sur les données de se déployer pleinement et de porter sa croissance à 739 milliards d'euros en 2020, doublant ainsi sa valeur pour atteindre 4 % du PIB.

De plus, la suppression des mesures existantes en matière de localisation des données fera baisser le coût des services de données et offrira une plus grande souplesse aux entreprises pour l'organisation de la gestion et de l'analyse des données tout en élargissant leur liberté d'utilisation et de choix des fournisseurs. La croissance du PIB qui s'ensuivrait pourrait atteindre 8 milliards d'euros par an.

Quels sont les obstacles actuels à la libre circulation des données à caractère non personnel?

Actuellement, les restrictions imposées par les autorités publiques des États membres en matière de localisation des données et les obstacles à la circulation des données entre les systèmes informatiques (pratique dite d'«enfermement propriétaire») empêchent les entreprises et les organisations dans l'UE de saisir toutes leurs chances sur les plans économique, social et commercial. L'insécurité juridique et le déficit de confiance, quant à eux, dressent de nouveaux obstacles à la libre circulation des données à caractère non personnel.

Dans la pratique, cela signifie qu'une entreprise peut se trouver ou s'estimer dans l'impossibilité d'utiliser pleinement les services en nuage, de choisir les endroits présentant le meilleur rapport coût-efficacité pour ses ressources informatiques, de changer de fournisseur de services ou de portabiliser ses données pour les rapatrier vers ses propres systèmes informatiques. Avec le principe de la libre circulation des données à caractère non personnel, les entreprises peuvent éviter la duplication des données en plusieurs endroits, se sentir davantage en confiance pour pénétrer de nouveaux marchés et intensifier plus facilement leurs activités.

Quels exemples de restrictions en matière de localisation des données peut-on citer?

À la faveur des études réalisées, des discussions avec les parties prenantes et des consultations publiques, la Commission a recensé de nombreuses restrictions en matière de localisation du stockage et du traitement des données. Les restrictions relatives à la localisation des données qui limitent directement ou indirectement la mobilité des données prennent des formes différentes et existent dans divers secteurs, notamment dans le secteur public. Par exemple:

  • les autorités de contrôle qui conseillent aux prestataires de services financiers de stocker localement leurs données,
  • les règles relatives au secret professionnel (par exemple, dans le secteur de la santé) qui impliquent le stockage ou le traitement local des données,
  • les réglementations générales qui imposent le stockage local des informations produites par le secteur public, quel qu'en soit le caractère sensible.

Si les restrictions relatives à la localisation des données peuvent être justifiées et proportionnées dans certains contextes (par exemple, la sécurité publique), il existe, en Europe et dans le monde, une propension à fixer des exigences injustifiées en matière de localisation des données. Cette approche est souvent fondée sur la conception erronée selon laquelle les services localisés sont «par défaut» plus sûrs que les services transfrontières.

Pourquoi la proposition est-elle limitée aux données à caractère non personnel?

Le nouveau cadre pour la libre circulation des données à caractère non personnel complète la législation existante relative aux données à caractère personnel qui sera applicable à partir du 25 mai 2018. Tout en garantissant un niveau élevé de protection des données personnelles, le règlement général sur la protection des données (RGPD) prévoit d'ores et déjà la libre circulation et la portabilité des données à caractère personnel au sein de l'UE. Son champ d'application englobe le traitement et le stockage de ces données et il est interdit aux États membres d'imposer des restrictions en matière de localisation des données en invoquant la protection des données à caractère personnel.

Le nouveau cadre relatif à la libre circulation des données à caractère non personnel prévient les doubles emplois et garantit la cohérence avec les instruments juridiques en vigueur de l'UE. Il vise à soumettre le stockage et le traitement des données électroniques autres que les données à caractère personnel aux mêmes règles de libre circulation dans l'UE. En combinaison avec le RGPD, les nouvelles mesures offriront une approche globale et cohérente en matière de libre circulation et de portabilité des données dans l'UE.

Le champ d'application des nouvelles règles couvre-t-il la circulation des données avec les pays tiers?

Non, le règlement établissant un cadre pour la libre circulation des données à caractère non personnel dans l'Union européenne concerne uniquement la mobilité des données au sein de l'UE.

Les autorités compétentes auront-elles accès aux données stockées dans un autre État membre de l'UE?

Par principe, le stockage ou le traitement des données à l'étranger ne peut être invoqué pour refuser l'accès aux données aux autorités réglementaires nationales. Cet accès devra être accordé dans les cas où une autorité réglementaire nationale est légalement habilitée à les réclamer à un détenteur de données et lorsque cet accès lui est nécessaire pour qu'elle puisse s'acquitter de ses missions officielles.

Lorsqu'une autorité réglementaire a épuisé les moyens d'obtenir l'accès aux données en s'adressant directement au détenteur de celles-ci, elle peut faire appel à un mécanisme de coopération spécifique lui permettant de demander assistance à un autre État membre. S'il n'existe pas de mécanisme de coopération spécifique ou qu'aucun mécanisme de cet ordre ne s'applique, le règlement prévoit un mécanisme de coopération par défaut entre les autorités compétentes.

Dans quelles circonstances les fournisseurs de services ne seront-ils pas tenus de fournir des données aux autorités d'un autre État membre de l'UE?

Un État membre sollicité pour prêter assistance à une autorité réglementaire d'un autre État membre souhaitant avoir accès à des données ne peut rejeter cette demande que si elle est contraire à son ordre public. Les fournisseurs de services continueront de jouir de tous les droits applicables et de toutes les garanties procédurales prévues par la loi, y compris le droit à un recours judiciaire effectif et toute exigence relative à une autorisation judiciaire préalable pour l'accès aux locaux.

Comment la Commission contribuera-t-elle à l'élaboration de codes de conduite pour faciliter le changement de fournisseur de services de données?

La Commission encouragera et favorisera l'élaboration de codes de conduite autorégulatifs pour faciliter le changement de fournisseur et pour garantir que les fournisseurs communiquent des informations suffisamment précises, claires et transparentes aux utilisateurs professionnels sur les conditions applicables avant la conclusion d'un contrat de stockage et de traitement de données.

Différents aspects concernant les procédures, les exigences techniques, les délais et les frais éventuels en cas de changement de fournisseur devraient être pris en considération. Cela peut comprendre les procédures et la localisation en matière de sauvegarde de données, les formats et supports de données disponibles, la configuration informatique requise et la bande passante minimale du réseau; le délai à prévoir avant le lancement de la procédure de portabilisation et la durée pendant laquelle les données resteront accessibles en vue de leur portabilisation; les garanties d'accès aux données en cas de faillite du fournisseur.

La Commission veillera à ce que les fournisseurs mettent effectivement en œuvre les codes de conduite en question dans un délai d'un an après la mise en application du règlement. Elle vérifiera également si les fournisseurs respectent les obligations de transparence. Si elle juge ce respect insuffisant, elle pourra proposer des mesures supplémentaires.

Quelles seront les incidences sur la sécurité des données?

Le nouveau règlement précise que toutes les exigences de sécurité qui s'appliquent actuellement aux entreprises et aux administrations publiques resteront applicables même si celles-ci choisissent d'assurer le stockage ou le traitement des données dans un autre État membre ou de recourir aux services en nuage. En conséquence, le règlement attire l'attention des entreprises sur leurs responsabilités en matière de sécurité du stockage et du traitement de données dans un contexte transnational.

Les nouvelles mesures reposent sur les mécanismes de mise en œuvre prévus par la directive sur la sécurité des réseaux et des systèmes d'information pour renforcer la cyber-résilience du stockage et autre traitement transfrontière de données. Parallèlement à ce projet de règlement, la Commission propose de renforcer la réaction de l'UE aux cyberattaques en présentant un nouveau cadre en matière de cybersécurité afin de mieux anticiper les cybermenaces, d'y faire face et de les contrer. Elle a également proposé un nouveau cadre européen de certification de cybersécurité qui favorisera l'offre et la demande transfrontières de services en nuage et d'autres services de données et qui rendra le système plus transparent et plus efficient.

Quels seront les effets du règlement pour les Européens?

Le règlement relatif à la libre circulation des données à caractère non personnel porte sur les données autres que les données à caractère personnel. Dès lors, il concerne principalement les entreprises et les utilisateurs professionnels de services de stockage et autres services de traitement de données, ou les personnes agissant en qualité de professionnels. Le règlement relatif à la libre circulation des données à caractère non personnel fait partie d'une série de propositions participant de la stratégie pour un marché unique numérique. D'autres propositions pourraient toucher plus directement les particuliers. Par exemple, les règles relatives aux contrats numériques renforcent les droits des consommateurs en matière de résiliation de contrats avec des fournisseurs de contenus numériques, comme les fournisseurs de services en nuage, ou en matière de consultation de données personnelles traitées par des fournisseurs de contenus numériques. Pour éviter les chevauchements avec ce texte et d'autres instruments de l'UE, le règlement relatif à la libre circulation des données à caractère non personnel ne vise pas directement les particuliers. Ces derniers devraient cependant bénéficier indirectement du règlement en profitant d'un marché plus compétitif et d'un marché unique ouvert pour le stockage et le traitement de données dans l'UE.

Qu'a fait la Commission pour soutenir l'économie de l'UE fondée sur les données?

En 2014, dans la communication intitulée «Vers une économie de la donnée prospère», la Commission a proposé des mesures visant à accélérer la transition vers une économie fondée sur les données en élaborant notamment un écosystème de données à l'échelle de l'UE et en promouvant l'innovation fondée sur les données. La suppression des obstacles à la libre circulation des données à caractère non personnel est également l'une des actions clés annoncées dans l'examen à mi-parcours de la stratégie pour un marché unique numérique.

La nouvelle proposition complète les mesures relevant de l'initiative «Créer une économie européenne fondée sur les données», lancée en janvier 2017, dans laquelle la Commission visait à encourager la meilleure utilisation possible des perspectives offertes par les données numériques au service de l'économie et de la société, après analyse des obstacles à la libre circulation des données et d'autres défis émergents pour l'économie européenne fondée sur les données.

De plus, la proposition s'inscrit dans le prolongement du paquet de mesures en vue du passage au numérique de l'industrie européenne, présenté en avril 2016, qui comprenait l'initiative européenne sur l'informatique en nuage pour la mise au point d'une solution infonuagique à haute capacité pour le stockage, le partage et la réutilisation des données scientifiques. Elle s'appuie également sur la révision du cadre d'interopérabilité européen pour une meilleure collaboration numérique entre les administrations publiques en Europe.

L'exploitation des possibilités offertes par le numérique, parmi lesquelles l'utilisation de technologies et de services fondés sur les données, fait également partie des objectifs de la stratégie industrielle globale présentée hier.

Quelles mesures supplémentaires la Commission étudie-t-elle?

Afin de recueillir les points de vue des parties prenantes sur les problématiques émergentes de l'économie fondée sur les données, comme l'accès aux données à caractère non personnel dans une relation d'entreprise à entreprise et les nouvelles technologies telles que l'internet des objets, la robotique avancée et les systèmes autonomes, la Commission a procédé à une consultation publique sur la création d'une économie européenne fondée sur les données, qui s'est déroulée de janvier à avril 2017. Un rapport complet accompagne aujourd'hui le règlement relatif à la libre circulation des données à caractère non personnel.

En ce qui concerne l'accès aux données d'entreprise à entreprise, de nombreuses parties prenantes sont favorables à un renforcement du partage de données. La plupart des parties prenantes estiment qu'il n'y a pas lieu de modifier le cadre réglementaire à ce stade et sont plutôt favorables à des mesures d'autorégulation. La Commission étudie actuellement les moyens de mettre ces résultats en pratique. En ce qui concerne les difficultés liées à la responsabilité dans le contexte des technologies émergentes, la Commission continuera de collecter des éléments et procédera à de nouvelles investigations avant d'annoncer une action éventuelle.

MEMO/17/3191

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar