Navigation path

Left navigation

Additional tools

Commission européenne - Fiche d'information

La Commission publie des lignes directrices sur le libre flux des données à caractère non personnel — Questions et réponses

Bruxelles, le 29 mai 2019

 

  1.   Quel est l'objectif des lignes directrices?

Les lignes directrices répondent à une obligation prévue dans le règlement relatif au libre flux des données à caractère non personnel (ci-après le «règlement sur les données non personnelles»), qui impose à la Commission de publier des lignes directrices sur l'interaction entre ledit règlement et le règlement général sur la protection des données (RGPD), en particulier en ce qui concerne les ensembles de données composés à la fois de données à caractère personnel et de données à caractère non personnel. Elles visent à aider les utilisateurs — en particulier les petites et moyennes entreprises — à comprendre l'interaction entre les deux règlements.

Dans la logique des documents existants relatifs au RGPD qui ont été élaborés par le Comité européen de la protection des données, les nouvelles lignes directrices visent à préciser quelles règles s'appliquent lors du traitement de données à caractère personnel et non personnel. Elles offrent une synthèse utile des principes essentiels du libre flux des données à caractère personnel et non personnel dans l'UE, tout en expliquant la relation entre les deux règlements en pratique, avec des exemples concrets.

  1.   À qui profiteront ces lignes directrices?

Les lignes directrices intéresseront particulièrement les entreprises privées, notamment les petites et moyennes entreprises, les organisations et autres entités qui traitent des données dans le cadre de leurs activités professionnelles. Les activités couvertes sont la production, la collecte, le stockage, la transmission ou d'autres traitements portant sur des données, qu'elles soient à caractère personnel ou non personnel. Même les entreprises qui ne traitent que des données à caractère non personnel trouveront une utilité dans les lignes directrices; en effet, celles-ci font référence à des situations où les données peuvent être soumises à des exigences de localisation ou, dans certaines conditions, à des règles en matière de protection des données.

Les lignes directrices réaffirment que le droit des citoyens à la protection de leurs données à caractère personnel doit être respecté en toute circonstance, y compris lorsque leurs données sont combinées à d'autres types de données, ou que leurs données doivent être correctement anonymisées.

En outre, les lignes directrices ont également une valeur informative pour les pouvoirs publics, qui traitent régulièrement des données et sont directement concernés par la création de règles législatives et administratives concernant le traitement des données.

  1.   Quels thèmes les lignes directrices couvrent-elles?

Les lignes directrices illustrent les champs d'application respectifs du règlement sur les données non personnelles et du RGPD, et analysent l'interaction entre ces deux ensembles de règles de l'UE. Elles expliquent l'interaction entre les deux règlements en ce qui concerne le libre flux des données. En outre, elles présentent les concepts de données à caractère non personnel et de données à caractère personnel et précisent quelles sont les règles à suivre lors du traitement d'ensembles de données mixtes (composés à la fois de données à caractère personnel et de données à caractère non personnel). Le document explique également la notion de portabilité des données et compare son application dans le contexte des deux règlements. Il offre aux entreprises une vue d'ensemble des codes de conduite pour le portage des données et le changement de fournisseur de services de traitement de données, et décrit le rôle des initiatives d'autorégulation, telles que les codes de conduite et les mécanismes de certification destinés à démontrer le respect des règles en matière de protection des données. Pour décrire la manière dont les deux règlements contribuent à la libre circulation des données au sein de l'UE, les lignes directrices expliquent les notions d'exigences de localisation des données au titre du règlement sur les données non personnelles, ainsi que le principe de libre circulation prévu par le RGPD.

  1.   Qu'entend-on par «données à caractère non personnel»?

Les données à caractère non personnel sont distinctes des données à caractère personnel au sens du RGPD. On peut ranger les données à caractère non personnel, selon leur origine, dans deux catégories:

  • les données qui, au départ, ne concernaient pas une personne physique identifiée ou identifiable, telles que les données relatives aux conditions météorologiques générées par des capteurs installés sur des éoliennes ou les données relatives aux besoins de maintenance des machines industrielles; ou
  • les données qui étaient initialement des données à caractère personnel, mais qui ont ensuite été rendues anonymes.

Les orientations mentionnent davantage d'exemples de données à caractère non personnel, mais elles expliquent aussi, pour plus de clarté, les notions de données à caractère personnel, d'anonymisation et de pseudonymisation et décrivent les limites entre données à caractère personnel et données à caractère non personnel.

  1.   Qu'entend-on par «ensemble de données mixte»?

Dans la pratique, un ensemble de données est, dans la plupart des cas, composé à la fois de données à caractère personnel et de données à caractère non personnel. On parle souvent d'«ensembles de données mixtes». Les ensembles de données utilisés dans l'économie des données sont en majorité des ensembles de données mixtes, dont la collecte se fait habituellement grâce à des applications nées du progrès technologique telles que l'internet des objets (c'est-à-dire les objets connectés numériques), l'intelligence artificielle et les technologies permettant l'analyse des mégadonnées.

Le dossier fiscal d'une entreprise, mentionnant le nom et le numéro de téléphone du directeur général de l'entreprise, est un exemple d'ensemble de données mixte. On peut aussi mentionner les connaissances d'une entreprise sur des problèmes informatiques et les solutions correspondantes sur la base de rapports d'incidents individuels ou encore, dans le cas d'un institut de recherche, les données statistiques anonymisées et les données brutes initialement collectées, par exemple les réponses des personnes interrogées aux questions d'une enquête statistique.

  1.   Les données à caractère personnel et non personnel doivent-elles être traitées séparément?

Non, ni le règlement sur les données non personnelles ni le RGPD n'impose de scinder les ensembles de données mixtes ou de traiter séparément les données à caractère personnel et celles à caractère non personnel. Dans la plupart des cas, cela serait difficile et peu pratique, voire impossible. Les lignes directrices expliquent donc les règles applicables conformément au règlement sur les données non personnelles (article 2, paragraphe 2). Dans le cas d'ensembles de données mixtes:

  • le règlement sur les données non personnelles s'applique aux données à caractère non personnel de l'ensemble de données;
  • la disposition relative à la libre circulation du RGPD s'applique aux données à caractère personnel de l'ensemble de données.

Si les données à caractère non personnel et les données à caractère personnel sont «inextricablement liées», les droits et obligations en matière de protection des données découlant du RGPD s'appliquent pleinement à l'ensemble de données mixtes complet, y compris dans les cas où les données à caractère personnel ne représentent qu'une petite partie de l'ensemble de données.

Les lignes directrices explicitent aussi la notion de données «inextricablement liées» et donnent des exemples pratiques concernant l'application des règles précitées.

  1.   Y a-t-il un conflit entre les deux règlements?

Le RGPD et le règlement sur les données non personnelles ne contiennent pas d'obligations contradictoires. Alors que le premier garantit un niveau élevé de protection des données et assure le libre flux des données à caractère personnel, le second prévoit le libre flux des données à caractère non personnel. Les deux règlements rendent possible la libre circulation de toutes les données au sein de l'UE.

En outre, le règlement sur les données non personnelles ne contient aucune obligation imposée aux entreprises, et les aspects pratiques du traitement des données à caractère non personnel relèvent du choix de l'entreprise concernée. Le règlement sur les données non personnelles ne limite pas la liberté contractuelle des entreprises leur permettant de choisir le lieu de traitement de leurs données.

  1.   Pourquoi les lignes directrices couvrent-elles aussi les initiatives d'autorégulation?

L'objectif du règlement sur les données non personnelles est de rendre possible le libre flux des données à caractère non personnel au sein de l'UE. Divers groupes de parties prenantes élaborent des codes de conduite pour le portage des données et le changement de fournisseur de services dans les relations commerciales, ainsi que des codes de conduite sur la protection des données au titre du RGPD. Des travaux sont également en cours en vue de la certification de cybersécurité des services d'informatique en nuage. Par conséquent, l'autorégulation permettra aux acteurs du marché d'innover davantage et d'instaurer un climat de confiance dans leurs secteurs respectifs, et offre la possibilité de tenir davantage compte des évolutions du marché.

Pour en savoir plus

Communiqué de presse — Marché unique numérique: la Commission publie des lignes directrices sur le libre flux des données à caractère non personnel

Lignes directrices sur le règlement relatif au libre flux des données à caractère non personnel

Un cadre pour le libre flux des données à caractère non personnel dans l'UE – Questions et réponses

Règlement général sur la protection des données: bilan de la première année

Cloud stakeholder working groups on cloud switching and cloud security certification (Groupes de travail sur le changement de fournisseurs et la certification de sécurité des services en nuage, en anglais)

Informations pratiques sur la libre circulation des données sur le portail «L'Europe est à vous»

MEMO/19/2750

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar