Projet de Règlement relatif aux données "non personnelles" : Avancée juridique historique ou véritable usine à gaz réglementaire ?

Décryptages
Outils
TAILLE DU TEXTE

eric barbryEric Barbry, Avocat Associé, Racine Avocats, commente le Projet de Règlement relatif aux données "non personnelles" (RDNP).

Après le RGPD voici le RDNP, Règlement cernant un cadre applicable à la libre circulation des données à caractère "non personnel" dans l’Union européenne. 

Ce texte consacre-t-il "la cinquième liberté européenne" ? Va-t-il "changer la donne pour l’économie numérique" ? Ouvrir la voie à "l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées" ou encore entraîner "une croissance du PIB  d’environ 8 milliards d’euros par an" ?… comme le dit la rapporteure suédoise Anna Maria Corazza Bildt … ou est-il une "usine à gaz juridique" ? Là est la question.

La vérité comme toujours est entre les deux ! Les principes sont louables, leurs mises en œuvre bien trop complexes…

Quels sont ces principes ? Ils sont au nombre de 3 +1.

Principe 1 : Les exigences de localisation des données sont interdites.

En d’autres termes, les Etats membres ne peuvent imposer que les données soient « localisées » sur leur territoire.

Le principe est louable mais sa mise en œuvre compliquée. Il y a d’abord les cas où le RDNP ne s’applique pas, ensuite l’exception pour "motif de sécurité publique" et dans le respect "du principe de proportionnalité" s’il vous plait. Puis 24 mois pour les Etats pour supprimer ces restrictions de leur législation ou dresser une liste des obligations maintenues avec justification. Liste sur laquelle la Commission pourra émettre des "observations"...

Principe 2 : La disponibilité des données pour les autorités compétentes.

En l’absence de localisation, la crainte est forte de voir les données (comptables, financières, contractuelles, …) échapper à l’autorité de contrôle de tel ou tel Etat. Le RNDP met donc en œuvre une procédure permettant à toute autorité de contrôle d’un Etat X d’obtenir des données traitées dans un Etat Y.

Là encore le principe est louable mais sa mise en œuvre est une véritable usine à gaz : désignation dans chaque Etat membre d’un "point de contact" qui traite la demande avec l’autorité de contrôle nationale qui peut fournir ou non les données selon qu’elle estime la demande recevable ou non… De beaux contentieux en perspective !

Règle 3 : Le partage des données.

Le RGPD l’appelle "portabilité" ; pour le RDNP ce sera le "portage", mais l’objectif est le même : assurer aux utilisateurs qu’ils pourront disposer et récupérer leurs données sans (trop) de contraintes. Mais à la différence de la "portabilité" qui est un droit pour les personnes concernées, le "portage" s’organisera au travers de code de conduite et donc d’une démarche d’autorégulation.

A compter de l’entrée en vigueur du RDNP, les acteurs impliqués (utilisateurs et fournisseurs de service en nuage principalement) sont encouragés à élaborer leur code de conduite dans les 12 mois pour une mise en application dans les 18…

Comment seront élaborés ces codes ? Qui validera ces codes ? Que se passera-t-il en absence (annoncée) de code ? Rien n’est prévu.

Avancée juridique historique ou usine à gaz réglementaire, à vous de juger… mais assurément le RDNP est un nouveau champ d’investigation et de réflexion pour les juristes.

Eric Barbry, Avocat Associé, Racine Avocats


Lex Inside du 21 mars 2024 :

Lex Inside du 14 mars 2024 :

Lex Inside du 5 mars 2024 :