webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Vers une souveraineté numérique européenne !

Projet de Règlement communautaire relatif à la libre circulation des données à caractère non personnel au sein de l’Union Européenne

Le 13 septembre 2017, la Commission européenne a rendu publique une proposition de Règlement relatif à la libre circulation des données à caractère non personnel. [...] Ce texte constitue une étape supplémentaire de l’émergence d’un « droit de la donnée » qui transcende et traverse les branches traditionnelles du droit.

Le 13 septembre 2017, la Commission européenne a rendu publique une proposition de Règlement relatif à la libre circulation des données à caractère non personnel. Complétant l’arsenal réglementaire protégeant les données à caractère personnel (incarné par le très médiatique Règlement Général sur la Protection des Données 2016/679 – « RGPD » – adopté en avril 2016), ce texte est le premier à s’appliquer aux données à caractère non personnel, prises comme une catégorie en tant que telle. Il constitue une étape supplémentaire de l’émergence d’un « droit de la donnée » qui transcende et traverse les branches traditionnelles du droit. Retour sur ce projet de texte et ses apports.

1/- Pourquoi ce texte ?

Selon la Commission européenne, la suppression des restrictions liées à la localisation des données, qu’organise ce texte, devrait permettre à l’économie fondée sur les données de doubler sa valeur pour atteindre 4 % du PIB européen en 2020. L’objectif affiché est de permettre à l’Europe, grâce à ce texte et au RGDP, de s’afficher comme un coffre-fort numérique, proposant au reste du monde des prestations de traitement de données sécurisées, répondant à une législation harmonisée.

2/- A quelles données s’appliquera ce futur Règlement ?

Il s’appliquera aux données qui répondent à deux caractéristiques :

  • être stockées ou traitées sous une forme numérique ; c’est une différence notable avec le RGPD qui s’applique indifféremment aux données numériques et non numériques ;
  • ne pas répondre à la définition de données à caractère personnel ; cette définition négative a pour effet de conférer à ce projet de texte un champ d’application très large (en l’absence de définition de la notion de « donnée(s) »), tout en évitant les chevauchements avec le RGPD.

En pratique, il pourra s’agir de données anonymisées (de manière irréversible), de données relatives à des personnes morales (par ex. leurs données financières ou d’exploitation), de flux d’informations boursières, de données relatives à des produits, de données géographiques (à l’exclusion de toute géolocalisation de personnes physiques)...

3/- Quels opérateurs économiques sont visés par ce futur Règlement ?

Ce texte s’appliquera à tous les prestataires de traitement de données (« prestataire(s) ») résidant ou établis en Union Européenne (« UE »), ainsi qu’à tous ceux qui – résidant et établis ailleurs – fournissent leurs services à des bénéficiaires (personnes physiques ou morales – « utilisateur(s) ») résidant ou établis au sein de l’UE.

4/- Quelles règles pose ce projet de Règlement ?

Il en pose trois principales.

a) Prohibition de restrictions de localisation de données au sein de l’UE

Tout d’abord, ce texte interdit toute restriction imposant de localiser le stockage – ou toute autre opération de traitement – de données dans le territoire d’un État membre de l’UE, sauf justification fondée sur la sécurité publique. Ainsi, sera favorisée l’émergence d’un marché unique numérique puisque seront interdites les barrières restreignant la fourniture de prestations de traitement de données au sein de l’UE (art. 4.1).

Les Etats membres devront abroger toute loi nationale contraire à ce principe, et notifier à la Commission les éventuels textes contraires qui seraient maintenus en en justifiant la raison (art. 4.2).

En France, on pensera notamment aux dispositions du code du patrimoine (art. L.111-7) restreignant le transfert de données qualifiées d’archives publiques en dehors du territoire national, et sur lesquelles se sont récemment appuyées certaines administrations pour s’opposer à la souscription, par des collectivités territoriales, d’offres de « cloud non souverain » (c’est-à-dire fournies par des prestataires recourant à des moyens de traitement - serveurs - situés en dehors du territoire national).

En revanche, les éventuelles restrictions limitant la circulation des données vers des pays tiers à l’UE ne seront pas concernées par ce futur Règlement, lequel sera applicable uniquement aux circulations intra-européennes.

b) Libre accessibilité des données par les autorités nationales

Ensuite, ce texte consacre un principe de libre accessibilité des données par les autorités nationales compétentes à des fins d’exécution de leurs missions. Ce texte prévoit également une coopération intracommunautaire entre les autorités des différents États membres (art. 5), et crée à cet effet un mécanisme de guichet unique correspondant à un point de contact (« single point of contact » – art. 7) que chaque État membre devra désigner et à qui toute autorité d’un autre État membre pourra s’adresser pour accéder à des données.

c) Portabilité au bénéfice des utilisateurs professionnels

Enfin, ce texte prévoit la mise en place d’une politique, par la Commission Européenne, en faveur de l’élaboration de codes de conduite pour faciliter le changement de prestataire de traitement de données.

Ces derniers devront ainsi être encouragés à communiquer aux utilisateurs professionnels des informations précises sur les mécanismes de portabilité et de réversibilité qu’ils proposent (art. 6). Cette information devra notamment porter sur les modalités d’exécution de ces mécanismes, tels que les procédures, le calendrier, les coûts, la localisation en matière de sauvegarde des données, les formats et supports de données disponibles, les configurations informatiques requises et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure, la durée pendant laquelle les données resteront accessibles, les garanties d’accès aux données en cas de faillite du prestataire.

5/- Quel serait le délai d’adoption et d’entrée en application de ce texte ?

Le délai d’adoption peut être relativement long, à l’instar du RGPD que les autorités communautaires ont mis plus de quatre ans à adopter. Toutefois, il est permis de penser que ce texte, moins technique et surtout portant sur des données moins sensibles que le RGPD, suscitera moins débat que ce dernier. Il devrait donc être adopté plus rapidement.

Le mécanisme d’entrée en application, prévu par ce projet de texte, est similaire à celui du RGPD : une date d’entrée en vigueur 20 jours après son adoption par le Parlement Européen, puis une date d’entrée en application différée, ici de six mois (au lieu de deux ans pour le RGPD).

VOIR AUSSI

Dépôt d’une marque de mauvaise foi et intention d’usage

CJUE, 29 janvier 2020, aff. C.371-18

- Vu : 1100

La CJUE précise que le dépôt d’une marque sans intention de l’utiliser peut être considéré comme ayant été effectué de mauvaise foi, que si la preuve en est rapportée ; aucune présomption ne découle du fait que le demandeur au dépôt n’a pas d’activité dans le secteur d’activité concerné par le libellé.

> Lire la suite

Bouygues Telecom condamné à une amende de 250 000 € par la CNIL pour non-respect de la sécurité des données de ses clients

Délibération n°SAN -2018-012 du 26 décembre 2018

- Vu : 776

La CNIL, dans sa délibération du 26 décembre 2018, rappelle que l’obligation de sécurité des données à caractère personnel qui pèse sur le responsable de traitement est une obligation de moyens, et non de résultat. Cependant, cette obligation peut devenir une obligation de moyens renforcée eu égard aux spécificités du système d’information choisi par le responsable de traitement.

> Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 96323
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 86200
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 40639
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 40368
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©