Alors que les entreprises peinent à se préparer à l’arrivée du Règlement Général de Protection des Données (RGPD), la Commission européenne ne lésine pas avec la sécurité informatique et a lancé un grand mouvement de fond de réforme en prévoyant l’instauration d’un Marché unique de la donnée.

Vers un Marché unique de la donnée

En effet, le 13 septembre 2017, la Commission européenne a publié trois projets de textes :

Ce « Package Cybersécurité » s’inscrit dans la droite ligne de la Stratégie de Cybersécurité initiée dès le 7 février 2013 , renforcée notamment en 2016  au fur et à mesure de la montée des menaces (comme le ransomware) et des attaques informatiques aux impacts économiques et juridiques sans cesse plus importants.
 

Qu’est ce qu’une donnée non personnelle ?

Nous reviendrons dans une autre chronique sur les deux autres projets de Règlement, les présents développements concernant avant tout la proposition de Règlement relative au cadre applicable en matière de liberté des flux de données non personnelles dans l’Union Européenne. De par ses définitions (art. 3), il vient compléter le RGPD, les données visées par le Règlement étant toutes les données autres que celles visées par le RGPD (art. 3.1 : « ‘data' » means data other than personal data as referred to in Article 4(1) of Regulation (EU) 2016/679« ).

Ainsi, les données techniques ou commerciales ne contenant aucun élément permettant d’identifier une personne seront couvertes par ce futur Règlement. Qui dit données commerciales dit également Secret des affaires et par là respect de la Directive « Secret des affaires » .

Toutefois, on sait le périmètre des données à caractère personnel particulièrement étendu et des données a priori purement techniques comme les adresses IP sont considérées comme des données à caractère personnel au sens du RGPD, de jurisprudences nationales  ou européennes. La question se pose également autour des données transmises par les objets connectés : sont-elles ou non personnelles ? La question est loin d’être anodine car les régimes juridiques auxquelles ses données seront astreintes différeront.

Ce foisonnement de textes (non exhaustifs) met en exergue le besoin d’une gouvernance de la donnée, de toutes les données et par conséquent d’une classification en amont de ces dernières. Le chantier mis en œuvre autour du RGPD pourrait ainsi être l’occasion d’anticiper cette initiative européenne car nombreux sont les prestataires touchés.
 

Effet boomerang : les entités soumises à cette future réglementation

Conformément à l’article 2, elle s’applique à l’archivage de données ou d’autres processus dans l’Union :

• par tout prestataire, établi ou non dans l’Union, qui fournit des services à destination des utilisateurs résidant ou ayant un établissement dans l’Union ;
• mais aussi par tout prestataire ou personne physique résidant ou ayant un établissement dans l’Union pour ses propres besoins.

Le périmètre est donc particulièrement étendu et cette réglementation devrait donc s’appliquer par défaut à tous les prestataires de Cloud américains adressant le marché européen. Un effet boomerang quand on connait l’intérêt des autorités américaines sur ce sujet (que la donnée soit ou non personnelle).

Là encore, les contrats de Cloud – déjà modifiés suite à la réforme du droit civil en France – devront être revus à l’aune de ces nouvelles exigences.
 

Les principaux apports du projet de Règlement

La Commission pose comme principe la liberté de mouvement des données dans l’Union européenne (art. 4), cette liberté ne pouvant être limitée que pour des motifs de sécurité publique. Ce projet de réglementation européenne a dès lors un impact direct sur toutes les initiatives législatives nationales ayant pour objectif d’introduire des exigences en matière de localisation des données. Or, il peut s’agir d’un critère pour attribuer une compétence juridictionnelle à un tribunal déterminé. Ceci doit être combiné avec l’article 5 relatif à l’accessibilité des données en faveur des autorités compétentes ce qui risque de compliquer la donne.

En outre, un droit à la portabilité des données –  dont les conditions d’utilisation diffèrent de celui qui devrait être mis en œuvre pour les données à caractère personnel – est prévu à l’article 6. Il est important pour un prestataire de prévoir ainsi un parallélisme entre les deux procédures selon que les données soient ou non personnelles.

De la même façon, un point de contact unique (art. 7) sera désigné comme point de liaison entre les Etats membres et la Commission au sujet de l’application de ce Règlement.

On le comprend, dans ce grand tourbillon que constitue le Marché unique du numérique, il vaut mieux consulter sa boussole régulièrement. Un projet de Règlement à suivre certes mais aussi à anticiper…
 

Eric A. CAPRIOLI et Pascal AGOSTI, Avocats associés, Docteurs en droit
Société d’avocats membre du réseau Jurisdefi

 

Les avis d’experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction