Existe-t-il une règlementation relative aux données à caractère NON personnel ?

Depuis près de deux ans, ce sont les données à caractère personnel qui sont dans la lumière, avec l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) qui encadre très strictement leur traitement.

Quid des données à caractère non personnel ?

Elles font, elles aussi, l’objet d’une règlementation européenne très récente et très brève (9 articles au total) : le Règlement UE 2018/1807 du 14 novembre 2018, entré en vigueur le 28 mai 2019.

Ce Règlement définit les données à caractère non personnel a contrario. Son article 3 1) prévoit qu’il s’agit des données autres que les données à caractère personnel au sens du RGPD (pour mémoire : toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement). Dans son neuvième considérant, le Règlement indique qu’il peut s’agir notamment d’ensembles de données agrégées et anonymisées utilisées pour l’analyse des mégadonnées, de données sur l’agriculture de précision qui peuvent aider à contrôler et à optimiser l’utilisation des pesticides et de l’eau, ou encore de données sur les besoins d’entretien des machines industrielles.

Ce texte s’appliquera à tous les prestataires de traitement de données résidant ou établis en Union Européenne ainsi qu’à tous ceux qui fournissent leurs services à des bénéficiaires résidant ou établis au sein de l’UE.

Contrairement au RGPD qui vise à limiter très fortement le traitement et donc la circulation des données à caractère personnel, le Règlement UE 2018/1807 a pour objectif de promouvoir et d’assurer le libre flux des données à caractère non personnel, et plus précisément à ouvrir la concurrence entre services de « cloud computing » au niveau européen, tant pour les données des entreprises privées que pour celles des institutions publiques.

Il prévoit ainsi l’interdiction des restrictions géographiques à la libre circulation des données à caractère non personnel au sein de l’Union Européenne par les législations nationales, la seule exception étant la justification d’un motif de sécurité publique.

Il établit également des moyens permettant de lutter contre les pratiques visant à empêcher l’accès aux données et à instaurer une dépendance technologique, en introduisant une possibilité de portage et de restitution des données.

Ce texte consacre enfin un principe de libre accessibilité des données par les autorités nationales compétentes à des fins d’exécution de leurs missions, tout en prévoyant une coopération intracommunautaire entre les autorités des différents Etats membres.

A travers ces trois règles principales, il tente par ailleurs de régir l’articulation entre le traitement mixte de données à caractère personnel et non personnel.

Il s’agit d’un début, l’encadrement prévu par le Règlement n’étant sans doute pas suffisant au regard des enjeux économiques considérables qui sont en jeu. Les acteurs du marché devront donc faire preuve de créativité dans la rédaction de leur contrat sur le sujet afin de profiter de cette liberté de circulation des données à caractère non personnel, tout en respectant le secret des affaires et les droits de propriété intellectuelle.

NB Avocat est à votre disposition pour vous assister sur ces sujets www.nb-avocat.com.