Allez au contenu, Allez à la navigation

9 novembre 2017 : Circulation des données à caractère non personnel dans l'UE ( texte déposé au sénat )

Document "pastillé" au format PDF (93 Koctets)

N° 80

SÉNAT

SESSION ORDINAIRE DE 2017-2018

Enregistré à la Présidence du Sénat le 9 novembre 2017

PROPOSITION DE RÉSOLUTION EUROPÉENNE

au nom de la commission des affaires européennes, en application de l'article 73 octies du Règlement, portant avis motivé sur la conformité au principe de subsidiarité de la proposition de règlement concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l'Union européenne - COM(2017) 495 final,

PRÉSENTÉE

Par M. Simon SUTOUR,

Sénateur

(Envoyée à la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale.)

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Deux ans après son lancement en mai 2015, la Commission européenne a procédé à une révision à mi-parcours de sa stratégie pour un marché unique numérique. Elle a notamment pointé la nécessité de renforcer la libre circulation des données dans le marché unique. La raison est principalement économique : le marché de la donnée est, en effet, au coeur de l'économie numérique ; il a été estimé à 60 milliards d'euros en 2016, en croissance de 9,5 % par rapport à 2015, et pourrait dépasser 100 milliards d'euros en 2020, en raison de la multiplication des objets connectés.

Tandis que le règlement sur la protection des données personnelles doit entrer en vigueur en mai 2018, il manque encore un cadre juridique applicable aux données non personnelles. L'objectif de la Commission est de disposer d'un encadrement juridique global pour la circulation des données à la fin du premier semestre 2018. Derrière, se cache l'idée de faciliter l'émergence d'acteurs européens de l'informatique en nuage (cloud computing), solution qui permet d'héberger, transformer et transmettre de grandes quantités de données. Pour cela, la Commission estime qu'il faut mettre fin aux restrictions nationales à la circulation des données, afin qu'elles puissent être stockées dans n'importe quel État membre de l'Union européenne. Pour ce faire, elle propose donc un projet de règlement assez court qu'elle souhaiterait voir adopté le plus vite possible.

Que propose la Commission européenne ?

Le texte établit, en son article 4, le principe de la libre circulation des données non personnelles dans l'Union européenne, selon lequel la localisation des données à des fins de stockage ou de traitement ne peut être limitée au territoire d'un seul État membre. En conséquence, toute restriction édictée par un État membre aurait un caractère d'exception que seules des raisons de sécurité publique pourraient justifier. Tout projet d'acte qui introduirait une nouvelle exigence de localisation devrait être notifié à la Commission européenne. De la même manière, toute limite existante à la circulation des données devrait faire l'objet d'une justification pour être maintenue.

L'article 5 instaure la disponibilité des données pour les autorités dites « compétentes », c'est dire les administrations (le fisc, la justice, la police, etc...). Il énonce que « l'accès aux données par les autorités compétentes ne peut être refusé au motif que les données sont stockées ou traitées dans un autre État membre ». Les États devraient coopérer et se prêter assistance pour l'effectivité de cette prérogative, si tous les moyens d'obtenir l'accès aux données étaient épuisés.

L'article 6 prévoit l'encouragement à l'autorégulation pour le portage des données, c'est-à-dire le changement d'un fournisseur de services de stockage ou de traitement, par l'élaboration de codes de conduite et de lignes directrices. Les conditions de portage devraient être énoncées de façon détaillée, claire et transparente avant la conclusion d'un contrat, y compris les exigences techniques et fonctionnelles. De tels codes de conduite devraient être adoptés au plus tard un an après la mise en application du règlement et la Commission en fera une évaluation deux ans après cette mise en application.

L'article 7 dispose que chaque État membre devrait désigner un point de contact unique, chargé de mettre en oeuvre le présent règlement. Il sera chargé des relations avec la Commission et d'assurer la coopération entre les pays prévue à l'article 5. Enfin, il est prévu qu'un comité assiste la Commission pour la libre circulation des données et qu'un rapport fasse un point sur la mise en oeuvre du règlement cinq ans après son entrée en vigueur.

Quel regard porter au titre du contrôle de subsidiarité ?

Le texte pose plusieurs difficultés au regard du principe de subsidiarité.

En premier lieu, la Commission européenne appuie son initiative sur une étude d'impact qui ne la justifie pas pleinement. Le bénéfice global pour l'économie européenne est contestable. La Commission évoque 8 milliards d'euros, soit 0,06 % du PIB européen, ce qui est relativement faible au regard de l'importance de la mesure proposée. En outre, il n'y a pas de chiffrage précis des volumes de données couverts par les actuelles restrictions. De même, est évoqué un gain de 276 millions d'euros pour les PME sans que soit pris en compte des critères autres que le prix le plus bas. Par ailleurs, la consultation publique n'a entraîné que 289 réponses pour l'ensemble de l'Union et une faible majorité de 55,3 % appelle à une législation, dont seulement deux États favorables à un règlement. Cet outil ne fait donc pas consensus a priori.

Par ailleurs, la proposition relève qu'il existe une cinquantaine de textes réglementaires pris par les États et restreignant la liberté de circulation des données non personnelles. Lors des premières réunions du groupe Télécoms du Conseil, la Commission a abaissé ce chiffre à une quarantaine, dont un tiers seraient, selon elle, justifiables au titre de la sécurité publique. Au final, ce serait donc une petite trentaine de restrictions - et concernant donc très peu de données -, qui seraient un frein à la libre circulation des données, soit environ une par État membre. Par conséquent, il n'est pas démontré que les législations nationales sont un frein réel à la libre circulation des données en Europe. L'étude d'impact ne justifie pas qu'un règlement européen est vraiment nécessaire pour résoudre un problème aussi circonscrit.

En second lieu, la proposition ne définit pas ce qu'est une donnée non personnelle. Il en résulte qu'on ne peut que se fonder, par effet de miroir, sur la définition des données personnelles. Or, ce n'est pas suffisant, car de la définition dépend le champ d'application du texte. Et dans l'étude d'impact, le périmètre pris en compte inclut les données personnelles. En outre, le texte ne résout pas la question des bases de données qui comportent à la fois des données personnelles et des données non personnelles. Au-delà de la définition, c'est donc aussi l'articulation avec le règlement général sur la protection des données personnelles qui pose question. Il conviendrait également que les données classées secret-défense soient expressément exclues du champ d'application du texte.

En troisième lieu, la proposition donne l'impression de ne s'attaquer qu'aux freins à la libre circulation des données liées aux législations nationales. C'est une double erreur. Tout d'abord, parce que ce n'est pas la seule limite à la circulation des données. Les consommateurs et les entreprises manquent de confiance dans l'informatique en nuage. S'ils préfèrent voir leurs données rester sur le territoire national, c'est parce que c'est pour eux d'abord un gage de sécurité, de confidentialité et d'intégrité des données, garantie par la loi nationale et les voies de recours effectives en justice. Or, il n'y a pas de volet relatif à la sécurité de l'hébergement des données. La proposition renvoie au futur règlement sur la cybersécurité qui en est lui aussi au stade de proposition. Comment de telle sorte rassurer les acteurs économiques pour qu'ils acceptent de voir circuler leurs données en Europe ? Dans le même temps, le texte ne s'attaque que mollement au fait que certains prestataires de services pratiquent des stratégies de rétention de données, qui sont bien plus de freins à la libre circulation que les législations nationales. Or, sur ce point, seuls des codes de conduites sont envisagés à ce stade.

Surtout, l'économie de la donnée n'en est qu'à ses débuts. Elle est encore mal maîtrisée, on ne mesure pas encore toutes les implications pour les personnes, les entreprises et les pouvoirs publics. Dans ces conditions, il paraît prématuré de démunir les États de leur pouvoir souverain de régulation. D'autant qu'ils ne pourraient justifier une obligation de localisation qu'au motif de la sécurité publique, apprécié par la Commission européenne. Pourquoi ce seul et unique motif ? Qu'en est-il de l'ordre public, de la santé publique ? La proposition va trop loin en interdisant d'emblée ces motifs, alors que le cadre juridique pour la libre circulation devrait laisser plus de possibilités aux États de réguler légitimement la circulation des données non personnelles à l'avenir si cela le nécessite.

Par conséquent, la commission des affaires européennes a estimé que la proposition de règlement ne respecte pas le principe de subsidiarité. Elle a en ce sens, adopté, à l'unanimité, l'avis motivé suivant :

PROPOSITION DE RÉSOLUTION EUROPÉENNE
PORTANT AVIS MOTIVÉ

La proposition de règlement COM (2017) 495 final prévoit l'établissement d'un cadre juridique unique pour la libre circulation des données non personnelles dans l'Union européenne ;

Cette proposition vise toutes les données autres que les données personnelles telles que définies dans le règlement général pour la protection des données personnelles du 27 avril 2016 ;

Le texte établit le principe de la libre circulation des données non personnelles dans l'Union européenne, selon lequel la localisation des données à des fins de stockage ou de traitement ne pourrait être limitée au territoire d'un seul État membre, sauf pour des raisons de sécurité publique ;

Tout projet d'acte d'un État qui introduirait une nouvelle exigence de localisation devrait être notifié à la Commission européenne et justifié. De la même manière, toute limite existante à la circulation des données devrait faire l'objet d'une justification pour être maintenue ;

Les autorités administratives et judiciaires compétentes continueraient à disposer du droit de demander et d'obtenir l'accès à des données qui ne sont pas stockées sur le territoire de l'État membre auquel elles appartiennent. En cas de difficulté, elles pourraient bénéficier de l'assistance de l'État membre où sont stockées les données ;

Dans chaque État membre, un point de contact serait institué pour assurer la liaison avec les autres États membres et avec les institutions européennes ;

Des codes de conduite et des lignes directrices fixeraient, au plus tard un an après l'entrée en vigueur du règlement, les conditions de portage des données, c'est-à-dire du changement d'un fournisseur de services de stockage ou de traitement à un autre ;

Vu l'article 88-6 de la Constitution,

Le Sénat fait les observations suivantes :

- le Sénat rappelle son attachement à une libre circulation des données dans l'Union européenne, nécessaire pour le développement de l'économie de la donnée, tout en veillant à assurer la protection des données à caractère personnel ;

- tandis que plusieurs freins principaux à la libre circulation des données ont été identifiés (les restrictions liées à la localisation géographique des données, l'incertitude juridique autour de ce sujet nouveau, les stratégies de rétention des données entre acteurs économiques et le manque de confiance des utilisateurs dans les solutions d'informatique en nuage), il regrette que la Commission européenne n'ait choisi que de restreindre les obligations de localisation des données édictées par les États membres ;

Concernant l'étude d'impact :

- le Sénat dénonce la faiblesse de l'étude d'impact qui ne justifie pas l'initiative proposée. Il relève que cette étude d'impact n'identifie qu'un faible nombre d'obligations nationales de localisation et, de fait, qu'un petit nombre de données concernées. Il rappelle en outre que la fragmentation géographique n'est pas uniquement due aux législations nationales ;

- il constate que le gain espéré pour l'économie européenne de la levée des obligations nationales de localisation est faible proportionnellement à la mesure proposée, de l'ordre de 0,06 % de PIB ;

- il remarque que la consultation publique lancée au titre de la communication « Créer une économie européenne fondée sur les données » n'a suscité que 289 réponses, parmi lesquelles seules 61,9 % ont estimé que les restrictions liées à la localisation devaient être levées ;

- il relève qu'une faible majorité de ces participants, 55,3 %, a jugé qu'une mesure législative était le meilleur moyen pour lever les restrictions liées à la localisation des données et que seuls 12 participants - dont uniquement deux États - ont appelé à un règlement ;

- pour ces raisons, le Sénat estime que le sujet ne faisant pas consensus en Europe, une initiative européenne ne se justifie pas à ce stade ;

Concernant les obligations de localisation des données édictées par les États membres :

- le Sénat rappelle que la régulation des données relève d'une compétence partagée entre l'Union et les États membres ;

- il souligne que l'économie de la donnée n'en est qu'à ses débuts et est en constante et rapide évolution. En conséquence, il convient de rester prudent dans son encadrement, et notamment de ne pas démunir les États membres de leur pouvoir souverain de régulation en la matière ;

- il déplore qu'aucune étude d'impact n'ait été menée afin d'évaluer les risques que ferait courir la levée des obligations de localisation pour les États eux-mêmes et sur la sécurité des données ;

- il regrette que le texte n'apporte pas de définition des données non personnelles et que la Commission se contente d'une définition par défaut. Il rappelle, en outre, que des données classées sécurité-défense sont par nature exclues d'un règlement européen ;

- il souligne également que la sécurité publique n'est pas le seul motif permettant aux États membres de restreindre la libre circulation des personnes, des biens, des capitaux et des services dans l'Union. Il en résulte que les États sont légitimes à invoquer, a minima, la sécurité publique, l'ordre public et la santé publique pour imposer une obligation de localisation des données sur leur territoire ;

Pour l'ensemble de ces raisons, le Sénat estime que la proposition de règlement COM (2017) 495 final ne respecte pas le principe de subsidiarité.