Règlement sur la protection des données à caractère non personnel du 14 novembre 2018 n°2015/1807 – publié au JOUE le 28 novembre 2018
Après le RGPD, un règlement européen sur les données à caractère non personnel a vu le jour en novembre dernier.
La donnée dite « non personnelle » y est définie comme une donnée autre que celle visée à l’article 4 du RGPD, ce qui recouvre évidemment de nombreuses données.
Le champ d’application de ce nouveau règlement est également large en ce qu’il s’applique à tout traitement de données à caractère non personnel :
* fourni en tant que service aux utilisateurs, résidant ou ayant un établissement dans l’UE, que le prestataire soit ou non établi dans l’UE ;
* mis en œuvre par une personne physique ou morale, résidant ou ayant un établissement dans l’UE, pour ses propres besoins.
Les principales règles édictées sont les suivantes :
1. la libre circulation des données au sein de l’UE
Les exigences de localisation des données (qui existent actuellement notamment dans le domaine de la finance, de la santé ou encore du secteur public) sont ainsi interdites sauf pour des raisons de sécurité publique.
Une période de transition est prévue jusqu’au 30 mai 2021 : passé ce délai, toute disposition nationale contrevenant à cette nouvelle règle sera abrogée.
2. La disponibilité des données par les autorités compétentes
Chaque autorité de contrôle nationale reste compétente relativement à son droit d’accès aux données. Ainsi, ce droit ne pourra être refusé parce que le traitement des données concernées est effectué dans un autre Etat membre. Aussi, en cas de difficultés, chaque autorité nationale pourra solliciter l’assistance d’une autorité d’un autre Etat membre.
Dans ce cadre, un point de contact unique devra être désigné dans chaque Etat membre. Comme pour le DPO, ce point de contact échangera avec l’autorité de contrôle compétente et assurera la conformité au règlement.
3. Le portage des données
Il s’agit d’un encouragement à l’élaboration de codes de conduite avant le 29 novembre 2019 basés sur des principes de transparence et d’interopérabilité.
Les aspects à traiter sont notamment les bonnes pratiques pour faciliter le changement de fournisseur de services et le portage des données (dans un format structuré, usuel et lisible par machine) ; les exigences minimales d’information des utilisateurs professionnels avant la conclusion d’un traitement de données, tel que le cloud computing, (processus, frais, technique, etc. s’ils souhaitent changer de fournisseur ou récupérer leurs données…).
Ce règlement, en vigueur depuis le 19 décembre dernier, est applicable à compter du 19 avril 2018.
