Communication de la Commission au Parlement européen et au Conseil – Lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne, 29 mai 2019
La Commission européenne vient de publier des lignes directrices visant à mieux appréhender l’interaction entre, d’une part, le récent règlement européen sur les données à caractère non personnel et, d’autre part, le RGPD.
Dans ce « guide », la Commission revient sur la définition de donnés non personnelles, par opposition aux données personnelles au sens du RGPD, en distinguant deux catégories :
- les données qui au départ ne concernaient pas une personne physique identifiée ou identifiable ;
- les données qui étaient initialement des données à caractère personnel mais qui ont ensuite été rendues anonymes.
La Commission précise ensuite les règles à appliquer en présence d’ensembles de « données mixtes » : le règlement relatif au libre flux des données à caractère non personnel s’applique aux données à caractère non personnel de l’ensemble et le RGDP aux données personnelles.
Elle fixe toutefois une limite : si les deux types de données sont « inextricablement liés » (i.e. la séparation entre les deux serait impossible ou considérée comme économiquement inefficace ou techniquement impossible par le responsable de traitement), il faut respecter le RGPD pour toutes les données de l’ensemble. Il en va de même pour les traitements de données concernant la santé (la frontière étant floue entre les deux types de données traitées, par exemple, dans le cadre d’une application de santé).
Ces lignes directrices détaillent également le champ d’application du règlement : sont concernés uniquement les traitements (i) fournis en tant que services aux utilisateurs résidant ou disposant d’un établissement dans l’Union, par un fournisseur de services établi, ou non, dans l’Union ; ou (ii) effectués par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins. Par exemple, pour un fournisseur de services cloud établi au Japon proposant ses services à des clients européens, et dont les capacités et toutes les activités de traitement sont menées dans ce pays : le règlement sur les données non personnelles ne s’appliquera pas, mais le RGPD devra être respecté si des données personnelles font partie de l’ensemble concerné (nommant pour le transfert des données).
Ces lignes apportent également des précisions sur les exigences de localisation des données à caractère personnel et les codes de bonne conduite attendus pour faciliter le changement de fournisseurs cloud.
A suivre…