Lignes directrices relatives au règlement applicable au libre flux des données à caractère non personnel dans l’Union européenne

Le 29 mai 2019, la Commission européenne a publié ses lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne(1), adopté en novembre 2018(2), clarifiant ainsi ses règles par rapport à celles du RGPD, en particulier pour les ensembles de données dits « mixtes » (personnelles et non-personnelles).

Le règlement relatif aux flux des données à caractère non-personnel présente ainsi trois caractéristiques :
- l’interdiction aux États membres d’imposer des exigences en matière de localisation des données, sauf motifs de sécurité publique ;
- l’existence d’un mécanisme de coopération garantissant que les autorités compétentes continuent d’être en mesure d’exercer tout droit dont elles jouissent en matière d’accès aux données qui sont traitées dans un autre État membre ;
- l’encouragement des acteurs du secteur à élaborer, avec le soutien de la Commission, des codes de conduite fondés sur l’autorégulation concernant le changement de fournisseurs de services et le portage des données.

Les données à caractère non-personnel relèvent de deux catégories : celles qui « au départ, ne concernaient pas une personne physique identifiée ou identifiable » et celles qui « étaient initialement des données à caractère personnel, mais qui ont ensuite été rendues anonymes ».

Lorsqu’un ensemble de données est composé à la fois de données à caractère personnel et de données à caractère non personnel (données « mixtes ») : le règlement de novembre 2018 et le RGPD s’appliquent pour chacun en ce qui les concernent. En revanche, en cas de données « inextricablement liées », les droits et obligations de protection des données découlant du RGPD s’appliquent à l’intégralité de l’ensemble des données mixtes, indépendamment de la part de données à caractère personnel dans cet ensemble.

La Commission précise par ailleurs la notion d’exigences de localisation des données interdite par le règlement relatif au libre flux des données à caractère non-personnel et le principe de libre circulation figurant dans le RGPD, notamment pour les opérations de traitement ayant lieu en dehors de l’Union européenne. Elle rappelle ainsi que « les règles relatives aux transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales en vertu du RGPD doivent être respectées en tout état de cause. »
 
Notes
puce note (1) Lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne
puce note (2) Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne
 
 
Informations légales | Données personnelles