Lignes directrices sur la réglementation UE des données non personnelles et son interaction avec le RGPD/GDPR
06/2019
Le Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union Européenne (applicable depuis le 28 mai 2019) forme avec le Règlement (UE) 2016/678 sur la protection des données personnelles (RGPD/GDPR) le cadre juridique de l’« espace européen commun des données et la libre circulation de toutes les données au sein de l’Union européenne ».[i]
Le Règlement (UE) 2018/1807 a pour objet d’ « assurer le libre flux de données autres que les données à caractère personnel au sein de l’Union, en établissant des règles concernant les exigences de localisation des données, la disponibilité des données pour les autorités compétentes et le portage des données pour les utilisateurs professionnels ».[ii]
Les Lignes directrices de la Commission européenne relatives au Règlement (UE) 2018/1807, publiées le 29 mai 2019, présentent un intérêt pour les professionnels de la place, au moins à deux titres :
• La présentation de l’interaction entre le Règlement (UE) 2018/1807 et le RGPD/GDPR fait écho aux difficultés pouvant être rencontrées pour traiter un « ensemble de données mixtes » (comportant à la fois des données personnelles et non personnelles), tel celui des banques.
• Le Règlement (UE) 2018/1807 est applicable aux activités (qui relèvent du droit de l’UE) de traitement des données non personnelles de clients résidents ou établis dans l’UE, gérées via des serveurs situés sur le territoire de l’UE, par les fournisseurs de services informatiques en nuage (cloud computing) établis dans un État tiers.
Contenu des Lignes directrices
• Définition des données à caractère non personnel
• Définition des données à caractère personnel
• Définition des « ensembles de données mixtes » et interaction avec le RGPD/GDPR
• Libre flux des données et suppression des exigences de localisation des données
• Portabilité des données et interaction avec le RGPD/GDPR
• Codes de conduite et certification
Banque et « ensemble de données mixtes »[iii]
• Services de paiement (cartes de crédit et de débit)
• Application de gestion des relations avec les partenaires et les conventions de prêt
• Documents combinant des données concernant tant des personnes physiques que des personnes morales
• Services de gestion des relations avec la clientèle (CRM)
Exemple de traitement de données non personnelles par un fournisseur de services cloud établi dans un État tiers, dans le champ d’application du Règlement (UE) 2018/1807[iv]
Services de traitement fourni par un fournisseur de services en nuage établi dans un État tiers à l’UE, à des clients résidant ou établis dans l’UE.
Le fournisseur possède des infrastructures propres à l’UE ou loue un espace sur un serveur de l’UE.
Il gère ses activités par l’intermédiaire de serveurs situés sur le territoire de l’UE, où les données de ses clients européens sont conservées ou traitées d’une autre manière.
Exemple de traitement de données non personnelles par un fournisseur de services cloud établi dans un État tiers, hors du champ d’application du Règlement (UE) 2018/1807[v]
Services de traitement fourni par un fournisseur de services en nuage établi dans un État tiers à l’UE, à des clients résidant ou établis dans l’UE.
Les capacités de traitement du fournisseur sont situées dans l’État tiers, et toutes les activités de traitement y sont effectuées.
Nos publications en matière de protection des données personnelles :
Monaco parmi les premiers signataires du Protocole d’amendement (STCE n°223) à la « Convention 108 »
RGPD : vigilance sur la marge d’appréciation laissée aux États-membres de l’Union Européenne !
[i] Lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne, COM(2019) 250 final, 29/05/2019, p. 2.
[ii] Art. 1er du Règlement (UE) 2018/1807.
[iii] Lignes directrices…, op. cit. p. 7.
[iv] Ibid. p. 12.
[v] Ibidem.