La Commission publie des lignes directrices sur les données non soumises au RGPD
La Commission européenne a publié des lignes directrices sur la libre circulation des données à caractère non personnel, objet d'un règlement de novembre 2018, pour clarifier sa démarcation avec le RGPD. Avec une zone de flou qui ne facilite guère l'ouverture des données.
Le 29 mai, la Commission européenne a publié des lignes directrices sur "le libre flux des données à caractère non personnel". Un texte qui tente de clarifier la démarcation entre deux règlements aux objectifs qui peuvent sembler contradictoires : le règlement général sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018 et celui sur les données non personnelles (règlement UE 2018/1807) adopté en novembre 2018, dont l'objectif est de développer un marché européen de la donnée (activités de production, de collecte, de stockage et d'exploitation de données). Pour le secteur public, soumis à des obligations d'ouverture de leurs données, ces lignes directrices constituent un texte de référence sur ce qui relève de l'open data et ce qui ne peut être ouvert (sauf disposition législative contraire).
Une ligne de partage claire en apparence
Les données non personnelles sont de deux types explique la Commission.
- Il y a tout d'abord les données nativement non rattachées à une personne physique comme celles créées par des capteurs, générées par des machines ou associées à un lieu géographique…
- Il y a ensuite les jeux de données personnelles qui ont fait l'objet d'une anonymisation ou pseudonymisation.
Les experts européens invitent cependant à se méfier des techniques de pseudonymisation - où des patronymes sont par exemple remplacés par des expressions aléatoires - qui peuvent comporter un risque de réidentification des personnes. Les données personnelles sont pour leur part définies précisément par le RGPD. Il s'agit de "toute information se rapportant à une personne physique identifiée ou identifiable telle qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".
Une zone de flou terrain de jeu du big data
Si ces définitions sont relativement claires, la Commission reconnaît l'existence d'une zone de flou constituée des "ensembles de données mixtes". Or, note Bruxelles, "les ensembles de données utilisés dans l'économie des données sont en majorité des ensembles de données mixtes, dont la collecte se fait habituellement grâce à des applications nées du progrès technologique telles que l'internet des objets (c'est-à-dire les objets connectés numériques), l'intelligence artificielle et les technologies permettant l'analyse des mégadonnées". Ce constat implique-t-il de séparer strictement les données personnelles des autres ? Non, affirme la Commission, le règlement sur les données non personnelles - et donc leur libre circulation - s'applique aux données à caractère non personnel de l'ensemble de données. Avec une exception toutefois : lorsqu'elles sont "inextricablement liées" cas dans lequel le RGPD s’applique pleinement à l’intégralité des données mixtes. Comment repérer ces données "inextricablement liées" ? La Commission reconnaît qu'aucun des deux règlements ne définit cette notion et avance qu'il s'agit de jeux de données où "une séparation entre les deux serait soit impossible, soit considérée comme économiquement inefficace ou techniquement impossible par le responsable du traitement".
Si le besoin de clarification entre les deux règlements répond à une attente des acteurs du big et de l'open data, il n'est pas certain que les TPE/PME, citées comme cible de ces lignes directrices, s'y retrouveront.
La Cnil fait le bilan d'un an de RGPD
Dans un communiqué daté du 23 mai, la Cnil a salué la "dynamique" créée par un règlement qui "marque une forte prise de conscience des enjeux de protection des données chez les particuliers comme les professionnels". Concrètement, cela s'est traduit par une avalanche de plaintes pour la Commission (11 900 plaintes sur un an). Coté responsables des traitements, 19 000 délégués à la protection des données ont été désignés, leur mutualisation permettant à 53 000 organismes (tous secteurs confondus) de respecter une obligation née du RGPD. La Cnil promet que "l’année 2019 marquera l’achèvement de la transition vers le RGPD", et n'hésitera pas à recourir aux sanctions, mais "comme par le passé, elle fera preuve de discernement dans son action répressive, en tenant compte, notamment, de la bonne foi des organismes". La Cnil réitère aussi son souci de proposer un accompagnement spécifique aux collectivités locales via des guides, fiches et cours en ligne à jour du RGPD.