À la Commission européenne, le Conseil national du numérique répond que la libre circulation des données pose un large nombre de questions. La distinction entre données personnelles ou non, les rapports de force entre acteurs européens et mondiaux et les accords de libre échange doivent être des sujets de grande vigilance, pense l'institution.
La libre circulation des données non personnelles dans l'Union européenne ne sera pas forcément simple, argue le Conseil national du numérique (CNNum). Dans un avis publié vendredi 28 avril , il « interpelle » la Commission européenne, qui avait lancé une consultation publique sur le sujet en janvier, dans le cadre du marché unique numérique.
L'idée est de briser les barrières à la libre circulation des données entre les États membres. Le but, bien entendu, est de permettre aux entreprises d'exploiter le plein potentiel de l'Europe numérique, en harmonisant le traitement dans les 28 pays de l'Union. Alors que les données personnelles sont protégées via deux futurs règlements stricts (RGPD et ePrivacy), les autres doivent être exploitées au mieux pour produire de la valeur dans nos contrées.
L'approche de la Commission est donc de supprimer les frontières entre pays. Pourtant, pour le Conseil national du numérique, les silos des services en ligne sont un souci au moins aussi grand que les frontières nationales, alors que la différence entre les informations privées et les autres reste encore à garantir.
Des données réellement non personnelles ?
Ce grief est le centre des problèmes soulevés par le CNNum. Comme le notait déjà la Commission européenne en janvier, les flux de données contiendront forcément un mélange de contenus personnels et d'autres, à un moment ou un autre. Pour l'institution française, le problème est aussi de savoir si une donnée est bien « non personnelle ».
Elle souligne les « réalités extrêmement diverses recouvertes par le terme de donnée et de la multitude d’usages et de marchés que les données pourraient encore faire émerger ». S'assurer que les informations privées sont bien exclues de cette libre circulation est aussi difficile, « les limites des techniques d’anonymisation et de pseudonymisation pointent néanmoins les risques d’une telle distinction ».
Le risque ? Celui de la réidentification d'une personne à partir de ses données, qui serait bien réel. Appliquer des règles différentes à différents types d'informations pourrait mener à des situations complexes, auxquelles les réponses manqueraient encore, alors qu'on se dirige vers une protection plus stricte pour les privées.
Libre circulation contre protectionnisme
Il faudrait aussi éviter que la libre circulation des données entre les pays européens ne devienne un argument pour balayer la protection des informations dans les accords de libre-échange, avec des pays hors de l'Union. La question pourrait s'avérer importante dans les prochaines années, alors que les accords actuels avec des tiers restent un sujet sensible.
La mise au rebut de l'accord Safe Harbor avec les États-Unis, remplacé par le Privacy Shield l'an dernier, montre à quel point le contrôle des données une fois qu'elles sortent de l'Union européenne reste complexe. Même validé, le Privacy Shield reste sujet à des critiques des CNIL et du Parlement européen.
« La consécration d’un principe de libre circulation des données en Europe, mais surtout au niveau international, soulève des enjeux majeurs en matière de souveraineté numérique », notamment en matière de localisation des serveurs, note également le CNNum.
Il s'inquiète des conséquences en matière de protection des consommateurs, des entreprises européennes, de régulation ou de fiscalité. « Les asymétries importantes qui caractérisent aujourd’hui les flux de données justifient une approche qui vise prioritairement les intérêts des entreprises européennes » écrit le conseil français.
Droit de propriété et portabilité des infos
Il s'oppose aussi à la création d'un droit de propriété sur les données non personnelles, qui serait contraire à la directive de 1996 sur les bases de données. Aujourd'hui, seul l'investissement pour constituer les bases de données est protégé, et non les données elles-mêmes.
Appliquer cette propriété aux données en créerait une double (l'une pour les personnelles et l'autre pour les non personnelles). De quoi complexifier la loi. Dans un immeuble, les données d'un capteur appartiendraient au propriétaire du capteur, à celui de l'immeuble ou bien au fabricant de l'objet qui intègre ledit capteur, demande l'institution.
Inciter au partage, voire l'imposer pour les grands acteurs
Pour elle, mieux vaut insister sur les incitations au partage des informations entre acteurs, et à leur croisement. La portabilité des données non personnelles (en plus des données personnelles). Dans le cadre de la recherche, cela éviterait que certains acteurs importants (nommons Facebook et Google, par exemple) soient les seuls à disposer des données nécessaires à l'entrainement des algorithmes.
Comme semblent l'indiquer les géants du Net, qui publient le code de certains moteurs d'apprentissage, la valeur réside bien dans les masses de données servant à aiguiser ces outils, plus que dans ces logiciels eux-mêmes. Pour cela, une révision de la directive 96/9 sur les bases de données est demandée.
Le conseil souhaite aussi inciter à la mise en commun de données qui peuvent servir des projets européens. Il demande d'ailleurs des études sectorielles pour voir dans quels cas les données peuvent être considérées comme des infrastructures. En clair, quand il est trop difficile de constituer des bases équivalentes avec des moyens raisonnables.
« Dans ce cadre, l’introduction d’une obligation de licence non-discriminatoire devrait être envisagée » déclare le conseil, qui semble vouloir se diriger vers une régulation des plateformes, vers laquelle pointe également le régulateur des télécoms, l'Arcep... À un moment où les règles entre acteurs des télécoms et d'Internet se rapprochent déjà, notamment sur en Europe, via le Règlement général de protection des données (RGPD) et le règlement ePrivacy, prévus pour mai 2018.
Commentaires (0)