La Commission publie des lignes directrices sur les données non soumises au RGPD

Le 29 mai, la Commission européenne a publié des lignes directrices sur "le libre flux des données à caractère non personnel". Un texte qui tente de clarifier la démarcation entre deux règlements aux objectifs qui peuvent sembler contradictoires : le règlement général sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018 et celui sur les données non personnelles (règlement UE 2018/1807) adopté en novembre 2018, dont l'objectif est de développer un marché européen de la donnée (activités de production, de collecte, de stockage et d'exploitation de données). Pour le secteur public, soumis à des obligations d'ouverture de leurs données, ces lignes directrices constituent un texte de référence sur ce qui relève de l'open data et ce qui ne peut être ouvert (sauf disposition législative contraire).

Une ligne de partage claire en apparence

Les données non personnelles sont de deux types explique la Commission.

1. Il y a tout d'abord les données nativement non rattachées à une personne physique comme celles créées par des capteurs, générées par des machines ou associées à un lieu géographique…
2. Il y a ensuite les jeux de données personnelles qui ont fait l'objet d'une anonymisation ou pseudonymisation.

Les experts européens invitent cependant à se méfier des techniques de pseudonymisation - où des patronymes sont par exemple remplacés par des expressions aléatoires - qui peuvent comporter un risque de réidentification des personnes. Les données personnelles sont pour leur part définies précisément par le RGPD. Il s'agit de "toute information se rapportant à une personne physique identifiée ou identifiable telle qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Une zone de flou terrain de jeu du big data

Si ces définitions sont relativement claires, la Commission reconnaît l'existence d'une zone de flou constituée des "ensembles de données mixtes". Or, note Bruxelles, "les ensembles de données utilisés dans l'économie des données sont en majorité des ensembles de données mixtes, dont la collecte se fait habituellement grâce à des applications nées du progrès technologique telles que l'internet des objets (c'est-à-dire les objets connectés numériques), l'intelligence artificielle et les technologies permettant l'analyse des mégadonnées". Ce constat implique-t-il de séparer strictement les données personnelles des autres ? Non, affirme la Commission, le règlement sur les données non personnelles - et donc leur libre circulation - s'applique aux données à caractère non personnel de l'ensemble de données. Avec une exception toutefois : lorsqu'elles sont "inextricablement liées" cas dans lequel le RGPD s’applique pleinement à l’intégralité des données mixtes. Comment repérer ces données "inextricablement liées" ? La Commission reconnaît qu'aucun des deux règlements ne définit cette notion et avance qu'il s'agit de jeux de données où "une séparation entre les deux serait soit impossible, soit considérée comme économiquement inefficace ou techniquement impossible par le responsable du traitement".

Si le besoin de clarification entre les deux règlements répond à une attente des acteurs du big et de l'open data, il n'est pas certain que les TPE/PME, citées comme cible de ces lignes directrices, s'y retrouveront.