ACCOMPAGNER ET SÉCURISER LES TRANSFERTS DE DONNÉES
La proposition de règlement s'attache à corriger certains obstacles juridiques et techniques au changement de fournisseur de services de traitement des données et d'interopérabilité des données. Elle organise par ailleurs une protection des données à caractère non personnel, afin d'empêcher certains transferts internationaux.
· La réduction des obstacles commerciaux, techniques, contractuels et organisationnels au changement de fournisseur de services de traitement des données
Dans un marché caractérisé par une très forte concentration (72% du marché européen est contrôlé par 3 fournisseurs américains) et des pratiques de verrouillage particulièrement efficaces, les utilisateurs ne parviennent pas à changer de fournisseur, ce qui entrave le développement de fournisseurs concurrents sur le marché européen.
Pour remédier à cette situation, la proposition de règlement impose un ensemble d'obligations au fournisseur initial, en particulier la limitation à 30 jours calendaires de la durée du préavis de résiliation du contrat, et l'indication dans le contrat des catégories de données et d'applications exportables.
Le fournisseur initial serait contraint de mettre en oeuvre le portage des données, applications et autres actifs numériques et maintenir l'équivalence fonctionnelle du service dans l'environnement informatique des différents fournisseurs.
Enfin, les frais de sortie devraient être progressivement supprimés sous 3 ans.
· Des exigences essentielles d'interopérabilité
L'interopérabilité permet de combiner des données provenant de différentes sources à l'intérieur des secteurs et entre les secteurs. Elle est donc une condition nécessaire du partage des données, motif pour lequel la proposition de règlement impose un ensemble d'exigences essentielles d'interopérabilité des données aux exploitants d'espaces de données, aux services de traitement des données et en matière de contrats intelligents pour le partage des données.
· La sécurisation des transferts internationaux de données
Certains pays extra-européens se sont dotés de lois permettant à leurs juridictions, y compris répressives, ou à leurs administrations, d'obtenir un transfert direct de données à caractère non personnel situées en dehors de leur territoire, y compris dans l'Union. Or ces demandes de transfert peuvent ne pas être compatibles avec le droit européen ou avec le droit national, en particulier en matière de protection des droits fondamentaux de la personne (sécurité ou droit à un recours effectif) ou des intérêts fondamentaux d'un État membre (sécurité ou défense nationales), ou encore avec la protection de secrets d'affaires ou de droits de propriété intellectuelle.
La proposition de règlement soumet les fournisseurs de services de traitement de données à l'obligation de prendre « toutes les mesures techniques, juridiques et organisationnelles raisonnables » afin d'empêcher le transfert hors du territoire européen de données à caractère non personnel qui y sont détenues ou l'accès d'États tiers à celles-ci. En l'absence d'accord international, il leur est en principe interdit de procéder à un transfert de données exigé par une décision ou un jugement d'un juridiction ou une décision d'une autorité administrative d'un pays tiers et de donner accès à ces données, sauf si certaines conditions cumulatives, qu'elle énumère, sont réunies.