Dans sa proposition de règlement, la Commission européenne ne définit pas cette notion de données personnelles autrement que par défaut : sont considérées comme telles toutes les données qui ne sont pas des données personnelles au sens du règlement général sur la protection des données personnelles. Je pense que l'on gagnerait en clarté avec une définition plus précise, notamment parce qu'une donnée personnelle peut se transformer en donnée à caractère non personnel.
Que propose la commission européenne ? La proposition de règlement consacre le principe de la libre circulation des données à caractère non personnel dans l'Union européenne et impose aux États membres de supprimer toute obligation légale ou règlementaire d'hébergement ou de traitement local de données à caractère non personnel, à l'exception des données relevant de la sécurité publique.
En outre, un mécanisme est prévu pour que les autorités administratives et judiciaires puissent continuer à accéder à des données stockées sur le territoire d'un autre État membre. Un point de contact serait créé dans chaque pays pour assurer la coopération entre les États membres et avec les institutions européennes.
Enfin, si un utilisateur décide de changer de prestataire de services pour le stockage de ses données - ce que l'on appelle le portage des données -, le texte prévoit des codes de conduite et des lignes directrices pour en fixer les conditions.
Que penser de ce texte au regard du contrôle de subsidiarité ? En premier lieu, alors qu'il existe plusieurs freins à la libre circulation des données à caractère non personnel, la Commission européenne se focalise sur les restrictions édictées par les États. Cela a peu de sens à l'ère numérique, où les frontières n'ont pas la même importance. Certes, il y a des restrictions liées à la localisation géographique, mais elles ne sont pas toutes imposées par les lois nationales. Il y a la barrière de la langue, la volonté de conserver un ancrage local, les possibilités de recours en justice, en somme tout ce qui fait qu'un utilisateur va d'abord choisir un prestataire de son pays. Ensuite, la proposition de règlement ne traite pas tous les problèmes de la même façon et en occulte même certains, comme l'incertitude quant au régime juridique des données, encore mal défini, le manque de confiance des utilisateurs dans les solutions d'informatique en nuage, qu'ils craignent de voir piratées, ou encore les stratégies de rétention des données entre acteurs économiques.
Au vu de ces éléments, le texte apparaît comme une attaque contre les législations nationales. Or, cela n'est pas justifié. L'initiative s'appuie ainsi sur une étude d'impact qui est sujette à caution. Tout d'abord, on manque d'une analyse précise des obligations nationales de localisation des données. La Commission européenne en a évoqué une soixantaine, puis quarante-cinq avant, finalement, de n'en retenir qu'une trentaine, soit un peu plus d'une par État membre. Faut-il vraiment un règlement européen pour résoudre ce problème ? Des lignes directrices n'auraient-elles pas suffi ?
En outre, le gain économique espéré - 0,06 % du PIB européen - et la faible participation à une consultation publique sur le sujet - 289 réponses, seules 55,3 % appelant à un acte législatif européen et seulement deux États membres favorables à un règlement - n'appellent pas une mesure aussi lourde. Notre commission des affaires européennes a donc estimé que l'étude d'impact ne justifiait pas l'initiative.
Surtout, si l'économie de la donnée est récente, elle évolue très rapidement et reste insuffisamment maîtrisée ; les implications pour les personnes, les entreprises et les États eux-mêmes ne sont pas entièrement mesurées. Dans ces conditions, il paraît prématuré de démunir les pays de leur pouvoir souverain de régulation. Ce n'est pas acceptable, d'autant que les États ne pourraient justifier une obligation de localisation qu'au seul motif de la sécurité publique, apprécié par la Commission européenne. Pourquoi cet unique motif ? Qu'en est-il de l'ordre public, de la santé publique ? La proposition de règlement va trop loin en interdisant d'emblée ces motifs et, à mon sens, ne le justifie pas. C'est pourquoi la commission des affaires européennes a estimé, dans sa proposition de résolution européenne portant avis motivé, que le principe de subsidiarité n'était pas respecté.