Par Anne Charlotte Andrieux et Antoine Kraska-Delsol
Dans la continuité du RGPD et de la stratégie européenne pour les données, le règlement 2022/868 sur la gouvernance européenne des données, ou « Data Governance Act » (DGA) a fait l’objet d’un accord entre le Conseil et le Parlement européen.
Ce nouveau texte vise à mettre en place un cadre général pour faciliter le partage de données au sein de l’Union Européenne et prévoit également des mécanismes de gouvernance.
Il sera bientôt complété par le « Data Act », un règlement sur les données, qui visera plus spécifiquement les droits d’accès et d’utilisation des données.
Publiée au Journal officiel de l’Union européenne le 30 mai dernier, l’entrée en vigueur du DGA est prévue pour le 24 septembre 2023.
Quels sont les objectifs du Data Governance Act ?
La Commission relève l’important potentiel économique des données. Selon elle, les mesures envisagées par le Data Governance Act généreraient 7 à 11 milliards d’euros par an rien qu’au titre de l’échange de données.
Le DGA aura ainsi pour but de garantir l’accès à de grands volumes de données au profit de l’économie européenne tout en garantissant un meilleur contrôle sur les données afin de renforcer la souveraineté numérique de l’Europe.
Il est aussi question d’assurer la protection des données personnelles en conjonction avec les dispositions du RGPD : les personnes devraient bénéficier d’un contrôle renforcé sur leurs données, leur permettant de décider précisément qui aura accès à leurs données et dans quels objectifs.
De ce fait, les entreprises devraient voir leurs coûts d’acquisition, d’intégration et de traitement des données diminuer. Les obstacles à l’entrée sur les marchés seront en conséquence réduits.
Quelles obligations avec le Data Governance Act ?
Le DGA prévoit en particulier :
- Les conditions dans lesquelles les données détenues par des organismes du secteur public pourront être réutilisées et faire l’objet d’un accès ;
- Les modalités de fourniture des services d’intermédiation de données;
- Le cadre dans lequel des entités pourront collecter et traiter des données à des fins altruistes;
- La création d’un Comité européen de l’innovation dans le domaine des données.
Ce texte donne à l’UE des moyens de lutter à armes égales avec les acteurs du marché international, puisque les données provenant de l’Union sont souvent exploitées par des entreprises comme les GAFAM. Ce texte a vocation à favoriser la compétitivité des prestataires européens sur la scène internationale en organisant l’accès aux données.
Le DGA renforce également la sécurité des données et veut générer un rebond économique pour les fournisseurs européens de services informatiques. Cet encadrement devrait favoriser le partage de données et favoriser ainsi l’innovation et la recherche.
Sur le modèle du RGPD, le DGA prévoit la désignation d’une autorité nationale chargée de contrôler et sanctionner le respect des mesures du règlement et auprès de laquelle il sera possible de déposer des réclamations.
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
Certaines données détenues par des organismes du secteur public vont pouvoir être partagées et faire l’objet d’une réutilisation. Ces données sont celles qui sont protégées pour des raisons de confidentialité commerciale (secret des affaires, secret professionnel ou secret d’entreprise), par le secret statistique, pour la protection de droits de propriété intellectuelle de tiers, ou encore pour la protection des données personnelles.
Le règlement exclut expressément certains types de données du champ d’application de cette disposition. Il s’agit des données détenues par des entreprises publiques, des données détenues par des organisations de radiodiffusion du service public, par des établissements culturels ou des établissements d’enseignement, des données protégées pour des raisons de sécurité publique, de défense ou de sécurité nationale ou encore des données dont la fourniture est une activité ne relevant pas d’une mission de service public.
Les organismes publics ne pourront néanmoins pas octroyer des droits d’exclusivité sur les données qu’ils partagent. Cela restera néanmoins possible si cette réutilisation permet la fourniture d’un service ou d’un produit d’intérêt général qui ne pourrait pas être obtenu sans cette exclusivité, et dans la limite d’une période maximale de douze mois.
Les organismes publics pourront encadrer les conditions de réutilisation et veilleront à ce que les données personnelles soient bien anonymisées et que les données confidentielles fassent l’objet d’une modification, agrégation ou d’un traitement préalable à leur réutilisation.
Cet accès aux données pourra être conditionné au versement d’une redevance.
Le Data Governance Act et les services d’intermédiation de données
Les services d’intermédiation de données sont définis par le règlement comme visant à établir des relations commerciales à des fins de partage de données entre des personnes concernées ou des détenteurs de données avec des « utilisateurs de données ».
Les prestataires d’intermédiation devront notifier leur intention d’exercer cette activité auprès de l’autorité compétente en matière de services d’intermédiation des données. Cependant, cette notification n’est pas une demande d’autorisation : elle suffit à elle seule à permettre l’activité, sous réserve du respect des dispositions du règlement.
Le règlement prévoit notamment quelques conditions à la charge des prestataires qui s’adonneraient à cette activité, notamment :
- Le prestataire ne peut pas lui-même utiliser les données pour lesquelles il agit en tant qu’intermédiaire. Il ne fait que faciliter l’échange des données dans le format dans lequel il les reçoit et ne les convertit que pour améliorer l’interopérabilité ou sur demande de l’utilisateur ;
- Le prestataire peut proposer des services supplémentaires pour faciliter les échanges de données (stockages temporaires, l’anonymisation, la pseudonymisation, etc.) ;
- Il ne peut pas faire dépendre ses conditions commerciales à l’utilisation d’autres services qu’il fournit ;
- Il devra mettre en place des procédures pour prévenir des pratiques frauduleuses ou abusives d’accès aux données via ses services ;
- S’il devient insolvable, il devra assurer une continuité raisonnable de ses services pour permettre aux personnes concernées et détenteurs de données d’accéder, transférer ou récupérer leurs données ;
- Il doit garantir la sécurité des données pour leur stockage, traitement et transmission ;
- Il doit agir au mieux des intérêts des personnes concernées lorsqu’il facilite l’exercice de leurs droits, en les informant et en les conseillant de manière concise, transparente, compréhensible et aisément accessible sur l’utilisation de leurs données ;
- Il devra tenir un journal de l’activité d’intermédiation de données.
Favoriser un usage altruiste des données avec le règlement Data Governance Act (DGA)
Les Etats peuvent désormais mettre en place des mesures pour faciliter l’altruisme en matière de données. Il s’agit ici de permettre aux personnes de mettre volontairement à disposition leurs données sans contrepartie pour des objectifs d’intérêt général. Ces objectifs seront définis par le droit national et pourront notamment concerner :
- Les soins de santé ;
- La lutte contre le changement climatique ;
- L’amélioration de la mobilité ;
- La facilitation du développement, de la production et de la diffusion de statistiques officielles ;
- L’amélioration de prestation de services publics ;
- L’élaboration de politiques publiques ;
- La recherche scientifique.
Ces données seront remises à des organisations altruistes qui feront l’objet d’un enregistrement au sein d’un registre national. Cet enregistrement se tiendra sur demande auprès d’une autorité, qui examinera la demande sous un délai de douze semaines.
Les organisations enregistrées seront tenues à des obligations de transparence et devront notamment établir un rapport annuel d’activité.
Les personnes pourront ainsi leur transmettre leurs données tout en conservant leurs droits. Les organisations devront notamment utiliser les données collectées uniquement dans le cadre d’un objectif d’intérêt général, obtenir le consentement des personnes, ou encore assurer la sécurité des données.
La Commission Européenne a été chargée d’établir un recueil de règles pour compléter les mesures du règlement. Celui-ci visera notamment les exigences d’information des personnes, les exigences techniques et de sécurité appropriées, les communications à mettre en place pour sensibiliser l’altruisme en matière de données, ainsi que des recommandations relatives à l’interopérabilité.
La Commission va notamment développer un formulaire européen de consentement pour faciliter la collecte des données.
Accès et transfert international des données
Les transferts de données dans le cadre de ce règlement en dehors du territoire de l’Union sont interdits s’ils rentrent en conflit avec la réglementation européenne et les dispositions nationales.
Le règlement prévoit en particulier que les organismes européens ne peuvent pas transférer leurs données dans le cadre de procédures juridictionnelles dans des pays tiers, sauf à ce que ces transferts soient prévus par un accord international, et notamment par un traité d’entraide judiciaire. Ce mécanisme vise sans doute à limiter l’étendue des procédures américaines de « discovery ».
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez ici.
