Par Haas Avocats
Le 24 septembre 2023 le règlement européen sur la gouvernance des données dit « Data Governance Act » (DGA) est entré en application avec pour objectif de contribuer à la construction d’un marché unique des données au niveau de l’Union Européenne.Une nouvelle pierre à l’édifice sera bientôt apportée par le Data Act.
Dans l’optique de renforcer la confiance du public envers le marché effervescent de la donnée, le DGA instaure des « tiers de confiance » dans le cadre du partage des données et accroît la disponibilité des données en permettant un accès sous conditions aux données détenues par le secteur public.
Le nouveau règlement repose sur les trois principaux piliers suivants :
Un accès encadré aux données du secteur public
Quelles sont les données concernées ?
Les personnes morales de droit privé pourront avoir accès à des données détenues par des établissements publics tels que des hôpitaux, agences nationales ou agences régionales de santé publique.
Les données concernées seront limitées aux catégories suivantes : celles protégées par la confidentialité commerciale (secret des affaires, savoir-faire et secret professionnel), le secret statistique, la protection des données personnelles ou encore par la propriété intellectuelle d’un tiers.
Néanmoins, le DGA exclut les données détenues par certains organismes : les entreprises publiques, les organismes publics de radiodiffusion/TV, les établissements éducatifs et culturels ou encore les organismes publics protégés pour des raisons de sécurité publique, de défense ou de sécurité nationale.
Comment accéder à ces données ?
Un point d’information unique en France centralisera toutes les informations utiles sur les conditions et les procédures nécessaires pour obtenir l’autorisation de réutilisation de ces données. C’est aux organismes publics habilités à permettre la réutilisation de leurs données d’établir ces conditions et la procédure à suivre. Les conditions doivent être non-discriminatoires, transparentes, proportionnées et objectivement justifiées.
Par ailleurs, ces organismes auront 2 mois à compter de la réception de la demande pour y répondre.
Si ces organismes autorisent la réutilisation de leurs données, ils devront imposer des conditions propres à assurer la préservation de la protection des données par le ré-utilisateur. L’organisme concerné pourra procéder à des contrôles, et S’il constate un manquement, interdire l’utilisation des résultats du traitement des données réutilisées.
Enfin, le ré-utilisateur est soumis à une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts des tiers, malgré les garanties mises en place, lors de l’accès aux données.
La création d’un « tiers de confiance »
Quelle procédure pour devenir prestataire de services de partage de données ?
Le DGA instaure une nouvelle activité de « tiers de confiance ». Celui-ci prend le rôle d’intermédiaire entre une personne détentrice de données et une personne utilisatrice.
Le DGA introduit ainsi un régime d’encadrement strict de cette activité dans l’optique de renforcer la confiance du public. Les prestataires de service de partage de données ne pourront pas utiliser les données à d’autres fins que la mise à disposition à des personnes utilisatrices potentilles.
En outre, le prestataire devra agir dans l’intérêt des personnes concernées et devra les accompagner dans l’exercice de leurs droits (opposition, limitation, effacement, etc.).
Comment devenir prestataire de services de partage de données ?
Comme le souligne la CNIL, pour afficher le label « prestataire de services d’intermédiation de données reconnu dans l’Union ». les candidats devront se conformer aux exigences du DGA et être eux-mêmes conformes au RGPD. et notifier l’autorité compétente de leur établissement principal.
Après notification de l’autorité compétente, il sera possible de commencer à exercer l’activité dans tous les Etats membres de l’Union Européenne sous réserve de respecter les conditions d’exercice. Cette notification devra contenir certaines informations listées à l‘article 11 (6) du DGA.
L’altruisme en matière de données
Le DGA permet aux personnes de mettre volontairement à disposition leurs données sans contrepartie pour des objectifs d’intérêt général auprès d’organismes d’altruismes en matière de données. Ces organismes devront faire l’objet d’un enregistrement au sein d’un registre national tenu par l’autorité compétente.
Pour être admis, un tel organisme devra respecter certaines conditions :
- Être une entité constituée pour poursuivre des finalités d’intérêt général;
- Opérer dans un but non lucratif et être indépendant de toute entité poursuivant un but lucratif ;
- Exercer cette activité au sein d’une structure juridiquement indépendante, distincte des autres activités exercées.
Cette demande devra contenir les informations listées à l’article 19 (4) du DGA. L’autorité compétente aura alors douze semaines à compter de la date de réception de la demande pour l’inscrire au sein du registre. Cet enregistrement sera valable dans tous les Etats-membres.
L’organisme sera alors tenu à une obligation de transparence lui imposant de tenir des registres spécifiques et de transmettre annuellement un rapport d’activité à l’autorité compétente. Cet organisme sera également soumis à des exigences spécifiques visant à préserver les droits et les intérêts des personnes quant à leurs données.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
