11 octobre 2022
LE DATA GOVERNANCE ACT – POUR BIEN COMPRENDRE SON IMPORTANCE
Après le RGPD le Data Governance Act (DGA) vient enrichir la stratégie européenne des données. Publié au journal officiel de l’Union européenne le 30 mai dernier, l’’entrée en vigueur de ce règlement est prévue le 24 septembre 2023.
Ce nouveau texte vise à mettre en place un cadre général pour faciliter le partage de données au sein de l’Union Européenne et prévoit également des mécanismes de gouvernance. Il sera bientôt complété par le « Data Act », un règlement sur les données, qui traitera plus spécifiquement les droits d’accès et d’utilisation des données et qui est actuellement en discussion au Parlement européen.
Objectifs du Data Governance Act
La Commission insiste sur l’important potentiel économique des données pour justifier sa proposition. Selon elle « les mesures envisagées par le Data Governance Act généreraient 7 à 11 milliards d’euros par an rien qu’au titre de l’échange de données »
Le DGA devrait garantir l’accès à de grands volumes de données au profit de l’économie européenne tout en garantissant un meilleur contrôle sur les données afin de renforcer la souveraineté numérique de l’Europe. En lien avec le RGPD, le DGA devrait permettre un contrôle renforcé des citoyens utilisateurs en leur permettant de décider à qui ils donnent accès à leurs données et dans quels objectifs. Les obstacles à l’entrée sur les marchés devraient s’en retrouver considérablement réduits.
Que prévoit le Data Governance Act
• Les conditions dans lesquelles les données personnelles de citoyens détenues par des organismes du secteur public pourront être réutilisées et faire l’objet d’un accès ;
• Les modalités de fourniture des services d’intermédiation des données : C’est à dire l’encadrement du modèle commercial au coeur de ce texte et dont l’objectif est de permettre le partage des données entre les entreprises et les particuliers.
• Le cadre dans lequel des entités pourront collecter et traiter des données à des fins désintéressées.
• La création d’un Comité européen de l’innovation dans le domaine des données.
L’Europe espère ainsi se doter de moyens pour lutter de manière plus équitable contre les GAFAM qui exploitent les données des entreprises européennes et en tirent des bénéfices substantiels sans leur autorisation.
En créant ce service d’intermédiation des données, le DGA pose un cadre visant à promouvoir un nouveau modèle commercial qui fournirait un environnement sûr et générerait des revenus pour les fournisseurs européens de services informatiques. Cet encadrement de partage de données pourrait, s’il est convenablement mis en œuvre favoriser l’innovation et la recherche.
Comme le prévoit le RGPD, le DGA préconise la désignation d’une autorité nationale chargée de contrôler et sanctionner le respect des mesures du règlement et auprès de laquelle il sera possible de déposer des réclamations.
En utilisant les plateformes numériques qui seront créées dans le cadre de l’application du Data Governance Act, les entreprises pourront partager leurs données « sans craindre qu’elles soient mal utilisées ou qu’elles perdent leur avantage concurrentiel ».
Concernant les particuliers, les législateurs européens précisent que le DGA permettra aux citoyens de l’Union d’avoir un « contrôle total sur leurs données, et de les partager (ou pas) avec une entreprise en qui ils ont confiance ».
Cela pourra se faire depuis des portefeuilles de données ou des applications permettant de partager des données personnelles sur la base du consentement du détenteur des données.
Données publiques et données personnelles
Dans ce futur environnement sécurisé, certaines catégories de données détenues par des organismes du secteur public vont pouvoir être partagées et faire l’objet d’une réutilisation. Les entreprises pourraient ainsi partager leurs données sans prendre le risque qu’elles le soient de manière abusive.
Même si le critère de la sécurité est mis en avant, il est indéniable que ces données publiques pourront être réutilisées par des tiers à d’autres fins que celle de la mission de service public pour laquelle elles ont été produites ou reçues. Il est important de souligner que parmi ces données figurent celles protégées pour des raisons de confidentialité commerciale, par exemple celles concernant le secret des affaires ou la protection des droits de propriété intellectuelle de tiers. Il lève ainsi cette confidentialité qui pesait sur certaines catégories de données détenues par le secteur public pour les mettre à la disposition du secteur privé. La France a déjà anticipé certaines des dispositions du règlement européen et depuis la loi du 7 octobre 2018 (Loi sur une république numérique) les administrations doivent déjà ouvrir leurs données aux citoyens sans même ceux-ci en fassent la demande. En matière de protection de la propriété intellectuelle par exemple, depuis 2011 le Ministère de la Culture s’est engagé dans une politique d’ouverture des données culturelles, pour favoriser « la transmission du savoir culturel en démultipliant son usage ».
Point de vue de l’Institut
Quelques soient les mesures annoncées, il faudra s’assurer que les entreprises européennes ne se retrouvent pas dans situations de concurrence déloyale en devant exposer des informations commerciales sensibles qui porteraient atteinte à leur pérennité.
En revanche le règlement exclut expressément certains types de données du champ d’application de cette disposition. Il s’agit des données détenues par des entreprises publiques, par des organisations de radiodiffusion du service public, par des établissements culturels ou des établissements d’enseignement, protégées pour des raisons de sécurité publique, de défense ou de sécurité nationale ou encore des données dont la fourniture est une activité ne relevant pas d’une mission de service public.
Les organismes publics ne devraient pas octroyer des droits d’exclusivité sur les données qu’ils partagent. Cela restera néanmoins possible si cette réutilisation permet la fourniture d’un service ou d’un produit d’intérêt général qui ne pourrait pas être obtenu sans cette exclusivité, et dans la limite d’une période maximale de douze mois. Les organismes publics devront encadrer les conditions de réutilisation et veilleront à ce que les données personnelles soient bien anonymisées et que les données confidentielles (personnelles, sensibles ou commerciales) fassent l’objet d’une modification, agrégation ou d’un traitement préalable à leur réutilisation.
Point de vue de l’Institut
Il serait sans doute judicieux que le texte s’aligne sur les règles existantes en matière de protection des données à caractère personnel telles qu’elles sont énoncées dans le RGPD et la directive sur les données ouvertes. Cet accès aux données pourra être conditionné au versement d’une redevance.
Les services d’intermédiation de données
Les services d’intermédiation de données sont définis par le règlement afin d’établir des relations commerciales à des fins de partage de données entre des personnes concernées ou des détenteurs de données, avec des « utilisateurs de données ».
Les prestataires d’intermédiation devront notifier leur intention d’exercer cette activité auprès de l’autorité compétente en matière de services d’intermédiation des données. Cette notification n’est pas une demande d’autorisation : elle suffira à elle seule à permettre l’activité, sous réserve du respect des dispositions du règlement.
Le règlement prévoit notamment quelques conditions à la charge des prestataires qui s’adonneraient à cette activité, notamment :
• Le prestataire ne peut pas utiliser lui-même les données pour lesquelles il agit en tant qu’intermédiaire. Il ne fait que faciliter l’échange des données sans changer le format dans lequel il les reçoit et ne les convertit que pour améliorer l’interopérabilité ou sur demande de l’utilisateur.
• Le prestataire peut proposer des services supplémentaires pour faciliter les échanges de données (stockage temporaire, anonymisation, pseudonymisation, etc.).
• Il ne peut pas faire dépendre ses conditions commerciales de l’utilisation d’autres services qu’il fournit.
• Il devra mettre en place des procédures pour prévenir des pratiques frauduleuses ou abusives d’accès aux données via ses services.
• S’il devient insolvable, il devra assurer une continuité raisonnable de ses services pour permettre aux personnes concernées et détentrices de données d’accéder, transférer ou récupérer leurs données.
• Il doit garantir la sécurité des données pour leur stockage, traitement et transmission.
• Il doit agir au mieux des intérêts des personnes concernées lorsqu’il facilite l’exercice de leurs droits, en les informant et en les conseillant de manière transparente, compréhensible, sur l’utilisation de leurs données.
• Il devra tenir un journal de l’activité d’intermédiation de données.
Point de vue de l’Institut
Le régime d’autorisations pour les prestataires de services de médiation ou les organisations altruistes de partages de données, devraient faire l’objet de contrôles beaucoup plus rigoureux au regard des risques pour les données personnelles des citoyens qui vont partager leurs données. Le CEPD recommande d’ailleurs sur ce point d’intégrer dans le texte des outils de responsabilisation et en particulier l’étude d’un mécanisme de certification.
Favoriser un usage altruiste des données
Les Etats peuvent désormais mettre en place des mesures pour faciliter « l’altruisme » en matière de données. Il s’agit ici de permettre aux personnes de mettre volontairement à disposition leurs données sans contrepartie après avoir obtenu leur consentement et s’être assuré de la sécurité de leurs données.
Point de vue de l’Institut
Il faudrait prévoir également que ces personnes puissent retirer si elles le souhaitent facilement leur consentement. L’usage de ces données doit avoir des objectifs « d’intérêt général ». Ce sera précisé dans le droit national, mais le règlement devrait mieux encadrer et définir ce que l’on entend par « l’intérêt général ».
Sont notamment concernés sans contrepartie financière :
• Les soins de santé ;
• La lutte contre le changement climatique ;
• L’amélioration de la mobilité ;
• La facilitation du développement, de la production et de la diffusion de statistiques officielles ;
• L’amélioration de prestation de services publics ;
• L’élaboration de politiques publiques ;
• La recherche scientifique.
Ces données seront remises à des organisations altruistes tenues à des obligations de transparence, qui feront l’objet d’un enregistrement au sein d’un registre national et devront établir un rapport annuel d’activité. Cet enregistrement se tiendra sur demande auprès d’une autorité, qui examinera la demande sous un délai de douze semaines.
Les personnes pourront ainsi leur transmettre leurs données tout en conservant leurs droits.
Point de vue de l’Institut
Aucune précision n’est apportée sur le statut de cette autorité…
Le régime d’autorisations tant pour les prestataires de services de médiation que pour les organisations altruistes de partages de données, devrait faire l’objet de contrôles beaucoup plus rigoureux au regard des risques pour les données personnelles des citoyens qui vont partager leurs données. Le CEPD (Comité Européen de Protection des Données) recommande notamment sur ce point d’intégrer dans le texte des outils de responsabilisation et en particulier d’étudier un mécanisme de certification.
La Commission Européenne a été chargée d’établir un recueil de règles pour compléter les mesures du règlement. Celui-ci concernera les exigences d’information des personnes, les exigences techniques et de sécurité appropriées, les communications à mettre en place pour sensibiliser l’altruisme en matière de données, ainsi que des recommandations relatives à l’interopérabilité.
La Commission va notamment développer un formulaire européen de consentement pour faciliter la collecte des données.
Accès et transfert international des données
Les transferts de données dans le cadre de ce règlement en dehors du territoire de l’Union européenne sont interdits s’ils rentrent en conflit avec la législation européenne et les dispositions nationales.
Le règlement prévoit en particulier que les organismes européens ne peuvent pas transférer leurs données dans le cadre de procédures juridictionnelles dans des pays tiers, sauf à ce que ces transferts soient prévus par un accord international, et notamment par un traité d’entraide judiciaire.
Point de vue de l’Institut
Ce mécanisme vise sans doute à limiter l’étendue des procédures américaines. Il faut quand même noter que le transfert de données personnelles entre l’Europe et les Etats Unis n’est en rien réglé. Il va falloir rester très vigilant sur cette question, notamment depuis l’accord de principe passé le 25 mars dernier entre Bruxelles et Washington.
Il s’agit d’un accord de principe concernant un nouveau cadre de protection des données entre nos deux continents. Il devrait répondre aux préoccupations soulevées par la CJUE dans l’arrêt SCHREMS 2020, mais les termes de cet accord ne sont pas encore précisés. On sait simplement qu’il devrait prévoir « un mécanisme de recours indépendant à deux niveaux, doté d’un pouvoir contraignant ». Il vient d’être publié (octobre 2022) par la Maison Blanche. Il sera ensuite ratifié par la Commission européenne après examen des documents, ce qui devrait durer quelques mois. Les CNIL européennes, l’avocat autrichien Max Schrems, le Directeur de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’informations) tout comme notre Institut iDFrights se disent sceptiques quant à la solidité de cet accord.
Il n’est pas sûr que les Etats Unis prévoient de modifier leurs lois de surveillance. Ils vont sans doute simplement essayer de rassurer l’exécutif européen et le futur accord risque de ne pas passer à nouveau le test de la CJUE.
Quelle articulation avec le RGPD ?
Le Data Governance Act a été élaboré pour également faciliter le respect des obligations de partage de données fixées par le RGPD. Il y a donc nécessité absolue de s’assurer d’une cohérence entre les deux législations, notamment en ce qui concerne la compétence des autorités de contrôle. Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont été consultés à ce propos. Ils ont rendu un avis le 5 mai 2022, dans lequel ils reconnaissent l’intérêt légitime de ce règlement.
Cependant, ils insistent sur le fait qu’il va falloir veiller à ce que le futur texte soit pleinement conforme à la législation européenne en matière de protection des données à caractère personnel, et rappellent l’importance de maintenir le niveau de protection prévu par le droit de l’Union. Ils soulignent que le RGPD doit « rester le fondement sur lequel le modèle européen de gouvernance des données doit être construit ».
Il a été prévu à ce titre, qu’en cas de conflit, le RGPD prévaudra sur le DGA.
CONCLUSION
Il est absolument certain que dans un avenir très proche, ce nouveau règlement va impliquer des transformations profondes pour les entreprises et les administrations qui vont devoir chercher un équilibre entre conformité et innovation. Ce texte va refondre en profondeur les mécanismes d’échanges de données. Il faut espérer qu’il renforce les notions de confiance des utilisateurs et la souveraineté des données dans un contexte où les entreprises comme les administrations ont du mal à s’affranchir des GAFAM.
Jean-Marie Cavada
Président de l’iDFRights
Colette Bouckaert
Secrétaire générale de l’iDFRights