Données des organismes du secteur public : que faut-il attendre du Data Governance Act et du Data Act ?

Partager

Contexte

Le 19 février 2020, la Commission européenne constatait le volume croissant de données produites au sein de l’Union européenne, et le phénomène de concentration des données par les grands acteurs du numérique tels que les GAFAM. Consciente de la valeur économique des données – personnelles et non personnelles – la Commission a présenté sa stratégie européenne sur les données pour les années à venir.

L’objectif de la Commission est de créer « un véritable marché unique des données » [1] en instaurant une alternative pérenne au modèle économique actuel des plateformes de partage de données. Pour cela, la Commission souhaite « favoriser la disponibilité des données en vue de leur réutilisation, en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage dans l’ensemble » [2].

Le premier acte adopté dans le cadre de ce projet est le règlement (UE) 2022/868 du 30 mai 2022 sur la gouvernance des données, dit le Data Governance Act (DGA)[3], qui est entré en vigueur le 24 septembre 2023. Il devrait être suivi d’un second règlement sur les données : le Data Act (DA)[4].

Le « Data Governance Act », un règlement spécifique aux organismes du secteur public

Le DGA est un premier pas vers l’objectif économique européen et pose un premier encadrement pour le marché de l’intermédiation de la donnée fondé sur des tiers de confiance. Deux grands axes ressortent de ce texte.

  • La réutilisation des données protégées par des organismes du secteur public

Le premier aspect du DGA est l’encadrement des conditions de réutilisation, au sein de l’Union, des données protégées et détenues par des organismes du secteur public.

Il est néanmoins intéressant de noter que le règlement ne crée pas pour les organismes du secteur public une obligation de mise à disposition des données publiques, il s’agit simplement d’une invitation à la réutilisation et d’un cadre légal en cas d’autorisation par les organismes.

4 catégories de données sont concernées par le règlement :

  • les données couvertes par la confidentialité commerciale (le secret des affaires, le secret professionnel et le secret d’entreprise) ;
  • les données soumises au secret statistique ;
  • les données protégées en raison des droits de propriété intellectuelle d’un tiers ;
  • les données à caractère personnel.

Le règlement exclue certaines données du régime de la réutilisation, notamment les données protégées pour des raisons de sécurité publique et les données qui relèvent de la mission de service public dévolue aux organismes du secteur public.

La mise à disposition des données puis leur réutilisation ont nécessairement pour conséquence l’atteinte aux droits et intérêts des tiers, que ce soit une atteinte au secret des affaires, la méconnaissance des droits d’un auteur ou encore une atteinte aux droits des personnes concernées au sens du RGPD. C’est pourquoi le règlement introduit un régime spécifique et autonome concernant les modalités de l’accès et de la réutilisation des données protégées.

Les organismes publics sont ainsi encouragés à mettre en place certaines garanties telles que l’anonymisation ou la modification des données avant réutilisation, l’obligation de veiller à l’absence de divulgation des données lors de leur réutilisation, ou encore des garanties plus originales telles que la création d’environnements de traitement sécurisés virtuels ou physiques.

En outre, à compter de la demande de réutilisation, les organismes publics disposent d’un délai de 2 mois pour autoriser ou refuser l’accès aux données. Bien entendu, les conditions de procédure et d’autorisation doivent être rendues publiques. Une redevance peut être perçues par l’organisme public mais les accords d’exclusivité sont interdits.

Les transferts de données non-personnelles en dehors de l’UE sont en outre soumis à des dispositions spécifiques. Une attention particulière devra être portée sur ce point tant il est vrai que les outils cloud actuels ont tendance à opérer ce type de transfert.

In fine, l’organisme dispose d’un droit de contrôle sur le résultat de la réutilisation et peut même interdire l’utilisation d’un résultat qui violerait les droits des tiers.

  • La création d’un nouveau régime juridique d’intermédiaire en matière de données

Le DGA crée deux nouvelles catégories d’acteurs (1) les prestataires de services d’intermédiation de données et (2) les organismes altruistes.  

(1) Les prestataires d’intermédiation de données ont pour rôle d’« établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part »[5].

Les prestataires souhaitant fournir une activité d’intermédiation de données devront le notifier à l’autorité compétente, il s’agit d’une simple notification et non d’une autorisation. Ainsi, la simple notification de leur volonté permet aux prestataires d’exercer l’activité d’intermédiation de données, sous réserve du respect des dispositions du règlement.

Notamment, le règlement prévoit que le prestataire :

  • ne peut pas utiliser pour son propre compte les données pour lesquelles il fournit des services d’intermédiation de données ;
  • doit garantir la sécurité des données ;
  • peut proposer des services supplémentaires pour faciliter les échanges de données (stockage, anonymisation, pseudonymisation, etc.) ;
  • doit mettre en place des procédures pour prévenir des pratiques frauduleuses et abusives ;
  • doit garantir une continuité raisonnable de la fourniture de ses services même en cas d’insolvabilité.

(2) Enfin, le règlement présente une nouvelle catégorie d’acteur : les organismes altruistes.  La notion d’altruisme en matière de données, recouvre « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général »[6].

L’organisme altruiste doit s’enregistrer en tant qu’ « organisation altruiste en matière de données reconnue dans l’Union » et peut utiliser ce « label »[7].

Il s’ensuit certaines obligations auxquelles seront soumis les organismes altruistes, notamment des obligations de transparence, d’information ou encore de sécurité des données.

Le « Data Act »

Le 27 juin 2023, le Conseil et le Parlement européen sont parvenus à un accord sur le projet de règlement suivant le DGA, le règlement sur les données ou le Data Act.

Ce règlement a pour objectif d’harmoniser les règles sur l’accès et le partage des données, et en particulier celles générées par les appareils connectés.

Alors que le Data Governance Act se concentre sur l’amélioration du dispositif de réutilisation de certaines catégories de données du secteur public soumis à différentes protections comme expliqué précédemment, le Data Act vise à encadrer le partage d’informations entre particuliers, entreprises et, dans certaines circonstances, personnes publiques.

Le projet de règlement vise principalement à :

  • permettre aux autorités publiques d’accéder aux données détenues par les entreprises privées dans des situations exceptionnelles et relevant de l’intérêt public ;
  • permettre aux consommateurs d’accéder aux données générées par l’utilisation d’objet connecté ;
  • encadrer les relations contractuelles entre les fournisseurs de services de traitement de données et les consommateurs ;
  • mettre en place des garanties contre les accès et transferts illicites.

Ces obligations concernent les fabricants d’objets connectés, les fournisseurs de services en ligne ou encore les plateformes cloud.

En cas de violation du règlement, ce dernier ne prévoit pas directement de sanction, mais laisse les Etats membres le soin de déterminer le régime des sanctions applicables, tout en veillant à ce que les sanctions soient « effectives, proportionnées et dissuasives ».

Toutefois, le règlement Data Act ne fait pas l’unanimité.

En effet, Alliance Digital (IAB), ainsi que de nombreuses associations du secteur du digital ont adressé en avril dernier, une lettre au Parlement européen et au Conseil de l’UE, faisant état de leurs craintes concernant les potentiels conflits qui pourraient naître entre le « Data Act » et le « RGPD »[8].

Par la suite, de nombreuses entreprises européennes ont également partagé leur crainte vis-à-vis du projet en adressant une lettre à la Commission européenne. Ces entreprises, telles que Siemens et SAP[9], craignent notamment que ce texte les oblige à transmettre leurs secrets d’affaires, impactant fortement la compétitivité entre les entreprises européennes, mais également avec les groupes concurrents non-européens.

Clara Soriano, Avocate

Thomas Livenais, Avocat associé


[1] Communication de la commission au Parlement européen, au conseil, au comité économique et social européen et au comité des régions, COM/2020/66 final.

[2] Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), COM/2020/67 final.

[3] Règl. (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règl. (UE) 2018/1724, JOUE 2022, n° L 152.

[4] Proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données), COM/2022/68 final.

[5] Règl. (UE) 2022/868 du 30 mai 2022, art. 2 (11)

[6] Règl. (UE) 2022/868 du 30 mai 2022, art. 2 (16)

[7] Règl. (UE) 2022/868 du 30 mai 2022, art. 17

[8] https://www.iabfrance.com/actualite/data-act-lettre-commune-dune-coalition-dassociations-europeennes

[9] https://www.reuters.com/technology/siemens-sap-say-eu-draft-data-act-puts-trade-secrets-risk-2023-05-07/

D'autre articles