La loi sur la gouvernance des données expliquée

Le potentiel économique et sociétal des données est énorme: il peut permettre de nouveaux produits et services basés sur de nouvelles technologies, rendre la production plus efficace et fournir des outils pour lutter contre les défis sociétaux. Dans le domaine de la santé, par exemple, les données peuvent contribuer à améliorer les soins de santé, à améliorer les traitements personnalisés et à aider à guérir les maladies rares ou chroniques. Il s’agit également d’un puissant moteur d’innovation et de nouveaux emplois, et d’une ressource essentielle pour les jeunes pousses et les PME.

Cependant, ce potentiel n’est pas réalisé. Le partage des données dans l’UE reste limité en raison d’un certain nombre d’obstacles (notamment une faible confiance dans le partage des données, des problèmes liés à la réutilisation des données du secteur public et à la collecte de données pour le bien commun, ainsi que des obstacles techniques).

Afin de tirer pleinement parti de cet énorme potentiel, il devrait être plus facile de partager les données d’une manière fiable et sécurisée.

La loi sur la gouvernance des données (DGA) est un instrument intersectoriel qui vise à réglementer la réutilisation des données publiques/détenues et protégées, en stimulant le partage de données grâce à la réglementation des intermédiaires de données nouveaux et en encourageant le partage de données à des fins altruistes. Les données à caractère personnel et les données à caractère non personnel relèvent du champ d’application de la DGA et, en ce qui concerne les données à caractère personnel, le règlement général sur la protection des données (RGPD) s’applique. Outre le RGPD, les garanties intégrées renforceront la confiance dans le partage et la réutilisation des données, une condition préalable à la mise à disposition d’un plus grand nombre de données sur le marché.

Réutilisation de certaines catégories de données détenues par des organismes du secteur public

Quels sont les objectifs clés?

La directive sur les données ouvertes réglemente la réutilisation des informations publiques/disponibles détenues par le secteur public. Toutefois, le secteur public détient également de vastes quantités de données protégées (par exemple, des données à caractère personnel et des données commerciales confidentielles) qui ne peuvent pas être réutilisées en tant que données ouvertes, mais qui pourraient être réutilisées en vertu d’une législation européenne ou nationale spécifique. Une richesse de connaissances peut être extraite de ces données sans compromettre leur nature protégée, et la DGA prévoit des règles et des garanties pour faciliter cette réutilisation chaque fois que cela est possible en vertu d’une autre législation.  

Comment fonctionne-t-il dans la pratique?

• Exigences techniques pour le secteur public: Les États membres devront être équipés sur le plan technique pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Cela peut inclure une gamme d’outils, allant de solutions techniques, telles que l’anonymisation, la pseudonymisation ou l’accès aux données dans des environnements de traitement sécurisés (par exemple des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l’organisme du secteur public et le réutilisateur.
• Assistance de l’organisme du secteur public: Si un organisme du secteur public ne peut pas accorder l’accès à certaines données aux fins de réutilisation, il devrait aider le réutilisateur potentiel à solliciter le consentement de la personne concernée pour réutiliser ses données à caractère personnel ou l’autorisation du titulaire des données dont les droits ou les intérêts peuvent être affectés par la réutilisation. En outre, les informations confidentielles (par exemple, les secrets d’affaires) ne peuvent être divulguées aux fins de réutilisation qu’avec un tel consentement ou autorisation.
• Pour disposer encore plus de données publiques en vue de leur réutilisation, la DGA limite le recours à des accords exclusifs de réutilisation des données (où un organisme du secteur public accorde un tel droit exclusif à une entreprise) à des cas spécifiques d’intérêt public.
• Honoraires raisonnables: les organismes du secteur public peuvent facturer des redevances pour permettre la réutilisation tant que ces redevances n’excèdent pas les coûts nécessaires encourus. En outre, les organismes du secteur public devraient encourager la réutilisation à des fins de recherche scientifique et à d’autres fins non commerciales, ainsi que par les PME et les jeunes entreprises, en réduisant ou même en excluant la tarification.
• Un organisme du secteur public disposera d’un délai maximal de deux mois pour prendre une décision sur une demande de réutilisation.
• Les États membres peuvent choisir quels organismes compétents soutiendront les organismes du secteur public qui accordent l’accès à la réutilisation, par exemple en leur fournissant un environnement de traitement sécurisé et en les conseillant sur la meilleure façon de structurer et de stocker les données afin de les rendre facilement accessibles.
• Pour aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres seront tenus de mettre en place un point d’information unique. La Commission a créé le registre européen des données protégées détenu par le secteur public (ERPD), un registre consultable des informations compilées par les points d’information uniques nationaux afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà.

Exemples

• L’autorité finlandaise chargée des autorisations en matière de données sociales et de santé, Findata, traite les demandes et accorde l’accès aux données en vue de leur réutilisation. Les sources de données de Findata sont l’institution d’assurance sociale, le registre des pensions et le registre de la population.
• La société française DAMAE Medical améliore sa technologie LC-OCT (Line-field Confocal Optical Coherence Tomography) qui donne accès à l’imagerie de résolution cellulaire des microstructures internes de la peau jusqu’au derme, immédiatement et non invasivement avec de nouvelles données de formation mises à disposition par l’intermédiaire du French Health Data Hub. L’objectif du projet est d’améliorer la capacité de cette technologie à mieux identifier les signes potentiels de cancer de la peau et à mieux délimiter la zone d’intervention chirurgicale.

Services d’intermédiation de données

Quels sont les objectifs clés?

De nombreuses entreprises craignent actuellement que le partage de leurs données entraîne une perte d’avantage concurrentiel et représente un risque d’utilisation abusive. La DGA définit un ensemble de règles pour les fournisseurs de services d’intermédiation de données (appelés intermédiaires de données, tels que les marchés de données) afin de garantir qu’ils fonctionneront en tant qu’organisateurs dignes de confiance du partage ou de la mise en commun de données au sein des espaces européens communs de données. Afin d’accroître la confiance dans le partage de données, cette nouvelle approche propose un modèle basé sur la neutralité et la transparence des intermédiaires de données tout en mettant les individus et les entreprises au contrôle de leurs données.

Comment fonctionne-t-il dans la pratique?

Le cadre offre un modèle alternatif aux pratiques de traitement des données des plateformes Big Tech, qui ont un haut degré de pouvoir de marché parce qu’elles contrôlent de grandes quantités de données.

Dans la pratique, les intermédiaires de données fonctionneront comme des tiers neutres qui mettront en relation des individus et des entreprises avec des utilisateurs de données. Bien qu’elles puissent facturer pour faciliter le partage des données entre les parties, ellesne peuvent pas utiliser directement les données qu’elles intermédiaires à des fins de profit financier (par exemple, en les vendant à une autre société ou en les utilisant pour développer leur propre produit sur la base de ces données). Les intermédiaires de données devront se conformer à des exigences strictes pour garantir cette neutralité et éviter les conflits d’intérêts. Dans la pratique, cela signifie qu’il doit y avoir une séparation structurelle entre le service d’intermédiation de données et tout autre service fourni (c’est-à-dire qu’ils doivent être légalement séparés). En outre, les conditions commerciales (y compris la tarification) pour la fourniture de services d’intermédiation ne devraient pas dépendre de la question de savoir si un détenteur potentiel de données ou un utilisateur de données utilise d’autres services. Toutes les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service d’intermédiation de données.

Tant les organisations autonomes fournissant uniquement des services d’intermédiation de données que les entreprises qui offrent des services d’intermédiation de données en plus d’autres services pourraient fonctionner comme des intermédiaires de confiance. Dans ce dernier cas, l’activité d’intermédiation de données doit être strictement séparée, tant sur le plan juridique qu’économique, des autres services de données.

Dans le cadre de la DGA, les intermédiaires de données seront tenus d’informer l’autorité compétente de leur intention de fournir ces services. L’autorité compétente veillera à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence et confirmera que le prestataire de services d’intermédiation de données a soumis la notification contenant toutes les informations requises.

Dès réception d’une telle confirmation, l’intermédiaire de données peut légalement commencer à exploiter et à utiliser le label «prestataire de services d’intermédiation de données reconnu dans l’Union» dans sa communication écrite et orale, ainsi que le logo commun. Ces autorités surveilleront également le respect des exigences en matière d’intermédiation de données et la Commission tiendra un registre central des intermédiaires de données reconnus.

Exemples

Avec son Data Intelligence Hub, Deutsche Telekom offre un marché de données dans lequel les entreprises peuvent gérer, fournir et monétiser en toute sécurité des informations de bonne qualité, par exemple des données de production, afin d’optimiser les processus ou l’ensemble des chaînes de valeur. Telekom joue un rôle de fiduciaire neutre et garantit la souveraineté des données grâce à une gestion décentralisée des données. Actuellement, plus de 1000 utilisateurs de plus de 100 entreprises différentes sont actifs sur la plateforme.

Dawex est une société française qui se décrit comme un «marché mondial des données».  Dawex n’achète pas ou ne vend pas de données mais rassemble des entreprises intéressées par la monétisation et la réutilisation des données, et favorise la transparence entre les fournisseurs de données et les utilisateurs en s’assurant qu’ils communiquent et effectuent la transaction directement sur sa plateforme. Dawex a développé une série d’outils pour aider les fournisseurs de données et les utilisateurs à comprendre, évaluer et communiquer sur les données. Les outils de visualisation (par exemple, les cartes thermiques, les cartes arborescentes) fournissent aux utilisateurs de données différentes des informations sur un ensemble de données complet qui peuvent être partagés en toute sécurité avant qu’une transaction ne soit terminée. Les outils d’échantillonnage génèrent automatiquement des échantillons de données représentatifs basés sur des algorithmes pour éviter tout biais. Les utilisateurs de données et les fournisseurs de données communiquent à l’aide d’un outil de messagerie intégré à la plateforme. En outre, Dawex soutient la négociation de l’accord contractuel par des conditions types qui peuvent être générées automatiquement.

API-AGRO est un hub de partage de données agricoles qui utilise la technologie Dawex. Cette technologie favorise un écosystème agricole impliquant de nombreux acteurs et un intermédiaire neutre (la plateforme Api-Agro) où il existe une séparation claire entre le rôle d’intermédiation et d’autres activités liées à l’utilisation des données. API-Agro ne monétise pas les données, mais fonctionne comme un tiers neutre qui connecte les détenteurs de données et les utilisateurs de données.

Altruisme des données

Quels sont les objectifs clés?

L’altruisme en matière de données concerne les individus et les entreprises qui donnent leur consentement ou la permission de mettre à disposition des données qu’ils génèrent — volontairement et sans récompense — pour être utilisés dans l’intérêt public. Ces données ont un potentiel énorme pour faire progresser la recherche et développer de meilleurs produits et services, y compris dans les domaines de la santé, de l’environnement et de la mobilité.

La recherche indique que, bien qu’il existe en principe une volonté de s’engager dans l’altruisme des données, dans la pratique, cela est entravé par un manque d’outils de partage de données. En tant que tel, l’objectif de la loi sur la gouvernance des données est de créer des outils de confiance qui permettront de partager facilement les données au profit de la société. Il créera les bonnes conditions pour garantir aux particuliers et aux entreprises que lorsqu’ils partageront leurs données, elles seront gérées par des organisations de confiance sur la base des valeurs et des principes de l’UE. Cela permettra de créer des pools de données d’une taille suffisante pour permettre l’analyse des données et l’apprentissage automatique, y compris au-delà des frontières.

Comment fonctionne-t-il dans la pratique?

Les entités qui mettent à disposition des données pertinentes fondées sur l’altruisme en matière de données pourront s’enregistrer en tant qu’«organisations altruistes de données reconnues dans l’Union». Ces entités doivent avoir un caractère sans but lucratif, répondre aux exigences de transparence et offrir des garanties spécifiques pour protéger les droits et les intérêts des citoyens et des entreprises qui partagent leurs données. En outre, ils doivent respecter le règlement (au plus tard 18 mois après son entrée en vigueur), qui établira les exigences en matière d’information, les exigences techniques et de sécurité, les feuilles de route de communication et les recommandations sur les normes d’interopérabilité. Le règlement sera élaboré par la Commission, en étroite coopération avec les organisations altruistes en matière de données et d’autres parties prenantes concernées.

Les entités pourront utiliser le logo commun conçu à cette fin et pourront choisir d’être inscrites au registre public des organisations altruistes en matière de données. La Commission établira, à titre d’information, un registre des organisations altruistes reconnues en matière de données au niveau de l’UE.  

Un formulaire de consentement européen commun pour l’altruisme en matière de données permettra la collecte de données entre les États membres dans un format uniforme, garantissant que ceux qui partagent leurs données peuvent facilement donner et retirer leur consentement. Elle apportera également une sécurité juridique aux chercheurs et aux entreprises qui souhaitent utiliser des données basées sur l’altruisme. Il s’agira d’une forme modulaire, qui pourra être adaptée aux besoins de secteurs et d’objectifs spécifiques.

Exemples

MyData Global a pour objectif «d’habiliter les individus en améliorant leur droit à l’autodétermination concernant leurs données personnelles». Bien que l’objectif global s’étende au-delà de l’altruisme en matière de données, l’organisation fournit une interface de confiance permettant aux membres de donner leur consentement à l’utilisation de leurs données personnelles à des fins spécifiques.

La plate-forme Smart Citizen permet aux citoyens de partager des données sur les niveaux de bruit et la pollution dans leur maison, collectées à l’aide de capteurs. Cela fournit de l’information essentielle pour cartographier le bruit et la qualité de l’air, et pour que les chercheurs et les gouvernements élaborent des solutions ciblées à ces problèmes.

L’application allemande Corona-Datenspende-App a été mise en place pour collecter des données (par exemple, fréquence cardiaque, température corporelle, pression artérielle, habitudes de sommeil) à partir de bracelets de fitness et de montres intelligentes. En surveillant ces données, les chercheurs pourraient identifier à un stade précoce d’éventuels points chauds de la Covid-19.

Conseil européen de l’innovation en matière de données

Quels sont les objectifs clés?

Comme le prévoit la DGA, la Commission a créé le comité européen de l’innovation en matière de données (European Data Innovation Board — EDIB) afin de faciliter le partage des bonnes pratiques, en particulier en ce qui concerne l’intermédiation des données, l’altruisme en matière de données et l’utilisation de données publiques qui ne peuvent pas être mises à disposition en tant que données ouvertes, ainsi que sur la hiérarchisation des normes d’interopérabilité intersectorielles.

Comment fonctionne-t-il dans la pratique?

L’EDIB comprend des représentants des entités suivantes:

• Autorités compétentes des États membres pour l’intermédiation de données
• Autorités compétentes des États membres pour l’altruisme en matière de données
• le comité européen de la protection des données
• le Contrôleur européen de la protection des données
• Agence de l’Union européenne pour la cybersécurité (ENISA)
• la Commission européenne
• L’Envoyé/représentant des PME de l’UE nommé par le réseau des envoyés des PME
• autres représentants des organismes compétents sélectionnés par la Commission dans le cadre d’un appel à experts.

La liste des membres de l’EDIB est disponible ici:  Registre des groupes d’experts de la Commission et autres entités similaires (europa.eu).

Edib aura le pouvoir de proposer des lignes directrices pour des espaces européens communs de données, par exemple sur la protection adéquate des transferts de données en dehors de l’Union.

Flux internationaux de données

Quels sont les objectifs clés?

La stratégie européenne pour les données de février 2020 a reconnu l’importance d’avoir une approche ouverte, mais affirmée à l’égard des flux de données internationaux.

Les transferts internationaux de données peuvent libérer l’important potentiel socio-économique de la grande quantité de données générées au sein de l’UE, augmentant ainsi la compétitivité internationale de l’Union sur la scène mondiale, tout en contribuant à la croissance économique, qui est cruciale en particulier à l’ère de la reprise post-COVID.

Si la DGA joue un rôle clé dans le renforcement de l’autonomie stratégique ouverte de l’Union européenne, elle contribue également à créer la confiance dans les flux internationaux de données.

Comment fonctionne-t-il dans la pratique?

Alors que le RGPD a mis en place toutes les garanties nécessaires dans le contexte des données à caractère personnel, c’est grâce à la DGA qu’il existe des garanties similaires pour les demandes d’accès émanant de pays tiers dans le cadre de données à caractère non personnel.

Ces garanties concernent tous les scénarios et dispositions prévus par la DGA, à savoir les données du secteur public, les services d’intermédiation de données et les constellations d’altruisme de données. Le réutilisateur dans le pays tiers devra assurer le même niveau de protection à l’égard des données en question que le niveau de protection garanti par le droit de l’UE, ainsi que la juridiction de l’UE concernée.  

Si elle le juge nécessaire, la Commission peut adopter des décisions supplémentaires d’adéquation pour le transfert de données publiques protégées aux fins de réutilisation lorsqu’il s’agit d’une demande d’accès à des données à caractère non personnel provenant d’un pays tiers. Ces décisions d’adéquation seront similaires aux décisions d’adéquation relatives au transfert de données à caractère personnel dans le cadre du RGPD.

En outre, la DGA habilite la Commission à mettre à la disposition des organismes du secteur public et des réutilisateurs des clauses types de contrats pour les scénarios dans lesquels des données du secteur public sont impliquées dans des transferts de données avec des pays tiers.