Skip to main content
Bâtir l’avenir numérique de l’Europe

Loi sur la gouvernance des données expliquée

La Loi sur la gouvernance des données fournit un cadre pour renforcer la confiance dans le partage volontaire des données dans l’intérêt des entreprises et des citoyens.

© image by peshkov - Getty Images/iStock

Le potentiel économique et sociétal des données est énorme: il peut permettre de nouveaux produits et services basés sur de nouvelles technologies, rendre la production plus efficace et fournir des outils pour lutter contre les défis sociétaux. Dans le domaine de la santé, par exemple, les données peuvent contribuer à améliorer les soins de santé, à améliorer les traitements personnalisés et à aider à guérir les maladies rares ou chroniques. C’est aussi un puissant moteur d’innovation et de création d’emplois, et une ressource essentielle pour les start-ups et les PME.

Cependant, ce potentiel n’est pas réalisé. Le partage des données dans l’UE reste limité en raison d’un certain nombre d’obstacles (notamment une faible confiance dans le partage des données, des problèmes liés à la réutilisation des données du secteur public et à la collecte de données pour le bien commun, ainsi que des obstacles techniques).

Afin de tirer véritablement parti de cet énorme potentiel, il faut disposer d’un plus grand nombre de données, partagées en toute confiance et facilement réutilisables sur le plan technique.

La loi sur la gouvernance des données (DGA) est un instrument intersectoriel qui vise à rendre plus de données disponibles en réglementant la réutilisation des données publiques/détenues et protégées, en stimulant le partage des données par la réglementation de nouveaux intermédiaires de données et en encourageant le partage des données à des fins altruistes. Les données à caractère personnel et les données à caractère non personnel relèvent du champ d’application de la DGA et, lorsqu’il s’agit de données à caractère personnel, le règlement général sur la protection des données (RGPD) s’applique. Outre le RGPD, les garanties intégrées renforceront la confiance dans le partage et la réutilisation des données, condition préalable à la mise à disposition d’un plus grand nombre de données sur le marché.

Réutilisation de certaines catégories de données détenues par des organismes du secteur public

Quels sont les objectifs clés?

La directive sur les données ouvertes réglemente la réutilisation des informations publiques/disponibles détenues par le secteur public. Toutefois, le secteur public détient également de grandes quantités de données protégées (par exemple, des données à caractère personnel et des données confidentielles sur le plan commercial) qui ne peuvent pas être réutilisées en tant que données ouvertes, mais qui pourraient être réutilisées en vertu d’une législation spécifique de l’UE ou nationale. Une mine de connaissances peut être extraite de ces données sans compromettre leur nature protégée, et la DGA prévoit des règles et des garanties pour faciliter cette réutilisation chaque fois que cela est possible en vertu d’autres législations.  

Comment cela fonctionne-t-il dans la pratique?

  • Exigences techniques pour le secteur public: Les États membres devront être techniquement équipés pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Cela peut inclure une gamme d’outils, allant de solutions techniques, telles que l’anonymisation, la pseudonymisation ou l’accès aux données dans des environnements de traitement sécurisés (par exemple, des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l’organisme du secteur public et le réutilisateur.
  • Assistance de l’organisme du secteur public: Si un organisme du secteur public ne peut pas accorder l’accès à certaines données à des fins de réutilisation, il devrait aider le réutilisateur potentiel à demander le consentement de la personne à réutiliser ses données à caractère personnel) ou l’autorisation du titulaire des données dont les droits ou intérêts peuvent être affectés par la réutilisation. En outre, des informations confidentielles (par exemple des secrets d’affaires) ne peuvent être divulguées envue d’une réutilisation qu’avec ce consentement ou cette autorisation.
  • Pour disposer encore plus de données publiques aux fins de réutilisation, la DGA limite le recours aux accords exclusifs de réutilisation des données (où un organisme du secteur public accorde un tel droit exclusif à une entreprise) à des cas spécifiques d’intérêt public.
  • Frais raisonnables: les organismes du secteur public peuvent percevoir des redevances pour autoriser la réutilisation tant que ces redevances n’excèdent pas les coûts nécessaires encourus. En outre, les organismes du secteur public devraient encourager la réutilisation à des fins de recherche scientifique et à d’autres fins non commerciales, ainsi que par les PME et les jeunes entreprises, en réduisant ou même en excluant la tarification.
  • Un organisme du secteur public disposera d’un délai maximum de deux mois pour prendre une décision sur une demande de réutilisation.
  • Les États membres peuvent choisir les organismes compétents qui soutiendront les organismes du secteur public qui accordent l’accès à la réutilisation, par exemple en leur fournissant un environnement de traitement sécurisé et en les conseillant sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles.
  • Afin d’aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres seront tenus de mettre en place un point d’information unique. La Commission créera un point d’accès unique européen (avec un registre consultable des informations compilées par des points d’information uniques nationaux) afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà.

Exemples

  • Findata traite les demandes et accorde l’ accès aux données en vue de leur réutilisation. Des exemples de sources de données de Findata sont l’institution d’assurance sociale, le registre des pensions et le registre de la population.
  • La société française DAMAE Medical améliore sa technologie LC-OCT (Line-field Confocal Optical Coherence Tomography) qui donne accès à l’imagerie de résolution cellulaire des microstructures internes de la peau jusqu’au derme, immédiatement et non invasivement avec de nouvelles données de formation mises à disposition par le biais du Health Data Hub. L’objectif du projet est d’améliorer la capacité de cette technologie à mieux identifier les signes potentiels de cancer de la peau et à mieux délimiter la zone d’intervention chirurgicale.

Services d’intermédiation de données

Quels sont les objectifs clés?

De nombreuses entreprises craignent actuellement que le partage de leurs données entraîne une perte d’avantage concurrentiel et représente un risque d’abus. La DGA définit un ensemble de règles pour les fournisseurs de services d’intermédiation de données (appelés intermédiaires de données, tels que les marchés de données) afin de garantir qu’ils fonctionneront en tant qu’organisateurs fiables de partage ou de mutualisation des données au sein des espaces de données européens communs. Afin de renforcer la confiance dans le partage des données, cette nouvelle approche propose un modèle basé sur la neutralité et la transparence des intermédiaires de données tout en mettant les particuliers et les entreprises en contrôle de leurs données.

Comment cela fonctionne-t-il dans la pratique?

Le cadre offre un modèle alternatif aux pratiques de traitement des données des plates-formes Big Tech, qui ont un haut degré de puissance sur le marché parce qu’elles contrôlent de grandes quantités de données.

Dans la pratique, les intermédiaires de données fonctionneront comme des tiers neutres qui mettront en relation des individus et des entreprises d’un côté avec des utilisateurs de données de l’autre. Ils ne peuvent pas monétiser les données (par exemple en les vendant à une autre entreprise ou en les utilisant pour développer leur propre produit sur la base de ces données) et devront se conformer à des exigences strictes pour assurer cette neutralité et éviter les conflits d’intérêts. Dans la pratique, cela signifie qu’il doit y avoir une séparation structurelle entre le service d’ intermédiation de données et tous les autres services fournis (c’est-à-dire qu’ils doivent être séparés légalement). En outre, les conditions commerciales (y compris la tarification) de la fourniture de services d’intermédiation ne devraient pas dépendre de la question de savoir si un détenteur de données ou un utilisateur potentiel de données utilise d’autres services. Toutes les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service d’intermédiation de données.

Tant les organisations autonomes qui fournissent des services d’intermédiation de données que les entreprises qui offrent des services d’intermédiation de données en plus d’autres services pourraient fonctionner comme des intermédiaires de confiance. Dans ce dernier cas, l’activité d’intermédiation de données doit être strictement séparée, tant sur le plan juridique qu’économique, des autres services de données.

En vertu de la DGA, les intermédiaires de données seront tenus de notifier à l’autorité compétente leur intention de fournir de tels services. L’autorité compétente veillera à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence et confirmera que le fournisseur de services d’intermédiation de données a soumis la notification contenant toutes les informations requises.

Dès réception d’une telle confirmation, l’intermédiaire de données peut légalement commencer à exploiter et à utiliser l’étiquette «fournisseur de services d’intermédiation de données reconnu dans l’Union» dans sa communication écrite et orale, ainsi que le logo commun. Ces autorités contrôleront également le respect des exigences en matière d’intermédiation de données et la Commission tiendra un registre central des intermédiaires de données.

Exemples

Avec son Data Intelligence Hub, Deutsche Telekom offre un marché de données sur lequel les entreprises peuvent gérer, fournir et monétiser en toute sécurité des informations de bonne qualité, par exemple des données de production, afin d’optimiser les processus ou les chaînes de valeur entières. Telekom assume le rôle de mandataire neutre et garantit la souveraineté des données grâce à une gestion décentralisée des données. Actuellement, plus de 1 000 utilisateurs de plus de 100 entreprises différentes sont actifs sur la plateforme.

Dawex est une société française qui se décrit comme un «marché mondial des données».  Dawex n’achète pas ou ne vend pas de données, mais rassemble des entreprises intéressées par la monétisation et la réutilisation des données, et favorise la transparence entre les fournisseurs de données et les utilisateurs en s’assurant qu’ils communiquent et effectuent la transaction directement sur sa plateforme. Dawex a développé une série d’outils pour aider les fournisseurs de données et les utilisateurs à comprendre, évaluer et communiquer sur les données. Les outils de visualisation (par exemple, cartes thermiques, cartes d’arbres) fournissent aux utilisateurs de données différentes des informations sur un ensemble de données complet qui peuvent être partagées en toute sécurité avant la fin d’une transaction. Les outils d’échantillonnage génèrent automatiquement des échantillons de données représentatifs basés sur des algorithmes pour éviter tout biais. Les utilisateurs de données et les fournisseurs de données communiquent à l’aide d’un outil de messagerie intégré dans la plateforme. En outre, Dawex soutient la négociation de l’accord contractuel par des conditions types qui peuvent être générées automatiquement.

API-AGRO est un hub de partage de données agricoles qui utilise la technologie Dawex. Cette technologie favorise un écosystème agricole impliquant de nombreux acteurs et un intermédiaire neutre (la plateforme Api-Agro) où il existe une séparation claire entre le rôle d’intermédiation et les autres activités liées à l’utilisation des données. API-Agro ne monétise pas les données, mais fonctionne comme un tiers neutre qui connecte les détenteurs de données et les utilisateurs de données.

Altruisme des données

Quels sont les objectifs clés?

L’altruisme des données concerne les individus et les entreprises qui donnent leur consentement ou la permission de mettre à disposition des données qu’elles génèrent — volontairement et sans récompense — pour être utilisées dans l’intérêt public. Ces données ont un potentiel énorme pour faire progresser la recherche et développer de meilleurs produits et services, y compris dans les domaines de la santé, de l’environnement et de la mobilité.

La recherche indique qu’en principe, il existe une volonté de s’engager dans l’altruisme des données, mais dans la pratique, cela est entravé par le manque d’outils de partage de données. En tant que tel, l’objectif de la Loi sur la gouvernance des données est de créer des outils fiables qui permettront de partager facilement les données au profit de la société. Il créera les conditions appropriées pour assurer aux particuliers et aux entreprises que lorsqu’ils partageront leurs données, ils seront gérés par des organisations de confiance fondées sur les valeurs et les principes de l’UE. Cela permettra de créer des pools de données d’une taille suffisante pour permettre l’analyse des données et l’apprentissage automatique, y compris au-delà des frontières.

Comment cela fonctionne-t-il dans la pratique?

Les entités qui mettent à disposition des données pertinentes fondées sur l’altruisme en matière de données pourront s’enregistrer en tant qu’«organisations altruistes de données reconnues dans l’Union». Ces entités doivent avoir un caractère non lucratif et répondre aux exigences de transparence et offrir des garanties spécifiques pour protéger les droits et les intérêts des citoyens et des entreprises qui partagent leurs données. En outre, ils doivent se conformer au règlement (au plus tard 18 mois après son entrée en vigueur), qui définira les exigences en matière d’information, les exigences techniques et de sécurité, les feuilles de route de communication et les recommandations sur les normes d’interopérabilité. Le règlement sera élaboré par la Commission, en étroite coopération avec les organisations altruistes en matière de données et d’autres parties prenantes concernées.

Les entités pourront utiliser le logo commun conçu à cette fin et pourront choisir d’être incluses dans le registre public des organisations d’altruisme de données. Un registre au niveau de l’UE des organisations reconnues de données et d’altruismes sera mis en place par la Commission, à des fins d’information.  

Un formulaire de consentement européen commun pour l’altruisme en matière de données permettra la collecte de données dans tous les États membres sous un format uniforme, garantissant que ceux qui partagent leurs données pourront facilement donner et retirer leur consentement. Elle apportera également une sécurité juridique aux chercheurs et aux entreprises qui souhaitent utiliser des données fondées sur l’altruisme. Il s’agira d’une forme modulaire, qui pourra être adaptée aux besoins de secteurs et d’objectifs spécifiques.

Exemples

MyData Global vise à «habiliter les individus en améliorant leur droit à l’autodétermination en ce qui concerne leurs données personnelles». Bien que l’objectif général s’étend au-delà de l’altruisme des données, l’organisation fournit une interface de confiance permettant aux membres de donner leur consentement à l’utilisation de leurs données personnelles à des fins spécifiques.

La plateforme Smart Citizen permet aux citoyens de partager des données sur les niveaux de bruit et la pollution dans leur maison collectées par le biais de capteurs. Cela fournit des informations essentielles pour cartographier le bruit et la qualité de l’air, et pour les chercheurs et les gouvernements d’élaborer des solutions ciblées à ces problèmes.

L’application allemande Corona-Datenspende-App a été conçue pour collecter des données (par exemple, fréquence cardiaque, température corporelle, pression artérielle, habitudes de sommeil) à partir de bracelets de fitness et de montres intelligentes. En surveillant ces données, les chercheurs ont pu identifier à un stade précoce les points chauds possibles de la COVID-19.

Conseil européen de l’innovation en matière de données

Quels sont les objectifs clés?

Comme le prévoit la DGA, la Commission établira le comité européen de l’innovation en matière de données (IBED) afin de faciliter le partage des bonnes pratiques, notamment en ce qui concerne l’intermédiation des données, l’altruisme des données et l’utilisation de données publiques qui ne peuvent être mises à disposition en tant que données ouvertes, ainsi que la hiérarchisation des normes d’interopérabilité intersectorielles.

Comment cela fonctionne-t-il dans la pratique?

L’EDIB sera composé de représentants des entités suivantes:

  • Autorités compétentes des États membres en matière d’intermédiation de données
  • Autorités compétentes des États membres en matière d’altruisme en matière de données
  • le comité européen de la protection des données
  • le Contrôleur européen de la protection des données
  • Agence de l’Union européenne pour la cybersécurité (ENISA)
  • la Commission européenne
  • L’envoyé pour les PME/représentant de l’UE nommé par le réseau d’envoyés pour les PME
  • autres représentants des organes compétents (la Commission lancera un appel à experts à cette fin)

Il fonctionnera à travers au moins trois sous-groupes:

  1. un sous-groupe composé de représentants des autorités compétentes des États membres,
  2. un sous-groupe de discussions techniques sur la normalisation, la portabilité et l’interopérabilité, et
  3. un sous-groupe pour la participation des parties prenantes.

Exemples

L’EDIB aura le pouvoir de proposer des orientations pour des espaces européens communs de données, par exemple en ce qui concerne la protection adéquate des transferts de données en dehors de l’Union.

Flux internationaux de données

Quels sont les objectifs clés?

La stratégie européenne pour les données de février 2020 a reconnu l’importance d’adopter une approche ouverte, mais affirmée, à l’égard des flux internationaux de données.

Les transferts internationaux de données peuvent libérer le potentiel socio-économique important de la grande quantité de données générées au sein de l’UE, augmentant ainsi la compétitivité internationale de l’Union sur la scène mondiale, tout en contribuant à la croissance économique, ce qui est crucial, en particulier dans l’ère de la reprise post-COVID.

Si la DGA joue un rôle clé dans le renforcement de l’autonomie stratégique ouverte de l’Union européenne, elle contribue également à instaurer la confiance dans les flux internationaux de données.

Comment cela fonctionne-t-il dans la pratique?

Alors que le RGPD a mis en place toutes les garanties nécessaires dans le contexte des données à caractère personnel, c’est grâce à la DGA qu’il existe des garanties similaires pour les demandes d’accès de pays tiers dans le contexte des données à caractère non personnel.

Ces garanties concernent tous les scénarios et dispositions établis par la DGA, à savoir les données du secteur public, les services d’intermédiation de données et les constellations d’altruisme des données. Le réutilisateur dans le pays tiers devra assurer le même niveau de protection en ce qui concerne les données en question que le niveau de protection garanti par le droit de l’Union, et accepter la juridiction de l’UE concernée.  

Si cela est jugé nécessaire, la Commission peut adopter des décisions d’adéquation supplémentaires pour le transfert de données publiques protégées en vue de leur réutilisation lorsqu’il s’agit d’une demande d’accès concernant des données à caractère non personnel en provenance d’un pays tiers. Ces décisions d’adéquation seront similaires aux décisions d’adéquation liées au transfert de données à caractère personnel en vertu du RGPD.

En outre, la DGA habilite la Commission à mettre à la disposition des organismes du secteur public et des réutilisateurs des clauses types de contrats pour les scénarios dans lesquels des données du secteur public sont impliquées dans des transferts de données avec des pays tiers.

Contenu associé

Vue d’ensemble

Loi européenne sur la gouvernance des données

Un acte européen sur la gouvernance des données, qui est pleinement conforme aux valeurs et aux principes de l’UE, apportera des avantages considérables aux citoyens et aux entreprises de l’UE.