Explication de l’acte sur la gouvernance des données

Le potentiel économique et sociétal des données est énorme: elle peut permettre la mise en place de nouveaux produits et services fondés sur de nouvelles technologies, rendre la production plus efficace et fournir des outils pour relever les défis sociétaux. Dans le domaine de la santé, par exemple, les données peuvent contribuer à améliorer les soins de santé, à améliorer les traitements personnalisés et à aider à guérir les maladies rares ou chroniques. Il s'agit également d'un puissant moteur d'innovation et de création d'emplois, et d'une ressource essentielle pour les jeunes pousses et les PME.

Cependant, ce potentiel n'est pas réalisé. Le partage des données dans l’UE reste limité en raison d’un certain nombre d’obstacles (notamment la faible confiance dans le partage des données, les problèmes liés à la réutilisation des données du secteur public et à la collecte de données pour le bien commun, ainsi que les obstacles techniques).

Afin de véritablement tirer parti de cet énorme potentiel, il devrait être plus facile de partager les données de manière fiable et sécurisée.

L’acte sur la gouvernance des données est un instrument intersectoriel qui vise à réglementer la réutilisation des données publiques/détenues et protégées, en stimulant le partage de données par la réglementation de nouveaux intermédiaires de données et en encourageant le partage de données à des fins altruistes. Les données à caractère personnel et non personnel relèvent du champ d’application de la DGA et, en ce qui concerne les données à caractère personnel, le règlement général sur la protection des données (RGPD) s’applique. Outre le RGPD, des garanties intégrées renforceront la confiance dans le partage et la réutilisation des données, condition préalable à la mise à disposition d’un plus grand nombre de données sur le marché.

Réutilisation de certaines catégories de données détenues par des organismes du secteur public

Quels sont les principaux objectifs?

La directive sur les données ouvertes réglemente la réutilisation des informations accessibles au public détenues par le secteur public. Toutefois, le secteur public détient également de grandes quantités de données protégées (par exemple, des données à caractère personnel et des données commerciales confidentielles) qui ne peuvent pas être réutilisées en tant que données ouvertes, mais qui pourraient être réutilisées en vertu d’une législation spécifique de l’UE ou d’un État membre. De nombreuses connaissances peuvent être extraites de ces données sans compromettre leur nature protégée, et la DGA prévoit des règles et des garanties pour faciliter cette réutilisation chaque fois que cela est possible en vertu d’une autre législation.  

Comment cela fonctionne-t-il dans la pratique?

• Exigences techniques pour le secteur public: Les États membres devront être équipés sur le plan technique pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Il peut s’agir d’une série d’outils, allant de solutions techniques telles que l’anonymisation, la pseudonymisation ou l’accès aux données dans des environnements de traitement sécurisés (par exemple, des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l’organisme du secteur public et le réutiliseur.
• Assistance de l'organisme du secteur public: Si un organisme du secteur public ne peut pas accorder l’accès à certaines données en vue de leur réutilisation, il devrait aider le réutilisateur potentiel à obtenir le consentement de la personne concernée pour réutiliser ses données à caractère personnel ou l’autorisation du détenteur de données dont les droits ou intérêts peuvent être affectés par la réutilisation. En outre, les informations confidentielles (par exemple, les secrets d’affaires) ne peuvent être divulguées pour être réutilisées qu’avec ce consentement ou cette autorisation.
• Pour que davantage de données détenues par le public puissent être réutilisées, la DGA limite le recours à des accords exclusifs de réutilisation des données (par lesquels un organisme du secteur public accorde un tel droit exclusif à une entreprise) à des cas spécifiques d’intérêt public.
• Honoraires raisonnables: les organismes du secteur public peuvent percevoir des redevances pour permettre la réutilisation, pour autant que ces redevances n’excèdent pas les coûts nécessaires supportés. En outre, les organismes du secteur public devraient encourager la réutilisation à des fins de recherche scientifique et à d’autres fins non commerciales, ainsi que par les PME et les jeunes pousses, en réduisant voire en excluant la tarification.
• Un organisme du secteur public aura jusqu’à deux mois pour prendre une décision sur une demande de réutilisation.
• Les États membres peuvent choisir les organismes compétents qui soutiendront les organismes du secteur public accordant l’accès à la réutilisation, par exemple en fournissant à ces derniers un environnement de traitement sécurisé et en les conseillant sur la meilleure manière de structurer et de stocker les données afin de les rendre facilement accessibles.
• Afin d’aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres seront tenus de mettre en place un point d’information unique. La Commission a créé le registre européen des données protégées détenues par le secteur public (ERPD), un registre consultable des informations compilées par les points d’information uniques nationaux afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà.

Services d’intermédiation de données

Quels sont les principaux objectifs?

De nombreuses entreprises craignent actuellement que le partage de leurs données implique une perte d'avantage concurrentiel et représente un risque d'utilisation abusive. La DGA définit un ensemble de règles pour les fournisseurs de services d’intermédiation de données (appelés intermédiaires de données, tels que les places de marché de données) afin de garantir qu’ils fonctionneront en tant qu’organisateurs fiables de partage ou de mise en commun de données au sein des espaces européens communs de données. Afin d'accroître la confiance dans le partage des données, cette nouvelle approche propose un modèle basé sur la neutralité et la transparence des intermédiaires de données tout en donnant aux particuliers et aux entreprises le contrôle de leurs données.

Comment cela fonctionne-t-il dans la pratique?

Le cadre offre un modèle alternatif aux pratiques de traitement des données des plates-formes Big Tech, qui ont un degré élevé de pouvoir de marché parce qu'elles contrôlent de grandes quantités de données.

Dans la pratique, les intermédiaires de données fonctionneront comme des tiers neutres qui relient les particuliers et les entreprises aux utilisateurs de données. Bien qu'ils puissent facturer pour faciliter le partage de données entre les parties, ils ne peuvent pas utiliser directement les données qu'ils utilisent à des fins lucratives (par exemple en les vendant à une autre entreprise ou en les utilisant pour développer leur propre produit sur la base de ces données). Les intermédiaires de données devront se conformer à des exigences strictes pour garantir cette neutralité et éviter les conflits d’intérêts. Dans la pratique, cela signifie qu’il doit y avoir une séparation structurelle entre le service d’intermédiation de données et tout autre service fourni (c’est-à-dire qu’ils doivent être juridiquement séparés). En outre, les conditions commerciales (y compris la tarification) pour la fourniture de services d’intermédiation ne devraient pas dépendre de la question de savoir si un détenteur ou un utilisateur de données potentiel utilise d’autres services. Les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service d’intermédiation de données.

Les organisations autonomes fournissant uniquement des services d’intermédiation de données et les entreprises qui proposent des services d’intermédiation de données en plus d’autres services pourraient fonctionner en tant qu’intermédiaires de confiance. Dans ce dernier cas, l’activité d’intermédiation de données doit être strictement séparée, tant sur le plan juridique qu’économique, des autres services de données.

En vertu de la DGA, les intermédiaires de données seront tenus d’informer l’autorité compétente de leur intention de fournir de tels services. L’autorité compétente veillera à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence et confirmera que le prestataire de services d’intermédiation de données a soumis la notification contenant toutes les informations requises.

Dès réception d’une telle confirmation, l’intermédiaire de données peut légalement commencer à exploiter et utiliser le label «prestataire de services d’intermédiation de données reconnu dans l’Union» dans sa communication écrite et orale, ainsi que le logo commun. Ces autorités contrôleront également le respect des exigences en matière d’intermédiation de données et la Commission tiendra un registre central des intermédiaires de données reconnus.

Altruisme des données

Quels sont les principaux objectifs?

L’altruisme en matière de données concerne les personnes et les entreprises qui donnent leur consentement ou leur permission de mettre à disposition les données qu’elles génèrent – volontairement et sans récompense – pour les utiliser à des fins d’intérêt général. Ces données recèlent un énorme potentiel pour faire progresser la recherche et développer de meilleurs produits et services, notamment dans les domaines de la santé, de l'environnement et de la mobilité.

La recherche indique que si, en principe, il existe une volonté de s’engager dans l’altruisme en matière de données, dans la pratique, cela est entravé par un manque d’outils de partage des données. À ce titre, l’objectif de l’acte sur la gouvernance des données est de créer des outils fiables qui permettront de partager facilement les données dans l’intérêt de la société. Elle créera les conditions adéquates pour garantir aux particuliers et aux entreprises que, lorsqu’ils partagent leurs données, celles-ci seront traitées par des organisations de confiance fondées sur les valeurs et les principes de l’UE. Cela permettra la création de pools de données d’une taille suffisante pour permettre l’analyse des données et l’apprentissage automatique, y compris au-delà des frontières.

Comment cela fonctionne-t-il dans la pratique?

Les entités qui mettent à disposition des données pertinentes fondées sur l’altruisme en matière de données pourront s’enregistrer en tant qu’«organisations altruistes en matière de données reconnues dans l’Union». Ces entités doivent avoir un caractère non lucratif et répondre à des exigences de transparence, tout en offrant des garanties spécifiques pour protéger les droits et les intérêts des citoyens et des entreprises qui partagent leurs données. En outre, ils doivent se conformer au règlement (au plus tard 18 mois après son entrée en vigueur), qui fixera les exigences en matière d’information, les exigences techniques et de sécurité, les feuilles de route en matière de communication et les recommandations sur les normes d’interopérabilité. Le corpus réglementaire sera élaboré par la Commission, en étroite coopération avec les organisations altruistes en matière de données et d’autres parties prenantes concernées.

Les entités pourront utiliser le logo commun conçu à cette fin et choisir de figurer dans le registre public des organisations altruistes en matière de données. Un registre des organisations altruistes en matière de données reconnues au niveau de l’UE a été mis en place par la Commission, à des fins d’information.  

Un formulaire de consentement européen commun pour l’altruisme en matière de données permettra la collecte de données dans tous les États membres dans un format uniforme, en veillant à ce que ceux qui partagent leurs données puissent facilement donner et retirer leur consentement. Elle apportera également une sécurité juridique aux chercheurs et aux entreprises qui souhaitent utiliser des données fondées sur l’altruisme. Il s'agira d'une forme modulaire, qui pourra être adaptée aux besoins de secteurs et d'objectifs spécifiques.

Comité européen de l’innovation dans le domaine des données

Quels sont les principaux objectifs?

Comme le prévoit la DGA, la Commission a créé le comité européen de l’innovation dans le domaine des données (CEID) afin de faciliter le partage des bonnes pratiques, en particulier en ce qui concerne l’intermédiation des données, l’altruisme en matière de données et l’utilisation de données publiques qui ne peuvent être mises à disposition en tant que données ouvertes, ainsi que la hiérarchisation des normes d’interopérabilité intersectorielles.

Comment cela fonctionne-t-il dans la pratique?

L'EDIB comprend des représentants des entités suivantes:

• Autorités compétentes des États membres pour l’intermédiation des données
• Autorités compétentes des États membres en matière d’altruisme en matière de données
• le comité européen la protection des données
• le Contrôleur européen la protection des données
• l’Agence de l’Union européenne pour la cybersécurité (ENISA)
• la Commission européenne
• l’envoyé/représentant de l’UE pour les PME désigné(e) par le réseau d’envoyés pour les PME;
• d’autres représentants d’organismes compétents sélectionnés par la Commission au moyen d’un appel à experts.

La liste des membres de l’EDIB est disponible à l’adresse suivante:  Registre des groupes d’experts de la Commission et autres entités similaires (europa.eu).

L’EDIB aura le pouvoir de proposer des lignes directrices pour les espaces européens communs des données, par exemple sur la protection adéquate des transferts de données en dehors de l’Union.

Flux internationaux de données

Quels sont les principaux objectifs?

La stratégie européenne pour les données de février 2020 a reconnu l’importance d’une approche ouverte, mais affirmée, à l’égard des flux internationaux de données.

Les transferts internationaux de données peuvent libérer l’important potentiel socio-économique de la grande quantité de données générées au sein de l’UE, augmentant ainsi la compétitivité internationale de l’Union sur la scène mondiale, tout en contribuant à la croissance économique, ce qui est essentiel, en particulier dans l’ère de la reprise post-COVID.

Si la DGA joue un rôle clé dans le renforcement de l’autonomie stratégique ouverte de l’Union européenne, elle contribue également à instaurer la confiance dans les flux internationaux de données.

Comment cela fonctionne-t-il dans la pratique?

Alors que le RGPD a mis en place toutes les garanties nécessaires dans le contexte des données à caractère personnel, c’est grâce à la DGA que des garanties similaires existent pour les demandes d’accès des gouvernements de pays tiers dans le contexte des données à caractère non personnel.

Ces garanties concernent tous les scénarios et dispositions établis par la DGA, à savoir pour les données du secteur public, les services d’intermédiation de données et les constellations d’altruisme en matière de données. Le réutiliseur dans le pays tiers devra assurer le même niveau de protection des données en question que le niveau de protection garanti par le droit de l’Union, et accepter la juridiction de l’Union concernée.  

Si cela est jugé nécessaire, la Commission peut adopter des décisions d’adéquation supplémentaires pour le transfert de données publiques protégées en vue de leur réutilisation lorsqu’il s’agit d’une demande d’accès concernant des données à caractère non personnel provenant d’un pays tiers. Ces décisions d’adéquation seront similaires aux décisions d’adéquation relatives au transfert de données à caractère personnel en vertu du RGPD.

En outre, la DGA habilite la Commission à mettre des clauses contractuelles types à la disposition des organismes du secteur public et des réutilisateurs pour les scénarios dans lesquels des données du secteur public sont impliquées dans des transferts de données avec des pays tiers.