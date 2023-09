"C'est une étape importante dans la construction d'un marché unique européen des données", a déclaré le commissaire européen Thierry Breton à propos de l'entrée en vigueur le 24 septembre du Data Governance Act (DGA). Adopté en mai 2022, ce texte s'inscrit dans le cadre de la stratégie européenne de la donnée présentée par la Commission européenne en février 2020 et qui vise à favoriser le partage de données personnelles et non personnelles via des structures d'intermédiation.

Exploiter le potentiel des données

Comme l'explique l'exécutif bruxellois, la quantité de données générées par les organismes publics, les entreprises et les citoyens ne cesse de croître. Elle devrait être multipliée par cinq entre 2018 et 2025. Correctement exploitées, ces données possèdent un potentiel économique énorme : elles permettent de créer de nouveaux produits et services technologiques. Or, pour relever ce défi, les entreprises doivent pouvoir accéder aux données facilement. D'où la nécessité d'instaurer un cadre qui harmonise les pratiques de chaque Etat membre de l'Union européenne.



Tout d'abord, le règlement organise la réutilisation de "certaines données protégées" détenues par des organismes du secteur public. Il s'agit d'informations protégées pour des motifs de confidentialité commerciale, de secret statistique, de protection des droits de propriété intellectuelle ou encore parce qu'il s'agit de données personnelles au sens du Règlement général sur la protection des données (RGPD).



Les organismes du secteur public, compétents pour octroyer ou refuser l'accès aux données, doivent rendre publiques la procédure et les conditions d'autorisation de cette réutilisation. Ces conditions doivent être "non discriminatoires, transparentes, proportionnées et objectivement justifiées". Par ailleurs, ils doivent veiller à ce que le caractère protégé des données soit préservé.



Ils doivent user de techniques visant à rendre impossible toute identification de la personne physique par quelque moyen que ce soit et de manière irréversible. De plus, l'accès et la réutilisation des données doivent se faire dans "un environnement de traitement sécurisé (…) dans le respect des normes de sécurité élevées".

L'interdiction des accords d'exclusivité

En outre, par principe, le texte interdit les accords d'exclusivité par lesquels des organismes octroient des droits d'exclusivité qui restreignent la disponibilité des données. Seule exception : lorsque le droit d'exclusivité est nécessaire à "la fourniture d'un service ou d'un produit d'intérêt général" qui, sans cela, ne pourrait être obtenue. La durée de cette exclusivité ne doit alors pas dépasser 12 mois.



Le règlement indique par ailleurs que les organismes publics qui autorisent la réutilisation des données peuvent percevoir des redevances. Elles devront être "transparentes, non discriminatoires, proportionnées" et ne devront pas restreindre la concurrence. Pour les start-up et les PME, le montant des redevances peut être moindre voire nul, prévoit le texte.

La création des services d'intermédiation de données

Principal apport du DGA : la création des services d'intermédiation de données. Il s'agit de structures ayant pour mission de permettre aux entreprises et aux particuliers de partager des données. Elles peuvent prendre par exemple la forme de plateformes numériques. Pour fournir ce service, elles doivent soumettre une notification à l'autorité compétente ; a priori il s'agira de la Commission nationale de l'informatique et des libertés (Cnil) en France.



Cette notification doit contenir le nom du prestataire, son statut juridique, son adresse, son contact, la description du service et sa date de lancement. Une fois que l'autorité compétente l'a validé, le service peut utiliser le label "prestataire de services d'intermédiation de données reconnu dans l'Union" dans ses communications écrites et orales ainsi qu'un logo commun, précise le règlement européen.



Les services d'intermédiation de données ne peuvent pas utiliser les données à des fins autres que celles initialement prévues. Ils ne peuvent pas non plus fixer les modalités commerciales en fonction de l'utilisation de leurs autres services par le détenteur de données. Par ailleurs, ils ne peuvent convertir les données collectées dans des formats spécifiques que "pour améliorer l'interopérabilité intersectorielle et transsectorielle" ou si l'utilisateur le demande.



Le texte prévoit également des règles en matière de data altruism, une façon d'inciter les parties prenantes à partager les données qu'elles estiment utiles pour l'intérêt général. Il oblige la désignation d'une autorité compétente pour l'enregistrement des organisations altruistes. Elle devra tenir un registre public national des organisations reconnues dans ce domaine. Une fois enregistrées, ces dernières disposeront d'un logo commun, établi par la Commission européenne, accompagné d'un QR code comportant un lien vers le registre public.

Un comité d'experts pour conseiller la Commission

Pour chapeauter l'ensemble de ces nouvelles règles, le règlement prévoit la création du Comité européen de l'innovation dans le domaine des données. Ce groupe d'experts sera composé de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du comité européen de la protection des données, du Contrôleur européen de la protection des données, de

l’Agence de l'Union européenne pour la cybersécurité (ENISA), de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière. Il sera notamment chargé de conseiller la Commission.



A côté de ce comité, chaque Etat membre doit nommer une autorité chargée de superviser au niveau national l'application du DGA. Dans un avis publié en mai 2022, le Comité européen de la protection des données (CEPD), le Contrôleur européen de la protection des données (EDPS) et la Cnil française avaient alerté sur le fait que la non-désignation par le texte d'une autorité spécifique pouvait entraîner une réelle complexité pour les parties prenantes et nuire à la cohérence de la surveillance de l'application du RGPD. Etant que rien ne s'oppose à ce qu'elle fasse les deux, l'autorité française pourra être l'autorité chargée de superviser l'application du DGA... à condition que ses moyens soient revus à la hausse.