La stratégie européenne sur les données ne doit pas porter atteinte au RGPD, alertent les Cnil

La Commission nationale de l'informatique et des libertés (Cnil) et ses homologues européens donnent leur avis sur la stratégie européenne sur les données initiée par la Commission européenne. Elle repose sur deux textes – le Data Governance Act et le Data Act – qui visent à établir un marché unique des données facilitant leurs échanges.

Quelle articulation avec le RGPD ?

Les autorités de protection des données ont été sollicitées car ces futures réglementations contiennent des dispositions qui devront être articulées avec les principes du Règlement général sur la protection des données (RGDP), texte dont elles doivent veiller à la bonne application. Le Contrôleur européen de la protection des données (CEPD), l’autorité de contrôle indépendante des institutions européennes sur la protection des données, a également soumis son avis.

Le Data Governance Act (DGA) a été adopté en mai 2022 et sera applicable en septembre 2023 dans tous les Etats membres. Ce règlement instaure un cadre et une assistance juridique facilitant la réutilisation de certaines catégories de données protégées du secteur public. Il met aussi en place des structures d'intermédiation. Ils pourront prendre la forme de plateformes numériques permettant le libre partage ou contrôle de leurs données par les entreprises et particuliers.

De futures normes d'interopérabilité

Le second texte, le Data Act, vise à faciliter le partage entre entreprises et avec le consommateur des données, en fixant une obligation de rendre accessibles les données générées par l’utilisation "des objets connectés et services connexes" en contrepartie d’une compensation juste et équitable. Il prévoit aussi d'élaborer des normes d'interopérabilité pour les données et leurs réutilisations ainsi que mettre en place des garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud.

Sans grande surprise, les autorités et le CEPD reconnaissent que ces textes poursuivent des objectifs légitimes. Néanmoins, elles alertent sur l'importance d'une bonne articulation avec le RGPD. "La protection des données personnelles est essentielle et fait partie intégrante de la confiance dans le développement de l’économie numérique", rappelle la Cnil. Cette recommandation a été prise en compte puisque qu'il a été prévu qu'en cas de conflit, le RGPD prévaudra sur le DGA.

De plus, les Cnil et le Contrôleur exigent "des garanties additionnelles" concernant les droits d'accès, d'utilisation et de partage des données prévues par le Data Act. De plus, des précisions doivent être apportées sur les notions "d'urgence publique" et de "besoin exceptionnel" lorsqu'il y a une obligation de mise à disposition des données aux organismes du secteur public et institutions de l’UE.

Quelles autorités pour superviser l'application des textes ?

Aussi, pour les deux textes, ils regrettent que les autorités chargées de la supervision ne soient pas nommément désignées. Cela pourrait créer "une réelle complexité pour les acteurs numériques et les personnes concernées, et nuire à la cohérence de la surveillance de l’application du RGPD". Ils recommandent donc au législateur européen de désigner les autorités de protection des données comme autorités coordinatrices.

En effet, les autorités de protection des données ont "une expertise juridique et technique dans la supervision des traitements de données personnelles, et l’accompagnement des acteurs et modèles d’affaires innovants". Notons que ces missions additionnelles nécessiteront un ajustement des moyens.

Sélectionné pour vous

Meta va permettre de séparer les comptes Facebook et Instagram

L'OMS va créer un système de certificats numériques international inspiré par le pass Covid européen

Les données personnelles des employés de British Airways et de la BBC dérobées par des hackers russes