Deux piliers de la stratégie européenne sur les données 

Ces deux textes s’inscrivent dans la stratégie européenne sur les données, visant à renforcer la compétitivité et la souveraineté de l’UE.

L’objectif est de définir un cadre harmonisé permettant aux acteurs économiques et aux États membres de l’UE de tirer parti du potentiel des données et de favoriser l’innovation, notamment en matière de santé, de mobilité, d’adaptation au changement climatique, etc.

Ainsi, le DGA et le Data Act visent, tous deux, à promouvoir l’accès, le partage et la réutilisation des données au sein de l’UE, dans le respect de la protection des données personnelles, en particulier du Règlement général sur la protection des données (RGPD).

Les apports du DGA

Le règlement sur la gouvernance des données, dit DGA, adopté le 30 mai 2022, est applicable depuis le 24 septembre 2023, comme le prévoit son article 38.

Dans un précédent article, nous présentions les objectifs du DGA, ses principales dispositions et sa mise en œuvre au sein de l’UE (via la création d’un Comité européen de l’innovation en matière de données).

Sans revenir dans le détail sur le contenu de ce texte, rappelons que l’un des principaux objectifs du DGA est d’encourager les organismes du secteur public à réutiliser les données ainsi que de proposer un cadre pour améliorer la disponibilité de ces données :

• en favorisant un climat de confiance dans les intermédiaires de données ; et
• en renforçant les mécanismes existants de partage des données.

Le DGA prévoit aussi la possibilité pour les entreprises de réutiliser les données détenues par les organismes du secteur public y compris les données dites « à caractère protégé ». Toutefois, ces dernières pourront être réutilisées à condition notamment d’avoir été traitées au préalable pour ne plus contenir de données à caractère personnel (obligation d’anonymisation), ni de porter atteinte au secret des affaires ou aux droits d’auteur.

Rappelons que, selon le texte, l’altruisme en matière de données fait référence à la mise à disposition volontaire de données par les particuliers ou les entreprises pour des objectifs d’intérêt général (par exemple, la santé publique, la lutte contre le changement climatique, etc.).

Des précisions devraient être apportées prochainement par la Commission européenne, pour les organisations altruistes en matière de données, afin de préciser les règles que ces organisations devront respecter comme les exigences liées aux informations, aux aspects techniques et à la sécurité.

Concernant les données à caractère personnel, un formulaire européen de consentement devrait également être établi par la Commission européenne.

Il est à noter que le DGA s’inscrit dans la continuité des travaux antérieurs, en complétant la directive européenne de 2019 sur les données ouvertes, qui met l’accent sur la réutilisation des données accessibles au public.

Comme l’avait relevé la CNIL dans son Rapport de janvier 2023 sur le DGA, le partage des données n’est pas une évidence économique pour les acteurs :  « Indépendamment de toute réglementation, il se heurte à des limites fortes de la part tant des personnes physiques (craintes de réutilisation abusive de leurs données) que des entreprises (craintes d’usages des données à leur détriment par la concurrence) ».

Cette remarque vaut aussi pour le Data Act, qui prévoit que davantage de données soient mises à disposition des acteurs économiques de l’UE, en définissant les règles d’accès, de partage et d’utilisation des données, selon leurs finalités. L’objectif étant de lever les obstacles juridiques, économiques et techniques à l’origine d’une sous-utilisation des données.

Pour aller plus loin, voir notre article dédié aux modalités d’application du partage des données prévu par le DGA ; et l’article consacré à l’altruisme des données.

Focus sur le Data Act

Dans le cadre des échanges, en 2023, en vue de l’adoption de ce texte, les points d’attention ont notamment porté sur la protection de la propriété intellectuelle et du secret des affaires, dans le cadre du partage de données prévu par le Règlement.

Parmi les apports du Data Act :

• Favoriser le changement de fournisseur de services cloud

Le règlement sur les données vise à favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre. À cet égard, il prévoit la suppression totale des frais de sortie des données et des frais de changement de fournisseur trois ans après son entrée en vigueur (article 25).

• Mettre des données détenues par des entités privées à disposition des organismes publics, en cas de besoins exceptionnels

Cette mise à disposition est prévue par le Data Act, dans des circonstances exceptionnelles, notamment pour répondre à une situation d’urgence publique ou pour en atténuer les effets, ou encore si l’entité publique requiert les données pour accomplir une mission d’intérêt public et qu’elle ne peut les obtenir par d’autres moyens (articles 14 et suivants)

L’entité qui détient les données devrait convenir d’une compensation raisonnable avec l’organisme qui les reçoit. A cet égard, la Commission a publié une étude sur ce qui pourrait être considéré comme une compensation « raisonnable », prenant en compte certains critères, tels que les coûts potentiels de formatage des données, l’investissement nécessaire pour permettre le partage des données, ou encore la prise en compte d’une marge.

• Quels ont été les apports de l’accord conclu le 27 juin 2023, entre le Conseil de l’UE et le Parlement européen (et qui a permis l’adoption du texte, en décembre 2023) ?

Cet accord sur le Data Act a permis de clarifier le champ d’application du règlement en précisant que les utilisateurs d’appareils connectés, allant des appareils électroménagers intelligents aux machines industrielles intelligentes. Les utilisateurs pourront donc accéder aux données que leur utilisation génère, lesquelles sont souvent collectées exclusivement par les fabricants et les prestataires de services.

Par ailleurs, cet accord a apporté des précisions notamment sur :

• le partage de données, l’indemnisation et le règlement des litiges ;
• le secret des affaires ; et
• l’articulation avec d’autres textes européens, tels le DGA et le RGPD.

Ainsi, s’inscrivant dans une volonté de définir un cadre normatif harmonisé de l’accès, du partage et de la (ré)-utilisation de données, en adéquation avec le RGDP et la finalité desdites données, le DGA et le Data Act sont aussi à mettre en perspective avec le texte européen sur l’intelligence artificielle.

Ce texte, l’AI Act (Règlement sur l’intelligence artificielle) a été adopté par le Parlement européen le 14 juin 2023. Un accord politique a été trouvé le 8 décembre 2023, à l’issue de trois jours de négociations inter-institutionnelles. Cet accord doit faire l’objet de réunions techniques, puis sera soumis à l’approbation du Parlement européen et du Conseil. Une fois adopté, l’AI Act devrait entrer en vigueur début 2026.

Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !