Un cadre pour renforcer la confiance dans le partage volontaire de données dans l’intérêt des entreprises et des citoyens  

La Commission européenne a souligné que le partage des données est essentiel pour la formation des systèmes d’IA et qu’il contribue au développement de produits et services innovants. A titre d’illustration, en matière de santé, le partage de données favorise l’amélioration des soins de santé et plus particulièrement des traitements personnalisés. Il devrait également permettre de guérir des maladies rares ou chroniques et d’économiser environ 120 milliards d’euros par an dans le secteur de la santé de l’UE.

Des progrès équivalents sont attendus en matière de mobilité (notamment en réduisant le temps passé par les usagers dans les transports publics, en améliorant les itinéraires et la régulation), d’environnement, d’agriculture et d’administration publique.

Comme nous l’avions présenté dans un article dédié, le Règlement sur la gouvernance des données (DGA) est un instrument intersectoriel qui vise à :

• réglementer la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public, grâce à l’encadrement des fournisseurs des services d’intermédiation de données nouveaux ; et
• à encourager le partage de données à des fins altruistes.

La Directive sur les données ouvertes de 2019 réglemente la réutilisation des informations détenues par les entités du secteur public. Toutefois, le secteur public détient également de vastes quantités de données protégées(par exemple, des données à caractère personnel et des données commerciales confidentielles) qui ne peuvent pas être réutilisées en tant qu’ « open data » sur une plateforme ouverte, mais qui pourraient être réutilisées en vertu d’une législation européenne ou nationale spécifique. Le DGA prévoit des règles et des garanties pour faciliter cette réutilisation.

Comment cette possibilité est-elle mise en pratique?

La Commission européenne a précisé les points suivants :

• Exigences techniques pour le secteur public

Les États membres devront être équipés sur le plan technique pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Cela peut inclure une gamme d’outils, allant de solutions techniques, telles que l’anonymisation, la pseudonymisation ou l’accès aux données dans des environnements de traitement sécurisés (par exemple des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l’organisme du secteur public et le réutilisateur.

• Assistance de l’organisme du secteur public

Si un organisme du secteur public ne peut pas accorder l’accès à certaines données aux fins de réutilisation, il devrait aider le réutilisateur potentiel à solliciter le consentement de la personne concernée pour réutiliser ses données à caractère personnel ou l’autorisation du titulaire des données dont les droits ou les intérêts peuvent être affectés par la réutilisation.

Les informations confidentielles, telles que celles protégées par le secret des affaires, ne pourraient être réutilisées que si l’autorisation est expressément donnée par les personnes et entités concernées.

• Honoraires raisonnables

Les organismes du secteur public :

• peuvent facturer des redevances pour permettre la réutilisation des données, tant que ces redevances n’excèdent pas les coûts nécessaires de mise à disposition des données ;
• doivent encourager la réutilisation à des fins de recherche scientifique et à d’autres fins non commerciales, ainsi que par les PME et les jeunes entreprises, en réduisant ou même en excluant la tarification. 

Le DGA prévoit ainsi que : « Lorsque le destinataire de données est une micro, petite ou moyenne entreprise […], toute compensation convenue n’excède pas les coûts qui sont directement liés à la mise à la disposition des données au destinataire de données et qui sont imputables à la demande.

Le présent article ne fait pas obstacle à ce que d’autres dispositions […] excluent une éventuelle compensation pour la mise à disposition de données ou prévoient une compensation moins élevée. » (DGA, article 9, 2. et 3.)

• Délai maximal de deux mois

Un organisme du secteur public disposera d’un délai maximal de deux mois pour prendre une décision sur une demande de réutilisation. Les États membres peuvent choisir quels organismes compétents soutiendront les organismes du secteur public qui accordent l’accès à la réutilisation, par exemple en leur fournissant un environnement de traitement sécurisé et en les conseillant sur la meilleure façon de structurer et de stocker les données afin de les rendre facilement accessibles.

• Point d’information unique

Pour aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres sont tenus de mettre en place un point d’information unique. La Commission européenne a créé le registre européen des données protégées détenu par le secteur public (ERPD), un registre consultable des informations compilées par les points d’information uniques nationaux afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà.

Services d’intermédiation de données : de quoi s’agit-il ?

De nombreuses entreprises craignent que le partage de leurs données entraîne une perte d’avantage concurrentiel. L’approche proposée par la Commission européenne est d’accroître la confiance dans le partage de données en instaurant un modèle basé sur la neutralité et la transparence des intermédiaires de données, agissant en tant qu’organisateurs dignes de confiance du partage ou de la mise en commun de données au sein des « espaces européens communs de données ».

Le DGA définit ainsi un ensemble de règles pour les fournisseurs de services d’intermédiation de données.

• Comment cela fonctionne-t-il dans la pratique ?

Les intermédiaires de données fonctionneront comme des tiers neutres qui mettront en relation des individus et des entreprises avec des utilisateurs de données. La Commission européenne tiendra, pour chaque État, un registre central des intermédiaires de données reconnus.

Les intermédiaires de données devront se conformer à des exigences strictes pour garantir leur neutralité et éviter les conflits d’intérêts. Dans la pratique, il doit y avoir une séparation structurelle entre le service d’intermédiation de données et tout autre service fourni. Les conditions commerciales (y compris la tarification, le cas échéant, pour la mise à disposition de données) doivent être strictement indépendantes de l’utilisation potentielle d’autres services, de la part du détenteur de données ou de l’utilisateur de données (DGA, article 12, b).

La fourniture des services d’intermédiation est soumise à une procédure de notification auprès de l’autorité compétente nationale (dont les modalités sont fixées par les articles 10 et suivants du DGA). Le projet de loi Sécuriser et réguler l’espace numérique prévoit qu’en France, l’autorité compétente sera l’ARCEP, Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. La plupart des Etats membres ont désigné leurs autorités compétentes.

Après accord de l’autorité compétente, l’intermédiaire de données pourra utiliser le label « prestataire de services d’intermédiation de données reconnu dans l’Union », ainsi que les logos dédiés. En vertu de l’article 17 du DGA, d’autres entités pourront être enregistrées en tant qu’ « organisations altruistes de données reconnue dans l’Union ». Voir l’article du blog dédié à l’altruisme en matière de données.

Conseil européen de l’innovation en matière de données

Comme le prévoit le DGA, la Commission européenne a créé le Comité européen de l’innovation en matière de données (European Data Innovation Board — EDIB) afin de faciliter le partage des bonnes pratiques, dans la mise en œuvre du DGA.

L’EDIB comprend des représentants des entités suivantes (DGA, article 29) :

• Autorités compétentes des États membres pour l’intermédiation de données ;
• Autorités compétentes des États membres pour l’altruisme en matière de données ;
• Comité européen de la protection des données (EDPB) ;
• Contrôleur européen de la protection des données (CEPD) ;
• Agence de l’Union européenne pour la cybersécurité (ENISA) ;
• Commission européenne ;
• représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME ;
• autres représentants d’organismes compétents / experts.

Le comité européen de l’innovation en matière de données devrait aider la Commission à coordonner les pratiques et les politiques nationales sur les thèmes couverts par le DGA.

Quelles sanctions ?

En cas de manquements aux dispositions du DGA, les autorités compétentes sont habilitées à prendre certaines mesures telles que la suspension ou la cessation d’un service d’intermédiation de données, ou le retrait d’une organisation altruiste de données du registre national public.

En ce qui concerne les services d’intermédiation de données, les autorités pourront également prononcer des sanctions financières. Toutefois, le Règlement ne définit pas les montants de ces sanctions : il revient à chaque État membre de les définir et de s’assurer de leur caractère proportionné, efficace et dissuasif. En France, ces sanctions devraient être prévues dans la future loi visant à sécuriser et réguler l’espace numérique (le projet de loi sera prochainement examiné en Commission mixte paritaire).

Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !