Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Le marché unique des données : quels sont les apports du DGA et du Data Act ?
6 septembre 2024

Le Règlement sur la gouvernance des données (dit DGA, pour Data Governance Act) est applicable depuis le 24 septembre 2023.

Le Data Act (Règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation de celles-ci, plus communément appelé Règlement sur les données) a été publié au Journal officiel de l’Union européenne le 22 décembre 2023. Il sera applicable à compter du 12 septembre 2025.

Deux piliers de la stratégie européenne sur les données 

Ces deux textes s’inscrivent dans la stratégie européenne sur les données, visant à renforcer la compétitivité et la souveraineté de l’UE.

L’objectif est de définir un cadre harmonisé permettant aux acteurs économiques et aux États membres de l’UE de tirer parti du potentiel des données et de favoriser l’innovation, notamment en matière de santé, de mobilité, d’adaptation au changement climatique, etc.

Ainsi, le DGA et le Data Act visent, tous deux, à promouvoir l’accès, le partage et la réutilisation des données au sein de l’UE, dans le respect de la protection des données personnelles, en particulier du Règlement général sur la protection des données (RGPD).

Les apports du DGA

Le règlement sur la gouvernance des données, dit DGA, adopté le 30 mai 2022, est applicable depuis le 24 septembre 2023, comme le prévoit son article 38.

Dans un précédent article, nous présentions les objectifs du DGA, ses principales dispositions et sa mise en œuvre au sein de l’UE (via la création d’un Comité européen de l’innovation en matière de données).

Sans revenir dans le détail sur le contenu de ce texte, rappelons que l’un des principaux objectifs du DGA est d’encourager les organismes du secteur public à réutiliser les données ainsi que de proposer un cadre pour améliorer la disponibilité de ces données :

  • en favorisant un climat de confiance dans les intermédiaires de données ; et
  • en renforçant les mécanismes existants de partage des données.

Le DGA prévoit aussi la possibilité pour les entreprises de réutiliser les données détenues par les organismes du secteur public y compris les données dites « à caractère protégé ». Toutefois, ces dernières pourront être réutilisées à condition notamment d’avoir été traitées au préalable pour ne plus contenir de données à caractère personnel (obligation d’anonymisation), ni de porter atteinte au secret des affaires ou aux droits d’auteur.

Rappelons que, selon le texte, l’altruisme en matière de données fait référence à la mise à disposition volontaire de données par les particuliers ou les entreprises pour des objectifs d’intérêt général (par exemple, la santé publique, la lutte contre le changement climatique, etc.).

Des précisions devraient être apportées prochainement par la Commission européenne, pour les organisations altruistes en matière de données, afin de préciser les règles que ces organisations devront respecter comme les exigences liées aux informations, aux aspects techniques et à la sécurité.

Concernant les données à caractère personnel, un formulaire européen de consentement devrait également être établi par la Commission européenne.

Il est à noter que le DGA s’inscrit dans la continuité des travaux antérieurs, en complétant la directive européenne de 2019 sur les données ouvertes, qui met l’accent sur la réutilisation des données accessibles au public.

Comme l’avait relevé la CNIL dans son Rapport de janvier 2023 sur le DGA, le partage des données n’est pas une évidence économique pour les acteurs :  « Indépendamment de toute réglementation, il se heurte à des limites fortes de la part tant des personnes physiques (craintes de réutilisation abusive de leurs données) que des entreprises (craintes d’usages des données à leur détriment par la concurrence) ».

Cette remarque vaut aussi pour le Data Act, qui prévoit que davantage de données soient mises à disposition des acteurs économiques de l’UE, en définissant les règles d’accès, de partage et d’utilisation des données, selon leurs finalités. L’objectif étant de lever les obstacles juridiques, économiques et techniques à l’origine d’une sous-utilisation des données.

Pour aller plus loin, voir notre article dédié aux modalités d’application du partage des données prévu par le DGA ; et l’article consacré à l’altruisme des données.

Focus sur le Data Act

Dans le cadre des échanges, en 2023, en vue de l’adoption de ce texte, les points d’attention ont notamment porté sur la protection de la propriété intellectuelle et du secret des affaires, dans le cadre du partage de données prévu par le Règlement.

Parmi les apports du Data Act :

  • Favoriser le changement de fournisseur de services cloud

Le règlement sur les données vise à favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre. À cet égard, il prévoit la suppression totale des frais de sortie des données et des frais de changement de fournisseur trois ans après son entrée en vigueur (article 25).

  • Mettre des données détenues par des entités privées à disposition des organismes publics, en cas de besoins exceptionnels

Cette mise à disposition est prévue par le Data Act, dans des circonstances exceptionnelles, notamment pour répondre à une situation d’urgence publique ou pour en atténuer les effets, ou encore si l’entité publique requiert les données pour accomplir une mission d’intérêt public et qu’elle ne peut les obtenir par d’autres moyens (articles 14 et suivants)

L’entité qui détient les données devrait convenir d’une compensation raisonnable avec l’organisme qui les reçoit. A cet égard, la Commission a publié une étude sur ce qui pourrait être considéré comme une compensation « raisonnable », prenant en compte certains critères, tels que les coûts potentiels de formatage des données, l’investissement nécessaire pour permettre le partage des données, ou encore la prise en compte d’une marge.

  • Quels ont été les apports de l’accord conclu le 27 juin 2023, entre le Conseil de l’UE et le Parlement européen (et qui a permis l’adoption du texte, en décembre 2023) ?

Cet accord sur le Data Act a permis de clarifier le champ d’application du règlement en précisant que les utilisateurs d’appareils connectés, allant des appareils électroménagers intelligents aux machines industrielles intelligentes. Les utilisateurs pourront donc accéder aux données que leur utilisation génère, lesquelles sont souvent collectées exclusivement par les fabricants et les prestataires de services.

Par ailleurs, cet accord a apporté des précisions notamment sur :

  • le partage de données, l’indemnisation et le règlement des litiges ;
  • le secret des affaires ; et
  • l’articulation avec d’autres textes européens, tels le DGA et le RGPD.

A quasiment un an de l’entrée en vigueur du Data Act, la Commission européenne a publié, le 6 septembre 2024, une FAQ sur ce Règlement. Cette FAQ sur le Data Act répond notamment aux questions telles que : Quelles sont les données concernées ? Dans quel mesure ce Règlement s’applique-t-il au regard du RGPD ? Quelles sont les définitions de « produit connecté », “service connexe”, “utilisateur”, etc. ?

Ainsi, s’inscrivant dans une volonté de définir un cadre normatif harmonisé de l’accès, du partage et de la (ré)-utilisation de données, en adéquation avec le RGDP et la finalité desdites données, le DGA et le Data Act sont aussi à mettre en perspective avec le Règlement européen sur l’intelligence artificielle, qui a été formellement adopté le 13 juin 2024 et publié le 12 juillet 2024.

Comment pouvons-nous vous être utiles ? Développement de vos projets, sensibilisation de vos équipes, formation, mise en conformité et gestion des risques. Contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.