Le règlement sur la gouvernance de données, dit DGA (Data Governance Act), est entré en vigueur le 23 juin 2022 et sera applicable à partir du 24 septembre 2023. Il propose un cadre juridique harmonisé afin de favoriser l’échange de données au sein de l’Union européenne (UE).
Pourquoi un règlement sur la gouvernance de données ? Quelles sont les principales dispositions ? Comment le respect du nouveau règlement sera-t-il assuré au sein de l’UE ?
Pourquoi un règlement sur la gouvernance de données ?
Le DGA fait partie de la stratégie européenne pour les données. Cette dernière consiste à créer un marché unique européen de données afin de renforcer la compétitivité et la souveraineté de l’UE dans le monde.
En favorisant le partage et la réutilisation de données, les institutions européennes visent à exploiter le « potentiel économique » que les données présentent pour la société européenne. En effet, dans son étude d’impact, la Commission européenne identifie trois raisons principales qui freineraient le partage de données dans l’UE :
- le faible confiance dans le partage et la réutilisation de données,
- les difficultés liées à la réutilisation de certaines données du secteur public,
- les obstacles techniques à la réutilisation de données.
Que prévoit le Data Governance Act ?
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
Le DGA prévoit la possibilité pour les entreprises de réutiliser les données détenues par les organismes du secteur public et qui ne sont pas considérées comme des données ouvertes en raison de leur « caractère protégé » (données à caractère personnel, données relevant du secret des affaires, etc.). Ce faisant, il complète la directive du 20 juin 2019 sur les données ouvertes.
Il convient de noter que le DGA ne crée pas une obligation pour les organismes du secteur public de partager les données. Il définit les conditions dans lesquelles ce partage devrait avoir lieu. Par exemple, le règlement interdit la conclusion des accords d’exclusivité limitant l’utilisation des données par des entités autres que les parties à l’accord.
Le règlement prévoit également des exigences à respecter par les organismes du secteur public. Ces derniers doivent rendre publiques les conditions de réutilisation des données qu’ils détiennent. En outre, les organismes concernés doivent veiller à préserver le caractère protégé des données. Par exemple, s’agissant des données à caractère personnel, ils doivent les anonymiser.
Encadrement des fournisseurs des services d’intermédiation de données
Le service d’intermédiation de données est défini comme « un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part« .
Tout prestataire qui a l’intention de fournir un service d’intermédiation de données doit soumettre une notification auprès de l’autorité nationale compétente (article 11 du DGA).
En outre, dans le cadre de la fourniture de son service, le prestataire doit respecter plusieurs conditions (article 12 du DGA). A titre d’exemple :
- Il ne pourra pas lui même utiliser les données pour lesquelles il agit en tant qu’intermédiaire. Il n’est qu’un facilitateur d’échange et d’interopérabilité.
- Il devra mettre en place des procédures pour lutter contre les pratiques frauduleuses ou abusives d’accès aux données via ses services.
- Il devra assurer une continuité raisonnable de ses services s’il devient insolvable, pour permettre aux individus concernés de récupérer leurs données.
- Il devra garantir la sécurité des données pour leur stockage, traitement et transmission.
- Il devra tenir un journal répertoriant son activité d’intermédiation des données.
Altruisme en matière de données
L’altruisme en matière de données fait référence à la mise à disposition volontaire de données par les particuliers ou les entreprises pour des objectifs d’intérêt général (par exemple, la santé publique, la lutte contre le changement climatique, etc.). Concernant les données à caractère personnel, un formulaire européen de consentement sera établi par la Commission européenne (article 25 du DGA).
Les entités qui envisagent de collecter des données peuvent demander être enregistrées au sein d’un registre public des organisations altruistes tenu par l’autorité nationale compétente.
Les organisations enregistrées seront tenues à des obligations de transparence et devront notamment établir un rapport annuel d’activité.
Comment le respect du nouveau règlement sera-t-il assuré au sein de l’UE?
Le DGA prévoit la création d’un Comité européen de l’innovation en matière de données dont l’objectif sera de développer une approche cohérente des nouvelles règles prévues par le DGA.
Chaque État membre désignera une ou plusieurs autorités compétentes pour :
- soutenir les organismes du secteur public dans l’octroi/ le refus de l’accès aux données en vue de leur réutilisation,
- surveiller les services d’intermédiation de données
- enregistrer les organisations d’altruisme en matière de données.
Les autorités compétentes seront habilitées à prendre certaines mesures comme la suspension ou la cessation d’un service de partage de données, ou encore le retrait d’une organisation d’altruisme de données du registre national public. En ce qui concerne les services d’intermédiation de données, elles pourront également prononcer des sanctions financières, y compris des sanctions ayant un effet rétroactif. Toutefois, le règlement ne définit pas les montants des sanctions financières. Il revient donc à chaque État membre de les définir et de s’assurer de leur caractère proportionné, efficace et dissuasif.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !