Le Data Governance Act

Il est constitué de 2 documents principaux :

1. proposition 2020/0340 (COD) du 25/11/2020 : disponible en tout format et toute langue ici, parmi lesquelles la version pdf de 48 pages en français ici ;

2. évaluation d’impact et étude détaillée l’accompagnant : textes pdf complet en anglais et résumé en français (pdf 4 pages) ici.   

Structure du règlement :

1ère partie : exposé des motifs, en 5 points

2ème partie : introduction et considérations, en 46 points

3ème partie : le règlement proprement dit :

• chapitre I, articles 1 et 2
• chapitre II, articles 3 à 8
• chapitre III, articles 9 à 14
• chapitre IV, articles 15 à 22
• chapitre V, articles 23 à 25
• chapitre VI, articles 26 et 27
• chapitre VII, articles 28 et 29
• chapitre VIII, articles 30 à 35.

La 2ème partie aborde l’ensemble des problématiques d’un point de vue plus pédagogique.

La 3ème partie et ses articles se présentent d’un point de vue plus juridique et légal.

Sur le fond, le règlement traite les 4 thèmes suivants :

1. les conditions de mise à disposition des données du secteur public pour réutilisation ;
2. la définition et les obligations des « prestataires de services de partage de données » et des « coopératives de données »
3. le concept d ‘« altruisme des données » et la possibilité pour les organisations de s’enregistrer comme « organisation d’altruisme des données reconnue dans l’Union »
4. la création d’un « Conseil européen de l’innovation des données », nouveau groupe d’experts présidé par la Commission.

Ce règlement doit être adopté par les instances européennes, puis donner lieu à une loi sur les données (le texte évoque l’année 2021 pour cette loi).

Historique et portée du document

Cette proposition de règlement est le fruit d’une consultation, de 2019 à fin mai 2020. 11 ateliers se sont tenus, couvrant public, privé, et différents secteurs métiers (agriculture, santé…).

Son objectif est de renforcer le contrôle des personnes physiques et morales sur l’utilisation et la diffusion de leurs données, en cadrant l’activité des acteurs publics ou privés assurant la circulation et le partage des données.

Le texte prend garde à préserver la liberté d’entreprendre, le droit de confidentialité des affaires, et les accords éventuels par secteur économique (par exemple la santé).

Une analyse d’impact a été menée, s’appuyant sur une étude support réalisée par Deloitte. Au regard de la faisabilité et des coûts générés par les diverses options entre intervention réglementaire à faible ou forte intensité, elle préconise les choix suivants :

• pour le secteur public, mettant ses données à disposition d’autres acteurs réutilisateurs : obligation pour les états membres de prévoir un guichet unique gérant les demandes d’accès à ce type de données ;
• pour la certification ou labellisation d’intermédiaires de données fiables, l’intermédiaire est tenu de se déclarer, et doit pouvoir prouver a posteriori le respect des exigences sur injonction des autorités de contrôle (c’est le modèle du RGPD) ;
• pour le statut “ d’organisation altruiste en matière de données reconnue dans l‘UE ” : les entreprises intéressées pourront s’enregistrer auprès de l’UE ;
• pour la gouvernance : création d’un groupe d’experts. 

Cette analyse d’impact avance des chiffres colossaux sur les bénéfices attendus :

• le texte du règlement reprend (1ère partie, page 7) une valorisation de l’économie du partage des données de 540.7 à 544.4 milliards d’euros – soit entre 3.92 et 3.95 % du PIB ;
• l’étude support annonce des économies massives après mise en application du scénario retenu pour ce règlement : voyez l’extrait dans le tableau ci-après.

Conditions de mise à disposition des données du secteur public pour réutilisation

C’est le chapitre II du document. Les organismes de droit public doivent mettre à disposition les données qu’ils gèrent, puisque cette gestion est financée par les européens. Le présent règlement vise à faciliter le partage des données en lui donnant un cadre.

Il se limite aux données protégées par des confidentialités ou des droits de propriété, et complète donc la directive (UE) 2019/1024, qui traite des données non soumises à confidentialité ou à propriété.

Le texte interdit par principe les accords d’exclusivité, et limite les exceptions à 3 ans.

La transparence est requise pour la mise à disposition comme la non-mise à disposition des données aux fins de réutilisation par des acteurs tiers. Néanmoins, le texte ne produit aucune obligation d’autoriser la réutilisation des données, ces autorisations relevant du droit de l’Union et du droit national.

Si besoin, les organismes publics qui mettent à disposition ces informations confidentielles ou protégées utiliseront les techniques d’anonymisation et associées, voire mettront en place et superviseront un environnement de traitement sécurisé pour cette mise à disposition.

Les organismes du secteur public auront la possibilité de percevoir des redevances pour la réutilisation des données, sur justification des coûts induits.

Points d’attention ___________________________________________________

• le chapitre II porte la définition de “données” et “métadonnées”. Cette dernière est restreinte : le texte ne s’intéresse en fait qu’aux méta-données informant sur l’individu (géolocalisation et horodatage d’une photo par exemple), et pas aux méta-données informant sur la donnée elle-même (longueur du fichier par exemple) ;
• le texte différencie très formellement “organismes du secteur public”, “organisme de droit public” et “entreprises publiques”, qui elles sont non soumises à ce chapitre ;
• la notion d’interopérabilité des données est fondamentale, et concrètement permettrait de lever la dépendance à une plateforme ou un acteur technologique (on pense aux GAFAM). L’interopérabilité est l’outil qui permettra de passer d’une économie “platform centric” à une économie “client centric” ;
• le texte reprend les principes des données FAIR, déjà existants au niveau des données scientifiques : les données doivent être Faciles à trouver, Accessibles, Interopérables, Réutilisables. Mais il ne va pas au bout d’une obligation de définition et respect de ces principes.

---

Définition et obligations des « prestataires de services de partage de données » et des « coopératives de données »

C’est le chapitre III. Il définit et porte la création d’un régime de notification pour les prestataires de services de partage de données, présentés comme 

1. des intermédiaires entre personne morale et utilisateurs de données, ou bien
2. des intermédiaires entre individus et utilisateurs de données, ou bien
3. des coopératives de données.

Ces prestataires devront respecter un certain nombre d’exigences, notamment l’obligation de rester neutres en ce qui concerne les données échangées. Ils ne peuvent pas utiliser ces données à d’autres fins. Lorsque des prestataires de services de partage de données proposent des services à des personnes physiques, ils devront assumer à leur égard un “devoir de loyauté”. Une autorité compétente désignée par les États membres sera chargée de contrôler le respect des exigences liées à la fourniture de ces services.

Selon le texte, les prestataires de services de partage de données (appelés aussi “intermédiaires de données”) sont appelés à jouer un rôle clé dans l’économie fondée sur les données, en tant qu’instruments facilitant l’agrégation et l’échange de quantités substantielles de données pertinentes.

cas particulier du transfert des données vers un pays tiers :

la Commission peut adopter des actes d’exécution établissant qu’un pays tiers offre un niveau de protection essentiellement équivalent à celui prévu par le droit de l’Union ou le droit national, et notamment l’existence de droits opposables et de voies de droit effectives.

Dans tous les cas, les organismes du secteur public ou les prestataires de services de partage de données concernés doivent s’assurer du respect des droits portés par ce texte dans le pays tiers concerné du réutilisateur.

Points d’attention ___________________________________________________

• le concept de devoir de loyauté mérite une définition plus précise : compte-rendu informatif, récurrent, obligatoire selon les cas…
• le modèle économique me paraît à préciser, pour permettre une exploitation anonymisée ou statistique des données collectées par l’opérateur. Sinon, en BtoB, notamment pour les coopératives de données, on comprend qu’un abonnement puisse être versé, mais en BtoC ?
• L’appellation “prestataires de services de partage de données” rejoint clairement celle de Personal Information Management System (voir le précédent article à ce sujet), bien que le pont ne soit pas fait explicitement entre les deux notions, mais elle est plus large, puisqu’elle inclut des prestations BtoB, et les données non-personnelles confidentielles ou protégées par la propriété industrielle et le droit des affaires.  Le service commun central (hormis les exigences techniques de sécurité, anonymisation…) est la gestion du consentement.

---

Concept d ‘« altruisme des données » et la possibilité pour les organisations de s’enregistrer comme « organisation d’altruisme des données reconnue dans l’Union »

C’est le chapitre IV. Il définit l’altruisme des données comme le principe de mise volontaire des données à disposition de la communauté pour le bien commun. Le texte permet l’enregistrement d’un opérateur en tant qu’«organisation altruiste en matière de données reconnue dans l’UE» s’il remplit certaines conditions : notamment d’être à but non lucratif, et indépendante de toute autre structure juridique, (maison-mêre, groupe de rattachement…) poursuivant un but lucratif .

Chaque autorité compétente tient à jour ce registre des organisations altruistes, et la Commission centralise au niveau européen.

Les organisations altruistes recensées transmettent à l’autorité nationale de rattachement un rapport annuel conforme à l’exigence de transparence. Ce document contient notamment “une liste de toutes les personnes physiques et morales qui ont été autorisées à utiliser des données qu’elle détient, assortie d’une description sommaire des finalités d’intérêt général poursuivies par cette utilisation de données et de la description des moyens techniques employés en vue de cette utilisation, y compris une description des techniques appliquées pour préserver la vie privée et la protection des données”.

Le texte introduit un “formulaire de consentement européen à l’altruisme en matière de données”, permettant de recueillir le consentement des individus / personnes morales pour utilisation de leurs données à fins altruistes.

Points d’attention ___________________________________________________

• l’article 19 précise que  “L’entité veille également à ce que les données ne soient pas utilisées à des fins autres que celles d’intérêt général pour lesquelles elle permet le traitement.” Ce point rejoint les obligations du RGPD sur la définition de la finalité du traitement. Ici il s’agira de définir une finalité de traitement “d’intérêt général”, ce qui peut donner lieu à de multiples discussions et interprétations, voire à des instabilités dans le temps, un traitement pouvant être requalifié en cours d’usage.

---

Création d’un « Comité européen de l’innovation des données », nouveau groupe d’experts présidé par la Commission.

C’est le chapitre VI. Le texte prévoit cette création d’un groupe d’experts, qui se compose des représentants des autorités compétentes de tous les États membres, du comité européen de la protection des données, de la Commission, et d’autres représentants d’autorités compétentes dans des secteurs particuliers.

Ses missions sont de coordonner la coopération, et aider à améliorer l’interopérabilité des données.

Points d’attention ___________________________________________________

• le libellé semble indiquer pour ce comité un champ d’action ciblé beaucoup plus large que la simple application de ce règlement (même ambigüité en anglais : European Data Innovation Board). Attendons les prochains textes pour mesurer si c’est un objectif assumé avec un périmètre qui s’élargit, ou bien un libellé trop prometteur.

---