retour

La Commission européenne propose un nouveau règlement sur la gouvernance des données

Article Propriété intellectuelle, média & art IT et Data Droit de la concurrence et de la distribution | 16/12/20 | 17 min. | Charles Bouffier Antoine Boullet

Protection des données personnelles

La Commission européenne a présenté, le 26 novembre 2020, une proposition de règlement sur la gouvernance européenne des données (« Acte sur la gouvernance des données » ou « Data Gouvernance Act »). A l’heure du big data et du développement de l’intelligence artificielle, ce document de 38 pages constitue la première pierre de la stratégie européenne pour les données dont les lignes directrices ont été publiées en février dernier[1] et qui vise à renforcer le marché unique des données.

Selon l’exposé des motifs la proposition de règlement a pour objectif de « favoriser la disponibilité de données en vue de leur utilisation, en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage de données dans l’ensemble de l’UE », notamment en encadrant la mise à disposition de données du secteur public dont l’utilisation est soumise à des droits d’autrui, en encourageant le partage de données entre entreprises contre rémunération, en favorisant l’émergence de nouveaux intermédiaires de partage de la donnée et en permettant l’utilisation de données pour des motifs altruistes.


La définition de « Données »

L’article 2 de la proposition de règlement définit la notion de « données » comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».

Bien qu’ayant pour vocation de délimiter l’utilisation de ce terme au sens du seul règlement, la définition de la notion « données » constitue une nouveauté dès lors que les données n’avaient, à notre connaissance, jamais été jusqu’alors définies par un texte réglementaire ou législatif. Cette définition couvre à la fois les données à caractère personnel, définies par l’article 4, point 1) du Règlement général sur la protection des données (« RGPD ») comme « toute information se rapportant à une personne physique identifiée ou identifiable », et les données à caractère non personnel définies par opposition comme « les données autres que les données à caractère personnel au sens de l'article 4, point 1), du règlement (UE) 2016/679 » par l’article 3 du Règlement établissant un cadre applicable au libre flux des données à caractère non personnel dans l’UE et l’article 2 de la présente proposition de règlement sur la gouvernance européenne des données.


La réutilisation des données protégées détenues par des organismes du secteur public

Le chapitre II de la proposition de règlement instaure d’abord un mécanisme de réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public. Ces données étaient explicitement exclues du champ d’application de la Directive 2019/1024 concernant les données ouvertes et la réutilisation des informations du secteur public, qui prévoyait déjà différents mécanismes visant à favoriser la réutilisation et la circulation des données du secteur public.

Les dispositions de la proposition de règlement ne créent aucun droit de réutilisation des données protégées détenues par des organismes du secteur public. Elles visent seulement à définir un mécanisme général, fondé sur des conditions harmonisées, destiné à faciliter une telle réutilisation et permettre ainsi la circulation de certaines catégories de données sensibles du secteur public. Ces dernières sont qualifiées de « protégées » ou de « sensibles », car elles font l’objet de protections pour des motifs de confidentialité des informations commerciales, de confidentialité des données statistiques, de protection des droits de propriété intellectuelle de tiers ou de protection des données à caractère personnel. Sont en revanche exclues du champ d’application du règlement les données détenues par des entreprises publiques, les données détenues par des radiodiffuseurs de service public, les données détenues par des établissements culturels et des établissements d’enseignement, les données protégées pour des raisons de sécurité nationale, de défense ou de sécurité publique, et les données dont la fourniture est une activité qui ne relève pas de la mission de service public (art. 3).

Le premier rouage du mécanisme est posé par l’article 4 de la proposition de règlement qui interdit les accords ou autres pratiques d’exclusivité relatifs à la réutilisation de ces données. Sont ainsi prohibés tous les accords « qui octroient des droits exclusifs ou qui ont pour objet ou pour effet d’octroyer de tels droits exclusifs ou de restreindre la disponibilité des données », à l’exception de ceux pour lesquels le droit exclusif de réutilisation des données serait nécessaire à la fourniture d’un service ou d’un produit d’intérêt général. Ces derniers accords devront respecter les règles applicables en matière d’attribution de marchés publics et ne pas dépasser trois ans. Une durée maximum de trois ans également devra s’appliquer aux accords d’exclusivité conclus avant la date d’entrée en vigueur du règlement.

Le deuxième rouage instauré par la proposition de règlement porte sur les conditions applicables à la réutilisation des données protégées (art. 5). Il est ainsi prévu que les organismes du secteur public devront rendre publiques les conditions d’autorisation de cette réutilisation, en veillant notamment à ce que celles-ci soient non discriminatoires, proportionnées et objectivement justifiées, afin d’écarter tout obstacle à la réutilisation des données. Les conditions de réutilisation des données protégées détenues par des organismes du secteur public devront en outre permettre de respecter les droits des tiers bénéficiant de ces protections. S’agissant des données à caractère personnel, il est ainsi prévu qu’elles devront être totalement anonymisées avant leur transmission, les organismes du secteur public devant, à défaut, obtenir le consentement des personnes concernées. Les données commerciales confidentielles devront, quant à elles, être modifiées de telle sorte qu’aucune information confidentielle ne soit divulguée. Enfin, les données faisant l’objet de droits de propriété intellectuelle ou contenant des secrets d’affaires ne devraient être transmises à un tiers que si cette transmission est licite en vertu du droit de l’Union ou du droit national ou avec l’accord du titulaire des droits. La proposition de règlement contient également des dispositions visant à assurer la sécurité et la confidentialité de l’accès aux données et de leur réutilisation. En particulier, la proposition de règlement contient des dispositions inspirées de celles du RGPD, visant à encadrer le transfert de données confidentielles ou de données protégées par des droits de propriété intellectuelle à un réutilisateur qui a l’intention de les transférer vers un pays tiers.

Le dernier rouage permettant d’encadrer la réutilisation des données protégées détenues par des organismes du secteur public porte sur les redevances pouvant être perçues par ces derniers pour autoriser la réutilisation de ces données (art. 6). Les redevances sont en effet autorisées à condition qu’elles soient non discriminatoires, proportionnées et objectivement justifiées et ne restreignent pas la concurrence. Elles sont calculées sur la base des coûts liés au traitement des demandes de réutilisation des catégories de données, dont la description et la méthode de calcul doivent être publiée à l’avance. Enfin, les organismes publics doivent prendre des mesures pour encourager la réutilisation des données à des fins non commerciales et par les petites et moyennes entreprises.

Pour accompagner les organismes du secteur public dans la mise à disposition des données protégées qu’ils détiennent, la proposition de règlement prévoit que les Etats membres désignent un ou plusieurs organismes compétents, éventuellement à caractère sectoriel (art. 7). Les Etats membres devront par ailleurs mettre en place un point d’information unique, qui devra faire le lien entre les réutilisateurs potentiels et les organismes du secteur public, en réceptionnant les demandes de réutilisation de données protégées et en les transmettant aux organismes compétents. Le point d’information unique devra également mettre à disposition par voie électronique un registre des ressources de données disponibles.
 

L’émergence de prestataires de services de partage de données

La proposition de règlement consacre la création de nouveaux acteurs : les prestataires de services de partage de données. Également qualifiés d’ « intermédiaires de données », ces derniers sont, selon la Commission, « appelés à jouer un rôle clé dans l’économie fondée sur les données, en tant qu’instruments facilitant l’agrégation et l’échange de quantités substantielles de données pertinentes » (cons. 22). Ils devraient ainsi permettre l’émergence de nouveaux écosystèmes fondés sur les données qui seraient indépendants de tout « acteur jouissant d’une puissance significative sur le marché » (Ibid.).

Les prestataires de services de partage de données sont ainsi destinés à intervenir dans les échanges commerciaux, juridiques voire techniques entre les détenteurs et les utilisateurs de données, en fournissant :

● des services d’intermédiation, notamment par la mise à disposition des moyens techniques, entre, d’une part, les détenteurs de données qui sont des personnes morales et, d’autre part, les utilisateurs de données potentiels ; ces services d’intermédiation pouvant « comprendre des échanges bilatéraux ou multilatéraux de données ou la création de plateformes ou de bases de données permettant l’échange ou l’exploitation conjointe de données, ainsi que la mise en place d’une infrastructure spécifique pour l’interconnexion des détenteurs de données et des utilisateurs de données » ;

● des services d’intermédiation, notamment par la mise à disposition des moyens techniques, entre, d’une part, les personnes concernées qui cherchent à mettre à disposition leurs données à caractère personnel et, d’autre part, les utilisateurs de données potentiels ; ou

●des services de coopérative de données, c’està-dire des services qui, d’une part, aident les membres de la coopérative (personnes concernées et petites entreprises) et, d’autre part, prévoient des mécanismes d’échange (art. 9).

Pour pouvoir fournir les services susvisés, la proposition de règlement instaure une procédure d’autorisation. Ainsi tout prestataire de services de partage de données doit, préalablement au commencement de son activité, soumettre une notification à une autorité compétente devant être spécifiquement désignée par chaque Etat membre à cette fin (art. 10). Cette dernière doit délivrer une déclaration standardisée confirmant que le prestataire a soumis une notification. Elle doit également transmettre chaque notification aux autorités nationales compétentes des autres États membres et informer la Commission de toute nouvelle notification, qui tiendra un registre des prestataires de services de partage de données.

La proposition de règlement requiert que les intermédiaires de données remplissent différentes conditions pour pouvoir fournir des services de partage. Ils doivent tout d’abord être situés sur le territoire de l’Union Européenne. Plusieurs conditions sont ensuite prévues, à l’article 11 de la proposition, pour assurer la neutralité des intermédiaires de données, prévenir les conflits d’intérêts, garantir la sécurité et éviter toute discrimination dans l’accès aux services. Il est ainsi prévu qu’ils ne peuvent utiliser les données pour lesquelles ils fournissent des services à d’autres fins que leur mise à disposition des utilisateurs de données. Les prestataires de services de partage de données doivent également veiller à ce que la procédure d’accès à leurs services soit équitable, transparente et non discriminatoire à l’égard tant des détenteurs de données que des utilisateurs de données. Par ailleurs, les prestataires devront mettre en place des mesures techniques, juridiques et organisationnelles appropriées afin d’empêcher le transfert de données à caractère non personnel ou l’accès à celles-ci dans les cas où ils sont illicites au regard du droit de l’Union.

Les autorités compétentes désignées par chaque Etat membre sont chargées de contrôler et d’assurer le respect de ces différentes conditions par les intermédiaires de données. Pour ce faire, elles disposeront du pouvoir de se faire communiquer des informations, d’imposer des sanctions financières dissuasives, ou encore d’exiger la cessation ou le report de la fourniture du service de partage de données (art. 12 et 13).


L’altruisme en matière de données

Outre les prestataires de services de partage de données, la proposition de règlement consacre également la création d’organisations altruistes en matière de données reconnues, devant être répertoriées au niveau national par les autorités compétentes désignées par chaque État membre et au niveau européen par la Commission. Ces nouveaux acteurs ont pour mission d’encourager l’altruisme en matière de données, en augmentant le volume des données disponibles pour des utilisations à des fins d’intérêt général. Parmi ces finalités, la Commission identifie notamment les soins de santé, la lutte contre le changement climatique, ou encore l’amélioration de la mobilité. L’objectif poursuivi par la proposition de règlement est ainsi de contribuer à l’émergence de réserves de données mises à disposition selon le principe de l’altruisme, qui soient d’une taille suffisante pour permettre l’analyse des données et l’apprentissage automatique.

En plus d’être situés sur le territoire de l’Union Européenne, une organisation altruiste en matière de données reconnue dans l’Union doit répondre à plusieurs conditions pour être admise à l’enregistrement :

● être une entité juridique constituée pour poursuivre des finalités d’intérêt général ;

● opérer dans un but non lucratif et être indépendante de toute entité poursuivant un but lucratif ; et

●mener les activités liées à l’altruisme en matière de données par l’intermédiaire d’une structure juridiquement indépendante, distincte des autres activités qu’elle exerce (art. 16).

La proposition de règlement prévoit des exigences spécifiques visant à préserver les droits et intérêts des personnes concernées et des entités juridiques dès lors que leurs données sont collectées par des organisations altruistes en matière de données reconnues dans l’Union. Ces dernières sont ainsi tenues d’informer des finalités d’intérêt général du traitement de données les concernant les détenteurs de donnée. Elles doivent en outre obtenir le consentement de personnes concernées ou l’autorisation de traiter des données mises à disposition par des personnes morales (art. 19).

Comme pour les intermédiaires de données, la proposition de règlement prévoit qu’une autorité compétente désignée par chaque Etat membre contrôle et assure le respect des obligations et conditions pesant sur les organisations altruistes en matière de données reconnues. Par ailleurs, un formulaire de consentement européen à l’altruisme en matière de données pourra être adopté par la Commission afin de faciliter la collecte de données (art. 20 à 22).
 

Création d’un comité européen de l’innovation dans le domaine des données

La proposition de règlement consacre enfin un comité européen de l’innovation dans le domaine des données institué par la Commission sous la forme d’un groupe d’experts et dont l’objectif est de mettre en œuvre avec succès le cadre de gouvernance des données (art. 26 et 27).

Le comité sera composé des représentants des autorités compétentes de tous les États membres, du comité européen de la protection des données, de la Commission, des espaces de données pertinents et d’autres représentants d’autorités compétentes dans des secteurs particuliers.

Son rôle sera de conseiller et d’assister la Commission dans l’élaboration et la coordination des pratiques et des politiques nationales sur les thèmes couverts par la proposition de règlement, d’améliorer l’interopérabilité des données ainsi que les services de partage intersectoriels de données, et de faciliter la coopération entre les autorités compétentes nationales.  
 

L’encadrement de l’accès et du transfert de données à caractère non personnel

Le dernier chapitre de la proposition de règlement sur la gouvernance des données contient des dispositions très intéressantes en matière d’accès et de transfert de données à caractère non personnel, inspirées du RGPD.

L’article 30 pose ainsi le principe selon lequel les différents acteurs concernés par la proposition de règlement – c’est-à-dire l’organisme du secteur public, la personne physique ou morale à laquelle le droit de réutilisation  des  données  a  été  accordé,  le  prestataire  de services de partage de données ou l’entité inscrite au registre des organisations altruistes en matière de données reconnues – doit prendre « toutes les mesures techniques, juridiques et organisationnelles raisonnables afin d’empêcher le transfert de données à caractère non personnel détenues dans l’Union ou l’accès à celles-ci dans les cas où ce transfert ou cet accès serait contraire au droit de l’Union ou au droit de l’État membre concerné ».

En application de ce principe, il est prévu qu’une décision d’une juridiction ou d’une autorité administrative d’un pays tiers imposant à ces acteurs de transférer depuis l’Union Européenne des données à caractère non personnel ou y donner accès ne pourra être reconnue ou rendue exécutoire qu’à la condition qu’elle soit fondée sur un accord international.

Dans la même perspective, lorsque l’un de ces acteurs est destinataire d’une décision de transférer depuis l’UE des données à caractère non personnel détenues dans l’Union Européenne ou d’y donner accès, prise par une juridiction ou une autorité administrative d’un pays tiers, et lorsque le respect d’une telle décision risquerait de mettre le destinataire en contrariété avec le droit de l’Union ou avec le droit de l’État membre concerné, le transfert de ces données ne peut avoir lieu que si les conditions suivantes sont remplies :

● le système du pays tiers exige que les motifs et la proportionnalité de la décision soient exposés et que la décision de justice ou la décision administrative revête un caractère spécifique ;

● l’objection motivée du destinataire fait l’objet d’un examen par une juridiction compétente dans le pays tiers ; et

●la juridiction compétente qui rend la décision de justice ou contrôle la décision d’une autorité administrative est habilitée, en vertu du droit de ce pays, à prendre dûment en compte les intérêts juridiques concernés du fournisseur des données protégées par le droit de l’Union ou par le droit applicable de l’État membre.

Ces dispositions peuvent être interprétées comme une volonté de la Commission de protéger les données à caractère non personnel détenues dans l’UE contre certaines législations d’applications extraterritoriales prises par certains états tiers en matière de données, comme les Etats-Unis avec le Cloud Act.
 

Prochaines étapes

La proposition de règlement sur la gouvernance des données doit à présent suivre le processus législatif européen ordinaire (examen par le Parlement Européen et le Conseil), dont le calendrier n’a pour l’instant pas encore été déterminé.


Articles recommandés