Vers un marché européen des données : qu’est-ce que le Data Governance Act ?
Par Florence G’sell, Professeur à l’Université de Lorraine, Chercheur associé à l’IHEJ et Co-titulaire de la Chaire Digital, Gouvernance et Souveraineté de Sciences Po (École d’Affaires Publiques).
Par Florence G’sell, Professeur à l’Université de Lorraine, Chercheur associé à l’IHEJ et Co-titulaire de la Chaire Digital, Gouvernance et Souveraineté de Sciences Po (École d’Affaires Publiques)
Le 19 février 2020, en même temps que la publication de son Livre Blanc sur l’Intelligence Artificielle, la Commission Européenne a publié sa stratégie en matière de données, dont l’objectif est de permettre la création d’un marché unique des données.
Dans quel contexte intervient la publication du projet de Data Governance Act ?
Alors que le volume mondial de données devrait être multiplié par cinq entre 2018 et 2025, et que les applications les plus sophistiquées reposent sur des gisements de données de plus en plus massifs, la Commission souhaite faire de l’Europe un lieu d’innovation et de croissance en créant une économie de la donnée fondée sur la libre circulation et la réutilisation des données. Selon la Commission, c’est, à l’heure actuelle, l’absence de cadre commun, et non de volonté, qui entrave le partage des données au sein de l’Union européenne. Il est, en outre, nécessaire de construire un cadre alternatif aux pratiques actuelles imposées par les entreprises technologiques qui dominent le marché, à l’image d’Amazon, qui occupe une place de premier choix sur le marché du cloud et du courtage de données (AWS Data Exchange). Le nouveau cadre européen aura donc pour objet de faciliter le partage et la réutilisation des données dont les acteurs européens ont besoin pour combattre avec succès leurs concurrents américains ou chinois et développer des applications innovantes dans des secteurs stratégiques (santé, transport, énergie, etc). Il est conçu pour s’articuler avec le Digital Services Act et le Digital Market Act, dont le contenu doit être dévoilé le 15 décembre prochain.
C’est ainsi qu’après avoir procédé à une consultation publique, la Commission a dévoilé, le 25 novembre dernier, sa proposition de Règlement sur la gouvernance européenne des données (Data Governance Act). Ce texte doit non seulement garantir la confiance en fournissant un cadre juridique européen de partage des données mais aussi proposer une base technique, le tout dans l’objectif d’encourager la circulation des données entre entreprises ainsi qu’entre entreprises et administrations publiques. Les données visées sont toutes les données à caractère personnel et non personnel, la définition de « donnée » retenue à l’article 2 (1) étant relativement large : « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».
Que contient le Data Governance Act ?
La proposition de règlement comporte trois volets principaux.
Le premier volet (chapitre II) est relatif aux données détenues par les acteurs publics qui ne relèvent pas du champ d’application de la directive (UE) 2019/1024 sur les données ouvertes car elles font l’objet de certains droits, tel le droit à la protection des données personnelles, un droit de propriété intellectuelle, voire un droit à la confidentialité. Le texte définit les conditions techniques et juridiques auxquelles les organismes du secteur public pourront consentir à la réutilisation de telles données protégées. Il reviendra, en effet, à ces organismes de déterminer les modalités du partage de ces données, qui se fera sous leur responsabilité et à titre non exclusif, grâce à des infrastructures dédiées, gérées et supervisées par eux. La protection des données, par leur anonymisation ou pseudonymisation par exemple, devra être garantie. Les États membres devront mettre en place un mécanisme de guichet unique pour les demandes d’accès à ce type de données et créer des structures chargées d’épauler les organismes du secteur public concernés.
Le deuxième volet (chapitre III) encadre le partage de données à caractère personnel ou non personnel, et définit, en particulier, les règles applicables à l’activité des prestataires de services de partage de données entre acteurs privés (particuliers ou entreprises). Ces intermédiaires vont fournir l’infrastructure nécessaire pour créer des espaces européens communs de données dont l’organisation divergera du modèle actuellement offert par les plateformes technologiques intégrées. En effet, ces intermédiaires devront satisfaire à une obligation de neutralité : ils devront se contenter de mettre en relation les détenteurs et utilisateurs de données sans poursuivre d’autre finalité, ne pourront pas utiliser les données pour leur propre compte et devront séparer clairement leur activité d’intermédiaire de leurs autres activités. Ils devront la loyauté, la transparence, la sécurité, le caractère non discriminatoire de leurs services et s’abstenir de toute pratique frauduleuse, abusive ou illicite. Ils devront, enfin, notifier leur intention de fournir des services de partage de données aux autorités compétentes désignées par les États membres, qui seront chargées de contrôler le respect de leurs obligations.
Le troisième volet (chapitre IV) traite de l’« altruisme en matière de données » (data altruism), à savoir les hypothèses dans lesquelles des entreprises privées sont amenées à partager leurs données avec des organisations à but non lucratif, afin de permettre le développement d’applications d’intérêt général (lutte contre une épidémie, amélioration de la qualité de l’air, recherche fondamentale). Les organisations à but non lucratif pourront s’inscrire sur un registre public en tant qu’« organisation altruiste en matière de données ». Un formulaire européen de consentement à l’altruisme des données devra être signé par les personnes concernées. Le respect des exigences de transparence et des garanties spécifiques pour protéger les droits et les intérêts des particuliers et des entreprises sera contrôlé par les autorités compétentes.
Enfin, le projet de Règlement prévoit les modalités du contrôle du respect des obligations qu’il édicte, qui sera confié aux autorités nationales désignées par chaque État membre (chapitre V). Le texte prévoit également la création d’un « comité européen de l’innovation dans le domaine de la donnée » (chapitre VI), qui sera un groupe d’experts formel chargé d’établir des bonnes pratiques à l’intention des autorités compétentes des États membres.
Vers un « protectionnisme des données » ?
L’on s’est demandé si ce projet destiné à encourager la libre circulation des données comporterait une dimension protectionniste en obligeant, par exemple, à stocker les données sur le sol européen. De fait, une telle stratégie de « localisation des données » (« data localisation ») a été envisagée. Une version antérieure du projet de règlement imposait aux intermédiaires en données d’être établis dans l’Union européenne ou dans l’Espace Économique Européen. Cette mesure a été abandonnée dans la version finale du texte, même si le considérant 27 précise qu’« afin de garantir que les prestataires de services de partage de données respectent les conditions énoncées dans le présent règlement, il convient que ces derniers soient établis dans l’Union ». Il leur est toutefois possible de ne pas l’être, à condition de désigner un représentant légal dans chacun des États membres où ils opèrent (art. 10 (3)). Ont également été abandonnées, dans la version finale du projet, les dispositions visant à faire en sorte que les autorités des pays tiers ne puissent obtenir de données émanant de l’Union européenne sans disposer d’une décision judiciaire à cette fin.
Si l’on ne peut donc parler ici de protectionnisme, il n’en reste pas moins que les conditions imposées par le texte aux différents prestataires les conduiront certainement à stocker et traiter les données dans l’Union européenne. Les dispositions du RGPD (articles 48 et 49) restent, par ailleurs, applicables aux transferts de données personnelles à l’extérieur de l’Union européenne qui ne peuvent, depuis l’invalidation du Privacy Shield par l’arrêt Schrems II de la CJUE (CJUE, 16 juillet 2020, affaire C‑311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems), qu’être fondée sur des clause contractuelles types validées par les autorités nationales compétentes. Dans tous les cas, ce sont, très certainement, l’articulation de cette proposition de Règlement avec les dispositions du RGPD et la question de la localisation des données qui devraient donner lieu à d’intenses discussions au Parlement européen et au Conseil.