Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Gouvernance des données dans l’Union européenne : la stratégie des petits pas

Le 25 novembre 2020, la Commission européenne a publié sa proposition de règlement sur la gouvernance des données. Destinée à promouvoir leur potentiel économique, la proposition y encadre trois aspects : la réutilisation des données protégées des organisations publiques et le partage de données par des organisations privées soit à titre lucratif, soit à titre non lucratif pour des finalités d’intérêt général.

par Cécile Crichtonle 15 décembre 2020

Le 19 février 2020, la Commission européenne a annoncé sa stratégie européenne pour les données, visant à faire face à la concurrence sino-américaine par le biais d’une « troisième voie » promouvant un meilleur flux des données tout en préservant des normes élevées de protection. Cette stratégie s’insère dans un cadre plus large relatif au marché unique numérique qui poursuit notamment l’objectif de « construire une économie de données » (Communication, 6 mai 2015, COM(2015) 192 final). Il convient de citer avant tout le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) accompagné de la directive « police-justice » (UE) 2016/680 du même jour. Mais d’autres initiatives ont été envisagées depuis, notamment le règlement (UE) 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (v. les dossiers relatifs à la libre circulation des données non personnelles : partie I « La consécration d’un principe », Dalloz IP/IT 2020. 212 s.  ; partie 2 « Le contenu du principe », Dalloz IP/IT 2020. 400 s. ), ainsi que la directive (UE) 2019/1024 du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public.

Un pas supplémentaire a été franchi ce 25 novembre 2020 lors duquel la Commission européenne a publié sa proposition de règlement sur la gouvernance des données. À titre liminaire, précisons que la donnée s’entend comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels » (art. 2, 1). Il en résulte une indifférence vis-à-vis de sa qualification. La donnée peut tout aussi bien être une donnée à caractère personnel ou non, une donnée soumise au secret des affaires, au droit de la propriété intellectuelle, voire une simple donnée de libre parcours. Bien entendu, la proposition de règlement s’appliquerait sans préjudice d’autres dispositions protectrices à l’instar de la directive « secret d’affaires » (UE) 2016/943 du 8 juin 2016.

Quoi que le règlement « vise à favoriser la disponibilité de données en vue de leur utilisation, en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage de données » (p. 1), celui-ci ne se concentre que sur trois aspects (art. 1er, § 1) :

  • la réutilisation de certaines catégories de données détenues par des organismes du secteur public ;
     
  • la notification et surveillance pour la fourniture de services de partage de données ;
     
  • l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes.

Sur les conditions de réutilisation de certaines catégories de données détenues par des organismes du secteur public

La proposition de règlement s’intéresse aux organismes du secteur public, regroupant « l’État, les autorités régionales ou locales, les organismes de droit public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes de droit public » (art. 2, 11). Elle vise les données protégées détenues par ces organismes, incluant les données protégées par la confidentialité (art. 3, § 1) et, excepté certaines d’entre elles comme les données protégées pour des raisons de sécurité nationale, de défense ou de sécurité publique (art. 3, § 2).

La proposition de règlement organise les conditions de la « réutilisation » de ces données, entendue comme leur utilisation, par des personnes physiques ou morales, « à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites » (art. 2, 2). En effet, la Commission relève que ces données protégées, qui n’entrent pas dans le cadre de la directive (UE) 2019/1024 du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public, « devraient profiter à la société », alors que les exigences procédurales de nature technique et juridique aux fins de réutilisation (ex. anonymisation ou pseudonymisation des données à caractère personnel) ont constitué un frein dans leur déploiement (consid. 5). C’est la raison pour laquelle le choix a été fait de rendre ce dispositif non contraignant, en ce qu’il ne crée pas une obligation d’autoriser la réutilisation des données (art. 3, § 3) mais une interdiction de conclure des accords ayant pour effet d’octroyer des droits exclusifs sur ces données ou d’en restreindre, sauf exceptions, leur disponibilité (art. 4).

Les organismes du secteur public devront fixer les conditions de réutilisation de manière non discriminatoire, proportionnée et objectivement justifiée concernant les catégories de données et les finalités de réutilisation (art. 5, § 2). Il leur est possible d’imposer des conditions supplémentaires, comme l’anonymisation ou la pseudonymisation de données à caractère personnel, ou la suppression des informations commerciales confidentielles (art. 5, § 3). De la même manière, ils peuvent imposer des exigences relatives aux conditions d’hébergement (art. 5, § 4). Ils doivent cependant imposer des conditions relatives à l’intégrité des systèmes de traitement avec un droit de regard (art. 5, § 5), étant précisé que les conditions de réutilisation s’appliquent dans le respect des droits qu’ont les personnes sur leurs données, à l’instar du droit de la propriété intellectuelle ou de la protection des données à caractère personnel (art. 5, § 5 à 9). Enfin est encadré le transfert hors Union européenne de ces données (art. 5, § 10 à 13).

Les mesures organisationnelles ensuite énoncées permettent d’aider autant que possible les organismes à permettre la réutilisation de leurs données. En premier lieu, il leur est possible de percevoir des redevances (art. 6). Ils sont également aidés par des organismes compétents, éventuellement sectoriels, désignés par les États membres (art. 7). Enfin, les États membres doivent assurer à partir d’un point d’information unique toutes les demandes de réutilisation (art. 8).

Sur le cadre de notification et de surveillance pour la fourniture de services de partage de données

La proposition de règlement organise ensuite une procédure de notification pour exercer une activité de fourniture de services de partage de données. Sont concernés les acteurs privés qui, d’une part, souhaitent devenir intermédiaires entre les détenteurs de données ou personnes concernées et les utilisateurs de données (art. 9, § 1, a et b) ou, d’autre part, souhaitent se constituer en des services de coopérative de données afin de donner plus de moyens aux TPE-PME d’accéder aux données (art. 9, § 1, c). Sont exclues les entités exerçant leur activité sans but lucratif qui poursuivent un intérêt général (art. 14).

Afin d’exercer ces activités, il est nécessaire de notifier cette intention à l’autorité compétente de l’État membre de l’établissement principal ou de celui du représentant légal au sein de l’Union en cas d’établissement hors Union européenne (art. 10, § 1 à 3). La notification, qui comporte un certain nombre d’informations, permet à elle seule d’exercer l’activité (art. 10, § 4 à 6). L’autorité compétente accuse réception de la notification par une déclaration standardisée (art. 10, § 7) qui en informe les autres autorités compétentes et la Commission (art. 10, § 8 et 9). Elle peut bénéficier d’une redevance (art. 10, § 10) et est informée de la cessation de l’activité de fourniture de services de partage de données (art. 10, § 11).

Afin d’éviter tout abus, la proposition de règlement organise un certain nombre de conditions pour pouvoir exercer l’activité de fourniture des services de partage de données en son article 11. L’obligation résultant du premier paragraphe est intéressante : elle interdit au prestataire d’utiliser les données « à d’autres fins que leur mise à disposition des utilisateurs » et l’oblige à constituer une entité juridique distincte pour l’exercice de cette activité. Couplée avec le troisième paragraphe, imposant un accès au service de partage « équitable, transparent et non discriminatoire à l’égard tant des détenteurs de données que des utilisateurs de données, y compris en ce qui concerne les prix », constat est fait que la Commission met un point d’honneur à favoriser les plus petites structures, en empêchant les géants de profiter de leur position avantageuse pour accéder à plus de données qu’elles n’en ont déjà.

Les activités de ces prestataires seront encadrées par des autorités désignées par les États membres dans les conditions prévues aux articles 12 et 13 de la proposition de règlement (v., sur ces autorités, art. 23 à 29).

Sur le cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes

L’altruisme en matière de données se définit comme « le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou les autorisations accordées par d’autres titulaires de données pour l’utilisation de leurs données à caractère non personnel sans demander de contrepartie, à des fins d’intérêt général, telles que la recherche scientifique ou l’amélioration des services publics » (art. 2, 10).

Afin d’exercer cette activité, l’organisation doit s’enregistrer auprès d’un registre tenu par les autorités compétentes désignées (art. 15, 17, 20 ; sur le contrôle, art. 21). En plus d’être tenue durant l’exercice de son activité à des exigences de transparence (art. 18), l’organisation doit respecter trois conditions : « (a) être une entité juridique constituée pour poursuivre des finalités d’intérêt général ; (b) opérer dans un but non lucratif et être indépendante de toute entité poursuivant un but lucratif ; (c) mener les activités liées à l’altruisme en matière de données par l’intermédiaire d’une structure juridiquement indépendante, distincte des autres activités qu’elle exerce » (art. 16). Si les données fournies sont des données à caractère personnel, l’organisation doit en outre respecter des exigences supplémentaires en matière des droits des personnes concernées (art. 19).

 

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.