Après le RGPD sur les données personnelles, voici venu le temps de la réglementation sur les données non personnelles !
Depuis 2018, l’Union Européenne prépare le déploiement de sa stratégie sur les données, dont la valeur économique est un enjeu majeur pour les nouveaux services innovants des entreprises.
Cette stratégie a débuté en 2018 (après l’entrée en vigueur du RGPD), par l’adoption d’un règlement dont l’objet est de garantir la libre circulation des données non personnelles, c’est-à-dire les données ne permettant pas d’identifier directement ou indirectement une personne.
Pour permettre cette libre circulation, l’Union Européenne interdit aux Etats Membres d’exiger que les données soient localisées dans un certain territoire : les entreprises peuvent transférer librement leurs données au sein de l’Union Européenne. Ainsi, une société française peut librement envoyer et stocker ses données en Belgique ou encore en Lituanie, et recourir à des prestataires au sein de l’Union Européenne.
Pour aller plus loin dans sa stratégie de marché unique pour les données, l’Union Européenne a adopté un Règlement portant sur la gouvernance des données : le Data Governance Act (le « DGA ») qui sera applicable à compter du 24 septembre 2023.
Explications.
Qu’est ce que le Data Governance Act ?
Le DGA vise à favoriser le partage et la réutilisation des données personnelles et non personnelles en mettant notamment en place des structures d’intermédiation permettant l’accès aux données à des entreprises pour l’innovation et la création de nouveaux services.
Il s’applique ainsi aux données non personnelles qu’il prend le soin de définir comme les données autres que les données personnelles.
Quelles sont les principales innovations du DGA ?
Réutilisation des données détenues par le secteur public au sein de l’Union Européenne
En dehors des obligations des organismes du secteur public en matière d’open data, les organismes du secteur public pourront désormais accorder ou refuser l’accès à certaines catégories de données qu’ils détiennent, telles que les données qui sont protégées par des motifs de confidentialité commerciale (y compris le secret des affaires), de secrets statistiques, de protection des droits de propriété intellectuelle de tiers ou de données personnelles.
Si le DGA n’oblige pas les organismes à mettre à disposition ces données (contrairement aux obligations en matière d’open data), il fixe les conditions dans lesquelles les organismes du secteur public peuvent partager ces données, notamment :
- ils ne pourront pas accorder des droits d’exclusivité à une entreprise, sauf si la réutilisation est nécessaire pour fournir un service ou produit d’intérêt général et pour une durée de 12 mois maximum ;
- ils peuvent imposer des conditions de réutilisation permettant de préserver le caractère protégé des données mises à disposition ;
- ils peuvent percevoir des redevances pour autoriser la réutilisation de ces données, à condition que cette redevance soit proportionnée et ne restreigne pas la concurrence.
Ainsi, toute entreprise pourra demander à des organismes du secteur public, l’accès à certaines de leurs données et ce afin de les réutiliser, par exemple pour mener des recherches ou construire de nouveaux services.
Service d’intermédiation de données
Le DGA fixe un cadre pour la fourniture de « services d’intermédiation de données », c’est-à-dire les entreprises qui permettent la mise en relation de différentes personnes pour favoriser le partage des données.
Il s’agit par exemple d’une plateforme d’échange de données BtoB. Ce prestataire ne peut utiliser les données qu’afin de faciliter leur partage entre différentes entreprises : il ne pourra pas les réutiliser pour son propre compte.
Il pourra notamment fournir les services suivants : stockage temporaire des données, organisation des données, conversion des données afin qu’elles soient fournies dans un format interopérable, anonymisation et pseudonymisation, le cas échéant, des données.
Le DGA pose un ensemble de conditions pour fournir un tel service, qui se rapproche des obligations du RGPD : le prestataire de services d’intermédiation devra garantir la sécurité des données, leur interopérabilité ou encore permettre aux personnes d’exercer leurs droits conformément au RGPD.
Les professionnels souhaitant fournir un tel service devront notifier l’autorité compétente nationale (que nous ne connaissons pas à ce jour).
Notion de partage de données à des fins altruistes
Le règlement définit la notion de « partage de données à des fins altruiste » : il s’agit de permettre aux personnes physiques (ou aux entreprises) de mettre volontairement à disposition les données les concernant, sans contrepartie et pour des objectifs d’intérêt général (telle que la santé).
Pour cela, toute personne souhaitant partager ses données (y compris ses données personnelles) pourra les remettre à des organisations altruistes : ces organisations devront s’enregistrer auprès d’un registre national, qui n’est pas encore défini. Ces organisations devront respecter un certain nombre d’obligations avant de mettre à disposition de tiers les données qu’elles se sont vues confier.
A titre d’exemple, les organisations altruistes devront maintenir un registre contenant toutes les personnes à qui elles ont offert la possibilité de traiter les données, la durée de l’utilisation des données et sa finalité.
Et après le DGA ?
Pour aller plus loin, une proposition de règlement sur les données (le « Data Act ») est en cours de discussion.
L’objectif du Data Act sera de poursuivre le partage facilité des données entre les entreprises (BtoB) et les consommateurs (BtoC), par exemple en fixant une obligation de rendre accessibles les données générées par les objets connectés et les services associés.
Les conditions d’interopérabilité ou de facilitations de changement d’opérateurs Cloud y seront abordées.
Dune vous présentera le Data Act une fois que sa version définitive sera connue et adoptée par l’Union Européenne.
