Article
Loi européenne sur la gouvernance des données (DGA) : Une étape importante pour le partage des données et l’innovation dans l’UE
7 Novembre, 2023
Découvrez la loi européenne sur la gouvernance des données (DGA), un texte législatif essentiel présenté dans le document de la Commission européenne intitulé “Une stratégie européenne pour les données”. Cette loi pose les jalons d’un marché intérieur numérique dans l’UE, en mettant l’accent sur l’accès aux données et leur utilisation tout en respectant des normes strictes en matière de protection de la vie privée, de sécurité et d’éthique. Nous explorons son impact, son interaction avec le RGPD, les conditions de réutilisation des données, les services d’intermédiation des données et le concept innovant de l’altruisme des données. Découvrez comment il favorise la collaboration, la confiance et l’innovation, révolutionnant ainsi le paysage des données dans l’Union européenne.
Vue d’ensemble
La loi sur la gouvernance des données (DGA)[1] est l’une des mesures législatives prioritaires envisagées dans la communication ” Une stratégie européenne pour les données “[2] de la Commission européenne, et c’est la première initiative législative qui a été adoptée dans ce cadre. Dans cette communication de 2020, la Commission a annoncé son ambition de développer un cadre de gouvernance intersectoriel pour l’accès aux données et leur utilisation, en créant des espaces européens communs de données dans des secteurs stratégiques et des domaines d’intérêt public, y compris notamment un espace européen commun de données de santé. Cela implique la formation d’un marché intérieur numérique qui sert à faciliter le partage des données personnelles et non personnelles et à promouvoir la confiance numérique dans toute l’Union européenne conformément aux normes européennes en matière de confidentialité, de sécurité et d’éthique.
La Commission a présenté sa proposition [3] de DGA le 25 novembre 2020. À la suite d’une consultation publique et de cycles de négociations en trilogue entre les institutions européennes, le texte final de la DGA a été publié au Journal officiel de l’Union européenne le 3 juin 2022, après avoir été signé par les présidents du Parlement européen et du Conseil de l’Union européenne le 30 mai 2022. La DGA est entrée en vigueur 20 jours après sa publication et est devenue applicable à compter du 24 septembre 2023. S’agissant d’un règlement européen, la DGA est obligatoire dans tous ses éléments et directement applicable dans tous les États membres de l’Union européenne.
La gouvernance des données au niveau européen implique des règles structurelles et procédurales communes en matière de réutilisation et de partage des données, qui respectent les valeurs et principes européens établis, tels que ceux relatifs à la protection des données à caractère personnel. À cet égard, la DGA établit un cadre juridique qui régit notamment I) les conditions de réutilisation de certaines catégories de données détenues par des organismes du secteur public (c’est-à-dire, l’État, les collectivités territoriales, les organismes de droit public ou les associations formées par une ou plusieurs de ces collectivités, ou un ou plusieurs de ces organismes de droit public)[4] [5] ; II) la fourniture de services d’intermédiation de données[6] ; III) l’enregistrement volontaire des entités traitant des données mises à disposition à des fins altruistes[7] ; et IV) la création d’un Conseil européen de l’innovation dans le domaine des données[8].
Intéraction entre DGA et RGPD
Conformément à l’article 1(3) de la DGA, le droit de l’Union et le droit national des États membres en matière de protection des données à caractère personnel s’appliquent à toute donnée à caractère personnel traitée dans le cadre de la DGA ; en cas de conflit entre la DGA et ce droit de l’Union ou ce droit national, ce dernier prévaut. Plus précisément, la DGA ne constitue pas une base juridique pour le traitement des données à caractère personnel, et il n’affecte pas les droits et obligations stipulés dans le règlement général sur la protection des données (RGPD)[9], le règlement (UE) 2018/1725[10], la directive “vie privée et communications électroniques”[11] ou la directive (UE) 2016/680. [12] [13] En outre, le RGPD ne doit pas être interprété comme modifiant les exigences en matière d’information et ne devrait pas non plus empêcher les transferts internationaux de données à caractère personnel conformément au chapitre V du RGPD.[14] Lorsque des données à caractère personnel sont concernées, le traitement devrait reposer sur une ou plusieurs des bases juridiques prévues aux articles 6 et 9 du RGPD.[15] Les données à caractère personnel ne peuvent pas être transmises à un tiers en vue d’une réutilisation, à moins qu’une base juridique n’autorise la transmission.[16]
L’article 2, paragraphe 1, du RGPD définit les “données” au sens large comme toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ceux-ci, y compris sous la forme d’enregistrements sonores, visuels ou audiovisuels. Le terme “données à caractère personnel” est toutefois défini à l’article 4, paragraphe 1, du RGPD, ce qui permet de le distinguer des autres données (non personnelles) qui sont soumises à la DGA. De même, la DGA renvoie aux définitions fournies dans le RGPD de “données à caractère personnel”, “consentement”, “personnes concernées” et “traitement (de données à caractère personnel)”. En ce qui concerne le traitement des données à caractère personnel, l’organisme du secteur public responsable du registre contenant ces données en vertu de la DGA est considéré comme un responsable du traitement des données au sens du RGPD [17].
L’article 2, paragraphe 10, de la DGA définit en outre le partage de données comme la fourniture de données à un utilisateur de données (c’est-à-dire une personne morale ou physique qui a légalement accès à certaines données à caractère personnel ou non personnel et qui a le droit, y compris en vertu du RGPD dans le cas des données à caractère personnel, d’utiliser ces données à des fins commerciales ou non commerciales)[18] par une personne concernée ou un détenteur de données (c’est-à-dire une personne morale ou physique qui n’est pas une personne concernée par les données en question et qui a le droit d’accorder l’accès à certaines données à caractère personnel ou à des données non personnelles ou de les partager)[19].
Interplay Between DGA and GDPR
En ce qui concerne les conditions de réutilisation des données, la DGA souligne que la conception de ces conditions doit intégrer des garanties efficaces pour la protection des données à caractère personnel. Par exemple, dans l’idéal, les données à caractère personnel devraient être rendues anonymes avant leur transmission et, lorsque l’anonymisation ne répond pas aux besoins du réutilisateur des données, la réutilisation de données à caractère personnel pseudonymisées dans un “environnement de traitement sécurisé” (c’est-à-dire un environnement physique ou virtuel et des mesures organisationnelles garantissant la conformité avec le droit de l’Union, telles que le droit de la propriété intellectuelle et garantissant le respect du droit de l’Union tel que le RGPD en ce qui concerne notamment les droits des personnes concernées et le respect du droit national applicable des États membres, et à permettre à l’entité concernée de déterminer et de superviser toutes les actions de traitement des données)[20] pourrait être autorisée, à condition que le réutilisateur ait satisfait aux exigences des articles 35 et 36 du RGPD en ce qui concerne l’évaluation de l’impact sur la protection des données (DPIA) et la consultation de l’autorité de contrôle, et que les risques pour les droits et les intérêts des personnes concernées aient été jugés minimes.[21] Il est interdit aux réutilisateurs de données de réidentifier les personnes concernées et ils doivent mettre en œuvre des mesures techniques et opérationnelles pour empêcher une telle réidentification [22] Lorsqu’une violation de données a entraîné la réidentification des personnes concernées, le réutilisateur doit notifier la violation à l’organisme du secteur public, sans préjudice de son obligation de notifier l’autorité de contrôle et les personnes concernées conformément au RGPD [23].
Conseil européen de l’innovation en matière de données (EDIB) :
Établi en vertu de l’article 29 de la DGA, l’EDIB est un collectif d’experts en gouvernance des données provenant de l’ensemble de l’UE.
Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public
Plus précisément, pour favoriser la mise en place de mécanismes efficaces de réutilisation des données, la DGA définit les paramètres de réutilisation des données détenues par les organismes du secteur public qui sont protégées pour des raisons : I) de confidentialité commerciale ; II) de confidentialité statistique ; III) de protection des droits de propriété intellectuelle de tiers ; ou IV) de protection des données à caractère personnel – dans la mesure où ces données ne relèvent pas du champ d’application de la directive (UE) 2019/1024 (collectivement “données protégées”)[24] [25] Les accords d’exclusivité (p. ex, accords accordant des droits exclusifs de réutilisation des données) en ce qui concerne la réutilisation des données protégées sont interdits ;[26] toutefois, un tel accord d’exclusivité peut être exceptionnellement autorisé dans la mesure où il est nécessaire à la prestation d’un service ou à la fourniture d’un produit dans l’intérêt général qui ne serait pas réalisable autrement[27].
Conformément à l’article 5, paragraphe 1, de la DGA, les organismes compétents du secteur public chargés d’accorder ou de refuser l’accès en vue de la réutilisation de données protégées mettent à la disposition du public les conditions d’autorisation de cette réutilisation et la procédure à suivre pour demander la réutilisation par l’intermédiaire de “points d’information uniques” nationaux (c’est-à-dire des organismes ou structures nouveaux ou existants désignés par les États membres et par lesquels les informations pertinentes concernant les conditions de réutilisation et les redevances associées sont communiquées)[28] reçoivent les demandes de renseignements ou les demandes de réutilisation de ces données et transmettent ces données aux organismes compétents du secteur public ou aux organismes compétents désignés par les États membres pour aider les organismes du secteur public [29] [30] L’article 8, paragraphe 4, dispose en outre qu’un point d’accès unique européen est créé par la Commission pour offrir un registre électronique consultable des données disponibles dans les points d’information uniques nationaux des États membres et pour fournir des informations sur la manière de demander des données par l’intermédiaire de ces points d’information uniques nationaux.
Un organisme du secteur public peut imposer des exigences supplémentaires pour protéger les données protégées [31].En ce qui concerne les conditions d’octroi de l’accès pour la réutilisation des données protégées, l’organisme du secteur public peut exiger, par exemple, l’anonymisation des données à caractère personnel ou un environnement de traitement sécurisé fourni ou contrôlé par l’organisme du secteur public en cas d’accès à distance et de réutilisation des données [32]. Si la réutilisation de données protégées ne peut être autorisée conformément à ces exigences et qu’il n’existe pas de base juridique pour la transmission des données en vertu du RGPD, l’autorité du secteur public aide les réutilisateurs potentiels de données à obtenir le consentement des personnes concernées ou les autorisations des détenteurs de données dont les intérêts et les droits peuvent être affectés par la réutilisation, à condition que cela ne représente pas une charge disproportionnée pour l’autorité du secteur public [33]. Conformément au principe “aussi ouvert que possible, aussi fermé que nécessaire”, les organismes du secteur public sont particulièrement encouragés à formuler une approche harmonisée en ce qui concerne l’accès aux données aux fins de la recherche scientifique dans l’intérêt public [34]. Par exemple, les organismes du secteur public peuvent élaborer des procédures administratives rationalisées et des champs de données normalisés qui ouvrent la voie à la jonction d’ensembles de données provenant de différentes sources [35].
Lorsqu’un réutilisateur de données protégées à l’intention de transférer des données non personnelles vers un pays tiers, il doit, au moment de la demande de réutilisation, informer l’organisme du secteur public de cette intention et de la finalité du transfert. L’organisme du secteur public ne transmet pas de données confidentielles non personnelles ou de données protégées par des droits de propriété intellectuelle à un réutilisateur qui a l’intention de transférer ces données vers un pays tiers qui n’est pas reconnu par la Commission comme I) assurant la protection de la propriété intellectuelle et des secrets d’affaires d’une manière essentiellement équivalente à la protection prévue par le droit de l’Union ; II) étant effectivement appliqué et respecté ; et III) offrir un recours juridictionnel effectif [36] – à moins que le réutilisateur ne s’engage contractuellement à I) respecter les droits de propriété intellectuelle et, dans le cas de données confidentielles, à veiller à ce que les données ne soient pas divulguées même après leur transmission au pays tiers ; et II) en ce qui concerne tout litige découlant de ces obligations de respect, à accepter la compétence des cours ou tribunaux de l’État membre de l’organisme du secteur public qui transmet les données [37]. [À cet égard, la Commission peut adopter des actes d’exécution pour établir des clauses contractuelles types [38].
L’article 9, paragraphe 1, de la DGA prévoit un délai général de deux mois à compter de la date de réception d’une demande de réutilisation de données protégées, dans lequel un organisme du secteur public compétent ou un organisme compétent adopte une décision sur cette demande. Les organismes du secteur public qui autorisent la réutilisation de données protégées peuvent percevoir des redevances pour cette réutilisation [39].
Exigences applicables aux services d’intermédiation de données
L’article 12 de la DGA précise les conditions de fourniture de services d’intermédiation de données (c’est-à-dire, les services qui visent à favoriser les relations commerciales par des moyens techniques, juridiques ou autres aux fins du partage de données)[40] entre I) les détenteurs de données et les utilisateurs potentiels de données ; II) les personnes concernées qui souhaitent mettre à disposition leurs données à caractère personnel (ou les personnes physiques qui souhaitent mettre à disposition des données à caractère non personnel) et les utilisateurs potentiels de données ; et III) les services des coopératives de données[41]. Par exemple, un fournisseur de services d’intermédiation de données doit fournir les services par l’intermédiaire d’une personne morale distincte et ne doit pas utiliser les données concernées à des fins autres que la mise à disposition des utilisateurs de données ; le cas échéant, le fournisseur de services d’intermédiation de données peut être tenu de préciser la juridiction du pays tiers dans laquelle l’utilisation des données doit avoir lieu, de fournir aux personnes concernées des outils permettant à la fois de donner et de retirer leur consentement, et de fournir aux détenteurs de données des outils permettant à la fois de donner et de retirer l’autorisation de traiter les données[42].
Pour être autorisé à fournir ces services, un prestataire de services d’intermédiation de données doit d’abord soumettre une notification à l’autorité compétente afin de lui fournir certaines informations obligatoires, y compris, entre autres, l’adresse d’un site web public où des informations complètes et actualisées sur le prestataire de services et ses activités peuvent être trouvées (nom, statut juridique et structure de propriété, numéro d’enregistrement, adresse, description des services d’intermédiation de données à fournir, etc. ) [43] Dès la délivrance d’une déclaration normalisée par l’autorité compétente confirmant la soumission de la notification conformément à la procédure de notification, le prestataire de services d’intermédiation de données peut utiliser le label “prestataire de services d’intermédiation de données reconnu dans l’Union” dans sa communication et en tant que logo commun [44].
L’altruisme des données
Outre les mécanismes de certification pour la fourniture de services d’intermédiation de données, la DGA définit également les exigences et les conditions d’enregistrement pour la fourniture de services basés sur l’altruisme en matière de données, qui implique le partage volontaire de données sur la base I) du consentement des personnes concernées au traitement des données à caractère personnel les concernant, ou II) des autorisations des détenteurs de données pour permettre l’utilisation de données non personnelles sans recevoir une récompense allant au-delà de la compensation liée aux coûts encourus, lorsqu’ils mettent à disposition des données pour poursuivre des objectifs d’intérêt général tels que les soins de santé [45].
Une entité qualifiée pour l’enregistrement en tant qu’organisation reconnue d’altruisme en matière de données doit : I) mener des activités d’altruisme en matière de données ; II) être une personne morale établie en vertu du droit national pour atteindre des objectifs d’intérêt général ; III) fonctionner sans but lucratif et être juridiquement indépendante de toute entité opérant dans un but lucratif ; IV) mener des activités d’altruisme en matière de données par l’intermédiaire d’une structure fonctionnellement distincte des autres activités ; et V) se conformer à un recueil de règles qui doit être établi par la Commission au moyen d’actes délégués en ce qui concerne les exigences en matière d’information, les exigences techniques et de sécurité, les feuilles de route en matière de communication et les recommandations sur les normes d’interopérabilité. [46] [47].
L’article 17 de la DGA prévoit en outre que chaque autorité compétente chargée de l’enregistrement des organisations d’altruisme de données tient un registre national public de ces organisations reconnues, tandis que la Commission tient un registre public de l’Union à des fins d’information [48]. Une entité dûment enregistrée peut utiliser le label “organisation d’altruisme de données reconnue dans l’Union” dans ses communications et en tant que logo commun [49].
Une entité qualifiée peut demander à être enregistrée dans le registre national public des organisations d’altruisme de données reconnues dans l’État membre où elle est établie ou dans lequel elle a son principal établissement [50]. Si une entité qualifiée n’est pas établie dans l’Union européenne, elle doit désigner un représentant légal dans l’un des États membres où les services d’altruisme de données sont offerts [51]. Dans sa demande, l’entité qualifiée doit indiquer notamment les objectifs d’intérêt général qu’elle entend promouvoir lors de la collecte des données, la nature des données qu’elle entend contrôler ou traiter, et les catégories de données à caractère personnel lorsque des données à caractère personnel sont concernées [52].
Pour faciliter la collecte de données sur la base de l’altruisme, la Commission entend élaborer un formulaire européen de consentement à l’altruisme, en consultation avec le Conseil européen de la protection des données (CEPD), afin d’établir un format uniforme dans lequel le consentement ou les autorisations peuvent être recueillis dans les États membres [53]. Le formulaire européen de consentement à l’altruisme doit être conforme aux exigences (par exemple, les conditions du consentement) prévues par le RGPD dans le cas où les personnes concernées donnent ou retirent leur consentement [54].
Liste de référence
Conseil européen de l’innovation dans le domaine des données
L’article 29 de la DGA prévoit que la Commission établit un Conseil européen de l’innovation dans le domaine des données sous la forme d’un groupe d’experts, qui comprend les autorités compétentes pour les services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations d’altruisme de données de tous les États membres, l’EDPB, le Contrôleur européen de la protection des données (CEPD), l’Agence de l’Union européenne pour la cybersécurité (ENISA), la Commission, l’Envoyé de l’Union européenne pour les petites et moyennes entreprises (Envoyé de l’UE pour les PME) ou un représentant désigné par le Réseau des Envoyés pour les PME, et d’autres représentants d’organismes compétents dans des secteurs spécifiques ainsi que d’organismes possédant une expertise particulière. [55]
En particulier, le Conseil européen de l’innovation dans le domaine des données est chargé de proposer des lignes directrices sur les espaces européens communs de données en ce qui concerne les normes et pratiques communes interopérables spécifiques à une finalité, sectorielles ou transectorielles soutenant le traitement conjoint ou le partage de données pour faire avancer, entre autres, les initiatives de recherche scientifique [56].
Yve Wu
