Data Governance Act : l’Europe pose la première pierre de sa stratégie pour les données

Le 23 juin dernier, le nouveau règlement européen sur la gouvernance des données (Data Governance Act, DGA) est entré officiellement en vigueur. Après une période de grâce de quinze mois, il produira ses premiers effets en septembre 2023.

Ce texte s’inscrit dans la « stratégie européenne pour les données »¹, elle-même une sous-branche de la stratégie « façonner l’avenir numérique de l’Europe »², dévoilée en février 2020 par la Commission européenne, dont l’une des six priorités pour la période 2019-2024 consiste à « adapter l’Europe à l’ère numérique »³.

À cette fin, l’Union européenne a entrepris notamment de se doter de nouveaux instruments juridiques dans le domaine de l’économie de plateforme (Digital Markets Act et Digital Services Act (voir La rem, n°61-62, p.100), de l’Intelligence artificielle (Artificial Intelligence Act), et, bien entendu, dans celui qui concerne la matière première de l’économie numérique : les données.

Une « stratégie pour les données » en deux piliers

Jusqu’ici, le principal outil réglementaire dans ce domaine était le règlement général sur la protection des données (RGPD), qui ne concerne que les données personnelles⁴ et qui vise à les protéger en vertu du respect de la vie privée (voir La rem n°42-43, p.21). Or, pour la Commission européenne, non seulement les données personnelles peuvent aussi nourrir des « innovations » susceptibles « d’apporter des avantages énormes aux particuliers », mais en outre « le volume croissant de données des secteurs privé et public à caractère non personnel en Europe […] constituera une source potentielle de croissance et d’innovation dont il convient de tirer parti »⁵.

L’ambition de sa stratégie pour les données est donc de mettre en place « une approche globale de l’économie fondée sur les données qui vise à accroître l’utilisation et la demande de données et de produits et services fondés sur les données dans l’ensemble du marché unique ». Cette approche doit toutefois se distinguer de celle des États-Unis, où « l’organisation de l’espace de données est laissée au secteur privé, avec des effets de concentration considérables » et de celle de la Chine, qui « combine une surveillance gouvernementale avec un fort contrôle des grandes entreprises de haute technologie sur des volumes massifs de données sans garanties suffisantes pour les particuliers »⁶.

Pour « réaliser le potentiel de l’Europe », celle-ci doit donc trouver sa propre voie, « en équilibrant le flux et la large utilisation des données, tout en préservant des normes élevées en matière de protection de la vie privée, de sécurité, de sûreté et d’éthique ».

En l’occurrence, la stratégie de la Commission repose sur l’adoption de deux règlements complémentaires : le règlement sur la gouvernance des données (DGA) et le règlement sur les données (Data Act). Comme l’explique la Commission sur son site internet : « Alors que le règlement sur la gouvernance des données (DGA) crée les processus et les structures nécessaires pour faciliter l’utilisation des données, le règlement sur les données (Data Act, DA) précise qui peut créer de la valeur à partir des données et dans quelles conditions. »⁷ Contrairement au DGA, le règlement sur les données (Data Act) n’est toutefois pas encore finalisé. La Commission a publié sa proposition en février 2022 et les consultations sont toujours en cours entre les différents comités concernés au sein du Parlement européen, ainsi qu’avec le Conseil⁸.

Favoriser le partage volontaire de données

En ce qui concerne le DGA, l’objectif consiste donc à rendre un maximum de données disponibles et utilisables en fournissant un cadre destiné à favoriser le partage volontaire de données par des individus, des entreprises ou des institutions. Trois cas de figure sont visés plus particulièrement par le texte.

1. La réutilisation de données protégées détenues par le secteur public

Comme l’explique la Commission, la directive européenne sur les données ouvertes permet déjà la réutilisation de certaines données publiques détenues par des instances gouvernementales. Mais celles-ci détiennent également des données protégées (par exemple, des données de santé) potentiellement précieuses pour le développement de nouveaux produits ou services. L’objectif est donc d’en favoriser la réutilisation par des acteurs tiers, mais sans en compromettre la confidentialité. Ainsi, le texte prévoit des contraintes techniques (anonymisation, recours à des chambres sécurisées, etc.), des obligations procédurales (obligation d’assistance, réponse dans un délai raisonnable, etc.) ou encore des limites en termes de redevances demandées (par exemple, celles-ci ne peuvent pas être trop élevées et idéalement elles devraient favoriser les réutilisations pour des motifs non-commerciaux ou par des PME).

2. Le recours à des services d’intermédiation de données

C’est peut-être la principale innovation du DGA. Pour la Commission, il s’agit en effet d’offrir « un modèle alternatif aux pratiques de traitement des données des géants du numérique, qui disposent d’un pouvoir de marché élevé parce qu’ils contrôlent de grandes quantités de données »⁹. Ainsi, contre les Big Tech (Twitter, SnapChat, Facebook, Instagram, YouTube) qui amassent de grandes quantités de données pour leur usage exclusif et sans aucune possibilité de contrôle, le recours à des intermédiaires doit permettre de créer des réservoirs de données partagées où détenteurs et utilisateurs sont mis en relation selon des règles claires, garanties par le service d’intermédiation. Ces services sont eux-mêmes soumis à des exigences strictes, notamment en termes de transparence et de neutralité. Pas question, par exemple, de monnayer les données qu’ils récoltent ou de les utiliser dans le cadre d’autres activités. Si d’autres services sont proposés par une même entreprise, ils doivent être légalement et économiquement séparés des activités d’intermédiation. Et pas question non plus de discriminer des utilisateurs qui seraient déjà présents sur d’autres plateformes. Pour garantir le respect de ces conditions, les services d’intermédiation devront bénéficier d’un label délivré par les autorités compétentes, qui seront également en charge d’en contrôler le respect.

3. L’altruisme en matière de données

Il s’agit ici de favoriser le partage gratuit et volontaire de données utilisées dans la poursuite d’objectifs d’intérêt public (par exemple, recherche médicale, mobilité, environnement). À cette fin, encore une fois, le texte prévoit la création d’« intermédiaires de confiance » reconnus comme tels à travers le respect de  toute une série de conditions. Parmi celles-ci, l’obligation d’être des structures à but non-lucratif, de respecter des critères d’information et de transparence ou encore de se conformer à un « recueil de règles » (notamment technique ou en matière d’inter­opérabilité) qui sera développé par la Commission. Ces « organisations altruistes en matière de données » pourront utiliser un logo commun, et un formulaire de consentement unique sera diffusé à l’échelle européenne pour faciliter et clarifier les conditions de partage et d’utilisation de ces données dans toute l’UE.

Comité d’innovation et transferts internationaux

À côté de ces trois scénarios de partage volontaire de données, le DGA consacre également la création d’un Comité européen de l’innovation dans le domaine des données. Instituée par la Commission, cette structure se composera « de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres, du Comité européen de la protection des données, du Contrôleur européen de la protection des données, de l’Enisa [Agence de l’Union européenne pour la cybersécu­rité], de la Commission, du représentant de l’UE pour les PME ou d’un représentant désigné par le réseau des représentants des PME, et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière » (DGA, chap. VI, art. 29). Ce comité fonctionnera sur la base de trois sous-groupes (autorités compétentes ; discussions techniques ; implication des parties prenantes), avec pour objectifs de « faciliter le partage des meilleures pratiques, notamment en ce qui concerne l’intermédiation des données, l’altruisme en matière de données et l’utilisation des données publiques qui ne peuvent être mises à disposition en tant que données ouvertes, ainsi que la hiérarchisation des normes d’inter­opérabilité intersectorielles »¹⁰.

Enfin, autre chapitre important, le DGA prévoit des dispositions en matière d’accès et de transfert international de données, un sujet sensible au sein des débats sur la gouvernance numérique mondiale¹¹. Encore une fois, jusqu’ici les principaux garde-fous ne s’appliquaient qu’aux transferts internationaux de données personnelles à travers les exigences inscrites dans le RGPD. Dorénavant, les transferts de données non-personnelles seront donc également couverts par les dispositions du DGA, dans les trois cas de figure prévus par le texte (données publiques protégées ; services d’intermédiation de données ; altruisme en matière de données). À l’image des conditions incluses dans le RGPD pour le transfert de données personnelles, « le réutilisateur dans le pays tiers devra assurer le même niveau de protection des données que le niveau de protection assuré par la législation européenne, et accepter la juridiction européenne respective ». En outre, la commission « peut adopter des décisions d’adéquation supplémentaires pour le transfert de données publiques protégées en vue de leur réutilisation lorsqu’il s’agit d’une demande d’accès à des données non personnelles provenant d’un pays tiers »¹².

Mise en œuvre et interrogations

Le DGA marque donc un pas supplémentaire permettant à l’Union européenne de se doter de ses propres règles en matière de fonctionnement de l’économie numérique, à la fois pour y promouvoir ses « valeurs fondamentales », mais aussi pour essayer d’y gagner une position plus compétitive par rapport aux géants américains et chinois. Reste à savoir si ces deux objectifs ont la même légitimité¹³, s’ils sont compa­tibles entre eux (et jusqu’à quel point) et si la voie empruntée est la meilleure pour les atteindre. Miser sur le partage volontaire de données, par exemple, pour briser la suprématie des Big Tech apparaît comme un pari pour le moins optimiste. Et l’équilibre que prétend trouver le texte entre confidentialité et contrôle sur les données, d’un côté, et maximi­sation de leur utilisation, y compris commerciale, de l’autre, peut rapidement s’avérer précaire.

Sources :

1. Commission européenne, « Une stratégie européenne pour les données », communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Bruxelles, 19 février 2020.
2. Commission européenne, « Façonner l’avenir numérique de l’Europe », communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Bruxelles, 19 février 2020.
3. Voir les détails sur le site de la commission : https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_fr.
4. Le RGPD définit les données personnelles comme étant « toute information se rapportant à une personne physique identifiée ou identifiable », soit directement (par exemple, à travers le nom et prénom), soit indirectement (par exemple, à travers un numéro de téléphone). À l’inverse, les données non-personnelles sont définies comme « toutes les données autres que les données à caractère personnel » (par exemple, données anonymisées, données climatiques ou données industrielles).
5. Commission européenne, « Une stratégie européenne pour les données… », Ibid.
6. Ibid.
7. https://digital-strategy.ec.europa.eu/en/policies/data-act.
8. Ibid.
9. https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained. 
10. Ibid.
11. C’était notamment le sujet du dernier « Rapport sur l’économie numérique » de la CNUCED (Conférence des Nations unies sur le commerce et le développement) : « Flux de données transfrontières et développement : Le numérique, au profit de qui ? », rapport sur l’économie numérique 2021, Genève, CNUCED. 
12. https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained. 
13. Par exemple, jusqu’où faut-il participer à la course actuelle à la numérisation, compte tenu notamment de ses coûts environnementaux croissants ou encore de ses conséquences politico-anthropologiques ? Lire à ce propos : L’Enfer numérique, Guillaume Pitron, Les liens qui libèrent, 2021 ou encore Contre-atlas de l’intelligence artificielle, Kate Crawford, Zulma, 2022.