L’Acte sur la gouvernance des données (AGD) a été publiée au Journal officiel de l'Union européenne le 3 juin 2022, après avoir été approuvée par le Conseil le 16 mai 2022. L’AGD s'appliquera dans les États membres à partir du 24 septembre 2023. Les services d'intermédiation de données fournissant les services au 23 juin 2022 disposeront d'un délai supplémentaire, jusqu'au 24 septembre 2025, pour se conformer aux règles applicables à leurs services.
L’AGD vise à remédier au fait que le partage de données reste limité au sein de l'Union européenne (UE). A cette fin, il crée des opportunités pour rendre les données disponibles. Il fournit un cadre pour faciliter le partage de données par les entreprises, les particuliers et le secteur public. L'idée est qu'une meilleure utilisation des données conduira à des améliorations pour l'intérêt général, y compris pour les entreprises et les citoyens.
Pour atteindre cet objectif, l’AGD augmente le partage volontaire de données, qu'elles soient personnelles ou non. Il le fait par trois modèles de gouvernance : (1) il établit des mécanismes pour une meilleure réutilisation des données du secteur public soumises à des droits d'autrui ; (2) il crée la confiance envers les services d'intermédiation de données ; et (3) il facilite l'altruisme en matière de données. Lorsque les données concernent des données à caractère personnel, l’AGD complétera les règles du Règlement général sur la protection des données (RGPD), qui resteront toujours applicables.
Réutilisation des données du secteur public soumises à des droits d'autrui
Les organismes du secteur public ont la possibilité de partager leurs données soumises à des droits d'autrui. Cela concerne les données commerciales confidentielles (par exemple, les secrets d’affaires des entreprises), les données couvertes par le secret statistique, les données protégées par des droits de propriété intellectuelle et les données à caractère personnel qui sont protégées par le RGPD.
Si les organismes du secteur public choisissent de partager ces données, ils doivent introduire des conditions de base harmonisées pour la réutilisation. Des mesures techniques visant à garantir la protection des données, le respect de la vie privée et la confidentialité des données doivent accompagner la réutilisation, par exemple en anonymisant ou en pseudonymisant les données avant le partage. Les organismes du secteur public doivent également être en mesure de vérifier les résultats du traitement des données par le réutilisateur et ils peuvent interdire l'utilisation des résultats si cela risque de porter atteinte aux droits et aux intérêts de tiers. Les accords d'exclusivité sont, en principe, interdits. Toutefois, des exceptions pour une durée maximale de 12 mois sont possibles sous certaines conditions.
L’AGD se limite à la réutilisation de certaines données du secteur public au sein de l'UE. Le transfert de données du secteur public vers des pays tiers est restreint. Ici, des exigences similaires à celles du RGPD s'appliquent, ce qui signifie que le transfert doit être encadré par des garanties.
Comment saurez-vous quelles données sont disponibles ? Les États membres devront mettre en place un point d'information unique pour aider les chercheurs et les entreprises à identifier les données appropriées. La Commission établira un point d'accès unique européen consistant en un registre électronique consultable de toutes les données disponibles dans les points d'information uniques nationaux. Le point d'accès unique européen aidera les entreprises, les chercheurs et le secteur public à demander des données via ces points d'information uniques.
Services d'intermédiation de données
Le partage des données est d’autant plus facilité par les services d'intermédiation de données (ID). Ces services ID facilitent l'échange de données et établissent une relation commerciale entre les détenteurs de données (qui ont le droit d’octroyer l'accès aux données mais qui ne sont pas des personnes concernées, par exemple un employeur) et les personnes concernées (une personne physique identifiée ou identifiable), d’une part, et les utilisateurs de données (une personne physique ou morale qui dispose d’un accès licite aux données et qui a le droit d’utiliser ces données), d’autre part. Les règles relatives aux services d’ID ne se limitent pas aux données du secteur public mais s’appliquent à tous les types de données.
L’AGD met en place un système de notification et de contrôle de ces services ID, qui devrait créer la confiance nécessaire pour que les individus et les entreprises partagent leurs données personnelles et non personnelles. Les entités qui souhaitent devenir un service d’ID devront le notifier à une autorité compétente nationale qui contrôlera leurs services. Les entités doivent respecter certaines conditions, par exemple maintenir leur neutralité vis-à-vis des données partagées, ne pas utiliser les données à d’autres fins, ne pas enrichir les données ou leur donner une valeur ajoutée et être, en principe, établies dans l’UE.
Altruisme en matière de données
Le troisième modèle de partage de données est l'altruisme en matière de données. Il s'agit du partage volontaire de données sur la base du consentement de la personne concernée ou de l'autorisation accordée par le détenteur de données, sans chercher à obtenir une quelconque contrepartie, dans l’intérêt général. Là encore, le type de données n'est pas limité aux données du secteur public, mais le modèle s'applique à toutes les données.
Les organisations qui souhaitent s'engager dans l'altruisme en matière de données peuvent s'inscrire volontairement afin d'accroître la confiance dans leurs opérations. L'autorisation sera gérée par une autorité compétente nationale. Toutes les organisations reconnues seront inscrites dans des registres publics nationaux et européens et pourront utiliser un logo européen spécifique. Ils devront également remplir certaines conditions. Par exemple, ils ne peuvent pas réaliser de bénéfices ou doivent être formés pour atteindre des objectifs d'intérêt général, ils doivent fournir ces services dans une structure distincte de leurs autres activités, ils doivent respecter certaines exigences de transparence, tenir des registres complets et se conformer au recueil des règles de la Commission sur les normes d'information, de sécurité et d'interopérabilité.
Le problème de l'altruisme en matière de données est bien sûr l'obstacle de la base juridique : comment les personnes concernées peuvent-elles donner leur consentement ou comment les détenteurs de données peuvent-ils donner leur autorisation ? C'est pourquoi l’AGD introduit un formulaire européen de consentement à l'altruisme en matière de données. Ce formulaire devrait faciliter la collecte du consentement ou de l’autorisation, mais aussi le retrait du consentement ou de l’autorisation.
Gouvernance
Deux entités joueront un rôle central dans la gouvernance de l’AGD. Tout d'abord, le Comité européen d'innovation dans le domaine des données (CEID), nouvellement créé, coordonnera les efforts dans les États membres et au niveau européen et conseillera la Commission. L’CEID sera un groupe d'experts officiel composé de membres du monde universitaire, de la recherche, de l'industrie et de la société civile. Deuxièmement, chaque État membre devra désigner une autorité compétente pour contrôler, y compris par l'imposition de pénalités et de sanctions, les services d'intermédiation de données et les entités pratiquant l'altruisme en matière de données. Les personnes physiques et morales peuvent déposer des plaintes auprès des autorités compétentes nationales. L’AGD laisse aux États membres le soin de définir les règles relatives aux sanctions.
Eubelius est prêt à vous aider à appliquer l’AGD et à rechercher les possibilités d'améliorer le partage de données au profit de votre organisation.