L’économie européenne fondée sur les données est sur le point d’être révolutionnée par un règlement européen sur la gouvernance des données, facilitant la réutilisation des données protégées du secteur public, créant des services d’intermédiation de données sécurisés et indépendants, et favorisant l’altruisme en matière de données dans l’ensemble de l’Union européenne.

Le projet de règlement " Data Governance Act1 " vise à la mise en place d’un marché unique des données, et donc à lever les obstacles au bon fonctionnement de l’économie fondée sur les données, et, pour ce faire, à encadrer : 
- la réutilisation des données, notamment celles détenues par le secteur public dans des domaines tels que la santé, la mobilité, l’énergie, le pacte vert pour l’Europe ; 
- la fourniture de services aux entreprises utilisatrices et aux personnes concernées par des prestataires de services de partage de données, afin de créer un cadre harmonisé pour les échanges favorisant le partage des données ; 
- la collecte et le traitement des données mises à disposition à des fins altruistes par les personnes.

I. Réutilisation des données du secteur public

La proposition repose sur l’idée selon laquelle les données produites aux frais de budgets publics devraient profiter à la société, et sur le constat que certaines caté­gories de données ne sont pas aisément accessibles parce que protégées par le secret médical et/ou du fait de leur carac­tère personnel, des droits de propriété intellectuelle, le secret des affaires.

Et ce, alors qu’il existe des techniques permettant d’effectuer des analyses res­pectueuses, telles que l’anonymisation, la " pseudonymisation ", la confiden­tialité différentielle, la généralisation ou la suppression et la randomisation, ou, lorsque la fourniture de données anony­misées ou modifiées ne permet pas de répondre aux besoins, une mise à dispo­sition des données dans un environne­ment de traitement sécurisé et supervisé par le secteur public.

" Le numérique génère quantité de données dont la réutilisation est clef pour l’innovation, au bénéfice des citoyens. "

Bien sûr, la réutilisation des données doit se faire dans le respect d’une base juridique, notamment le consentement de la personne concernée, du droit de la concurrence et de conditions d’accès non discriminatoires, proportionnées et objectivement justifiées.

La valorisation des données est prévue, permettant aux organismes du secteur public de percevoir des redevances pour la réutilisation des données, le cas échéant différenciées selon la typologie d’acteurs bénéficiaires afin d’encourager les petites et moyennes entreprises.

Les États membres sont invités à mettre en place un point d’information unique pour les réutilisateurs de données déte­nues par les organismes publics, et désigner un ou plusieurs organismes compétents, éventuellement à carac­tère sectoriel, pour appuyer, en qualité de sous-traitant(s), les organismes du secteur public qui accordent l’accès aux données pour réutilisation, dans la mise en œuvre de traitements sécurisés ou la gestion du consentement.

II. Les prestataires de services de partage

Ces intermédiaires de données sont appelés à jouer un rôle clé dans l’écono­mie fondée sur les données, en facilitant l’agrégation et l’échange de quantité de données pertinentes, via des services de mise en relation commerciale, juridique et technique des différents acteurs, per­sonnes morales et personnes physiques. Leur légitimité suppose une indépendance tant à l’égard des détenteurs de données que des utilisateurs. Ainsi, ne sauraient fournir des services de partage, les presta­taires de services en nuage, et les courtiers en données ou publicité, les cabinets de conseil en données, etc.

Enfin, ne constituent pas des prestataires de services de partage, les entités qui limitent leurs activités à faciliter l’uti­lisation de données mises à disposition selon le principe de l’altruisme en matière de données.

Parmi les prestataires de services de partage, les " coopératives de données " proposant leurs services à des personnes concernées aux personnes concernées constituent une catégorie particu­lière d’intermédiaires de données, et cherchent à renforcer la capacité d’action individuelle et le contrôle des individus sur les données les concernant. Ils les aident à exercer leurs droits au titre du RGPD, et notamment la gestion de leur consentement. Leur modèle commercial doit garantir l’absence d’incitations ina­daptées poussant les personnes à mettre à disposition davantage de données qu’elles ne devraient le faire dans leur propre intérêt. Ces prestataires pour­raient notamment fournir, à des fins de sécurité, un " espace de données à caractère personnel " afin de permettre un traitement sans transferts à des tiers.

La neutralité des prestataires de services de partage est fondamentale pour instau­rer la confiance et accroître le contrôle des détenteurs et utilisateurs de données, à cet égard ces prestataires, établis ou repré­sentés dans l’UE, ne doivent agir qu’en tant qu’intermédiaires dans les transac­tions, et ne sauraient utiliser les données échangées à une autre fin. Afin d’éviter les conflits d’intérêts, le service de partage de données doit être fourni par une entité juridique distincte des autres activités du prestataire. En outre, les coopératives de données doivent assumer un devoir de loyauté à l’égard des personnes physiques afin d’en préserver les intérêts.

Afin de garantir une gouvernance au sein de l’Union, fondée sur un échange de don­nées digne de confiance, tout prestataire de services de partage est tenu de procéder à une notification de son activité à l’au­torité compétente, assortie des renseigne­ments relatifs à sa forme et son activité.

III. L’altruisme en matière de données

Cette nouvelle terminologie recouvre la mise à disposition de données à carac­tère personnel volontairement par des personnes concernées avec leur consen­tement, ou de données non personnelles par des personnes morales, et vise la réu­tilisation à des fins d’intérêt général des données, définies comme incluant notam­ment les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, mais aussi le soutien à la recherche scientifique, au développement technologique y compris financé par des fonds privés. L’ambition est de faire émer­ger des réserves de données d’une taille suffisante pour permettre l’apprentissage automatique, y compris en dehors de l’UE.

Les entités cherchant à promouvoir des finalités d’intérêt général en mettant à disposition des données à grande échelle pourront s’enregistrer en tant qu’" orga­nisation altruiste en matière de données reconnue dans l’Union ". Ces entités devront avoir un but non lucratif, répondre à des exigences de transpa­rence notamment concernant les garan­ties, visant à protéger les droits et intérêts des personnes concernées et entreprises, concernant les environnements de traite­ment sécurisés, les mécanismes de sur­veillance tels que conseils d’éthique, les moyens techniques efficaces pour retirer ou modifier le consentement et informer sur l’utilisation des données.

Les personnes concernées pourront consentir à des finalités spécifiques, mais également " donner leur consente­ment au traitement de données dans certains domaines de recherche ou pour certaines parties de projets de recherche, sachant qu’il est souvent impossible de cerner entière­ment la finalité d’un traitement de données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données ". Une importante avancée pour le milieu de la recherche !

Un formulaire de consentement européen à l’altruisme en matière de données sera élaboré par la Commission au moyen d’un acte d’exécution.

Les sanctions applicables aux violations des dispositions du règlement seront déterminées par les États membres tenus de veiller à ce qu’elles soient effectives, proportionnées et dissuasives. Ce règle­ment sera applicable douze mois après son entrée en vigueur prévue pour le premier semestre 2022 et directement applicable compte tenu de sa nature.

SUR LES AUTEURS. Marguerite Brac de La Perrière et Mathilde Croze, associées de l’équipe IT Data du cabinet Lerins, disposent de compétences complémentaires en droit du numérique, dans un contexte international, avec de fortes expertises en matière d’intelligence artificielle, de Big Data, de santé numérique et de contractualisation sur des projets innovants.

1 Proposition de règlement sur la gouvernance européenne des données.