En Europe, les restrictions au partage des données entre entreprises freinent la compétitivité de l’industrie européenne. Le règlement sur la gouvernance des données vise à apporter des solutions, notamment en régulant les plateformes de partage de données.

Le règlement sur la gouvernance des données, appelé  "Data Governance Act" (DGA) vise à créer un marché unique européen des données (personnelles ou non) basé sur une nouvelle stratégie de partage des données par le biais de fournisseurs de services d’intermédiation de données. Cette stratégie devrait renforcer la fiabilité des espaces communs européens de données et permettre aux parties prenantes de partager plus facilement des données par le biais de ces intermédiaires qui agiraient comme une "place de marché de données".

Contexte des "pools" de données dans le cadre du "DGA"

 Les pools de données sont des espaces centralisés où les partenaires commerciaux peuvent partager, obtenir et/ou conserver des données pour que la même entreprise ou d’autres puissent accéder à ces informations et les utiliser dans des conditions prédéterminées.

 Il ne fait aucun doute que ce nouveau système offre de nombreuses possibilités aux industries – telles que l’entraînement des algorithmes, l’apprentissage automatique, l’optimisation des processus, le développement de nouveaux produits, les initiatives de recherche et développement, etc. Ces pools seront utiles dans le cadre de relations commerciales impliquant plusieurs entreprises. C’est pourquoi, seuls ceux visant à établir une relation commerciale entre détenteurs et utilisateurs de données seront soumis au DGA.

Les participants aux pools de données pourront décider quelles données partager, qui sera autorisé à accéder à ces données et dans quelles conditions, tout en tenant compte des règles et des conditions techniques des services d’intermédiation de données (et d’autres réglementations, notamment le droit de la concurrence).

"Cette nouvelle norme permettra de réduire les coûts dans les relations commerciales"

Le partage des données pourra être multilatéral et réservé aux participants aux pools de données, ou être ouvert aux tiers souhaitant accéder à ces données, pour "une utilisation conjointe ou individuelle de ces données".

L’une des options pour ces pools de données est l’accès ouvert et disponible à toute partie intéressée à des conditions égales (par exemple, par le biais de licences). En effet, l’accès aux pools de données ne sera pas nécessairement gratuit. Les participants, grâce à ce mécanisme, pourront recevoir des "redevances" ou une "compensation" pour leur contribution, ce qui incitera à la création d’espaces de données.

Quels types de données peuvent alimenter un pool de données ?

Toutes les données que les entreprises ont le droit de communiquer à des tiers, avec certaines limites, comme les contenus protégés par le droit d’auteur. En d’autres termes, toute donnée non personnelle peut alimenter les pools de données, à condition qu’elle ne soit pas protégée par des droits sectoriels (par exemple, le secret des affaires, la propriété intellectuelle, une exigence de confidentialité ou d’exclusivité, etc.).

Quant aux données personnelles, elles peuvent être partagées tant que cela se fait en conformité avec le règlement général sur la protection des données (RGPD). Dans ce contexte, l’utilisation de l’anonymisation ou de la pseudonymisation pourrait faciliter le partage des données personnelles dans les pools. Dans tous les cas, tant que les données conservent leur caractère personnel, les pools doivent permettre aux personnes concernées d’exercer leurs droits en matière de protection des données.

L’information partagée dans les pools de données ne doit pas être enrichie ou modifiée par le prestataire de services d’intermédiation. Elles doivent être proposées telles qu’elles ont été fournies par les participants avec une certaine adaptation du format pour des raisons d’harmonisation des normes ou d’amélioration de l’interopérabilité.

Gestion des pools de données : fournisseurs de services d’intermédiation de données

Les pools de données doivent être gérés par une nouvelle partie prenante définie dans la DGA: le fournisseur de services d’intermédiation de données. Ce service d’intermédiation de données est défini comme suit : "Un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part."

Ce nouveau rôle consistant à fournir un service d’intermédiation pour le partage de données offrira des opportunités commerciales aux entreprises numériques. "Cela apporte une sécurité juridique aux entreprises qui souhaitent fournir ou obtenir des données."

Ces services permettent l’interconnexion entre les participants du pool et les utilisateurs de données. Ils doivent de ce fait garantir la sécurité des données et le respect des principes du DGA et respecter des conditions strictes. Ils doivent être neutres et considérer les entreprises et entités utilisant les pools de manière équitable et transparente, tout en veillant à ce que les prix ne soient pas discriminatoires.

Dans le cadre de leur activité d’intermédiation de données, ils ne peuvent pas être soumis à un conflit d’intérêts, ni utiliser et traiter les données du pool (pas même les métadonnées collectées dans le cadre de la prestation de leurs services) à des fins autres que celle de proposer les données aux entreprises utilisatrices du pool de données. Ils ne peuvent donc pas utiliser les données du pool à leurs propres fins. Ils doivent également assurer la sécurité de leurs services et prévoir des procédures pour prévenir les pratiques frauduleuses. Enfin, le fournisseur de services d’intermédiation de données doit "tenir un registre de toutes les activités d’intermédiation de données".

 Leur activité est soumise à une notification préalable à l’autorité compétente désignée par chaque État membre. Cette autorité pourrait soit être ad hoc, soit être gérée par des autorités existantes. Elle devra être choisie dans chaque État membre avant le 24 septembre 2023.

Date d’application

Le DGA s’appliquera à partir du 24 septembre 2023, de sorte que les entreprises qui veulent prendre les devants pour devenir des intermédiaires pour le partage de données doivent commencer à planifier leur activité sans tarder, car les conditions de notification de ces activités et les exigences pour devenir un intermédiaire sont assez laborieuses.

Dans l’ensemble, le fait que les règles relatives aux pools de données soient reconnues dans un règlement européen est une évolution positive. Cela apporte une sécurité juridique aux entreprises qui souhaitent fournir ou obtenir des données et la certitude qu’en se conformant à ce règlement (et, le cas échéant, à d’autres qui pourraient s’appliquer comme le RGPD ou le droit de la concurrence), cet échange de données est licite. Il sera intéressant de voir comment ce règlement interagira avec d’autres réglementations qui se profilent déjà à l’horizon dans certains secteurs, comme le projet de règlement visant à créer un Espace européen des données de santé.

SUR LES AUTEURS

Etienne Drouard est associé au sein de l’équipe Protection des données et Cybersécurité à Paris. Il couvre les affaires réglementaires, le conseil, les opérations transactionnelles et les conflits nationaux et internationaux portant sur la valorisation et la protection des actifs immatériels, la cybersécurité et la gestion des crises.

Patrice Navarro est associé au sein de l’équipe Protection des données et Cybersécurité à Paris. Il conseille les clients sur toutes les questions liées à la protection des données, à la cybersécurité et aux contrats notamment IT et industriels et traite une grande variété d'accords stratégiques dans le secteur des technologies.

Cet article a été coécrit par nos équipes à Paris et Madrid : Juan Ramon Robles, Anaïs Ligot, Joanna Rozanska, Rémy Schlich, Joséphine Beaufour et Léanne Fortuna.