Data Governance Act (UE) 2022/868 (DGA) : le cadre juridique européen pour la gouvernance des données, d'inspiration pour Monaco

Le DGA est d'intérêt pour la Principauté de Monaco qui bien que non membre de l'UE, s'en inspire pour le projet de loi n° 1093 portant modification de diverses dispositions en matière de numérique, déposé sur le Bureau du Conseil National le 22 mai 2024.

* * *

Présentation

Le Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (Data Governance Act "DGA") qui s’inscrit dans la stratégie européenne pour les données (COM(2020) 66 final), a pour objet la réutilisation de données protégées (qui ne peuvent pas être utilisées en tant que données ouvertes "open data") et de faciliter le partage des données dans des domaines tels que la santé, l’environnement, l’énergie, l’agriculture, la mobilité, la finance, l’industrie manufacturière, l’administration publique, etc. Il ne crée pas une nouvelle obligation de mise à disposition de données, mais encadre leur réutilisation lorsqu’elles ne sont pas librement accessibles, notamment lorsqu’elles sont protégées par des droits (données personnelles, secrets d’affaires, DPI, etc.).

Le DGA est applicable depuis le 24 septembre 2023 (article 38, §2) dans les États membres de l'Union européenne (UE). Des dispositions transitoires visent les entités fournissant au 23 juin 2022 les services d’intermédiation de données qui doivent se conformer aux obligations énoncées au chapitre III au plus tard le 24 septembre 2025 (article 37).

A noter : Le DGA ne doit pas être confondu avec :

• la Directive Open Data (UE) 2019/1024 du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public (refonte) (transposée dans le droit national des Etats membres) qui fixe le cadre juridique pour la réutilisation des informations du secteur public, notamment les informations dans les domaines géographique, cadastral, statistique ou juridique détenues par les organismes du secteur public ou par les entreprises publiques, ainsi que des données issues de la recherche financée par le secteur public.
• le Règlement Data Act (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données applicable à partir du 12 septembre 2025 de manière échelonnée, qui précise qui peut créer de la valeur à partir des données et dans quelles conditions. Il énumère des principes et des lignes directrices applicables à tous les secteurs, avec des obligations d'accès et de partage équitable des données générées, notamment par les objets connectés (les produits connectés devront être conçus et fabriqués de manière à permettre aux utilisateurs (entreprises ou consommateurs) d'accéder, d'utiliser et de partager facilement et en toute sécurité les données générées).

* * *

Champ d'application du DGA

• Conditions de réutilisation de certaines données protégées détenues par des organismes du secteur public ;
• des règles pour les entreprises fournissant des services d’intermédiation de données ;
• un cadre pour l’altruisme en matière de données (partage des données de manière volontaire et sans contrepartie) ;
• un cadre pour le Comité européen de l’innovation dans le domaine des données (EDIB) ;
• des mesures permettant le flux sécurisé de données à caractère non personnel en dehors de l’UE.

* * *

EN SAVOIR PLUS

¤ Réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public (articles 3 à 9 DGA)

Les données protégées (confidentialité commerciale y compris le secret d’affaires, le secret professionnel et le secret d’entreprise ; secret statistique ; protection des données personnelles ; protection des droits de propriété intellectuelle) ne peuvent pas être utilisées en tant que données ouvertes, mais peuvent être réutilisées en vertu de règles spécifiques.

La réutilisation s'entend comme "l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public".

Lorsqu’une telle réutilisation est autorisée, les organismes du secteur public doivent respecter les conditions de réutilisation fixées par le DGA (notamment être non discriminatoires, transparentes, proportionnées, justifiées et rendues publiques).

Des règles spécifiques régissent le transfert vers un pays tiers de données protégées et à caractère non personnel par un réutilisateur, l'application de redevances. Les organismes du secteur public qui accordent des permis de réutilisation peuvent appliquer des frais réduits ou nuls par exemple pour les PME, les jeunes entreprises, les organisations de la société civile et les établissements d'enseignement.

Les Etats-membres de l'UE doivent mettre à disposition et rendre facilement accessible via un point d’information unique l'ensemble des informations pertinentes sur les conditions de réutilisation et sur les redevances qui sont rassemblées par la Commission européenne sur data.europa.eu ("trouvabilité").

¤ Exigences applicables aux services d’intermédiation de données (articles 10 à 15 DGA)

Le service d’intermédiation de données est défini comme "un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel" avec des exclusions (comme par exemple les services axés sur l’intermédiation de contenus protégés par le droit d’auteur, etc.).

Le DGA distingue trois types de services d'intermédiation de données selon les types de personnes entre lesquelles la relation commerciale est établie :

• entre détenteurs et utilisateurs de données (ex : plateformes d’échanges "B to B") ;
• entre personnes concernées et les utilisateurs (ex : système de gestion des informations personnelles) ;
• les coopératives de données (ex : mutualisation des données en vue d’une gestion commune).

Les fournisseurs de services d’intermédiation de données sont des tiers neutres qui mettent en relation les personnes et les entreprises qui détiennent des données avec d’autres qui souhaitent les utiliser. Les exigences qui leurs sont imposées par le DGA visent à renforcer la confiance dans le partage des données, assurer que les personnes et les entreprises gardent le contrôle sur leurs données :

• Notifier leur activité à l’autorité compétente ;
• Respect d'exigences pour garantir la neutralité et éviter les conflits d’intérêts ;
• Séparation structurelle de tout autre service à valeur ajoutée fourni ;
• Conditions tarifaires indépendantes du fait que le détenteur de données ou l’utilisateur de données potentiel utilise d’autres services ;
• Procédure d’accès à son service équitable, transparente et non discriminatoire ;
• Mesures appropriées pour assurer l’interopérabilité avec d’autres services d’intermédiation de données ; etc.

¤ Altruisme en matière de données (articles 16 à 25)

L’altruisme en matière de données est la mise à disposition volontaire de données sans contrepartie en vue de leur utilisation dans l’intérêt public pour faire avancer la recherche et développer de meilleurs produits et services, notamment dans les domaines de la santé, de l’action climatique ou l’amélioration de la prestation de services publics comme la mobilité. Les États membres de l'UE peuvent développer des politiques nationales pour encourager l’altruisme en matière de données.

Le DGA crée un statut pour les organisations altruistes en matière de données reconnues sous le dispositif suivant :

• Conditions et modalités d'enregistrement ;
• Chaque autorité compétente pour l’enregistrement tient et met à jour régulièrement un registre public national des organisations altruistes en matière de données reconnues ;
  
• Obligations de transparence ;
• Exigences spécifiques visant à préserver les droits et intérêts des personnes concernées et des détenteurs de données quant à leurs données ;
• Formulaire européen de consentement à l’altruisme en matière de données ;
• Registre de l’UE des organisations altruistes en matière de données reconnues.

¤ Gouvernance : autorités compétentes et Comité européen de l’innovation dans le domaine des données (articles 26 à 31)

Chaque État désigne une ou plusieurs autorités compétentes. En France, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) est l'autorité compétente en matière de services d'intermédiation de données, et la Commission nationale de l'informatique et des libertés (CNIL) l’autorité compétente en matière d’altruisme des données (Loi SREN du 21 mai 2024).

Le Comité européen de l’innovation en matière de données est un groupe d'experts qui facilite l’harmonisation, conseille la Commission, et peut établir des codes de conduite. Il est composé de représentants des autorités compétentes en matière de services d’intermédiation de données et des autorités compétentes pour l’enregistrement des organisations altruistes en matière de données de tous les États membres de l'UE, du comité européen de la protection des données (EDPB) et du Contrôleur européen de la protection des données (CEPD), de l’ENISA (cybersécurité), de la Commission, d'un représentant pour les PME et d’autres représentants d’organismes compétents dans des secteurs particuliers ainsi que d’organismes disposant d’une expertise particulière.

* * *

Sources

• Règlement (UE) 2022/868 (DGA) – Texte : EUR-Lex – CELEX 32022R0868
• Loi française n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) – Autorités compétentes DGA : Légifrance
• Projet de loi monégasque n° 1093 déposé le 22 mai 2024 – Texte : Conseil National

* * *