Dans la perspective de créer un espace numérique européen 3 axes réglementaires ( 4 si nous y ajourons le projet sur l’IA de confiance ) sont en cours.
- La protection des citoyens, Digital Services Act (DSA)
- Le contrôle du marché numérique, Digital Market Act (DMA)
- La gouvernance des données, Data Gouvernance Act (DGA)
La gouvernance des données vise à s’assurer que la concurrence n’est pas faussée sur le marché intérieur.
En effet le projet de règlement ( proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données) 25 novembre 2020, 2020/0340 ) constate que: « les technologies numériques ont transformé l’économie et la société, touchant tous les secteurs d’activité et la vie quotidienne. Les données sont au coeur de cette transformation ».
Il veut éviter « le risque que les États membres légifèrent de plus en plus de manière non coordonnée sur les questions liées aux données, ce qui intensifierait la fragmentation du marché unique » et qu’un « environnement législatif hautement harmonisé s’avère essentiel ».
L’enjeu : l’espace européen commun des données et des espaces européens communs des données spécifiques
La mise en œuvre d’un espace européen commun des données, « à savoir un marché unique des données dans lequel les données pourraient être utilisées quel que soit le lieu de leur stockage physique dans l’Union ».
Dans cet espace européen commun des données, cette proposition de règlement réaffirme la position de la Commission qui propose de mettre en place des espaces européens communs des données spécifiques, par exemple :
- à certains domaines « la santé, la mobilité, l’industrie manufacturière, les services financiers, l’énergie ou l’agriculture »,
- ou par thématique « le pacte vert pour l’Europe, l’administration publique ou les compétences ».
Les principes à appliquer : Disponibilités des données, Confiance et Partage
Dans ces perspectives d’espaces européens communs des données ou des données spécifiques, ce projet de règlement « vise à favoriser la disponibilité de données en vue de leur utilisation, en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage de données dans l’ensemble de l’UE ».
Pour ces espaces européens des données ou des données spécifiques, ce projet préconise :
- « une nouvelle gouvernance des données à l’européenne en prévoyant une séparation dans l’économie fondée sur les données, entre fourniture, intermédiation et utilisation ».
- « La neutralité des prestataires de service de partage de données à l’égard des données échangées entre les détenteurs et les utilisateurs de données »
La réutilisation des données détenues par les personnes de droit public
Dans l’attente d’une éventuelle loi plus générale sur les données, ce projet de nouvel espace européen des données repose sur les personnes de droit public.
Cette proposition de règlement « porte sur les données détenues par des organismes du secteur public qui sont soumises à des droits d’autrui », et complète ainsi la directive sur les données ouvertes 2019/ 1024 du 20 juin 2019 .
L’importance du rôle des personnes de droit public
Ce projet de règlement reconnaît ainsi :
- leur rôle prépondérant dans la détention de certaines catégories de données (on songe aux données de santé, de transport, de la mobilité…)
- comme corollaire à cette détention, leur rôle dans l’élaboration des règles techniques, administratives ou organisationnelles appliquées à ces données …
- que les données produites aux frais des budgets publics devraient profiter à la société.
Les droits d’autrui sur ces données ne portent pas sur les droits de propriété intellectuelle
Ce projet de règlement n’entend pas porter atteinte aux droits de propriété intellectuelle, la réutilisation des données n’est en effet autorisée que dans leur respect de ces droits, considérants 7 et 12, article 5 (7).
Un tri dans les données détenues par les personnes de droit public
Sont concernées les données détenues par des organismes du secteur public qui sont protégés pour des motifs « de confidentialité des informations commerciales, de confidentialité des données statistiques, de protection des droits de propriété intellectuelle de tiers, et de protection des données à caractère personnel »
Mais sont exclues, les « données détenues par des entreprises publiques, les données détenues par des radiodiffuseurs de service public et leurs filiales par d’autres organismes pour l’accomplissement d’une mission de radiodiffusion de service public, ou détenues par des établissements culturels et d’enseignement ou protégées pour des raisons de sécurité nationale de défense ou de sécurité publique ou des données dont la fourniture est une activité qui ne relève pas de la mission de service public par des entreprises publiques »
Des règles imposées pour la réutilisation des données détenues par ces personnes de droit public
Est posé un principe d’interdiction des accords d’exclusivité à la réutilisation de données détenues par des organismes du secteur public (article 4).
S’y ajoutent différentes conditions à les réutilisations des données pour être licites, en particulier elles doivent être « non discriminatoires, proportionnées et objectivement justifiées » (article 5), conditions qui s’appliquent également aux redevances (article 6).
Une nouvelle catégorie spécifique d’intermédiaires de données : les prestataires de services de partage de données
Au regard de l’impératif de neutralité cité ici dessus, ces « prestataires s’intéressent exclusivement aux données à caractère personnel et cherchent à renforcer la capacité d’action individuelle et le contrôle des individus sur les données les concernant ».
Différents services les identifient :
- les services d’intermédiation entre les détenteurs de données qui sont des personnes morales et les utilisateurs de données personnelles,
- les services d’intermédiation entre, d’une part, les personnes concernées qui cherche à mettre à disposition leurs données à caractère personnel et, d’autre part, les utilisateurs de données potentiels,
- des services dits « services de coopératives de données » définis au terme d’une longue série de conditions structurelles et juridiques notamment sur le recueil du consentement, de la finalité des traitements et de l’intérêt au mieux des « personnes concernées ou des personnes morales ».
Ces prestataires de service pour leurs activités seront soumis à notification préalable à une autorité compétente désignée par chaque Etat membre.
Autre création à ce projet de règlement : les organisations altruistes en matière de données
Le règlement s’en explique amplement : il s’agit de répondre aux possibilités offertes par l’utilisation à des fins d’intérêt général de données mises à disposition volontairement par des personnes concernées avec leur consentement ou, lorsqu’il s’agit de données à caractère non personnel, mises à disposition par des personnes morales.
La liste indicative des finalités en montre le champs des possible : « notamment les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, l’établissement plus aisé de statistiques officielles ou l’amélioration de la prestation de services publics. Le soutien à la recherche scientifique, et notamment au développement technologique et à la démonstration, à la recherche fondamentale, à la recherche appliquée et à la recherche financée par des fonds privés »,
On notera parmi ces finalités, la constitution : « de réserves de données mises à disposition selon le principe de l’altruisme en matière de données, qui soient d’une taille suffisante pour permettre l’analyse des données et l’apprentissage automatique…, y compris au-delà des frontières de l’Union. »
Les organisations altruistes en matière de données seront soumises à des conditions pour leur enregistrement dans « un registre d’organisations altruistes en matière de données reconnues » auprès d’une entité désignée dans chaque état membre, et lors de leur fonctionnement à des conditions de transparence et d’informations des détenteurs de données.
Les autorités de contrôle des prestataires de services de partage de données et de celles en charge du registre d’organisation altruiste en matière de données reconnues
Ces autorités de contrôle sont soumises à différentes exigences. « Elles doivent s’acquitter de leur tâche de manière impartiale, transparente, cohérente, fiable et rapide ».
A noter des impératifs d’indépendance pour elles-mêmes ou pour leur personnel au regard les marchés concernés. Un recours juridictionnel à l’encontre de leur décision devra être prévu.
Création du comité européen de l’innovation dans le domaine des données
Au-delà de la coopération entre les deux types d’autorités compétentes citées ci-dessus, ce comité aura en charge différentes mesures d’assistance et de conseil de la Commission qui d’ailleurs le présidera.
Un dispositif de blocage à la reconnaissance ou l’exécution de décision d’un pays tiers à l’Union relative au transfert des données
Les dispositions finales de ce projet de règlement instituent un véritable dispositif de blocage des décisions d’une juridiction ou d’une autorité administrative d’un pays tiers à l’Union qui seraient relatives aux données.
Ces décisions de juridictions ou d’administration étrangères à l’Union verront leur exécution soumises à conditions :
- d’une première part, à l’existence d’un accord international ou d’un traité d’entraide spécifique avec ce pays tiers,
- d’une seconde part, au respect par cette autorité administrative et juridictionnelles de ce pays tiers à différents impératifs,
- d’une troisième part, après un avis de l’une ou l’autre des deux autorités citées ci-dessus :
- ne fournir que le volume minimal de données admissible en réponse à une demande, en partant d’une interprétation raisonnable de la demande »
- Informer le détenteur de données de l’existence de la demande (avec un tempérament en matière répressive).