A la suite du Parlement européen, le Conseil a approuvé aujourd’hui une nouvelle loi visant à promouvoir la disponibilité des données et à créer un environnement fiable pour faciliter leur utilisation à des fins de recherche et de création de nouveaux services et produits innovants.
L’acte sur la gouvernance des données mettra en place des mécanismes solides pour faciliter la réutilisation de certaines catégories de données protégées du secteur public, renforcer la confiance dans les services d’intermédiation de données et favoriser l’altruisme en matière de données dans l’ensemble de l’UE.
Il s’agit d’une composante importante de la stratégie européenne pour les données, qui vise à renforcer l’économie fondée sur les données. Les nouvelles règles s’appliqueront 15 mois après l’entrée en vigueur du règlement.
Une plus large réutilisation des données protégées du secteur public
L’acte sur la gouvernance des données créera un mécanisme permettant de réutiliser en toute sécurité certaines catégories de données du secteur public soumises à des droits d’autrui. Il s’agit notamment des secrets d’affaires, des données à caractère personnel et des données protégées par des droits de propriété intellectuelle. Les organismes du secteur public autorisant ce type de réutilisation devront être dûment équipés, sur le plan technique, afin que le respect de la vie privée et la confidentialité soient pleinement préservés.
À cet égard, l’acte en question complètera la directive sur les données ouvertes de 2019, qui ne couvre pas ce type de données.
Des accords d’exclusivité pour la réutilisation des données du secteur public seront possibles s’ils sont justifiés et nécessaires pour la fourniture d’un service d’intérêt général. La durée maximale des contrats existants sera de 30 mois et de 12 mois pour les nouveaux contrats.
La Commission mettra en place un point d’accès unique européen mettant à disposition un registre électronique consultable des données du secteur public. Ce registre sera disponible via les points d’information uniques nationaux.
Un nouveau modèle commercial pour l’intermédiation de données
L’acte sur la gouvernance des données crée un cadre visant à promouvoir un nouveau modèle commercial – les services d’intermédiation de données – qui fournira un environnement sûr dans lequel les entreprises ou les particuliers pourront partager des données.
Pour les entreprises, ces services peuvent prendre la forme de plateformes numériques qui permettront le partage volontaire de données entre entreprises et faciliteront le respect des obligations en matière de partage de données fixées par cette loi mais également d’autres législations, qu’elles soient européennes ou nationales. Grâce à ces services, les entreprises pourront partager leurs données sans craindre qu’elles soient utilisées de manière abusive ni risquer de perdre leur avantage concurrentiel.
En ce qui concerne les données à caractère personnel, ces services et leurs prestataires aideront les particuliers à exercer leurs droits dans le cadre du règlement général sur la protection des données (RGPD). Cela permettra aux particuliers de contrôler totalement leurs données et de les partager avec une entreprise en laquelle ils ont confiance. Cela pourra se faire, par exemple, au moyen d’outils novateurs en matière de gestion des informations à caractère personnel, tels que des espaces de données à caractère personnel ou des portefeuilles de données, qui sont des applications de partage de ces données avec d’autres, fondées sur le consentement du détenteur des données.
Les prestataires de services d’intermédiation de données devront être inscrits dans un registre de manière à ce que leurs clients sachent qu’ils peuvent leur faire confiance.
Les prestataires de services ne seront pas autorisés à utiliser les données partagées à d’autres fins. Ils ne pourront pas tirer parti des données, en les vendant par exemple. Ils pourront en revanche facturer les transactions qu’ils effectuent.
Altruisme en matière de données pour le bien commun
L’acte sur la gouvernance des données rend également plus facile pour les particuliers et les entreprises la mise à disposition volontaire de données pour le bien commun, dans le cas de projets de recherche médicale, par exemple.
Les entités qui cherchent à collecter des données pour des finalités d’intérêt général peuvent demander à être inscrites dans un registre national des organisations reconnues en ce qui concerne l’altruisme en matière de données. Les organisations enregistrées seront reconnues dans toute l’UE. Cela permettra d’instaurer la confiance nécessaire dans l’altruisme en matière de données, en encourageant les particuliers et les entreprises à transmettre des données à ces organisations afin qu’elles puissent être utilisées pour le bien de la société au sens large.
Si une organisation souhaite être reconnue en tant qu’organisation altruiste en matière de données au titre de l’acte sur la gouvernance des données, elle devra se conformer à une réglementation spécifique.
Identification aisée des prestataires de services
La certification volontaire sous la forme d’un logo permettra d’identifier plus facilement les fournisseurs de services d’intermédiation de données et les organisations altruistes en matière de données qui respectent les règles.
Comité européen de l’innovation dans le domaine des données
Une nouvelle structure, le comité européen de l’innovation dans le domaine des données, sera créée pour conseiller la Commission et l’aider à renforcer l’interopérabilité des services d’intermédiation de données et à produire des orientations sur la manière de faciliter le développement d’espaces de données, entre autres tâches.
Accès aux données à caractère non personnel et transfert de ces données à l’échelle internationale
L’acte sur la gouvernance des données prévoit des garanties pour les données du secteur public, les services d’intermédiation de données et les organisations altruistes en matière de données pour prévenir le transfert international illicite de données à caractère non personnel ou l’accès des pouvoirs publics à ces données. En ce qui concerne les données à caractère personnel, l’UE dispose déjà de garanties similaires dans le cadre du RGPD.
En particulier, la Commission peut, par le biais du droit dérivé, adopter des décisions d’adéquation par lesquelles il est déclaré que certains pays tiers fournissent des garanties appropriées pour l’utilisation de données à caractère non personnel transférées à partir de l’UE. Ces décisions seraient similaires aux décisions d’adéquation concernant les données à caractère personnel au titre du RGPD. Il y a lieu de considérer que ces garanties existent lorsque le pays concerné a mis en place des mesures équivalentes garantissant un niveau de protection similaire à celui prévu par la législation de l’UE ou des États membres.
La Commission peut également adopter des clauses contractuelles types pour soutenir les organismes du secteur public et les réutilisateurs dans le cas de transferts de données à caractère non-personnel, visées par le DGA, vers des pays tiers.
Le communiqué est à retrouver ici.