Data Governance Act (DGA) : ce qu’il faut savoir

Parce que la question des données (« la data ») a pris une importance primordiale ces dernières années, notamment en raison de l’essor du numérique, l’Union européenne a décidé de mettre en place un cadre juridique pour exploiter au mieux leur potentiel économique. Explications.

Mieux exploiter le potentiel économique des données

Dans un contexte de concurrence mondiale autour des nouvelles technologies, l’utilisation des données recèle un potentiel économique très important.

Pour exploiter au mieux ce potentiel, l’Union européenne a adopté un règlement appelé « Data Governance Act » (DGA), applicable à compter du 24 septembre 2023.

Il vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Pour cela, il prévoit :

de faciliter la réutilisation de certaines catégories de données détenues par des organismes du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles, etc.) ;
une certification obligatoire pour les fournisseurs de services d’intermédiation de données ;
une certification facultative pour les organismes pratiquant l’altruisme en matière de données.

Notez que le DGA ne crée pas une obligation d’autoriser la réutilisation des données pour les organismes publics. De même, il ne les exonère pas des obligations mises en place par le règlement général sur la protection des données personnelles (RGPD).

Avec le DGA, les particuliers vont pouvoir plus facilement autoriser l’utilisation des données les concernant, dans l’intérêt de la société, tout en ayant la garantie d’une protection totale de leurs données à caractère personnel.

Prenons l’exemple des personnes atteintes de maladies rares ou chroniques. Elles vont pouvoir, si elles le souhaitent, autoriser l’utilisation de leurs données afin d’améliorer le traitement de ces maladies.

Et grâce aux espaces de données à caractère personnel qui constituent de nouveaux outils et services de gestion des informations à caractère personnel, les particuliers vont :

bénéficier d’un contrôle accru de leurs données ;
pouvoir décider, de manière détaillée, de qui aura accès à leurs données et à quelle fin.

Du côté des entreprises, celles-ci vont :

profiter de nouvelles opportunités commerciales ;
voir diminuer les coûts d’acquisition, d’intégration et de traitement des données ;
et voir se réduire les obstacles à l’entrée sur les marchés, tout comme les délais de mise sur le marché de nouveaux produits et services.

Le partage de données pour servir la société

Grâce aux données récoltées, les organismes publics vont pouvoir élaborer des décisions et des politiques reposant sur des données probantes (améliorer les transports, par exemple).

Le principe va reposer sur la mise à disposition de données sans rétribution, pour un usage strictement non commercial, qui profite à des communautés ou à la société dans son ensemble, afin de rassurer le particulier ou l’entreprise qui délivre une donnée lui appartenant.

Dans cette optique, un formulaire de consentement commun dans l’UE va voir le jour. Il pourra être adapté aux besoins de chaque secteur et en fonction d’objectifs spécifiques.

Notez qu’une entreprise qui pratique l’altruisme en matière de données va pouvoir s’inscrire volontairement en tant qu’« organisation altruiste en matière de données » dans un nouveau registre public.

La protection des données

Les entités qui reçoivent les données vont devoir garantir leur sécurité. Cela passe notamment par des solutions techniques, telles que l’anonymisation ou le traitement des données dans des infrastructures spécialisées, exploitées et contrôlées par le secteur public, mais aussi par des accords de confidentialité juridiquement contraignants que tout réutilisateur de données doit signer.

Pour chaque transfert de données à un réutilisateur, un mécanisme garantira le respect du RGPD et préservera la confidentialité commerciale des données.

La question de la protection va aussi impliquer les prestataires fiables de services de partage de données (des « intermédiaires de données » telles que les plateformes de données), qui vont mettre en commun et organiser les données de manière neutre afin d’accroître la confiance, et qui vont être soumis à un régime de notification.

Un intermédiaire de partage de données ne va pas pouvoir échanger les données dans son propre intérêt (par exemple, en les vendant à une autre société ou en les utilisant pour développer son propre produit). En outre, il va devoir se conformer à des exigences strictes destinées à garantir la neutralité.

Par ailleurs, cette activité va être ouverte aussi bien à des organisations autonomes qui fournissent uniquement des services de partage de données qu’à des entreprises offrant ce type de services parallèlement à d’autres services.

Dans ce cas, l’activité de partage de données doit être strictement séparée des autres services. Les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service de partage de données.

Enfin, les intermédiaires de données vont être tenus de notifier à l’autorité publique compétente leur intention de fournir de tels services. Les autorités publiques vont alors surveiller le respect des exigences requises et la Commission européenne va tenir un registre des intermédiaires de données.

Les espaces européens de données

Des espaces européens de données vont voir le jour pour permettre d’échanger des données provenant du secteur public et des entreprises dans l’ensemble de l’UE d’une manière fiable et à moindre coût.

L’objectif est de développer de nouveaux produits et services fondés sur les données en cause, notamment dans 9 secteurs stratégiques : la santé, l’environnement, l’énergie, l’agriculture, la mobilité, les finances, l’industrie manufacturière, l’administration publique et les compétences.

Sources :

Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données)