Data Governance Act : comment intégrer ce nouveau cadre réglementaire dans vos activités ?

03 octobre 2023
Corinne Thiérache, Caroline Leroy-Blanvillain et Gwennaëlle Caër

Le règlement sur la gouvernance des données, ou Data Governance Act en anglais, ci-après dénommée le « DGA », est entré en application le dimanche 24 septembre 2023. Ce texte majeur vise à faciliter et inciter au partage de données dans le secteur public. Il crée des conditions favorables pour le partage de données afin de permettre l’exploitation du potentiel économique et sociétal de la donnée tout en conservant les normes élevées de protection de la vie privée. L’objectif est de promouvoir de nouveaux produits et services basés sur de nouvelles technologies, rendre leur production plus efficace et fournir de nouveaux outils pour lutter contre les défis sociétaux.

« Le Data Governance Act permet à toute entité de profiter d’un climat favorable au partage de données. Ce climat repose sur 3 piliers : la confiance entre les entités et les prestataires de service d’intermédiation de données, la levée d’obstacles juridiques et techniques ainsi que l’ouverture du partage de données au secteur public ».

Afin de permettre l’exploitation de cette ressource clé qu’est la donnée, ce nouveau cadre normatif doit permettre de lever de nombreux obstacles techniques, sociétaux et juridiques afin de créer un climat de confiance autour du partage de la donnée et augmenter la quantité de données partagées. La notion d’altruisme en matière de données, ou en anglais « data altruism », est au cœur du DGA : cette notion consiste à inciter les parties prenantes (entreprises, particuliers etc.) à partager les données qu’elles estiment pertinentes et utiles pour l’intérêt général. Les entités participantes pourront être identifiées par un logo commun et être inscrites auprès d’un registre tenu par la Commission.

Le DGA aura ainsi d’importantes conséquences pour le secteur public, puisque les données protégées détenues par les entités du secteur public (données personnelles, données commerciales confidentielles) pourront dorénavant être réutilisées sans compromettre leur nature protégée et lorsque ce partage est prévu par une législation européenne ou nationale à part entière. Cette possibilité est permise notamment par :

• la mise en place d’exigences techniques spéciales ;
• l’assistance du secteur public à l’entité ré-utilisatrice pour obtenir le consentement de la personne concernée par la donnée réutilisée, et la mise en place d’un délai de 2 mois maximum pour prendre une décision concernant la réutilisation d’une donnée ;
• la négociation d’accords exclusifs de réutilisation ;
• la mise en place d’un point d’information unique dans chaque Etat membre afin de permettre aux ré-utilisateurs de trouver les informations pertinentes. Ces points d’information uniques seront compilés dans un point d’accès unique européen tenu par la Commission.

A cet effet, le texte prévoit également la mise en place de mécanismes dédiés à assurer la fiabilité des services d’intermédiation de données, tels que les marchés de données, afin d’assurer qu’ils n’utilisent pas directement à des fins de profit financier les données fournies par les entités pour lesquelles ils jouent le rôle d’intermédiaire. Cette fiabilité repose sur la transparence et la neutralité de ces acteurs, ce qui passe notamment par un cloisonnement des activités proposées par ces prestaires. Ils devront alors notifier à la Commission européenne leur intention d’exercer cette activité.

Afin de faciliter le partage des bonnes pratiques en matière de partage de données, le DGA prévoit la création d’un Conseil européen de l’innovation en matière de données, ou en anglais « European Data Innovation Board » (EDIB). Il proposera des lignes directrices pour créer des espaces européens communs de données, notamment sur la protection adéquate des transferts de données vers des pays extra-européens.

Ce nouveau cadre réglementaire s’applique aux données personnelles comme aux données non personnelles. La protection des données personnelles est assurée par le Règlement Général sur la Protection des Données (ou « RGPD ») ainsi que par des nouvelles garanties introduites dans le DGA. Le DGA est l’un des piliers de la stratégie européenne des données et a vocation à être mis en œuvre à la lumière du deuxième pilier, le Data Act, qui a fait l’objet d’un accord politique des régulateurs européen le 23 juin 2023. Alors que le DGA crée les processus et structures pour faciliter le partage de données, le Data Act organise la création de la valeur à partir des données et en précise les conditions.