L’IEEPI donne la parole à ses experts, aujourd’hui Alice Robert (Avocat Counsel) et Alexandre Fievée (Avocat Associé) du Cabinet Derriennic Associés.
Ils nous proposent une analyse sur :
« La Data : retour sur la stratégie européenne des données »
La « Data » est au cœur de l’actualité règlementaire.
De nombreux textes en lien avec la « Data » sont en cours d’élaboration, d’adoption ou viennent tout juste d’être adoptés, en particulier, au niveau de l’Union Européenne. Digital Service Act, Data Governance Act, Data Act, Règlement EHDS en passant par la cybersécurité (NIS 2) et la règlementation des communications, le mouvement législatif européen en lien avec la Data est d’une particulière ampleur.
Et pour cause, la stratégie européenne pour les données constitue un des premiers piliers de la nouvelle stratégie numérique de la Commission afin de faire de l’Europe un « acteur mondial » à la pointe de la « transformation numérique ».
Pourquoi une stratégie européenne pour les données ?
Les données sont au cœur de projets innovants lesquels sont dépendants de la façon d’accéder aux données et de les réutiliser.
En effet, à ce jour, si la quantité de données au niveau mondial ne fait que croître, elle est détenue par un nombre réduit de « grandes entreprises technologiques ».
L’objectif est ainsi de créer un marché unique des données (toute donnée confondue : données à caractère personnel, données à caractère non personnel, donnés confidentielles, etc.), à la fois sécurisé et accessible aux organismes privés et publics, à des fins de création et d’innovation.
Dans ce cadre, la stratégie européenne pour les données vise à définir un cadre juridique robuste favorisant l’utilisation des données au services des citoyens et des entreprises (gains de productivité, amélioration des services publics, etc.).
Quels textes pour la stratégie européenne pour les données ?
La stratégie européenne pour les données s’articule autour de trois séries textes :
- Le « Data Governance Act » ou le « règlement sur la gouvernance des données » ;
- Le « Data Act » ou la « loi sur les données »
- 10 espaces européens commun des données.
1. Le « Data Governance Act » est un règlement en vigueur depuis le 23 juin dernier qui sera applicable à compter du 24 septembre 2023.
Il vise à rendre plus de données disponibles en vue de leur réutilisation et à favoriser le partage des données entre les secteurs d’activités et les Etats membres.
Le « Data Governance Act » prévoit ainsi principalement :
- Des mécanismes pour faciliter la réutilisation de certaines données protégées (secrets d’affaires, données protégées par des droits de propriété intellectuelle, données à caractère personnel…) détenues par le secteur public ;
- Un cadre juridique applicable à de nouveaux acteurs que sont les services d’intermédiation de données (ou de partage de données) ;
- Des mesures pour faciliter la mise à disposition de données de citoyens, d’entreprises privées et d’organismes publics à des organisations altruistes dans l’intérêt de la société.
Le « Data Governance Act » soutient également la mise en place et le développement d’espaces européens communs de données dans des domaines stratégiques impliquant à la fois des acteurs privés et publics : santé, environnement, énergie, agriculture, mobilité, finance, administration publique, compétences…
En somme, il s’agit de la création d’un cadre harmonisé pour les échanges de données et la définition de certaines exigences de bases pour la gouvernance des données.
2. Le « Data Act », quant à lui, est un projet de règlement toujours en cours d’adoption. Il a été adopté par le Parlement européen le 14 mars dernier. Une version commune doit encore être discutée par le « trilogue » européen. A noter que, dans sa dernière version, le « Data Act » prévoit une application 18 mois après son entrée en vigueur.
Le « Data Act » vient compléter le « Data Governance Act « en clarifiant qui peut accéder aux donnés et les partager, et dans quelles conditions.
Dans ce cadre, le texte vise à apporter une sécurité juridique et à supprimer les obstacles au partage des données. Des règles concernant l’utilisation des données générés par les « appareils de l’Internet de Objets » (Ido, en particulier les objets connectés) sont proposées. Un accès aux données par les utilisateurs, un partage de celles-ci avec des tiers est ainsi prévu dans certaines conditions.
Ce faisant, parce qu’ils auront accès aux données pertinentes, les prestataires de services d’après-vente pourront, par exemple, améliorer et innover leurs services et concurrencer sur un pied d’égalité des services comparables des fabricants de ces objets.
Par ailleurs, alors que le « Data Governance Act » donne la possibilité aux acteurs privés et publics de partager leurs données à des organisations altruistes, le « Data Act » prévoit, quant à lui, la possibilité pour les organismes publics d’accéder et d’utiliser des données détenues par le secteur privé à des fins spécifiques d’intérêt public.
D’autres mesures sont proposées telles que la possibilité facilitée pour les clients de changer de fournisseurs cloud.
Le « Data Act », contribuera à ce que davantage de données soient disponibles, y compris pour les espaces de données sectoriels et au sein de ceux-ci.
3. Les espaces de données consistent à mettre en place des mesures sectorielles permettant le déploiement d’un espace européen commun des données.
La stratégie européenne pour les données de février 2020 annonçait la création d’espaces de données dans 10 domaines stratégiques : la santé, l’agriculture, l’industrie manufacturière, l’énergie, la mobilité, les finances, l’administration publique, les compétences, le nuage européen pour la science ouverte et la priorité transversale de la réalisation des objectifs du pacte vert. Depuis lors, des espaces de données ont également vu le jour dans d’autres domaines importants tels que les médias et le patrimoine culturel. L’objectif final est que les espaces de données forment ensemble un espace européen unique des données ou, en d’autres termes, un véritable marché unique des données.
Le projet de règlement sur l’espace européen des données de santé « EHDS » pour le secteur de la santé, publié le 3 mai dernier, est actuellement en cours d’adoption.
Son objectif est d’« exploiter le potentiel des données de santé pour les citoyens, les patients et l’innovation ».
Ce panel de textes vient/viendra s’ajouter à la couche de règlementations existantes (RGPD, OpenData) parfois « dépassées » par les enjeux technologiques (règlementations sur les bases de données notamment).
Aussi, il devient de plus en plus difficile de savoir où placer le curseur, d’un point de vue juridique et économique, entre l’innovation et/ou la génération d’économies grâce à la Data, d’une part, et la protection des créateurs ou des ayants droits ainsi que des personnes concernées, d’autre part.