Le 13 juillet dernier, la CNIL est revenue sur les avis du Comité européen à la protection des données (« CEPD ») et du Contrôleur européen à la protection des données relativement au Data Governance Act (« DGA ») et au Data Act.
Pour mémoire, le DGA et le Data Act sont deux textes piliers de la stratégie européenne pour les données. Ils portent tant sur les données à caractère personnel que les données à caractère non personnel.
Plus précisément, le DGA est un règlement européen qui vient d’entrer en vigueur (le 23 juin 2022) et sera bientôt applicable (le 23 septembre 2023). Il introduit des mécanismes et des structures pour faciliter le partage des données entre les secteurs et les Etats membres de l’UE (voir notre article).
Quant au Data Act, il s’agit d’un règlement européen, encore au stade de projet (présentation le 23 février 2022), ayant pour objectif de rendre davantage de données de l’UE disponibles. Il propose notamment des conditions d’utilisation des données produites par les entreprises et les citoyens de l’UE via les objets connectés ou encore des règles pour faciliter le changement de prestataires de services cloud.
Compte tenu de l’imbrication délicate de ces règles avec celles du RGPD, plusieurs avis conjoints du CEPD et du Contrôleur européen des données ont été rendus (mars 2021 pour le DGA et mai 2022 pour le Data Act).
Dans sa communication, la CNIL met en avant deux « éléments clés » de ces avis :
- « veiller à la cohérence avec le RGPD » ;
- « assurer une gouvernance intelligente ».
Le CEPD et le Contrôleur européen ont reconnu « l’objectif légitime » du DGA et du Data Act et, en particulier, le mouvement de convergence des « modèles » de protection des données personnelles et non personnelles (à titre d’exemple, les transferts internationaux des données non personnelles sont encadrés dans ces textes). Toutefois, ils ont demandé des garanties pour qu’il ne soit pas porté atteinte à la protection des données personnelles. A cet égard, la CNIL souligne que la recommandation consistant à préciser la prévalence du RGPD sur le DGA a été suivie.
Concernant le Data Act, la position du CEPD est (i) de mettre en place des « garanties additionnelles » des personnes concernées dans le cadre des droits d’accès, d’utilisation et de partage des données et (ii) de définir « plus strictement » les circonstances de l’obligation de mise à disposition de données détenues par le secteur privé à des fins spécifiques d’intérêt public.
Le CEPD estime également que les autorités de protection des données devraient être désignées expressément comme les autorités assurant le contrôle et le respect de ces textes pour éviter des « incohérences avec le droit fondamental à la protection des données ». Si tel n’a pas été le cas dans le DGA, tel pourrait être le cas dans le Data Act.
A suivre…
Source : ici
