Le Conseil européen approuve à son tour l’acte sur la gouvernance des données ou Data Act. Les nouvelles règles entreront en vigueur d’ici 15 mois. Les autorités de protection des données alertent cependant sur “un certain nombre de préoccupations primordiales”.

Avec le Data Act, la Commission européenne entend fluidifier la circulation des données non personnelles. Elle espère aussi accroître l’utilisation et le partage d’un patrimoine de Data sous-exploité pour créer de la valeur.

Le projet est désormais en passe de devenir réalité. Après le Parlement, c’est en effet au tour du Conseil d’approuver ces nouvelles mesures de gouvernance des données. Le Conseil a rendu un avis favorable le 16 mai.

Réutilisation de données protégées du secteur public

Cette décision permet d’enclencher une nouvelle étape du Data Governance Act. L’entrée en vigueur suivra d’ici peu, 20 jours après la publication au journal officiel de l’UE. A compter de là, et après un délai de 15 mois, les nouvelles dispositions du règlement s’appliqueront.

Pour le Conseil européen et ses membres, les bénéfices du DGA sont multiples. Il doit en effet, pour commencer, “faciliter la réutilisation de certaines catégories de données protégées du secteur public” en complétant la directive sur l’open data de 2019.

Il s’agit de données “soumises à des droits d’autrui”, relatifs par exemple aux secrets d’affaires, mais aussi de données à caractère personnel ou protégées par des droits de propriété intellectuelle.

“Les organismes du secteur public autorisant ce type de réutilisation devront être dûment équipés, sur le plan technique, afin que le respect de la vie privée et la confidentialité soient pleinement préservés”, indique le Conseil.

Le Data Act prévoit également la possibilité pour les acteurs publics de conclure des accords d’exclusivité pour la réutilisation des données. Ces usages devront être justifiés et nécessaires pour la fourniture d’un service d’intérêt général.

La durée de ces exclusivités est également encadrée. Elle ne pourra pas dépasser 30 mois pour les contrats existants et 12 pour les nouveaux accords. Pour identifier ces jeux de données, les organisations auront accès à un registre électronique des données du secteur public. Sa mise en place sera assurée par la Commission.

Partages volontaires et altruistes des données facilités

Pour orchestrer les échanges de données, une nouvelle catégorie d’acteurs est par ailleurs instituée via la création du statut d’intermédiaire de données. Ces prestataires, comme Agdatahub dans l’agriculture, fourniront “un environnement sûr dans lequel les entreprises où les particuliers pourront partager des données.”

Charge à ces plateformes, qui devront figurer dans un registre, de permettre le partage volontaire de données et d’implémenter les obligations fixées en la matière par le règlement et d’autres législations – européennes ou nationales.

Parmi les lois existantes, le RGPD. Les intermédiaires de données devront aider les particuliers à exercer leurs droits afin de concilier partage et contrôle. Pour assurer cette cohabitation, pourraient émerger de nouveaux outils.

Le Conseil espère voir se développer des solutions novatrices. Parmi celles-ci, des espaces de données à caractère personnel ou des portefeuilles de données. La fonction de ces applications : favoriser des partages de données avec des tiers fondés sur le consentement du détenteur des données.

Autre disposition prévue par le DGA pour faciliter les partages : le data altruism. La pratique consiste à faire don de ses données pour le bien public, par exemple au profit de projets de la recherche médicale.

Les réserves des autorités de protection de la vie privée

Les candidats à la collecte de données pour des finalités d’intérêt général pourront candidater via un processus de certification volontaire. Si leur demande est validée, ils seront inscrits dans un registre national et reconnus au niveau européen.

“Cela permettra d’instaurer la confiance nécessaire dans l’altruisme en matière de données, en encourageant les particuliers et les entreprises à transmettre des données à ces organisations afin qu’elles puissent être utilisées pour le bien de la société au sens large”, estime le Conseil.

L’ambition d’une plus grande circulation des données portée par le DGA soulève cependant des questions. L’European Data Protection Board et l’European Data Protection Supervisor ont ainsi rendu le 4 mai un avis commun sur le texte. Les deux entités s’inquiètent du partage potentiel de données très sensibles, notamment biométriques.

EDPB et EDPS préconisent donc des “garanties supplémentaires” afin “d’éviter de réduire la protection des droits fondamentaux à la vie privée et à la sécurité.”  Ce n’est cependant pas la seule source de préoccupation.

Les deux instances de protection se déclarent aussi “profondément préoccupées” par les dispositions relatives à “l’obligation de mettre les données à la disposition des organes du secteur public et des institutions, agences ou organes de l’Union en cas de besoin exceptionnel.”

La dernière réserve sur le DGA porte sur “le mécanisme de supervision”, qui selon elles pourrait conduire à une “supervision fragmentée et sans cohérence” entre les Etats de l’UE. Aucune harmonisation en termes de sanctions n’est par exemple prévue. Et si le ver était déjà dans le fruit avant même l’entrée en vigueur ?