Stratégie européenne pour la donnée : la CNIL et ses homologues se prononcent sur le Data Governance Act et le Data Act
Le 5 mai 2022, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis sur la proposition de règlement européen sur les données (Data Act). Cet avis, qui succède à celui de mars 2021 sur la gouvernance des données (DGA), marque une étape supplémentaire dans la construction d’une économie européenne de la donnée respectueuse des libertés et droits fondamentaux.
Data Governance Act, Data Act : de quoi s’agit-il ?
Le Data Governance Act et le Data Act s’inscrivent dans le cadre de la stratégie européenne pour les données, présentée par la Commission européenne en février 2020. Cette stratégie vise à développer un marché unique de la donnée en soutenant l’accès, le partage et la réutilisation responsables, dans le respect des valeurs de l’Union européenne et notamment la protection des données personnelles.
Elle s’inscrit dans le contexte plus large du plan d’action de la Commission européenne visant à assurer la souveraineté numérique de l’Europe à l’horizon 2030, et est complémentaire de la stratégie européenne en matière d’intelligence artificielle.
Le règlement sur la gouvernance des données (Data Governance Act)
Première brique de la série de mesures annoncées dans le cadre de la stratégie européenne des données, le Data Governance Act a été adopté en mai 2022, et sera applicable en septembre 2023. Il vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Ce règlement comporte :
- un encadrement ainsi qu’une assistance technique et juridique facilitant la réutilisation de certaines catégories de données protégées du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles) ;
- une certification obligatoire pour les fournisseurs de services d’intermédiation de données ;
- une certification facultative pour les organismes pratiquant l’altruisme en matière de données.
Le règlement sur les données (Data Act)
La proposition législative de la Commission européenne, présentée le 23 février 2022, a pour objectif d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, notamment liées à l’utilisation des objets connectés et au développement de l’Internet des objets.
À ce titre, la proposition de Data Act a pour objectifs de :
- faciliter le partage entre entreprises (B2B) et avec le consommateur (B2C) des données, en fixant notamment une obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable ;
- permettre l’utilisation des données détenues par les entreprises et, sous réserve de justifier d’un besoin exceptionnel, par les organismes publics des États membres et les institutions, agences ou organes de l’Union ;
- faciliter le changement de fournisseur de services de traitement de données (cloud et edge computing) par l’encadrement des relations contractuelles entre les fournisseurs de services et les consommateurs, et notamment par la suppression progressive des frais liés au changement pour le consommateur ;
- prévoir l’élaboration de normes d’interopérabilité pour les données et leurs réutilisations entre les secteurs ;
- mettre en place des garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud.
Les avis de la CNIL et de ses homologues
Les enjeux liés à l’articulation de ce nouveau cadre législatif sur les données avec le règlement général sur la protection des données personnelles (RGPD) ont conduit la Commission européenne à solliciter l’expertise de la CNIL et de ses homologues. Le Data Governance Act et le Data Act nécessitent, sous des angles différents, deux éléments clés pour garantir leur bonne articulation avec le RGPD :
- la cohérence de ces futures dispositions avec les droits et obligations du RGPD ; et
- une gouvernance intelligente gravitant autour des autorités de protection des données afin d’assurer l’application efficace et effective des différents cadres juridiques et d’assurer leur lisibilité pour les citoyens et acteurs économiques concernés.
La nécessité de veiller à la cohérence avec le RGPD
Des objectifs légitimes et l’amélioration de certains droits et protections
Les autorités de protection des données et le Contrôleur européen reconnaissent l’objectif légitime du DGA de favoriser la disponibilité des données par la mise en place de structures d’intermédiation de données et par le renforcement des mécanismes de partage de données dans l’ensemble de l’Union. De même, l’objectif du Data Act de libérer le potentiel des données afin de développer des connaissances précieuses pour des secteurs tels que la science, la santé ou l’action climatique est accueilli favorablement par les autorités de protection des données et le Contrôleur européen.
Le Data Act pourra par ailleurs permettre un droit plus effectif à la portabilité des données en vue de faciliter l’innovation et de promouvoir la concurrence, et de permettre aux consommateurs de contrôler de manière significative la manière dont leurs données générées par l’utilisation des objets connectés sont utilisées.
Enfin, l’encadrement des demandes d’accès par des autorités étrangères et des transferts de données non-personnelles par ces deux règlements fera converger les modèles de protection des données personnelles et non personnelles.
Des garanties nécessaires pour préserver les droits des personnes
Dans le même temps, la protection des données personnelles est essentielle et fait partie intégrante de la confiance dans le développement de l’économie numérique. Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont appelé les co-législateurs (Parlement européen et Conseil de l’UE) à veiller à ce que le DGA et le Data Act ne portent pas atteinte à la protection des données personnelles. Les co-législateurs ont tenu compte de cette recommandation pour le DGA en spécifiant que le RGPD prévaudrait en cas de conflit avec le DGA.
En ce qui concerne les droits d’accès, d’utilisation et de partage des données prévus par le Data Act, la CNIL et ses homologues demandent aux co-législateurs de mettre en place des garanties additionnelles pour les personnes concernées. Ils doivent également veiller à la légalité, la nécessité et la proportionnalité de l’obligation de mettre les données à la disposition des organismes du secteur public et des institutions de l’UE en raison d’un besoin exceptionnel, et définir plus strictement les hypothèses d’« urgence publique » ou de « besoin exceptionnel ».
La nécessité d’assurer une gouvernance intelligente
La CNIL et ses homologues alertent également sur le fait que la non-désignation des autorités chargées de la protection des données pour la supervision du DGA pourraient entraîner une réelle complexité pour les acteurs numériques et les personnes concernées, et nuire à la cohérence de la surveillance de l’application du RGPD. Les co-législateurs ont toutefois indiqué que les autorités de protection des données pouvaient être considérées comme des autorités compétentes pour le DGA.
De même, la désignation des autorités de protection des données comme autorités compétentes pour le Data Act permettra d’éviter les incohérences avec le droit fondamental à la protection des données personnelles et d’assurer un guichet unique aux acteurs de la donnée. Les co-législateurs devraient donc désigner les autorités de protection des données comme autorités coordinatrices pour l’application de l’ensemble du Data Act. En effet, les autorités de protection des données ont une expertise juridique et technique dans la supervision des traitements de données personnelles, et l’accompagnement des acteurs et modèles d’affaires innovants.
À ce titre, la CNIL a lancé un groupe de travail sur l’ouverture et le partage des données qui produira un guide pratique, avec des critères et exemples très concrets, sur la façon dont s’appliquent ces textes.
Les avis conjoints du CEPD et du Contrôleur européen de la protection des données
- Avis conjoint 2/2022 de l'EDPB et de l'EDPS sur la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données) [EN] - CEPD
- Avis conjoint 03/2021 de l'EDPB et de l'EDPS sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données) [EN] - CEPD
- Déclaration de l'EDPB sur le paquet « services numériques » et la stratégie pour les données - CEPD
Les textes de référence
- Le règlement général sur la protection des données (RGPD)
- Proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (règlement sur la gouvernance des données) - Parlement européen
- Proposition de règlement relatif à des règles harmonisées sur un accès équitable aux données et sur leur utilisation (règlement sur les données) - Parlement européen
- Communication de la Commission européenne - Une stratégie européenne pour les données - EUR-Lex