par Matteo ANTONI, étudiant du Master 2 Droit des médias électroniques
Dans un contexte mondial toujours plus incertain, l’Union Européenne souhaite créer des espaces et services numériques sûrs tout en renforçant la souveraineté numérique du continent.
De nombreux règlements voient le jour tel que le Digital Services Act entré en vigueur le 16 novembre 2022 dont la majorité des dispositions seront applicables à toutes les entreprises à compter du 17 février 2024.
D’un autre côté, le Digital Markets Act, appliqué depuis le 2 mai 2023, a quant à lui pour objet la lutte contre les pratiques anticoncurrentielles des grandes entreprises numériques afin de rééquilibrer le marché européen.
Mais il faut aussi signaler le Data Gouvernance Act, adopté en mai 2022, appliqué depuis le 24 septembre 2023 qui vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Le DGA a pour but de procurer les moyens juridiques et techniques pour faciliter un partage de données d’une administration à une entreprise, entre entreprises et entre États-membres.
Quels sont donc les principaux apports de ce nouveau règlement européen ?
La réutilisation de données publiques protégées
Les personnes morales de droit privé pourront avoir accès à des données détenues par des établissements publics tels que des hôpitaux, agences nationales ou agences régionales de santé publique. Ces données protégées peuvent être des données commerciales, qui peuvent être confidentielles ou relever du secret des affaires ou de la propriété intellectuelle des entreprises. Cela peut aussi comprendre les données couvertes par le secret fiscal, dont des données personnelles.
Cependant, sont exclues les données détenues les entreprises publiques, les organismes publics de radiodiffusion/TV, les établissements éducatifs et culturels ou encore les organismes publics protégés pour des raisons de sécurité publique, de défense ou de sécurité nationale.
Un point d’information unique a été créé afin de centraliser toutes les informations utiles sur les conditions et les procédures nécessaires pour obtenir l’autorisation de réutilisation de ces données.
Les procédures et conditions qui doivent être non-discriminatoires, transparentes, proportionnées et objectivement justifiées sont établies par les organismes concernés par la réutilisation de leurs données. Le ré-utilisateur étant soumis à une obligation de confidentialité, les entreprises pourront alors procéder à des contrôles concernant le respect des procédures et conditions de réutilisation, et si un manquement est constaté, interdire l’utilisation des résultats du traitement des données réutilisées.
La création d’un rôle « d’intermédiaire »
Un nouveau régime juridique d’intermédiation en matière de données vient de voir le jour. En effet le DGA définit trois types de services d’intermédiation de données en son article 10 : entre détenteurs et utilisateurs de données plateformes d’échanges ; entre personnes concernées et les utilisateurs ; entre les coopératives de données. Ainsi, ces différentes catégories d’intermédiaires se distinguent plus par leur modèle d’affaires via les personnes qu’ils mettent en relation que par la nature des données qu’ils traitent.
La CNIL vient donner un exemple en ce que « ces services peuvent prendre la forme de plateformes numériques permettant le libre partage ou contrôle de leurs données par les entreprises et particuliers ainsi que d’exercer leurs droits pour ces derniers ».
En outre, le prestataire devra agir dans l’intérêt des personnes concernées et devra les accompagner dans l’exercice de leurs droits (opposition, limitation, effacement, etc.).
Tout candidat au rôle d’intermédiaire devra alors se conformer aux exigences du DGA tout en étant conforme au RGPD avant de notifier à l’autorité compétente leur établissement principal comme le dispose l’article 11 du règlement. À la suite de laquelle il sera possible de commencer à exercer l’activité dans tous les États membres de l’Union Européenne sous réserve de respecter les conditions d’exercice prévues par l’article 12 du DGA.
La mise à disposition volontaire de données.
Le DGA vient permettre aux personnes de mettre volontairement à disposition leurs données sans contrepartie pour des objectifs d’intérêt général auprès d’organismes d’altruisme en matière de données. Ces organismes devront faire l’objet d’un enregistrement au sein d’un registre national tenu par l’autorité compétente qui sera valable dans tous les États membres.
L’organisme sera tenu à une obligation de transparence lui imposant de tenir des registres spécifiques et de transmettre annuellement un rapport d’activité à l’autorité compétente et soumis à des exigences spécifiques visant à préserver les droits et les intérêts des personnes quant à l’utilisation de leurs données.
Trois conditions cumulatives sont cependant nécessaires afin de prétendre à un enregistrement au sein du registre :
-Être une entité constituée ayant pour but de poursuivre des finalités d’intérêt général ;
-Avoir un but non-lucratif et être indépendant de toute entité poursuivant un but lucratif ;
-L’activité doit être effectuée au sein d’une structure juridiquement indépendante et distincte des autres activités exercées.
En résumé, le Data Governance Act représente une étape de plus pour l’Union Européenne dans cette course à la création d’un environnement numérique plus sûr et respectueux des droits individuels. Ce règlement favorise la réutilisation transparente des données publiques, établit un cadre d’intermédiation novateur et encourage le partage volontaire de données pour des objectifs d’intérêt général tout en préparant l’arrivée imminente de l’IA Act, la première réglementation sur l’intelligence artificielle.
Sources:
https://www.cnil.fr/sites/cnil/files/2023-02/mise-en-oeuvre-dga_enjeux-economiques.pdf
https://digital-strategy.ec.europa.eu/fr/policies/data-governance-act
https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained
https://info.haas-avocats.com/droit-digital/dga-quels-sont-les-apports-du-nouveau-reglement-europeen