La propo­si­tion de règle­ment euro­péen sur la gouver­nance des données publiée le 25 novembre 2020 s’inscrit dans le prolon­ge­ment de la stra­té­gie sur les données du 19 février 2020 et repré­sente une étape supplé­men­taire en vue d’une loi sur les données prévue pour 2021.

Parmi les solu­tions propo­sées, on relè­vera les trois axes suivants :

1. Les condi­tions de partage des données déte­nues par le secteur public sont préci­sées et harmo­ni­sées (art. 3 ss) : par exemple avec l’interdiction d’accords d’exclusivité (art. 4), la publi­cité des condi­tions de réuti­li­sa­tion (art. 5) et un point de contact unique pouvant assis­ter les orga­nismes du secteur public (art. 7). L’objectif est ainsi de parta­ger ces données malgré l’existence d’autres droits (p. ex. protec­tion des données person­nelles, secrets d’affaires, propriété intel­lec­tuelle) à travers des solu­tions tech­niques et légales (p. ex. anony­mi­sa­tion, trai­te­ment des données dans des infra­struc­tures spécia­li­sées super­vi­sées par les auto­ri­tés, accords de confidentialité).
2. Les services de partage de données sont encou­ra­gés (art. 9 ss) : avec l’émergence de nouveaux « pres­ta­taires de services de partage de données », soumis à un régime de noti­fi­ca­tion (art. 10), des condi­tions de partage spéci­fiques (art. 11) et une auto­rité de contrôle (art. 12). L’objectif est ainsi de faire naître de nouveaux inter­mé­diaires de confiance (sorte de Data Broker fidu­ciaire ou trust de données comme cela est proposé par certains experts).
3. L’altruisme des données est renforcé (i.e. données mises volon­tai­re­ment à dispo­si­tion par des parti­cu­liers ou des entre­prises, pour le bien commun) (art. 15 ss) : avec l’émergence de nouvelles « orga­ni­sa­tions altruistes », soumises à un régime d’enregistrement et qui propo­se­ront notam­ment un formu­laire euro­péen commun de consen­te­ment. L’objectif est ainsi de favo­ri­ser la dispo­ni­bi­lité des « données d’intérêt géné­ral » (p. ex. pour la recherche scien­ti­fique ou l’amélioration des services publics) grâce à des coopé­ra­tives qui inci­te­raient aux dons de données. Certains consi­dèrent que les dons de données à des fins altruistes est déjà prati­qué, par exemple avec l’ap­pli­ca­tion alle­mande Corona.

Ces méca­nismes sont inté­res­sants, à propos desquels on peut rele­ver les commen­taires choi­sis suivants :

1. Concernant les diffé­rentes barrières au partage (p. ex. légales, tech­niques, séman­tiques), il est inté­res­sant qu’un instru­ment se concentre sur la gouver­nance et traite des diffé­rentes barrières sans se limi­ter au strict juri­dique. Il faudra toute­fois voir comment garan­tir la cohé­rence entre les diffé­rents instru­ments secto­riels et hori­zon­taux (p. ex. RGPD, Règlement sur le flux des données non person­nelles, Directive secrets d’affaires et Directive droit d’auteur) et voir si un échange trans­sec­to­riel est réel­le­ment favo­risé (souvent le plus diffi­cile en raison de l’hétérogénéité des sources et des régimes légaux). À propos de la cohé­rence, on notera aussi qu’il est prévu de créer un « Comité euro­péen de l’innovation » qui aura pour mission de « conseiller la Commission sur la hiérar­chi­sa­tion des normes trans­sec­to­rielles en vue du partage de données entre diffé­rents secteurs » (art. 27 let. c).
2. Concernant l’altruisme des données, il est prévu que ce Comité propose un formu­laire de consen­te­ment stan­dar­disé modu­laire en fonc­tion des secteurs (art. 22 al. 2). Une crainte de la société civile est toute­fois qu’une telle approche ne conduise à la priva­tion des droits et à affai­blir les droits de contrôle du RGPD, comme évoqué dans un billet sur le blog de l’ONG access­now.
3. Concernant les procé­dures de noti­fi­ca­tion et d’enregistrement, il est inté­res­sant de voir que l’idée d’une co-régu­la­tion fait son chemin, étant précisé que ces procé­dures ont été privi­lé­giées à des méca­nismes de label­li­sa­tion volon­taire ou de certi­fi­ca­tion obli­ga­toire qui ont été évoqués dans des travaux anté­rieurs, tels que dans l’analyse d’impact au sujet de l’acte sur les services numé­riques.
4. Le règle­ment ne crée aucune obli­ga­tion de partage. Il s’agira d’examiner dans quelle mesure le droit de la concur­rence ou d’autres méca­nismes de licences obli­ga­toires vien­dront s’ajouter à ce règle­ment et forcer le partage dans certaines situa­tions ou certains domaines. Certains domaines prévoient en effet des espaces communs de données avec des obli­ga­tions secto­rielles de partage (cf. p. 2 de la propo­si­tion et les réfé­rences à propos des secteurs de trans­port, finance, élec­tri­cité, envi­ron­ne­ment, espace, santé ; à propos de la créa­tion d’un espace commun des données de santé, cf. commen­taire de Frédéric Erard au sujet de l’opinion du CEPD).
5. Concernant loca­li­sa­tion des données, rele­vons que le partage des données hors UE reste possible mais unique­ment moyen­nant des garan­ties offrant une protec­tion simi­laire à l’UE concer­nant les secrets d’affaires et la propriété intel­lec­tuelle. Selon nous, ces garan­ties pour­raient bien prendre la forme de clauses contrac­tuelles stan­dards, à l’image des clauses contrac­tuelles types en protec­tion des données person­nelles. Aussi, si on observe une tendance à la souve­rai­neté des données, on comprend que l’UE ait fina­le­ment refusé de prévoir une exigence de loca­li­sa­tion des données (i.e. trai­te­ment des données limité à l’UE) puisque l’UE pour­rait diffi­ci­le­ment se passer pour l’instant des données prove­nant d’Etats tiers, dont les Etats-Unis.
6. Concernant les nouveaux acteurs (inter­mé­diaires et orga­nismes altruistes), reste à voir si suffi­sam­ment d’acteurs vont émer­ger malgré les exigences auxquelles ils seront soumis.

En conclu­sion, s’il faut s’attendre à quelques adap­ta­tions de cette propo­si­tion (la Commission l’a main­te­nant soumise au Parlement et au Conseil pour que les trois insti­tu­tions décident du texte final), cette propo­si­tion illustre le souci de l’UE de rempor­ter la bataille des données indus­trielles (certains consi­dé­rant que l’UE aurait perdu celles des données person­nelles avec un RGPD restric­tif). Pour y parve­nir, il est proposé de construire un marché des données avec l’entrée de nouveaux acteurs qui se présentent comme des alter­na­tives GAFAM dans l’idée de rega­gner en souve­rai­neté numé­rique (ce que la Commission appelle offrir un « modèle alter­na­tif aux pratiques de trai­te­ment des données des prin­ci­pales plate­formes tech­no­lo­giques »). Reste à voir comment cette propo­si­tion, les autres instru­ments hori­zon­taux et secto­riels, les nouveaux acteurs de partage et les auto­ri­tés parvien­dront à être coor­don­nés. Selon nous, seule une forte gouver­nance et une approche holis­tique des données pourra garan­tir une cohé­rence entre les diffé­rents domaines appli­cables aux données.

En Suisse, la  poli­tique en matière de gouver­nance et partage des données n’est pas aussi détaillé que dans l’UE, même si la nouvelle Stratégie « Suisse numé­rique » énonce quelques pistes (p.ex. chapitre 5 Mise en réseau des acteurs concer­nés et liste des comi­tés en lien avec la stra­té­gie Suisse numé­rique) et que le Conseil fédé­ral étudie la faisa­bi­lité d’un Swiss Cloud et la mise en œuvre de recom­man­da­tions sur le trai­te­ment et la sécu­rité des données, dont la mise en place d’un système de licences obli­ga­toires à l’égard des données non-person­nelles analysé par Prof. de Werra dans un récent article. C’est dans cet esprit d’approche holis­tique des données combi­nant les diffé­rents régimes légaux hori­zon­taux et secto­riels que le sous­si­gné a publié un récent article « Big Data and the Law : a holis­tic analy­sis based on a three-step approach », que l’UNIGE a orga­nisé une confé­rence sur le « Contrôle de données » le 18 novembre 2020 et qu’un groupe de travail acadé­mique « Shaping Resilient Societies » étudie actuel­le­ment comment les commu­nau­tés univer­si­taire, civile, indus­trielle et publique peuvent amélio­rer le partage des données pour répondre à des situa­tions de crise, comme celle de la pandémie.