Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act »
La proposition de règlement européen sur la gouvernance des données publiée le 25 novembre 2020 s’inscrit dans le prolongement de la stratégie sur les données du 19 février 2020 et représente une étape supplémentaire en vue d’une loi sur les données prévue pour 2021.
Parmi les solutions proposées, on relèvera les trois axes suivants :
- Les conditions de partage des données détenues par le secteur public sont précisées et harmonisées (art. 3 ss) : par exemple avec l’interdiction d’accords d’exclusivité (art. 4), la publicité des conditions de réutilisation (art. 5) et un point de contact unique pouvant assister les organismes du secteur public (art. 7). L’objectif est ainsi de partager ces données malgré l’existence d’autres droits (p. ex. protection des données personnelles, secrets d’affaires, propriété intellectuelle) à travers des solutions techniques et légales (p. ex. anonymisation, traitement des données dans des infrastructures spécialisées supervisées par les autorités, accords de confidentialité).
- Les services de partage de données sont encouragés (art. 9 ss) : avec l’émergence de nouveaux « prestataires de services de partage de données », soumis à un régime de notification (art. 10), des conditions de partage spécifiques (art. 11) et une autorité de contrôle (art. 12). L’objectif est ainsi de faire naître de nouveaux intermédiaires de confiance (sorte de Data Broker fiduciaire ou trust de données comme cela est proposé par certains experts).
- L’altruisme des données est renforcé (i.e. données mises volontairement à disposition par des particuliers ou des entreprises, pour le bien commun) (art. 15 ss) : avec l’émergence de nouvelles « organisations altruistes », soumises à un régime d’enregistrement et qui proposeront notamment un formulaire européen commun de consentement. L’objectif est ainsi de favoriser la disponibilité des « données d’intérêt général » (p. ex. pour la recherche scientifique ou l’amélioration des services publics) grâce à des coopératives qui inciteraient aux dons de données. Certains considèrent que les dons de données à des fins altruistes est déjà pratiqué, par exemple avec l’application allemande Corona.
Ces mécanismes sont intéressants, à propos desquels on peut relever les commentaires choisis suivants :
- Concernant les différentes barrières au partage (p. ex. légales, techniques, sémantiques), il est intéressant qu’un instrument se concentre sur la gouvernance et traite des différentes barrières sans se limiter au strict juridique. Il faudra toutefois voir comment garantir la cohérence entre les différents instruments sectoriels et horizontaux (p. ex. RGPD, Règlement sur le flux des données non personnelles, Directive secrets d’affaires et Directive droit d’auteur) et voir si un échange transsectoriel est réellement favorisé (souvent le plus difficile en raison de l’hétérogénéité des sources et des régimes légaux). À propos de la cohérence, on notera aussi qu’il est prévu de créer un « Comité européen de l’innovation » qui aura pour mission de « conseiller la Commission sur la hiérarchisation des normes transsectorielles en vue du partage de données entre différents secteurs » (art. 27 let. c).
- Concernant l’altruisme des données, il est prévu que ce Comité propose un formulaire de consentement standardisé modulaire en fonction des secteurs (art. 22 al. 2). Une crainte de la société civile est toutefois qu’une telle approche ne conduise à la privation des droits et à affaiblir les droits de contrôle du RGPD, comme évoqué dans un billet sur le blog de l’ONG accessnow.
- Concernant les procédures de notification et d’enregistrement, il est intéressant de voir que l’idée d’une co-régulation fait son chemin, étant précisé que ces procédures ont été privilégiées à des mécanismes de labellisation volontaire ou de certification obligatoire qui ont été évoqués dans des travaux antérieurs, tels que dans l’analyse d’impact au sujet de l’acte sur les services numériques.
- Le règlement ne crée aucune obligation de partage. Il s’agira d’examiner dans quelle mesure le droit de la concurrence ou d’autres mécanismes de licences obligatoires viendront s’ajouter à ce règlement et forcer le partage dans certaines situations ou certains domaines. Certains domaines prévoient en effet des espaces communs de données avec des obligations sectorielles de partage (cf. p. 2 de la proposition et les références à propos des secteurs de transport, finance, électricité, environnement, espace, santé ; à propos de la création d’un espace commun des données de santé, cf. commentaire de Frédéric Erard au sujet de l’opinion du CEPD).
- Concernant localisation des données, relevons que le partage des données hors UE reste possible mais uniquement moyennant des garanties offrant une protection similaire à l’UE concernant les secrets d’affaires et la propriété intellectuelle. Selon nous, ces garanties pourraient bien prendre la forme de clauses contractuelles standards, à l’image des clauses contractuelles types en protection des données personnelles. Aussi, si on observe une tendance à la souveraineté des données, on comprend que l’UE ait finalement refusé de prévoir une exigence de localisation des données (i.e. traitement des données limité à l’UE) puisque l’UE pourrait difficilement se passer pour l’instant des données provenant d’Etats tiers, dont les Etats-Unis.
- Concernant les nouveaux acteurs (intermédiaires et organismes altruistes), reste à voir si suffisamment d’acteurs vont émerger malgré les exigences auxquelles ils seront soumis.
En conclusion, s’il faut s’attendre à quelques adaptations de cette proposition (la Commission l’a maintenant soumise au Parlement et au Conseil pour que les trois institutions décident du texte final), cette proposition illustre le souci de l’UE de remporter la bataille des données industrielles (certains considérant que l’UE aurait perdu celles des données personnelles avec un RGPD restrictif). Pour y parvenir, il est proposé de construire un marché des données avec l’entrée de nouveaux acteurs qui se présentent comme des alternatives GAFAM dans l’idée de regagner en souveraineté numérique (ce que la Commission appelle offrir un « modèle alternatif aux pratiques de traitement des données des principales plateformes technologiques »). Reste à voir comment cette proposition, les autres instruments horizontaux et sectoriels, les nouveaux acteurs de partage et les autorités parviendront à être coordonnés. Selon nous, seule une forte gouvernance et une approche holistique des données pourra garantir une cohérence entre les différents domaines applicables aux données.
En Suisse, la politique en matière de gouvernance et partage des données n’est pas aussi détaillé que dans l’UE, même si la nouvelle Stratégie « Suisse numérique » énonce quelques pistes (p.ex. chapitre 5 Mise en réseau des acteurs concernés et liste des comités en lien avec la stratégie Suisse numérique) et que le Conseil fédéral étudie la faisabilité d’un Swiss Cloud et la mise en œuvre de recommandations sur le traitement et la sécurité des données, dont la mise en place d’un système de licences obligatoires à l’égard des données non-personnelles analysé par Prof. de Werra dans un récent article. C’est dans cet esprit d’approche holistique des données combinant les différents régimes légaux horizontaux et sectoriels que le soussigné a publié un récent article « Big Data and the Law : a holistic analysis based on a three-step approach », que l’UNIGE a organisé une conférence sur le « Contrôle de données » le 18 novembre 2020 et qu’un groupe de travail académique « Shaping Resilient Societies » étudie actuellement comment les communautés universitaire, civile, industrielle et publique peuvent améliorer le partage des données pour répondre à des situations de crise, comme celle de la pandémie.
Proposition de citation : Yaniv Benhamou, Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act », 4 décembre 2020 in www.swissprivacy.law/39
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.