swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act »

Yaniv Benhamou, le 4 décembre 2020
La propo­si­tion de règle­ment euro­péen sur la gouver­nance des données vient d’être publiée le 25 novembre 2020. Elle vise à faci­li­ter le partage des données au sein de l’UE tout en renfor­çant la souve­rai­neté numé­rique, notam­ment grâce à de nouveaux acteurs (inter­mé­diaires et orga­nismes altruistes) qui respec­te­raient les valeurs européennes. 

La propo­si­tion de règle­ment euro­péen sur la gouver­nance des données publiée le 25 novembre 2020 s’inscrit dans le prolon­ge­ment de la stra­té­gie sur les données du 19 février 2020 et repré­sente une étape supplé­men­taire en vue d’une loi sur les données prévue pour 2021.

Parmi les solu­tions propo­sées, on relè­vera les trois axes suivants :

  1. Les condi­tions de partage des données déte­nues par le secteur public sont préci­sées et harmo­ni­sées (art. 3 ss) : par exemple avec l’interdiction d’accords d’exclusivité (art. 4), la publi­cité des condi­tions de réuti­li­sa­tion (art. 5) et un point de contact unique pouvant assis­ter les orga­nismes du secteur public (art. 7). L’objectif est ainsi de parta­ger ces données malgré l’existence d’autres droits (p. ex. protec­tion des données person­nelles, secrets d’affaires, propriété intel­lec­tuelle) à travers des solu­tions tech­niques et légales (p. ex. anony­mi­sa­tion, trai­te­ment des données dans des infra­struc­tures spécia­li­sées super­vi­sées par les auto­ri­tés, accords de confidentialité).
  2. Les services de partage de données sont encou­ra­gés (art. 9 ss) : avec l’émergence de nouveaux « pres­ta­taires de services de partage de données », soumis à un régime de noti­fi­ca­tion (art. 10), des condi­tions de partage spéci­fiques (art. 11) et une auto­rité de contrôle (art. 12). L’objectif est ainsi de faire naître de nouveaux inter­mé­diaires de confiance (sorte de Data Broker fidu­ciaire ou trust de données comme cela est proposé par certains experts).
  3. L’altruisme des données est renforcé (i.e. données mises volon­tai­re­ment à dispo­si­tion par des parti­cu­liers ou des entre­prises, pour le bien commun) (art. 15 ss) : avec l’émergence de nouvelles « orga­ni­sa­tions altruistes », soumises à un régime d’enregistrement et qui propo­se­ront notam­ment un formu­laire euro­péen commun de consen­te­ment. L’objectif est ainsi de favo­ri­ser la dispo­ni­bi­lité des « données d’intérêt géné­ral » (p. ex. pour la recherche scien­ti­fique ou l’amélioration des services publics) grâce à des coopé­ra­tives qui inci­te­raient aux dons de données. Certains consi­dèrent que les dons de données à des fins altruistes est déjà prati­qué, par exemple avec l’ap­pli­ca­tion alle­mande Corona.

Ces méca­nismes sont inté­res­sants, à propos desquels on peut rele­ver les commen­taires choi­sis suivants :

  1. Concernant les diffé­rentes barrières au partage (p. ex. légales, tech­niques, séman­tiques), il est inté­res­sant qu’un instru­ment se concentre sur la gouver­nance et traite des diffé­rentes barrières sans se limi­ter au strict juri­dique. Il faudra toute­fois voir comment garan­tir la cohé­rence entre les diffé­rents instru­ments secto­riels et hori­zon­taux (p. ex. RGPD, Règlement sur le flux des données non person­nelles, Directive secrets d’affaires et Directive droit d’auteur) et voir si un échange trans­sec­to­riel est réel­le­ment favo­risé (souvent le plus diffi­cile en raison de l’hétérogénéité des sources et des régimes légaux). À propos de la cohé­rence, on notera aussi qu’il est prévu de créer un « Comité euro­péen de l’innovation » qui aura pour mission de « conseiller la Commission sur la hiérar­chi­sa­tion des normes trans­sec­to­rielles en vue du partage de données entre diffé­rents secteurs » (art. 27 let. c).
  2. Concernant l’altruisme des données, il est prévu que ce Comité propose un formu­laire de consen­te­ment stan­dar­disé modu­laire en fonc­tion des secteurs (art. 22 al. 2). Une crainte de la société civile est toute­fois qu’une telle approche ne conduise à la priva­tion des droits et à affai­blir les droits de contrôle du RGPD, comme évoqué dans un billet sur le blog de l’ONG access­now.
  3. Concernant les procé­dures de noti­fi­ca­tion et d’enregistrement, il est inté­res­sant de voir que l’idée d’une co-régu­la­tion fait son chemin, étant précisé que ces procé­dures ont été privi­lé­giées à des méca­nismes de label­li­sa­tion volon­taire ou de certi­fi­ca­tion obli­ga­toire qui ont été évoqués dans des travaux anté­rieurs, tels que dans l’analyse d’impact au sujet de l’acte sur les services numé­riques.
  4. Le règle­ment ne crée aucune obli­ga­tion de partage. Il s’agira d’examiner dans quelle mesure le droit de la concur­rence ou d’autres méca­nismes de licences obli­ga­toires vien­dront s’ajouter à ce règle­ment et forcer le partage dans certaines situa­tions ou certains domaines. Certains domaines prévoient en effet des espaces communs de données avec des obli­ga­tions secto­rielles de partage (cf. p. 2 de la propo­si­tion et les réfé­rences à propos des secteurs de trans­port, finance, élec­tri­cité, envi­ron­ne­ment, espace, santé ; à propos de la créa­tion d’un espace commun des données de santé, cf. commen­taire de Frédéric Erard au sujet de l’opinion du CEPD).
  5. Concernant loca­li­sa­tion des données, rele­vons que le partage des données hors UE reste possible mais unique­ment moyen­nant des garan­ties offrant une protec­tion simi­laire à l’UE concer­nant les secrets d’affaires et la propriété intel­lec­tuelle. Selon nous, ces garan­ties pour­raient bien prendre la forme de clauses contrac­tuelles stan­dards, à l’image des clauses contrac­tuelles types en protec­tion des données person­nelles. Aussi, si on observe une tendance à la souve­rai­neté des données, on comprend que l’UE ait fina­le­ment refusé de prévoir une exigence de loca­li­sa­tion des données (i.e. trai­te­ment des données limité à l’UE) puisque l’UE pour­rait diffi­ci­le­ment se passer pour l’instant des données prove­nant d’Etats tiers, dont les Etats-Unis.
  6. Concernant les nouveaux acteurs (inter­mé­diaires et orga­nismes altruistes), reste à voir si suffi­sam­ment d’acteurs vont émer­ger malgré les exigences auxquelles ils seront soumis.

En conclu­sion, s’il faut s’attendre à quelques adap­ta­tions de cette propo­si­tion (la Commission l’a main­te­nant soumise au Parlement et au Conseil pour que les trois insti­tu­tions décident du texte final), cette propo­si­tion illustre le souci de l’UE de rempor­ter la bataille des données indus­trielles (certains consi­dé­rant que l’UE aurait perdu celles des données person­nelles avec un RGPD restric­tif). Pour y parve­nir, il est proposé de construire un marché des données avec l’entrée de nouveaux acteurs qui se présentent comme des alter­na­tives GAFAM dans l’idée de rega­gner en souve­rai­neté numé­rique (ce que la Commission appelle offrir un « modèle alter­na­tif aux pratiques de trai­te­ment des données des prin­ci­pales plate­formes tech­no­lo­giques »). Reste à voir comment cette propo­si­tion, les autres instru­ments hori­zon­taux et secto­riels, les nouveaux acteurs de partage et les auto­ri­tés parvien­dront à être coor­don­nés. Selon nous, seule une forte gouver­nance et une approche holis­tique des données pourra garan­tir une cohé­rence entre les diffé­rents domaines appli­cables aux données.

En Suisse, la  poli­tique en matière de gouver­nance et partage des données n’est pas aussi détaillé que dans l’UE, même si la nouvelle Stratégie « Suisse numé­rique » énonce quelques pistes (p.ex. chapitre 5 Mise en réseau des acteurs concer­nés et liste des comi­tés en lien avec la stra­té­gie Suisse numé­rique) et que le Conseil fédé­ral étudie la faisa­bi­lité d’un Swiss Cloud et la mise en œuvre de recom­man­da­tions sur le trai­te­ment et la sécu­rité des données, dont la mise en place d’un système de licences obli­ga­toires à l’égard des données non-person­nelles analysé par Prof. de Werra dans un récent article. C’est dans cet esprit d’approche holis­tique des données combi­nant les diffé­rents régimes légaux hori­zon­taux et secto­riels que le sous­si­gné a publié un récent article « Big Data and the Law : a holis­tic analy­sis based on a three-step approach », que l’UNIGE a orga­nisé une confé­rence sur le « Contrôle de données » le 18 novembre 2020 et qu’un groupe de travail acadé­mique « Shaping Resilient Societies » étudie actuel­le­ment comment les commu­nau­tés univer­si­taire, civile, indus­trielle et publique peuvent amélio­rer le partage des données pour répondre à des situa­tions de crise, comme celle de la pandémie.

 



Proposition de citation : Yaniv Benhamou, Souveraineté numérique et altruisme des données (« Data Altruism ») : proposition UE de « Data Governance Act », 4 décembre 2020 in www.swissprivacy.law/39


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Rapport concernant l’amélioration de la gestion des données dans le domaine de la santé
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law