Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (Texte présentant de l’intérêt pour l'EEE)
Le Règlement sur la gouvernance des données aussi dénommé Loi sur la gouvernance des données (ou encore DGA pour Data Governance Act) est un règlement proposé par la Commission européenne, visant à créer un cadre facilitant la disponibilité et le partage sécurisé (et en confiance) de données (des organismes publics, des entreprises privées et des citoyens) au sein de l'Union européenne[1]. Ses enjeux sont qualitatifs, mais aussi quantitatifs (le volume de données produit dans le monde devrait passer de 33 zettaoctets en 2018 à 175 en 2025 (1 zettaoctet représente un billion de gigaoctets)[2] note le Parlement européen, qui s'attend aussi à une augmentation de la productivité du travail liée à l'IA (de 11 % en 2023 à 37 % avant 2035, d'après une estimation de l'EP Think Tank faite en 2020 mais qui n'avait pas anticipé l'explosion de l'IA générative)[3].
Ce règlement de l'Union européenne a été adopté le 25 novembre 2022 et a reçu l'accord du Parlement et du Conseil de l'UE le 30 novembre[4].
Il est applicable depuis septembre 2023.
Mais cet instrument juridique « transectoriel »[6] a été préparée et négociée, tout comme la stratégie européenne sur les données, avant l'émergence d'IA génératives telles que ChatGPT et Bard.
Le projet de règlement a fait l'objet d'un livre blanc[7] et été analysé par des tiers indépendants[8].
Contenu
Le Data Governance Act (DGA) concerne toutes les données (des organismes publics, des entreprises privées et des citoyens...) et il porte principalement sur :
la réutilisation de la donnée publique : le DGA simplifie les procédures de réutilisation des données publiques, grâce notamment à une licence uniforme de réutilisation de la donnée publique ;
le partage de données : le DGA prévoit un cadre juridique pour tout partage entre des entreprises et des organismes du secteur public, avec notamment des obligations d'interopérabilité et de transparence ;
l'altruisme en matière de données : il consiste par exemple à volontairement donner des informations personnelles sur les effets indésirables des vaccinations ou d'autres données de santé à des fins d'analyse scientifique. Un exemple est celui de personnes partageant leurs cotes de crédit personnelles, pour que l'on sache si cette notation a ou non des effets discriminants, étude faite en Allemagne (étude OpenSchufa)[9], où AlgorithmWatch et l'Open Knowledge Foundation Allemagne ont ainsi pu étudier les procédures de Schufa, la principale société allemande de notation de crédit. « La recherche indique que, bien qu'il existe en principe une volonté de s'engager dans l'altruisme des données, dans la pratique, cela est entravé par un manque d'outils de partage de données. En tant que tel, l'objectif de la loi sur la gouvernance des données est de créer des outils de confiance qui permettront de partager facilement les données au profit de la société. Il créera les bonnes conditions pour garantir aux particuliers et aux entreprises que lorsqu'ils partageront leurs données, elles seront gérées par des organisations de confiance sur la base des valeurs et des principes de l'UE. Cela permettra de créer des pools de données d'une taille suffisante pour permettre l'analyse des données et l'apprentissage automatique, y compris au-delà des frontières[6]. » Cet altruisme numérique est encouragé par le DGA (le partage de données à des fins altruistes doit être fait « volontairement et sans récompense » et il justifiera certaines exemptions aux obligations du règlement).
Ce contenu est détaillé ci-dessous :
Concernant les données publiques
Exigences techniques : Les États membres devront être équipés sur le plan technique pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Cela peut inclure une gamme d'outils, allant de solutions techniques, telles que l'anonymisation, la pseudonymisation ou l'accès aux données dans des environnements de traitement sécurisés (par exemple des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l'organisme du secteur public et le réutilisateur[6].
Assistance de l'organisme du secteur public : Si un organisme du secteur public ne peut pas accorder l'accès à certaines données aux fins de réutilisation, il devrait aider le réutilisateur potentiel à solliciter le consentement de la personne concernée pour réutiliser ses données à caractère personnel) ou l'autorisation du titulaire des données dont les droits ou les intérêts peuvent être affectés par la réutilisation. En outre, les informations confidentielles (par exemple, les secrets d'affaires) ne peuvent être divulguées auxfins de réutilisation qu'avec un tel consentement ou autorisation[6].
Pour disposer encore plus de données publiques en vue de leur réutilisation, la DGA limite le recours à des accords exclusifs de réutilisation des données (où un organisme du secteur public accorde un tel droit exclusif à une entreprise) à des cas spécifiques d'intérêt public[6].
Honoraires raisonnables : les organismes du secteur public peuvent facturer des redevances pour permettre la réutilisation tant que ces redevances n'excèdent pas les coûts nécessaires encourus. En outre, les organismes du secteur public devraient encourager la réutilisation à des fins de recherche scientifique et à d'autres fins non commerciales, ainsi que par les PME et les jeunes entreprises, en réduisant ou même en excluant la tarification[6].
Un organisme du secteur public disposera d'un délai maximal de deux mois pour prendre une décision sur une demande de réutilisation[6].
Les États membres peuvent choisir quels organismes compétents soutiendront les organismes du secteur public qui accordent l'accès à la réutilisation, par exemple en leur fournissant un environnement de traitement sécurisé et en les conseillant sur la meilleure façon de structurer et de stocker les données afin de les rendre facilement accessibles[6].
Pour aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres seront tenus de mettre en place un point d'information unique. La Commission créera un point d'accès unique européen (avec un registre consultable[10] des informations compilées par les points d'information uniques nationaux) afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà[6].
Concernant les services d'intermédiation de données
Les entreprises craignent souvent que le partage de leurs données entraîne une perte d'avantage concurrentiel et/ou un risque d'utilisation abusive[6].
Le DGA définit des règles pour les fournisseurs de services d'intermédiation de données (dits intermédiaires de données, tels que les marchés de données) pour garantir qu'ils fonctionneront en tant qu'organisateurs dignes de confiance du partage ou de la mise en commun de données au sein des espaces européens communs de données. Cette nouvelle approche propose un modèle basé sur la neutralité et la transparence des intermédiaires de données, tout en mettant les individus et les entreprises au contrôle de leurs données[6].
Ce cadre offre un modèle alternatif aux pratiques de traitement des données des plateformes Big Tech, qui ont un haut degré de pouvoir de marché parce qu'elles contrôlent de grandes quantités de données[6].
« Dans la pratique, les intermédiaires de données fonctionneront comme des tiers neutres qui mettront en relation des individus et des entreprises avec des utilisateurs de données. Bien qu'elles puissent facturer pour faciliter le partage des données entre les parties, elles ne peuvent pas utiliser directement les données qu'elles intermédiaires à des fins de profit financier (par exemple, en les vendant à une autre société ou en les utilisant pour développer leur propre produit sur la base de ces données). Les intermédiaires de données devront se conformer à des exigences strictes pour garantir cette neutralité et éviter les conflits d'intérêts. Dans la pratique, cela signifie qu'il doit y avoir une séparation structurelle entre le service d'intermédiation de données et tout autre service fourni (c'est-à-dire qu'ils doivent être légalement séparés). En outre, les conditions commerciales (y compris la tarification) pour la fourniture de services d'intermédiation ne devraient pas dépendre de la question de savoir si un détenteur potentiel de données ou un utilisateur de données utilise d'autres services. Toutes les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service d'intermédiation de données[6]. »
« Tant les organisations autonomes fournissant uniquement des services d'intermédiation de données que les entreprises qui offrent des services d'intermédiation de données en plus d'autres services pourraient fonctionner comme des intermédiaires de confiance. Dans ce dernier cas, l'activité d'intermédiation de données doit être strictement séparée, tant sur le plan juridique qu'économique, des autres services de données »[6].
« Dans le cadre de la DGA, les intermédiaires de données seront tenus d'informer l'autorité compétente de leur intention de fournir ces services. L'autorité compétente veillera à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence et confirmera que le prestataire de services d'intermédiation de données a soumis la notification contenant toutes les informations requises. br>Dès réception d'une telle confirmation, l'intermédiaire de données peut légalement commencer à exploiter et à utiliser le label «prestataire de services d'intermédiation de données reconnu dans l'Union» dans sa communication écrite et orale, ainsi que le logo commun. Ces autorités surveilleront également le respect des exigences en matière d'intermédiation de données et la Commission tiendra un registre[11] central des intermédiaires de données reconnus »[6].
Concernant l'altruisme des données
Les entités qui mettent à disposition des données pertinentes fondées sur l'altruisme en matière de données peuvent s'enregistrer comme « Organisations altruistes de données reconnues dans l'Union ».
Pour cela elles doivent être "sans but lucratif", « répondre aux exigences de transparence et offrir des garanties spécifiques pour protéger les droits et les intérêts des citoyens et des entreprises qui partagent leurs données. Elles doivent respecter le règlement (au plus tard 18 mois après son entrée en vigueur), qui établira les exigences en matière d'information, les exigences techniques et de sécurité, les feuilles de route de communication et les recommandations sur les normes d'interopérabilité. »[6].
« Les entités pourront utiliser le logo commun conçu à cette fin et pourront choisir d'être inscrites au registre public des organisations altruistes en matière de données[12]. La Commission établira, à titre d'information, un registre des organisations altruistes reconnues en matière de données au niveau de l'UE »[6].
« Un formulaire de consentement européen commun pour l'altruisme en matière de données permettra la collecte de données entre les États membres dans un format uniforme, garantissant que ceux qui partagent leurs données peuvent facilement donner et retirer leur consentement. Elle apportera également une sécurité juridique aux chercheurs et aux entreprises qui souhaitent utiliser des données basées sur l'altruisme. Il s'agira d'une forme modulaire, qui pourra être adaptée aux besoins de secteurs et d'objectifs spécifiques »[6].
Le projet de règlement a été élaboré par la Commission, « en coopération avec les organisations altruistes en matière de données et d'autres parties prenantes concernées »[6].
Création d'un « Conseil européen de l'innovation en matière de données » (EDIB)
Ce comité européen de l'innovation en matière de données (ou EDIB pour European Data Innovation Board) doit doit être créé par la Commission pour « faciliter le partage des bonnes pratiques, en particulier en ce qui concerne l'intermédiation des données, l'altruisme en matière de données et l'utilisation de données publiques qui ne peuvent pas être mises à disposition en tant que données ouvertes, ainsi que sur la hiérarchisation des normes d'interopérabilité intersectorielles (...) L'EDIB aura le pouvoir de proposer des lignes directrices pour des espaces européens communs de données, par exemple sur la protection adéquate des transferts de données en dehors de l'Union »[6].
L'EDIB sera composé de représentants des entités suivantes[6] :
autorités compétentes des États membres pour l'intermédiation de données ;
autorités compétentes des États membres pour l'altruisme en matière de données ;
renforcer la confiance dans le partage des données, en particulier la confiance entre les personnes physiques et les entreprises : le DGA créee pour cela un cadre juridique clair et harmonisé pour un partage transparent et régulé des données. Il doit permettre, en toute sécurité, le partage des données sensibles détenues par des organismes publics ;
renforcer la disponibilité des données, avec plus de données rendues disponibles, notamment dans le secteur public ;
faciliter le partage des données, en particulier entre les entreprises et les organismes du secteur public.
Le DGA a aussi vocation à stimuler l'innovation, créer des emplois et améliorer la vie des citoyens européens.
Champ d'application
Le DGA s'applique à toutes les données traitées dans l'UE, qu'elles soient ou non à caractère personnel
Limites du RGA
Winfried Veil, de l'ONG Algorithmwatch estime que ce règlement (DGA) étouffera en réalité l'altruisme des données qu'il promeut dans le texte, car « de nombreux projets de don de données de ce type sont dans une zone grise juridique, avec des exigences décourageantes pour les organisations altruistes et les donateurs en vertu du Règlement général sur la protection des données (RGPD) »[13] ; Pour lui, cette loi trop bureaucratique est « une occasion manquée de donner vie à l'idée de « Data for Good » (la donnée pour faire le bien) ».
Certaines données (concernant les secrets d'affaires ou obtenues via les capteurs d'objets connectés) restent difficiles à prendre en compte en lien notamment avec le Data Act qui les cite[14].
En outre ce règlement a été préparé et négocié avant l'explosion des IA génératives qui dont de nouvelle et énormes productrices et consommatrices de données, des données qu'elles peuvent massivement créer à partir de rien, ou de données existantes. Ces IA sont déjà utilisées dans divers domaines, à de nombreuses fins utiles (ex. : création de contenu créatif, culturels, traduction automatique, médecine, détection de fraudes, etc.) mais peuvent poser de graves problèmes en cas d'usages malveillants (désinformation massive, deepfakes, usages offensifs, etc.). En 2023, plusieurs demandes de régulation de l'IA ont émergé, encourageant les députés européens à préparer mi 2023 un règlement dédié : l'IA Act. Ce projet de régulation de l'intelligence artificielle (IA) vise à limiter les risques des systèmes de type ChatGPT2. Cependant, l'IA générative, qui a vu une massification de ses usages à la suite du déploiement de l'application ChatGPT en décembre 2022, pose des questions complexes en matière de régulation3. Par exemple, comment garantir que les données générées respectent les droits à la vie privée et à la protection des données ? Comment gérer les questions de propriété et de responsabilité lorsque les IA génératives créent de nouvelles données ? Ces questions nécessitent une réflexion approfondie et peuvent nécessiter des ajustements ou des compléments au cadre règlementaire existant. Parmi les nouvelles demandes figurent une obligation accrue de transparence et de responsabilité pour les entreprises et groupes d'intérêt qui utilisent l'IA générative.
↑Julie Baloup, Emre Bayamlıoğlu, Aliki Benmayor, Charlotte Ducuing, Lidia Dutkiewicz, Teodora Lalova, Yuliya Miadzvetskaya et Bert Peeters, White Paper on the Data Governance Act, Leuven, Belgium, KU Leuven Centre for IT and IP Law (imec), (lire en ligne [archive du ])
↑Mireille van Eechoud, « A serpent eating its tail: the Database Directive meets the Open Data Directive », International Review of Intellectual Property and Competition Law, vol. 52, no 4, , p. 375–378 (ISSN2195-0237, DOI10.1007/s40319-021-01049-7, S2CID234823202, lire en ligne [archive du ], consulté le ) An editorial. .
Anne-Sophie Hulin, Émilie Guiraud, Justin Lawarée et Lyse Langlois, « Le partage et la mise en commun des données de santé : quels enjeux pour un objectif d'innovation sociale responsable ? », Éthique publique, vol. 25, no 1, (ISSN1488-0946 et 1929-7017, DOI10.4000/ethiquepublique.7983, lire en ligne, consulté le ).
Sophie Fortuno, Pascal Aventurier, Dimitri Szabo et Luc Decker, Recommandations issues d'une analyse comparative des politiques de gouvernance des données (WP1) : harmoniser les stratégies de politiques de gouvernance des données de la recherche (version 2) (rapport de recherche), , 29 p. (DOI10.5281/zenodo.7899142, HALhal-04144546).
Edouard Cruysmans, « Le data Governance Act », Les pages : obligations, contrats et responsabilités, vol. 2023, no 142, , p. 1 (ISSN1378-8485, lire en ligne, consulté le ).