Règlement sur la gouvernance des données

Règlement sur la gouvernance des données

Présentation
Titre Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) (Texte présentant de l’intérêt pour l'EEE)
Référence (EU) 2022/868
Organisation internationale Drapeau de l’Union européenne Union européenne (Règlement du Parlement européen et du Conseil)
Pays Les pays de l'UE
Territoire d'application États membres de l'Union européenne
Type Règlement de l'Union européenne
Branche Droit de l'Union européenne, droit de l'informatique, droit des données
Adoption et entrée en vigueur

Lire en ligne

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32022R0868

Le Règlement sur la gouvernance des données aussi dénommé Loi sur la gouvernance des données (ou encore DGA pour Data Governance Act) est un règlement proposé par la Commission européenne, visant à créer un cadre facilitant la disponibilité et le partage sécurisé (et en confiance) de données (des organismes publics, des entreprises privées et des citoyens) au sein de l'Union européenne[1]. Ses enjeux sont qualitatifs, mais aussi quantitatifs (le volume de données produit dans le monde devrait passer de 33 zettaoctets en 2018 à 175 en 2025 (1 zettaoctet représente un billion de gigaoctets)[2] note le Parlement européen, qui s'attend aussi à une augmentation de la productivité du travail liée à l'IA (de 11 % en 2023 à 37 % avant 2035, d'après une estimation de l'EP Think Tank faite en 2020 mais qui n'avait pas anticipé l'explosion de l'IA générative)[3].

Ce règlement de l'Union européenne a été adopté le 25 novembre 2022 et a reçu l'accord du Parlement et du Conseil de l'UE le 30 novembre[4].
Il est applicable depuis septembre 2023.

Histoire législative

La proposition a été officiellement présentée par Margrethe Vestager le 25 novembre 2020[5], dans le cadre de la Stratégie européenne de la donnée ; elle s'inscrit dans le contexte en évolution rapide du Droit des données.

Mais cet instrument juridique « transectoriel »[6] a été préparée et négociée, tout comme la stratégie européenne sur les données, avant l'émergence d'IA génératives telles que ChatGPT et Bard.

Le 30 novembre 2021, la neuvième législature du Parlement européen et le Conseil de l'Europe sont parvenus à un accord sur le libellé de la DGA.

Le projet de règlement a fait l'objet d'un livre blanc[7] et été analysé par des tiers indépendants[8].

Contenu

Le Data Governance Act (DGA) concerne toutes les données (des organismes publics, des entreprises privées et des citoyens...) et il porte principalement sur :

  • la réutilisation de la donnée publique : le DGA simplifie les procédures de réutilisation des données publiques, grâce notamment à une licence uniforme de réutilisation de la donnée publique ;
  • le partage de données : le DGA prévoit un cadre juridique pour tout partage entre des entreprises et des organismes du secteur public, avec notamment des obligations d'interopérabilité et de transparence ;
  • l'altruisme en matière de données : il consiste par exemple à volontairement donner des informations personnelles sur les effets indésirables des vaccinations ou d'autres données de santé à des fins d'analyse scientifique. Un exemple est celui de personnes partageant leurs cotes de crédit personnelles, pour que l'on sache si cette notation a ou non des effets discriminants, étude faite en Allemagne (étude OpenSchufa)[9], où AlgorithmWatch et l'Open Knowledge Foundation Allemagne ont ainsi pu étudier les procédures de Schufa, la principale société allemande de notation de crédit. « La recherche indique que, bien qu'il existe en principe une volonté de s'engager dans l'altruisme des données, dans la pratique, cela est entravé par un manque d'outils de partage de données. En tant que tel, l'objectif de la loi sur la gouvernance des données est de créer des outils de confiance qui permettront de partager facilement les données au profit de la société. Il créera les bonnes conditions pour garantir aux particuliers et aux entreprises que lorsqu'ils partageront leurs données, elles seront gérées par des organisations de confiance sur la base des valeurs et des principes de l'UE. Cela permettra de créer des pools de données d'une taille suffisante pour permettre l'analyse des données et l'apprentissage automatique, y compris au-delà des frontières[6]. » Cet altruisme numérique est encouragé par le DGA (le partage de données à des fins altruistes doit être fait « volontairement et sans récompense » et il justifiera certaines exemptions aux obligations du règlement).

Ce contenu est détaillé ci-dessous :

Concernant les données publiques

  • Exigences techniques : Les États membres devront être équipés sur le plan technique pour veiller à ce que la vie privée et la confidentialité des données soient pleinement respectées dans les situations de réutilisation. Cela peut inclure une gamme d'outils, allant de solutions techniques, telles que l'anonymisation, la pseudonymisation ou l'accès aux données dans des environnements de traitement sécurisés (par exemple des salles de données) supervisés par le secteur public, à des moyens contractuels tels que des accords de confidentialité conclus entre l'organisme du secteur public et le réutilisateur[6].
  • Assistance de l'organisme du secteur public : Si un organisme du secteur public ne peut pas accorder l'accès à certaines données aux fins de réutilisation, il devrait aider le réutilisateur potentiel à solliciter le consentement de la personne concernée pour réutiliser ses données à caractère personnel) ou l'autorisation du titulaire des données dont les droits ou les intérêts peuvent être affectés par la réutilisation. En outre, les informations confidentielles (par exemple, les secrets d'affaires) ne peuvent être divulguées auxfins de réutilisation qu'avec un tel consentement ou autorisation[6].
  • Pour disposer encore plus de données publiques en vue de leur réutilisation, la DGA limite le recours à des accords exclusifs de réutilisation des données (où un organisme du secteur public accorde un tel droit exclusif à une entreprise) à des cas spécifiques d'intérêt public[6].
  • Honoraires raisonnables : les organismes du secteur public peuvent facturer des redevances pour permettre la réutilisation tant que ces redevances n'excèdent pas les coûts nécessaires encourus. En outre, les organismes du secteur public devraient encourager la réutilisation à des fins de recherche scientifique et à d'autres fins non commerciales, ainsi que par les PME et les jeunes entreprises, en réduisant ou même en excluant la tarification[6].
  • Un organisme du secteur public disposera d'un délai maximal de deux mois pour prendre une décision sur une demande de réutilisation[6].
  • Les États membres peuvent choisir quels organismes compétents soutiendront les organismes du secteur public qui accordent l'accès à la réutilisation, par exemple en leur fournissant un environnement de traitement sécurisé et en les conseillant sur la meilleure façon de structurer et de stocker les données afin de les rendre facilement accessibles[6].
  • Pour aider les réutilisateurs potentiels à trouver des informations pertinentes sur les données détenues par les autorités publiques, les États membres seront tenus de mettre en place un point d'information unique. La Commission créera un point d'accès unique européen (avec un registre consultable[10] des informations compilées par les points d'information uniques nationaux) afin de faciliter davantage la réutilisation des données dans le marché intérieur et au-delà[6].

Concernant les services d'intermédiation de données

Les entreprises craignent souvent que le partage de leurs données entraîne une perte d'avantage concurrentiel et/ou un risque d'utilisation abusive[6]. Le DGA définit des règles pour les fournisseurs de services d'intermédiation de données (dits intermédiaires de données, tels que les marchés de données) pour garantir qu'ils fonctionneront en tant qu'organisateurs dignes de confiance du partage ou de la mise en commun de données au sein des espaces européens communs de données. Cette nouvelle approche propose un modèle basé sur la neutralité et la transparence des intermédiaires de données, tout en mettant les individus et les entreprises au contrôle de leurs données[6].

Ce cadre offre un modèle alternatif aux pratiques de traitement des données des plateformes Big Tech, qui ont un haut degré de pouvoir de marché parce qu'elles contrôlent de grandes quantités de données[6].

« Dans la pratique, les intermédiaires de données fonctionneront comme des tiers neutres qui mettront en relation des individus et des entreprises avec des utilisateurs de données. Bien qu'elles puissent facturer pour faciliter le partage des données entre les parties, elles ne peuvent pas utiliser directement les données qu'elles intermédiaires à des fins de profit financier (par exemple, en les vendant à une autre société ou en les utilisant pour développer leur propre produit sur la base de ces données). Les intermédiaires de données devront se conformer à des exigences strictes pour garantir cette neutralité et éviter les conflits d'intérêts. Dans la pratique, cela signifie qu'il doit y avoir une séparation structurelle entre le service d'intermédiation de données et tout autre service fourni (c'est-à-dire qu'ils doivent être légalement séparés). En outre, les conditions commerciales (y compris la tarification) pour la fourniture de services d'intermédiation ne devraient pas dépendre de la question de savoir si un détenteur potentiel de données ou un utilisateur de données utilise d'autres services. Toutes les données et métadonnées acquises ne peuvent être utilisées que pour améliorer le service d'intermédiation de données[6]. »

« Tant les organisations autonomes fournissant uniquement des services d'intermédiation de données que les entreprises qui offrent des services d'intermédiation de données en plus d'autres services pourraient fonctionner comme des intermédiaires de confiance. Dans ce dernier cas, l'activité d'intermédiation de données doit être strictement séparée, tant sur le plan juridique qu'économique, des autres services de données »[6].

« Dans le cadre de la DGA, les intermédiaires de données seront tenus d'informer l'autorité compétente de leur intention de fournir ces services. L'autorité compétente veillera à ce que la procédure de notification soit non discriminatoire et ne fausse pas la concurrence et confirmera que le prestataire de services d'intermédiation de données a soumis la notification contenant toutes les informations requises. br>Dès réception d'une telle confirmation, l'intermédiaire de données peut légalement commencer à exploiter et à utiliser le label «prestataire de services d'intermédiation de données reconnu dans l'Union» dans sa communication écrite et orale, ainsi que le logo commun. Ces autorités surveilleront également le respect des exigences en matière d'intermédiation de données et la Commission tiendra un registre[11] central des intermédiaires de données reconnus »[6].

Concernant l'altruisme des données

Les entités qui mettent à disposition des données pertinentes fondées sur l'altruisme en matière de données peuvent s'enregistrer comme « Organisations altruistes de données reconnues dans l'Union ».
Pour cela elles doivent être "sans but lucratif", « répondre aux exigences de transparence et offrir des garanties spécifiques pour protéger les droits et les intérêts des citoyens et des entreprises qui partagent leurs données. Elles doivent respecter le règlement (au plus tard 18 mois après son entrée en vigueur), qui établira les exigences en matière d'information, les exigences techniques et de sécurité, les feuilles de route de communication et les recommandations sur les normes d'interopérabilité. »[6].

« Les entités pourront utiliser le logo commun conçu à cette fin et pourront choisir d'être inscrites au registre public des organisations altruistes en matière de données[12]. La Commission établira, à titre d'information, un registre des organisations altruistes reconnues en matière de données au niveau de l'UE »[6].

« Un formulaire de consentement européen commun pour l'altruisme en matière de données permettra la collecte de données entre les États membres dans un format uniforme, garantissant que ceux qui partagent leurs données peuvent facilement donner et retirer leur consentement. Elle apportera également une sécurité juridique aux chercheurs et aux entreprises qui souhaitent utiliser des données basées sur l'altruisme. Il s'agira d'une forme modulaire, qui pourra être adaptée aux besoins de secteurs et d'objectifs spécifiques »[6].

Le projet de règlement a été élaboré par la Commission, « en coopération avec les organisations altruistes en matière de données et d'autres parties prenantes concernées »[6].

Création d'un « Conseil européen de l'innovation en matière de données » (EDIB)

Ce comité européen de l'innovation en matière de données (ou EDIB pour European Data Innovation Board) doit doit être créé par la Commission pour « faciliter le partage des bonnes pratiques, en particulier en ce qui concerne l'intermédiation des données, l'altruisme en matière de données et l'utilisation de données publiques qui ne peuvent pas être mises à disposition en tant que données ouvertes, ainsi que sur la hiérarchisation des normes d'interopérabilité intersectorielles (...) L'EDIB aura le pouvoir de proposer des lignes directrices pour des espaces européens communs de données, par exemple sur la protection adéquate des transferts de données en dehors de l'Union »[6].

L'EDIB sera composé de représentants des entités suivantes[6] :

Il fonctionnera via au moins trois sous-groupes[6], à savoir :

  • un sous-groupe de représentants des autorités compétentes des États membres ;
  • un sous-groupe de discussions techniques sur la normalisation, la portabilité et l'interopérabilité ;
  • un sous-groupe pour la participation des parties prenantes.

Objectifs

Ce règlement vise principalement[6] à :

  • renforcer la confiance dans le partage des données, en particulier la confiance entre les personnes physiques et les entreprises : le DGA créee pour cela un cadre juridique clair et harmonisé pour un partage transparent et régulé des données. Il doit permettre, en toute sécurité, le partage des données sensibles détenues par des organismes publics ;
  • renforcer la disponibilité des données, avec plus de données rendues disponibles, notamment dans le secteur public ;
  • faciliter le partage des données, en particulier entre les entreprises et les organismes du secteur public.

Le DGA a aussi vocation à stimuler l'innovation, créer des emplois et améliorer la vie des citoyens européens.

Champ d'application

Le DGA s'applique à toutes les données traitées dans l'UE, qu'elles soient ou non à caractère personnel

Limites du RGA

  • Winfried Veil, de l'ONG Algorithmwatch estime que ce règlement (DGA) étouffera en réalité l'altruisme des données qu'il promeut dans le texte, car « de nombreux projets de don de données de ce type sont dans une zone grise juridique, avec des exigences décourageantes pour les organisations altruistes et les donateurs en vertu du Règlement général sur la protection des données (RGPD) »[13] ; Pour lui, cette loi trop bureaucratique est « une occasion manquée de donner vie à l'idée de « Data for Good » (la donnée pour faire le bien) ».
  • En outre ce règlement a été préparé et négocié avant l'explosion des IA génératives qui dont de nouvelle et énormes productrices et consommatrices de données, des données qu'elles peuvent massivement créer à partir de rien, ou de données existantes. Ces IA sont déjà utilisées dans divers domaines, à de nombreuses fins utiles (ex. : création de contenu créatif, culturels, traduction automatique, médecine, détection de fraudes, etc.) mais peuvent poser de graves problèmes en cas d'usages malveillants (désinformation massive, deepfakes, usages offensifs, etc.).
    En 2023, plusieurs demandes de régulation de l'IA ont émergé, encourageant les députés européens à préparer mi 2023 un règlement dédié : l'IA Act. Ce projet de régulation de l'intelligence artificielle (IA) vise à limiter les risques des systèmes de type ChatGPT2. Cependant, l'IA générative, qui a vu une massification de ses usages à la suite du déploiement de l'application ChatGPT en décembre 2022, pose des questions complexes en matière de régulation3. Par exemple, comment garantir que les données générées respectent les droits à la vie privée et à la protection des données ? Comment gérer les questions de propriété et de responsabilité lorsque les IA génératives créent de nouvelles données ? Ces questions nécessitent une réflexion approfondie et peuvent nécessiter des ajustements ou des compléments au cadre règlementaire existant. Parmi les nouvelles demandes figurent une obligation accrue de transparence et de responsabilité pour les entreprises et groupes d'intérêt qui utilisent l'IA générative.

Notes et références

  1. (en-GB) Samuel Stolton, « New EU data brokers won't have to be European, Commission says » [archive du ], euractiv.com, (consulté le ).
  2. Commission Européenne (2020) Une stratégie européenne pour les données ; communication au Comité des régions https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52020DC0066 ; Bruxelles, le 19.2.2020 ; COM(2020) 66 final ; voir p2/42.
  3. Parlement européen (2020) Intelligence artificielle : opportunités et risques (Article 20-06-2023 n°20200918STO87404) ; voir p2/6| URL= https://www.europarl.europa.eu/pdfs/news/expert/2020/9/story/20200918STO87404/20200918STO87404_fr.pdf.
  4. (en-GB) Luca Bertuzzi, « Data governance: new EU law for data-sharing adopted », sur euractiv.com, (consulté le ).
  5. (en) « Margrethe Vestager explains the EU's position in the global battle for data » [archive du ], euronews, (consulté le ).
  6. a b c d e f g h i j k l m n o p q r s t u v et w « La loi sur la gouvernance des données expliquée », sur digital-strategy.ec.europa.eu (WebArchive) CC-BY-SA (consulté le ).
  7. Julie Baloup, Emre Bayamlıoğlu, Aliki Benmayor, Charlotte Ducuing, Lidia Dutkiewicz, Teodora Lalova, Yuliya Miadzvetskaya et Bert Peeters, White Paper on the Data Governance Act, Leuven, Belgium, KU Leuven Centre for IT and IP Law (imec), (lire en ligne [archive du ])
  8. Mireille van Eechoud, « A serpent eating its tail: the Database Directive meets the Open Data Directive », International Review of Intellectual Property and Competition Law, vol. 52, no 4,‎ , p. 375–378 (ISSN 2195-0237, DOI 10.1007/s40319-021-01049-7, S2CID 234823202, lire en ligne [archive du ], consulté le ) An editorial. Accès libre.
  9. (de) « [https://openschufa.de/%20(%5BURL%20archivé https://web.archive.org/web/20230714124646/https://openschufa.de/%20WebArchive%5D) OpenSCHUFA] », sur OpenSchufa (consulté le ).
  10. « data.europa.eu », sur data.europa.eu (consulté le ).
  11. « Registre de l’UE des services d’intermédiation de données », sur digital-strategy.ec.europa.eu (consulté le ).
  12. « Registre de l’UE des organisations altruistes en matière de données reconnues », sur digital-strategy.ec.europa.eu (consulté le ).
  13. (en) « Data altruism: how the EU is screwing up a good idea », sur AlgorithmWatch (consulté le ).
  14. Léa Quertemont (2023) Le droit sui generis sur les bases de données et les secrets d'affaires des droits neufs déjà obsolètes ? Dans quelle mesure la politique européenne en matière de données et le futur Data Act remettent en cause la légitimité de la propriété intellectuelle, dans un contexte de développement de l'Internet des objets ? |Mémoire de Master DTIC| Université de Namur https://pure.unamur.be/ws/portalfiles/portal/87095762/L_a_QUERTEMONT_1203853_assignsubmission_file_DTICM371_-_Quertemont_L_a_-_M_moire.pdf.

Voir aussi

Bibliographie

  • Anne-Sophie Hulin, Émilie Guiraud, Justin Lawarée et Lyse Langlois, « Le partage et la mise en commun des données de santé : quels enjeux pour un objectif d'innovation sociale responsable ? », Éthique publique, vol. 25, no 1,‎ (ISSN 1488-0946 et 1929-7017, DOI 10.4000/ethiquepublique.7983, lire en ligne, consulté le ).
  • Sophie Fortuno, Pascal Aventurier, Dimitri Szabo et Luc Decker, Recommandations issues d'une analyse comparative des politiques de gouvernance des données (WP1) : harmoniser les stratégies de politiques de gouvernance des données de la recherche (version 2) (rapport de recherche), , 29 p. (DOI 10.5281/zenodo.7899142, HAL hal-04144546).
  • Edouard Cruysmans, « Le data Governance Act », Les pages : obligations, contrats et responsabilités, vol. 2023, no 142,‎ , p. 1 (ISSN 1378-8485, lire en ligne, consulté le ).

Articles connexes

Liens externes

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!