Skip to main content

VIELLE RÉGLEMENTAIRE

VIELLE RÉGLEMENTAIRE

VIELLE RÉGLEMENTAIRE

Veille règlementaire CNIL RGPD

Stratégie européenne pour la donnée : la CNIL et ses homologues se prononcent sur le Data Governance Act et le Data Act

européen sur les données (Data Act). Cet avis, qui succède à celui de mars 2021 sur la gouvernance des données (DGA), marque une étape supplémentaire dans la construction d’une économie européenne de la donnée respectueuse des libertés et droits fondamentaux.

Le règlement sur les données (Data Act)

La proposition législative de la Commission européenne, présentée le 23 février 2022, a pour objectif d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, notamment liées à l’utilisation des objets connectés et au développement de l’Internet des objets.

À ce titre, la proposition de Data Act a pour objectifs de :

  • faciliter le partage entre entreprises (B2B) et avec le consommateur (B2C) des données, en fixant notamment une obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable ;
  • permettre l’utilisation des données détenues par les entreprises et, sous réserve de justifier d’un besoin exceptionnel, par les organismes publics des États membres et les institutions, agences ou organes de l’Union ;
  • faciliter le changement de fournisseur de services de traitement de données (cloud et edge computing) par l’encadrement des relations contractuelles entre les fournisseurs de services et les consommateurs, et notamment par la suppression progressive des frais liés au changement pour le consommateur ;
  • prévoir l’élaboration de normes d’interopérabilité pour les données et leurs réutilisations entre les secteurs ;
  • mettre en place des garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud.

Les avis de la CNIL et de ses homologues

Les enjeux liés à l’articulation de ce nouveau cadre législatif sur les données avec le règlement général sur la protection des données personnelles (RGPD) ont conduit la Commission européenne à solliciter l’expertise de la CNIL et de ses homologues. Le Data Governance Act et le Data Act nécessitent, sous des angles différents, deux éléments clés pour garantir leur bonne articulation avec le RGPD :

  • la cohérence de ces futures dispositions avec les droits et obligations du RGPD ; et
  • une gouvernance intelligentegravitant autour des autorités de protection des données afin d’assurer l’application efficace et effective des différents cadres juridiques et d’assurer leur lisibilité pour les citoyens et acteurs économiques concernés.

La nécessité de veiller à la cohérence avec le RGPD

Des objectifs légitimes et l’amélioration de certains droits et protections

Les autorités de protection des données et le Contrôleur européen reconnaissent l’objectif légitime du DGA de favoriser la disponibilité des données par la mise en place de structures d’intermédiation de données et par le renforcement des mécanismes de partage de données dans l’ensemble de l’Union. De même, l’objectif du Data Act de libérer le potentiel des données afin de développer des connaissances précieuses pour des secteurs tels que la science, la santé ou l’action climatique est accueilli favorablement par les autorités de protection des données et le Contrôleur européen.

Le Data Act pourra par ailleurs permettre un droit plus effectif à la portabilité des données en vue de faciliter l’innovation et de promouvoir la concurrence, et de permettre aux consommateurs de contrôler de manière significative la manière dont leurs données générées par l’utilisation des objets connectés sont utilisées.

Enfin, l’encadrement des demandes d’accès par des autorités étrangères et des transferts de données non-personnelles par ces deux règlements fera converger les modèles de protection des données personnelles et non personnelles.

Des garanties nécessaires pour préserver les droits des personnes

Dans le même temps,la protection des données personnelles est essentielle et fait partie intégrante de la confiance dans le développement de l’économie numérique. Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont appelé les co-législateurs (Parlement européen et Conseil de l’UE) à veiller à ce que le DGA et le Data Act ne portent pas atteinte à la protection des données personnelles. Les co-législateurs ont tenu compte de cette recommandation pour le DGA en spécifiant que le RGPD prévaudrait en cas de conflit avec le DGA.

En ce qui concerne les droits d’accès, d’utilisation et de partage des données prévus par le Data Act, la CNIL et ses homologues demandent aux co-législateurs de mettre en place des garanties additionnelles pour les personnes concernées. Ils doivent également veiller à la légalité, la nécessité et la proportionnalité de l’obligation de mettre les données à la disposition des organismes du secteur public et des institutions de l’UE en raison d’un besoin exceptionnel, et définir plus strictement les hypothèses d’« urgence publique » ou de « besoin exceptionnel ».

La nécessité d’assurer une gouvernance intelligente

La CNIL et ses homologues alertent également sur le fait que la non-désignation des autorités chargées de la protection des données pour la supervision du DGA pourraient entraîner une réelle complexité pour les acteurs numériques et les personnes concernées, et nuire à la cohérence de la surveillance de l’application du RGPD. Les co-législateurs ont toutefois indiqué que les autorités de protection des données pouvaient être considérées comme des autorités compétentes pour le DGA.

De même, la désignation des autorités de protection des données comme autorités compétentes pour le Data Act permettra d’éviter les incohérences avec le droit fondamental à la protection des données personnelles et d’assurer un guichet unique aux acteurs de la donnée. Les co-législateurs devraient donc désigner les autorités de protection des données comme autorités coordinatrices pour l’application de l’ensemble du Data Act. En effet, les autorités de protection des données ont une expertise juridique et technique dans la supervision des traitements de données personnelles, et l’accompagnement des acteurs et modèles d’affaires innovants.

À ce titre, la CNIL a lancé un groupe de travail sur l’ouverture et le partage des données qui produira un guide pratique, avec des critères et exemples très concrets, sur la façon dont s’appliquent ces textes.

  • Vues : 386