La gouvernance, outil du partage des données
La gouvernance, une priorité de la politique européenne des données
Le règlement sur la gouvernance des données (RGD) s’inscrit dans la politique européenne des données initiée en 2020 qui vise à instaurer un climat de confiance pour inciter, en particulier ceux qui détiennent les données, au partage de leurs données, qu’elles soient à caractère personnel ou non personnel (par exemple commerciales, industrielles etc.). Il est le premier texte matérialisant cette politique volontariste destinée à doter d’un cadre incitatif, et s’il le faut contraignant, de circulation des données, perçue comme une condition essentielle de la place mondiale de l’économie numérique européenne.
Dans ce mouvement, le RGD a été suivi en décembre 2023 du règlement sur les données (Data Act) et du règlement sur l’intelligence artificielle (AI Act). En France, le projet de loi visant à sécuriser et réguler l’espace numérique (SREN) tire les conséquences du règlement sur la gouvernance des données en désignant l’ARCEP1 et la CNIL en tant qu’autorités de contrôle. Ce projet de texte a également anticipé le règlement sur les données, en particulier pour dynamiser la concurrence sur le marché du cloud – composante essentielle de la politique européenne des données – par des mesures luttant contre certaines pratiques commerciales des hyperscalers2.
Les intermédiaires du partage de données au centre de la gouvernance
Le RGD organise l’activité de trois types d’intermédiaires dans la chaine du partage de données entre celui qui détient les données, en amont, et leur destinataire, en aval.
La première catégorie de ces « intermédiaires » n’est pas un « novice » du partage de données puisqu’il s’agit des acteurs publics ouvrant progressivement, depuis une vingtaine d’années, les données publiques à leur réutilisation par des tiers, y compris désormais à des fins commerciales. L’open data se voit complété, dans le RGD, par le partage, par ces mêmes acteurs publics, de « données protégées » (par la propriété intellectuelle, le secret des affaires ou statistique, ou parce qu’elles sont des données à caractère personnel) dont ils pourront autoriser la réutilisation par des tiers dès lors qu’elles restent protégées. Cette exigence explique l’ensemble des mesures techniques (anonymisation des données, environnement sécurisé de partage, etc.), voire juridiques (accord de confidentialité) ou organisationnelles, qu’ils peuvent mettre en œuvre ou imposer aux destinataires des données, avec l’aide de l’État qui désigne un « organisme compétent » à cet effet.
Le deuxième de ces « intermédiaires » est un nouvel acteur du partage de données non lucratif, l’organisation altruiste. Elle a pour mission de partager les données dans le respect des finalités d’intérêt général (écologie, santé publique, mobilité, recherche scientifique etc.) voulues par ceux qui lui ont confié leurs données. Là encore, l’exigence de cette mission détermine les règles de gouvernance de l’activité de l’organisation altruiste qui devra, non seulement veiller à la sécurité des données, mais également justifier de la bonne exécution de sa mission. Elle se trouve, pour ce faire, soumise au contrôle et pouvoir de sanction (y compris financière) de la CNIL auprès de laquelle elle doit déclarer son activité, puis rendre régulièrement des comptes, en particulier sur un usage des données conforme aux finalités d’intérêt général voulues par ceux qui lui ont remis ces données.
Le prestataire de service d’intermédiation, acteur majeur de l’intermédiation dans l’économie de la donnée
Le PSID, fournisseur de services facilitant le partage des données
Le prestataire de service d’intermédiation (PSID) est le troisième intermédiaire du partage de données prévu par le RGD. Il a pour mission de mettre en relation détenteurs et utilisateurs de données, notamment pour qu’ils nouent directement des relations commerciales aux fins de partage de données. Cette intermédiation peut prendre diverses formes (place de marché, base de données …) et donner lieu à divers services facilitant le partage (hébergement, recueil du consentement ou de l’autorisation au partage, conversion, anonymisation, pseudonymisation des data, etc.)
Le PSID se fait connaître de l’ARCEP1, autorité de contrôle dont il dépend et qui dispose d’un pouvoir de sanction (notamment financière) à son égard. Il peut également solliciter de cette même autorité sa labellisation en tant que « prestataire de services d’intermédiation reconnu dans l’Union » qui attestera de sa conformité aux obligations posées par le RGD. Qu’il soit simplement déclaré ou « labellisé », le PSID figure sur un registre centralisé à l’échelon européen, facilitant ainsi la circulation des services et données sur le territoire de l’Union.
Le PSID participe de la confiance dans le partage des données
Les obligations du PSID dans l’exercice de sa mission d’intermédiaire matérialisent la finalité de cette gouvernance qui vise à encourager le partage des données par l’instauration d’un climat de confiance.
Tout d’abord, la fourniture des services d’intermédiation de données (SID) doit être conforme à leur finalité de partage, à l’exclusion d’un autre usage des données par le PSID. Ces services doivent, par ailleurs, participer de la fluidité de la circulation des données, en dehors de la seule sphère du PSID, par l’incitation à une interopérabilité avec d’autres SID ou encore au recours aux formats standards d’échange de données.
Ensuite, l’offre de fourniture de SID, y compris sur le plan commercial, doit être « équitable, transparente et non discriminatoire » et exclure toutes conditions préférentielles au bénéfice de clients d’autres services du PSID. Il s’agit là de permettre au plus grand nombre de devenir « partie prenante » au partage de données, sans barrières injustifiées ou qui tiendraient aux seuls intérêts économiques du PSID.
Enfin et sans surprise, le PSID se voit soumis à un ensemble d’obligations visant à assurer la sécurité des données dont il permet le partage, cette obligation étant plus ou moins prégnante selon que les données transitent, ou non, par son intermédiaire. Le RGD concentre son attention sur les données à caractère non personnel, le PSID étant, par ailleurs, soumis à celles du règlement général sur la protection des données (RGPD) s’il intervient également (ou exclusivement) sur des données à caractère personnel. Le RGPD a fortement inspiré le RGP à ce titre puisque le PSID (à l’instar du responsable de traitement de données à caractère personnel ou de son sous-traitant) devra, par exemple, prendre toutes mesures juridiques, techniques ou organisationnelles pour assurer la sécurité des données ou encore notifier « sans retard » au détenteur de données toute utilisation ou accès illicite à ses données. Le RGP se préoccupe également de la santé financière du PSID – préoccupation absente du RGPD -, puisqu’il devra, en cas « d’insolvabilité » assurer une « continuité raisonnable » de ses services, le temps notamment de permettre la récupération des données qu’il hébergerait éventuellement.
Ces intermédiaires, en particulier le PSID, ont donc un rôle majeur à jouer dans la dynamisation du partage de données, notamment par la mise en place d’espaces de données (ou dataspace), sectoriels ou transectoriels pour convaincre des filières industrielles, pour certaines encore réticentes à une telle démarche d’ouverture de leurs données. En effet, outre l’inquiétude que peut susciter cette ouverture et que la gouvernance portée par le RGD vise à apaiser, les parties prenantes ne perçoivent pas toujours l’intérêt qu’elles auraient à partager leurs données. L’effort de conviction portera alors également sur les modèles de valorisation des données (individuel ou collectif, par l’échange ou la mise à disposition à titre onéreux etc.), dans la construction desquels les PSID demeurent force de proposition et moteur de développement.
A propos de l’autrice :
Sophie Soubelet-Caroit est avocate au barreau de Paris depuis 1996 et au barreau de Compiègne depuis 2021. Elle a débuté l’exercice de la profession d’avocat dans des cabinets français ou internationaux, dédiés au droit des technologies de l’information et de la propriété intellectuelle (IT/IP). En 2005, elle crée le cabinet SSC Avocats, pour y développer une activité en droit des affaires général appliqué aux secteurs du numérique et de l’industrie. En 2021, elle crée le réseau ViaLex, réseau pluridisciplinaire réunissant juristes et autres professionnels intervenant dans le domaine du numérique.
1. ARCEP : Autorité de régulation des communications électroniques, des postes et de la distribution de la presse
2. Hyperscaler : fournisseur de services cloud, capable de proposer des services de calcul et de stockage à grande échelle
Crédit photo : Unsplash
