DGA Épisode 1 : L'Aube d'une Nouvelle Gouvernance des Données

ReglementUE-DGA-GouvernanceDesDonnées-RGPD-Avocat-Marseille

Sommaire :

I)Introduction :

II) Philosophie du Règlement :

III). Le nouveau cadre juridique du partage et de la réutilisation des données

IV). Conclusion :

 

I) Introduction :

Le Parlement européen et le Conseil ont récemment adopté le Data Governance Act (DGA), une réglementation majeure sur la gouvernance des données qui entrera en vigueur le 24 septembre 2023.

Bien que moins médiatisé que le Digital Services Act (DSA) et le Digital Markets Act (DMA), le DGA constitue une étape importante dans l’écho nos mis numérique fondés sur la donnée.

Il redéfinit le cadre juridique et pose de nouvelles bases pour l’ingénierie contractuelle des données.

Cette évolution implique une transformation des rôles, notamment selon nous pour les Data Protection Officers (DPO) qui devront désormais veiller à la conformité globale de la gouvernance des données, qu'elles soient personnelles ou non.

Face à l'importance du DGA, nous vous proposons une série d'articles pour décortiquer et mettre en lumière les innovations de cette réglementation, essentielle pour toutes les entreprises manipulant des données.

II) Philosophie du Règlement :

L'Union européenne, à travers le Data Governance Act (DGA), réalise :

  • Un cadre unique permettant d’établir le marché intérieur numérique du partage et de la circulation des données.

Ce cadre vise non seulement à faciliter la coopération entre les États membres, mais aussi à créer une économie des données centrée sur l'humain, digne de confiance et sécurisée.

Toutefois, la mise en œuvre de ce cadre nouveau s'inscrit dans un paysage juridique déjà dense, avec des règles sectorielles spécifiques pour des domaines tels que la santé, les véhicules et d'autres activités.

Ces règles sectorielles, tout en étant essentielles, seront à harmoniser avec le DGA pour garantir une approche cohérente de la gouvernance des données à travers l'Union.

L’on touche ici à la difficulté relative pour comprendre comment bien appliquer le DGA avec d’autres règlements et directives de l'UE qui régissent déjà l'accès et la réutilisation des données.

III). Le nouveau cadre juridique du partage et de la réutilisation des données

La Commission européenne a pour ambition d'organiser une libre circulation sécurisée des données dans l’UE, et avec les pays tiers, tout en respectant les exceptions et restrictions liées à, l'ordre public et d'autres objectifs légitimes de l'Union, y compris ses obligations internationales.

C’est-à-dire que le Règlement DGA ne couvre pas la réutilisation des données relatives à la sécurité publique, la défense et d'autres domaines sensibles.

Un cadre spécifique est instauré pour la réutilisation de certaines catégories de données protégées et pour la fourniture de « services d'intermédiation de données » et de services basés sur « l'altruisme en matière de données ».

Le DGA a introduit la notion « d'espace européen commun de données" pour certains secteurs, visant à établir des règles communes pour le partage et la mise en commun de données pour les domaines d’activité suivants :

  • Santé,
  • Mobilité,
  • L’industrie manufacturière,
  • Les services financiers,
  • L’énergie,
  • L’agriculture,
  • Le climat,
  • Les domaines thématiques issus du « pacte vert » pour l’Europe.

L'objectif est de rendre les données traçables, accessibles, interopérables et réutilisables, application des principes FAIR.

C’est ici la consécration des usages de la recherche scientifique, les principes FAIR ayant été conçus à l’origine pour soutenir la réutilisation des données dans l’écosystème numérique de la recherche scientifique.

L'acronyme FAIR se réfère à des principes qui guident la gestion et la mise à disposition des données de manière à ce qu'elles soient :

  • Findable (Trouvables) : Les données doivent être faciles à trouver pour les utilisateurs et les machines. Cela implique l'utilisation de métadonnées et d'identifiants uniques.
  • Accessible (Accessibles) : Une fois les données trouvées, elles doivent être accessibles. Cela signifie qu'il doit y avoir des protocoles clairement définis pour accéder aux données, y compris des protocoles d'authentification et d'autorisation.
  • Interoperable (Interopérables) : Les données doivent être utilisables avec d'autres ensembles de données. Les métadonnées et les standards doivent être utilisés pour permettre l'interopérabilité.
  • Reusable (Réutilisables) : Les données doivent être réutilisables pour différentes études. Cela nécessite une licence claire et des métadonnées détaillées.

Le DGA souligne que la concurrence dans le secteur des données doit se baser sur la qualité des services et non sur la quantité de données produites et contrôlées, ce qui a eu une incidence sur la rédaction des contrats utilisant les données de toute nature

De plus, le Règlement DGA ne remet pas en cause la réglementation du RGPD, qui reste prioritaire si des données à caractère personnel sont traitées et/ou si elles sont traitées dans un flux avec des données non personnelles :

  • C’est le RGPD qui est applicable à l’ensemble de l’opération.

IV). Conclusion :

Le Règlement DGA apporte des changements significatifs à la gouvernance des données.

Il introduit de nouveaux acteurs, tels que les prestataires de services d'intermédiation de données, et de nouvelles pratiques de partage, comme l'altruisme en matière de données.

De plus, il établit une nouvelle réglementation contractuelle pour la réutilisation de certaines données protégées.

Dans un contexte où les technologies de l'IA nécessitent un accès à des jeux de données de qualité, toutes les entreprises, notamment celles du WEB3, doivent prendre en compte cette nouvelle réglementation.

La traçabilité et l'origine des données deviennent des enjeux majeurs, pour la valorisation financière du capital informationnel des entreprises.

Pour vous guider dans cette transition, nous vous invitons à suivre notre feuilleton juridique dédié au DGA.

À la fin de cette série, nous vous proposerons un récapitulatif des points essentiels à retenir.

Article publié le 16 septembre 2023

Véronique RONDEAU-ABOULY

Avocat Blockchain et DPO externe.

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.

Mots Clefs :

 

DGA-Data governance Act – Intelligence artificielle – Données à caractère personnelle – Prestataires de services d’intermédiation de données -FAIR – Altruisme de la donnée – DPO

 

Crédit Photos : Istock photo Carlottofolo