Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
Un an et demi après son entrée en vigueur, le règlement sur la gouvernance des données est applicable depuis le 24 septembre 2023 en France, et plus largement en Europe. Plus connu sous l’abréviation DGA (Data Governance Act), ce texte s’inscrit dans la "stratégie européenne pour les données" et se donne pour ambition de réguler l’usage des données personnelles et non personnelles.
Le DGA repose sur une promesse alléchante : "les mesures envisagées par le Data Governance Act généreraient 7 à 11 milliards d’euros par an rien qu’au titre de l’échange de données", explique le cabinet d’avocats Haas, spécialisé en droit du numérique et de la propriété intellectuelle ; "le DGA aura ainsi pour but de garantir l’accès à de grands volumes de données au profit de l’économie européenne, tout en garantissant un meilleur contrôle sur les données afin de renforcer la souveraineté numérique de l’Europe."
Services d’intermédiation de données
Depuis son lancement, la stratégie européenne pour les données met en avant quelques principes chers au Vieux Continent : le partage et la réutilisation responsables des data et une attention particulière portée à la protection des données personnelles.
Lire aussi : L'Europe adopte le Règlement sur la gouvernance des données
Le DGA reprend à son compte cette philosophie et s’appuie sur trois piliers :
- un encadrement ainsi qu’une assistance technique et juridique facilitant la réutilisation de certaines catégories de données protégées du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles);
- une certification obligatoire pour les fournisseurs de services d’intermédiation de données;
- une certification facultative pour les organismes pratiquant l’altruisme en matière de données.
Les services d’intermédiation de données évoqués par le DGA auront vocation à établir des relations commerciales à des fins de partage de données entre des personnes concernées ou des détenteurs de données avec des utilisateurs de données.
"Les prestataires d’intermédiation devront notifier leur intention d’exercer cette activité auprès de l’autorité compétente en matière de services d’intermédiation des données. Cependant, cette notification n’est pas une demande d’autorisation : elle suffit à elle seule à permettre l’activité, sous réserve du respect des dispositions du règlement", précise le cabinet Haas.
Lire aussi : Data : qu’en font réellement les entreprises ?
Afin d’éviter tout mélange des genres, le DGA a particulièrement bien borné l’activité des prestataires d’intermédiation. Ces derniers ne pourront pas utiliser les données pour lesquelles ils agissent en tant qu’intermédiaires. Leur rôle est restreint à l’activité de facilitateur d’échange des données. Et cela en respectant le format dans lequel ils les reçoivent. Ils ne seront autorisés à les convertir que pour en améliorer l’interopérabilité ou à la demande de l’utilisateur.
Le DGA en cohérence avec le RGPD
De leur côté, les autorités européennes de protection des données se sont penchées sur ce nouveau règlement sur la gouvernance des données et reconnaissent l’objectif légitime du DGA de favoriser la disponibilité des données par la mise en place de structures d’intermédiation de données.
En France, la Cnil rappelle son attachement à un double principe : la circulation des données contribue au développement de l’économie numérique européenne, mais cette circulation doit s’exercer dans le respect de la protection des données personnelles.
À ses yeux, le DGA doit donc s’inscrire dans ce principe protecteur pour les citoyens. Et, à l’unisson avec les autres autorités européennes de protection, elle estime qu’en cas de conflit entre DGA et RGPD, c’est ce dernier qui doit prévaloir.