La construction d'une économie européenne de la donnée respectueuse des libertés et droits fondamentaux prend une étape supplémentaire, notamment avec l'avis du 5 mai 2022 du Comité européen de la protection des données (CEPD) et le Contrôleur européen sur la protection des données (EDPS) sur la proposition de règlement européen sur les données (Data Act). Cet avis succède à celui de mars 2021 sur la gouvernance des données (DGA).
La stratégie européenne pour les données, présentée par la Commission européenne en février 2020, a pour objectif le développement d'un marché unique et responsable de la donnée en soutenant l’accès, le partage et la réutilisation, dans le respect des valeurs de l’Union européenne et notamment la protection des données personnelles.
Cette stratégie s’inscrit dans un contexte plus large du plan d’action de la Commission européenne visant à assurer la souveraineté numérique de l’Europe à l’horizon 2030, et est complémentaire de la stratégie européenne en matière d’intelligence artificielle.
Le Data Governance Act, qu'est-ce que c'est ?
Adopté en mai 2022 et applicable en septembre 2023, ce règlement vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d'intermédiation certifiées, et en proposant une certification facultative pour les organismes pratiquant l'altruisme en matière de données (qui partage des données pour l'intérêt général).
De plus, il comportera un encadrement ainsi qu'une assistance juridique et technique afin de faciliter la réutilisation de certaines catégories de données protégées du secteur public.
Quelles différences avec le Data Act ?
Le Data Act, encore à l'étape de proposition législative de la Commission européenne, vise quant à lui à assurer une meilleure répartition des données personnelles et non personnelles entre les acteurs de l'économie numérique.
Les objectifs de ce règlement seront notamment d'élaborer des normes d'interopérabilité pour les données et leurs réutilisations entre les secteurs, de faciliter le changement de fournisseur cloud en encadrant notamment les relations contractuelles ou encore de mettre en place des garanties contre les accès illicites de gouvernements de pays tiers aux données non personnelles contenues dans le cloud.
L'avis de la CNIL et de ses homologues européens
Les autorités de protection des données rappellent la nécessité d'assurer une certaine cohérence avec le RGPD, afin notamment de permettre le respect des droits et protections des personnes concernées. La lisibilité du cadre réglementaire portant sur les données personnelles et non personnelles est primordiale afin d'en assurer son efficacité et son effectivité.
De plus, elles alertent sur le fait que la non désignation de celles-ci pour la supervision de ces règlements entrainerait une réelle complexité pour les acteurs numériques et les personnes concernées. Elles appellent donc à une gouvernance intelligente par la mise en place d'un guichet unique auprès des différents acteurs de la donnée.
Vous avez une question juridique concernant la réglementation sur la protection des données ? Extern DPO peut mettre à votre disposition une hotline afin de répondre à vos interrogations sur votre conformité RGPD. Nos experts apporteront des réponses claires et précises pour vous aider au mieux dans votre démarche.