Deux textes essentiels ont été adoptés pour organiser dans les pays de l’Union européenne le marché des données : le règlement sur la gouvernance des données de 2022, le Digital Governance Act, et le règlement sur les données, le Data Act, de 2023. | ©DCStudio/Shutterstock

L’Union européenne a élaboré un nouveau corpus juridique ambitieux pour compléter le règlement général de protection des données autour de perspectives d’intérêt général. Le règlement sur la gouvernance des données – « Digital Governance Act » – vise à favoriser les nouveaux modes d’usage. Le règlement sur les données – « Data Act » – pose les conditions techniques de valorisation des données. Le règlement sur l’intelligence artificielle – « AI Act » – prolonge ce mouvement en s’intéressant à la qualité des données utilisées pour les systèmes d’IA.

Du 20 au 24 janvier 2025, le 55ᵉ Forum économique mondial de Davos a été marqué par le renforcement de la concurrence entre les États-Unis et la Chine, notamment dans le domaine numérique.

De façon novatrice, l’Union européenne s’efforce depuis plusieurs années de tracer une voie médiane. Elle se distingue des États-Unis, où l’organisation de l’espace des données est prioritairement laissée au secteur privé, ce qui emporte de puissants effets de concentration. Et elle s’éloigne de la Chine, où la surveillance d’État, qui vise des finalités de contrôle social, se combine avec un encadrement strict des grandes plates-formes et de l’utilisation des données.

À rebours des orientations chinoises et états-uniennes, le Vieux Continent dessine un modèle original de régulation des données, concrétisé par la mise en place d’un nouveau marché. L’enjeu est là : la donnée étant la représentation numérique d’une information, il est possible d’en faire un objet d’exploitation. Bien sûr, l’organisation d’un tel marché n’est pas aisée. En effet, les grandes plates-formes disposent d’une propriété exclusive sur les très vastes quantités de données qu’elles collectent chaque jour.

Du RGPD à la stratégie pour les données

Le 19 février 2020, la Commission européenne a présenté sa stratégie pour les données. Elle marque une importante évolution du discours juridique. En complément du règlement général sur la protection des données (RGPD) de 2016, la législation est désormais axée sur la circulation des données. Plus précisément, elle repose sur l’idée que les données sont des ressources à exploiter, notamment pour augmenter la croissance des entreprises et améliorer la réalisation des politiques publiques.

Or, la Commission européenne a identifié plusieurs facteurs de limitation de la libre circulation des données : faible confiance dans le partage, insuffisante disponibilité des données, rôle marginal des fournisseurs européens de cloud et difficultés d’interopérabilité. Une telle situation est directement liée au fait qu’une grande partie des données reste entre les mains des grandes plates-formes.

En réponse, une batterie de mesures est créée pour façonner un espace européen des données et dépasser le RGPD. En ce sens, le règlement libre flux de 2018 sur les données non personnelles a prohibé certaines exigences de localisation des données. Puis, la directive open data de 2019 a établi un premier régime des données ouvertes et érigé la libre réutilisation des données en principe.

L’espace européen des données

Deux textes essentiels sont adoptés dans le sillage de la stratégie pour les données pour organiser le marché des données : le règlement sur la gouvernance des données de 2022 – Digital Governance Act (DGA) – et le règlement sur les données – Data Act (DA) – de 2023.

Liens entre la CNIL (Commission nationale de l’informatique et des libertés) et l’Union européenne. | ©CNIL

Le Digital Governance Act (DGA) favorise les nouveaux modes d’usage des données, comme le partage volontaire. À cette fin, il met en place un régime juridique pour le déploiement d’organisations altruistes chargées de promouvoir le partage spontané. En France, depuis mai 2024, c’est la CNIL qui assume le rôle d’autorité compétente en matière d’altruisme des données.

Gouvernance de la donnée (DGA)

Le règlement sur la gouvernance des données – ou Digital Governance Act (DGA) – distingue les activités de production – collecte et fourniture de données –, d’intermédiation – renforcement de la disponibilité – et d’utilisation – exploitation des données en vue de leur valorisation.

Parmi les services d’intermédiation de données, on trouve par exemple les plates-formes Hub One DataTrust pour les données du secteur aéroportuaire, ou MiTrust pour les données bancaires et financières.

Le DGA fait aussi naître une nouvelle catégorie d’acteurs du numérique : les prestataires de services d’intermédiation de données. Ces tiers de confiance ont pour mission d’établir des relations commerciales afin de réaliser des partages de données

Enfin, le Digital Governance Act (DGA) préconise la création d’espaces communs d’échanges de données dans plusieurs secteurs stratégiques. Pour le moment, la démarche sectorielle la plus aboutie est l’espace européen des données de santé. L’objectif est de fournir un droit d’accès immédiat, gratuit et simplifié aux données de santé des personnes, ainsi qu’un droit à la portabilité des dossiers médicaux dans un format interopérable.

Harmoniser les règles européennes (DA)

En second lieu, le règlement sur les données – ou Data Act (DA) – vise, quant à lui, à harmoniser les règles relatives à l’accès aux données et à leur utilisation. Il s’intéresse aux données industrielles issues des objets connectés qui, là aussi, sont largement inutilisées malgré les volumes considérables générés.

Ainsi, là où le Digital Governance Act (DGA) détaille les processus et les structures prévus pour faciliter le partage de données, le Data Act (DA) précise qui peut valoriser les données et selon quelles conditions. L’une des mesures les plus saillantes du texte est un dispositif de réquisition des données dans certaines situations d’urgence. Il quitte le domaine de la persuasion pour investir celui de la contrainte, le texte prévoit donc une véritable obligation de partage des données.

Articulation avec l’Artificial Intelligence Act

Ce droit du marché européen des données doit aujourd’hui s’articuler avec le règlement sur l’intelligence artificielle ou AI Act de 2024, qui promeut la qualité et l’intégrité des données impliquées dans le fonctionnement des systèmes d’IA. À cet égard, le Digital Governance Act (DGA) et le AI Act sont étroitement liés. Les espaces communs des données sont censés garantir un accès fiable à des données de qualité pour l’entraînement des systèmes d’IA.

Il reste évidemment la question de savoir quel va être l’avenir de ce nouveau volet de la politique européenne du numérique dans le contexte actuel de la rivalité sino-états-unienne. Il ne fait pas de doute que les grandes plates-formes peuvent considérablement ralentir la mise en application effective des textes. Le droit de l’UE étant ici principalement persuasif, la volonté des acteurs du numérique sera décisive.

Auteur :

Louis Feriel, enseignant-chercheur en droit privé, Institut catholique de Lyon – UCLy

Cet article est republié sous licence Creative Commons.

>> Lire l’article original :

The Conversation