Posted by 
RÈGLEMENT (UE) 2022/868 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données)
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats & Partenaires
Le règlement sur la gouvernance des données (RGD) constitue une étape décisive pour renforcer l’échange de données au sein de l’Union, au bénéfice des entreprises et des consommateurs. L’objectif de ce règlement est d’établir des règles et pratiques communes dans les Etats membres pour l’élaboration d’un cadre de gouvernance des données détenues par les organismes du secteur public.
Le règlement sur la gouvernance des données (RGD) complète la directive (UE) 2019/1024 concernant les données ouvertes en établissant un régime qui permet aux organismes du secteur public de mettre à disposition des données en vue d’une réutilisation couverte par les droits des tiers, y compris des données à caractère personnel.
Le RGD devrait s’entendre sans préjudice des règlements (UE) 2016/679 et (UE) 2018/1725 du Parlement européen et du Conseil et des directives 2002/58/CE et (UE) 2016/680 du Parlement européen et du Conseil et des dispositions correspondantes du droit national.
Articulation : RGD et espaces communs de données
Dans sa stratégie européenne pour les données, la Commission propose des espaces communs de données couvrant des domaines tels que la santé, la mobilité, ….
Les espaces européens communs de données devraient rendre les données traçables, accessibles, interopérables et réutilisables (ci-après «principes FAIR pour les données»), tout en garantissant un niveau élevé de cybersécurité. Lorsqu’il existe des conditions de concurrence équitables dans l’économie des données, les entreprises se font concurrence sur la qualité des services, et non sur la quantité de données qu’elles contrôlent. Cette approche verticale doit être complétée par une approche horizontale visant à développer davantage le marché intérieur numérique et une économie des données centrées sur l’humain, dignes de confiance.
L’amélioration des conditions du partage des données dans le marché intérieur, conduit à la création d’un cadre harmonisé pour les échanges de données et en définit un certain nombre d’exigences de base pour la gouvernance des données, en veillant tout particulièrement à faciliter la coopération entre les États membres. Le règlement sur la gouvernance des données ne crée, pour les organismes du secteur public, aucune obligation d’autoriser la réutilisation des données et ne libère pas les organismes du secteur public des obligations de confidentialité qui leur incombent au titre du droit de l’Union ou du droit national. Les obligations du droit sectoriel de l’Union ou le droit sectoriel national, comme les dispositions du Règlement sur la Gouvernance des données, s’imposent :
- aux organismes du secteur public,
- aux prestataires de services d’intermédiation de données ;
- aux organisations altruistes en matière de données.
Conditions de réutilisation de certaines données prévues par le RGD
Le règlement sur la gouvernance des données (RGD ou DGA) fixe des conditions d’accès et de ré-utilisation à 4 catégories de données protégées détenues par des organismes publics dans l’ensemble de l’Union.
Catégories de données protégées soumis à ce règlement de gouvernance des données (RGD)
Interdiction des accords d’exclusivité
Pour faciliter l’accès à ces données, le règlement prévoit une Interdiction des accords d’exclusivité (art 4 )pour la réutilisation de données détenues par des organismes du secteur public, ou qui ont pour objet ou pour effet de restreindre la disponibilité des données à des fins de réutilisation par des entités autres que les parties à ces accords ou autres pratiques.
- Dérogation : droit d’exclusivité pour la réutilisation des données nécessaire à la fourniture d’un service ou d’un produit d’intérêt général (I), qui sans cela ne pourrait pas être obtenu. Ce droit d’exclusivité est accordé par le biais d’un acte administratif ou d’un arrangement contractuel conformément au droit de l’Union ou au droit national applicable, dans le respect des principes de transparence, d’égalité de traitement et de non-discrimination.
- Durée du droit d’exclusivité pour la réutilisation des données : 12 mois (durée du contrat même que durée du droit de l’exclusivité)
- Rendu public en ligne
Conditions de réutilisation des données protégés détenues par des organismes du secteur public
Exclusion :
Focus sur certaines conditions de réutilisation pour respecter le caractère protégé des données
Le RGD impose aux organismes publics concernés de préserver le caractère protégé des données de l’article 3.1 du règlement. Ces derniers peuvent dès lors imposer des exigences à respecter pour respecter cet objectif.
Lors de l’accès aux données à des fins de réutilisation, l’organisme du secteur public peut prévoir une anonymisation des DCP ou une modification, agrégation, un traitement selon toute autre méthode de contrôle de la divulgation dans le cas des informations commerciales confidentielles, y compris des secrets d’affaires et des contenus protégés par des DPI
Réutilisation des données dans un environnement de traitement sécurisé
Pour préserver le caractère protégé des données de l’article 3.1 du RGD, l’organisme du secteur public peut exiger l’accès aux données et leur réutilisation dans un environnement de traitement sécurisé à distance ou dans des locaux sécurisés.
Définition de l’environnement de traitement sécurisé
L’environnement de traitement sécurisé est « défini comme l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul » (art 2.20) du RGD)
Obligation de préserver le caractère protégé des données : intégrité des données et respect des droits et intérêts des tiers
L’organisme du secteur public a l’obligation de préserver le caractère protégé des données. Il peut prévoir des exigences sur l’accès aux données et leur utilisation qui se fait à distance dans un environnement de traitement sécurisé qu’il fournit ou contrôle, ou dans les locaux où se trouve l’environnement de traitement sécurisé, dans le respect de normes de sécurité élevées.
Pour préserver l’intégrité du fonctionnement des systèmes techniques de l’environnement de traitement sécurisé utilisé : l’organisme se réserve le droit :
– de vérifier le processus, les moyens et tout résultat du traitement de données effectué par le réutilisateur afin de préserver l’intégrité de la protection des données ;
– d’interdire l’utilisation des résultats qui contiennent des informations portant atteinte aux droits et aux intérêts de tiers. La décision d’interdire l’utilisation des résultats est transparente et compréhensible par le réutilisateur.
Exigences sur la confidentialité
L’organisme du secteur public subordonne la réutilisation des données fournies au respect par le réutilisateur d’une obligation de confidentialité interdisant la divulgation de toute information compromettant les droits et intérêts de tiers que le réutilisateur peut avoir acquis malgré les garanties mises en place. Il est interdit aux réutilisateurs de rétablir l’identité de toute personne concernée à laquelle se rapportent les données. En cas de réutilisation non autorisée de données à caractère non personnel, le réutilisateur informe sans retard, au besoin avec l’aide de l’organisme du secteur public, les personnes morales dont les droits et intérêts peuvent être affectés.
Les données confidentielles ne doivent pas être divulguées du fait de l’autorisation à des fins de réutilisation.
Exigences sur le transfert des données protégées vers un pays tiers
Le RGD reprend les exigences du RGPD en matière de transfert vers un Etat tiers.
L’organisme du secteur public doit être informé d’un transfert hors UE des données transmises par le réutilisateur. En cas de risque pour les données protégées ou pour les intérêts des personnes concernées, ces dernières sont informées par le réutilisateur, afin de l’autoriser à transférer. Pour certaines données non personnelles détenues par un organisme du secteur public, considérées « hautement sensibles », lorsque le transfert vers des pays tiers peut mettre en péril des objectifs de politique publique de l’Union, tels que la sécurité et la santé publique, ou peut entraîner un risque de réidentification de données anonymisées à caractère non personnel, la Commission peut adopter des actes délégués fixant des conditions particulières applicables à ces transferts.
Le transfert des données ne peut avoir lieu que dans les Etats tiers, dont le cadre juridique et le dispositif de surveillance et d’exécution d’un pays tiers:
- assurent la protection de la propriété intellectuelle et des secrets d’affaires d’une manière qui est essentiellement équivalente à la protection assurée par le droit de l’Union;
- sont effectivement appliqués et leur application est contrôlée;
- prévoient un recours juridictionnel effectif.
La transmission de des données confidentielles à caractère non personnel ou des données protégées par des droits de propriété intellectuelle à un réutilisateur qui a l’intention de transférer lesdites données vers un pays tiers ne disposant pas d’un niveau de protection équivalent à celui de l’UE, est subordonnées à des engagements contractuels du réutilisateur (obligations du réutilisateur et compétence des juridictions de l’Etat membre de l’organisme du secteur public).
Articulation RGD & autres réglementation
Respect du droit PI et secret d’affaire prime sur le RGD
Les données faisant l’objet de droits de propriété intellectuelle ainsi que les secrets d’affaires ne devraient être transmis à un tiers que si cette transmission est licite en vertu du droit de l’Union ou du droit national ou avec l’accord du titulaire des droits.
Le RGD prime sur le Droit du producteur de base de données
L’organisme du secteur public n’exerce pas le droit du fabricant d’une base de données prévu à l’article 7, paragraphe 1, de la directive 96/9/CE en vue d’empêcher la réutilisation de données ou de limiter celle-ci au-delà des limites fixées par le RGD. Il apparaît que le RGD limite les droits du producteur de base de données sur l’utilisation des données. Le principe d’interdiction d’exclusivité de réutilisation (art 4 du RGD) prime sur les droits du producteur de base de données.
RGD prime sur la Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données (JO L 77 du 27.3.1996, p. 20)
Processus de mise à disposition des données à caractère personnel
Les États membres devraient encourager les organismes du secteur public à créer et à mettre à disposition des données conformément au principe d’«ouverture dès la conception et par défaut» visé à l’article 5, paragraphe 2, de la directive (UE) 2019/1024, ainsi qu’à promouvoir la création et l’acquisition de données selon des formats et des structures qui facilitent l’anonymisation.
Redevance des organismes du secteur public pour la réutilisation des données (art 6)
Les organismes du secteur public devraient avoir la possibilité de percevoir des redevances pour la réutilisation des données, mais aussi d’autoriser la réutilisation de ces données moyennant le paiement d’une redevance réduite ou gratuitement, par exemple pour certaines catégories de réutilisation. Ils peuvent établir une liste des catégories de réutilisateurs pour lesquelles les données à des fins de réutilisation sont mises à disposition moyennant une redevance réduite ou à titre gratuit. Cette liste, ainsi que les critères utilisés pour l’établir, sont rendus publics.
Finalités liées à la recherche scientifique
Dans ce contexte spécifique, les finalités liées à la recherche scientifique devraient s’entendre comme incluant tout type d’objectif en rapport avec la recherche, quelle que soit la structure organisationnelle ou financière de l’organisme de recherche concerné, à l’exception de la recherche menée par une entreprise ayant pour but la mise au point, l’amélioration ou l’optimisation de produits ou de services.
Ces redevances devraient être transparentes, non discriminatoires et limitées aux coûts nécessaires supportés et ne devraient pas restreindre la concurrence.
Critères à prendre en compte pour déterminer les redevances
Les critères et la méthode de calcul des redevances sont arrêtés par les États membres et publiés. L’organisme du secteur public publie une description des principales catégories de coûts et des règles utilisées pour la répartition des coûts.
Organismes compétents pour aider les organismes du secteur public à autoriser /refuser l’accès aux données
Sans préjudice des pouvoirs de contrôle conférés aux autorités chargées de la protection des données, le traitement des données devrait être réalisé sous la responsabilité de l’organisme du secteur public responsable du registre contenant les données, qui reste un responsable du traitement des données tel qu’il est défini dans le règlement (UE) 2016/679 en ce qui concerne les données à caractère personnel.
Assistance de l’organisme compétent
L’assistance consiste notamment, le cas échéant:
a) à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de données;
b) à fournir des orientations et une assistance technique sur la meilleure manière de structurer et de stocker les données pour les rendre facilement accessibles;
c) à fournir un soutien technique pour la pseudonymisation et à garantir le traitement des données d’une manière qui préserve efficacement le caractère privé, la confidentialité, l’intégrité et l’accessibilité des informations contenues dans les données pour lesquelles la réutilisation est autorisée, notamment les techniques d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel ou d’autres méthodes de préservation de la vie privée à la pointe de la technologie, et la suppression des informations commerciales confidentielles, y compris les secrets d’affaires ou les contenus protégés par des droits de propriété intellectuelle;
d) à aider les organismes du secteur public, le cas échéant, à fournir une assistance aux réutilisateurs pour demander le consentement des personnes concernées à la réutilisation ou l’autorisation des détenteurs de données conformément à leurs décisions spécifiques, y compris en ce qui concerne le territoire où le traitement des données est prévu et à aider les organismes du secteur public à mettre en place des mécanismes techniques permettant la transmission des demandes de consentement ou d’autorisation des réutilisateurs, lorsque cela est réalisable en pratique;
e) à fournir aux organismes du secteur public une assistance lorsqu’il s’agit d’évaluer l’adéquation des engagements contractuels pris par un réutilisateur pour le transfert hors UE
Points d’information uniques
Afin d’inciter à la réutilisation de ces catégories de données spécifiques détenues par des organismes du secteur public, les États membres devraient créer un point d’information unique servant d’interface pour les réutilisateurs qui souhaitent réutiliser ces données.
Point d’information unique au niveau national
Point d’information unique au niveau européen
La Commission établit un point d’accès unique européen mettant à disposition un registre électronique consultable des données disponibles au niveau des points d’information uniques nationaux ainsi que d’autres informations sur la manière de demander des données par l’intermédiaire de ces points d’information uniques nationaux.
Procédure relative aux demandes de réutilisation :
Toute personne physique ou morale directement affectée par une décision visée au paragraphe 1 dispose d’un droit de recours effectif dans l’État membre dans lequel est situé ledit organisme. Un tel droit de recours est fixé par le droit national et inclut la possibilité d’un réexamen par un organisme impartial doté des compétences appropriées, telle que l’autorité nationale de la concurrence, l’autorité pertinente d’accès aux documents, l’autorité de contrôle établie conformément au règlement (UE) 2016/679 ou une autorité judiciaire nationale, dont les décisions sont contraignantes pour l’organisme du secteur public concerné ou l’organisme compétent concerné.
Sanctions nationales :
Les États membres fixent des règles en matière de sanctions applicables aux infractions au règlement et devraient prendre toutes les mesures nécessaires afin de garantir leur mise en œuvre. Ces sanctions devraient être effectives, proportionnées et dissuasives. D’importantes disparités entre les règles en matière de sanctions pourraient entraîner une distorsion de la concurrence sur le marché unique numérique. L’harmonisation serait donc utile