Les législateurs de l'Union européenne ont présenté une importante proposition législative aujourd'hui encourager la réutilisation des données industrielles dans l'ensemble du marché unique en créant un cadre normalisé d'outils et de techniques fiables pour garantir ce qu'ils décrivent comme des "conditions sécurisées et conformes à la confidentialité" pour le partage des données.
La mise en place d'un réseau d'intermédiaires de données fiables et neutres, ainsi qu'un régime de surveillance composé d'autorités nationales de surveillance et d'un organe de coordination paneuropéen, sont des éléments essentiels du plan.
Cette décision fait suite à l'annonce de la stratégie de données de la Commission européenne en Février, lorsqu'il a déclaré qu'il souhaitait stimuler la réutilisation des données pour prendre en charge une nouvelle génération de services basés sur les données alimentés par une intelligence artificielle gourmande en données, ainsi qu'encourager la notion d'utilisation de la "technologie pour le bien" en permettant "plus de données et des données de bonne qualité". » pour alimenter l'innovation avec un bien public commun (comme de meilleurs diagnostics de maladies) et améliorer les services publics.
Le contexte plus large est que les données personnelles sont déjà réglementées dans le bloc (comme dans le cadre du règlement général sur la protection des données ; RGPD), ce qui limite la réutilisation. Alors que des considérations commerciales peuvent limiter la façon dont les données industrielles sont partagées.
L'exécutif de l'UE estime que des exigences harmonisées qui fixent les conditions techniques et/ou juridiques de la réutilisation des données sont nécessaires pour favoriser la sécurité juridique et la confiance - fournies via un cadre qui promet de maintenir les droits et les protections et ainsi de faire circuler plus de données de manière utile.
La Commission voit des avantages commerciaux majeurs découlant du régime de gouvernance des données proposé. « Les entreprises, petites et grandes, bénéficieront de nouvelles opportunités commerciales ainsi que d'une réduction des coûts d'acquisition, d'intégration et de traitement des données, d'obstacles moindres à l'entrée sur les marchés et d'une réduction du délai de mise sur le marché des nouveaux produits. et services », écrit-il dans un communiqué de presse.
Il a d'autres propositions liées aux données à venir en 2021, en plus d'un ensemble de lois sur les services numériques qu'il doit présenter au début du mois prochain – dans le cadre d'un redémarrage plus large de la stratégie industrielle qui donne la priorité à la numérisation et à un nouvel accord vert.
Toutes les composantes législatives de la stratégie devront obtenir le soutien du Conseil européen et du Parlement, il reste donc un long chemin à parcourir pour mettre en œuvre le plan.
Loi sur la gouvernance des données
Les législateurs européens parlent souvent en sténographie de la stratégie des données destinée à encourager le partage et la réutilisation des « données industrielles » – bien que le plan de gouvernance des données (DGA) dévoilé aujourd'hui ait un mandat plus large.
La Commission envisage le cadre permettant le partage des données soumises à la législation sur la protection des données — c'est-à-dire les données à caractère personnel ; où des considérations de confidentialité peuvent (actuellement) restreindre la réutilisation - ainsi que les données industrielles soumises à la propriété intellectuelle, ou qui contiennent des secrets commerciaux ou d'autres informations commercialement sensibles (et ne sont donc généralement pas partagées par leurs créateurs principalement pour des raisons commerciales).
Lors d'une conférence de presse sur les propositions de gouvernance des données, le commissaire au marché intérieur Thierry Breton a lancé la notion d '«altruisme des données» – affirmant que la Commission souhaite fournir aux citoyens un moyen organisé de partager leurs propres données personnelles pour un bien commun / public, tel que aider la recherche sur les maladies rares ou aider les villes à cartographier la mobilité à des fins telles que la surveillance de la qualité de l'air urbain.
«Grâce aux espaces de données personnelles, qui sont de nouveaux outils et services de gestion des informations personnelles, les Européens auront plus de contrôle sur leurs données et décideront à un niveau détaillé qui aura accès à leurs données et dans quel but», écrit la Commission dans un communiqué. Questions et réponses sur la proposition.
Il prévoit un registre public où les entités pourront s'inscrire en tant qu'« organisation d'altruisme de données » - à condition qu'elles aient un caractère à but non lucratif ; répondre aux exigences de transparence ; et mettre en œuvre certaines garanties pour «protéger les droits et les intérêts des citoyens et des entreprises» – dans le but de fournir «un maximum de confiance avec un minimum de charge administrative», comme il le dit.
La DGA envisage différents outils, techniques et exigences régissant la manière dont les organismes du secteur privé partagent les données par rapport aux entreprises privées.
Pour les organismes du secteur public, il peut y avoir des exigences techniques (telles que le cryptage ou l'anonymisation) attachées aux données elles-mêmes ou des limitations de traitement ultérieur (telles que l'exigence qu'il ait lieu dans des "infrastructures dédiées exploitées et supervisées par le secteur public"), ainsi que accords de confidentialité juridiquement contraignants qui doivent être signés par le réutilisateur.
"Chaque fois que des données sont transférées à un réutilisateur, des mécanismes seront mis en place pour garantir le respect de la RGPD et préserver la confidentialité commerciale des données », déclare le PR de la Commission.
Pour encourager les entreprises à embarquer dans la mise en commun de leurs propres ensembles de données - pour la promesse d'un avantage économique collectif via l'accès à de plus grands volumes de données mises en commun - le plan est que les intermédiaires de données/marchés réglementés fournissent des services de partage de données "neutres", agissant en tant qu'intermédiaire / référentiel "de confiance" afin que les données puissent circuler entre les entreprises.
« Pour garantir cette neutralité, l'intermédiaire de partage de données ne peut pas échanger les données dans son propre intérêt (par exemple en les vendant à une autre entreprise ou en les utilisant pour développer son propre produit à partir de ces données) et devra se conformer à des exigences strictes pour garantir cette neutralité », écrit la Commission à ce sujet.
Dans le cadre de ce plan, le respect par les intermédiaires des exigences en matière de traitement des données serait contrôlé par les autorités publiques au niveau national.
Mais la Commission propose également la création d'un nouvel organe paneuropéen, appelé comité européen de l'innovation dans les données, qui tenterait de rassembler les meilleures pratiques dans les États membres - dans ce qui ressemble à un miroir du rôle de pilotage/coordination assumé par le Comité européen de la protection des données (qui relie la mosaïque d'autorités de contrôle de la protection des données de l'UE).
"Ces courtiers ou intermédiaires de données qui assureront le partage de données le feront de manière à ce que vos droits soient protégés et que vous ayez le choix", a déclaré la vice-présidente exécutive Margrethe Vestager, qui dirige la stratégie numérique du bloc, s'exprimant également lors de la conférence de presse d'aujourd'hui.
« Pour que vous puissiez également disposer d'espaces de données personnelles où vos données sont gérées. Parce qu'au départ, quand on demande aux gens, ils disent eh bien on a envie de partager mais on ne sait pas trop comment faire. Et ce ne sont pas seulement les détails techniques, c'est aussi la sécurité juridique qui manque. Et cette proposition fournira cela », a-t-elle ajouté.
Exigences en matière de localisation des données — ou pas ?
Les commissaires ont été confrontés à un certain nombre de questions sur le question brûlante des transferts internationaux de données.
Il a été demandé à Breton si la DGA inclura des exigences de localisation des données. Il a répondu en disant — essentiellement — que les règles seront intégrées dans une série de conditions qui, selon les données elles-mêmes et la destination prévue, peuvent signifier que le stockage et le traitement des données dans l'UE sont la seule option viable.
« Sur la localisation des données, ce que nous faisons, c'est établir une approche de type RGPD, par des décisions d'adéquation et des clauses contractuelles types pour les seules données sensibles, par une cascade de conditions pour permettre le transfert international dans des conditions et dans le plein respect de la nature protégée des données. les données. C'est vraiment la philosophie derrière ça », a déclaré Breton. "Et bien sûr, pour les données hautement sensibles [telles que] dans le domaine de la santé publique, il est nécessaire de pouvoir définir d'autres conditions, en fonction de la sensibilité, sinon… les États membres ne les partageront pas."
« Par exemple, il pourrait être possible de limiter la réutilisation de ces données dans des infrastructures publiques sécurisées afin que les entreprises en viennent à utiliser les données mais pas à les conserver. Il pourrait également s'agir de restreindre le nombre d'accès dans des pays tiers, de restreindre la possibilité de transférer ultérieurement les données et, si nécessaire, d'interdire également le transfert vers un pays tiers », a-t-il poursuivi, ajoutant que de telles conditions seraient « pleinement respectées ». des obligations de l'UE dans le cadre de l'OMC.
Dans une section de ses questions-réponses qui traite des exigences de localisation des données, la Commission tourne également autour de la question en écrivant : « Il n'y a aucune obligation de stocker et de traiter les données dans l'UE. Personne ne sera interdit de traiter avec le partenaire de son choix. Dans le même temps, l'UE doit veiller à ce que tout accès aux données personnelles des citoyens de l'UE et à certaines données sensibles soit conforme à ses valeurs et à son cadre législatif.»
Au presseur, Breton a également noté que les entreprises qui souhaitent accéder aux données de l'UE qui ont été mises à disposition pour être réutilisées devront avoir une représentation légale dans la région. "C'est important bien sûr pour garantir l'applicabilité des règles que nous établissons", a-t-il déclaré. "Il est très important pour nous - peut-être pas pour d'autres continents mais pour nous - d'être pleinement conformes."
Les commissaires ont également été confrontés à des questions sur la manière dont les règles de réutilisation des données prévues seraient appliquées – compte tenu des critiques continues sur le manque d'application uniformément vigoureuse du cadre européen de protection des données, RGPD.
"Aucune règle n'est bonne si elle n'est pas appliquée", a convenu Vestager. "Ce que nous suggérons ici, c'est que si vous avez un fournisseur de services de partage de données et qu'il s'est notifié, il appartient alors à l'autorité auprès de laquelle il s'est effectivement notifié de surveiller et de superviser le respect des différentes choses qu'il doit vivre. jusqu'à afin de préserver la protection de ces intérêts légitimes — pourrait être la confidentialité des affaires, pourrait être les droits de propriété intellectuelle.
"C'est une chose sur laquelle nous continuerons à travailler également dans les futures propositions à venir - la loi sur les services numériques et la loi sur les marchés numériques - mais ici vous avez une sorte de précurseur que ceux qui reçoivent la notification dans les États membres qu'ils devra également veiller à ce que les choses soient réellement en ordre.
Répondant également sur le point d'application, Breton a suggéré que l'application serait mise en place dès le départ, par exemple par un contrôle minutieux de qui pourrait devenir un courtier en réutilisation des données.
« [Premièrement] nous proposons des règles communes et des règles harmonisées… Nous créons un grand marché intérieur des données. La deuxième chose est que nous demandons aux États membres de créer des autorités spécifiques de contrôle. La troisième chose est que nous assurerons la cohérence et l'application par le biais du comité européen de l'innovation dans les données », a-t-il déclaré. « Juste pour vous donner un exemple… l'application de la loi est intégrée. Pour être un courtier en données, vous devrez remplir un certain nombre d'obligations et si vous remplissez ces obligations, vous pouvez être un courtier en données neutre — si vous ne le faites pas
Aux côtés de la DGA, la Commission a également annoncé une Plan d'action sur la propriété intellectuelle.
Vestager a déclaré que cela visait à s'appuyer sur le cadre de propriété intellectuelle existant de l'UE avec un certain nombre d'actions de soutien, y compris un soutien financier aux PME impliquées dans le programme de R&D Horizon Europe pour déposer des brevets.
La Commission réfléchit également à l'opportunité de réformer le cadre de dépôt des normes essentielles des brevets. Mais à court terme, Vestager a déclaré qu'il viserait à encourager l'industrie à s'engager dans des forums visant à réduire les litiges.
"Un exemple pourrait être que la Commission pourrait mettre en place un système indépendant de vérifications de l'essentialité par des tiers en vue d'améliorer la sécurité juridique et de réduire les coûts des litiges", a-t-elle ajouté à propos de la réforme potentielle, notant que la protection de la propriété intellectuelle est un élément important de la stratégie industrielle du bloc. stratégie.
