AccueilDroitActualité du droitVers un marché unique européen des données : les Data Governance Act et Data Act face à la protection des données à caractère personnel

Vers un marché unique européen des données : les Data Governance Act et Data Act face à la protection des données à caractère personnel

L’Union européenne a choisi la voie du marché unique pour encadrer et tirer profit de ce « nouvel or noir ». Zoom sur les Data Governance Act et Data Act, pierres angulaires du futur marché unique européen des données.
Axel Adolph, étudiant en dernière année à l’EDHEC Business School, LLM Law & Tax Management
© Edhec - Axel Adolph, étudiant en dernière année à l’EDHEC Business School, LLM Law & Tax Management

DroitActualité du droit Publié le , Axel Adolph, étudiant en dernière année à l’EDHEC Business School, LLM Law & Tax Management

Aux « quatre libertés » constitutives du marché unique européen que sont la libre circulation des biens, des personnes, des services et des capitaux, consacrées par l’Acte unique européen de 1986, s’est adjointe une « cinquième liberté » : celle de la libre circulation des données. Principe institué par le Règlement RGPD[1] concernant les données à caractère personnel et le Règlement sur la libre circulation des données à caractère non personnel[2] concernant ces dernières, la libre circulation des données au sein de l’Union européenne fait pleinement partie de la construction d’un marché unique européen des données.

Cependant, la Commission Européenne a identifié un certain nombre de barrières[3] restantes à la construction d’un tel marché unique – au premier rang desquelles se trouvent la faible confiance dans le partage des données, les problématiques liées à la réutilisation des données du secteur public et la collecte de données dans l’intérêt commun, et les obstacles techniques liés à la réutilisation des données – et estime que les données sont encore trop peu valorisées au sein de l’Union ; 80% des données industrielles demeurent inutilisées, par exemple. C’est pourquoi elle a présenté le 19 février 2020 « Une stratégie européenne pour les données[4]» dont les deux piliers règlementaires sont le Data Governance Act du 30 mai 2022[5], applicable à compter du 24 septembre 2023, et une proposition de Règlement sur les données[6] (Data Act) adoptée le 23 février 2022. Comme toujours dans ce domaine, les problématiques relatives à la protection des données à caractère personnel, composantes du droit à la vie privée, occupent une place centrale.

Data Governance Act et Data Act peuvent-ils parvenir à conjuguer marché unique des données et protection des données à caractère personnel afin de « libér[er] le potentiel économique et sociétal des données et des technologies dans le respect des règles et des valeurs de l'UE[7] » ?

Après une vision d’ensemble des principales mesures contenues dans ces deux textes visant à favoriser la disponibilité des données au sein de l’Union (I) seront abordés les questionnements relatifs à la protection des données à caractère personnel (II).

Une vision d’ensemble des principales mesures visant à favoriser la disponibilité des données au sein de l’Union

Data Governance Act et projet de Data Act ont tous deux pour objet de favoriser la disponibilité et la valorisation des données au sein de l’Union européenne, afin de la rendre davantage compétitive face aux acteurs internationaux du marché des données tels que les GAFAM.

Les principales mesures du Data Governance Act

Le Data Governance Act comprend dans son champ d’application aussi bien certaines données à caractère personnel qu’à caractère non personnel, provenant de divers secteurs. Il vise à accroître la quantité de données disponibles pour que celles-ci servent, in fine, à accroître la productivité et à stimuler l’innovation. Sans entrer dans le détail de ce texte, voyons ses principales dispositions.

  • Le premier volet du Data Governance Act (chapitre II) a pour ambition de favoriser la réutilisation des nombreuses données détenues par le secteur public en complétant, notamment, la Directive (UE) 2019/1024 concernant les données ouvertes et la réutilisation des informations du secteur public.

En effet, jusqu’alors exclues de ce principe de réutilisation, certaines données des organismes publics telles que celles protégées par la confidentialité commerciale, le secret statistique, les droits de propriété intellectuelle de tiers et certaines données à caractère personnel[8] seront éligibles à ce droit de réutilisation.

Outre l’extension de ce principe de réutilisation à certaines données, ce nouveau Règlement devrait permettre de faciliter cette réutilisation par l’instauration d’une obligation d’assistance, le cas échéant, par le secteur public du demandeur à la réutilisation de données[9], par l’obligation pour chaque Etat de créer un point d’information unique destiné à fournir aux réutilisateurs potentiels des informations sur les données détenues par les autorités publiques[10], ainsi que par la création d’un tel point d’information unique au niveau européen par la Commission[11].

Enfin, pour permettre une disponibilité maximale pour tous de ce type de données détenues par les organismes publics, le Règlement prévoit un principe d’interdiction des accords d’exclusivité de réutilisation des données conclus par un organisme public, sauf exceptions liées à l’intérêt public[12].

  • La seconde mesure principale du Data Governance Act se rapporte à la création et à l’encadrement juridique d’un nouveau modèle commercial qu’est celui du service d’intermédiation de données (chapitre III), défini à l’article 2 comme « un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel ».

Afin d’assurer une neutralité de ces intermédiaires, et ainsi renforcer la confiance dans le partage des données, ces derniers ne devront avoir que pour seule activité de fournir des données mises à disposition par des individus ou des entreprises à des utilisateurs de données[13]. A cette même fin, l’accès aux services de l’intermédiaire, leurs conditions ainsi que les prix, devront respecter des principes d’équité, de transparence et de non-discrimination[14].

Pour s’assurer du respect des dispositions du Règlement relatives à ces intermédiaires de données, les personnes souhaitant exercer une telle activité devront notifier ce souhait à l’autorité compétente, déterminée par chaque Etat, afin d’être autorisées légalement à exercer cette activité[15] et pouvoir utiliser le label « Prestataire de services d’intermédiation de données reconnu dans l’Union ».

Il est à noter que certaines entreprises existantes pourraient être qualifiées d’intermédiaires de données au sens du présent projet de Règlement, les obligeant, le cas échéant, à exercer leurs autres activités par le biais d’une ou plusieurs structures juridiques distinctes.

  • Le dernier pilier de ce nouveau Règlement destiné à surmonter les « barrières » identifiées par la Commission concerne l’altruisme en matière de données (chapitre IV), défini comme tel en son article 2 : « partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national ».

En pratique, les entités mettant à disposition des données fondées sur l’altruisme en matière de données devront reépondre à un certain nombre de conditions telles qu’exercer leurs activités dans un but non lucratif et être juridiquement distinctes de toute entité exerçant des activités à but lucratif[16] afin, là encore, de renforcer la confiance dans le partage des données.

Les principales mesures du Data Act

En ce qui concerne la proposition de Data Act, elle a pour ambition de favoriser une telle utilisation et valorisation de données en se concentrant en particulier sur l’ouverture de l’accès aux données industrielles au sein de l’Union européenne, parmi lesquelles figurent les données générées par l’utilisation des objets connectés dans le cadre du développement de l’internet des objets (IdO). Par ailleurs, cette proposition entend limiter l’exploitation par certains acteurs de leur position de dominance par laquelle ils sont susceptibles d’entraver, en particulier au détriment des micro et petites et moyennes entreprises, l’accès aux données[17]. Les principales mesures figurant dans le projet de Règlement sur les données sont les suivantes.

  • Les premières propositions à relever sont relatives au partage de données entre entreprises et consommateurs (BtoC et CtoB) et interentreprises (BtoB) (chapitre II) ainsi qu’aux conditions de leur mise à disposition (chapitre III).

Ce premier ensemble de règles pose un principe d’accessibilité directe des données générées par l’utilisation de produits (dont les objets connectés) et de services liés[18] au bénéfice de leurs utilisateurs. A défaut d’un tel accès, le détenteur de ces données qui, le plus souvent, est le fabricant de l’objet connecté, devra les mettre à disposition de ces utilisateurs dans les meilleurs délais et de manière gratuite[19]. Pour accroître davantage le libre accès aux données et leur circulation dans l’économie, le projet de Règlement prévoit également le droit pour l’utilisateur ayant généré les données de les partager avec des tiers[20], mettant de ce fait à la charge de leur détenteur l’obligation de les mettre à disposition de ces derniers, et ce de manière gratuite et à un niveau de qualité identique à celui dont il bénéficie.

Concernant les conditions de cette mise à disposition de données par l’utilisateur au profit du tiers, elle devra se faire aux fins et conditions convenues avec l’utilisateur et le tiers devra supprimer les données lorsqu’elles ne seront plus nécessaires à la finalité convenue[21]. Cette mise à disposition s’accompagne d’un ensemble d’obligations de ne pas faire mises à la charge du tiers, telles que l’obligation d’abstention de contraindre, tromper ou manipuler l’utilisateur.

  • Le second ensemble de mesures proposées a trait aux clauses abusives relatives à l’accès aux données et à l’utilisation des données interentreprises imposées unilatéralement à une micro, petite ou moyenne entreprise (chapitre IV avec pour unique article l’article 13) et à l’élaboration de clauses types par la Commission (article 34). Ces dispositions, en permettant d’éviter l’imposition par une partie de conditions inéquitables aux micro, petites et moyennes entreprises, sont d’une importance économique particulière. En effet, la Commission estime que 99% des entreprises pourvoyeuses de données et 98,8% des entreprises utilisatrices de données dans l’Union européenne sont des micro, petites et moyennes entreprises et que 85% des emplois créés ces dernières années dans le domaine des données l’ont été par ces entreprises[22].

D’une part, la proposition de Règlement définit dans ce contexte la clause abusive comme une clause « d’une nature telle que son utilisation s’écarte fortement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation de celles-ci, et qu’elle est contraire à la bonne foi et à la loyauté »[23]. D’autre part, elle définit une clause imposée unilatéralement comme une « clause fournie par une partie contractante lorsque l’autre partie n’a pas été en mesure d’influencer son contenu malgré une tentative de négociation »[24] . Trois types de clauses irréfragablement présumées abusives ainsi que cinq types de clauses simplement présumées abusives y sont énumérées[25], avec pour sanction le fait que la micro, petite ou moyenne entreprise ne soit pas liée par ladite clause.

Concernant l’élaboration de clauses types par la Commission (article 34), cette mesure vise à faciliter l’élaboration de contrats, en particulier pour les micro, petites et moyennes entreprises, et ainsi à éviter, là encore, l’imposition par l’autre partie de conditions non équitables.

  • Le troisième ensemble de propositions se rapporte à l’élaboration de normes d’interopérabilité pour les données et leurs réutilisations entre les secteurs (chapitre VIII) afin de réduire les problèmes techniques liés à cette interopérabilité qui entravent la combinaison de données provenant de différentes sources à l’intérieur des secteurs et entre les secteurs.

Le projet de Data Act définit l’interopérabilité comme « la capacité d’au moins deux espaces de données ou réseaux de communication, systèmes, produits, applications ou composants d’échanger et d’utiliser des données afin de remplir leurs fonctions »[26].

Il pose un certain nombre d’exigences essentielles devant être respectées par les exploitants d’espaces de données en matière d’interopérabilité des données, de mécanismes de partage de données et des services dans ces domaines[27] et dote la Commission européenne de prérogatives visant à assurer le respect de ces exigences essentielles et à favoriser l’harmonisation des normes y afférentes[28].

Dans une logique similaire, l’article 29 du projet de Règlement édicte des exigences essentielles en matière d’interopérabilité des services de traitement des données et son article 30 des exigences essentielles en matière de contrats intelligents pour le partage de données.

  • Enfin, il est à relever que le chapitre V du projet de Règlement introduit une obligation de mettre des données à la disposition des organismes du secteur public et des institutions, organes ou organismes de l’Union en raison d’un « besoin exceptionnel », obligation ne faisant pas l’objet d’un développement spécifique dans le cadre de cet article.

Les quelques mesures décrites des Data Governance Act et projet de Data Act vont ainsi dans le sens d’une plus grande disponibilité des données et d’une réduction des barrières entravant leur circulation. Mais les données ne sont pas de simples marchandises en raison de leur dimension potentiellement sensible, eu égard, notamment, à leur caractère personnel. Dès lors, ces Règlement et projet de Règlement édictent des principes visant à protéger certains types de données et envisagent leur articulation avec la législation existante en la matière.

Un équilibre potentiellement fragile entre un marché unique des données et la protection des données à caractère personnel

La législation européenne relative à la protection des données à caractère personnel se compose principalement de quatre textes :

  • la Directive « vie privée et communications électroniques » du 12 juillet 2002[29] (en principe prochainement remplacée par un règlement éponyme) ;
  • le Règlement général sur la protection des données (RGPD) du 27 avril 2016[30] ;
  • la Directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données[31], et
  • le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données du 23 octobre 2018[32].

La multiplicité de la législation européenne concernant la protection des données à caractère personnel nécessite d’étudier son articulation avec le Règlement sur la gouvernance des données et le projet de Règlement sur les données, ainsi que les dispositifs spécifiques introduits par ces deux textes.

  • Data Governance Act et Data Act posent tous deux un principe général de primauté des règles européennes existantes en matière de protection des données à caractère personnel, ces dernières devant prévaloir en cas de conflit avec leurs propres règles. L’instauration de ce principe fait suite à une recommandation de l’EDPB et du CEPD dans leur avis conjoint adopté le 10 mars 2021 concernant le Data Governance Act[33], et a été saluée dans leur avis conjoint adopté le 4 mai 2022 concernant le Data Act[34].

En effet, le Règlement sur la gouvernance des données énonce en son considérant 4 que « le présent règlement devrait s’entendre sans préjudice des règlements (UE) 2016/679 (21) et (UE) 2018/1725 (22) du Parlement européen et du Conseil et des directives 2002/58/CE (23) et (UE) 2016/680 (24) du Parlement européen et du Conseil » et qu’ « en cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel […] le droit de l’Union […] relatif à la protection des données à caractère personnel devrait prévaloir ». Ce principe est repris au sein de son article premier relatif à son objet et son champ d’application.

Il est de plus à noter qu’un certain nombre de définitions de ce Règlement sur la gouvernance des données sont directement reprises du RGPD[35].

De manière analogue, le projet de Règlement sur les données pose le même principe au sein du paragraphe 3 de son article premier en ces termes : « Le droit de l’Union relatif à la protection des données à caractère personnel, de la vie privée et de la confidentialité des communications et de l’intégrité des équipements terminaux s’applique aux données à caractère personnel traitées en lien avec les droits et obligations énoncés dans le présent règlement. Le présent règlement est sans préjudice de l’applicabilité du droit de l'Union sur la protection des données à caractère personnel […] ». Ce même projet de Règlement va jusqu’à affirmer dans l’exposé de ses motifs que « La présente proposition est cohérente avec les règles existantes concernant le traitement des données à caractère personnel [(notamment le règlement général sur la protection des données (RGPD)10], la protection de la vie privée et de la confidentialité des communications, ainsi que les données (à caractère personnel et non personnel) stockées dans un équipement terminal et accessibles depuis celui-ci ».

Ainsi ces deux textes devraient, notamment, respecter les grands principes du RGPD tels que les principes de licéité et loyauté, transparence, limitation des finalités, minimisation des données, exactitude, droits d’accès, de rectification, de suppression et d’objection ainsi que les principes d’intégrité et de confidentialité.

Le Data Governance Act et la protection des données à caractère personnel

Le Data Governance Act a prévu certaines mesures spécifiques de protection des données à caractère personnel.

  • Concernant la réutilisation des données du secteur public, il convient tout d’abord de noter que les Etats membres devront se doter des moyens techniques à même de garantir la confidentialité des données tels que des environnements de traitement sécurisés, nécessitant potentiellement de lourds investissements de leur part. En outre, la réutilisation de données à caractère personnel ou revêtant un caractère confidentiel en raison du secret des affaires sera suspendue à un consentement ou une autorisation de leurs titulaires. Enfin, les organismes du secteur public ou l’« organisme compétent » pourront prévoir qu’ils n’octroieront l’accès à des données à caractère personnel aux fins de réutilisation à la suite d’une demande de réutilisation qu’après que ces données aient été anonymisées[36].

La mise en pratique de tels moyens techniques pourrait dans les faits s’avérer difficile en raison du manque d’expérience technique et juridique du secteur public dans la gestion de la réutilisation des données, en particulier des données personnelles, et dans l’assistance aux personnes demandant la réutilisation de telles données, ce que met en lumière une consultation publique de la Commission Européenne concernant la Directive (UE) 2019/1024 concernant les données ouvertes et la réutilisation des informations du secteur public[37]. Une source d’inspiration pour les pouvoirs publics des pays Membres pourrait être le Centre d’accès sécurisé aux données mis en place en France par le gouvernement et l’Ecole Nationale de la Statistique et des Etudes Economiques.

  • Relativement aux services d’intermédiation de données, le Règlement sur la gouvernance des données vise à assurer le respect des droits des personnes physiques concernant les données à caractère personnel qui les concerne. En effet, son considérant 30 énonce notamment que les prestataires de ce type de services devraient aider les personnes physiques à exercer leurs droits au titre du RGPD (notamment leur droit de rectification, leur droit « à l’oubli » ou encore à la limitation du traitement de ces données).

Son considérant 42 énonce qu’il serait souhaitable que l’établissement principal du prestataire de tels services soit situé dans l’Union européenne afin de faciliter le contrôle du respect des dispositions du présent Règlement, compte tenu du traitement potentiel par ces prestataires de données à caractère personnel. Ce souhait transparait au sein de l’article 11 paragraphe 3 du présent Règlement qui prévoit que, lorsque le prestataire propose notamment des services d’intermédiation mettant en présence des personnes cherchant à mettre à disposition leurs données à caractère personnel (type de service visé à l’article 10), le prestataire doit désigner un représentant légal dans l’un des Etats membres où il propose ce type de service à défaut d’être établi dans l’Union.

  • Concernant l’altruisme en matière de données qui porte notamment sur les données à caractère personnel, le Règlement met à la charge de l’organisation altruiste en matière de données des obligations de transparence[38]. Celles-ci prennent la forme de la tenue de registres « complets et exacts » contenant notamment la durée du traitement des données à caractère personnel et la finalité de leur traitement, ainsi que la transmission d’un rapport annuel à l’autorité compétente en la matière contenant une description de la manière dont les objectifs d’intérêt général pour lesquels des données ont été collectées ont été promus. Ces obligations apparaissent ainsi comme une application du principe de transparence édicté par le RGPD aux organisations altruistes en matière de données.

En outre, l’article 21 du Règlement impose à l’organisation altruiste d’informer les personnes souhaitant mettre à disposition leurs données des objectifs d’intérêt général poursuivis par le recueil de ces données, de la localisation de leur traitement, interdit leur traitement pour des fins autres que celles poursuivant des objectifs d’intérêt général, met à sa charge la fourniture des outils permettant d’obtenir le consentement des personnes concernées ou l’autorisation de traiter des données mises à disposition par des détenteurs de données ainsi que des outils permettant de retirer facilement ce consentement ou cette autorisation.

Le Data Act et la protection des données personnelles

Le Data Act charge la Commission de mettre en place un formulaire européen de consentement à l’altruisme en matière de données[39], lequel devra, lorsque des données à caractère personnel sont communiquées, mettre en capacité les personnes concernées de donner et de retirer leur consentement à une opération particulière de traitement des données « en conformité avec les exigences » du RGPD.

Toutefois, il est à souligner que les autorités chargées de la protection des données pour la supervision du Règlement ne sont a priori pas désignées, ce qui, selon l’avis conjoint de l’EDPB et du CEPD de mars 2021, pourrait constituer une réelle complexité et nuire à la cohérence de la surveillance de l’application du RGPD.

Par rapport au Data Governance Act, le projet de Data Act présente un nombre plus restreint de dispositions spécifiques concernant la protection des données personnelles, dans la mesure où ce dernier a pour vocation première de réglementer les données industrielles qui, pour la plupart, sont des données à caractère non personnel. Toutefois, les articles considérants de ce projet apportent un certain nombre d’explications concernant les interactions entre ses dispositions et, en particulier, le RGPD. Il convient également de rappeler que ce projet de Règlement s’inscrit dans la continuité du Règlement établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne du 14 novembre 2018, lequel met en place un certain nombre de règles destinées à garantir la protection des données à caractère personnel.

  • Le considérant (30) aborde la question des données personnelles et non personnelles figurant dans un ensemble de données inextricablement liées. En effet, l’utilisation d’un produit ou d’un service, par une personne physique en particulier, peut générer des données se rapportant à une personne physique identifiée ou identifiable (en pratique l’utilisateur lui-même) et créer un tel ensemble de données. Ce considérant énonce qu’en pareille situation, le traitement de ces données est soumis aux règles établies par le RGPD ce qui constitue, en réalité, la reprise de l’article 2 paragraphe 2 du Règlement du 14 novembre 2018 relatif au libre flux des données à caractère non personnel[40].
  • Ce même considérant précise que, par ailleurs, lorsque l’utilisateur des données générées par de tels produits et services n’est pas la personne concernée (en pratique l’utilisateur d’un tel produit ou service), ce dernier devrait être considéré comme « responsable du traitement des données » au sens de l’article 6, paragraphe 1 du RGPD et devrait à ce titre disposer d’une « base juridique » pour le traitement des données et respecter les obligations incombant à un tel responsable du traitement des données[41]. L’idée de ce considérant est reprise à l’article 5 paragraphe 6 du projet de Règlement dans le cadre du droit de partager des données avec des tiers[42].
  • Dans ce même cadre de partage des données avec des tiers, l’article 6 paragraphe 2. (b) du projet de Règlement prohibe explicitement l’utilisation par le tiers des données qu’il reçoit à des fins de profilage de personnes physiques au sens du RGPD, sauf à ce qu’une telle utilisation soit nécessaire pour fournir le service demandé par l’utilisateur.
  • Par ailleurs, certaines dispositions du projet de Data Act ont vocation à compléter les règles édictées par le RGPD[43]. A titre d’exemple, le droit pour l’utilisateur de produits et services liés d’accéder aux données générées par son utilisation de tels produits et services et de les mettre à disposition de tiers, introduit au chapitre II du projet de Règlement, complète le « droit à la portabilité des données » créé par l’article 20 du RGPD[44].
  • Enfin, le projet de Data Act nomme explicitement comme autorités de contrôle du respect de ses dispositions les autorités de contrôle indépendantes chargées de contrôler l’application du RGPD en ce qui concerne les données à caractère personnel[45] (dans le cas de la France, la CNIL). Il les dote corrélativement du pouvoir d’infliger des amendes administratives en cas de manquements aux obligations relatives au partage de données entre entreprises et consommateurs et interentreprises (chapitre II), aux obligations applicables aux détenteurs de données légalement tenus de rendre des données disponibles (chapitre III) et aux obligations relatives à la mise à disposition des organismes du secteur public et des institutions, organes ou organismes de l’Union en raison d’un besoin exceptionnel (chapitre V). Cependant, dans leur avis conjoint adopté le 4 mai 2022, l’EDPB et l’EDPS estiment qu’il serait pertinent que le Data Act désigne les autorités de protection des données comme autorités coordinatrices pour l’application de l’ensemble de ce projet de Règlement en raison de leur expertise juridique et technique relative aux domaines couverts par ce dernier.

Toutefois, l’EDPB et le CEPD appellent à la mise en place de garanties additionnelles pour les personnes concernées en matière de droit d’accès, d’utilisation et de partage de données prévus par le Data Act[46].

Conclusion

Si le Data Governance Act et le Data Act ont pour ambition d’accroître la quantité disponible de ce « nouvel or noir » que constituent les données et de faciliter sa circulation au sein de l’Union, ils ne semblent pas pour autant laisser cet espace devenir un « far west » pour les données, en particulier à caractère personnel. Néanmoins, comme le montre le projet de « Cyber Resilience Act » présenté par la Commission le 15 septembre dernier, l’adoption de règles de cybersécurité communes semble être nécessaire pour qu’une telle protection harmonisée des données à l’échelle de l’Union ne soit pas qu’un vœu pieu.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute



[1] Article premier, paragraphe 3, du Réglement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016

[2] Article premier du Réglement (UE) 2018/1807 du Parlement Européen et du Conseil du 14 novembre 2018

[3] Commission Staff Working Document Impact Assessment Report accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), 25 novembre 2020

[4] Communication de la Commission au Parlement Européen, au Conseil, au Comité Economique et Social Européen et au Comité des Régions- Une stratégie européenne pour les données, 19 février 2020

[5] Réglement (UE) 2022/868 du Parlement Européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données)

[6] Règlement du Parlement Européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (Règlement sur les données) du 23 février 2022

[7] Communiqué de presse de la Commission Européenne intitulé « Règlement sur les données: la Commission propose des mesures en faveur d'une économie des données équitable et innovante » du 23 février 2022

[8] Article 3 du Règlement sur la gouvernance des données

[9] Article 5 paragraphe 6 du Règlement sur la gouvernance des données

[10] Article 8 paragraphe 1 du Règlement sur la gouvernance des données

[11] Article 8 paragraphe 4 du Règlement sur la gouvernance des données

[12] Article 4 du Règlement sur la gouvernance des données

[13] Notamment article 12 paragraphe a) du Règlement sur la gouvernance des données

[14] Article 12 paragraphe f) du Règlement sur la gouvernance des données

[15] Article 13 du Règlement sur la gouvernance des données

[16] Article 18 du Règlement sur la gouvernance des données

[17] Voir notamment les considérants (2), (5) et (51) de cette proposition de Règlement sur les données

[18] Article 3 du projet de Règlement sur les données

[19] Article 4 du projet de Règlement sur les données

[20] Article 5 du projet de Règlement sur les données

[21] Article 6 du projet de Règlement sur les données

[22] European Commission (2020a). Final Study Report of the Updated European Data Market Study, SMART 2016/0063

[23] Article 13 paragraphe 2 du projet de Règlement sur les données

[24] Article 13 paragraphe 5 du projet de Règlement sur les données

[25] Article 13 paragraphes 3 et 4 du projet Règlement sur les données

[26] Article 2 paragraphe 19 du projet de Règlement sur les données

[27] Article 28 paragraphe 1 du projet de Règlement sur les données

[28] Voir notamment les paragraphes 2, 5 et 6 de l’article 28 du projet de Règlement sur les données.

[29] Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[30] Réglement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[31] Directive (UE) 2016/680 du Parlement Européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

[32] Règlement Européen du Parlement Européen et du Conseil (UE) 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE

[33] Avis conjoint 03/2021 de l’EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données)

[34] EDPB-EDPS Joint Opinion 2/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act)

[35] En particulier celles de « données à caractère personnel », « consentement », « personne concernée » et de « traitement » en ce qui concerne les données à caractère personnel

[36] Article 5 paragraphe 3. a) i) du Règlement sur la gouvernance des données

[37] European Commission (2018a). Synopsis report of the public consultation on the revision of the Directive on the reuse of public sector information

[38] Article 20 du Règlement sur la gouvernance des données

[39] Article 25 du Règlement sur la gouvernance des données

[40] Cet article 2 dispose en effet que « Lorsque les données à caractère personnel et les données à caractère non personnel d'un ensemble sont inextricablement liées, le présent règlement est sans préjudice de l'application du règlement (UE) 2016/679 ».

[41] Pour rappel, selon l’article 5 du RGPD, cet utilisateur devra être en mesure de démontrer les grands principes relatifs aux données personnelles énoncés ci-avant (traitement licite, loyal et transparent des données à caractère personnel par exemple).

[42] En effet, cette disposition énonce que « Lorsque l’utilisateur n’est pas une personne concernée, les éventuelles données à caractère personnel générées par l’utilisation d’un produit ou d’un service lié ne sont rendues disponibles que s’il existe une base juridique valable en vertu de l’article 6, paragraphe 1, du règlement (UE) 2016/679 ».

[43] Considérant (7) du projet de Règlement sur les données

[44] Ce caractère complémentaire est explicitement énoncé à l’article premier paragraphe 3 et fait l’objet de plus amples développements au considérant (31)

[45] Chapitre IX du projet de Règlement sur les données

[46] Communication de la CNIL : Stratégie européenne pour la donnée : la CNIL et ses homologues se prononcent sur le Data Governance Act et le Data Act, 13 juillet 2022

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 09 décembre 2022

Journal du09 décembre 2022

Journal du 02 décembre 2022

Journal du02 décembre 2022

Journal du 25 novembre 2022

Journal du25 novembre 2022

Journal du 18 novembre 2022

Journal du18 novembre 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?