Partage de données protégées
La protection par le secret de certaines données n'empêche pas nécessairement l'accès à celles-ci mais oblige à mettre en place un système de partage sécurisé aux données grâce à l'intervention d'un intermédiaire de confiance.
Avec le Règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (DGA), le législateur européen a proposé un modèle de partage des données basé sur la neutralité et la transparence des intermédiaires de données tout en permettant aux particuliers et aux entreprises de mieux contrôler leurs données.
Compte tenu de l'objectif d'intérêt général qu'est le soutien à la recherche scientifique, le règlement vise à contribuer à l’émergence de réserves de données d’une taille suffisante mises à disposition sur le fondement de l’altruisme en matière de données pour permettre l’analyse des données et l’apprentissage automatique, y compris dans l’ensemble de l’Union. - Considérant 45 du Règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (DGA)
Le champ d'application du règlement n'est pas cantonné au partage des données couvertes par le secret. Il s'étend également aux données personnelles, aux données couvertes par un droit de propriété intellectuelle ou encore aux données non personnelles mais qui sont des données sensibles (données stratégiques en matière d'énergie, de mobilité, de santé, de sécurité nationale ou de défense, données commerciales), dont le partage peut être organisé à travers un environnement de traitement sécurisé.
Lexique : Partage de données
« La fourniture de données à un utilisateur de données par une personne concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement ».
Le règlement distingue trois modèles de partage de données selon que le partage vise à :
- établir des relations commerciales (services d’intermédiation de données),
- réutiliser des données protégées détenues par des organismes publics (organismes compétents), ou
- partager des données à des fins altruistes (organisations altruistes en matière de données).
Ces différentes catégories d'infrastructures ne répondent pas aux mêmes règles.
I. Services d'intermédiation de données
Les services d’intermédiation de données, au sens du règlement, visent à établir des relations commerciales à des fins de partage de données entre des détenteurs et des utilisateurs.
Lexique : Service d’intermédiation de données
« Service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit :
a) services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d’en accroître substantiellement la valeur et concèdent une licence d’utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données ;
b) des services axés sur l’intermédiation de contenus protégés par le droit d’auteur ;
c) des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d’utiliser les données qu’il détient, ou qui sont utilisés par des personnes morales multiples au sein d’un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d’objets et de dispositifs connectés à l’internet des objets ;
d) des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales ».
Ces prestataires de services d’intermédiation de données doivent notifier leur activité à l’autorité compétente. - Article 11 du Règlement 2022/868 sur la gouvernance européenne des données
En France, l’autorité compétente en matière de services d’intermédiation de données est l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. – Article 36 de la Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (SREN)
Une fois validée, cette notification est transmise à la Commission européenne.
Pour l’heure, la France compte sept services d’intermédiation de données enregistrés :
L’article 12 du Règlement 2022/868 sur la gouvernance européenne des données énumère les conditions de fourniture de ces services. Ils doivent notamment protéger les données personnelles, respecter les règles de concurrence, et assurer l’interopérabilité des données.
Pour garantir leur neutralité, ces intermédiaires de données ne peuvent pas commercialiser les données qu'ils gèrent, ni les utiliser pour développer leurs propres produits.
Ils doivent également séparer leurs services d’intermédiation des autres activités commerciales, conformément aux principes de neutralité et pour éviter tout conflit d'intérêts.
II. Organismes compétents
Depuis l’entrée en vigueur du règlement sur la gouvernance de données, les États membres doivent désigner un ou plusieurs organismes compétents (Competent bodies) dont l’objectif est d’assister les organismes du secteur public qui accordent ou refusent l’accès à certaines catégories de données protégées, en vue de leur réutilisation. – Article 7 du Règlement 2022/868 du 30 mai 2022 sur la gouvernance européenne des données
Les organismes compétents (competent bodies) respectant les exigences requises devront être inscrits sur un registre central de la Commission.
Par exemple, en France, le Comité du secret statistique et le CASD ont créé le module Confidential Data Access Portal (CDAP) qui permet de cataloguer les données confidentielles, de faire des demandes d’accès et de rendre effectif l’accès aux données confidentielles administratives pourraient être qualifiés d’organismes compétents. Le CASD fournit un environnement sécurisé pour travailler sur des données sensibles sans compromettre la confidentialité ou la sécurité de ces données. Le CASD permet ainsi aux chercheurs, et aux autres utilisateurs autorisés, d’accéder à des données confidentielles, notamment des données administratives et statistiques.
Le Règlement sur la gouvernance des données (DGA) impose aux États membres de mettre en place un point unique d'information pour faciliter la réutilisation des données publiques, en assurant aux entreprises et citoyens un accès simplifié aux données dans l’ensemble de l’Union européenne, avec un délai de réponse de deux mois.
Ce cadre est conçu pour renforcer la confiance dans la protection des données personnelles, mais aussi pour favoriser l'accès sécurisé aux données confidentielles détenues par les organismes publics (statistiques, administrations, agences gouvernementales) à des fins de recherche.
Procédure d’habilitation pour l’accès aux données confidentielles
La procédure d’habilitation pour accéder aux données diffère selon la personne qui détient les données. Il peut s’agir d’un avis donné par le Comité du secret statistique (CSS) pour les données détenues par certaines institutions publiques chargées d’une mission de service public telles que l’Institut National de la Statistiques et des Études Économiques (INSEE) ou encore la Direction Générale des Finances Publiques (DGFP). Puis, le producteur des données et les Archives de France signent l’accord pour l’accès aux données.
Pour d’autres sources de données, l’habilitation est délivrée directement par le déposant des données, telles que les données de la Banque de France, les données de la Direction Générale des Entreprises (DGE), ou encore les données de la Banque publique d’investissement (Bpifrance).
Sur les procédures d’habilitation par le Comité du secret statistique, voir le site du CASD.
III. Organisations altruistes en matière de données
Le Règlement 2022/868 sur la gouvernance des données (DGA) a introduit une nouvelle catégorie d’acteurs, les organisations altruistes, conçues pour faciliter la mise à disposition de données au service de projets d’intérêt général. Ces organisations sont des entités à but non lucratif qui permettent aux individus et aux détenteurs de données de partager volontairement leurs données pour des objectifs tels que l’amélioration des soins de santé, la recherche scientifique ou la lutte contre le changement climatique.
- Lexique : Altruisme en matière de données
« [P]artage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général ».
A. Rôle et fonctionnement des organisations altruistes
Les organisations altruistes agissent comme des intermédiaires neutres. Elles reçoivent et conservent les données mises à disposition par des individus ou des entités, afin qu’elles soient réutilisées par des tiers poursuivant des objectifs d’intérêt général. Par exemple, elles peuvent créer des bases de données accessibles à des chercheurs, après un consentement clair et éclairé des personnes concernées.
Ces entités doivent respecter plusieurs principes fondamentaux :
- la neutralité : elles ne peuvent pas réutiliser les données pour leur propre compte ;
- la non-lucrativité : elles ne poursuivent aucun objectif de profit.
B. Transparence et traçabilité
Pour garantir la confiance et éviter les abus, les organisations altruistes doivent :
- s’enregistrer auprès d’un registre public national. En France, l’autorité compétente pour l'enregistrement des organisations altruistes en matière de données est la Commission nationale de l'informatique et des libertés (CNIL) – Article 57 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique ; Article 124-1 de la Loi Informatique et libertés
- tenir des registres précis sur les personnes (physiques ou morales) qui accèdent aux données, la durée d’utilisation, les finalités déclarées, et d’éventuelles redevances payées.
- fournir un rapport annuel aux autorités, incluant une liste des utilisateurs autorisés, un résumé des résultats obtenus, et une description de l’impact sur l’intérêt général.
Les personnes concernées et les détenteurs de données doivent être informés, avant tout traitement, des objectifs d’intérêt général, des finalités prévues, et de la localisation des traitements, notamment s’ils sont effectués dans un pays tiers.
C. Consentement et outils adaptés
Le règlement sur la gouvernance européenne des données met l’accent sur le respect du consentement, aligné sur les exigences du Règlement général sur la protection des données :
- les organisations altruistes doivent proposer des outils simples et ergonomiques pour donner ou retirer un consentement concernant l’utilisation des données,
- une approche harmonisée est prévue via des formulaires de consentement européens, pour garantir une uniformité dans la collecte de consentements à travers l’Union européenne.
Cependant, certains points, comme le retrait du consentement et la suppression des données, restent à préciser, notamment en cas de traitement de données personnelles.