Des changements majeurs sont en cours dans la manière dont les données personnelles sont utilisées dans l’UE. La DGA (Loi sur la gouvernance des données) de l’UE, qui comprend un ensemble de réglementations visant à améliorer l’accès aux données du secteur public pour la création de nouveaux biens et services, a été approuvée par la Commission européenne le mois dernier.
La DGA couvre “toute représentation numérique d’actes, de faits ou d’informations”, et pas seulement les données personnelles. Son règlement est devenu exécutoire le 23 juin et sera en vigueur jusqu’en septembre 2023.
Qu’est-ce que la loi sur la gouvernance des données de l’UE ?
La proposition législative de la Commission européenne sur la DGA vise à établir un cadre qui faciliterait le partage des données. Le plan a été initialement rendu public dans le cadre de la stratégie européenne des données 2020. La DGA comprend des informations provenant de personnes, d’entreprises et d’entités publiques. Ses principaux objectifs sont de contrôler le partage de données par des acteurs privés et de faciliter en toute sécurité l’échange de données sensibles détenues par des agences publiques.
La DGA établit un cadre pour faciliter le partage des données. Il y parviendra grâce à un certain nombre de services d’intermédiation de données conçus pour permettre aux entreprises ou aux particuliers un accès à l’information dans un environnement sûr.
Ces services aideront les organisations à remplir leurs obligations légales en matière de partage de données. En éliminant le craintes d’abus ou de perte de d’avantage concurrentiel, la DGA vise à simplifier l’échange de données entre les organisations.
Bien que la DGA ne concerne pas uniquement les données personnelles, le RGPD sera grandement influencé par les directives de la DGA. La loi permet aux personnes de mieux contrôler la façon dont leurs données personnelles sont utilisées et consultées en leur donnant des outils pour le faire.
La DGA encourage une réutilisation plus large des données stockées par les organisations du secteur public. Des environnements de traitement sécurisés et l’anonymisation des données seront utilisés, ce qui, selon les législateurs, pourrait encourager l’emploi de telles méthodes en dehors du secteur public.
La mise en place d’un cadre d’autorisation pour les “intermédiaires de données” est un autre élément essentiel de la DGA. Ces entreprises fournissent des systèmes de gestion des consentements et des marchés de données.
Les intermédiaires de données devront se conformer aux exigences en matière de licences créées pour protéger leur indépendance et limiter la réutilisation des données et des métadonnées.
Pourquoi la DGA est-elle importante? Quel est le lien avec le RGPD ?
Du point de vue des droits numériques, le lien entre la DGA proposée et l’acquis actuel régissant la protection des données—le RGPD et la directive ePrivacy—est la question clé à l’étude. L’objectif principal de la DGA est de soutenir le développement d’une économie européenne axée sur les données, même si le cadre législatif actuel repose sur un modèle de gouvernance des données fondé sur des principes de confidentialité et de protection des données pour défendre les droits fondamentaux des personnes.
Il est suggéré d’exclure les données personnelles du champ d’application de la DGA afin d’éviter des mesures contraires à la réglementation sur la protection des données. Bien que les révisions de l’avis émis par la commission LIBE renforcent les mesures de protection de la vie privée et des données par rapport au plan initial, le Parlement européen n’a pas répondu à ces recommandations.
Que signifie la loi sur la gouvernance des données de l’UE pour les organisations et quelles sont les prochaines étapes ?
Les organisations, dont beaucoup ressentent encore les effets des conséquences de la décision Schrems II, seront confrontées à un problème intrigant avec l’adoption de garanties pour la transmission de données non personnelles. Les organisations devront identifier ces données, savoir où elles résident et savoir comment elles sont utilisées s’il existe une couche supplémentaire de données réglementées.
L’accord provisoire conclu en novembre 2021 par le Parlement européen, le Conseil de l’Union européenne et la Commission européenne a maintenant été approuvé par les députés européens et le Conseil, et attend la signature des présidents du Parlement européen et du Conseil avant d’être publié au journal officiel.
L’importance pour les entreprises d’avoir un programme unique de protection de la vie privée et de gouvernance des données est maintenant sous les feux de la rampe alors que ce processus législatif touche à sa fin. De plus, disposer de mécanismes robustes de découverte et de cartographie des données dans le cadre de ce programme pour gérer cette plus grande portée de données. En localisant et en comprenant leurs données, personnelles et non personnelles, les organisations peuvent commencer à développer leurs initiatives de confidentialité et de gouvernance.