Gouvernance européenne des données

La proposition de règlement du Parlement européen et du Conseil relatif à la gouvernance des données, COM(2020) 767, est la première d'une série de mesures annoncées par la Commission dans le cadre de sa stratégie européenne pour les données présentée le 19 février dernier^1(*).

Première étape de la mise en place d'un « espace européen des données », elle vise à créer un cadre de confiance, propre à favoriser la mise à disposition de données détenues par les acteurs publics et privés, en vue de leur utilisation par toutes catégories d'acteurs, afin de stimuler le partage et la circulation de données à l'échelle européenne. Pour ce faire, le texte prévoit de :

- faciliter la mise à disposition, en vue de leur réutilisation, des données détenues par le secteur public qui ne relèvent pas déjà de la directive sur les données ouvertes^2(*) (à savoir, principalement, les données soumises à la législation sur la protection des données à caractère personnel ou à des droits de propriété intellectuelle, ou couvertes par le secret d'affaires), tout en garantissant une pleine préservation de la protection des données concernées et de leur confidentialité ;

- mettre en place des règles communes pour les prestataires de services de partage de données, pour créer un cadre de confiance ;

- favoriser le partage volontaire de données à caractère personnel ou non personnel pour des motifs « altruistes » ;

- mettre en place des garanties juridiques pour empêcher l'exposition des données non personnelles aux législations extraterritoriales de pays tiers, et de manière plus générale le transfert vers des pays tiers de données sensibles, si le niveau de protection de ces dernières n'y est pas substantiellement équivalent au niveau de protection garanti dans l'Union.

La proposition ne vise pas à accorder, modifier ou supprimer les droits substantiels d'accès aux données et d'utilisation de ces dernières. En particulier, elle précise explicitement qu'elle ne crée pas, pour les organismes du secteur public, d'obligation d'autoriser la réutilisation des données. Elle respecte la prérogative des Etats membres d'organiser leur administration et de légiférer sur l'accès aux données du secteur public, en leur laissant notamment une grande souplesse pour déterminer le niveau d'investissements financiers acceptable pour pouvoir procéder à l'ouverture des données publiques visées au chapitre II de la proposition.

La proposition ne modifie pas non plus les législations sectorielles européennes ou nationales existantes en matière d'accès aux données, et ne fait pas obstacle à l'adoption de nouvelles législations sectorielles dans le futur.

Enfin, le « comité européen de l'innovation dans le domaine des données » mis en place, sous la forme d'un groupe d'experts composé de représentants des autorités compétentes des Etats membres, du comité européen de la protection des données, de la Commission, des espaces de données pertinents et d'autres autorités compétentes dans des secteurs particuliers, n'aurait qu'un rôle de conseil et de coordination, notamment pour faciliter l'émergence et la diffusion de bonnes pratiques.

Les politiques numériques sont une compétence partagée entre l'Union et les Etats membres^3(*). En l'occurrence, la base juridique choisie par la Commission est la capacité de l'Union à légiférer en vue du rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur (art. 114 TFUE).

La nature intrinsèquement transfrontière, de manière générale, des problématiques numériques, est une justification de l'action de l'Union, ici renforcée, comme le souligne la Commission, par le fait que l'accès à des masses de données importantes est souvent nécessaire aux acteurs économiques pour atteindre la taille critique nécessaire à une exploitation, notamment par les technologies d'intelligence artificielle ; a contrario, l'adaptation d'un produit au marché d'un autre Etat membre que celui dans lequel il a été conçu pourrait fortement profiter d'une exploitation de données - industrielles ou détenues par le secteur public - recueillies dans l'Etat membre de destination. La possibilité d'une telle adaptation, et donc d'un tel accès transfrontière aux données, est nécessaire pour garantir une libre concurrence au sein du marché unique. La Commission, qui vise la mise en place d'un marché unique des données, estime qu'il existe un risque que les Etats membres légifèrent sur la question des données de manière non coordonnée, ce qui pourrait fragmenter le marché unique. L'échelon européen semble donc le plus adéquat pour traiter cette problématique

En outre, une circulation accrue des données serait susceptible de nourrir la recherche et l'innovation, par exemple en matière de santé publique. Il s'agit là aussi d'une compétence partagée, sur laquelle l'Union est donc légitime à intervenir pour ce qui concerne les enjeux européens communs^4(*) ; là aussi, plus la masse de données récoltée est importante et diversifiée, plus elle permet des analyses fiables et fines.

En revanche, il semble moins légitime que l'article 5, paragraphe 11 de la proposition confie à la Commission le pouvoir d'adopter des actes délégués en vue de « fix[er] des conditions particulières applicables aux transferts vers les pays tiers » de « données à caractère non personnel détenues par des organismes du secteur public [...] considérées comme hautement sensibles », « [l]orsque des actes spécifiques de l'Union adoptés conformément à une procédure législative [auront] établ[i] que certaines catégories de données à caractère non personnel sont considérées comme [telles] ».

On peut s'interroger en premier lieu sur le choix de recourir à des actes délégués, dans la mesure où ces derniers ne peuvent normalement pas modifier les éléments essentiels de l'acte législatif qui leur octroie la délégation. Or il est impossible d'apprécier pour l'instant le caractère essentiel ou non des éléments susceptibles d'être modifiés, la définition des données « hautement sensibles » étant renvoyée à un texte ultérieur.

En outre, la proposition indique que les dispositions particulières prévues en matière de transfert vers des pays tiers devraient être proportionnées à ce qui serait nécessaire pour atteindre les objectifs de politique publique de l'Union, notamment en matière de sécurité et de santé publique, la Commission estimant nécessaire que « ces types de données publiques à caractère personnel hautement sensibles [soient] définis par le droit de l'Union, par exemple dans le contexte de l'espace européen des données de santé^5(*) ou d'une autre législation sectorielle », et ce « [a]fin de garantir l'harmonisation des pratiques dans l'ensemble de l'Union »^6(*). Or si la compétence de l'Union sur le sujet peut se justifier à première vue, compte tenu de la nature intrinsèquement transfrontière des problématiques liées aux flux de données numériques et de la mention des « objectifs de politique publique de l'Union »^7(*), le texte ne précise pas, en l'état, si ces restrictions seraient exclusives de la possibilité pour les Etats d'introduire en outre des restrictions supplémentaires.

Pour rappel, le Sénat avait adopté en 2017 une résolution européenne portant avis motivé sur le projet de règlement établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne^8(*) : l'article 4 de ce règlement (inchangé dans la version finale du texte) consacre le principe de libre circulation des données non personnelles dans l'Union, en interdisant les exigences en matière de localisation des données de la part des Etats, sauf si elles sont justifiées par des motifs de sécurité publique. Pourtant, le Sénat avait souligné que la sécurité publique ne devait pas être le seul motif que pouvait invoquer un État pour imposer une obligation de localisation des données sur son territoire et que, « a minima, l'ordre public et la santé publique » devaient aussi pouvoir être invoqués^9(*).

Compte tenu de ces éléments, trois options étaient envisageables, au regard du contrôle de subsidiarité :

- intervenir sur le texte COM(2020) 767, en présentant une proposition de résolution européenne portant avis motivé. Cependant, en l'absence de plus amples informations sur le contenu des textes à venir, il ne pourrait s'agir que d'une prise de position de principe ;

- examiner sous l'angle du contrôle de subsidiarité, au moment de sa publication, la proposition de texte visant à définir les données « hautement sensibles » détenues par le secteur public^10(*), ainsi que, le cas échéant, les actes délégués mentionnés à l'article 5, paragraphe 11 de la présente proposition^11(*) ;

- dans l'immédiat, soulever ce point d'attention dans le cadre de l'analyse au fond de la proposition COM(2020) 767, au titre de l'article 88-4 de la Constitution, dans le cadre d'une proposition de résolution européenne, doublée d'un avis politique adressé à la Commission.

Le groupe de travail sur la subsidiarité a jugé que cette dernière option - qui n'obère pas la possibilité de se saisir, au moment de leur parution, des textes ultérieurs mentionnés ci-dessus - était la plus pertinente, et a donc estimé qu'il n'était pas nécessaire d'intervenir plus avant sur ce texte au titre de l'article 88-6 de la Constitution.

* ¹ COM(2020) 66.

* ² Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données ouvertes et la réutilisation des informations du secteur public.

* ³ Art. 4, paragraphe 3, du TFUE, qui précise que l'Union peut intervenir dans le domaine des compétences technologiques, sans préjudice de la liberté des Etats membres d'agir dans les mêmes domaines.

* ⁴ Art. 4, paragraphe 2, k) du TFUE.

* ⁵ Attendu au 4^e trimestre 2021.

* ⁶ Considérant 19.

* ⁷ Art. 5, paragraphe 11.

* ⁸ COM(2017) 495.

* ⁹ Résolution européenne n° 24 (2017-2018) du 5 décembre 2017.

* ¹⁰ Dans son programme de travail pour 2021, la Commission annonce, pour le premier trimestre 2021, un acte d'exécution sur les séries de données de grande valeur, en application de la directive sur les données ouvertes.

* ¹¹ Les actes délégués n'étant pas soumis par la Commission au contrôle de subsidiarité par les Parlements nationaux, cette option nécessiterait une vigilance particulière sur le calendrier de publication desdits textes.

La commission des affaires européennes n'est pas intervenue sur ce texte.