C. LE RÈGLEMENT SUR LA GOUVERNANCE EUROPÉENNE DES DONNÉES (DGA)
1. Faciliter la réutilisation des données du secteur public
Le règlement prévoit qu'un plus grand nombre de données détenues par le secteur public seront éligibles au droit de réutilisation à compter du 24 septembre 2023, y compris des données protégées par la confidentialité commerciale, le secret statistique, les droits de propriété intellectuelle de tiers et certaines données à caractère personnel, pour que celles-ci servent, in fine, à améliorer la productivité et à stimuler l'innovation.
Pour faciliter la réutilisation de ces données, une obligation d'assistance du demandeur est prévue, chaque État membre devant créer un point d'information unique destiné à fournir aux réutilisateurs potentiels des informations sur les données détenues par les autorités publiques. Un point d'information unique sera également mis en place au niveau européen par la Commission. Pour permettre une disponibilité maximale de ces données détenues par les organismes publics, il est interdit aux organismes publics de conclure des accords d'exclusivité de réutilisation des données, sauf exceptions liées à l'intérêt public.
Le règlement crée par ailleurs un nouveau modèle commercial encadré : le service d'intermédiation de données, qui vise à « établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d'une part, et d'utilisateurs de données, d'autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l'exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel ». Afin de garantir leur neutralité et renforcer ainsi la confiance dans le partage des données, ces intermédiaires ne devront pas exercer une autre activité et l'accès à leurs services, leurs conditions ainsi que les prix pratiqués devront respecter des principes d'équité, de transparence et de non-discrimination. Les personnes souhaitant exercer une telle activité devront le notifier à l'autorité nationale compétente, qui les autorisera à l'exercer et à utiliser le label de « Prestataire de services d'intermédiation de données reconnu dans l'Union ».
Enfin, l'altruisme en matière de données est encouragé et encadré : les entités qui mettent à disposition des données devront ainsi répondre à un ensemble de conditions telles qu'exercer leurs activités dans un but non lucratif et être juridiquement distinctes de toute entité exerçant des activités à but lucratif, afin, là encore, de renforcer la confiance dans le partage des données.
2. La Cnil désignée comme autorité compétente
Chargée de veiller à l'application du DGA, la Cnil est dotée en conséquence de nouvelles attributions en matière de contrôle et de sanction (article 31).
*
* *
Ambitieux dans ses objectifs, le projet de loi ne constitue cependant qu'une étape dans la régulation de l'espace numérique.
Ø D'une part, il sera nécessaire de mettre à disposition des autorités indépendantes (Arcom, Cnil, Arcep) les moyens nécessaires à leurs nouvelles missions, et ce dès le prochain projet de loi de finances. Le contrôle qu'elles vont devoir exercer sur des sociétés aux moyens très importants doit mobiliser une expertise de haut niveau, tant technologique que juridique, qui doit être recherchée rapidement.
Ø D'autre part, si le cadre européen a progressé, il reste encore à parfaire, notamment sur la réforme du statut des hébergeurs ou sur le développement d'une authentique industrie européenne du numérique, seule à même de garantir pleinement notre souveraineté.