Et si vous acceptiez de partager un peu plus vos données personnelles comme vos centres d’intérêts ou vos informations de santé ? Et si les entreprises acceptaient de partager les données d’utilisation de leurs produits ? Non pas que ces data finissent chez les géants du numérique comme Google, mais qu’elles profitent à des acteurs qui seraient « certifiés conformes » par l’Union européenne, pour la recherche ou le bien commun ? C’est le pari fait avec le DGA, le « Data Governance Act » ou règlement européen sur la gouvernance des données, qui s’applique depuis le 24 septembre.
Non seulement ce texte veut inciter citoyens, administrations et entreprises à partager davantage de données entre Européens – il s’agit d’inciter et non pas d’obliger. Mais il vise à créer un nouveau marché de la donnée, une alternative au modèle des Gafam plus respectueuse de nos droits, et dont les fruits ne finiraient pas dans les poches des géants américains. Avec, en prime, l’idée que les entreprises accèdent à des données particulières, « les données protégées du secteur public », pour développer des systèmes d’intelligence artificielle. Voilà ce que cherche à instituer le DGA. Mais derrière ces grandes idées, comment ces objectifs sont-ils mis en pratique ?
Protéger et exploiter les données : le grand écart de Bruxelles
Reprenons depuis le début. Le monde de la donnée est régi en Europe par deux corpus de texte. D’un côté, le Règlement Général sur la Protection des Données (le RGPD) garantit la protection de nos données personnelles. De l’autre, un triptyque est destiné à réguler l’exploitation des données au sein de l’Union européenne (UE). Dans ce triptyque, on trouve :
- le « Data Act » ou règlement européen sur les données, en cours d’adoption, qui définit des droits d’accès à des données du secteur privé,
- ce règlement, le « Data Governance Act », qui va définir les mécanismes, la structure et les acteurs du partage des données, dans ce nouveau marché européen de la donnée. Ces data vont permettre de nourrir les systèmes d’IA, d’où :
- l’AI Act (le Règlement sur l’intelligence artificielle), en cours d’adoption.
Avec ces trois nouveaux textes, l’Union européenne (UE) cherche à atteindre deux objectifs contradictoires. D’un côté, elle souhaite mettre en place un cadre d’exploitation et de partage des données qui soit respectueux des valeurs et de la règlementation européennes. De l’autre, il s’agit de créer un écosystème qui permette aux données de circuler le plus possible. Dans ce système, les data doivent pouvoir être exploitées en masse, on doit pouvoir croiser des milliards de données pour développer des technologies d’intelligence artificielle.
Il y a donc, avec le DGA, une véritable volonté de créer de la valeur économique – la Commission européenne avait d’ailleurs mentionné, dans son étude d’impact, « un effet positif du DGA sur le niveau du PIB de +1 % à +2,5 % ». À côté de l’aspect financier, un meilleur partage des données doit « permettre une meilleure élaboration de politiques publiques et des services privés, et davantage de ressources pour la recherche scientifique, dans l’intérêt général », explique Laure Lucchesi, entrepreneure et ancienne directrice d’Etalab, un département de l’administration française qui vise à améliorer le service public et l’action publique grâce aux données. Le règlement de 44 pages est divisé en plusieurs parties : certaines traitent de toutes les données (personnelles ou non personnelles), d’autres seulement des données du secteur public, avec à chaque fois des régimes juridiques différents, ce qui ne facilite pas la compréhension du texte.
À lire aussi : Comment une start-up a défié Google pour vous rendre le contrôle de vos données personnelles
Pourquoi ce texte ?
Aujourd’hui, les Européens craignent que leurs données personnelles soient réutilisées de manière abusive par les géants du numérique. Les entreprises n’exploitent pas ou exploitent peu leurs données liées à leurs produits ou à leurs clients. Dans certaines administrations, « les données des usagers ne sont pas mises à disposition, parce qu’on pense qu’on n’en a pas le droit, qu’on n’est pas sûr de leur qualité, qu’on ne sait pas comment faire, ou qu’on n’en a pas les ressources ou le budget », explique Antoine Petel, attaché temporaire d’enseignement et de recherche en droit à Lyon 3, et auteur d’une thèse sur la réutilisation des données du secteur public.
Les données ne circulent pas non au sein de l’Union européenne, parce que les règles sont différentes d’un pays à l’autre.
Le DGA vise à faire tomber ces différents « blocages », en procurant les moyens juridiques et techniques pour faciliter un partage de données d’une administration à une entreprise, entre entreprises et entre États-membres. Ce qui pourrait permettre par exemple à une boîte de tech italienne de bénéficier des données d’une agence française de l’environnement pour essayer de faire tourner ses algorithmes d’IA, ou pour améliorer ses produits. Il faut en effet bien comprendre qu’aujourd’hui, les entreprises ne peuvent travailler que sur des données récupérées en open data, à moins d’acheter à prix d’or des jeux de données à l’étranger. Elles peuvent donc avoir accès aux données sur le trafic, la consommation électrique ou l’artificialisation des sols par région que l’on trouve par exemple sur data.gouv.fr. Mais ce contenu reste limité.
En France, il existe pourtant quelques « hubs » – des plateformes sur lesquelles sont mises des données dans le domaine de la santé (le « Health Data Hub »), dans les secteurs agricole ou environnemental (le « Green Data for Health ») ou encore dans les transports aériens. « Les chercheurs peuvent aussi avoir à accès à certaines données, à des fins d’intérêt général, grâce à ce qu’on appelle l’accès anticipé aux archives des ministères. Ce sont des services présents sur tout le territoire, qui ont été conçus il y a des dizaines d’années pour stocker des manuscrits, ou des photocopies, et qui sont aujourd’hui particulièrement bien placés pour organiser tout ça. Pour autant, la procédure n’est pas simple, car elle varie en fonction du type de données », souligne Laure Lucchesi.
À lire aussi : Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?
La distinction entre production, intermédiation et exploitation
Le DGA vise à simplifier toutes ces procédures parallèles, en définissant un point d’information et un point d’accès uniques à l’échelle européenne. Qui souhaite réutiliser des données pourra savoir rapidement quelles data sont accessibles et quelle procédure suivre pour y avoir accès – si l’accès est possible.
Mais encore faut-il qu’il y ait des data. Et pour inciter les individus et les entreprises à partager davantage leurs données, le DGA va chercher à créer un cadre de confiance, dans un monde où l’exploitation des données par les Gafam a surtout suscité de la défiance. Le texte différencie trois types d’activités, bien distinctes :
- L’activité de production des données, comme une entreprise, une collectivité ou un ministère qui vont produire des données, via leurs missions de service public.
- L’exploitation des données concerne tous ceux qui vont vouloir exploiter les données – ce qui suppose que ces data soient interopérables et exploitables.
- L’activité d’intermédiation jouera les intermédiaires entre producteur et exploitant. Ces prestataires pourront aider par exemple une collectivité à mettre à disposition ses données, à les protéger et à les rendre interopérables.
La création du statut d’intermédiation
L’un des paris de ce texte est de créer ce nouveau statut, l’intermédiation, qui serait garant d’une certaine neutralité.
Ces nouveaux prestataires proposeront de sécuriser ou de formater des données (contre rémunération), et faciliteront la relation contractuelle entre production et exploitation. Mais ils ne pourront pas eux-mêmes exploiter ces données pour leurs propres profits financiers – ils ne pourront ni les traiter, ni les analyser, ni les vendre, comme le font aujourd’hui les Gafam.
Pour le législateur européen, ce modèle permettrait de regagner la confiance des entreprises et des citoyens, qui ont tendance à refuser de partager leurs données, parce qu’ils se disent que cela va profiter aux grandes plateformes (pour les particuliers) ou à leurs concurrents (pour les entreprises). Ce statut mettrait fin à l’idée que leurs données sont exploitées à leurs détriments.
La réutilisation des données publiques « protégées »
Une autre partie du DGA s’attache aux données des administrations dites protégées qui pourraient être exploitées commercialement. Jusqu’à présent, une directive de 2019 (dite « ISP », sur la réutilisation des données du secteur public) prévoyait que les collectivités d’une certaine taille mettent à disposition, en open data – donc en accès libre – certaines données anonymisées. Cette fois, on va plus loin : l’idée est d’englober aussi les données protégées, comme les données commerciales, qui peuvent être confidentielles ou relever du secret des affaires ou de la propriété intellectuelle des entreprises. Cela peut aussi comprendre les données couvertes par le secret fiscal, dont des données personnelles.
Ces data-là n’étaient pas du tout exploitées. Elles pourraient l’être avec le DGA, qui prévoit, si la collectivité choisit de « réutiliser » ces données, un arsenal de mesures techniques et juridiques très particulières, à l’image d’un SAS ou d’une bulle informatique, censé protéger la sensibilité des informations.
Précision importante : cette réutilisation n’est pas obligatoire – les collectivités ne sont pas obligées d’exploiter ces données, elles sont seulement incitées à le faire.
L’altruisme des données
Une autre partie du DGA traite de « l’altruisme des données ». Ici, il s’agit des données à caractère personnel et non personnel, qui sont détenues par des sociétés, des administrations ou des individus, qui acceptent volontairement de mettre à disposition leurs données pour des finalités d’intérêt général, un peu à l’image d’une donation.
Vous pourriez partager, à des fins de recherche ou d’amélioration des politiques publiques, vos données de santé comme votre fréquence cardiaque, votre température corporelle, ou encore des données sur le bruit ou la pollution que vous avez recueillies.
Concrètement, qu’est-ce-que ça va changer ?
Le DGA est bien entré en vigueur, le texte est censé être appliqué depuis plus d’un mois. Mais toutes ses dispositions semblent toujours très théoriques. « Dans le monde des données, quand on manipule les grands concepts, les projections, cela semble simple, cela semble justement apporter beaucoup de valeur, mais dès qu’en fait, il faut entrer dans les détails de la mise en œuvre technique, c’est extrêmement complexe », reconnaît Laure Lucchesi.
Comprenez : le défi de ce règlement réside dans sa mise en pratique. Premier problème, comment va-t-il s’articuler avec le RGPD, le règlement qui protège nos données personnelles ? En cas de conflit de règles, le RGPD s’applique, précise le DGA. Mais « est-ce que le Data Governance Act va vraiment remplir sa finalité, sachant qu’il doit respecter dans tous les cas le RGPD ? » s’interroge Antoine Petel. Le RGPD demande, par exemple, de limiter les finalités d’utilisation d’une donnée personnelle, ou au moins de les anticiper suffisamment, en prévenant chaque personne de chaque finalité prévue.
« Pour une entreprise, ce n’est pas réaliste de contacter plusieurs milliers de personnes tout en gérant leur consentement au quotidien (modification du périmètre, suppression, etc.). Ce n’est pas viable. Donc, on a vraiment deux logiques qui s’affrontent, la logique de protection des données, et celle d’exploitation économique. Globalement, il faudra voir en pratique comment ça va se passer », analyse Antoine Petel.
La voie de conciliation serait ces fameux hubs destinés à la recherche, « ces fameuses bulles informatiques qui permettent d’assouplir légèrement les conditions du RGPD pour faciliter l’exploitation des données à caractère personnel. C’est un régime particulier, dérogatoire aux règles communes du RGPD, et bénéficiant aux traitements pour des finalités de recherche ». Mais le problème est qu’il s’agit d’une bulle informatique – une infrastructure IT – qui va coûter cher.
Ce qui implique des investissements importants de la part des administrations. « Il ne s’agit plus, comme pour le RGPD, de nommer un délégué à la protection des données pour penser se mettre en conformité avec le RGPD. Il va falloir créer des infrastructures, et se doter de technologies adéquates … Et tant que l’État ne mettra pas la main à la poche et ne donnera pas l’impulsion (donc des directives, NDLR), ça ne va pas bouger », souligne le haut fonctionnaire Jean-Luc Sauron, professeur associé à l’Université Paris Dauphine.
Car « qui, au sein des administrations détentrices des données, va formater les données pour permettre leur circulation vers d’autres administrations ou vers les entreprises intéressées, qui va s’assurer de la sécurisation des transferts », s’interroge le professeur.
« Toutes les collectivités n’auront pas les moyens de s’équiper. Les grandes villes, sûrement. Mais les petites, non », détaille le juriste Antoine Petel. « Donc, il y a deux solutions. Soit elles ne participent pas à l’économie des données parce qu’elles n’auront pas les infrastructures et les ressources adéquates pour mettre à disposition leurs données. Soit c’est à l’État d’investir pour créer des centres informatiques, des centres techniques qui permettent justement l’exploitation des données. L’État aura donc un rôle important à jouer. Ça a été dit par la Commission, si l’État ne participe pas activement à la mise en œuvre du Data Governance Act, ce sera une coquille vide », souligne le spécialiste.
L’autre défi est spécifique à l’Hexagone. Depuis des années, le pays est dans une logique d’open data et de réutilisation des données gratuite. Or avec le DGA, on demande aux collectivités d’investir dans leurs infrastructures, mais en échange, elles pourront demander des redevances d’utilisations aux entreprises ou chercheurs qui souhaitent les exploiter. Ce qui implique un changement de mentalité de taille… qui pourrait prendre un certain temps.