Partage des données : où en est-on dans l'Union européenne ?

Les données sont porteuses de nombreux espoirs économiques, sociaux, scientifiques ou technologiques. Pour capter ces opportunités tout en protégeant les individus, l'Union européenne (UE) a élaboré une stratégie le 19 février 2020 impliquant la construction d'un marché européen des données. Cette nouvelle ambition se distingue des politiques mises en œuvre en France et aux États-Unis.
 

Les données occupent aujourd'hui une place prépondérante dans les activités publiques et privées au sein de l'UE. Elles sont utiles aux citoyens et à la société civile pour s'informer sur l'action des autorités publiques, pour obtenir des services personnalisés dans le domaine de la santé ou des transports, ou encore pour accéder plus facilement aux services publics. Elles sont nécessaires aux entreprises pour créer de nouveaux produits et services ou bien pour améliorer leur processus de production, à l'image de la maintenance prédictive de leurs équipements. Les données sont aussi indispensables aux administrations pour optimiser la mise en œuvre de leurs politiques publiques, améliorer l'efficacité de leur gestion interne ou de leur intervention auprès des usagers comme le montre l'utilisation des données des opérateurs mobiles en 2020 pour suivre l'extension de la pandémie de la COVID-19 et contrôler le respect des mesures de confinement.

Au-delà de ces bénéfices, les données jouent aussi un rôle fondamental dans le développement des technologies d'intelligence artificielle (IA) qui réclame, très souvent, l'exploitation d'un très grand volume de données (big data). Tel est le cas de la nouvelle application d'intelligence artificielle générative Albert qui a été développée par la Direction interministérielle du numérique (Dinum) pour aider les agents de l'administration à mieux répondre aux demandes des usagers. Mais les données représentent également des risques importants pour les individus parce qu'elles sont susceptibles de dévoiler leur vie privée (adresse, opinion politique, orientation sexuelle, etc.) ou d'influencer des décisions dont ils sont l'objet (demande de prêt immobilier, contrat d'assurance, etc.).

Afin d'appréhender l'ensemble de ces enjeux, l'UE a réglementé la circulation des données en trois étapes :

• dans un premier temps, elle a défini des règles pour protéger le traitement des données personnelles, c'est-à-dire les informations qui se rapportent à une personne physique identifiée ou identifiable (nom et prénom, âge, photo ou vidéo, etc.), de même que leur transfert vers des États tiers (États-Unis, Chine, Inde, etc.). Cet objectif a été concrétisé par l'adoption d'une première directive en 1995, laquelle a été remplacée par le Règlement général sur la protection des données (RGPD) à partir de 2018 ;
• dans un deuxième temps, le législateur européen a garanti l'exploitation des données détenues par les administrations à partir de 2003 en adoptant la directive sur la réutilisation des données du secteur public. De même, il a facilité la circulation des données non personnelles qui sont, a contrario, les informations "insusceptibles" de se rapporter à une personne physique identifiée ou identifiable (données météorologiques, données de machines, etc.) à travers le Règlement sur la libre circulation des données non personnelles de 2018 ;
• dans un dernier temps, l'UE a encore renforcé son intervention en instaurant des règles pour organiser le partage des données personnelles et non personnelles entre l'ensemble des acteurs publics et privés européens dans le but de devenir la première puissance mondiale dans l'exploitation des données industrielles, à savoir les données issues des secteurs industriels européens tels que l'énergie, la finance, les transports, etc. Pour satisfaire cette ambition, la Commission européenne a adopté le 19 février 2020 une nouvelle stratégie pour les données qui prévoit l'instauration de mesures juridiques, techniques et financières pour développer une économie européenne des données correspondant d'ici à 2030 à son poids économique dans le monde.

Le marché européen des données est la principale concrétisation de la stratégie européenne pour les données et désigne un ensemble de règles, de mécanismes et d'infrastructures organisant le partage des données pour faciliter leur exploitation dans le respect des règles et valeurs européennes. Il s'applique à toutes les données personnelles et non personnelles, quelle que soit leur sensibilité, telles que des données de santé, des données fiscales ou encore des données commerciales. Il s'adresse également à l'ensemble des acteurs européens, qu'il s'agisse des entreprises (jeune pousse, PME, grande entreprise), des particuliers, de la société civile, ou des administrations (État, collectivités territoriales, établissements publics, etc.). Cependant, les règles du marché européen des données varient en fonction du statut du détenteur ou de l'utilisateur des données, ainsi que de la finalité du partage de données. C'est pour cette raison, par exemple, que les règles qui encadrent le partage commercial de données entre des entreprises sont différentes des règles s'appliquant au partage de données entre des entreprises et des autorités publiques pour que ces dernières mettent en œuvre leurs missions de service public.

Le fonctionnement du marché européen des données repose sur des législations qui se répartissent en deux catégories : les règles horizontales et les règles sectorielles. Les règles horizontales ont vocation à s'appliquer à l'ensemble des acteurs européens et sont définies par deux textes principaux : 

• le règlement sur la gouvernance des données (Data Governance Act), entré en application le 24 septembre 2023, instaure un modèle de gouvernance des données à l'européenne fondé sur la séparation des activités de production, d'intermédiation et d'utilisation des données. L'activité de production renvoie à la collecte ou la fourniture de données par des personnes physiques ou morales au cours de leurs activités diverses (internet, analyses médicales, etc.). L'activité d'intermédiation désigne l'accompagnement juridique ou technique des détenteurs et des utilisateurs de données, telle l'entreprise Agdatahub qui est une plateforme de partage de données agricoles et agroalimentaires. L'activité d'utilisation fait référence à l'exploitation des données pour soutenir une prise de décision, ou bien créer des produits et services nouveaux. Ce texte prévoit aussi la création d'un Comité européen de l'innovation dans le domaine des données chargé de superviser son application et de proposer des lignes directrices pour soutenir sa mise en œuvre ;
• le règlement sur les données (Data Act) entre en application le 12 septembre 2025 pour octroyer des droits d'accès aux données des entreprises en vue d'augmenter leur exploitation. L'une des principales mesures qu'il prévoit est d'accorder aux utilisateurs d'objets connectés le droit de pouvoir accéder et partager les données qu'ils génèrent par leur emploi (données produites par des montres, enceintes ou bien véhicules connectés). De même, il permet aux administrations d'accéder aux données des entreprises lorsqu'elles font face à des besoins exceptionnels (pandémie, cyberattaque, catastrophe climatique, etc.).

Les règles sectorielles s'adressent uniquement aux acteurs relevant d'un domaine ou d'un secteur déterminé (tourisme, médias, environnement, finance, etc.). Leur but est d'adapter les réglementations horizontales du marché européen des données aux spécificités des secteurs intéressés pour bâtir des espaces européens de données et favoriser leur partage entre des acteurs qui possèdent des difficultés, des intérêts et des activités similaires. À ce jour, l'illustration la plus aboutie de cette démarche sectorielle est l'Espace européen des données de santé qui met en place des infrastructures, des règles d'accès, de qualité et d'interopérabilité des données, ainsi que des structures de gouvernance spécifiques. 

Les réglementations du marché européen des données doivent, en outre, tenir compte des règles de protection des données personnelles et, notamment, du RGPD. La conciliation entre ces règles peut prendre trois formes principales :

• dans une première hypothèse, les données personnelles sont anonymisées, ce qui a pour conséquence de couper le lien entre les données et les individus. Les données anonymisées deviennent donc des données non personnelles auxquelles les règles sur les données personnelles ne s'appliquent pas. Ce procédé est utilisé, en particulier, dans les politiques de "données ouvertes" (open data) visant à diffuser les données auprès d'un large public ;
• dans une deuxième hypothèse, les données personnelles sont pseudonymisées, c'est-à-dire que l'identification des individus est impossible sans recourir à des informations supplémentaires. Dans ce cas, une personne peut exploiter les données pseudonymisées au sein d'une "bulle informatique" en vue d'obtenir un résultat, sans pour autant accéder directement aux données et en conserver une copie. Ces infrastructures sont particulièrement sollicitées par les chercheurs pour exploiter les données des statistiques publiques ;
• dans une dernière hypothèse, les données personnelles sont exploitées selon des règles spéciales qui dérogent aux règles communes. C'est ce que propose le règlement sur l'espace européen des données de santé qui adapte certaines dispositions du RGPD pour faciliter le partage de ces données dans l'UE entre les différents acteurs de la santé (médecins, administrations, entreprises, citoyens, etc.). 

L'UE et la France développent des politiques ambitieuses en matière de données. Cependant, ces politiques ne sont pas identiques et divergent concernant leur périmètre et leur finalité.

Premièrement, la politique française se concentre sur l'ouverture des données du secteur public qui peuvent se définir comme les données liées à l'exercice des missions de service public comme les décisions de justice, les informations environnementales, les données des transports publics, etc. L'ouverture de ces données procure un avantage à deux catégories de personnes. D'une part, elle bénéficie aux particuliers, aux entreprises et à l'ensemble de la société civile à travers les règles de la communication et de la diffusion des documents administratifs (loi sur la communication des documents administratifs de 1978, loi pour une République numérique de 2016, etc.) ou de la réutilisation des données du secteur public. D'autre part, l'ouverture des données profite aux administrations elles-mêmes avec l'échange de données entre les personnes publiques (loi relative à la différenciation, la décentralisation, la déconcentration et la simplification de 2022, etc.). 

Ce constat doit néanmoins être nuancé car la France impose également l'ouverture d'autres catégories de données, par exemple, les "données d'intérêt général" qui correspondent parfois à des données du secteur privé, à l'instar des données de consommation d'électricité des compteurs Linky. 

À l'inverse, la politique européenne est plus large car elle couvre autant les données du secteur public que privé. Le droit de l'UE régit ainsi des relations de partage de données plus nombreuses et diverses que le droit français, que ce soit entre les entreprises (ventes de données, projet d'innovation, etc.), entre les entreprises et les administrations (accès aux données en cas d'urgence publique, etc.), ou bien entre les particuliers et les entreprises (partage de données pour la recherche scientifique, etc.).

Secondement, la politique française est davantage imprégnée par une finalité de "données ouvertes" qui lui permet d'occuper les premières places dans les classements européens et internationaux en la matière. Les politiques de "données ouvertes" consistent à ouvrir le plus largement possible les données afin d'assurer leur accès et leur exploitation par le plus grand nombre de personnes, ce qui implique d'éliminer les obstacles à leur circulation, qu'ils soient techniques (format, etc.), juridiques (accord d'exclusivité, etc.) ou financiers (tarification des données, etc.). À la différence de la France, l'UE développe une approche orientée sur la valorisation économique et technologique des données et admet que leur exploitation soit conditionnée au respect de certaines exigences. Cette approche se retrouve particulièrement dans les nouveaux textes européens : le règlement sur la gouvernance des données (Data Governance Act), le règlement sur les données (Data Act) et le règlement sur l'espace européen des données de santé.

Il apparaît finalement probable que la politique française s'aligne sur la vision européenne en raison de la primauté du droit de l'UE sur le droit français et du besoin de cohérence entre les règles applicables aux acteurs français.

Les politiques européenne et américaine dans le domaine des données traduisent des cultures juridiques, administratives et politiques différentes. Au contraire de l'UE qui a adopté de nombreuses législations pour définir les règles du partage des données personnelles et non personnelles, les États-Unis se sont contentés de protéger l'utilisation des données personnelles. Ces règles sont toutefois très fragmentées puisque leur application est limitée selon les cas, à un secteur déterminé, à l'image de l'Health Insurance Portability and Accountability Act de 1996 qui réglemente la sécurité et la confidentialité des informations de santé, ou à un État particulier, tel le California Consumer Privacy Act de 2020 qui traite uniquement des données personnelles des consommateurs californiens. 

Malgré cela, la Commission européenne a estimé que les règles américaines offrent des garanties équivalentes au droit de l'UE car elle a adopté une décision d'adéquation permettant de faciliter le transfert des données personnelles des citoyens européens vers les États-Unis (décision du 10 juillet 2023 sur le cadre de protection des données UE - États-Unis). Cette décision d'adéquation est néanmoins la troisième du genre à être adoptée par la Commission européenne étant donné que les deux précédentes ont été invalidées par la Cour de justice de l'Union européenne en 2015 et 2020 en raison de la possibilité pour les autorités américaines de renseignement d'accéder aux données personnelles des Européens (voir les affaires Schrems I et II). 

Le modèle américain connait une autre différence significative par rapport au modèle européen car il laisse à l'initiative privée le rôle d'organiser le partage des données pour satisfaire les diverses finalités de leur exploitation (but commercial, technologique, scientifique, etc.) selon une approche libérale. Cet élément contraste avec la démarche européenne où le partage des données est assuré par les autorités publiques pour satisfaire le plus possible d'objectifs d'intérêt public.