Le « DGA » ou « Data Governance Act » (« Législation sur la gouvernance des données ») est entré en vigueur le 24 septembre 2023.
De quoi s’agit-il et quelles en sont les conséquences pour les entreprises et les autorités publiques ?
Le DGA, c’est quoi ?
Le DGA vise à rendre plus de données disponibles au sein de l’Union européenne et à en faciliter l’utilisation à des fins de recherche ou encore pour créer de nouveaux services ou produits innovants (tels que les systèmes d’intelligence artificielle).
Il s’inscrit dans le plan d’action de la Commission européenne visant à assurer la souveraineté numérique de l’Europe à l’horizon 2030.
Quels sont les objectifs du DGA ?
Les objectifs principaux du DGA sont les suivants :
- Faciliter la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public ;
- Créer des « services d’intermédiation de données » avec un environnement permettant un partage sécurisé de données par les entreprises ou les particuliers ;
- Créer des organismes pratiquant « l’altruisme en matière de données », soit le partage volontaire des données pour le bien commun.
Que faire si vous souhaitez permettre la réutilisation de certaines de vos données ?
En tant qu’organisme du secteur public, vous pouvez choisir d’octroyer ou de refuser l’accès à la réutilisation de vos données, en ce compris les données protégées pour des motifs :
- De confidentialité des informations commerciales ;
- De confidentialité des données statistiques ;
- De protection des droits de propriété intellectuelle de tiers ;
- De protection des données à caractère personnel.
Pour être réutilisées, les données devront cependant être :
- Anonymisées (données à caractère personnel) ; et
- Modifiées, agrégées ou traitées selon toute autre méthode de contrôle de la divulgation (informations commerciales confidentielles y compris les secrets d’affaires et les contenus protégés par des droits de propriété intellectuelle).
Si vous décidez de permettre la réutilisation de vos données, vous devez respecter un certain nombre de règles et notamment :
- Rendre publiques les conditions d’autorisation de la réutilisation et la procédure de demande de réutilisation ;
- Veiller à ce que les conditions applicables à la réutilisation soient non discriminatoires, transparentes, proportionnées, ;
- Veiller à préserver le caractère protégé des données (anonymisation des données à caractère personnel, environnement de traitement sécurisé, …) ;
- Adopter une décision sur la demande de réutilisation des données dans un délai de 2 mois à compter de la date de réception de la demande (éventuellement prolongé de 30 jours en cas de demande exceptionnellement détaillée et complexe).
En contrepartie, vous pourrez percevoir une redevance en échange de la réutilisation de ces données. Elle sera calculée sur base des coûts liés à la procédure de demande de réutilisation, à l’anonymisation etc.
Comment les entreprises peuvent-elles savoir quelles données sont disponibles ?
Un point d’information unique doit être mis en place par la Belgique, pour recenser les données disponibles.
Celui-ci recevra les demandes de réutilisation de données et les transmettra aux organismes du secteur public compétents.
Que faire si vous souhaitez devenir un « service d’intermédiation de données » ?
Le « service d’intermédiation de données » est un nouveau modèle commercial qui fournit un environnement sécurisé dans lequel les entreprises ou les particuliers pourront partager des données. Il s’agit par exemple de plateformes numériques permettant aux entreprises de partager volontairement leurs données avec d’autres entreprises.
Si vous souhaitez vous lancer, vous devez notifier votre intention d’exercer cette activité auprès de l’autorité compétente en matière de services d’intermédiation des données.
Vous devez également respecter certaines conditions, telles que :
- Ne pas utiliser vous-même les données pour lesquelles vous agissez en tant qu’intermédiaire ;
- Mettre en place des procédures pour prévenir des pratiques frauduleuses ou abusives d’accès aux données ;
- Prendre les mesures nécessaires pour garantir un niveau de sécurité approprié pour le stockage, le traitement et la transmission de données.
Qu’est-ce que l’altruisme en matière de données ?
Les entreprises et les particuliers peuvent mettre volontairement à disposition leurs données sans contrepartie pour des objectifs d’intérêt général (projets de recherche médicale par exemple).
Si vous souhaitez devenir une organisation altruiste, vous devez être enregistré dans un registre public et respecter certaines conditions. Entre autres, vous devez :
- Respecter des obligations de transparence et les droits des personnes concernées (consentement, sécurité des données,…) ;
- Établir un rapport annuel d’activité.
Notre conseil :
Le DGA offre de nombreuses opportunités (élaboration de politiques davantage transparentes et efficaces, création de nouveaux emplois, développement de produits et services innovants…) mais soulève également beaucoup de questions pratiques et juridiques.
Si vous souhaitez partager ou utiliser des données publiques, n’hésitez pas à nous contacter pour cerner les différents points à prendre en compte !