Data Governance Act : quel cadre pour les futurs tiers de confiance de la donnée professionnelle ?
Si l’exploitation des données personnelles est devenue monnaie courante, en particulier par les géants du web, c’est encore peu le cas de la data professionnelle. Et pour une fois, la réglementation n’est pas en retard. Adopté en mai 2022, applicable en septembre 2023 dans tous les pays européens, le Data Governance Act prévoit la création d’intermédiaires de confiance pour encadrer et protéger le partage des données des entreprises. Nous avons interviewé notre expert maison, Jean-Sébastien MACKIEWICZ, sur la portée de cette nouvelle réglementation.
- En quoi consiste le Data Governance Act ?
- Que prévoit le Data Governance Act pour favoriser le partage de données professionnelles ?
- En quoi la neutralité des tiers de confiance est-elle importante ?
- Quel serait l’avenir de la donnée professionnelle sans intermédiaire de confiance ?
- Quel est le prochain agenda pour le Data Governance Act ?
En quoi consiste le Data Governance Act ?
Jean-Sébastien MACKIEWICZ. Le Data Governance Act s’inscrit dans le cadre de la stratégie européenne pour les données. Il vise à développer un marché unique de la donnée professionnelle, dans le respect des libertés et des droits fondamentaux portés par l’Union européenne. Plus largement, cette nouvelle réglementation est un pas de plus vers la souveraineté numérique de l’Europe à horizon 2030. Grâce à elle, les entreprises des pays européens pourront échanger leurs données dans un cadre sécurisé, sans avoir à dépendre des services des géants du web, américains (GAFAM) ou asiatiques (BATX).
Que prévoit le Data Governance Act pour favoriser le partage de données professionnelles ?
J.-S. M. Le Data Governance Act prévoit de créer des intermédiaires de confiance (ou tiers de confiance), dont le rôle sera de sécuriser l’échange de data entre entreprises. Ils auront notamment pour mission de garantir l’identité numérique des parties (fournisseur et acquéreur de données), de s’assurer de leur consentement et de protéger l’intégrité de la donnée durant son transfert. Cette nouvelle réglementation définit également ce qu’est un intermédiaire de confiance aux yeux de l’Union européenne. Ce qu’il peut faire bien entendu, mais aussi ce qu’il ne doit pas faire, dans le but de sanctuariser sa neutralité. Par exemple, il sera interdit au tiers de confiance de faire lui-même usage des jeux de données professionnelles en vue de leur revente, sauf pour le compte d’un fournisseur de données qui lui attribuerait explicitement la mission de préparer les données.
En quoi la neutralité des tiers de confiance est-elle importante ?
J.-S. M. Cette neutralité est indispensable pour lever les nombreux freins qui empêchent, encore aujourd’hui, les entreprises d’échanger leur data. Il y a une grande différence entre l’échange de données personnelles et l’échange de données professionnelles. Dans le cas des données personnelles, nous sommes tous ce qu’on pourrait appeler des « ignorants consentants ». Nous acceptons que nos données soient exploitées en échange d’un service, plus ou moins gratuit, sans avoir réellement les moyens de nous assurer que la valeur du « deal » est bien équilibrée.
Dans le cas des données professionnelles, les entreprises ont au contraire bien conscience de leur valeur. Au point de tomber dans l’excès inverse, puisque la plupart a encore le réflexe de garder leur data bien au chaud, plutôt que de chercher à la monétiser dans un cadre maitrisé. Or elles auraient un véritable bénéfice à le faire. L’échange de données entre partenaires, par exemple, ou au sein d’une filière industrielle, permet de créer de nouveaux services, donc de générer de nouveaux revenus, et d’être mieux organisés, donc d’améliorer sa productivité et sa rentabilité.
L’émergence d’intermédiaires de confiance doit permettre aux entreprises d’oser franchir le pas de l’échange de données, en créant un environnement qui leur permette de savoir pourquoi elles le font, avec qui elles le font, dans quel cadre et pour quels bénéfices.
Quel serait l’avenir de la donnée professionnelle sans intermédiaire de confiance ?
J.-S. M. Dans un monde industriel de plus en plus connecté, il devient illusoire de croire qu’il est possible de protéger ses données professionnelles de l’extérieur. Prenons par exemple le cas du secteur de l’agriculture. Beaucoup de matériels que les exploitants agricoles achètent (tracteurs, moissonneuses, etc.) sont désormais des machines connectées. Il y a fort à parier que ces dernières collectent et exploitent des données à l’insu des agriculteurs. En tout cas, le doute est permis. Le Governance Data Act anticipe donc la généralisation d’échanges de données professionnelles « non consenties » en posant dès maintenant un cadre juridique auquel tous les acquéreurs de data devront se conformer.
La création de tiers de confiance évitera aussi que des géants du web non européens ne préemptent le sujet de la donnée professionnelle. La nouvelle réglementation doit permettre aux différentes filières industrielles de s’organiser rapidement pour faire émerger leur propre tiers de confiance, avant que des acteurs globaux ne se positionnent sur leur marché.
Quel est le prochain agenda pour le Data Governance Act ?
J.-S. M. La réglementation sera effective en septembre 2023 dans l’ensemble des pays de l’Union européenne. Désormais, chaque pays doit décider quelle sera l’autorité de contrôle en charge de veiller à son application. En France, cela pourrait être la CNIL ou l’ARCEP. Selon l’autorité de contrôle retenue, il pourra y avoir une précision du cadre. Se pose notamment la question de savoir si les tiers de confiance devront être structurellement détachés de toute autre activité liée à la donnée. Les prochains mois le diront.