Dans le cadre du débat sur la régulation des plateformes, la CNIL offre aux professionnels concernés une perspective économique sur la mise en œuvre de ce nouveau règlement, qui doit s'harmoniser avec le Règlement Général sur la Protection des Données (RGPD).

Pour rappel, ce règlement prévu pour entrer en vigueur le 24 septembre 2023, vise à stimuler un marché de l'intermédiation des données, reposant sur des tiers de confiance qui n'utilisent pas directement les données. Il s'agit d'une alternative aux modèles prédominants actuels, qui posent souvent des problèmes en matière de protection des droits des données personnelles. Cette croissance doit reposer sur une approche équilibrée du partage des données, évitant les excès d'ouverture qui négligent les libertés fondamentales tout en évitant l'immobilisme causé par la méfiance des acteurs, tels que les clients, les utilisateurs de services de données, les uns envers les autres.

Contrairement à certaines opinions, le règlement sur la gouvernance des données concerne souvent, au moins en partie, des données personnelles, y compris les données industrielles qui sont souvent liées, même si elles sont pseudonymisées, aux employés ou aux utilisateurs. La CNIL recommande de s'appuyer sur les garanties bien établies de protection de la vie privée et du secret des affaires pour définir cet équilibre.

La CNIL explique comment appliquer concrètement la règle de neutralité économique des intermédiaires du règlement sur la gouvernance des données afin d'obtenir une certification crédible de "tiers de confiance." Il existe plusieurs modèles d'affaires correspondant à différentes configurations pour les fournisseurs et les clients.
Les organismes publics pourront utiliser les données collectées pour informer leurs décisions et élaborer des politiques basées sur des preuves concrètes, telles que l'amélioration des transports, par exemple.

Le principe fondamental est de mettre à disposition des données sans contrepartie financière, dans un but strictement non commercial, dans le but de bénéficier aux communautés ou à la société dans son ensemble. Ceci vise à rassurer les particuliers ou les entreprises qui fournissent leurs données. Dans cette perspective, un formulaire de consentement commun sera mis en place au sein de l'UE. Il pourra être personnalisé pour répondre aux besoins de chaque secteur et aux objectifs spécifiques.

En ce qui concerne la protection des données, les entités recevant ces données seront tenues d'assurer leur sécurité. Cela comprend des solutions techniques telles que l'anonymisation ou le traitement des données dans des infrastructures spécialisées, gérées et contrôlées par le secteur public, ainsi que la conclusion d'accords de confidentialité juridiquement contraignants que tout utilisateur de données devra signer.

Un mécanisme sera mis en place pour garantir le respect du RGPD et la préservation de la confidentialité commerciale des données à chaque transfert de données à un utilisateur ultérieur. Cette préoccupation en matière de protection s'étendra également aux prestataires de services de partage de données fiables, tels que les « intermédiaires de données » comme les plateformes de données. Ils collaboreront de manière impartiale pour renforcer la confiance et seront soumis à un régime de notification.

Un intermédiaire de partage de données ne sera pas autorisé à utiliser les données à son avantage personnel, comme les vendre à une autre entreprise ou les utiliser pour développer ses propres produits. De plus, il devra respecter des exigences strictes visant à garantir sa neutralité.

En outre, cette activité sera ouverte à la fois aux organisations autonomes fournissant exclusivement des services de partage de données et aux entreprises proposant ces services en parallèle avec d'autres activités. Dans ce cas, la prestation de services de partage de données devra être soigneusement séparée des autres services, et les données et métadonnées acquises ne pourront être utilisées que pour améliorer le service de partage de données.

Enfin, les intermédiaires de données devront notifier leur intention de fournir de tels services à l'autorité publique compétente. Les autorités publiques surveilleront le respect des exigences requises, et la Commission européenne tiendra un registre des intermédiaires de données. La CNIL souligne toutefois l'importance d'apporter une sécurité juridique adéquate lors de la mise en œuvre de ce règlement, en harmonie avec le RGPD. Elle préconise également une vision simple de l'interopérabilité et une action spécifique en faveur de la portabilité pour lutter contre les verrous dans l'économie numérique.

http://data.europa.eu/eli/reg/2022/868/oj

https://www.weblex.fr/weblex-actualite/data-governance-act-dga-ce-qu-il-faut-savoir