Data Act : la présidence tchèque de l’UE présente un compromis sur l’accès des pouvoirs publics aux données privées

Prague cherche à faire avancer le débat sur la proposition de loi sur les données (Data Act) en présentant un compromis sur le chapitre relatif à la possibilité pour les organismes publics de demander l’accès à des données détenues par le secteur privé.

La présidence tchèque du Conseil de l’Union européenne a présenté un nouveau compromis partiel sur le Data Act concernant le chapitre V. Ce chapitre controversé a pour objet de définir dans quelles conditions les entités publiques peuvent demander l’accès à des données détenues par le secteur privé.

Ce volet de la proposition est l’un des plus controversés, car de nombreux acteurs du monde des affaires et d’autres milieux ont critiqué les dispositions qui y figuraient, estimant qu’elles conféraient des pouvoirs arbitraires et disproportionnés aux organismes publics.

Le compromis trouvé répond à ces critiques en clarifiant le champ d’application et en introduisant des mesures de sécurité. Le document, daté du 5 août, doit être examiné le 5 septembre lors d’une réunion du Groupe « Télécommunications et société de l’information », l’organe technique du Conseil de l’UE en charge du dossier.

Même le titre du chapitre a été modifié pour réduire le champ d’application de toutes les institutions de l’UE à la Commission européenne et aux agences de l’UE uniquement, conformément à l’avis conjoint du Contrôleur européen de la protection des données (CEPD) et du Comité européen de la protection des données (European Data Protection Board, EDPB).

Conformément à la proposition, les organes du secteur public peuvent, dans des cas exceptionnels, utiliser les données détenues par une entreprise privée. La notion de « situation exceptionnelle » a été restreinte à des circonstances imprévisibles et limitées dans le temps et dans leur portée.

Sont à présent incluses dans la définition des urgences publiques les catastrophes naturelles et les catastrophes d’origine humaine, telles que les incidents majeurs de cybersécurité. La situation exceptionnelle en question doit être définie par le droit procédural européen ou national.

Par ailleurs, les autorités publiques peuvent demander l’accès à des données, ainsi qu’aux métadonnées correspondantes, si la transmission de ces dernières dans un certain délai est nécessaire à l’accomplissement d’une tâche spécifique d’intérêt public prévue par la loi pour l’exercice de leurs compétences légales.

Prague a précisé que ces tâches pouvaient être liées aux transports urbains, à la planification urbaine et aux services d’infrastructure. Quoi qu’il en soit, les demandes doivent respecter les principes de proportionnalité, de transparence et de limitation de la finalité, un principe dont l’objectif est de s’assurer que les données ne sont pas traitées de façon incompatible avec l’objectif initial dans le futur.

Le principe de limitation de la finalité s’applique également lorsque les données recueillies sont confiées à un tiers, qui sera soumis aux mêmes obligations qu’un organisme du secteur public, à savoir préserver la confidentialité et l’intégrité des données demandées et protéger les secrets commerciaux.

Le texte précise désormais que les obligations découlant du Data Act ne doivent pas porter atteinte aux obligations prévues par le droit communautaire ou national en ce qui concerne les finalités spécifiques, notamment les statistiques officielles. Les statistiques et la recherche sont les seules finalités dans le cadre desquelles les données peuvent être réutilisées, par dérogation au règlement sur la gouvernance européenne des données et à la directive sur les données ouvertes.

Cette utilisation secondaire des données ne peut avoir lieu que dans l’intérêt public et doit se faire sans but lucratif. Les organisations qui fournissent les données doivent être informées, notamment des mesures prises pour protéger les données personnelles et les secrets commerciaux.

Les exigences auxquelles les organismes publics devront répondre ont été étendues, puisqu’ils devront expliquer l’objectif de la demande, y compris pour l’implication de tiers, préciser quelles métadonnées doivent être transmises et indiquer la base juridique sur laquelle repose une telle demande.

Des mesures de sécurité ont été ajoutées pour les demandes concernant des données à caractère personnel : l’organisme public devra expliquer pourquoi les données à caractère personnel sont requises et quelles sont les mesures mises en place pour les protéger. La requête concernant les données doit être rendue publique, sauf si cela entraîne un risque pour la sécurité publique.

La présidence du Conseil estime que les organismes du secteur public doivent utiliser des données non personnelles dans la mesure du possible. L’organisation qui détient les données doit les rendre anonymes et peut demander une compensation à cet effet, sauf si des données personnelles sont nécessaires pour répondre à la demande.

Si l’anonymisation est impossible, l’organisme public devra prouver que les données demandées sont strictement nécessaires, et des mesures telles que l’agrégation et la pseudonymisation devront être prises.

La présidence tchèque a également ajouté que l’une des conditions du refus de se conformer à une demande de données, au-delà de l’indisponibilité des données réclamées, est le fait que l’organisation n’en a pas le contrôle.

Si l’organisation en possession des données souhaite contester la demande de données, l’affaire sera portée devant l’autorité compétente de l’État membre où l’organisation est établie, mais seulement si une modification de la demande ne peut pas résoudre le litige.

Un nouvel article habilitant l’organisme du secteur public à contester la compensation demandée par l’organisation détenant les données devant l’autorité compétente du pays où l’organisation est établie a également été ajouté.

Enfin, en ce qui concerne le champ d’application, le texte précise désormais que le règlement ne s’applique pas lorsque la sécurité nationale est en jeu.