DGA et Data Act : développement d’un marché unique de la donnée

L’année 2022 marque l’implication de l’UE dans la prise en compte de l'économie numérique. À ce titre, a été adopté le Data Governance Act et proposé le Data Act visant à créer un marché unique des données.

L’une des six priorités de la Commission européenne pour la période 2019-2024 est en effet le développement d’une Europe adaptée à l’ère du numérique. Au titre de cet objectif, plusieurs actions sont mises en place et, notamment, le développement d’une stratégie européenne pour les données. Cette stratégie vise à placer l’Union européenne en tant que modèle et acteur de premier plan au sein d’une société axée sur les données.

Le Data Governance Act et le Data Act s’inscrivent clairement au sein de cette stratégie élaborée à partir du constat suivant : le volume des données, qui deviennent une composante centrale de l’économie numérique, connaît une croissance exponentielle ces dernières années. Les technologies numériques viennent en effet transformer de plus en plus l’économie et la société en touchant tous les secteurs d’activités et la vie quotidienne.

Parallèlement, l’utilisation des objets connectés augmente considérablement dans le quotidien des Européens et les utilisateurs de ces objets pensent qu’ils devraient détenir des droits sur les données générées. Or ce n’est généralement pas le cas et c’est un point bien souvent flou. Plus encore, les fabricants ne conçoivent pas toujours leurs produits d’une manière qui permettrait aux utilisateurs, professionnels et consommateurs de tirer pleinement profit des données générées, ce qui entraîne une situation déséquilibrée et freine la création de valeurs.

Ainsi, le potentiel de ces données n’est pas exploité en profondeur et plusieurs obstacles s’opposent à cette exploitation parmi lesquels le manque de confiance dans le partage des données, une concentration de leur valeur entre les mains des grandes entreprises, une absence de mécanisme pour permettre leur disponibilité, des difficultés liées à la réutilisation des données du secteur public, etc.

Pourtant ce potentiel économique et sociétal des données est conséquent et pourrait permettre la création de nouveaux produits et services fondés sur des nouvelles technologies, rendre la production plus efficace, fournir des outils pour répondre aux défis sociétaux, faire de l’Europe un moteur d’innovations et de création d’emplois.

D’après la Commission européenne, l’instauration de nouvelles mesures entraînerait une augmentation du volume mondial de données de 530 %, la valeur de l’économie fondée sur les données dans l’Union européenne pourrait passer de 301 milliards d’euros à 829 milliards d’euros. Dans une commune mesure, la Commission européenne envisage l’apparition de 10,9 millions de professionnels des données dans l’Union européenne contre 5,7 millions en 2018.

C’est donc dans ce contexte que sont nés le Data Governance Act et le Data Act avec pour objectif d’« équilibrer le flux et l’utilisation des données tout en préservant un haut degré de protection de la vie privée, de sécurité, de sûreté et d’éthique »,comme l’annonçait Ursula von der leyen lorsqu’elle présentait son programme pour l’Europe le 16 juillet 2019 (Une Union plus ambitieuse - Mon programme pour l'Europe, Orientations politiques pour la prochaine Commission européenne 2019-2024).

Afin de pouvoir étudier quels seraient les impacts juridiques sur les entreprises d’une future économie européenne de la donnée (II.), une revue du Data Governance Act et du Data Act s’impose (I.).

I. Revue du Data Governance Act et du Data Act

Le Data Governance Act

Le Data Governance Act, adopté le 30 mai 2022 et applicable à compter du 24 septembre 2023, vient favoriser le partage des données en mettant en place des structures d’intermédiation. L’idée est d'accroître la disponibilité des données en vue de leur utilisation en rétablissant la confiance dans le partage des données.

Outre la création d’un Comité européen de l’innovation dans le domaine des données qui aura pour objet de conseiller et assister la Commission européenne mais également de renforcer la coopération entre les Etats membres, le règlement s’articule autour de trois volets : la réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public, des exigences applicables aux services d’intermédiation de données et l’altruisme en matière de données.

Ce règlement est donc d’application large puisqu’il concerne non seulement les organismes du secteur public, mais aussi les fournisseurs de services de partage de données (Cloud, réseaux sociaux, plateformes de partage de contenus…) et, plus généralement, toute entité collectant et traitant des données dans un but d’intérêt général.

La réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public

Ce premier volet a pour objectif de permettre la réutilisation de certaines données détenues par le secteur public qui étaient jusqu’alors exclues de la possibilité de réutilisation car protégées pour divers motifs : confidentialité commerciale, protection des droits de propriété intellectuelle de tiers, secret statistique et protection des données à caractère personnel.

Ainsi, le Chapitre II du Data Governance Act a pour ambition la réutilisation de ces données, en instaurant un cadre sécurisant avec des mesures protectrices.

Dans cette perspective, sont interdits les accords d’exclusivité avec pour seule exception la mesure nécessaire à la fourniture d’un service ou d’un produit d’intérêt général. Dans ce cas, diverses obligations s’appliquent, la plus emblématique étant la durée d’exclusivité du droit de réutilisation des données qui ne doit pas dépasser trois ans.

Par ailleurs, les organismes publics doivent rendre publiques les conditions d’autorisation de cette réutilisation, conditions qui doivent être non-discriminatoires, proportionnées et objectivement justifiées. La réutilisation n’est autorisée que dans le respect des droits de propriété intellectuelle.

Les Etats membres sont également tenus de désigner un ou plusieurs organismes compétents afin d’appuyer les organismes du secteur public, accordant l’accès à la réutilisation des données, dans l’exercice de leur tâche.

Enfin, les Etats membres doivent veiller à l’instauration d’un point d’information unique, recensant toutes les informations pertinentes en lien avec les conditions applicables à la réutilisation et à la redevance.

Les exigences applicables aux services d’intermédiation de données

Le règlement définit le « service d’intermédiation de données » comme étant « un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel ».

Certains prestataires de fourniture de services d’intermédiation de données doivent respecter une procédure de notification auprès de l’autorité compétente en matière de services d’intermédiation. C’est notamment le cas des services de coopératives de données.

Les nombreuses conditions liées à la fourniture de ces services sont par ailleurs prévues à l’article 12 dudit règlement. A ce titre et à titre d’exemple :

• Le prestataire ne peut pas utiliser les données pour lesquelles il fournit des services d’intermédiation de données à des fins autres que leur mise à disposition des utilisateurs de données et doit fournir les services par l’intermédiaire d’une personne morale distincte ;
• Le prestataire met en place des procédures pour prévenir les pratiques frauduleuses ou abusives en lien avec des parties cherchant à obtenir un accès via des services d’intermédiation de données ;
• Le prestataire informe sans retard les détenteurs de données en cas de transfert, d’accès ou d’utilisation non autorisés portant sur les données à caractère non personnel qu’il a partagées.

Enfin, chaque État membre doit désigner une ou plusieurs autorités compétentes pour effectuer les tâches liées à la procédure de notification. Ces autorités auront également pour rôle de surveiller et contrôler le respect, par les prestataires de services d’intermédiation de données, des exigences prévues au sein du Chapitre III et notamment son article 12. Elles pourront par exemple exiger la cessation de la fourniture du service d’intermédiation des données dans les cas où il n’est pas remédié à des infractions graves ou répétées malgré l’envoi d’une notification préalable.

L’altruisme en matière de données

Le règlement définit l’altruisme en matière de données comme étant « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national ». Ces objectifs peuvent notamment être les soins de santé, la lutte contre le changement climatique, etc.

Les Etats membres ont la possibilité d’établir des politiques nationales dans le domaine de l’altruisme en matière de données et, si tel est le cas, l’Etat concerné doit le notifier à la Commission.

Pour être admises comme organisations altruistes en matière de données, lesdites organisations doivent remplir certaines conditions et, notamment, exercer leurs activités dans un but non lucratif et être juridiquement indépendantes de toute entité exerçant des activités dans un but lucratif et mener leurs activités altruistes en matière de données par l’intermédiaire d’une structure qui, sur le plan fonctionnel, est distincte de ses autres activités.

Plusieurs obligations sont imposées à ces organisations parmi lesquelles une obligation de transparence. Ainsi, l’organisation altruiste en matière de données doit tenir des registres complets et exacts concernant, par exemple, toutes les personnes physiques ou morales qui se sont vu offrir la possibilité de traiter des données détenues par cette organisation ainsi que leurs coordonnées. L’organisation doit également transmettre à l’autorité compétente un rapport annuel d’activité.

L’article 21 du règlement prévoit de nombreuses exigences spécifiques afin de préserver les droits et intérêts des personnes concernées et des détenteurs de données quant à leurs données. Par exemple, l’organisation fournit des outils permettant d’obtenir le consentement des personnes concernées ou l’autorisation de traiter des données mises à disposition par des détenteurs de données. Parallèlement, l’organisation doit fournir des outils permettant de retirer facilement ce consentement ou cette autorisation.

Le Data Act

Le Data Act est une proposition législative de la Commission européenne, présentée le 23 février 2022. Cette proposition concerne principalement les données industrielles. La volonté de la Commission est de permettre une répartition équilibrée de la valeur des données et compatible avec la nouvelle vague de données industrielles à caractère non personnel et la prolifération des produits connectés à l’internet. Cela permettrait de libérer et tirer profit du potentiel des données industrielles en offrant à des tiers des possibilités de les réutiliser.

Ainsi, plusieurs mesures sont proposées, parmi lesquelles les conditions de mise à disposition pour favoriser et encadrer le partage de données entre les entreprises et les consommateurs . S’ajoute à ces règles l’interdiction des clauses abusives relatives à l’accès aux données et à la réutilisation des données interentreprises. Des mesures propres à la mise à disposition de données pour les organismes du secteur public et institutions, organes ou organismes de l’Union en raison d’un besoin exceptionnel.

D’autres mesures sont également prévues, mettant en place des garanties en matière de données à caractère non personnel dans un contexte international ou instaurant des exigences en termes d’interopérabilité pour les services de cloud.

Là encore et du fait de son objet, le Data Act reste également d’application large puisqu’il concerne tous les acteurs publics et privés du marché de la donnée sur le territoire européen.

Partage de données entre entreprises et consommateurs, interentreprises et conditions de mise à disposition

Le partage de données et les conditions de mise à disposition concernent les rapports entre les entreprises et les consommateurs et les rapports entre les entreprises. Les entreprises ont l’obligation de rendre accessibles les données générées par l’utilisation des produits ou de services liés dès lors que les données générées par leur utilisation sont « facilement, de manière sécurisée et, lorsque cela est pertinent et approprié, directement accessibles à l’utilisateur ».

L’utilisateur peut également demander au détenteur de données de mettre ces dernières à la disposition d’un tiers. À ce titre, le tiers s’engage à diverses obligations et notamment il s’abstient d’utiliser les données à des fins de profilage de personnes physiques ou d’empêcher l’utilisateur de mettre à la disposition d’autres personnes les données qu’il reçoit.

La mise à disposition des données doit être effectuée dans des conditions équitables, raisonnables, non discriminatoires et de manière transparente. Ainsi, lorsqu’une mise à disposition est convenue, le détenteur doit s’abstenir de toute discrimination entre des catégories comparables de destinataires de données.

Une compensation peut être prévue et, dans cette perspective, cette dernière doit être raisonnable.

Interdiction des clauses abusives relatives à l’accès aux données et à la réutilisation des données interentreprises

L’article 13 de la proposition de règlement prévoit l’interdiction des clauses contractuelles abusives qui seraient imposées unilatéralement à une micro, petite ou moyenne entreprise.

D’après la proposition, « une clause contractuelle est abusive si elle est d’une nature telle que son utilisation s’écarte fortement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation de celles-ci, et qu’elle est contraire à la bonne foi et à la loyauté ».

Ainsi, l’article prévoit trois clauses qui sont réputées irréfragablement abusives et cinq clauses qui sont simplement réputées abusives.

Dès lors qu’une clause est réputée irréfragablement abusive, l’entreprise l’ayant imposé ne pourra pas démontrer l’absence de caractère abusif de cette clause et cette dernière ne liera pas l’entreprise qui se l’est vu imposer.

Inversement, lorsqu’une clause est simplement réputée abusive, l’entreprise l’ayant imposé aura la possibilité de démontrer l’absence de caractère abusif de cette clause afin de permettre son application à l’égard de l’entreprise qui se l’est vu imposer.

Par exemple, est irréfragablement abusive une clause qui a pour objet ou pour effet « d’exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave ». Est simplement réputée abusive une clause qui a pour objet ou pour effet de « limiter de manière inappropriée les voies de recours en cas d’inexécution des obligations contractuelles ou la responsabilité en cas de manquement à ces obligations ».

Mise à disposition de données pour les organismes du secteur public et institutions, organes ou organismes de l’Union en raison d’un besoin exceptionnel

La proposition prévoit également l’obligation, pour un détenteur de données, de mettre des données à la disposition d’un organisme du secteur public, d’une institution, d’un organe ou d’un organisme de l’Union démontrant l’existence d’un besoin exceptionnel d’utiliser les données demandées.

L’article 15 prévoit trois hypothèses pour lesquelles un besoin exceptionnel est justifié. C’est le cas notamment si les données sont nécessaires pour réagir à une « urgence publique ».

Il appartient à celui qui en fait la demande de justifier le besoin exceptionnel pour lequel les données sont demandées et d’expliquer la finalité de la demande, l’utilisation prévue des données demandées et la durée de cette utilisation.

LIRE AUSSI >> Google Analytics : un outil non conforme au RGPD

II. Les impacts juridiques d’une future économie européenne de la donnée

Alors que le Data Governance Act ne sera applicable qu’à partir du 24 septembre 2023 et que le Data Act n’en est, pour l’heure, qu’au stade de la proposition, les impacts juridiques d’une future économie européenne de la donnée interrogent.

Ainsi, si le Data Governance Act et le Data Act promettent de favoriser la disponibilité des données et la libération des données industrielles (A.) il convient de ne pas laisser en marge certains points d’alerte (B.).

Disponibilité des données et libération des données industrielles

Une économie européenne de la donnée implique une libre circulation des données au sein de l’Union européenne entre les différents secteurs. Cette libre circulation doit être effectuée dans l'intérêt de tous, en conservant une protection importante des dispositions relatives à la protection de la vie privée, des données et du droit de la concurrence.

Ainsi, le Data Governance Act et le Data Act veillent à instaurer des règles d’accès et d’utilisation des données équitables, pratiques et claires afin de permettre une plus grande disponibilité des données et une libération des données industrielles.

La disponibilité des données a pour ambition de faciliter le partage des données en rendant disponibles des données qui ne l’étaient pas, pour divers motifs, notamment lorsqu’elles sont détenues par le secteur public.

Quant à la libération des données industrielles, elle vise à faire en sorte que des données anciennement concentrées entre les mains des mêmes grandes entreprises puissent se retrouver entre les mains d’utilisateurs, de professionnels, de consommateurs afin de favoriser la maîtrise des données et le développement de l’innovation.

Data Governance Act et disponibilité des données

Le Data Governance Act se veut être un important moteur d’innovation et création d’emplois grâce à l’accroissement de la disponibilité des données. En pratique, cette disponibilité des données implique plusieurs améliorations :

• La possibilité pour le secteur public de transformer ses politiques afin d’aboutir à une gouvernance plus transparente et des services publics plus efficaces ;
• Les entreprises et les particuliers seront en mesure de développer des produits et services innovants grâce aux données de santé, données de mobilité, données environnementales, données agricoles, données de l’administration publique, etc. À titre d’exemple, un partage plus important des données de santé permettrait d’accélérer la sortie de la crise sanitaire mondiale de la COVID-19. De même, un partage plus important des données environnementales laisse à penser qu’une plus grande harmonisation et solidarité pourraient exister dans la lutte contre le changement climatique ;
• Une réduction des coûts d’acquisition, d’intégration et de traitement des données dont les entreprises seront les premières bénéficiaires.
  

Ainsi, les impacts du Data Governance Act semblent être majeurs et permettraient, grâce à une confiance accrue et un soutien affirmé dans la création et le développement, d’apporter des réponses dans des secteurs d’importance au sein de l’Union européenne.

Data Act et libération des données industrielles

Le Data Act est également une opportunité pour les entreprises et pour la société de manière générale. En pratique, la libération des données industrielles implique également divers avantages pour les entreprises et la société :

• À l’heure où les objets connectés et les services liés se multiplient, les utilisateurs ont progressivement l’impression de perdre le contrôle sur les données qui sont générées. Ainsi, le Data Act aurait pour principal impact de renforcer la confiance entre les consommateurs et les entreprises grâce à la mise à disposition des données. Plus encore, l’autorisation accordée aux utilisateurs de transférer les données concernées à des tiers vient également réaffirmer cette confiance ;
• La libération des données industrielles vise à accroître l’accès à l’innovation, comme le veut également le Data Governance Act. Le Data Act vient encourager la circulation des données industrielles à l’égard des entreprises mais également des organismes du secteur public, les institutions, agences ou organes ou organismes de l’Union européenne. À ce titre, lorsque le partage et l’utilisation des données industrielles sont favorisés, alors l’accès à l’innovation s’intensifie. C’est un levier d’importance pour les entreprises ;
• Grâce à la mise en place de conditions de partage équitables, raisonnables et non discriminatoires, le Data Act vise également à renforcer la sécurité juridique. La sécurité est par ailleurs consolidée grâce à la communication d’informations claires et compréhensibles avant la conclusion d’un contrat relatif à l’achat ou à la location d’un objet connecté ou d’un service lié.

Dès lors, une économie européenne de la donnée aurait donc divers impacts en matière de partage, d’innovation, de confiance et de sécurité juridique.

Les points d’alerte

Si une économie européenne de la donnée peut avoir divers impacts intéressants au sein de l’Union européenne, la CNIL et ses homologues (Stratégie européenne pour la donnée : la CNIL et ses homologues se prononcent sur le Data Governance Act et le Data Act) alertent toutefois sur l’articulation entre le Data Governance Act et le Data Act avec le RGPD et sur l’absence de désignation d’autorités compétentes.

Articulation entre Data Governance Act, Data Act et RGPD

Pour une économie européenne de la donnée saine, il est important de veiller à une protection toujours plus efficace des données personnelles. Ainsi, l’EDPB et le CEPD ont rendu un avis conjoint, en mars 2021 sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (Avis conjoint 03/2021 de l’EDPB et du CEPD sur la proposition de règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données). Au sein de cet avis, l’EDPB et le CEPD avaient alerté les colégislateurs afin qu’ils s’assurent que le Data Governance Act et le Data Act ne portent pas atteinte à la protection des données personnelles.

Ainsi, les colégislateurs ont pris acte de cette mise en garde. Dans cette perspective, l’article 3 du Data Act dispose que « le présent règlement est sans préjudice de l’applicabilité du droit de l’Union sur la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 et la directive 2002/58/CE, y compris en ce qui concerne les pouvoirs et compétences des autorités de contrôle ». Par ailleurs, le considérant 4 du Data Governance Act prévoit la même disposition et précise même qu’ « en cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel ou le droit national adopté conformément audit droit de l’Union, le droit de l’Union ou le droit national applicable relatif à la protection des données à caractère personnel devrait prévaloir ».

Si ces dispositions sont textuellement appréciables, il reste qu’en pratique, il sera nécessaire de veiller à ce que les mesures prévues au sein de ces règlements ne portent pas atteinte à la protection des données personnelles.

Par exemple, la CNIL et ses homologues, s’agissant des droits d’accès, d’utilisation et de partage des données que veilleraient à instaurer le Data Act, sollicitent les colégislateurs afin qu’ils proposent des garanties additionnelles pour les personnes concernées.

Ainsi, l’EDPB et le CEPD soulignent au sein d’un avis rendu en février 2022 (EDPB-EDPS Joint Opinion 2/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act)) que l’accès, l’utilisation et le partage de données devra se faire en respectant les dispositions prévues par le RGPD et la Directive « vie privée et communication électronique ». Il s’agira par exemple d’informer les personnes concernées de l’accès des responsables de traitement à leurs données personnelles et de faciliter l’exercice des droits des personnes concernées.

Le CEPD et l'EDPB recommandent également d'inclure dans la proposition des limitations ou des restrictions claires sur l'utilisation des données personnelles générées par l'utilisation d'un produit ou d'un service par toute entité autre que les personnes concernées, en particulier lorsque les données en question sont susceptibles de permettre de tirer des conclusions précises concernant leur vie privée ou comporteraient des risques élevés pour les droits et libertés des personnes concernées.

De même, il est recommandé de définir plus strictement les hypothèses « d’urgence publique » et de « besoin exceptionnel » permettant de mettre des données à la disposition des organismes du secteur public et des institutions de l’Union européenne.

Enfin, les colégislateurs sont invités à suivre les modifications effectuées au sein du Data Governance Act en précisant que la législation en matière de protection des données à caractère personnel prévaut en cas de conflit avec les dispositions prévues au sein de la proposition.

Dans le cadre du Data Governance Act,  les données ne pourront être réutilisées qu’après que l’organisme du secteur public ou l’organisme compétent ait fait en sorte que les données aient été anonymisées en cas de données à caractère personnel et « aient été modifiées, agrégées ou traitées selon toute autre méthode de contrôle de la divulgation dans le cas des informations commerciales confidentielles, y compris le secret d’affaires et des contenus protégés par les droits de propriété intellectuelle ». La mise en pratique de cette disposition interroge, et il conviendra de surveiller la manière dont les organismes du secteur public arriveront ou non à respecter cette obligation.

L’absence de désignation des autorités compétentes

Enfin, la CNIL et ses homologues alertent également les colégislateurs concernant l’absence de désignation des autorités chargées de la protection des données pour l’application du Data Governance Act et du Data Act. Cette absence de désignation risquerait de complexifier l’application des règlements et la cohérence avec le RGPD. Ainsi, les colégislateurs ont néanmoins indiqué que les autorités de protection des données pouvaient être considérées comme les autorités compétentes pour l’application du Data Governance Act et elles devraient également être compétentes s’agissant de l’application du Data Act. Il est naturel de considérer ces autorités comme compétentes dès lors qu’elles veillent à la protection des données et qu’elles sont certainement les mieux placées pour assurer une économie européenne de la donnée saine en cohérence avec la protection des données.

En tout état de cause, le Data Governance Act sera appliqué dès le 24 septembre 2023 et le Data Act devrait suivre une fois que son adoption aura eu lieu. Dès lors que ces deux textes sont des règlements européens, ils sont d’application directe et deviennent automatiquement contraignants dans toute l’Union européenne à compter de la date de leur entrée en vigueur. Il appartiendra donc aux entreprises de s’y conformer immédiatement.

Il reviendra cependant aux Etats membres de déterminer le régime des sanctions applicables aux violations desdits règlements et les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions devront en effet être effectives, proportionnées et dissuasives.

Notamment, s’agissant du Data Governance Act, les Etats membres devront prendre en compte, pour mettre en place ce régime de sanctions, les recommandations du comité européen de l’innovation en matière des données ainsi qu’un certain nombre de critères indicatifs et non-exhaustifs fixés par le règlement lorsque ces sanctions seront applicables aux prestataires de services d’intermédiation et aux organisations altruistes (nature, gravité, ampleur, durée de l’infraction, circonstances aggravantes ou atténuante, avantage financier perçu ou perte évitée, mesures prises pour atténuer ou réduire le préjudice…). Les Etats membres disposent jusqu’au 24 septembre 2023 pour informer la Commission européenne du régime de sanctions déterminé et des mesures prises.

S’agissant du Data Act, les Etats membres disposeront également d'une date limite pour informer la Commission européenne d’un tel régime de sanctions.

En tout état de cause, il sera intéressant de surveiller à moyen terme l’impact pratique de ces règlements en matière de partage, d’innovation, de confiance et de sécurité juridique et vérifier si les promesses vertueuses d’un marché de la donnée européenne régulé sont bel et bien tenues. Il est fort à parier que le régime de sanctions qui sera instauré par les Etats membres sera déterminant quant au respect des dispositions de ces règlements et donc quant à l’impact que ces derniers auront dans la vie quotidienne des entreprises, des administrations et des usagers en termes d’usage et de gestion des données personnelles.

Dès à présent, la Commission donne rendez-vous au Parlement européen, au Conseil et au Comité économique et social le 24 septembre 2025 pour le Data Governance Act, et deux ans après la date d’application du Data Act, pour effectuer un point d’étape permettant d’évaluer les règlements sur divers points. Il s’agira, par exemple, de faire un état des lieux de l’application et du niveau de régime de sanctions établi par les Etats membres pour le Data Governance Act, et d’effectuer une revue des autres catégories ou types de données devant être rendus accessibles pour le Data Act.

LIRE AUSSI >> Directive Omnibus, avancée majeure pour les droits des consommateurs