L’association française de droit de l’informatique et de la télécommunication (Afdit) a récemment organisé une conférence sur le thème “le droit comme levier du marché des données” au siège du Conseil national des barreaux (CNB), qui a réuni plusieurs experts de la data.
Après une introduction sur la notion de l’accès aux données, par la présidente de l’Afdit Isabelle Gavanon,Suzanne Vergnolle, maître de conférences en droit du numérique au Cnam, a abordé les enjeux juridiques de l’accroissement de l’accès aux données. Cette dernière travaille à l'intersection du droit, des technologies et des politiques publiques. Auteure d’une thèse sur l'effectivité de la protection des personnes par le droit des données à caractère personnel, elle a également travaillé aux États-Unis sur l'impact des technologies dans nos sociétés et la manière dont le droit doit s'en saisir.
Suzanne Vergnolle a beaucoup travaillé avec Etalab, le service du Premier ministre en charge de l'ouverture et de la réutilisation des données publiques, où elle y a coordonné les développements juridiques de la stratégie française d’Open Data.
Qu’est-ce que la donnée ?
Suzanne Vergnolle a commencé par définir la notion de donnée, qui est apparue dans la législation au fil du temps. En effet, le législateur a opéré un glissement sémantique du terme d’information nominative vers celui de donnée à caractère personnel. Ce changement a, selon elle, permis de faire entrer plus d'éléments dans la notion de donnée à caractère personnel, plus large que celle d’information, et d’augmenter son champ d'application.
Le thème de la conférence, “les données dans tous leurs états”, nécessite de définir “l’état” : en minuscule, c’est la manière d'être d'une personne ou d'une chose ; en majuscule, il s’agit de l'autorité publique à laquelle est soumise un groupement humain vivant sur un territoire donné.
S’agissant des États, ces derniers contribuent à plusieurs titres à la politique des données : ils élaborent et négocient de nouveaux textes européens, d’ailleurs très nombreux, et parfois même les anticipent dans leur droit national.
Les risques de l’anticipation législative au niveau national
Pour Suzanne Vergnolle, le législateur français a donc tendance à anticiper l’action du législateur européen, alors même que les textes européens sont le fruit d’équilibres entre différentes visions nationales et le reflet de la participation des États à l'Union européenne. De ce fait, “il est très dangereux, d'un point de vue juridique, de vouloir anticiper, aller plus loin”, a-t-elle averti. En effet, cela risquerait de créer une fragmentation de l'application du droit au niveau des territoires et de complexifier la mise en conformité des entreprises avec le droit européen. L’autre risque serait que ce dernières se mettent en conformité avec le droit européen mais pas avec le droit français.
En pratique, quand un État veut prendre des mesures potentiellement en conflit avec le droit de l'Union européenne, il doit le notifier à la Commission européenne qui répond sous trois. Sur la loi Influenceur et sur la loi Majorité numérique, la France n'a pas respecté cette procédure de notification, incitant la Commission européenne a ouvrir une enquête à son encontre.
“C'est un appel que je fais au législateur français de faire attention à ne pas vouloir trop anticiper. Et cela, pas uniquement d'un point de vue juridique, mais aussi du point de vue de notre participation à l'Union européenne”, a-t-elle lancé.
Foisonnement législatif européen en matière de données
Ces dernières années ont été marquées par une hausse du nombre de règles en matière de données, impulsée par la Commission Von der Leyen.
Depuis 2016, et l'adoption du Règlement général sur la protection des données (RGPD), les textes qui réglementent leur traitement se sont accélérés : en 2018, le règlement définissant un cadre applicable au libre flux de données non personnelles puis, en 2019, la modification de la directive sur les informations du secteur public.
S’en sont suivis, en 2022, le règlement sur les services numériques et celui sur les marchés numériques (DMA) et, en 2023, le règlement sur la gouvernance européenne des données (DGA). Cette fin d’année marque la phase finale des négociations sur les projets de règlement sur l'intelligence artificielle et celui sur les données, le Data Act. L'adoption finale de ce texte, de plus de 120 pages, est prévu pour novembre prochain. Les règles sont donc longues et nombreuses, mais aussi parfois difficiles à s'articuler entre elles.
Encadrement parfois incohérent de l’internet des objets
Plusieurs thèmes sont traités par le Data Act, notamment l'Internet des objets, ou objets connectés. La volonté du législateur, en la matière, est de stimuler l'économie de l'Union européenne fondée sur les données, libérer les données industrielles pour mieux les utiliser, afin de développer un marché européen du cloud. Ce texte a aussi pour objectif de permettre la circulation des données à l'égard de tiers.
Mais pour la professeure, deux difficultés peuvent potentiellement surgir, l’une en matière de protection des données à caractère personnel et l’autre en matière de protection des droits de propriété intellectuelle ou des secrets d'affaires.
Sur la première difficulté, les objets connectés utilisés par des personnes physiques génèrent des données sur leurs habitudes et, plus globalement, sur elles. Et parce que le droit des données à caractère personnel s’applique donc nécessairement, il en va de même pour celui de confidentialité du droit des données à caractère personnel et celui de minimisation. En découlent alors deux incohérences : une entre le principe de confidentialité et le partage de ces données, l’autre entre le principe de minimisation et la volonté de créer beaucoup de données pour créer beaucoup de valeur.
Le texte ne permet pas de résoudre cette difficulté et énonce seulement que le RGPD s’applique en cas de conflit entre le Data Act et les règles de protection des données.
“On laisse aux États une certaine marge d'appréciation qui, en réalité, questionne sur la mise en pratique et la réalité de cette circulation des données”, a précisé Suzanne Vergnolle .
La deuxième difficulté est liée au principe de protection des droits de propriété intellectuelle ou des secrets d'affaire, qui pourrait restreindre le champ d'application de ce projet de réforme.
Le droit à la portabilité encore difficilement activable
Le RGPD a également créé en 2016 un droit à la portabilité, c’est-à-dire le droit pour les personnes concernées de “recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable de traitement dans un format structuré, couramment utilisé et lisible par machine”. L’objectif est, non seulement de donner accès aux personnes aux données qu’elles ont fournies, mais aussi de leur permettre de les extraire et de les réimporter dans un nouveau service.
Plusieurs recommandations de la Cnil interprètent largement la notion de “données fournies” par l'utilisateur : il s’agit des données “activement“ fournies mais également celles générées et collectées par l’utilisation d’un service ou d’un dispositif, comme un historique de recherche, des données de trafic ou de localisation, etc. Or, les responsables de traitement font très souvent une application restrictive de cette notion. Raison pour laquelle, selon Suzanne Vergnolle, ce droit est difficilement activable, bien qu’encadré par beaucoup de textes récents, dont le Data Act et le règlement sur les marchés numériques, qui tend à imposer aux contrôleurs d'accès de permettre aux utilisateurs d'extraire ces données.
Suzanne Vergnolle, félicitant la volonté du législateur de renforcer le droit à la portabilité, a néanmoins soulevé la question du contrôle de son activation effective et des moyens nécessaires pour s'assurer que les personnes puissent avoir un réel contrôle de leurs données.
