[Brèves] Adoption d'un avis conjoint sur la loi sur la gouvernance des données par le CEPD et le Contrôleur européen de la protection des données

► Le Comité Européen de la Protection des Données (CEPD) et le Contrôleur européen de la protection des données ont adopté un avis conjoint sur la proposition de loi sur la gouvernance des données dans lequel ils exposent leurs recommandations.

Objectifs. La loi sur la gouvernance des données vise à :

• favoriser la disponibilité des données en augmentant la confiance dans les intermédiaires de données et en renforçant les mécanismes de partage de données à travers l'Union européenne ;
• promouvoir la disponibilité des données du secteur public à des fins de réutilisation, le partage de données entre les entreprises ;
• permettre l’utilisation des données à caractère personnel avec l’aide d’un « intermédiaire de partage de données à caractère personnel » ;
• permettre l'utilisation des données à des fins altruistes.

L’objectif légitime de la loi sur la gouvernance des données est d'améliorer les conditions de partage des données dans le marché intérieur.

Encadrement. La protection des données personnelles est un élément essentiel et intégral de la confiance dans l'économie numérique. Avec cet avis conjoint, le CEPD et le Contrôleur européen de la protection des données invitent les colégislateurs à veiller à ce que la future loi sur la gouvernance des données soit pleinement conforme à la législation de l'Union européenne en matière de protection des données à caractère personnel, favorisant ainsi la confiance dans l'économie numérique et respectant le niveau de protection prévu par le droit de l'Union européenne sous la supervision des autorités de contrôle des États membres de l'Union européenne.

Le CEPD et le Contrôleur européen de la protection des données estiment que le législateur de l'Union européenne devrait veiller à ce que le libellé de la loi sur la gouvernance des données indique clairement et sans ambiguïté que cet acte n'affectera pas le niveau de protection des données à caractère personnel des personnes, pas plus que les droits et obligations énoncés dans la législation sur la protection des données.

Réutilisation des données à caractère personnel détenues par les organismes du secteur public. Le CEPD et le Contrôleur européen de la protection des données recommandent d'aligner la loi sur la gouvernance des données sur les règles existantes en matière de protection des données à caractère personnel énoncées dans le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) et sur la Directive (UE) n° 2019/1024 du Parlement européen et du Conseil du 20 juin 2019, concernant les données ouvertes et la réutilisation des informations du secteur public (N° Lexbase : L6746LQW). Il convient de préciser que la réutilisation des données à caractère personnel détenues par des organismes du secteur public ne peut être autorisée que si elle est fondée sur le droit de l'Union européenne ou des États membres. Ces lois devraient inclure une liste de finalités claires et compatibles pour lesquelles un traitement ultérieur peut être légalement autorisé ou constitue une mesure nécessaire et proportionnée dans une société démocratique pour sauvegarder les objectifs visés à l'article 23 du « RGPD ».

Prestataires de services de partage de données. L'avis conjoint souligne la nécessité d'assurer une information et des contrôles préalables des particuliers, en tenant compte des principes de protection des données dès la conception et par défaut, de la transparence et de la limitation des finalités. Les modalités selon lesquelles ces prestataires de services aideraient efficacement les individus à exercer leurs droits en tant que personnes concernées devraient être clarifiées.

Altruisme des données. Le CEPD et le Contrôleur européen de la protection des données recommandent à la loi sur la gouvernance des données de mieux définir les finalités d'intérêt général d'un tel « altruisme des données ». L'altruisme des données doit être organisé de manière à permettre aux individus de donner facilement, mais aussi de retirer leur consentement.

Compte tenu des risques potentiels pour les personnes concernées lorsque leurs données à caractère personnel pourraient être traitées par des prestataires de services de partage de données ou des organisations d'altruisme des données, le CEPD et le Contrôleur européen de la protection des données considèrent que les régimes d'enregistrement déclaratoire de ces entités, tels que définis dans la loi sur la gouvernance des données, ne fournissent pas une procédure de vérification suffisamment stricte applicable à ces services. Par conséquent, le CEPD et le Contrôleur européen de la protection des données recommandent d'explorer des procédures alternatives qui prévoient une inclusion plus systématique d'outils de responsabilisation, en particulier l'adhésion à un code de conduite ou à un mécanisme de certification.

Contrôle du respect des dispositions. L'avis conjoint comprend également des recommandations sur la désignation des autorités de contrôle comme principales autorités compétentes pour le contrôle du respect des dispositions de la loi sur la gouvernance des données, en consultation avec d'autres autorités sectorielles concernées.

© Reproduction interdite, sauf autorisation écrite préalable