Data Governance Act : définition, objectifs, enjeux

Juin 8, 2022 | Data Gouvernance

Qu’est-ce que le Data Governance Act ?

Définition du Data Governance Act

Le 6 avril 2022, le parlement européen a approuvé le projet de loi sur la gouvernance de données : le Data Governance Act 2022.

La gouvernance des données est un ensemble de pratiques, de règles de fonctionnement, de rôles et de processus qui facilitent l’appropriation de la donnée au sein de l’entreprise. La mise en place d’une stratégie de gouvernance de données est essentielle pour toutes les organisations traitant de données stratégiques, complexes ou volumineuses, afin de garantir l’efficacité de leur exploitation.

[Livre Blanc] Gouvernance des données : organisation et stratégie à adopter en 2023

Le Data Governance Act, qu’est-ce que c’est ? 

Nous sommes à une époque dans laquelle tout se digitalise, et où des entreprises comme les GAFAM autant que les PME se donnent comme enjeu principal d’améliorer leur capacité à valoriser leurs données. Alors que des réglementations, comme le RGPD, sont déjà en place, l’Union européenne souhaite aller encore plus loin dans l’élaboration d’un cadre légal sur la gestion des données.

L’Union européenne initie sa stratégie avec cette première loi visant à créer un cadre réglementé autour des données, qui respecte les valeurs et les droits fondamentaux européens. L’objectif du Data Governance Act (DGA) est de créer un environnement sûr dans lequel les données peuvent être partagées entre les secteurs et les Etats membres dans l’intérêt de la société et de l’économie. Les membres du parlement voient aussi en cette loi des opportunités pour faire de l’Europe un véritable pôle d’innovation. Les différentes mesures de la loi visent à promouvoir l’accessibilité des données en vue de leur exploitation, à renforcer les mécanismes de partage de données et à améliorer la confiance dans les intermédiaires de données.

Data Governance Act : les mesures et leurs objectifs 

Mise à disposition des données du secteur public

Les mesures concernant les acteurs publics se focalisent sur les données protégées qu’ils détiennent. Ces données sont protégées pour des raisons de confidentialité commerciale, de confidentialité statistique, de protection de propriété intellectuelle ou encore de protection de données personnelles. Pour les rendre plus accessibles, le DGA prévoit que les organismes publics nationaux compétents devront imposer et rendre publiques les conditions juridiques et techniques qui devront être respectées pour réutiliser les données du secteur public.

Ces organismes publics pourront imposer, par exemple, l’obligation d’accéder et de traiter les données dans un environnement de traitement sécurisé fourni et contrôlé par le secteur public, ou même dans les locaux physiques où se trouve l’environnement sécurisé. Ils devront être en mesure de vérifier les résultats obtenus par les utilisateurs de données et pourront interdire l’utilisation des résultats pouvant mettre en danger les droits et intérêts des tiers.

Règlementation du partage de données par les fournisseurs de données

Le Conseil européen souhaite définir un nouveau modèle d’affaires pour les intermédiaires de données afin d’en faire des acteurs qui facilitent le respect des obligations de partages de données et qui assurent aux organisations qu’elles partagent leurs données sans craindre qu’elles ne soient utilisées à mauvais escient ou qu’elles perdent un avantage concurrentiel.

Le Data Governance Act prévoit une série d’exigences imposées aux fournisseurs de données concernant leur propre utilisation des données, le processus d’accès, l’interopérabilité des données et la prévention des comportements abusifs et illicites. Ces mesures visant à accroitre la confiance dans les intermédiaires de données, incluent aussi le devoir de fournir des conseils sur les possibles utilisations des données et les conditions de cette utilisation. Les services d’intermédiation de données devront aider les individus à prendre le contrôle de leurs données et à les partager avec des entreprises de confiance.

Dans l’optique de donner le contrôle de leurs données aux individus, le conseil explique que le partage de données sera géré via des nouveaux outils de gestion de données personnelles ou des portefeuilles de données. Grâce à ces applications, les données pourront être partagées sur la base du consentement de la personne concernée. Pour ces intermédiaires, il sera strictement interdit de tirer profit de ces données, ils pourront en revanche faire facturer leurs services.

Le Data Governance Act prévoit également des certifications pour identifier les fournisseurs de services d’intermédiation de données conformes.

L’altruisme des données

Le Data Governance Act définit l’altruisme des données comme le partage volontaire de données, sans contrepartie, basé sur le consentement des personnes concernées (données à caractère personnel), ou sur les autorisations accordées par d’autres titulaires de données (données à caractère non-personnel) afin de les exploiter à des fins d’intérêt général (santé, environnement, mobilité, statistiques officielles…).

Les organisations dites altruistes sont les organisations à but non lucratifs qui effectuent des activités de data altruisme fonctionnellement séparées de ses autres activités et garantissent une transparence dans la communication des finalités de l’exploitation des données.

Avec l’altruisme de données, l’UE souhaite favoriser le développement d’applications d’intérêt général. De nouvelles réglementations sont prévues pour les organisations d’altruisme de données. Pour être reconnue comme une organisation altruiste, il faudra respecter des exigences de transparences particulières permettant d’être inscrits dans un registre attestant de leur crédibilité.

La création d’un conseil de l’innovation pour assister la commission européenne

La loi sur la gouvernance de donnée prévoit également la création d’un conseil de l’innovation en matière de donnée. La commission européenne sera conseillée et assistée par un groupe d’experts qui seront responsables de formaliser les meilleures pratiques en la matière pour les Etats membres.

Les conséquences et enjeux pour les entreprises du Data Governance Act 

Introduction de garanties de transfert de données non personnelles

Avec ses nouvelles réglementations sur le partage et le contrôle des données, le Data Governance Act introduit des garanties contre le transfert illégal de données non personnelles (similaires à la réglementation du transfert de données personnelles par le RGPD). Cette nouveauté posera un défi intéressant pour les organisations. L’ajout d’une couche supplémentaire de réglementations de données signifie que les organisations devront identifier les données concernées, savoir où elles se trouvent et comment elles sont utilisées.

Renforcement des programmes de confidentialité et de gouvernance

Les nouvelles exigences du Data Governance Act entreront en vigueur d’ici quelques mois, la priorité est de renforcer dès à présent les programmes de protection des données et de gouvernance. Selon le niveau d’acculturation data et le niveau de management des données, les chantiers ne seront pas de même ampleur.

Toute organisation doit s’assurer de connaitre ses données (le type de données, leur emplacement, les processus métiers, les tiers impliqués) et d’optimiser son organisation interne pour assurer le pilotage de la gouvernance de données. Les principes clés de la gouvernance de données peuvent se décliner en 5 chantiers de data management : les référentiels de données, la qualité de données, le tagging de données, l’anonymisation de données et l’organisation de la donnée.

Livre Blanc

Mise en œuvre d'une stratégie 
de qualité des données 

Livre Blanc

Feuille de route d'une stratégie
de Data Management 

Baromètre annuel de la data

Les priorités des décideurs
data en 2022 

Share This