Les conséquences pour les personnes publiques du Data Governance Act

Résumé

« La donnée est très loin d’avoir produit tous ses effets, [...] il faut un équilibre entre ouverture et protection. ». Tels étaient les mots du député français Eric Bothorel en synthèse de son rapport public de 2020 en faveur d’une politique publique de la donnée, et qui peuvent résumer l’esprit général de ce dernier : garantir l’accès et la réutilisation de toutes les données de services publics. En effet, les données sont la clé de voute de la transformation numérique. Elles sont des objets de droit depuis l’émergence d’un véritable droit positif de la donnée et font l’objet de qualifications juridiques appelant à des règles diverses selon leur nature. De nombreux textes donnent désormais une définition normative de la donnée notamment au niveau de l’Union européenne comme étant « toute représentation numérique d’actes, de fait ou d’informations et toute compilation de ces derniers, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ». Avec l’informatisation progressive des administrations et des entreprises à partir des années 1970, les traitements de données au format numérique s’intensifient et apparait un double enjeu : celui de protéger les données tout en favorisant leur utilisation à des fins de transparence et de création de valeur économique.

Précisément, certains textes juridiques apparaissent alors pour encadrer la datafication de la société. D’une part en limitant ou interdisant la réutilisation des données comme avec la notion de donnée à caractère personnel, d’autre part en obligeant à leur ouverture avec la notion de donnée publique. Une gouvernance des données apparait alors, conçue comme une mise en balance du respect des droits fondamentaux mais aussi afin de préserver la liberté de traitement des données des personnes morales pour poursuivre leurs objectifs : ordre public et services publics pour les administrations, offre de biens et services et performance économique pour les entreprises.

Dès lors, l’Union Européenne qui ayant la compétence économique et qui avait déjà largement contribué à la transformation numérique de l’économie de ses États membres, a souhaité investir une troisième perspective : favoriser la réutilisation des données pourtant couvertes par certains secrets et impératifs juridiques sans tomber dans l’ouverture totale façon open data de ces dernières. Insistant depuis plusieurs années sur la valeur pouvant être tirée des données notamment détenues par les organismes du secteur public, fut adopté ce 30 mai 2022 un ambitieux règlement européen qui se propose de faire la synthèse entre les impératifs susvisés. Il s’agit du Règlement sur la Gouvernance Européenne des Données (RGED) ou Data Governance Act (DGA).

Le DGA, adopté sur le fondement de l’article 114 du Traité sur le fonctionnement de l’Union Européenne, est un règlement et sera donc d’applicabilité directe sans besoin de transposition par les États membres. S’il contient plusieurs chapitres innovants, un chapitre en particulier intéresse la présente réflexion et il s’agit du chapitre II dédié à la réutilisation des données protégées détenues par les organismes du secteur public (OSP). Il consacre un régime spécial de réutilisation des données protégées et détenues par les OSP, à savoir les données couvertes par la confidentialité commerciale et le secret des affaires, mais également les données personnelles, celles couvertes par le secret statistiques et les données faisant l’objet de droits de propriété intellectuelle d’un tiers. En somme, l’ensemble des données qui, faisant l’objet d’une protection énoncée par la Loi, se voyaient peu échangées ou exploitées à l’extérieur du responsable de ces données, en dépit d’un potentiel de réutilisation notamment économique important tel que souligné par la Commission. Le DGA propose donc un régime juridique visant à concilier la protection et la nécessaire réutilisation de ces données, réutilisation apparaissant juridiquement comme un 3^e régime consacré, entre protection des données et ouverture des données. Ainsi, la présente réflexion se propose d’analyser les conséquences pour les personnes publiques de ce règlement qui entrera en application le 24 septembre 2023. L’étude n’abordera que le contenu de son deuxième chapitre qui est dédiée spécialement à la réutilisation de certaines catégories de données protégées détenues par des OSP et laisse l’analyse des autres chapitres, tout aussi intéressants aux actuels et futurs travaux de la doctrine. Également, l’analyse proposée se concentre sur les conséquences en droit national français, et ne portera en conséquence que sur le cadre juridique en droit administratif français et ses singularités normatives.

Il convient alors d’étudier quelles sont les conséquences de ce nouveau règlement sur les personnes publiques, au regard de la spécificité du droit administratif français et des règles nationales déjà existantes en matière de gouvernance des données. La présente réflexion montrera d’abord les conséquences organiques du règlement avec notamment un secteur public que partiellement concerné (1) avant d’envisager les conséquences matérielles dans la création d’un régime de réutilisation des données protégées sous le contrôle de la Puissance publique (2).