L’Union européenne, entre protection et exploitation des données. Priorité depuis 2015, la construction d’une économie européenne des données traduit la mutation numérique des activités humaines. Pour accompagner cette évolution, l’Union européenne met en œuvre une politique sur les données qui navigue entre deux objectifs : garantir la protection des données tout en facilitant leur exploitation. Cependant, il résulte de cette double exigence un cadre juridique ambivalent qui justifie l’adoption d’une vision d’ensemble plus cohérente. Le débat naissant sur la place à accorder à la protection des données personnelles dans l’économie des données illustre très bien ce besoin.
D’un côté, le Règlement général sur la protection des données (RGPD) est applicable depuis mai 2018 et traduit le caractère fondamental que l’Union européenne accorde au respect de la vie privée des individus dans l’espace numérique. Il résulte de son application une définition très large de la notion de donnée personnelle et un encadrement strict de leur collecte et de leurs usages. Chaque utilisation de données personnelles implique par exemple d’informer la personne dont les données sont utilisées ; ou bien d’être fondée sur une base juridique prévue par le RPGD ; ou encore que la finalité d’utilisation de ces données soit déterminée dès le stade de leur collecte, interdisant donc toute utilisation ultérieure autre que celle initialement prévue. S’ajoute plus globalement une série de nombreuses autres obligations d’ordre juridique, technique ou organisationnel, dont l’absence de respect est susceptible d’entraîner l’application de sanction pécuniaire, voire pénale.
D’un autre côté, sous l’impulsion depuis 2020 du commissaire européen Thierry BRETON, un véritable virage politique a été amorcé pour faire de l’Union européenne le chef de file international de l’exploitation des « données industrielles », à savoir l’ensemble des données personnelles et non personnelles détenues par les acteurs industriels européens. Cette action répond à la fois au besoin de maintenir et développer la compétitivité de l’industrie européenne dont la plus-value repose de manière croissante sur l’exploitation des données, mais aussi de bénéficier de l’ensemble des potentialités offertes par les données, qu’elles soient économiques, sociétales ou technologies. Il s’agit d’enjeux très divers comme la capacité des acteurs européens à soutenir la transition écologique ; à développer les technologies numériques futures ; ou bien encore à améliorer les politiques et les services publics. C’est aussi un enjeu géopolitique qui s’impose à l’Union européenne pour exister et peser dans les rapports de forces internationaux où la dimension numérique est amenée à jouer un rôle majeur. Juridiquement, cette initiative se matérialise avec la création d’un marché unique des données, offrant une capacité d’exploitation d’un grand volume de jeux de données, y compris des données personnelles. Tous les acteurs européens seront à terme impactés, indifféremment de leur taille, de leur domaine d’activité, ou bien encore de leur statut public ou privé. C’est donc un vaste mouvement européen pour promouvoir l’exploitation des données qui s’est initié et se concrétisera notamment avec l’adoption d’un Data Governance Act et d’un Data Act, imposant d’ores et déjà de définir une articulation efficace avec la protection des données personnelles.
La nécessité d’une réflexion globale
Pourtant, bien qu’elle soit primordiale, l’articulation juridique de ces deux dynamiques apparaît aujourd’hui très fragile. Sans ambition d’exhaustivité, plusieurs contradictions peuvent être soulignées. Premièrement, une opposition de qualifications. Lorsque le RGPD s’applique par exemple au « responsable du traitement », le projet de Data Governance Act est lui applicable au « détenteur de données » sans faire référence à la définition du RGPD, ce qui est source d’incertitudes juridiques dans l’application croisée de ces textes. Deuxièmement, une opposition d’objectifs. Quand le projet de Data Governance Act vise en partie à multiplier les réutilisations de données, le RGPD impose quant à lui dès la collecte de données personnelles de préciser leur finalité d’emploi, ce qui a pour conséquence de fortement limiter ultérieurement les possibilités de réutilisations, tout en complexifiant leur mise en œuvre. Troisièmement, une opposition de logiques. En responsabilisant de manière indifférenciée chaque acteur, l’obligation de conformité au RGPD est plus facilement assurée par ceux disposant de grandes capacités humaines et financières. À l’inverse, pour les acteurs de taille réduite qui ne disposent pas de ces mêmes capacités, la mise en conformité au RGPD constitue un obstacle à leur participation à l’économie des données. Cette situation est particulièrement problématique pour les PME, start-up, ou encore les collectivités territoriales dont le rôle est pourtant essentiel dans la mise à disposition et l’exploitation des données.
La problématique des « données mixtes », c’est-à-dire des jeux de données comportant à la fois des données personnelles et non personnelles, est symbolique de ces contradictions. Représentant une grande majorité des données susceptibles d’être exploitées, il existe de nombreuses incertitudes sur les règles qui leur sont applicables ou encore sur la compétence à retenir entre les différentes autorités de régulations. Cette situation conduit dans beaucoup de cas à ne pas exploiter ces « données mixtes », soit par crainte d’une non-conformité au RGPD, soit en raison des coûts de mise en conformité qui sont trop élevés et réduisent l’intérêt de les exploiter.
La recherche d’un point d’équilibre
Créer une économie des données nécessite donc au préalable pour l’Union européenne de définir une vision stratégique d’ensemble conciliant les objectifs, souvent opposés, de protection et d’exploitation des données. Parmi les solutions envisageables, l’emploi accru des technologies de protection des données comme l’anonymisation, la pseudonymisation, ou encore la randomisation qui promettent la meilleure conciliation possible. Assorties en effet des garanties adéquates et éventuellement de mécanismes d’indemnisation en cas de défaillances, ces technologies permettent d’accompagner les actions de protection et d’exploitation des données sans affecter leur portée. Toutefois, l’utilisation de ces technologies suppose en amont des investissements très importants et une confiance suffisante des individus, justifiant une réflexion globale avec l’ensemble des acteurs européens.
Il appartient désormais aux co-législateurs européens de faire émerger cette conciliation, ce qui s’apparente à un véritable exercice d’équilibriste, et qui est cependant cruciale car elle impacte directement la capacité des Européens à développer des technologies numériques comme l’intelligence artificielle. Les discussions à venir sur le Data Governance Act, le Data Act, ou bien encore le projet de règlement sur les systèmes d’intelligence artificielle constitueront, à n’en pas douter, une première occasion de clarification.
Antoine Petel, Doctorant en droit de l’Union européenne à l’Université Jean-Moulin Lyon 3 et animateur des webinaires « 2021, nouvelle politique européenne des données » pour le Groupement français de l’industrie de l’information
