Les experts de la sécurité informatique Charles Cuvelliez et Francis Hayen observent, dans une tribune au « Monde », un changement de stratégie de la Commission européenne, désormais soucieuse de promouvoir l’usage des données plutôt que leur protection, tout en l’encadrant fortement.
Le règlement général sur la protection des données (RGPD) a donné des ailes à la Commission européenne. Après le RGPD, il y aura le Data Act - lien externe ; la directive Open Data - lien externe existe depuis 2019, le Data Governance Act - lien externe, appliqué depuis juin (avec un délai de mise en conformité de 15 mois), et d’autres se préparent. Il y a là un risque de superposition de régulations qui se contredisent, ainsi que des autorités qui les superviseront. On peut craindre un manque de cohérence. Les Etats-Unis nous emboîtent le pas. Mais les nouvelles régulations européennes auxquelles le RGPD s’applique ont un autre but : atténuer, en quelque sorte, les effets du RGPD. Car les données ne sont pas seulement personnelles : elles sont aussi un bien commun qui peut résoudre beaucoup de problèmes.
Le Data Act concerne les données produites par nos appareils ou par les services qui les utilisent. Elles appartiennent à ceux qui les créent, les utilisateurs, et pas seulement aux constructeurs ! Ces derniers devront mettre les données à disposition par l’intermédiaire de l’appareil, et, quand ce n’est pas possible, les envoyer à qui de droit sur demande. En contrepartie, ces données ne pourront pas être utilisées pour mettre au point un produit concurrent. Le RGPD prévoyait un droit de portabilité de ses données personnelles. Mais, en pratique, le manque de formats interopérables ne permettait de les récupérer que pour soi. Ce droit est étendu par le Data Act aux données non personnelles et aux données des personnes morales, et prévoit qu’un utilisateur puisse confier ses données à un tiers. Mais les Big Tech sont maintenus en dehors de cette régulation. Les organismes publics peuvent bénéficier de ces données, à condition de le justifier (urgence publique, service public), mais pas pour des enquêtes de police ou administratives. Il est possible de s’y opposer, si les données sont non disponibles ou si la demande n’est pas conforme au Data Act.
Tiers de confiance
Le Data Act permet donc de changer de prestataire de traitement de données, par exemple sur le cloud. Mais les droits des usagers et les obligations des gestionnaires de cloud en matière de données doivent être spécifiés dans le contrat. La Commission pourra imposer des standards d’interopérabilité. Comme pour le RGPD, les fabricants doivent prévenir toute demande illégale d’autorités hors Union européenne d’accéder aux données, en dehors des cas prévus par les traités d’assistance judiciaire mutuelle. Le Data Governance Act, quant à lui, complète la directive Open Data, active depuis 2019. Celle-ci a déjà imposé le partage et le droit à la réutilisation des données produites par les organismes publics ou les sociétés privées, dans le cadre du service public qu’ils opèrent (par exemple dans le transport ou l’énergie). Il s’agit de données dites à grande valeur ajoutée sociétale, pour autant qu’elles proviennent de services non ouverts à la concurrence ou quand il s’agit d’un service d’intérêt général.
Le Data Governance Act va plus loin pour les données qui ne sont ni tout à fait publiques ni libres de droits, par exemple un contenu commercialement sensible, des données concernant la propriété intellectuelle ou certains types de données personnelles. On anonymisera les données, on recherchera le consentement des ayants droit, on fera attention à la propriété intellectuelle, bref, on contrôlera leur réutilisation, dit le Data Governance Act.
Le Data Governance Act propose la création de tiers de confiance pour l’échange de données entre tous les intervenants possibles – ceux qui les utilisent, ceux dont elles émanent, ceux qui les fabriquent, fonctionnant comme des coopératives (par opposition aux courtiers en données, qui font florès aux Etats-Unis). Tout comme dans le Data Act, tout doit être fait pour empêcher un accès non légal aux données concernées par le Data Governance Act depuis un pays tiers en conflit avec les lois locales ou européennes. Le pays doit offrir les mêmes garanties de protection.
Réguler l’intelligence artificielle
Après le RGPD, qui allait dans le sens de l’absence de partage des données personnelles, ces nouveaux règlements tendent à remettre le partage des données au centre de la régulation, mais en en excluant les Big Tech. Ces régulations en cascade admettent toutefois l’idée que, si l’on partage ses données, on en perd le contrôle parce qu’un tiers les reçoit, et elles sont donc très prescriptives pour encadrer ce partage. Mais il existe une autre approche : celle de données partagées in situ, qui restent sous le contrôle du propriétaire.
Si l’on estime désormais que les données sont un bien commun, il leur faut avoir d’autres vertus que rien ne garantit encore : fiabilité, robustesse (elles doivent continuer à être utiles dans un environnement dégradé), auditables (on doit pouvoir les vérifier), non répudiables quand elles sont produites par un tiers. Seule la régulation sur l’intelligence artificielle commence à se préoccuper de ces questions, avec des inquiétudes sur la qualité des données utilisées pour l’entraînement des robots : leur précision, l’absence de biais, etc. Mais il reste un domaine où la régulation ne court aucun risque d’inflation réglementaire : celle qui cadre la surveillance étatique des données…