Si aucun rôle spécifique n’est formellement confié au DPO ou à tout autre acteur interne de l’organisation, un travail commun s’impose entre DPO, RSSI et DevOps pour sécuriser l’accès aux données et protéger les systèmes. De même, une collaboration entre DPO et CDO s’impose pour mettre en place une bonne gouvernance des données mixtes, dont le délégué pourrait bien devenir, dans les mois à venir, le DPO.

Créer un marché européen des données numériques

Depuis 2019, la Commission européenne élabore une stratégie visant à créer un marché de la donnée numérique aux règles claires. Il s’agit de faciliter l’innovation et d’assurer simultanément une meilleure protection des utilisateurs. En pratique, depuis 2020, on assiste à une inflation législative autour de règlements directement applicables. Des textes longs et complexes sont déjà adoptés comme le RGPD, d’autres sont sur le point de l’être : DMA, DSA, DGA, Data Act, AI Act, ePrivacy.

Au travers de ces derniers textes, on voit se profiler une évolution potentielle du métier de DPO, la donnée numérique étant appréhendée au sens large désormais et non plus seulement en termes de données à caractère personnel. L’objectif du Digital Market Act consiste à rendre plus sain et concurrentiel l’espace numérique, au bénéfice d’utilisateurs privés ou professionnels.
Adopté depuis le 4 juillet 2022, le DMA s’appliquera au plus tard en mars 2023 aux contrôleurs d’accès où que soit situé leur siège. Ces prestataires de services de plateforme essentiels sont identifiés par la Commission européenne comme gatekeeper dès lors qu’ils proposent leurs services dans trois pays membres de l’UE au moins, et réalisent plus de 7,5 milliards d’Euros de recettes annuelles dans l’UE lors de leurs trois derniers exercices.

Ils offrent un moteur de recherche, un partage de fichiers audiovisuels, des réseaux sociaux, systèmes d’exploitation, navigateurs web, services cloud ou publicités en ligne ; les gatekeepers désignés par la Commission de l’UE auront six mois pour se mettre en conformité quant à leurs pratiques d’authentification, paiements et publicités en ligne, profilage client, et interfaces facilitant l’interopérabilité entre les services. Par exemple, nul ne pourra imposer l’usage exclusif de son propre service d’authentification ou de paiement numérique.

Plus de transparence pour les plateformes de services essentiels

La transparence du gatekeeper portera notamment sur ses tarifs publicitaires aux annonceurs et aux éditeurs, ainsi que sur les données utilisées pour mesurer la performance de ses services en ligne. Du coup, tout client pourra vérifier, avec ses propres outils, l’exactitude et la pertinence des mesures fournies par le prestataire de services.

Autre obligation des grandes plateformes de services en ligne, elles devront assurer la portabilité effective des données des utilisateurs finaux et fournir des outils d’accès à ces données en temps réel.

Pour le DPO, cela se traduira par l’entrée de nouveaux flux de données à planifier, car les équipes marketing voudront sans doute y accéder ; ces flux incluent potentiellement des données à caractère personnel auxquelles les règles du RGPD et de la directive ePrivacy devront s’appliquer. En particulier, un consentement préalable nécessaire devra être facilité par la plateforme ; il conditionnera le partage des données mixtes contenant des données à caractère personnel.

On notera que le législateur a prévu l’interdiction d’utiliser les données d’usages professionnels de la plateforme dans le but de concurrencer les services qu’elle délivre elle-même. La Commission de l’UE s’occupera des enquêtes et contrôles des gatekeepers dans l’Union européenne. En cas de non-conformité, elle pourra ordonner des sanctions pouvant atteindre 10% du CA mondial et jusqu’à 20% en cas de récidive.

Des services numériques encadrés par le Digital Services Act

Le Digital Services Act vise à améliorer l’environnement des services en ligne accessibles en Europe, en protégeant les droits fondamentaux des utilisateurs, en luttant contre les contenus illicites, la manipulation et la désinformation, et en harmonisant les règles des États membres.

Adopté le 17 juin 2022 dans sa version définitive, le DSA entrera en application au plus tard le 1er janvier 2024. A qui s’applique le DSA ? Il concerne les fournisseurs de services intermédiaires en ligne, où que soit placé leur siège social. Cela comprend les fournisseurs de services de transport simple, les fournisseurs d’accès aux services, de services de caching, d’hébergement et les moteurs de recherche.

A la clé, de nouvelles règles de responsabilités limitées et de nouvelles obligations sont à prendre en compte, comme la réponse à toute injonction visant à lutter contre un contenu illicite adressée par une autorité judiciaire ou administrative.

Concernant la publicité en ligne, le DSA interdit l’affichage de publicités fondées sur un profilage portant sur des données sensibles, la protection des mineurs pouvant ainsi être renforcée.

Codes de bonne conduite et respect des normes sont encouragés au-delà de l’usage des données personnelles. Ainsi, les dark patterns - ces interfaces utilisateurs conçues pour tromper ou manipuler un utilisateur distant - sont désormais prohibées.

Des sanctions pour non conformité sont prévues ; elles pourront atteindre 6% du CA mondial annuel.

Dotée de pouvoirs d’enquête, la Commission de l’UE contrôlera la conformité au DSA des grands moteurs de recherche et des grandes plateformes. En outre, dans chaque état membre, une autorité sera désignée pour assurer la coordination nationale des services numériques, tandis qu’un nouveau Comité européen des Services Numériques assistera et conseillera les coordinateurs nationaux.

DMA et DSA (Digital Market Act et Digital Services Act) forment deux nouveaux textes européens non focalisés sur les données à caractère personnel. Leurs implications sont fortes en particulier pour le DPO et le professionnel de la publicité en ligne, avec de nouveaux flux de données à encadrer, les organismes émetteurs et récepteurs de données devant s’assurer de leur conformité.

La réutilisation des données numériques encouragée

Le Data Governance Act (DGA) et le Data Act (DA) sont deux autres textes européens en cours d’adoption, très impactant pour le DPO. Les deux portent sur des données mixtes, à caractère personnel et non personnel, pouvant inclure des secrets d’affaires, ou des données en lien avec la protection industrielle.

Afin de placer l’Europe dans la compétition numérique mondiale, la Commission européenne a lancé un vaste programme visant à créer un marché européen unique des données, encourageant la réutilisation des données, et favorisant l’altruisme en matière de données, une troisième voie entre l’exploitation commerciale des données par les géants du cloud et le partage de données gouvernementales en open data.

Parmi les objectifs assumés de l’UE figurent la volonté de promouvoir le leadership européen dans l’économie mondiale des données et de protéger les valeurs et intérêts européens sur le marché numérique.
Le DGA établit les conditions de réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public, en allant au-delà de l’open data. Il propose un cadre juridique pour la fourniture de services d’intermédiation de données et un cadre juridique pour l’altruisme en matière de données.
Adopté le 30 mai 2022 et publié au journal officiel le 3 juin, le DGA entrera en application le 24 septembre 2023.

Un suivi incontournable des autorisations d’accès aux données

Le Data Act complète le DGA pour faciliter l’accès aux données générées par l’utilisateur de produit ou de service, en vue de leur partage avec des tiers comme les fournisseurs de services après-vente ou avec des organismes de service public. L’utilisateur dispose d’un droit d’accès aux données issues de ses usages de produits et services associés. Ces données doivent être facilement et directement accessibles par l’utilisateur, par conception ou via une requête et ce, en toute sécurité.
Proposé en première lecture au Parlement européen le 23 février 2022, le Data Act ne serait applicable qu’à compter de 2024.
De nouvelles définitions entrent en vigueur avec les textes DGA et DA que le DPO prendra en considération. La donnée devient la représentation numérique d’actes, de faits ou d’informations ; son détenteur et son utilisateur disposent d’un droit d’accès licite à des fins commerciales ou non. La notion d’autorisation est introduite comme l’équivalent d’un consentement d’accès aux données à caractère non personnel.
Le partage de données, les services d’intermédiation, la coopérative de données et l’altruisme des données forment autant de notions nouvelles que les DPO doivent s’approprier.
Charge à l’organisme public de respecter les droits de propriété intellectuelle et de protéger ses données en les rendant anonymes, ou pseudonymisées ou en offrant uniquement leur accès sur site. En contrepartie, il a le droit de facturer des redevances transparentes, non discriminatoires, proportionnées et sans restreindre la concurrence. Pour sa part, le ré-utilisateur ne pourra rétablir l’identité des personnes concernées. En cas de violation de données, il faudra notifier l’organisme public qui aura donné l’accès à ses données.
Le DGA encadre les services d’intermédiation de données, notamment dans le cadre de relations commerciales entre détenteurs de données à caractère non personnel et utilisateurs de données. Sa définition du tiers de confiance inclut l’intermédiaire neutre entre détenteurs et utilisateurs de données, entre personnes physiques et utilisateurs et les coopératives de données.

Pour obtenir un label de l’UE et figurer au registre public centralisé de l’UE, il conviendra de se notifier auprès de l’autorité compétente de son état membre et de respecter plusieurs obligations, notamment de faciliter la communication et la collecte de consentement des utilisateurs.

Avec l’altruisme des données, le DGA entend simplifier la délivrance de tels consentements et autorisations pour les données mixtes. Tout comme certaines associations font appel aux dons, faire appel à l’altruisme de la donnée supposera d’être enregistré et labellisé en tant qu’organisation altruiste en matière de données reconnue dans l’UE. Sera éligible toute personne morale poursuivant des objectifs d’intérêt général, exerçant ses activités dans un but non lucratif et juridiquement indépendante de toute activité à but lucratif. Outre quelques obligations de transparence et la tenue d’un registre des usages, il faudra garantir à l’utilisateur l’octroi et le retrait de son consentement à tout traitement, de manière uniforme et conforme au RGPD. Des vérifications et des règles seront suivies aussi pour ce qui concerne l’accès aux données par un pays tiers et leur transfert hors de l’UE.

Le DGA et le DA sont deux règlements qui s’appliqueront sans préjudice du règlement RGPD et de la directive ePrivacy, y compris lorsque les données à caractère personnel et non personnel forment un ensemble inextricable. En cas de conflit ou de contradiction entre le DGA, le RGPD et l’e-Privacy, ces deux derniers prévaudront et il est fort probable qu’il en soit de même pour le Data Act.