Les organisations altruistes en matière de données sont désormais sous le contrôle de la Cnil. La loi « SREN » (1) désigne la Commission nationale de l’informatique et des libertés (Cnil) comme l’autorité compétente pour l’altruisme en matière de données, au sens de l’article 23 du DGA ou « Data Governance Act » (2).
L’objet du Data Governance Act :
La Cnil, autorité compétente pour l’altruisme en matière de données
Le Data Governance Act met en place un cadre général pour faciliter le partage des données au sein de l’Union européenne. Le but est de garantir à la fois l’accès à de grands volumes de données au profit de l’économie européenne et un contrôle sur les données propre à renforcer la souveraineté numérique au sein de l’Union européenne.
Il s’inscrit, avec le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (dit « Data Act »), dans le cadre de la stratégie européenne pour les données.
- Dans ce but, le Data Governance Act établit :
- • les conditions de réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public ;
- • un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données ;
- • un cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes ;
- • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données.
L'altruisme : favoriser le partage des données au sein de l’UE
La Cnil, autorité compétente pour l’altruisme en matière de données
L’article 2, paragraphe 16 du Data Governance Act définit l’altruisme en matière de données comme « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national […] ».
Ces objectifs d’intérêt général concernent notamment les soins de santé, la lutte contre le changement climatique ou l’amélioration de la prestation de services publics.
Les organisations altruistes en matière de données
La Cnil, autorité compétente pour l’altruisme en matière de données
Les dispositions du chapitre IV « Altruisme en matière de données » du Data Governance Act prévoient que des entités peuvent être enregistrées par l’autorité compétente de l’État membre dont elles dépendent comme « organisations altruistes en matière de données » au sein d’un registre public national.
- Ces organisations doivent satisfaire aux critères suivants :
- • mener des activités altruistes en matière de données ;
- • être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant ;
- • exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif ;
- • se conformer, au plus tard 18 mois après la date d’entrée en vigueur des actes délégués complétant le Data Governance Act, à un recueil de règles qui sera établi pour fixer les exigences en matière d’information des personnes concernées et de sécurité des données, ainsi que des feuilles de route en matière de sensibilisation à l’altruisme en matière de données et des recommandations sur les normes d’interopérabilité.
EXIGENCES DE TRANSPARENCE
La Cnil, autorité compétente pour l’altruisme en matière de données
Ces organisations sont soumises à des exigences de transparence, dont la tenue d’un registre des traitements des données détenues mis en œuvre par des personnes physiques ou morales. Elles doivent également remettre un rapport annuel d’activité à l’autorité compétente nationale.
Ces organisations doivent informer les personnes ou détenteurs de données concernés des caractéristiques des traitements susvisés et leur donner les moyens et outils nécessaires pour leur permettre de donner leur consentement ou autorisation. Ces données ne peuvent être traitées que pour les objectifs autorisés d’intérêt général. Les organisations doivent également assurer un niveau de sécurité approprié des données et informer les détenteurs de données des transferts, accès ou utilisations illicites portant sur les données personnelles qu’elles ont partagées.
La Cnil autorité compétente des organisations altruistes
La Cnil, autorité compétente pour l’altruisme en matière de données
L’article 23 du Data Governance Act prévoit que chaque Etat membre doit désigner une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues et en notifier la Commission européenne.
Ces autorités compétentes ont notamment pour mission l’enregistrement des organisations altruistes en matière de données et la tenue ainsi que la mise à jour du registre public national de ces organisations. Elles doivent contrôler et surveiller le respect par les organisations altruistes en matière de données reconnues des exigences énoncées dans le chapitre IV du Data Governance Act.
Les prochaines étapes
La Cnil, autorité compétente pour l’altruisme en matière de données
- Concernant la France, l’article 57 de la loi SREN a ajouté à la « Loi Informatique et libertés » (4) un nouveau titre IV bis composé de 3 articles (124-1, 124-2 et 124-3) qui disposent que :
- • la Cnil est l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, ainsi que la tenue et la mise à jour du registre public national ;
- • elle traite à ce titre les demandes d’enregistrement formées par les organisations candidates :
- • elle reçoit et instruit toute réclamation formée par des personnes physiques et morales ayant consenti au traitement des données personnelles les concernant ou ayant autorisé le traitement des données non personnelles qu’elles détiennent.
Un décret en Conseil d’Etat doit encore préciser les modalités de la procédure d’enregistrement. D’ores-et-déjà, la Cnil met à la disposition des organisations candidates une adresse électronique dédiée pour répondre à leurs questions (dga@cnil.fr). Elle annonce également qu’elle va progressivement enrichir son site internet de contenus visant à répondre aux interrogations des acteurs de l’altruisme des données (organisations altruistes, personnes concernées, détenteurs de données).
- Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique
- Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données,
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes.
Thomas Cantoni
Avocat, Directeur du département Données personnelles. Conseil
Thomas Cantoni
Avocat, Directeur du département Données personnelles. Conseil
- Phone:+33 (0)7 62 49 97 22
- Email:thomas-cantoni@lexing.law
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale...