Loi sur la gouvernance des données : enjeux et implications

Loi sur la gouvernance des données : enjeux et implications

Par / / 26 minutes de lecture / Conseils en Informatique, Sécurité informatique
5/5 - (4 votes)
FĂªtes des pères
informatique - Promotion standard

Le partage de données entre acteurs publics et privés représente un levier économique considérable pour l’Europe, mais il se heurte depuis des années à un paradoxe : les données existent, les besoins sont réels, et pourtant les échanges restent bloqués par la défiance, le flou juridique et l’absence de cadre opérationnel. Le règlement (UE) 2022/868, dit Data Governance Act (DGA), entré en vigueur le 24 septembre 2023, apporte une réponse structurée à ce blocage. Il ne remplace ni le RGPD ni le Data Act, mais il comble un vide précis : encadrer les conditions dans lesquelles les données peuvent circuler, qui peut jouer le rôle d’intermédiaire, et comment les organisations d’intérêt général peuvent bénéficier de données partagées volontairement. Pour les directions juridiques, les DSI, les DPO et les data offices, ce texte génère des obligations concrètes, des nouveaux rôles à créer et des contrats à revoir. Voici ce qu’il faut comprendre pour agir.

Ce qu’il faut retenir
  • Le Data Governance Act (règlement (UE) 2022/868) est applicable depuis le 24 septembre 2023 : il encadre la réutilisation des données publiques protégées, crée un statut d’intermédiaire de données et organise l’altruisme des données.
  • Il ne remplace pas le RGPD (protection des données personnelles) ni le Data Act (accès aux données générées par les objets connectés), mais s’articule avec eux : toute donnée personnelle reste soumise au RGPD même dans un contexte DGA.
  • Les organisations concernées — secteur public, entreprises, plateformes d’intermédiation, organismes d’altruisme — doivent adapter leurs rôles (steward, data owner, DPO), leurs processus et leurs contrats de partage de données.
  • La neutralité de l’intermédiaire est un principe cardinal du DGA : il ne peut pas exploiter les données qu’il transmet pour son propre compte.
  • Une gouvernance des données solide (catalogue, registre des traitements, politiques de qualité et de sécurité, clauses contractuelles) est la condition opérationnelle pour se conformer au DGA sans paralyser les usages.

De quoi parle la loi sur la gouvernance des données

La notion de gouvernance des données recouvre deux réalités qu’il faut distinguer d’emblée. D’un côté, la gouvernance organisationnelle désigne l’ensemble des processus, rôles, règles, normes et métriques qu’une entreprise met en place pour garantir que ses données sont exactes, fiables, sécurisées et accessibles aux bonnes personnes au bon moment. De l’autre, le dispositif légal européen que constitue le règlement (UE) 2022/868 impose un cadre juridiquement contraignant à certaines catégories d’acteurs et de données. Confondre les deux, c’est soit sous-estimer la portée du règlement, soit surinvestir dans la conformité sur des périmètres qui n’en relèvent pas directement.

Le DGA s’inscrit dans la stratégie européenne pour les données, dont l’ambition est de créer un marché unique de la donnée au sein de l’Union européenne. Son objectif économique est explicite : favoriser l’essor d’un marché de l’intermédiation de la donnée reposant sur des tiers qui n’utilisent pas eux-mêmes les données qu’ils font circuler. En cela, il répond à un constat d’échec : les données existent en abondance dans les administrations, les hôpitaux, les industriels, mais leur réutilisation est bloquée par la défiance entre acteurs, le flou sur les responsabilités et l’absence de tiers neutres crédibles.

Le règlement organise son périmètre autour de trois dispositifs principaux :

  • La réutilisation de certaines données détenues par le secteur public, notamment celles qui sont protégées par des droits de propriété intellectuelle, le secret commercial ou des obligations de confidentialité, et qui ne peuvent donc pas être ouvertes en open data classique.
  • La notification et l’encadrement des services d’intermédiation de données, c’est-à-dire des plateformes ou tiers qui facilitent le partage de données entre fournisseurs et utilisateurs sans exploiter ces données pour leur propre compte.
  • La reconnaissance et l’enregistrement des organisations d’altruisme des données, qui collectent des données auprès de personnes physiques ou d’entreprises pour des finalités d’intérêt général.

Opérationnellement, le DGA définit des obligations précises : notification auprès d’une autorité compétente pour les intermédiaires, conditions techniques et juridiques pour la réutilisation des données publiques, registre européen des organisations altruistes reconnues. En France, la désignation de l’autorité compétente pour superviser ces nouveaux acteurs est en cours de clarification, la CNIL restant l’autorité de référence dès lors que des données personnelles sont impliquées.

Il est également crucial de comprendre que la gouvernance organisationnelle — catalogue de données, rôles de data owner et de steward, politiques de qualité — n’est pas imposée par le DGA en tant que telle, mais elle en constitue le socle opérationnel indispensable. Sans elle, aucune organisation ne peut répondre aux exigences du règlement de façon durable. C’est cette articulation entre cadre légal et maturité organisationnelle qui distingue les entreprises qui subissent le DGA de celles qui en font un avantage compétitif. Pour comprendre comment le DGA se positionne par rapport aux autres textes, il faut d’abord clarifier qui fait quoi dans l’arsenal réglementaire européen.

Gouvernance des données, RGPD, Data Act : qui fait quoi

La confusion entre ces trois textes est l’une des sources d’erreur les plus fréquentes dans les projets de mise en conformité. Chacun répond à une question différente, couvre un périmètre distinct, et génère des obligations qui peuvent se superposer sans se remplacer.

Texte Question centrale Données visées Obligations principales
RGPD (règlement (UE) 2016/679) Comment protéger les données personnelles ? Données personnelles uniquement Base légale, droits des personnes, registre des traitements, DPO, transferts internationaux
Data Governance Act (règlement (UE) 2022/868) Comment organiser le partage et la réutilisation des données ? Données publiques protégées, données personnelles et non personnelles partagées via intermédiaires Notification des intermédiaires, conditions de réutilisation, enregistrement des organismes altruistes
Data Act (règlement (UE) 2023/2854) Qui a le droit d’accéder aux données générées par les objets connectés ? Données non personnelles et personnelles générées par des produits connectés Droit d’accès utilisateur, portabilité, conditions de partage avec les pouvoirs publics

Le RGPD reste le socle de toute politique data dès lors que des personnes physiques identifiables sont concernées. Ses trois obligations fondamentales structurent l’ensemble du droit des données : licéité du traitement (existence d’une base légale parmi les six prévues à l’article 6), transparence et droits des personnes (information, accès, rectification, effacement, portabilité, opposition), et responsabilisation (accountability : registre des traitements, analyses d’impact, DPO, mesures de sécurité). Ces obligations s’appliquent en sus du DGA chaque fois que des données personnelles sont en jeu, ce qui est fréquent : même des données industrielles apparemment neutres peuvent être liées à des salariés ou des usagers, y compris après pseudonymisation.

Le Data Act, applicable depuis septembre 2025, traite d’une question différente : il crée un droit d’accès pour les utilisateurs aux données générées par leurs appareils connectés (machines industrielles, véhicules, objets domestiques) et encadre les conditions dans lesquelles les fabricants peuvent partager ces données avec des tiers ou des pouvoirs publics. Il complète le DGA sur le volet « accès » là où le DGA traite plutôt du « partage organisé ».

Le DGA, lui, ne crée pas de nouveau droit d’accès aux données : il organise les conditions de confiance dans lesquelles le partage peut avoir lieu. Il ne dit pas « vous devez partager » mais « si vous partagez, voici les règles du jeu ». Cette nuance est essentielle pour éviter de surestimer les obligations qu’il génère.

En pratique, une organisation qui reçoit des données de santé pseudonymisées via une plateforme d’intermédiation pour un projet de recherche doit simultanément : respecter le RGPD (base légale, droits des patients, registre), vérifier que l’intermédiaire est notifié au titre du DGA, et s’assurer que les conditions de réutilisation des données publiques sont respectées si ces données proviennent d’un hôpital public. Les trois textes coexistent, et c’est précisément cette superposition qui exige une gouvernance organisationnelle robuste. Reste à savoir qui, concrètement, est concerné par le DGA et quelles données il vise.

Qui est concerné et quelles données sont visées

Le DGA ne s’adresse pas à toutes les organisations de la même façon. Il identifie quatre grandes catégories d’acteurs, chacune avec des obligations spécifiques.

  • Les organismes du secteur public (administrations, établissements publics, collectivités) qui détiennent des données protégées — par des droits de propriété intellectuelle, le secret statistique, des obligations de confidentialité commerciale — et qui souhaitent les rendre disponibles à des fins de réutilisation sans les ouvrir en open data classique.
  • Les fournisseurs de services d’intermédiation de données : plateformes, places de marché de données, services de courtage, qui facilitent les échanges entre détenteurs et utilisateurs de données sans exploiter eux-mêmes ces données.
  • Les organisations reconnues d’altruisme des données, entités à but non lucratif qui collectent et mettent à disposition des données pour des finalités d’intérêt général (recherche médicale, mobilité, environnement).
  • Les entreprises et individus qui souhaitent réutiliser des données du secteur public protégées ou partager leurs propres données via un intermédiaire enregistré.

Sur la question des données visées, le DGA adopte une approche hybride. Il couvre à la fois les données personnelles et les données non personnelles, ainsi que les données sensibles au sens large (données de santé, données judiciaires, données industrielles confidentielles). Cette hybridité est une source de complexité opérationnelle majeure : une même base de données peut contenir des données personnelles soumises au RGPD, des données commercialement sensibles protégées par le secret des affaires, et des données non personnelles relevant du Data Act.

Les données non personnelles méritent une attention particulière. Contrairement à une idée reçue, elles ne sont pas « libres de droits » par défaut. Des données industrielles sur les performances d’une machine peuvent être protégées par le secret des affaires. Des données de mobilité agrégées peuvent, par recoupement, permettre de réidentifier des individus — ce qui les fait basculer dans le périmètre RGPD. L’anonymisation doit être robuste et documentée pour sortir définitivement du champ des données personnelles.

Les cas d’usage typiques illustrent la diversité des situations :

  • Un hôpital public qui souhaite mettre à disposition des données de santé pseudonymisées pour la recherche sans les publier en open data.
  • Une collectivité territoriale qui détient des données de mobilité issues de capteurs urbains et veut les partager avec des start-ups de la mobilité via un intermédiaire certifié.
  • Un industriel du secteur automobile qui accepte de partager des données de télémétrie avec un équipementier via une plateforme neutre.
  • Un citoyen qui consent à partager ses données de santé connectée avec un organisme de recherche reconnu.

Dans tous ces cas, la question de la classification des données est préalable à toute décision de partage. Un catalogue de données à jour, avec des niveaux de sensibilité clairement définis, est la condition sine qua non pour évaluer ce qui peut être partagé, sous quelles conditions, et avec quelles protections. Cette logique de classification conduit directement aux règles spécifiques applicables aux données du secteur public.

Réutilisation des données du secteur public : ouverture sous conditions

Réutilisation des données du secteur public: ouverture sous conditions

Le chapitre II du DGA constitue l’une des avancées les plus significatives du règlement pour les acteurs publics. Il ne porte pas sur l’open data au sens classique — déjà régi par la directive européenne sur les données ouvertes — mais sur une catégorie intermédiaire : les données protégées détenues par des organismes publics qui ne peuvent pas être librement publiées mais qui présentent un intérêt pour la recherche, l’innovation ou l’intérêt général.

Concrètement, sont visées les données publiques protégées par :

  • Des droits de propriété intellectuelle de tiers (bases de données sous licence, contenus protégés).
  • Des obligations de confidentialité commerciale ou statistique.
  • Des règles de protection des données personnelles (RGPD).
  • Des considérations de sécurité nationale ou d’ordre public.

Le DGA n’oblige pas les organismes publics à partager ces données, mais il leur impose, s’ils choisissent de le faire, de respecter un cadre précis. Les garde-fous opérationnels incluent : la mise en place de conditions techniques garantissant la confidentialité (accès dans des environnements sécurisés, interdiction de réexportation des données brutes), l’anonymisation ou la pseudonymisation préalable lorsque c’est possible, et la délivrance d’autorisations individuelles assorties de conditions d’usage strictes.

Les implications pratiques pour les organismes publics sont substantielles. Ils doivent :

  • Créer ou mettre à jour un catalogue de données distinguant les données ouvertes, les données protégées réutilisables sous conditions et les données non partageables.
  • Définir une procédure d’instruction des demandes de réutilisation, avec des délais et des critères d’évaluation.
  • Mettre en place des environnements d’accès sécurisés (data rooms, espaces de confiance) pour les données les plus sensibles.
  • Documenter les autorisations accordées et les conditions associées dans un registre interne.

Un point de vigilance important : lorsque les données concernent des personnes physiques, l’anonymisation doit être irréversible pour sortir du périmètre RGPD. La pseudonymisation, elle, ne suffit pas — les données restent des données personnelles et les obligations du RGPD continuent de s’appliquer, y compris en matière de transferts internationaux. La CNIL a publié des lignes directrices sur ce point, et toute organisation qui considère ses données comme « anonymisées » sans analyse rigoureuse s’expose à un risque de requalification.

L’enjeu central du DGA sur ce volet est de trouver l’équilibre entre une ouverture excessive — qui exposerait des données sensibles ou violerait le secret des affaires — et une immobilité liée à la défiance, qui priverait la recherche et l’innovation de ressources précieuses. Cet équilibre ne se décrète pas : il se construit par des processus, des contrats et des contrôles. C’est précisément le rôle des intermédiaires de données d’y contribuer.

Intermédiation de données : encadrer les plateformes de partage

Le chapitre III du DGA crée un statut réglementé d’intermédiaire de données, fondé sur un principe cardinal : la neutralité. Un intermédiaire au sens du DGA est une entité qui facilite le partage de données entre fournisseurs et utilisateurs sans exploiter ces données pour son propre compte. Ce n’est pas un courtier qui achète et revend des données, ni une plateforme qui les agrège pour alimenter ses propres services : c’est un tiers de confiance dont la valeur repose précisément sur le fait qu’il ne tire pas parti des données qu’il fait transiter.

Cette définition exclut d’emblée certains modèles d’affaires courants. Une plateforme de cloud qui utilise les données de ses clients pour améliorer ses algorithmes ne peut pas prétendre au statut d’intermédiaire DGA. Une place de marché de données qui achète des jeux de données pour les revendre non plus. En revanche, un service qui connecte des hôpitaux avec des laboratoires de recherche en gérant les conditions d’accès sans accéder lui-même aux données cliniques entre dans le périmètre.

Les obligations des intermédiaires notifiés sont structurantes :

  • Notification préalable auprès de l’autorité compétente nationale avant le début de l’activité.
  • Séparation structurelle entre l’activité d’intermédiation et toute autre activité commerciale utilisant des données.
  • Transparence sur les conditions d’accès, les tarifs et les modalités de traitement des données.
  • Sécurité : mesures techniques et organisationnelles adaptées au niveau de sensibilité des données transitant par la plateforme.
  • Portabilité : faciliter le changement de fournisseur pour éviter les effets de verrouillage, un point particulièrement souligné dans les travaux préparatoires au DGA.
  • Non-utilisation des données pour son propre compte, y compris à des fins d’entraînement de modèles d’IA.

Pour les entreprises qui partagent ou achètent des données via ces plateformes, le DGA change concrètement plusieurs choses. D’abord, elles peuvent désormais vérifier si leur intermédiaire est bien notifié — ce qui constitue une garantie minimale sur sa neutralité et sa fiabilité. Ensuite, les contrats de partage de données doivent intégrer des clauses spécifiques sur l’usage autorisé des données, les conditions de sécurité, les modalités de résiliation et la portabilité. Enfin, la question de la tarification reste libre selon le DGA — le texte recommande de préserver la liberté tarifaire pour les échanges de données — mais les conditions doivent être transparentes et non discriminatoires.

Plusieurs modèles d’affaires sont possibles pour les intermédiaires : facturation à la transaction, abonnement, modèle freemium pour les petits volumes, ou encore modèle coopératif dans lequel les fournisseurs de données sont aussi parties prenantes de la gouvernance de la plateforme. Le DGA adopte une posture de neutralité par rapport au modèle retenu, ce qui laisse une liberté d’innovation commerciale réelle, à condition que la neutralité vis-à-vis des données soit préservée.

La sécurité juridique reste un chantier ouvert : les intermédiaires ont besoin d’une vision claire de leurs obligations RGPD lorsque les données personnelles transitent par leur plateforme (sont-ils responsables de traitement, sous-traitants, ou les deux selon les flux ?), d’une vision simple de l’interopérabilité technique entre plateformes, et d’un cadre clair pour les transferts internationaux de données. Ces besoins ont été identifiés dès les travaux préparatoires et restent des points de vigilance actifs pour 2025-2026. Le partage de données ne se limite pas aux acteurs commerciaux : il existe aussi une voie altruiste, encadrée par le DGA, pour les organisations qui partagent des données au service de l’intérêt général.

Altruisme des données : partager pour l’intérêt général

Le chapitre IV du DGA introduit un concept novateur dans le droit européen : l’altruisme des données. Il désigne la mise à disposition volontaire de données — par des personnes physiques ou des entreprises — pour des finalités d’intérêt général, sans contrepartie financière directe. La recherche médicale, la lutte contre le changement climatique, l’amélioration des services de mobilité ou la sécurité publique sont des exemples de finalités éligibles.

Pour bénéficier d’une reconnaissance officielle, les organisations altruistes des données doivent :

  • Être constituées sous forme d’entité à but non lucratif.
  • Séparer structurellement leurs activités altruistes de toute activité commerciale.
  • S’enregistrer auprès de l’autorité compétente nationale et figurer dans le registre européen des organisations altruistes reconnues.
  • Publier une politique d’altruisme des données précisant les finalités poursuivies, les types de données collectées, les conditions d’utilisation et les mesures de protection.
  • Rendre compte annuellement de leurs activités.

Les conditions de confiance sont au cœur du dispositif. Pour qu’une personne physique consente à partager ses données de santé, de mobilité ou de consommation énergétique avec une organisation altruiste, elle doit avoir la garantie que ces données ne seront pas utilisées à d’autres fins, ne seront pas revendues, et pourront être retirées à tout moment. Le DGA impose donc un consentement éclairé, révocable, et une traçabilité complète des usages.

Du point de vue du RGPD, le consentement à l’altruisme des données ne constitue pas automatiquement une base légale suffisante pour tous les traitements envisagés. Si les données partagées sont des données personnelles — ce qui est souvent le cas pour les données de santé ou de mobilité — les obligations du RGPD s’appliquent intégralement : information des personnes, limitation des finalités, durée de conservation, droits d’accès et d’effacement. L’organisation altruiste peut être à la fois responsable de traitement au sens du RGPD et organisation enregistrée au titre du DGA.

Les points d’attention opérationnels pour les organisations qui envisagent ce statut sont nombreux :

  • La gouvernance interne doit être irréprochable : conseil d’administration indépendant, séparation des activités, politique de conflits d’intérêts.
  • La traçabilité des usages doit être assurée techniquement : journaux d’accès, contrôles d’usage, audits réguliers.
  • Les formulaires de consentement doivent être clairs, spécifiques et distinguer les différentes finalités possibles.
  • La sécurité des données collectées doit être au niveau des données les plus sensibles traitées.

L’altruisme des données représente une opportunité réelle pour les acteurs de la recherche et de la santé publique, mais aussi un risque de réputation significatif en cas de manquement. Un incident de sécurité sur des données de santé partagées volontairement par des citoyens aurait des conséquences bien au-delà du domaine juridique. C’est pourquoi la mise en place d’une gouvernance des données solide n’est pas une option mais un prérequis, dont les piliers méritent d’être examinés en détail.

Les piliers d’une gouvernance des données conforme et efficace

La gouvernance des données est souvent présentée comme un projet technique ou réglementaire. Elle est en réalité un projet organisationnel, dont la réussite dépend autant de la clarté des responsabilités que de la qualité des outils. Pour 2025, plusieurs facteurs rendent cette gouvernance indispensable au-delà de la seule conformité : la montée en puissance de l’IA générative, la multiplication des sources de données (cloud, IoT, partenaires externes), et le durcissement des réglementations européennes. En l’absence de gouvernance solide, les risques sont concrets : résultats biaisés dans les projets d’IA, hausse des coûts de stockage, augmentation des risques de non-conformité et décisions fondées sur des données erronées.

Les quatre piliers d’une gouvernance efficace, alignés sur les exigences légales et opérationnelles, sont les suivants :

1. Qualité des données — Elle recouvre l’exactitude, la cohérence, la complétude et la fraîcheur des données. Sans qualité, aucun partage n’est possible : une donnée erronée partagée avec un tiers engage la responsabilité du fournisseur. Les processus de contrôle qualité doivent être documentés, automatisés autant que possible, et rattachés à des indicateurs mesurables.

2. Organisation et structuration — Cela inclut le catalogue de données (inventaire des actifs data avec leurs métadonnées, leur niveau de sensibilité et leurs règles d’usage), la classification des données (personnelles, non personnelles, sensibles, confidentielles, ouvertes), et l’attribution des rôles : le data owner est responsable métier d’un domaine de données, le steward en assure la qualité et la conformité au quotidien, le DPO supervise les traitements de données personnelles.

3. Protection et conformité — Elle englobe la sécurité technique (chiffrement, contrôles d’accès, journalisation), la conformité réglementaire (RGPD, DGA, Data Act), les analyses d’impact sur la protection des données (AIPD/DPIA) pour les traitements à risque, et la gestion des incidents. Le registre des traitements est l’outil central de cette dimension : il doit être à jour, accessible au DPO et aux autorités de contrôle.

4. Accessibilité et interopérabilité — Les bonnes données doivent être accessibles aux bonnes personnes au bon moment, avec les bons niveaux de droits. Cela implique des politiques d’habilitation claires, des API documentées, et une attention particulière à la portabilité pour éviter les effets de verrouillage — un point expressément visé par le DGA.

Les bénéfices d’une gouvernance maîtrisée sont documentés : amélioration de la confiance dans les données, réduction des coûts liés aux redondances et aux erreurs, accélération des projets d’IA et d’analytique avancée, et soutien d’une culture data-driven dans l’organisation. Ces quatre piliers constituent le socle sur lequel repose la mise en œuvre concrète des obligations légales.

Mise en œuvre : rôles, documents, contrats et contrôles

Passer de la théorie à la pratique suppose une feuille de route structurée, avec des livrables précis et des responsabilités clairement attribuées. Voici les étapes clés et les documents à produire pour une organisation soumise au DGA.

Cartographie et classification des données — C’est le point de départ. Sans inventaire précis des données détenues, de leur origine, de leur niveau de sensibilité et de leurs flux, aucune décision de partage ne peut être prise en connaissance de cause. La classification doit distinguer au minimum : données personnelles (RGPD), données personnelles sensibles (article 9 RGPD), données confidentielles non personnelles (secret des affaires), données ouvertes, et données réutilisables sous conditions (DGA).

Registre des traitements et documentation DGA — Le registre des traitements RGPD doit être complété par une documentation spécifique DGA : liste des données partagées via des intermédiaires, conditions d’autorisation pour la réutilisation de données publiques, et registre des consentements pour l’altruisme des données. Ces documents doivent être maintenus à jour et cohérents entre eux.

Contrats de partage de données — Tout échange de données avec un tiers doit être encadré contractuellement. Les clauses minimales à inclure sont :

  • Définition précise des données partagées et de leur niveau de sensibilité.
  • Finalités autorisées et interdiction d’usage à d’autres fins.
  • Obligations de sécurité (chiffrement, contrôles d’accès, notification des incidents).
  • Conditions d’anonymisation ou de pseudonymisation.
  • Durée de conservation et conditions de destruction.
  • Clause de portabilité et conditions de résiliation.
  • Régime de responsabilité en cas de violation.
  • Dispositions sur les transferts internationaux si applicable.

Articulation DPO / DSI / data office — Le DPO est responsable de la conformité RGPD et doit être consulté sur tout nouveau flux de données personnelles. Le data office (ou data governance office) pilote la gouvernance organisationnelle : catalogue, qualité, politiques. La DSI assure la mise en œuvre technique : sécurité, API, environnements d’accès. Ces trois fonctions doivent travailler en coordination, avec des processus clairs pour les arbitrages (par exemple : une demande de partage de données déclenche une évaluation conjointe DPO/data office avant validation).

Évaluation des risques et audits — Les AIPD (analyses d’impact sur la protection des données) sont obligatoires pour les traitements à risque élevé au sens du RGPD. Au-delà, une évaluation des risques spécifique au partage de données doit couvrir : risque de réidentification, risque de détournement d’usage, risque lié à la dépendance à un intermédiaire unique, et risque lié aux transferts vers des pays tiers. Des audits réguliers — internes ou externes — permettent de vérifier l’efficacité des mesures en place.

Indicateurs de pilotage — Une gouvernance sans métriques est une gouvernance aveugle. Les indicateurs clés à suivre incluent : taux de complétude du catalogue de données, nombre de demandes de réutilisation instruites et délai de traitement, nombre d’incidents de sécurité liés aux données partagées, taux de conformité des contrats de partage aux exigences DGA/RGPD. Ces indicateurs doivent être reportés régulièrement à la direction et, pour les données personnelles, au DPO. Une feuille de route solide permet d’anticiper les risques plutôt que de les subir.

Risques, sanctions et points de vigilance pour les organisations

Le DGA ne prévoit pas de sanctions directement comparables aux amendes RGPD (jusqu’à 4 % du chiffre d’affaires mondial). Mais l’absence de sanction financière spectaculaire ne signifie pas l’absence de risque. Les conséquences d’un manquement peuvent être indirectes mais substantielles.

Les risques opérationnels les plus fréquents sont :

  • Fuite de données : un intermédiaire non conforme ou un environnement d’accès insuffisamment sécurisé peut exposer des données sensibles, déclenchant une violation au sens du RGPD et une obligation de notification à la CNIL dans les 72 heures.
  • Réidentification : des données présentées comme anonymisées peuvent permettre, par recoupement avec d’autres sources, d’identifier des personnes physiques. Ce risque est particulièrement élevé pour les données de mobilité, de santé ou de consommation énergétique. La CNIL a rappelé à plusieurs reprises que l’anonymisation doit être évaluée au regard des moyens de réidentification raisonnablement disponibles.
  • Usage non conforme : un utilisateur de données réutilisées dépasse les finalités autorisées dans l’acte d’autorisation ou le contrat de partage. La responsabilité du fournisseur peut être engagée s’il n’a pas mis en place les contrôles adéquats.
  • Dépendance à un intermédiaire unique : sans clause de portabilité et sans alternative, une organisation peut se retrouver captive d’une plateforme, avec des coûts de sortie prohibitifs. Le DGA vise précisément à lutter contre ce risque.
  • Transferts internationaux non encadrés : si des données transitent via un intermédiaire dont les serveurs sont localisés hors de l’UE, les règles sur les transferts internationaux du RGPD (clauses contractuelles types, décisions d’adéquation) s’appliquent. L’ignorance de la localisation des données est un risque en soi.

Les bonnes pratiques de mitigation comprennent :

  • Vérifier systématiquement la notification DGA des intermédiaires avant tout contrat.
  • Documenter les analyses d’anonymisation et les faire valider par le DPO.
  • Inclure des clauses d’audit dans les contrats de partage de données.
  • Mettre en place des contrôles d’usage techniques (journaux d’accès, alertes sur les comportements anormaux).
  • Former les équipes métier aux règles de réutilisation et aux signaux d’alerte.

La CNIL reste l’autorité de référence en France pour tout ce qui touche aux données personnelles dans un contexte DGA. Elle peut être saisie en cas de litige, et ses lignes directrices sur l’anonymisation, la pseudonymisation et les transferts internationaux constituent des références pratiques indispensables. Pour les données non personnelles, la désignation des autorités compétentes au titre du DGA est encore en cours de consolidation au niveau national, ce qui crée une incertitude juridique à surveiller. Ces risques deviennent concrets dans les situations opérationnelles quotidiennes que rencontrent les organisations.

Exemples concrets : partager, réutiliser, monétiser sans sortir du cadre

Exemples concrets: partager, réutiliser, monétiser sans sortir du cadre

Scénario 1 : la collectivité territoriale et les données de mobilité

Une métropole collecte des données de déplacements issues de capteurs urbains et de validations de transports en commun. Ces données sont partiellement personnelles (données de déplacement liées à des cartes nominatives) et partiellement non personnelles (flux agrégés). La collectivité souhaite les partager avec des entreprises de mobilité pour développer des services de covoiturage et d’optimisation des transports.

Le bon modèle : passer par un intermédiaire notifié au titre du DGA, qui gère les conditions d’accès et garantit que les entreprises ne reçoivent que des données agrégées et anonymisées. Les données nominatives restent dans un environnement sécurisé accessible uniquement sur demande motivée et après AIPD. L’erreur fréquente : publier les données brutes en open data sans analyse préalable du risque de réidentification.

Scénario 2 : l’hôpital public et la recherche médicale

Un CHU détient des données de patients pseudonymisées issues de dossiers médicaux. Un laboratoire pharmaceutique souhaite y accéder pour une étude sur l’efficacité d’un traitement. Ces données sont protégées par le RGPD (données de santé, article 9), par le secret médical et par des droits de propriété intellectuelle sur les bases de données.

Le bon modèle : réutilisation encadrée au titre du chapitre II du DGA, avec accès dans un environnement de données sécurisé (data room), interdiction d’export des données brutes, anonymisation des résultats publiés. Le CHU délivre une autorisation individuelle assortie de conditions d’usage. Si le laboratoire est établi hors UE, les règles sur les transferts internationaux s’appliquent. L’erreur fréquente : considérer que la pseudonymisation suffit à sortir du périmètre RGPD et négliger l’AIPD.

Scénario 3 : l’industriel et le partage de données de production

Un fabricant de machines-outils collecte des données de télémétrie sur ses équipements installés chez des clients. Ces données peuvent contenir des informations sur les processus de production des clients (secret des affaires) et, indirectement, sur les opérateurs (données personnelles). Il souhaite les partager avec un équipementier pour améliorer la maintenance prédictive.

Le bon modèle : contrat de partage de données bilatéral avec clauses précises sur les finalités, la sécurité, la durée et la portabilité. Si un intermédiaire est impliqué, vérifier sa notification DGA. Identifier les données personnelles résiduelles et appliquer le RGPD. Le Data Act est également pertinent ici : le client a un droit d’accès aux données générées par ses machines. L’erreur fréquente : traiter ces données comme purement industrielles et ignorer la dimension personnelle liée aux opérateurs.

Scénario 4 : la plateforme d’intermédiation de données agricoles

Une coopérative agricole crée une plateforme permettant à ses adhérents de partager des données de rendement, de météo et de pratiques culturales avec des agronomes et des fournisseurs d’intrants. La plateforme veut se positionner comme intermédiaire de confiance.

Le bon modèle : notification auprès de l’autorité compétente au titre du DGA, mise en place d’une séparation structurelle entre l’activité de plateforme et les activités commerciales de la coopérative, publication des conditions d’accès et de tarification. Les données des agriculteurs (personnes physiques) restent soumises au RGPD. L’erreur fréquente : utiliser les données transitant par la plateforme pour alimenter les propres outils d’analyse de la coopérative — ce qui disqualifie immédiatement le statut d’intermédiaire DGA.

Ces quatre scénarios illustrent une constante : le DGA n’interdit pas le partage, il en fixe les conditions. La clé est de choisir le bon modèle (open data, réutilisation encadrée, intermédiation, altruisme) en fonction de la nature des données, des acteurs impliqués et des finalités poursuivies, puis de mettre en place les processus et les contrats adaptés.

FAQ

Quels sont les enjeux de la gouvernance des données ?

Les enjeux sont à la fois économiques, juridiques et stratégiques. Économiquement, une gouvernance solide réduit les coûts liés aux erreurs et aux redondances, accélère les projets d’IA et d’analytique, et permet de valoriser les données comme actif. Juridiquement, elle conditionne la conformité au RGPD, au DGA et au Data Act, et réduit le risque d’amendes et de sanctions. Stratégiquement, elle crée les conditions de confiance nécessaires au partage de données avec des partenaires, des intermédiaires et des organismes de recherche, ouvrant de nouveaux modèles de collaboration et de monétisation.

Quels sont les 4 piliers de la gouvernance de la data ?

Les quatre piliers sont : la qualité (exactitude, cohérence, complétude des données), l’organisation (catalogue, classification, attribution des rôles de data owner et de steward), la protection et conformité (sécurité, registre des traitements, AIPD, gestion des incidents), et l’accessibilité et interopérabilité (politiques d’habilitation, API, portabilité). Ces quatre dimensions sont interdépendantes : une défaillance sur l’une fragilise l’ensemble du dispositif.

Quelles sont les 3 obligations du RGPD ?

Les trois obligations fondamentales du RGPD sont : la licéité du traitement (existence d’une base légale parmi les six prévues à l’article 6, dont le consentement, l’exécution d’un contrat ou l’intérêt légitime), la transparence et le respect des droits des personnes (information, accès, rectification, effacement, portabilité, opposition), et la responsabilisation (accountability : registre des traitements, analyses d’impact, nomination d’un DPO si requis, mesures de sécurité appropriées). Ces obligations s’appliquent en complément du DGA chaque fois que des données personnelles sont impliquées dans un partage.

Quelles sont les règles de gouvernance des données ?

Au sens du règlement (UE) 2022/868, les règles portent sur trois domaines : les conditions de réutilisation des données protégées du secteur public (autorisation individuelle, environnement sécurisé, anonymisation), les obligations des intermédiaires de données (notification, neutralité, séparation, transparence, sécurité, portabilité), et les exigences applicables aux organisations d’altruisme des données (enregistrement, gouvernance, traçabilité, consentement révocable). Au sens organisationnel, les règles de gouvernance couvrent la classification des données, l’attribution des responsabilités, les politiques de qualité et de sécurité, et les processus de partage et de contrôle.

Le Data Governance Act n’est pas un texte de plus à ranger dans une bibliothèque de conformité. Il redessine les conditions dans lesquelles les données circulent entre acteurs publics et privés, crée de nouveaux rôles et de nouvelles responsabilités, et exige une maturité organisationnelle que beaucoup d’entreprises n’ont pas encore atteinte. Les organisations qui investissent dès maintenant dans leur gouvernance des données — catalogue, registre, contrats, contrôles — ne se contentent pas de se conformer : elles se positionnent pour tirer parti d’un marché de la donnée européen qui, selon les projections de la Commission, représente un potentiel économique considérable pour la décennie à venir.

Articles similaires

Commencez à saisir du texte et appuyez sur Entrée pour rechercher

Retour en haut