Le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur une proposition de règlement du Parlement européen et du Conseil relatif à un cadre européen de gestion des données (loi sur la gestion des données).
L’objectif du projet de loi sur la gestion des données est de promouvoir la disponibilité publique des données en renforçant la confiance dans les intermédiaires de données et en renforçant les mécanismes d’échange de données dans l’ensemble de l’UE. En particulier, le Data Management Act vise à promouvoir la disponibilité des données du secteur public pour la réutilisation, le partage des données entre les entreprises, en permettant l’utilisation des données personnelles par un « intermédiaire de données personnelles », en plus de permettre l’utilisation des données à des fins altruistes.
L’EDPB et le CEPD estiment que l’objectif de la loi sur la gestion des données est d’améliorer les conditions d’échange de données dans le marché intérieur. Dans le même temps, la protection des données à caractère personnel est un élément essentiel et intégrante de la confiance dans l’économie numérique.
Dans leur avis conjoint, l’EDPB et le CEPD invitent les colégislateurs à veiller à ce que l’acte futur sur la gestion des données soit pleinement conforme au droit de l’Union européenne en matière de protection des données, renforcer ainsi la confiance dans l’économie numérique et la maintenir au niveau de protection prévu par le droit de l’Union, sous la supervision des autorités de contrôle des États membres de l’Union européenne.
Le cadre juridique de l’UE en matière de protection des données n’entrave pas le développement d’une économie fondée sur les données.
Au contraire, cela aide : la confiance dans tout type de partage de données ne peut être atteinte que si les règles existantes en matière de protection des données sont respectées. Le règlement général sur la protection des données (RGPD) est la base sur laquelle le modèle européen de gestion des données doit être construit.
C’est pourquoi il convient de veiller à la cohérence avec le Contrôleur en ce qui concerne les compétences des autorités de contrôle, les rôles des différents acteurs, la base juridique du traitement des données à caractère personnel, les garanties nécessaires à la protection et à l’exploitation des données.
L’Autorité comprend l’importance croissante des données pour l’économie et la société, comme le prévoit la stratégie européenne en matière de données. Cependant, « les mégadonnées créent beaucoup de responsabilités », il est donc nécessaire de fournir des mesures adéquates de protection des données. Un cadre global pour les espaces de données européens doit garantir que les réalisations de l’UE en matière de protection des données ne soient pas compromises.
L’EDPB et le CEPD estiment que le législateur de l’Union européenne doit veiller à ce que la formulation de la loi sur la gestion des données soit claire et non équivoque et n’affectera pas la protection des données à caractère personnel des personnes, ni ne modifiera aucun des droits et obligations énoncés dans la législation sur la protection des données.
En ce qui concerne la réutilisation des données à caractère personnel détenues par des organismes du secteur public, l’EDPB et le CEPD recommandent que la loi sur la gestion des données soit alignée sur les règles existantes en matière de protection des données établies dans le règlement général Directive sur les données.
En outre, il convient de préciser que la réutilisation des données à caractère personnel détenues par des entités du secteur public ne peut être autorisée que si elle est fondée sur la législation de l’Union européenne ou de ses États membres.
Ces lois doivent comprendre une liste d’objectifs clairement compatibles pour lesquels un traitement ultérieur peut légitimement être autorisé ou constituer une mesure nécessaire et proportionnée dans une société démocratique afin de protéger les objectifs énoncés à l’article 23 du RGPD.
En ce qui concerne les prestataires de services de partage de données, l’avis conjoint souligne la nécessité de fournir des informations et un contrôle préventifs aux personnes, en tenant compte des principes de protection des données dans la conception et par défaut, transparence et limitation des objectifs. En outre, il est nécessaire de clarifier les conditions dans lesquelles ces prestataires de services aident efficacement les personnes dans l’exercice de leurs droits en tant que personnes concernées.
En ce qui concerne l’altruisme des données, l’EDPB et le CEPD recommandent que la loi sur la gestion des données définisse mieux les objectifs d’intérêt général de ce « altruisme des données ».
L’altruisme des données doit être organisé de manière à permettre aux personnes de donner facilement, mais aussi de retirer leur consentement.
Compte tenu des risques potentiels pour les personnes concernées lorsque leurs données à caractère personnel peuvent être traitées par des fournisseurs de services de partage de données ou des organisations altruistes de partage de données, l’EDPB et le CEPD estiment que les régimes d’enregistrement déclaratif pour ces personnes, tels que définis dans la Management Act, ne prévoient pas de procédure de vérification suffisamment rigoureuse pour ces services.
Le Parlement européen a adopté ce rapport.
L’avis conjoint comprend également des recommandations sur la désignation des autorités de surveillance comme principales autorités compétentes pour le contrôle du respect des dispositions de la loi sur la gestion des données, en consultation avec d’autres autorités sectorielles concernées.