Depuis le 24 septembre 2023, l'activité des fournisseurs de services d'intermédiation de données est encadrée par le Data governance act (« DGA »), entré en vigueur le 23 juin 2022. La France a d'ores et déjà adapté le droit national, avec l'adoption de la loi visant à sécuriser et à réguler l'espace numérique (dite « SREN ») le 21 mai 2024, afin d'assurer l'application effective du DGA.
Qui est concerné ?
Toutes les entreprises qui offrent, au sein de l'Union européenne, un service qui, dans le cadre d'un partage de données personnelles ou non personnelles, établit une relation commerciale entre les détenteurs de données ou les personnes concernées et les utilisateurs de données sont soumises au règlement (DGA, art. 2, 11). Sont notamment concernées les plateformes d'échange de données B2B, telles que la plateforme française d'échange de données aéroportuaires Hub One DataTrust, et les systèmes de gestion de données personnelles.
Ne sont cependant pas visés les services qui agrègent, enrichissent ou transforment des données sans mise en relation commerciale directe, les services d'intermédiation de contenus protégés par le droit d'auteur, les services de partage de données utilisé au sein d'un groupe fermé et les services de partage de données proposés par les organismes publics sans but lucratif.
Quelles sont les obligations ?
Les entreprises qui fournissent un service d'intermédiation de données au sens du DGA sont en premier lieu soumises à une obligation de notification de leur activité (DGA, art. 11) visant à « garantir que la gouvernance des données au sein de l'Union est fondée sur un échange de données digne de confiance ». Il s'agit d'une condition préalable obligatoire à l'exercice de l'activité d'intermédiation de données dont le non-respect expose à des sanctions « proportionnées ».
Le logo que les entreprises répondant à l'ensemble des exigences fixées par le DGA pourront utiliser, dans leurs communications écrites et orales, avec le label « prestataire de services d'intermédiation de données reconnu dans l'Union ».
Par ailleurs, le règlement interdit aux fournisseurs de service d'intermédiation de données de recourir à certaines pratiques, telles que la réutilisation des données, pour lesquelles le service d'intermédiation de données est fourni, pour leur propre compte ou le fait de faire dépendre leurs conditions commerciales, y compris la tarification, de l'utilisation d'autres de leurs services (DGA, art. 12).
En outre, des obligations, notamment liées à la sécurité des données, s'imposent aux entreprises concernées. C'est le cas de la prise de mesures nécessaires pour garantir un niveau de sécurité approprié pour le stockage, le traitement et la transmission de données à caractère non personnel ; de la mise en place de procédures pour prévenir les pratiques frauduleuses ou abusives ; de l'information des détenteurs de données en cas de transfert, d'accès ou d'utilisation non autorisés portant sur les données à caractère non personnel partagées ou de l'obligation de tenir un journal de l'activité d'intermédiation de données, etc.
Les entreprises répondant à l'ensemble des exigences fixées par le DGA pourront utiliser, dans leurs communications écrites et orales, le label « prestataire de services d'intermédiation de données reconnu dans l'Union », ainsi que le logo commun.
Quelles sanctions ?
En France, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) a été désignée par la loi SREN comme l'autorité compétente en matière de services d'intermédiation de données (loi SREN, art. 36). L'Arcep pourra être amenée à prononcer des sanctions en cas de non-conformité des fournisseurs de services d'intermédiation de données (DGA art. 14 ; loi SREN art. 37, II), telles que la suspension de la fourniture du service, voire sa cessation dans le cas où le prestataire n'aurait pas remédié à des manquements graves ou répétés malgré l'envoi d'une mise en demeure.
Des sanctions pécuniaires importantes pouvant aller jusqu'à 3% du chiffre d'affaires mondial ou 150 000 euros d'amende pourront également être infligées par l'Arcep. Ces montants pourront être portés à 5% du chiffre d'affaires mondial ou 375 000 euros d'amende en cas de nouvelle violation de la même obligation dans un délai de cinq ans.
Les entreprises fournissant déjà un service d'intermédiation de données à la date d'entrée en vigueur du DGA devront se mettre en conformité au plus tard le 24 septembre 2025.
Services d'intermédiation de données : quelques points de vigilance !
Le Data governance act (DGA) encadre désormais l'activité de tous les fournisseurs de services d'intermédiation de données de l'Union européenne. Qui est concerné et quelles sont les sanctions prévues ?