La loi sur les données et la stratégie de l’Union Européenne en matière de données : une évaluation de l’impact sur les fournisseurs de plateformes de données.
La proposition de loi sur les données de la Commission européenne est une étape bienvenue car, comme l’a déclaré Margrethe Vestager, commissaire européenne au Numérique, elle permet de clarifier les conditions d’accès aux données et les conditions de partage de celles-ci.
Les ambiguïtés de la situation juridique actuelle empêchent de nombreuses utilisations créatrices de valeur des données. Par conséquent, les entreprises ne peuvent pas exploiter pleinement la valeur de leurs données et perdent des opportunités.
La Commission européenne estime que la réglementation prévue par la loi sur les données pourrait générer des revenus supplémentaires de 270 milliards d’euros d’ici 2028.
Mais que signifie concrètement la loi sur les données pour les fournisseurs de solutions de collecte, de stockage, de traitement, d’analyse, de transmission et de présentation des données ?
Le RGPD et des réglementations spécifiques à chaque pays
En 2018 est entré en vigueur le Règlement général sur la protection des données (RGPD), qui a uniformisé le droit de la protection des données pour les États membres de l’Union Européenne (UE). Dans la mise en œuvre nationale, les pays sont autorisés à apporter des concrétisations ou des compléments. Les États de l’Espace Economique Européen (EEE) adoptent généralement les exigences de l’UE. Dans une économie mondialisée, les activités transfrontalières font depuis longtemps partie du quotidien de la plupart des entreprises.
Cependant, la loi sur les données ne fait que placer l’échange de données au sein de l’UE sur une base transparente et fiable. Pour les entreprises qui travaillent aussi avec des utilisateurs en dehors de l’Union, d’importantes questions de localisation et de souveraineté des données ne sont toujours pas résolues. Si les entreprises entretiennent des relations commerciales avec des pays tiers en dehors de l’espace UE/EEE et y transfèrent des données, les choses risquent de se compliquer en devenant plus coûteuses : le RGPD prescrit dans ce cas le besoin des mesures supplémentaires pour assurer la sécurité des données et la protection des droits personnels. La protection internationale des données est une question complexe, car des exigences étendues en matière de traitement des données personnelles s’appliquent dans presque tous les pays.
La souveraineté des données comme protection efficace contre les violations des directives sur la protection des données
Pour ce faire, les entreprises doivent être en mesure de contrôler à tout instant, le moment où les données sensibles franchissent les frontières nationales et, en particulier, quittent l’espace UE/EEE. Par contre, il y a des excellentes raisons pour que les entreprises veuillent analyser les données non sensibles, pour comprendre les usages de leurs produits et mieux planifier leurs développements.
Pour cette raison, il est important de séparer le contrôle de l’infrastructure technique du contrôle des données. Cette séparation des contrôles permet de se protéger contre les transferts de données non contrôlés en dehors de la région. Pour être efficaces, les mécanismes de contrôle des données doivent être intégrés aux plateformes qui supportent les applications utilisatrices de données. Adapter des bases de données existantes ou essayer de tout contrôler avec des polices est peu sûr et coûteux. Les entreprises ont toujours la responsabilité d’assurer la protection des données, que ce soit dans le cloud ou dans leurs propres datacenters.
La loi sur les données vise également à promouvoir un environnement cloud multifournisseur sans faille. La Commission cherche à développer des normes harmonisées et normalisées pour l’interopérabilité des services cloud. Les entreprises les plus sophistiqués travaillent depuis un certain temps déjà sur cette exigence. Le problème dans ce contexte est ce qu’on appelle la gravité des données, qui accroît la dépendance de l’utilisateur à l’égard du fournisseur. Il est très compliqué pour un utilisateur d’analyser les différences entre les plateformes cloud et comprendre les différents bénéfices qu’elles emmènent pour chaque cas d’usage. Le besoin est donc pour des plateformes d’abstraction qui supportent toutes les spécificités de chaque cloud sans limiter les utilisateurs.
Une consolidation nécessaire des normes d’échange, mais aussi des formats de données
La loi sur les données vise également à réglementer l’échange de données entre les entreprises, les entreprises et les utilisateurs finaux, et les entreprises et le secteur public. Ici, la tâche principale sera de consolider la prolifération existante de formats de données et d’interfaces. Le « Fast Healthcare Interoperability Resources » (FHIR) est un exemple de norme commune en cours d’adoption dans le domaine des soins de santé, mais en fin de compte, une telle consolidation nécessite également une normalisation des données qui facilite les échanges entre des différents opérateurs dans chaque secteur.
Lorsque de nouvelles requêtes sur des données existantes entraînent la nécessité de développer des solutions personnalisées avec des interfaces adaptées, cette complexité agit comme un frein à l’innovation. Pour survivre sur le marché, les fournisseurs de plateformes de données devront s’assurer que leurs solutions sont suffisamment agiles pour prendre en charge des cas d’utilisation avec une interface unique, y compris ceux qui n’ont pas été envisagés ou qui n’existaient pas au moment où le système a été développé et déployé.
Transparence et confiance dans l’échange de données
Le partage des données doit également être encouragé par la loi sur la gouvernance des données (Data Governance Act – DGA), qui fait également partie de la stratégie européenne en matière de données et a déjà été adoptée par la commission de l’industrie, de la recherche et de l’énergie du Parlement européen. Elle vise notamment à renforcer la confiance dans les services de courtage de données et à améliorer ainsi ce que l’on appelle « l’altruisme des données », c’est-à-dire la mise à disposition volontaire, par exemple, de données sur la santé ou l’environnement pour le bien commun, qui n’était pas librement accessible jusqu’à présent, dans le cadre de la directive sur les données ouvertes.
De tels « dons de données » nécessitent le consentement éclairé des personnes concernées. La loi sur les données rend en effet obligatoire l’indication de la base juridique d’une demande de divulgation de données lorsqu’un organisme public en fait la demande. Comme pour les propositions analogues dans le domaine de la messagerie, il devient important de pouvoir partager les données de façon simple, contrôlée, et sécurisée.
Conclusion : À quoi les entreprises doivent-ils se préparer ?
Avec sa stratégie en matière de données, l’UE veut définir précisément les droits et les obligations des fournisseurs et des détenteurs de données, lier l’utilisation de celles-ci à des critères clairs, et ainsi créer plus de transparence, de confiance et de sécurité juridique afin de pouvoir exploiter le potentiel de création de valeur des données jusqu’alors inexploité. La loi sur les données et la loi sur la gouvernance des données peuvent réellement transformer l’économie des données à long terme. La normalisation, la consolidation, la standardisation et les spécifications envisagées, si elles sont adoptées dans les versions proposées, mettront les fabricants de produits et les fournisseurs de solutions face à la tâche de répondre à des exigences plus élevées en matière de compatibilité et de souveraineté des données.
Le vrai bénéfice est de focaliser l’attention de tout le monde sur les bénéfices possibles grâce à une exploitation plus complète des données, et au même temps sur les exigences crées par la protection des données. Cette proposition de loi clarifie beaucoup la situation, ce qui permettra aux entreprises de porter leurs besoins à leurs fournisseurs : contrôle de la souveraineté des données, séparation du contrôle des données et des infrastructures techniques, et support pour toutes les fonctionnalités du cloud, sans limitation aux capacités d’un seul fournisseur.
___________________
Par Dominic Wellington, directeur de l’intelligence économique, MongoDB
À lire également :
L’ingénierie à bas prix : comment une architecture de données dépassée devient une taxe sur l’innovation
La distinction, importante, entre recherche et développement…
Trois raisons pour lesquelles le multi-cloud est de retour et pour un bon moment.
MongoDB lance une version Serverless et une fonction de recherche chiffrée