Anniversaires, e-conférence omnibus numériques, Posts, Ressources pour chercheurs en droit

Les modifications proposées par l’omnibus peinent à faire émerger un modèle européen de partage des données, Quentin Herter Collignon

Les prestataires de services d’intermédiation de données (ci-après PSID) ont pour objet de faciliter la rencontre entre détenteurs et utilisateurs de données. Cependant, le nombre de PSID déclaré à ce jour (28) est insuffisant par rapport à celui escompté et appelle une réforme de l’ensemble du régime. Le Data Governance Act impose des obligations qui limitent la diversité des modèles opérationnels. C’est le cas de l’interdiction d’utilisation des données à d’autres buts que la facilitation de l’échange qui réduit considérablement l’attractivité du statut de PSID. L’omnibus numérique peut-il encore faire émerger un marché des services d’intermédiation de données après l’échec du Data Governance Act ? Le projet tente d’y parvenir, en modifiant le Data Act de manière à intégrer une version réécrite du Data Governance Act.

La proposition de règlement constate « la nature émergente du marché des services d’intermédiation de données » et en déduit que les obligations du Data Governance Act « doivent être assouplies pour permettre le développement de ce marché » (p. 20), au travers de trois aspects :

1. Transition d’un régime obligatoire à volontaire

Le projet de chapitre VII bis du Data Act (p. 35 à 39) insère les règles figurant actuellement aux chapitres III et IV du Data Governance Act. Jusqu’alors, les PSID étaient soumis à un régime d’enregistrement obligatoire. 

Mais afin d’éviter des coûts de mise en conformité inutiles, le projet d’article 32 quater du Data Act (p. 35) remplace le régime obligatoire par un régime volontaire permettant aux acteurs neutres de se distinguer des autres acteurs. Le respect des exigences devient désormais une condition à l’enregistrement au sein du registre (projet d’article 32 sexies du Data Act – p. 37). Son non-respect entraînerait uniquement le retrait du droit d’utiliser le label et la radiation du registre (projet d’article 32 octies, 5 – p. 39), et non plus des sanctions aussi lourdes que celles prévues à l’article 37 de la loi SREN pouvant aller jusqu’à 3% du chiffre d’affaires mondial et la suspension ou la cessation de l’activité. Ainsi, sous couvert de simplification, la suppression des sanctions implique de changer les lois nationales qui ont déjà transposé la réglementation initiale.

Le projet corrige les difficultés soulevées dans le règlement sur la gouvernance des données qui s’appliquait aux entreprises exerçant déjà une activité d’intermédiation de données avant son entrée en vigueur. Peu importe que ces entreprises se soient ou non notifiées à l’autorité nationale compétente (en France, il s’agit de l’ARCEP). Cependant, tous les acteurs perçoivent le système d’enregistrement et de labellisation positivement (p. 21, p. 27) en tant que signal du respect des règles européennes et du contrôle des activités de l’entreprise par des audits réguliers de l’autorité compétente. C’est pourquoi, l’Association française pour l’Intermédiation des Données (AID) recommandait dans son Position paper des acteurs français de l’intermédiation de données du 2 juin 2025 le maintien du régime obligatoire.

Dans leur Joint Opinion 2/2026 sur le « Digital Omnibus », l’EDPB et l’EDPS estiment que certaines exigences supprimées doivent être maintenues (p. 37 à 39). C’est le cas de l’obligation de tenir un registre des activités d’intermédiation proportionné aux risques, de la possibilité d’utiliser les informations relatives à l’activité du service à des fins de sécurité, de la détection des accès abusifs ou frauduleux, de l’exigence de mettre en place des procédures adaptées pour prévenir les pratiques frauduleuses ou abusives des utilisateurs, ainsi que de l’obligation d’organiser, en cas d’insolvabilité, des mécanismes garantissant aux personnes concernées l’exercice effectif de leurs droits.

Dans son position paper relatif au projet d’omnibus numérique, l’AID fait le constat d’un label PSID « trop peu valorisé et sans réel avantage pour les détenteurs et ré-utilisateurs de la donnée » (p. 2). En effet, faute de « critères exigeants et précis (…) en matière de neutralité effective, d’interdiction d’utilisation des données intermédiées pour son propre compte et de garanties de sécurité proportionnées aux risques » (p. 3), le label ne permet pas de mettre en avant les acteurs qui investissent réellement dans la neutralité, la sécurité et la protection des données. La création de « droits spécifiques attachés à son obtention » (p. 3) lui conférerait « une portée autre que purement déclarative » (p. 3).

2. (Re)définition du champ d’application du régime applicable aux PSID par la procédure de labellisation

Les PSID sont des tiers neutres qui, par un appui technique ou juridique, facilitent la rencontre entre détenteurs et utilisateurs de données dans un cadre sécurisé et de confiance.

La version initiale du texte en donnait une définition peu intelligible, qui comprenait quatre exceptions dont une était relative aux « groupes fermés ». Celle-ci posait difficulté car il suffisait de déclarer relever d’un groupe fermé pour échapper au régime obligatoire du PSID.

C’est dans ce contexte que l’exposé des motifs du projet de réforme rappelle que la définition des PSID « présentait des faiblesses et que les règles étaient trop strictes pour permettre aux prestataires de services de trouver un modèle financier durable » (p. 2) et « devrait être plus précise » pour « permettre de remédier aux lacunes résultant de formulations ambiguës » (p. 3).

Ainsi, l’omnibus comporte une nouvelle définition dans un projet d’article 38 bis du Data Act (p. 25) :

Le régime devient volontaire et non plus obligatoire. La notion est élargie aux services visant « à établir des relations commerciales » à ceux visant « à établir des relations à caractère économique ». Les relations à caractère économique sont plus larges que les relations commerciales. L’exception initiale portant sur les services proposés par des organismes du secteur public est abolie afin de ne pas exclure ces derniers de la possibilité de bénéficier d’un label. Cela devrait permettre d’augmenter le nombre de PSID figurant au registre.

Si le système volontaire venait à être adopté, les acteurs devraient justifier relever de cette définition afin de pouvoir bénéficier du label et ses avantages. Une définition plus claire et non ambigüe permet de dégager les critères devant être respectés par de nouvelles entreprises émergentes souhaitant être labellisées.

La définition de la proposition de règlement gagne en clarté et correspond davantage à la réalité du marché. En effet, elle incite au développement des PSID notamment par la conception large du groupe fermé qui est désormais retenue.

Auparavant, sous prétexte d’aider la circulation des données, le texte incitait à aller vers une exception restreignant le partage de données, et générant un problème concurrentiel. Ainsi, dans son Position paper du 2 juin 2025, l’AID recommandait d’ajouter une définition dédiée sur la notion de groupe fermé intégrant le fait qu’elle « rassemble des acteurs avec des liens économiques stables et durables » et « ne doit pas introduire d’inéquité sur son marché ».

Le partage de données entre un nombre limité d’acteurs, réalisés directement entre fournisseurs, clients ou partenaires liés par contrat (ce qui correspondait au groupe fermé du texte initial) permettait d’échapper au régime obligatoire. Désormais, l’absence d’ouverture des données (« acquisition conjointe par plusieurs personnes morales pour un usage exclusif entre elles ») devient une contrainte puisque les acteurs ne peuvent pas bénéficier du label, lequel pourrait à l’avenir déterminer l’accès au financement public. Les acteurs du partage de données sont donc incités à s’ouvrir dans la logique de libre-circulation des données qui vise à répondre à des préoccupations concurrentielles. Ainsi, la proposition de règlement omnibus parvient à faire de l’ouverture des données la situation vers laquelle chaque acteur est naturellement orienté, ayant individuellement intérêt d’obtenir le label qui garantit à ses clients le respect du régime ainsi que sa neutralité.

3. Remplacement de l’exigence d’une séparation juridique entre les services d’intermédiation de données et les services à valeur ajoutée par une séparation fonctionnelle

Jusqu’alors le règlement sur la gouvernance des données instaurait un régime de neutralité stricte. Les PSID agissaient comme de simples intermédiaires techniques ne pouvant assurer un service de préparation de données, lequel était décrit comme nécessaire pour assurer la pérennité de leur modèle économique. Seulement un nombre limité de services supplémentaires opérés par les PSID n’était autorisé :

  • la conversion de la donnée visant à améliorer l’interopérabilité ou pour assurer l’harmonisation avec des normes internationales en matière de données (art. 12(d) du DGA) ;
  • le stockage temporaire, la conservation, la conversion, l’anonymisation et la pseudonymisation lorsque la demande est formulée par le client (art. 12(e) du DGA) ;

L’article 32 quater du projet instaure des exigences relatives à l’enregistrement des PSID parmi lesquelles se trouve le fait que « les services à valeur ajoutée sont fournis par l’intermédiaire d’une entité fonctionnellement distincte ; ». Le projet impose l’absence de subordination des conditions commerciales de la fourniture de services d’intermédiation de données « au fait que le détenteur de données ou l’utilisateur de données utilise ou non des services à valeur ajoutée » fournis par le PSID ou par une entité liée. Les petites et micro-entreprises bénéficient d’une exonération totale de l’obligation de séparation fonctionnelle, laquelle ne semble pas justifiée selon l’avis conjoint du Comité européen de la protection des données (EDPB) et du Contrôleur européen de la protection des données (CEPD) (§138, p. 39) et une partie de la doctrine pour qui l’interdiction de réutilisation des données n’est pas le principal frein au développement des PSID (p. 20). La seule justification à cette distinction est concurrentielle, à l’image de l’article 5(2) du Digital Markets Act, lequel interdit aux plus gros acteurs du marché la combinaison et l’utilisation de données générées à travers différents services.

L’exigence d’une séparation juridique entre l’entité qui réalise le service d’intermédiation de données et celle qui fournit des services à valeur ajoutée est donc remplacée par une simple séparation fonctionnelle qui n’est définie par aucun critère précis. L’avis conjoint de l’EDPB et du CEPD (§136, p. 39) suggère d’instaurer parmi ces critères une ségrégation technique et organisationnelle des données, ainsi qu’une gestion, un financement et un personnel distincts.

Au total, pour faire émerger un véritable modèle européen de partage de données, il semble toujours nécessaire d’exiger la neutralité des services d’intermédiation de données afin de garantir au détenteur qu’aucune réutilisation non désirée de ses données ne soit réalisée. Mais surtout il faudrait ajuster les modalités de financement de ces innovations en tenant compte du manque de connaissance sur leur modèle économique. Des efforts supplémentaires à l’échelle européenne pour promouvoir et communiquer sur la valeur potentielle des PSID sont attendus (p. 21) en communiquant sur les nouveaux droits des citoyens et en promouvant des cas d’usage concrets (p. 29).

Quentin Herter Collignon est doctorant en droit du Cr2D, Université Paris-Dauphine, PSL. Sa recherche porte sur la gouvernance internationale des données maritimes à l’ère de l’intelligence artificielle.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.