Mise à jour de l’Acte sur la gouvernance européenne des données « (l’AGD) ».

Cecile Oosterveen - Legal Advisor
11 février 2022
Le 1er octobre 2021, le Conseil de l’Union européenne est parvenu à un accord sur le texte de la proposition de l’AGD et a donné mandat à la présidence de l’UE pour entamer les négociations concernant la proposition entre le Parlement européen et la Commission européenne. L’AGD n'est que la dernière pièce d'un puzzle croissant du droit européen des données. GDPR encadre l'utilisation des données personnelles, DGA traite également des données non personnelles et régit donc un champ beaucoup plus large de la réglementation des données.

Quel est l’objectif de l’AGD ?

La société étant de plus en plus axée sur les données, il était (et il est toujours) nécessaire d’adopter une nouvelle méthode de gouvernance des données.   

L’Acte sur la gouvernance européenne des données est un élément essentiel de la stratégie européenne pour les données, qui établit un cadre de gouvernance pour promouvoir la confiance dans le partage des données entre particuliers et entreprises.

L’AGD est en fait la dernière-née en matière de droit des données. L’Union européenne cherche ainsi à devenir le leader d’une société basée sur les données. En fait, cet Acte est essentiel, surtout pour les assureurs, car ces derniers traitent de grandes quantités de données, y compris des données personnelles. Les données qu’une compagnie d’assurance conserve augmentent chaque jour de manière importante. Plus important encore, l’AGD permettra d’aider les particuliers à avoir totalement le contrôle sur leurs données et leur permettra de partager leurs données avec une entreprise en qui elles ont confiance. Les prestataires de services d’intermédiation des données devraient par exemple être inscrits sur une liste, afin que leurs clients sachent qu’ils peuvent compter sur ces prestataires.
 
L’assureur est tenu de conserver des informations sur ses assurés, ses employés, ses intermédiaires et bien d’autres encore. Par conséquent, la gouvernance des données dans le secteur de l’assurance va même au-delà de la simple sécurité des données d’assurance. La stratégie de gouvernance des données d’une compagnie d’assurance doit garantir l’exactitude, la précision et la fiabilité des données, ce qui permet de prendre des décisions éclairées et efficaces et d’assurer la sécurité des données nécessaire.

Champ d’application territorial de l’AGD

L’AGD ne contient pas d’article définissant le champ d’application territorial des dispositions. Néanmoins, il fournit quelques détails sur les paramètres à prendre en compte pour déterminer si les prestataires de services de partage de données non situés dans l’UE offrent des services au sein de l’UE, auquel cas ils seraient tenus de désigner un représentant situé dans l’UE.

Modifications principales apportées à la proposition initiale

Les modifications principales apportées à la proposition initiale sont les suivantes :

  1. La proposition contient une définition plus détaillée de la relation entre l’AGD et le Règlement général sur la protection des données (RGPD) de l’UE. La définition des données au titre de l’AGD est si large qu’elle inclut également les données à caractère personnel, telles que définies dans le RGPD. Les deux règlements peuvent donc s’appliquer simultanément. 
    Comme indiqué précédemment, l’AGD n’exige pas que les prestataires de services de partage de données soient établis dans l’UE. Cela signifie que le prestataire de services devra désigner un représentant légal dans l’UE pour agir en tant que prestataire de services de partage de données. Si le prestataire possède plusieurs établissements, son établissement principal devra se situer au même endroit que son administration centrale.
    Les critères d’établissement sont cruciaux car ils permettent de déterminer à quel cadre réglementaire national les prestataires seront soumis. Des critères similaires sont énoncés dans le RGPD qui permet de situer l’établissement principal où sont prises les décisions essentielles concernant le traitement des données à caractère personnel, si le lieu est différent de l’administration centrale. 
    Avec la nouvelle proposition de l’AGD, dans le cas où une organisation aurait deux établissements principaux dans l’UE aux fins des différents types d’utilisation des données (l’une pour le RGPD et l’autre pour l’AGD), cela pourrait devenir déconcertant pour une entreprise et donc conduire à une incertitude juridique.
  2. Le Conseil a de nouveau modifié les dispositions régissant les arrangements administratifs permettant la réutilisation des données du secteur public qui sont soumises à des droits d’autrui (tels que les données à caractère personnel et les secrets commerciaux), dans le but d’accroître la souplesse des États membres en matière de réglementation de cette réutilisation.
  3. La proposition vise également à permettre aux particuliers et aux entreprises de partager volontairement leurs données pour plus d’avantages sociaux. 
  4. Enfin, des modifications ont été apportées à la proposition pour permettre à la Commission européenne d’adopter des clauses contractuelles types afin d’aider les organismes du secteur public et les réutilisateurs à se conformer aux obligations de l’AGD en cas de transfert de données du secteur public vers des pays tiers.
     

Prochaines étapes

Le Conseil européen ayant arrêté sa position sur la proposition de l’AGD, la présidence peut entamer les négociations avec le Parlement européen. Le Parlement européen est soumis à l’approbation officielle. 

Selon le texte du Conseil, les nouvelles règles s’appliqueront 18 mois après l’entrée en vigueur du règlement. 

Les compagnies d’assurance auront besoin des personnes, des processus et des technologies nécessaires pour gérer correctement leurs données. Une mise en œuvre adéquate de la gouvernance des données, conformément à l’AGD, favorisera la confiance et pourrait donc constituer une étape positive vers l’innovation axée sur les données dans l’Union européenne. Néanmoins, la délimitation avec d’autres règlements tels que le RGPD devra sûrement être davantage clarifiée.

Top