Digital Market Act : quel avenir pour la régulation des données ?

90 % des données dans le monde ont été créées durant les deux dernières années. On la surnomme l’or du 21ème siècle, la data est aujourd’hui devenue une devise plus précieuse que le bitcoin. Pour les entreprises qui l’exploitent, c’est la possibilité de mieux comprendre leur public cible, d’optimiser leurs processus. Et finalement, de s’imposer face à la concurrences.

Mais face à la quantité impressionnante de données que nous générons et stockons quotidiennement, ces dernières sont devenues une manne précieuse de plus en plus difficile à maîtriser. Attisant toutes les convoitises, la data peut aussi encourager des pratiques peu louables d’organisations qui ont compris comment les monétiser.

Les entreprises comme les institutions publiques sont donc confrontées à deux défis majeurs. La protection des données, qui consiste à limiter les acteurs qui peuvent les collecter et y avoir accès. Mais aussi la transparence, soit une information claire et facilement accessible sur la nature et l’usage fait des données personnelles. 

Pour y répondre, l’Europe a récemment adopté le Digital Market Act (DMA). Ce texte de loi ambitieux vise à mettre les entreprises sur un pied d’égalité en matière de données. Mais la régulation de la data ne se limite pas au DMA, impactant à de nombreux niveaux les métiers du secteur. Et plus globalement, l’activité des entreprises…

Pour mieux comprendre cet impact, nous vous proposons un décryptage de la régulation et des lois qui font l’actualité !  

Pourquoi réguler l’usage des données ?

C’est un fait auquel il est aujourd’hui difficile d’échapper. À mesure que nos vies deviennent de plus en plus digitales, le volume de données généré a été multiplié par 10 ces 5 dernières années. Et ce phénomène n’est pas prêt de s’arrêter…

Si certaines données peuvent paraître inoffensives, certaines sont dites sensibles. Ce sont surtout ces dernières qui méritent une attention toute particulière. Et ce, notamment si elles venaient à tomber entre de mauvaises mains ou à être détournées de l’intention initiale qui a poussé son propriétaire à les partager.

Entrent dans cette catégorie les données liées à notre santé, nos opinions (politiques ou religieuses), etc. Or, ces données sont bien plus accessibles qu’on ne pourrait le penser. Elles sont par exemple collectées par le département RH des entreprises, amenées à gérer les données liées à l’état de santé de leurs employés. Sans oublier la gestion presque entièrement numérique de la pandémie et le virage digital de la santé, de l’éducation, ou encore de l’économie qui ont donné lieu à la génération massive de données sensibles sur les citoyens du monde entier.

Régulation des données : du RGPD au Digital Market Act

Face aux défis de protection et de transparence mentionnés, plusieurs mesures de régulations ont déjà été prises. La plus importante est certainement le RGPD  (ou Règlement Général sur la Protection des Données Européens). En vigueur depuis 2018, ce dernier encadre déjà en partie les droits fondamentaux de l’usage des données personnelles.

Le RGPD stipulait déjà que toute personne physique dispose du droit d’être informée sur l’usage de ses données. Elle pouvait aussi savoir quels acteurs y avaient accès (avec un droit d’opposition ou de limitation de traitement). Le pendant logique de ces droits sont les devoirs qui incombent désormais aux entreprises en matière de données. Tous les acteurs collectant ou utilisant des données personnelles doivent désormais implémenter des mesures de protection des données appropriées. Ils doivent également démontrer leur conformité à tout moment (c’est ce que l’on appelle l’accountability).

Avec le Digital Market Act, l’Union Européenne est allée plus loin. Plus que la protection des données personnelles, elle vise désormais à rééquilibrer les marchés numériques. Et notamment, à s’assurer que les géants technologiques (à commencer par les GAFAMs) ne disposent pas d’avantages déloyaux face aux nouveaux entrants.

Avec le Digital Market Act, l’Europe entend donc contraindre les géants technologiques à montrer patte blanche. Comment ? En leur demandant de démontrer qu’ils respectent la libre concurrence. Mais également, qu’ils n’utilisent pas les quantités astronomiques de données qu’ils ont déjà collectées pour s’assurer un monopole.

Digital Market Act : vers une régulation toujours plus étroite de la data 

Présenté en décembre 2020 par la Commission Européenne, le DMA devrait entrer en vigueur en 2023. Ce texte, présenté comme la nouvelle arme européenne pour réguler l’usage des données, inaugure une nouvelle ère numérique. Son objectif, clairement affiché, est donc de mettre fin à la domination des grandes entreprises technologiques. 

Avec le Digital Market Act, l’Europe impose de nouvelles obligations (même si les critiques les jugent souvent insuffisantes). C’est notamment la fin de l’autopromotion, ces suggestions des géants du numérique (notamment Google) orientées vers leur propre plateforme. Les GAFA n’auront également plus le droit d’utiliser les données de leurs utilisateurs pour qu’ils privilégient leurs produits. Autre point important : les groupes ne pourront plus se partager les données collectées d’une plateforme à l’autre.

Bref, l’idée est de limiter les abus en matière d’utilisation des données. Des abus qui permettent aux premiers arrivants ou aux acteurs les mieux placés de dominer leur marché. Afin de s’assurer que cette nouvelle réglementation produise des effets immédiats et tangibles, elle permettra aux consommateurs d’utiliser les services des grandes entreprises techno (comme les moteurs de recherche) en gardant le contrôle sur leurs données d’usage personnelles. Les petites entreprises, pour qui la mise en conformité peut être plus complexe, seront en partie épargnées par les réglementations les plus restrictives.

Pour les autres, elle sera évaluée par la Commission Européenne (en charge de l’application du Digital Market Act). Cette dernière sera assistée par un comité consultatif, un groupe de haut niveau, et les autorités de concurrence nationales des États membres. 

Les contraintes liées à la réglementation des données en entreprise

Les exigences posées par le RGPD imposaient déjà aux entreprises d’adapter leurs processus pour assurer leur transparence vis-à-vis des utilisateurs. Ces mesures couvraient en particulier la collecte, le stockage, la modification, l’utilisation et la mise à disposition des données. 

Avec le Digital Market Act, ces obligations se doivent de nouvelles mesures restrictives. Il sera notamment interdit aux entreprises de croiser les données des utilisateurs recourant à plusieurs services sans leur consentement. Les entreprises ne pourront également plus les empêcher de retirer les applications préinstallées ou de télécharger celles de magasins tiers. La portabilité des données (ou l’interopérabilité des services) ne pourra également plus être empêchée ou contrainte. Pour finir, il sera interdit aux entreprises technologiques d’imposer à leurs utilisateurs professionnels de souscrire à des services tiers pour profiter de leur service principal.

Au sein des entreprises, ces nouvelles réglementations posent des défis conséquents à presque tous les services (du support aux ventes). Pour se mettre en conformité, elles devront revoir le traitement de leurs données. Mais aussi se questionner sur leur nature, leur durée de conservation, ou encore leur accès. 

Ce travail commence le plus souvent par un audit de l’existant, une sensibilisation des équipes (voire une formation) au Digital Market Act. Puis, il se poursuit par la mise en place de process ainsi que d’outils automatisés et sécurisés. 

De nouveaux métiers de la data pour assurer la mise en conformité

Pour encadrer ce changement, on verra se généraliser dans les entreprises la figure du Data Protection Officer (ou DPO). Ce nouveau métier de la data, au croisement entre l’informatique, le droit et la gestion de projet, intervient pour protéger et valoriser les données de l’entreprise.   

Il a aussi un rôle de conseiller auprès des décideurs, les accompagnant dans les mesures à prendre pour garantir le respect des dispositions du DGA sur le terrain. Le DPO sera aussi le point de contact privilégié entre l’organisation et l’autorité de réglementation européenne.

Ce profil sera ainsi amené à jouer un rôle double, à la fois opérationnel mais également pédagogique. Il sera amené à conduire des actions de sensibilisation sur la réglementation en vigueur. Mais aussi des ateliers de formation des collaborateurs concernés pour les aider à s’approprier les nouveaux outils et à développer les bons réflexes en matière de gestion des données. 

Quel avenir pour nos données et leur régulation ?  

On l’a déjà évoqué : nombreux sont les observateurs à juger les efforts du Digital Market Act trop timides face à l’ampleur que prend la gestion de nos données. De nouvelles applications comme Tadata ou Mydataisrich permettent en effet aux particuliers de monétiser leurs données personnelles et de les vendre aux plus offrants.  

Face aux enjeux liés à la collecte et à l’exploitation des données personnelles, certains militent pour des modèles de réglementation et de gestion alternatifs. C’est le cas du think-tank Génération LIbre, qui prône une patrimonialité des data. Cette dernière permettrait par exemple d’acheter des services grâce à nos données personnelles. Un modèle jugé pernicieux, puisqu’il ferait du droit à la vie privée un luxe uniquement accessible à ceux qui n’auraient pas besoin de le monnayer.  

D’autres chercheurs planchent quant à eux sur les Personal Data Management Systems. Ce modèle de gestion consisterait tout simplement à confier la responsabilité de stocker physiquement les données personnelles d’un utilisateur chez lui, sur un petit ordinateur Raspberry Pi. Dans la même veine, CozyCloud permet déjà à ses clients de stocker leurs données sur un cloud sécurisé. L’idée est la même : donner le pouvoir aux citoyens et les responsabiliser dans la protection de leurs données.

Une idée intéressante et qui suit la philosophie de décentralisation de la blockchain et des crypto-monnaies. Elle n’est cependant ni réaliste ni souhaitable sans un véritable travail pédagogique auprès des futurs milliards de gestionnaires de data.

Pour vous aidez dans la protection et régulation de vos données, LePont forme au métier de Data Protection Officer et référent RGPD et la protection de données.