Les dernières tendances en matière de régulations open data
Si vous nous avez suivis pendant le confinement, vous avez certainement remarqué que le Covid-19 a généré un taux d'échange de données sans précédent à travers le monde. Cependant, savez-vous vraiment quel type de données vous pouvez légalement publier, en particulier si vous vivez en Europe ?
Si vous nous avez suivis pendant le confinement, vous avez certainement remarqué que le Covid-19 a généré un taux d’échange de données sans précédent à travers le monde. Cependant, savez-vous vraiment quel type de données vous pouvez légalement publier, en particulier si vous vivez en Europe ?
Au cours des dernières années, l’Union Européenne s’est érigée en tant que grande championne de la protection des données, une réputation qu’elle s’est notamment forgée grâce au fameux règlement général sur la protection des données (RGPD), mis en œuvre en 2018. La bonne nouvelle, c’est que l’UE veut également se faire le fer de lance de l’ouverture et du partage des données.
Mais sa politique de protection des données laisse-t-elle assez de marge à l’open data ? Continuez votre lecture pour le savoir !
Réglementations sur l'open data dans le secteur public
Pour stimuler l’innovation ouverte au sein de la société et dans le secteur économique, les données générées à partir de fonds publics doivent être rendues librement accessibles au public afin de faciliter leur réutilisation, notamment par les entreprises, la société civile et les chercheurs. C’est le cadre défini par la directive sur l’ouverture des données et la réutilisation des informations du secteur public, adoptée en 2019.
Cette directive s’applique à toutes les données qui peuvent être accessibles en vertu des lois sur « l’accès à l’information » de chaque État Membre et qui sont détenues par les organisations publiques nationales, régionales ou locales. Parmi ces organes publics, citons par exemple les ministères, les agences d’État, les librairies, les institutions de gestion du patrimoine culturel, mais aussi des centres de recherche publiquement subventionnés et des entreprises publiques, notamment dans le secteur du transport, de l’énergie et des services postaux. Seule la sécurité, la propriété intellectuelle et les données personnelles échappent à cette législation.
Les données peuvent être réutilisées de manière gratuite ou peu onéreuse, dans la limite des coûts marginaux de leur diffusion. Les ensembles de données à « forte valeur » (comme les données géospatiales, environnementales, météorologiques, statistiques ou les données sur l’observation terrestre, la mobilité ou la propriété des entreprises) doivent toujours être gratuits et disponibles à travers des API. Le cas échéant, ils doivent être téléchargeables en bloc. Ainsi, la directive sur l’ouverture des données réduit les coûts pour les PME et renforce la transparence dans le secteur public. Son unique défaut : elle n’impose aucune norme ouverte commune. Par conséquent, si différents pays choisissent différentes normes, elle s’expose à des problèmes d’interopérabilité.
Réglementations sur l'open data dans le secteur privé
Les entreprises privées ont-elles intérêt à investir dans l’ouverture et le partage des données ? Quoi qu’il en soit, la tendance a le vent en poupe. Bien que la plupart des initiatives soient volontaires et autorégulées, on assiste à l’émergence d’un certain cadre de réglementation dans certains secteurs. Souvenez-vous du concept de l’« Open Banking », que j’ai évoqué dans mon dernier article. Nous allons aujourd’hui nous intéresser plus précisément à la législation qui encadre ce service. En 2016, la 2ème directive sur les services de paiement (DSP2) ouvre le marché à des prestataires de paiement tiers (PSP). Pour simplifier, prenons encore une fois l’exemple de l’application de paiement mobile française, Lydia.
La DSP2 concerne 3 types de services : l’initiation de paiement (pour les paiements en ligne instantanés), les informations sur les comptes (pour centraliser le contrôle exercé sur de nombreux comptes de paiement) et l’émission d’instruments de paiement par carte (par les PSP). L’application Lydia réunit tous ces avantages : elle permet de contrôler différents comptes bancaires, de faire des virements (y compris par SMS ou par e-mail), de créer des cagnottes en ligne, de payer par code QR et de disposer de portefeuilles numériques. La version premium propose même une MasterCard Lydia. Comment cela est-il possible ?
Conformément à la directive DSP2, toutes les institutions qui proposent des comptes de paiement, comme les banques, sont tenues d’utiliser des API pour transmettre des données sur les comptes et des services à des tiers autorisés et réglementés au nom des titulaires des comptes. Pour assurer le respect de cette directive et aider les banques à identifier les PSP fiables, l’Union Européenne a mis en place une plateforme d’Open Banking. Celle-ci met à disposition un répertoire centralisé d’informations sur l’accès aux comptes, ainsi qu’un répertoire de réglementation (contenant la liste des PSP enregistrés) et un répertoire de transparence (contenant les informations opérationnelles des PSP et leurs coordonnées).
Réglementations sur l'open data dans le secteur scientifique
Outre la directive d’ouverture des données, les données issues des recherches publiquement financées sont également régulées par l’European Cloud Initiative de 2016. Dans ce document, la Commission Européenne a jeté les bases de la création d’un European Open Science Cloud (EOSC), une plate-forme lancée en 2018.
L’EOSC est une fédération rassemblant plusieurs clouds scientifiques existants qui fournissent un point d’accès unique aux données provenant des recherches publiquement financées, et permet de les réutiliser gratuitement. Interopérables, ces ensembles de données sont conçus pour favoriser les recherches interdisciplinaires. De nombreux domaines y sont représentés, comme la médecine, les sciences naturelles, la physique, les sciences de la terre, les sciences humaines, l’agriculture et l’ingénierie. La plate-forme propose aussi des services complémentaires, comme la gestion, le traitement, l’analyse et le stockage des données, la capacité informatique, la sécurité, le réseautage, la formation et la mise à disposition d’un répertoire d’articles scientifiques.
Sur le long terme, cette plate-forme vise à élargir la base d’utilisateurs de l’EOSC au secteur public et aux industries pertinentes, afin de promouvoir à la fois la science ouverte et l’open innovation, pour le plus grand bénéfice de la société et de l’économie.
Prochaines étapes
Publiée en février 2020, la Stratégie européenne pour les données constitue la dernière réglementation en date dans le domaine. L’un de ses objectifs consiste à mettre en place un cadre législatif et une capacité de financement pour créer des espaces de données communs à l’échelle européenne pour les secteurs agricole, industriel, financier, sanitaire et public, ainsi que dans le domaine du transport, des compétences numériques et de l’écologie. Un décret d’application précisera quels seront les ensembles de données à « forte valeur » au sein de la directive d’ouverture des données, tandis qu’une loi sur les données encouragera le partage de données B2B et B2G. Des ressources seront aussi consacrées à l’interconnexion entre les capacités informatiques existantes, comme l’EOSC et les Clouds DIAS , permettant d’accéder aux données sur l’observation de la Terre de Copernicus, et le développement d’un marché dédié aux services Cloud pour les secteurs publics et privés.
L’UE a bel et bien réussi à concilier protection et ouverture des données. Comment ? En excluant les données personnelles de ses réglementations d’ouverture des données et en soumettant le partage de données aux normes strictes sur le consentement et la sécurité définies par le RGPD. L’UE réussira-t-elle également à mettre en œuvre sa nouvelle Stratégie pour les données ? Seul l’avenir nous le dira !
La gouvernance des données est essentielle pour garantir des données fiables, dignes de confiance et accessibles par les bons utilisateurs, et ainsi permettre aux entreprises de devenir véritablement data-centric. S'assurer de la bonne gouvernance des données présentes sur le Cloud pose de nouveaux défis en matière de contrôle, de sécurité et de conformité.