Le Règlement ( DGA ) constitue le premier pilier législatif de la stratégie européenne pour les données qui vise à mettre en place un marché européen unique des données.
Son objectif est de favoriser la disponibilité des données, à caractère personnel ou non, en vue de leur réutilisation.
La CNIL est l’autorité compétente pour l’enregistrement des Organisations Altruistes des Données ( OAD ) en France.
Le DGA instaure trois cas de partage de la donnée :
La réutilisation de certaines catégories de données protégées détenues par des organismes du secteur public.
Le régime des prestataires d’intermédiation de données.
Le régime des OAD reconnues.
Les OAD viennent renforcer la notion même d’altruisme des données qui consiste en la mise à disposition volontaire des données, à caractère personnel ou non, par ceux qu’on appelle des détenteurs de données.
Ce partage volontaire s’effectue dans un objectif d’intérêt général dans un contexte de confiance.
Ce statut permet à l’OAD d’apposer de façon visible un logo adopté par la Commission européenne sur chaque publication en ligne et hors ligne en rapport avec son activité. Il est accompagné d’un code QR qui comporte un lien vers la fiche de registre public des OAD reconnues au sein de l’Union européenne.
Le régime de l’altruisme des données n’est pas obligatoire, les entités qui souhaitent se prévaloir du statut d’OAD choisissent de s’enregistrer volontairement.
Les conditions d’enregistrement pour devenir une OAD
L’article 18 du DGA fixe les différentes conditions générales d’enregistrement :
Mener des activités altruistes en matière de données.
Être une personne morale poursuivant des objectifs d’intérêt général en vertu du droit national.
Exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif.
Mener ses activités altruistes en matière de données par l’intermédiaire d’une structure qui, sur le plan fonctionnel, est distincte de ses autres activités.
Se conformer à un ensemble de règles communes européennes, appelées « recueil de règles », qui garantissent que l’altruisme des données se fait, notamment, de manière transparente, sécurisée et interopérable (article 22, paragraphe 1).
À date, un tel recueil de règles n’existe pas, ce critère peut donc être écarté en l’état au moment de déposer une demande d’enregistrement.
Si l’ensemble de ces critères sont remplis, l’entité candidate peut déposer sa demande d’enregistrement auprès de la CNIL par mail : (dga@cnil.fr).
La forme juridique à privilégier
Au regard des critères listés, plusieurs formes juridiques peuvent être envisagées mais certaines sont plus propices, sans que la liste soit exhaustive :
Association reconnue d’utilité publique.
La fondation reconnue d’utilité publique.
Le groupement d’intérêt public.
Le choix de la forme doit avant tout permettre de garantir la transparence. L’OAD doit exercer une activité autonome avec une gouvernance et des ressources propres.
Les structures n’ayant pas de personnalité juridique comme un consortium sont à proscrire.
Le respect du critère de l’indépendance juridique.
L’OAD doit être indépendante, au sens juridique du terme, d’une structure exerçant son activité à but lucratif. Or, il se peut qu’une société préexistante envisage de créer une nouvelle entité destinée à être OAD.
Dans ce cas, il convient par exemple de s’assurer que l’entité juridique souhaitant obtenir la labellisation « OAD » n’est tenue par aucun lien notamment économique ou organisationnel avec la société mère qui pourrait être de nature à compromettre son autonomie.
Le recours à un sous-traitant pour l’OAD
Il est possible pour une OAD de faire appel à un prestataire technique, sous-traitant pour le traitement des données.
Le sous-traitant n’est alors pas soumis au DGA, il n’a pas besoin par exemple, de s’enregistrer auprès de la CNIL.
Toutefois, il est indispensable, en cas de traitement des données personnelles :
De mettre en place un contrat de sous-traitance, conformément à l’article 28 du RGPD.
D’interdire l’utilisation des données par le prestataire pour son propre compte que ce soit pour les exploiter, les analyser ou les revendre.
La réalisation de bénéfice pour une OAD
Le but non-lucratif de l’OAD n’est pas incompatible avec le fait de dégager des bénéfices de son activité, qui peuvent témoigner d’une gestion saine de l’OAD.
Cependant, l’OAD ne peut pas distribuer ses bénéfices, de façon directe ou indirecte, à ses différentes parties prenantes, sous quelque forme que ce soit.
Ainsi, les bénéfices réalisés pourraient permettre d’assurer la pérennité de l’activité de l’OAD ou de financer des projets entrant dans le cadre de son activité d’altruisme des données, par exemple.
La CNIL appréciera ce critère, notamment, à partir des statuts de l’organisme, de son bilan et de son compte de résultat.
La perception d’une redevance par l’OAD en échange de mise à disposition de données collectées.
Le DGA prévoit que l’OAD peut recevoir une redevance en contrepartie de la mise à disposition des données, et ne réglemente pas le niveau de cette redevance.
Cependant, cette redevance ne devrait pas être disproportionnée au regard de ses activités altruistes. L’OAD facilite le partage des données et un niveau de redevance trop élevé pourrait freiner l’accès des utilisateurs à celles-ci.
Une possibilité qui pourrait permettre à l’OAD de concilier ses enjeux économiques avec ses obligations est la modulation du montant de la redevance selon la capacité à payer des utilisateurs de données.
Une OAD pourrait proposer une redevance plus élevée pour des entreprises que pour des chercheurs. La CNIL appréciera les éléments explicatifs fournis par les organismes à cet égard.
La compensation aux personnes physiques ou morales qui mettent leurs données ou les données les concernant.
La compensation ne peut pas être supérieure aux coûts de mise à disposition.
Le plafonnement de la compensation est apprécié au regard des coûts, comme ceux liés à la diffusion des données, de leur anonymisation si applicable, de maintenance d’un environnement de traitement sécurisé etc.
La compensation peut prendre une forme monétaire mais peut également prendre la forme d’un service. Il appartiendra à l’organisme de justifier de ces coûts et de la valeur de ce service.