Chaque entreprise industrielle possède un trésor : ses données. Depuis juin 2022, le règlement 2022/868, dit Data Governance Act, organise leur partage pour stimuler l’innovation européenne. Les producteurs de données industrielles doivent donc concilier ouverture, sécurité et respect de leurs droits de propriété intellectuelle. Voici la feuille de route essentielle pour rester maître de vos informations stratégiques tout en profitant des nouvelles opportunités de marché.
Comprendre la portée du Data Governance Act
Le Data Governance Act (DGA) crée un cadre harmonisé de circulation des données non personnelles au sein de l’Union. Il complète le RGPD, centré sur les données à caractère personnel, et s’inscrit dans la même logique que le Digital Services Act et le futur Data Act. Son objectif premier reste la confiance : aucune exploitation économique durable n’est possible si les détenteurs de données craignent la perte de leurs secrets industriels.
Le DGA instaure donc un système de « gestionnaires de données » agréés. Ces intermédiaires vérifient l’identité des parties, encadrent la réutilisation et garantissent la neutralité du service. Pour le producteur, cela réduit le risque de détournement et d’appropriation illicite.
Le règlement crée aussi une distinction capitale entre partage volontaire et partage imposé par la loi sectorielle. Sauf obligation spécifique (transport, énergie, santé), vous restez libre d’ouvrir ou non vos jeux de données. Toutefois, dès que vous optez pour l’ouverture, vous devez respecter les articles 5 à 8. Ceux‑ci imposent un contrat clair, la traçabilité des accès et l’identification du destinataire final. Les autorités nationales désignent un « autorité compétente » chargée des contrôles. En France, cette mission devrait logiquement revenir à la CNIL (Commission Nationale de l’Informatique et des Libertés) pour la partie personnelle. Concernant la partie industrielle, l’ARCEP (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) devrait être en charge, avec possible coopération du ministère de l’Économie.
Enfin, le DGA affirme que le partage n’affecte pas l’existence des droits de propriété intellectuelle (article 4§4). Les principes du droit d’auteur, du secret d’affaires et du droit sui generis sur les bases de données demeurent donc intacts.
Identifier les données industrielles concernées et leurs titulaires de droits
La notion de « donnée industrielle » recouvre toute information générée par un processus de fabrication : relevés de capteurs, rapports de maintenance, données de production… Avant de partager, vous devez cartographier vos actifs informationnels.
- D’abord, distinguez les données brutes, souvent dénuées d’originalité, et les données structurées, susceptibles de bénéficier de la protection par le droit des bases de données (directive 96/9/CE transposée en articles L.341‑1 et s. du Code de la propriété intellectuelle).
- Ensuite, repérez les éléments incorporant du savoir‑faire confidentiel. Ils relèvent de la directive 2016/943 sur les secrets d’affaires transposée aux articles L.151‑1 et s. du Code du commerce.
- Enfin, vérifiez la présence éventuelle de données issues de tiers, par exemple des fournisseurs d’équipements ou des opérateurs de maintenance. Leur partage nécessite leur accord sauf exception légale.
L’étape suivante consiste à identifier le « producteur » au sens du DGA. Il s’agit de l’entité qui exerce le contrôle de fait sur le jeu de données et qui peut, en pratique, autoriser ou interdire l’accès. Cette précision n’est pas anodine. En effet, dans un groupe industriel, la maison mère n’est pas toujours productrice si la filiale détient le système d’information. De même, les joint‑ventures exigent une analyse contractuelle pour éviter tout conflit sur la titularité.
Enfin, n’oubliez pas que certaines données, bien que non personnelles, peuvent devenir identifiantes une fois enrichies. La prudence impose alors d’appliquer par analogie les principes de minimisation et de finalité du RGPD, rappelés par l’ENISA dans ses lignes directrices sur les data spaces.
Organiser un partage sécurisé des données industrielles
Une fois le périmètre défini, place à l’organisation concrète. Le DGA encourage la création de « data spaces », c’est‑à‑dire d’environnements techniques et juridiques où plusieurs entreprises échangent des données selon des règles communes. Pour le producteur, trois piliers demeurent essentiels.
- D’abord, la sécurité. Implémentez un chiffrement robuste au repos et en transit, des logs d’accès infalsifiables et des politiques d’authentification multifacteur.
- Ensuite, la contractualisation. Chaque partage doit faire l’objet d’un accord écrit précisant l’objet, la durée, la redevance éventuelle et les sanctions en cas de mésusage. Pensez à intégrer une clause de rappel des droits de propriété intellectuelle : le destinataire ne peut déposer un brevet ou un droit d’auteur sur un savoir‑faire hérité sans l’autorisation écrite du producteur.
- Enfin, la gouvernance technique. Nommez un responsable interne des données industrielles. Ce « Data Steward » tient le registre des échanges exigé par l’article 23 du règlement et agit comme point de contact auprès de l’autorité compétente.
Attention toutefois à la localisation : si l’hébergeur se trouve hors Union européenne, assurez‑vous d’une clause de stockage en Europe ou d’un mécanisme de transfert conforme, sous peine de contrevenir au principe de localisation posé par le DGA.
Mettre en place une gouvernance conforme et évolutive
Le Data Governance Act n’est pas un texte figé. La Commission publiera régulièrement des actes d’exécution détaillant les exigences techniques des gestionnaires de données. Les producteurs doivent donc créer un dispositif de veille et de revue interne.
- Première action : intégrer le DGA dans votre politique de conformité globale, au même titre que le RGPD et la directive NIS 2. Cela passe par une procédure annuelle d’audit des flux de données industrielles et par une cartographie mise à jour des risques d’atteinte aux secrets d’affaires.
- Deuxième action : former les équipes. Les ingénieurs, souvent focalisés sur la performance, perçoivent mal les enjeux juridiques. Des capsules de e‑learning courtes, complétées d’ateliers pratiques, suffisent souvent à enrayer le danger.
- Troisième action : prévoir un scénario de révocation. Si un partenaire viole les conditions de partage, vous devez pouvoir couper l’accès immédiatement et récupérer les copies. Insérez donc dans vos contrats une clause d’audit et un droit d’effacement sous quarante‑huit heures.
- Enfin, anticipez la convergence avec le futur règlement Data Act, qui imposera un accès aux données générées par les objets connectés.
Pour rester compétitif, adoptez une architecture modulaire facilitant l’échange, mais gardez la maîtrise du catalogue. Vous pourrez ainsi décider, demain, de monétiser de nouveaux jeux de données sans repenser toute votre infrastructure.
Conclusion
Le Data Governance Act transforme le partage de données industrielles en atout stratégique. Les producteurs qui cartographient leurs actifs, sécurisent leurs flux et instaurent une gouvernance agile protègent leurs droits de propriété intellectuelle tout en créant des sources de revenus. Agissez sans attendre : commencez par un audit succinct de vos jeux de données, puis établissez un contrat‑type de partage adaptable à vos partenaires.
Deshoulières Avocats vous conseille et vous accompagne dans la qualification de vos données, la rédaction de vos contrats de partage et la mise en place d’une gouvernance conforme au Data Governance Act.
RESSOURCES :
