Plusieurs problèmes empêchent l’UE de réaliser son potentiel dans le domaine de l’économie fondée sur les données.

La fragmentation d’un État membre à l’autre représente un risque majeur pour la vision d’un espace européen commun des données et pour la poursuite du développement d’un véritable marché unique des données. Plusieurs États membres ont commencé à adapter leur cadre juridique, notamment sur l’utilisation, par les pouvoirs publics, des données détenues par le secteur privé ¹⁴, sur le traitement des données à des fins de recherche scientifique ¹⁵ ou sur des adaptations du droit de la concurrence ¹⁶. D’autres commencent seulement à étudier comment gérer les enjeux en cause. Ces écarts soulignent l’importance d’une action commune pour tirer parti de l’ampleur du marché intérieur. Il faut progresser ensemble sur les points suivants:

Disponibilité des données: La valeur des données tient à leur utilisation et réutilisation. Actuellement, les données disponibles sont insuffisantes pour une réutilisation innovante, notamment aux fins du développement de l’intelligence artificielle. Les questions peuvent être regroupées selon qui est le détenteur des données et qui est l’utilisateur des données, mais dépendent également de la nature des données concernées (à caractère personnel ou non, ou des séries de données combinant les deux ¹⁷ ). Plusieurs questions concernent la disponibilité des données pour le bien public.

Données pour le bien public: Les données sont créées par la société et peuvent servir à lutter contre les situations d’urgence, telles que les inondations et les feux de forêt, à faire en sorte que les personnes vivent plus longtemps et en meilleure santé, à améliorer les services publics et à lutter contre la dégradation de l’environnement et le changement climatique et à permettre une lutte plus efficace contre la criminalité. Les données générées par le secteur public ainsi que la valeur créée devraient être disponibles pour le bien commun en faisant en sorte, par le recours à un accès préférentiel, que ces données soient utilisées par des chercheurs, d’autres institutions publiques, des PME ou des start-ups. Les données provenant du secteur privé peuvent également apporter une contribution significative au bien public. L’utilisation de données agrégées et anonymisées provenant des médias sociaux peut par exemple constituer un moyen efficace de compléter les rapports des médecins généralistes en cas d’épidémie.

• Utilisation des informations du secteur public par les entreprises (partage de données du secteur public vers le secteur privé – G2B). L’ouverture des informations détenues par les pouvoirs publics est une politique de longue date de l’UE ¹⁸. Les données ont été produites avec des fonds publics et devraient donc bénéficier à la société. La directive sur les données ouvertes ¹⁹ récemment révisée, ainsi que les autres dispositions législatives sectorielles, garantiront que le secteur public mette un plus grand volume des données qu’il produit à la disposition de tous ²⁰, notamment des PME, mais aussi de la société civile et de la communauté scientifique, dans le cadre d’évaluations indépendantes des politiques publiques. Les pouvoirs publics peuvent cependant aller plus loin. Les ensembles de données de grande valeur ne sont souvent pas disponibles dans les mêmes conditions dans toute l’UE, au détriment de l’utilisation des données par des PME qui ne peuvent faire face financièrement à cette fragmentation. Dans le même temps, les données sensibles (par exemple les données de santé) dans les bases de données publiques ne sont souvent pas mises à disposition à des fins de recherche, en l’absence de capacités ou de mécanismes permettant des actions de recherche spécifiques dans le respect des règles de protection des données à caractère personnel.

• Partage et utilisation de données privées détenues par d’autres entreprises (partage de données d’entreprises à entreprises – B2B). Malgré son potentiel économique, le partage de données entre entreprises n’a pas pris suffisamment d’ampleur. Cela est dû à un manque d’incitations économiques (sans compter la crainte de perdre un avantage concurrentiel), à un manque de confiance entre les opérateurs économiques dans le fait que les données seront utilisées conformément aux accords contractuels, à des déséquilibres en matière de pouvoir de négociation, à la crainte du détournement de données par des tiers, enfin à un manque de clarté juridique quant à savoir qui peut faire quoi avec les données (par exemple dans le cas de données coproduites, en particulier les données de l’Internet des objets).

• Partage et utilisation de données privées par les pouvoirs publics (partage de données d’entreprises à pouvoirs publics – B2G). Les volumes de données du secteur privé à la disposition du secteur public sont actuellement insuffisants pour améliorer l’élaboration des politiques sur la base d’éléments concrets ²¹ et les services publics tels que la planification de la mobilité ou l’amélioration de la portée et de l’actualité des statistiques officielles ²² et, partant, de leur pertinence dans le contexte des nouveaux développements sociétaux. Un groupe d’experts ²³ établi par la Commission a recommandé notamment de créer des structures nationales pour le partage de données B2G, de développer des incitations appropriées favorisant l’acquisition d’une culture du partage des données et d’étudier la possibilité d’un cadre réglementaire de l’UE régissant la réutilisation par le secteur public de données détenues par le secteur privé, pour des motifs d’utilité publique.

• Le partage des données entre les pouvoirs publics est tout aussi important. Il peut grandement contribuer à l’amélioration des politiques et des services publics, et aussi à la réduction de la charge administrative qui pèse sur les entreprises opérant sur le marché unique (principe «une fois pour toutes»).

Déséquilibres en termes de pouvoir de marché: Outre la forte concentration dans la fourniture de services en nuage et d’infrastructures de données, on observe également des déséquilibres sur le marché en ce qui concerne l’accès aux données et leur utilisation, par exemple dans le cas des PME. Un cas typique est celui des plateformes en ligne, où un petit nombre d’acteurs peuvent accumuler de grands volumes de données, acquérant ainsi, grâce à la richesse et à la diversité des données qu’ils détiennent, des connaissances et des avantages concurrentiels importants. Cela peut ensuite affecter la contestabilité des marchés dans des cas spécifiques, non seulement le marché de ces services de plateformes, mais aussi les différents marchés spécifiques des biens et services desservis par la plateforme, en particulier si la plateforme est elle-même active sur ces marchés. Le pouvoir de marché élevé qui résulte de l’«avantage lié aux données» peut permettre aux grands acteurs de fixer les règles sur la plateforme et d’imposer unilatéralement des conditions d’accès et d’utilisation des données, voire d’utiliser ce pouvoir lorsqu’ils développent de nouveaux services et partent à la conquête de nouveaux marchés. Des déséquilibres peuvent également survenir dans d’autres situations, telles que l’accès aux données coproduites de l’internet des objets provenant de dispositifs industriels et grand public.

Interopérabilité et qualité des données: L’interopérabilité et la qualité des données, ainsi que leurs structure, authenticité et intégrité, sont essentielles pour l’exploitation de la valeur des données, dans le contexte du déploiement de l’IA. Les producteurs et les utilisateurs de données ont recensé des problèmes d’interopérabilité qui entravent la combinaison de données provenant de différentes sources à l’intérieur des secteurs, et encore plus entre les secteurs. L’application de formats et de protocoles compatibles standard et partagés pour la collecte et le traitement de données de différentes sources d’une manière cohérente et interopérable dans tous les secteurs et les marchés verticaux devrait être encouragée au moyen du plan évolutif pour la normalisation des TIC ²⁴ et (en ce qui concerne les services publics) du cadre d’interopérabilité européen renforcé ²⁵.

Gouvernance des données: Des appels ont été lancés pour renforcer encore la gouvernance en matière d’utilisation des données dans la société et dans l’économie ²⁶. Pour que ces espaces de données deviennent opérationnels, des approches et des structures organisationnelles (tant publiques que privées) sont nécessaires pour permettre une innovation fondée sur les données sur la base du cadre juridique existant.

Infrastructures et technologies de données: La transformation numérique de l’économie de l’UE dépend de la disponibilité et de l’adoption de capacités de traitement des données sûres, économes en énergie, abordables et de haute qualité, telles que celles offertes par les infrastructures et services en nuage, tant dans des centres de données qu’à la périphérie. Dans cette perspective, l’UE doit réduire ses dépendances technologiques dans ces infrastructures stratégiques, qui sont au cœur de l’économie des données.

Or des problèmes subsistent dans l’informatique en nuage, aussi bien du côté de l’offre que de la demande.

Du côté de l’offre:

• Les fournisseurs de services d’informatique en nuage implantés dans l’UE ne détiennent qu’une faible part du marché, ce qui rend l’UE fortement dépendante de fournisseurs externes, vulnérable à des menaces extérieures en matière données, et sujette à une perte de potentiel d’investissement pour l’industrie numérique européenne sur le marché du traitement des données.

• Des fournisseurs de services opérant dans l’UE peuvent également être assujettis à la législation de pays tiers, ce qui présente le risque que les données des citoyens et des entreprises de l’UE soient accessibles à des juridictions de pays tiers, en contradiction avec le cadre de l’UE en matière de protection des données. En particulier, des préoccupations ont été exprimées au sujet de plusieurs lois chinoises relatives à la cybersécurité et au renseignement national.

• Face aux législations de pays tiers du type de la loi américaine sur l’informatique en nuage, qui sont fondées sur des motifs de politique publique tels que l’accès des services répressifs à des données dans le cadre d’enquêtes pénales, l’application de législations de juridictions étrangères soulève des inquiétudes légitimes pour les entreprises, les particuliers et les pouvoirs publics européens concernant l’insécurité juridique et la conformité au droit de l’UE, notamment les dispositions relatives à la protection des données. L’UE s’efforce d’atténuer ces préoccupations par une coopération internationale mutuellement bénéfique, comme par exemple l’accord proposé entre l’UE et les États-Unis en vue de faciliter l’accès transfrontière aux preuves électroniques, atténuant ainsi le risque de conflit de lois et établissant des garanties pour les données des citoyens et des entreprises de l’UE. L’UE travaille également au niveau multilatéral, notamment dans le cadre du Conseil de l’Europe, à la définition de règles communes sur l’accès aux preuves électroniques, sur la base d’un niveau élevé de protection des droits fondamentaux et procéduraux.

• L’incertitude concerne notamment la conformité des fournisseurs de services en nuage avec d’importantes règles et normes de l’UE, par exemple en matière de protection des données.

• Les microentreprises et les PME subissent un préjudice économique en raison de problèmes liés aux contrats, tels que la non-conformité avec le contrat ou des clauses contractuelles abusives ²⁷ .

Du côté de l’offre:

• On observe une faible pénétration de l’informatique en nuage en Europe (1 entreprise sur 4, et seulement 1 PME sur 5 ²⁸ ). On constate cependant des écarts importants en la matière d’un État membre à l’autre, le pourcentage des entreprises utilisant l’informatique en nuage allant de moins de 10 % à plus de 65 %;

• En particulier, le secteur public européen utilise peu l’informatique en nuage. Il peut en résulter un déficit d’efficacité des services publics numériques, non seulement en raison du potentiel évident de l’informatique en nuage pour réduire les coûts des TIC, mais aussi du fait que les administrations publiques ont besoin de l’évolutivité de l’informatique en nuage pour déployer des technologies telles que l’intelligence artificielle.

• Les fournisseurs plus petits de services innovants en nuage, souvent européens, souffrent dans bien des cas d’un manque de visibilité sur le marché.

• Les entreprises européennes rencontrent fréquemment des problèmes d’interopérabilité multi-nuages, en particulier pour la portabilité des données.

Permettre aux individus d’exercer leurs droits: Les personnes physiques apprécient le niveau de protection instauré par le RGPD et par la législation «vie privée et communications électroniques». Elles souffrent cependant de l’absence d’outils et de normes techniques rendant l’exercice de leurs droits simple et pas trop contraignant. Le potentiel qu’offre l’article 20 du RGPD de permettre de nouveaux flux de données et de favoriser la concurrence est reconnu dans des rapports établis pour la Commission et pour des gouvernements des États membres ²⁹, sans être limité à l’UE ³⁰. Toutefois, du fait de sa conception visant à permettre le changement de fournisseur plutôt que la réutilisation des données dans les écosystèmes numériques, le droit en question est limité en pratique.

Des volumes de plus en plus importants de données étant générés par les consommateurs lorsqu’ils utilisent des dispositifs de l’internet des objets et des services numériques, les consommateurs peuvent être confrontés à des risques de discrimination, des pratiques déloyales et à des effets de «verrouillage». Des considérations concernant l’autonomisation des consommateurs et l’innovation sous-tendent les dispositions de la directive sur les services de paiement relatives à l’accès aux données et à leur réutilisation.

Face à cette situation, certains appellent à donner aux individus les outils et moyens leur permettant de décider, à un niveau détaillé, de l’utilisation faite de leurs données (mouvement MyData et autres) ³¹. Cette approche ouvre la perspective d’avantages considérables pour les personnes, notamment concernant leur santé et leur bien-être, de meilleures finances personnelles, une empreinte environnementale réduite, un accès aisé aux services publics et privés ainsi qu’un suivi et une transparence accrus de leurs données à caractère personnel. Ces outils et moyens comprennent des outils de gestion des consentements, des applications de gestion des informations à caractère personnel, y compris des solutions entièrement décentralisées qui s’appuient sur la chaîne de blocs, ainsi que les coopératives ou les fiducies de données à caractère personnel faisant fonction de nouveaux intermédiaires neutres dans l’économie fondée sur les données à caractère personnel ³². Ces outils n’en sont encore qu’à leurs balbutiements, mais leur potentiel est important et ils ont besoin d’un environnement favorable.

Compétences et éducation au numérique Actuellement, les mégadonnées et l’analyse figurent tout en haut de la liste des pénuries de compétences critiques. En 2017, on comptait environ 496 000 postes vacants dans le domaine des mégadonnées et de l’analyse dans l’UE-27 ³³ . En outre, les connaissances générales en matière de données dans la population active et le grand public sont relativement faibles, et certains restent en dehors de ce domaine (les personnes âgées par exemple). Si rien n’est fait pour y remédier, la pénurie d’experts en données et le manque d’éducation au numérique affecteront la capacité de l’UE à relever les défis de l’économie et de la société fondées sur les données.

Cybersécurité: Dans le domaine de la cybersécurité, l’UE a développé un cadre déjà complet pour aider les États membres, les entreprises et les citoyens à faire face aux menaces et attaques dans le cyberespace, et elle continuera à développer et à améliorer ses mécanismes de protection de ses données et les services qui en sont issus. L’utilisation sûre et généralisée des produits et services alimentés par les données dépendra également de l’existence de normes de cybersécurité les plus élevées. Le cadre de l’UE pour la certification de cybersécurité et l’Agence de l’UE pour la cybersécurité (ENISA) ³⁴ devraient jouer un rôle important à cet égard.

Toutefois, les nouvelles pratiques en matière de données, selon lesquelles les volumes stockés en centre de données diminuent tandis que davantage de données sont réparties de manière systématique plus à proximité de l’utilisateur «à la périphérie», posent de nouveaux défis en matière de cybersécurité. Il sera essentiel de préserver la sécurité des données lors de l’échange de données. Assurer la continuité des contrôles d’accès (c’est-à-dire la gestion et le respect des attributs de sécurité des données) tout au long de la chaîne de valeurs des données sera un préalable ardu mais indispensable pour favoriser l’échange de données et garantir la confiance entre les différents acteurs des écosystèmes de données européens.

Les nouvelles technologies numériques décentralisées tels que les chaînes de blocs offrent aux personnes et aux entreprises de nouvelles possibilités de gestion des flux de données et de l’utilisation de celles-ci, sur la base du libre choix individuel et de l’autodétermination. Ces technologies rendront possible la portabilité dynamique des données en temps réel pour les particuliers et les entreprises, ainsi que différents modèles de compensation.