Avis de la Banque centrale européenne

du 5 septembre 2022

sur une proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données)

(CON/2022/30)

(2022/C 402/05)

Introduction et fondement juridique

Le 23 février 2022, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour assurer l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) (ci-après le « règlement proposé ») (1). La Banque centrale européenne (BCE) estime que le règlement proposé relève de son domaine de compétence et a dès lors décidé, comme prévu à l’article 127, paragraphe 4, deuxième phrase, et à l’article 282, paragraphe 5, du traité sur le fonctionnement de l’Union européenne, d’exercer son droit de soumettre son avis.

La compétence de la BCE pour émettre un avis est fondée sur les articles 127, paragraphe 4 et 282, paragraphe 5, du traité, étant donné que le règlement proposé contient des dispositions affectant les missions de la BCE concernant la définition et la mise en œuvre de la politique monétaire et la promotion du bon fonctionnement des systèmes de paiement en vertu de l’article 127, paragraphe 2, premier et quatrième tirets, et de l’article 282, paragraphe 1, du traité, ainsi que la collecte d’informations statistiques conformément à l’article 5 des statuts du Système européen de banques centrales et de la Banque centrale européenne (ci-après les « statuts du SEBC »). Conformément à l’article 17.5, première phrase, du règlement intérieur de la Banque centrale européenne, le présent avis a été adopté par le conseil des gouverneurs.

1.   Observations générales

1.1

Le règlement proposé est un élément important dans la mise en œuvre de la stratégie européenne pour les données (2). La création d’un cadre juridique solide facilitera le développement de l’économie européenne fondée sur les données. La BCE se félicite donc du règlement proposé et de la mise en place d’un cadre régissant l’accès aux données provenant de sources du secteur privé et leur utilisation, comprenant des exigences en matière de partage des données, de transparence et de protection de la confidentialité.

1.2

La BCE se félicite que la Commission ait l’intention de procéder à une évaluation du règlement proposé deux ans après sa date d’application (3). L’évaluation devrait porter sur l’efficacité et l’efficience du cadre technique et des procédures mis en place pour se conformer au règlement proposé.

1.3

Le règlement proposé est un règlement horizontal qui fixe des règles de base qui s’appliqueront à tous les secteurs et auxquelles la future législation sectorielle devrait, en principe, se conformer, y compris la législation qui relève des domaines de compétence de la BCE, comme la directive (UE) 2015/2366 du Parlement européen et du Conseil (4) (ci-après la « DSP2 »). Il est important de tenir compte de l’avis de la BCE sur ce règlement horizontal car il est susceptible d’avoir des implications pour la législation sectorielle sur laquelle la BCE pourrait adopter de nouveaux avis lors de la modification de cette législation.

1.4

D’autres dispositions législatives pourraient être nécessaires pour établir des règles plus détaillées que celles contenues dans le règlement proposé afin de permettre à la BCE d’avoir accès aux données nécessaires à l’accomplissement de ses missions. La BCE peut être amenée à adopter de nouveaux avis sur de tels actes législatifs.

1.5

Il appartient à la Commission européenne et aux législateurs de l’Union d’évaluer la conformité du règlement proposé avec les règles de l’Union en matière de protection des données.

2.   Observations particulières

2.1

Champ d’application du règlement proposé

2.1.1

Le règlement proposé vise à réglementer et à faciliter l’accès aux données obtenues à partir de produits ou de services connexes ainsi que leur utilisation. Le terme « produit » est défini comme un bien meuble corporel, y compris lorsqu’il est incorporé dans un bien immeuble, qui obtient, génère ou collecte des données relatives à son utilisation ou à son environnement, qui est en mesure de communiquer des données par l’intermédiaire d’un service de communications électroniques accessible au public et dont la fonction première n’est pas de stocker et de traiter des données (5). Si cette définition large semble conforme à l’objectif du règlement proposé visant à augmenter la valeur des données pour les consommateurs, les entreprises et la société (6), certains types de données, telles que les données produites par le secteur public, pourraient relever de son champ d’application. Le champ d’application du règlement proposé devrait être précisé de manière à exclure certains types de données, telles que les données produites par le secteur public.

2.1.2

Dans le contexte des services financiers, la BCE recommande de préciser quels sont les produits qui pourraient être couverts par la définition figurant dans le règlement proposé. Les services financiers ou les produits connexes, tels que les comptes de paiement, les cartes de paiement et les applications sur le smartphone d’un utilisateur, pourraient éventuellement être concernés par les définitions de « produit » et de « service connexe » figurant dans le règlement proposé. En outre, l’exposé des motifs accompagnant le règlement proposé fait référence à la DSP2 comme exemple de législation sectorielle traitant de l’accès aux données. La DSP2 traite de l’accès aux comptes de paiement accessibles par voie électronique. Il est difficile de savoir si ces comptes de paiement sont considérés comme des produits tels que définis dans le règlement proposé. La BCE souhaite mettre en lumière la complexité et la diversité des situations réelles dans le domaine des services et instruments de paiement et le fait que le règlement proposé ne devrait pas créer de contraintes, ni de complications imprévisibles dans ce domaine. Seuls les produits détenus par l’utilisateur devraient entrer dans le champ d’application de la proposition de règlement.

2.2

Normalisation

2.2.1

Le règlement proposé ne traite pas de la mise en œuvre technique du cadre juridique régissant l’accès aux données et leur utilisation. L’analyse des contributions à la consultation publique sur le règlement proposé a montré que, dans le contexte interentreprises, 69 % des répondants ayant rencontré des difficultés ont relevé des obstacles de nature technique (formats, absence de normes). L’un des enseignements tirés de la mise en œuvre de la DSP2, qui ouvre également l’accès à certains types d’informations relatives aux transactions de paiement et aux comptes sous certaines conditions, est que la mise en œuvre technique entraîne un retard de réalisation des objectifs de la DSP2. Afin de lever les obstacles qui gênent le passage d’un service de traitement de données à un autre, le règlement proposé devrait exiger des organismes européens de normalisation qu’ils établissent les normes nécessaires et des spécifications d’interopérabilité ouvertes. En outre, le règlement proposé requiert de la Commission qu’elle adopte des spécifications communes dans des domaines où il n’existe pas de normes harmonisées ou dans lesquels elles sont insuffisantes afin de renforcer l’interopérabilité d’espaces européens communs des données, d’interfaces de programmation d’applications (API), de fournisseurs de services de traitement des données et afin de permettre le changement de fournisseur de services d’informatique en nuage ainsi que de contrats intelligents. La difficulté des travaux à venir et le nombre d’années nécessaires pour les mener à bien ne doivent pas être sous-estimés.

2.2.2

Si la normalisation des données n’est pas obtenue avec le règlement proposé, l’utilité des données en cas de besoin exceptionnel peut être difficile à évaluer. En outre, les données non normalisées peuvent ne pas être utilisables à des fins de prise de décision.

2.3

Accès aux données et utilisation des données par la BCE

2.3.1

Il y a des avantages considérables au fait de permettre au secteur public d’avoir accès aux données détenues par le secteur privé et de les utiliser pour un certain nombre d’objectifs d’intérêt public définis. En particulier, dans l’exercice de ses missions de politique monétaire, l’Eurosystème utilise largement les statistiques officielles produites par la BCE, les membres du Système européen de banques centrales (SEBC) et le système statistique européen (SSE), ainsi que des sources de données non officielles et non traditionnelles. Les sources de données non traditionnelles peuvent inclure des indicateurs à haute fréquence de la mobilité de la population à partir des données des opérateurs de réseaux mobiles et peuvent être utilisées, par exemple, pour vérifier les effets des restrictions de déplacement dans un contexte de pandémie ou de guerre ; d’indices de prix de détail obtenus à partir des codes-barres des principaux distributeurs ; et de statistiques sur la consommation des ménages ou les comptes nationaux à partir d’opérations financières comme des ordres d’achat, des factures, des commissions de cartes bancaires et des écritures dans les journaux. En outre, ces dernières années, la numérisation et la gestion des crises ont accru la nécessité pour les organes de décision de la BCE d’utiliser des données non normalisées dans la prise de décision, en particulier : 1) dans des situations d’urgence et de crise dans l’exercice de ses missions de politique monétaire ; et 2) à des fins statistiques, pour évaluer la qualité des données non-normalisées avant d’édicter ou de modifier des actes juridiques concernant la collecte d’informations statistiques ou leur exploitabilité avant des situations d’urgence ou de crise.

2.3.2

Pour ces raisons, la BCE estime que l’accès accordé à la BCE et aux BCN devrait être plus large que ce qui est prévu dans le règlement proposé. Les membres du SEBC devraient être autorisés à avoir accès aux données relevant du champ d’application du règlement proposé et à les utiliser, non seulement en cas de besoin exceptionnel pour accomplir les missions du SEBC, mais aussi à des fins statistiques, lorsque cela aiderait la BCE à collecter des statistiques officielles avec l’aide des BCN. Cela aiderait à son tour la BCE dans ses tâches d’harmonisation des règles et pratiques régissant la collecte, le traitement et la diffusion de statistiques dans les domaines relevant de sa compétence. Autoriser les demandes de données à des fins statistiques serait très bénéfique pour les utilisateurs finals, car cela permettrait l’analyse des données dans le but de déterminer les tendances/modèles et de gagner du temps avant l’adoption des règlements, ainsi que d’analyser les besoins du SEBC en matière de données pour les situations d’urgence et de crise. Cela dit, il est primordial qu’un accès plus large s’accompagne de mesures garantissant que l’accès aux données et leur utilisation ne se fassent qu’au niveau de détail nécessaire à l’accomplissement des missions légales, telles que le développement, la production et la diffusion de statistiques officielles et pour autant que les institutions de l’Union et les organismes du secteur public auront mis en place toutes les mesures réglementaires, administratives, techniques et organisationnelles nécessaires pour assurer la protection des données.

2.3.3

En outre, si les données mises à disposition pour répondre à une urgence publique doivent être fournies gratuitement, les données mises à la disposition des institutions, organes ou organismes de l’Union et des organismes du secteur public dans d’autres cas peuvent faire l’objet d’une compensation demandée par les détenteurs de données. Cette compensation ne devrait pas dépasser les coûts techniques et organisationnels occasionnés par la fourniture des données, c’est-à-dire les coûts d’anonymisation et d’adaptation technique sans appliquer de marge raisonnable. Lorsqu’elles se voient accorder l’accès à des données privées, les institutions de l’Union ne devraient pas supporter de coûts excessifs. Compte tenu du fait que chaque demande d’informations sert l’intérêt public, les données devraient être mises à disposition à prix coûtant et sans imposition d’une « marge raisonnable », en particulier dans les cas où la marge raisonnable est facturée plusieurs fois pour les mêmes données ou lorsque, en raison de ressources limitées, l’imposition d’une marge raisonnable peut, dans la pratique, rendre impossible l’obtention des données.

2.4

Utilisation des données obtenues par les institutions de l’Union à des fins statistiques

2.4.1

Le règlement proposé (7) permet aux organismes du secteur public ou aux institutions, organes ou organismes de l’Union de partager les données reçues avec des particuliers ou des organismes en vue de mener des travaux de recherche scientifique ou des analyses compatibles avec la finalité pour laquelle les données ont été demandées, ou avec des instituts nationaux de statistique et Eurostat en vue d’établir des statistiques officielles. Les considérants du règlement proposé (8) élargissent ce droit en précisant qu’un besoin exceptionnel peut également apparaître dans d’autres situations, par exemple en ce qui concerne l’établissement en temps utile de statistiques officielles lorsque les données ne sont pas disponibles par ailleurs ou lorsque la charge pesant sur les répondants aux statistiques s’en trouvera considérablement réduite.

2.4.2

Il convient de modifier le règlement proposé afin de permettre à la BCE et aux autres membres du SEBC d’utiliser spécifiquement les données qu’ils peuvent recevoir conformément au règlement proposé pour l’établissement de statistiques officielles de la même manière que pour Eurostat et les autres membres du SSE. Le SEBC et le SSE constituent les deux piliers des statistiques européennes dans la mesure où, ensemble, ils établissent, produisent et diffusent des statistiques européennes dans leurs domaines de compétence respectifs ; et, dans le cadre de la production de statistiques européennes, ils coopèrent étroitement entre eux afin de minimiser la charge de déclaration et d’en garantir la cohérence (9) nécessaire dans le respect des principes statistiques, y compris celui de qualité élevée des résultats. Dans la mesure où Eurostat et d’autres membres du SSE sont autorisés à utiliser les données reçues conformément au règlement proposé pour l’établissement des statistiques officielles, ce droit devrait, mutatis mutandis, être accordé au SEBC. En outre, le règlement proposé devrait permettre à la BCE et aux autres membres du SEBC de recevoir les informations dont dispose Eurostat, lorsque cela est nécessaire pour accomplir les missions de la BCE au cas où Eurostat recevrait ces données à des fins statistiques. Dans ce contexte, il serait utile de modifier le règlement proposé en définissant le terme « statistiques officielles », qui est mentionné, mais non défini, dans le règlement proposé.

2.5

Urgence publique

2.5.1

Le règlement proposé (10) prévoit qu’il existe un besoin exceptionnel pour un organisme du secteur public ou une institution, un organe ou un organisme de l’Union d’utiliser des données relevant du champ d’application du règlement proposé lorsque, entre autres, les données demandées sont : a) nécessaires pour réagir à une urgence publique ; ou b) ont une durée et une portée limitées et sont nécessaires pour prévenir une urgence publique ou pour contribuer au rétablissement à la suite d’une urgence publique. Une « urgence publique » est définie comme une situation exceptionnelle affectant négativement la population de l’Union, d’un État membre ou d’une partie de celui-ci, avec un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, ou de dégradation substantielle des actifs économiques dans l’Union ou dans le ou les États membres concernés. Les considérants du règlement proposé (11) expliquent que cela peut concerner les urgences de santé publique, les urgences résultant de la dégradation de l’environnement et les catastrophes naturelles majeures, y compris celles aggravées par le changement climatique, ainsi que les catastrophes majeures d’origine humaine, telles que les incidents majeurs de cybersécurité.

2.5.2

Il peut également y avoir des situations exceptionnelles qui affectent négativement la population de l’Union ou d’un État membre et risquent d’avoir des répercussions graves et durables non seulement sur l’économie, mais aussi sur la stabilité financière. Il peut s’agir notamment d’urgences touchant le système bancaire et les marchés financiers et, plus généralement, le système financier, comme l’ont montré récemment la pandémie de COVID-19 et la guerre en Ukraine. Par conséquent, la BCE recommande d’élargir la définition d’« urgence publique » aux situations susceptibles d’avoir une incidence sur la stabilité du système financier dans l’Union ou dans le ou les États membres concernés.

2.6

Interopérabilité

2.6.1

La BCE se félicite de l’importance accordée à l’interopérabilité dans le règlement proposé (12) et du fait que ledit règlement confère à la Commission le pouvoir d’adopter des spécifications d’interopérabilité pour le fonctionnement des espaces européens communs des données (13). Les organismes qui établissent actuellement des normes européennes pourraient, parallèlement ou en remplacement de la Commission, élaborer ou fournir des normes harmonisées relatives aux exigences essentielles en matière d’accès, de portabilité et d’interopérabilité des données, dans la mesure du possible.

2.6.2

En outre, si le règlement proposé définit le terme d’« interopérabilité “ (14), il ne définit pas l’” espace des données », qui est mentionné dans la définition de l’« interopérabilité ». De même, le règlement proposé ne précise pas ce que sont les « exploitants d’espaces de données “ (15). Les deux termes devraient être clairement définis dans un souci de sécurité juridique.

2.7

Observations complémentaires

Le règlement proposé définit l’” utilisateur » comme une personne physique ou morale qui possède, loue un produit ou reçoit un service (16). La BCE comprend que le terme « service » dans la définition de l’«utilisateur» vise également à intégrer la réception d’un service connexe, étant donné qu’autrement, il n’apparaît pas clairement ce à quoi fait référence le service mentionné dans la définition. La BCE note qu’il existe une incohérence entre la définition et la description figurant au considérant (20) du règlement proposé (17), qui implique que les utilisateurs sont autorisés à avoir accès aux données qu’ils génèrent eux-mêmes. Si cela peut être simple lorsqu’il y a un seul utilisateur, on ne voit pas clairement ce qui se passe lorsque plusieurs personnes ou entités détiennent un produit ou sont parties à un contrat de location, comme le reconnaît le même considérant. Dans de tels cas, les personnes ou entités propriétaires du produit ne peuvent pas être les personnes ou entités qui génèrent des données grâce à l’utilisation de celui-ci. Le règlement proposé devrait préciser que, dans ces cas, les personnes ou entités propriétaires d’un produit peuvent avoir accès aux données que l’utilisation de ce dernier génère.

Lorsque la BCE recommande d’apporter une modification au règlement proposé, des suggestions de rédaction particulières, accompagnées d’un texte explicatif, sont présentées dans un document de travail technique distinct. Le document de travail technique peut être consulté en anglais sur le site internet EUR-Lex.

---

(1)  COM(2022) 68 final.

(2)  COM(2020) 66 final.

(3)  Voir l'article 41 du règlement proposé.

(4)  Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35).

(5)  Voir l’article 2, paragraphe 2, du règlement proposé.

(6)  Voir le considérant (1) du règlement proposé.

(7)  Voir l'article 21 du règlement proposé.

(8)  Voir le considérant (58) du règlement proposé.

(9)  Article 2 bis du règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d'informations statistiques par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 8) et article 9 du règlement (CE) n° 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) n° 1101/2008 relatif à la transmission à l'Office statistique des Communautés européennes d'informations statistiques couvertes par le secret, le règlement (CE) n° 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes(JO L 87 du 31.3.2009, p. 164).

(10)  Voir l'article 15 du règlement proposé.

(11)  Voir le considérant (57) du règlement proposé.

(12)  Voir le chapitre VIII du règlement proposé.

(13)  Voir l’article 28, paragraphe 6, du règlement proposé.

(14)  Voir l’article 2, paragraphe 19, du règlement proposé.

(15)  Voir l'article 28 du règlement proposé

(16)  Voir l’article 2, paragraphe 5, du règlement proposé.

(17)  Voir le considérant (20) du règlement proposé.