L'économie des données est devenue un moteur central de l'innovation, de la compétitivité et de l'action publique en Europe. Après avoir posé, avec le Règlement général sur la protection des données (RGPD), un socle solide en matière de protection des droits fondamentaux, l'Union européenne a franchi une nouvelle étape avec l'adoption du Data Governance Act (DGA). Entré en application le 24 septembre 2023, ce règlement vise à instaurer un cadre de confiance pour le partage et la réutilisation des données au sein du marché intérieur européen.

Le DGA s'inscrit pleinement dans la stratégie européenne pour les données, dont l'ambition est de libérer le potentiel économique et sociétal des données, tout en garantissant un haut niveau de sécurité juridique et de transparence pour les citoyens, les entreprises et les autorités publiques.

Organiser la gouvernance des données au-delà de l'open data

Contrairement à l'open data, qui concerne les données librement accessibles, le Data Governance Act s'intéresse à des catégories de données plus sensibles, qui ne peuvent pas être rendues publiques sans précaution. Il s'agit notamment de données protégées par le secret commercial, la confidentialité statistique ou la législation sur la protection des données à caractère personnel.

Le règlement crée ainsi un contexte permettant la réutilisation encadrée de certaines données détenues par des organismes du secteur public, lorsque le droit européen ou national l'autorise. L'objectif est de permettre l'extraction de valeur et de connaissances à partir de ces données, sans porter atteinte aux droits et intérêts légitimes des personnes concernées ou des détenteurs de données.

Cette approche ouvre des perspectives importantes pour la recherche, l'innovation technologique et l'élaboration de politiques publiques fondées sur les données, notamment dans des domaines tels que la santé, l'environnement, la mobilité ou les services publics.

Les services d'intermédiation de données : de nouveaux tiers de confiance

L'une des grandes innovations du DGA réside dans la reconnaissance et l'encadrement des services d'intermédiation de données. Ces prestataires ont pour mission de faciliter le partage de données entre détenteurs de données et utilisateurs potentiels, en agissant comme des intermédiaires neutres et fiables.

Dans la pratique, ces services peuvent prendre la forme de plateformes numériques ou de services en ligne mettant en relation un nombre indéterminé de parties. Le DGA leur impose toutefois des obligations strictes, notamment en matière de neutralité, de transparence et de prévention des conflits d'intérêts, afin d'éviter toute utilisation abusive ou toute captation injustifiée de valeur.

En instaurant ces garanties, le règlement vise à lever l'une des principales réticences au partage de données : la crainte de perdre le contrôle sur des actifs stratégiques ou de voir ses données utilisées à des fins non prévues.

DISP

 

L'altruisme des données au service de l'intérêt général

Autre pilier du Data Governance Act : la promotion de l'altruisme des données. Le règlement encourage le partage volontaire de données, qu'elles soient personnelles ou non, à des fins d'intérêt général, telles que la recherche scientifique, la lutte contre le changement climatique, l'amélioration des statistiques publiques ou le développement de services innovants dans le secteur public.

Le DGA prévoit la reconnaissance officielle d'organisations altruistes en matière de données, qui s'engagent à mettre des données à disposition sans objectif lucratif. Aucune rémunération n'est autorisée, hormis le remboursement des frais liés à la mise à disposition des données. Ces organisations peuvent collecter des données, traiter celles fournies par d'autres ou autoriser leur traitement par des tiers, dans un cadre strictement défini.

Là encore, la confiance constitue la pierre angulaire du dispositif : les citoyens et les organisations doivent avoir l'assurance que leurs données seront utilisées dans l'intérêt général.

La CNPD, autorité compétente au Luxembourg

Au Luxembourg, la loi du 19 décembre 2025 a désigné la Commission nationale pour la protection des données (CNPD) comme autorité compétente pour l'application du Data Governance Act en ce qui concerne les services d'intermédiation de données et les organisations altruistes de données.
À ce titre, la CNPD est chargée

  • de l'enregistrement des acteurs concernés,
  • de leur inscription dans les registres européens prévus par le DGA,
  • du contrôle du respect des obligations légales,
  • et de l'accompagnement des organisations dans leurs démarches de conformité.

Les prestataires de services d'intermédiation de données et organisations altruistes reconnus dans l'Union bénéficient ainsi d'une visibilité accrue, notamment grâce à leur inscription dans les registres publics de l'UE prévus par le DGA.

La CNPD peut accorder les deux labels européens prévus par le DGA – pour les prestataires d'intermédiation et pour les organisations altruistes – chacun associé à un logo commun de l'UE, afin de renforcer la transparence et la confiance.

DAO

 

Un cadre complémentaire au RGPD

Il est essentiel de rappeler que le Data Governance Act ne remet pas en cause le RGPD. Toute réutilisation de données comportant des données à caractère personnel reste soumise aux principes fondamentaux de protection des données, tels que la licéité, la minimisation, la limitation des finalités ou les droits des personnes concernées.

Le DGA agit comme une couche de gouvernance supplémentaire, visant à structurer les modalités de partage des données, sans affaiblir le niveau de protection existant. Il contribue ainsi à concilier innovation, sécurité juridique et respect des droits fondamentaux.

Une opportunité pour l'économie et la société

En renforçant la confiance dans le partage des données, le Data Governance Act crée les conditions d'une économie européenne des données plus dynamique, transparente et innovante. Il offre aux acteurs économiques, aux chercheurs et aux organisations altruistes un cadre clair pour développer de nouveaux usages, tout en garantissant un contrôle effectif par les autorités compétentes.

Pour la CNPD, la mise en œuvre du DGA représente une opportunité majeure de supporter un partage responsable des données, au service de l'intérêt général et du développement durable de l'économie numérique.

Les acteurs concernés sont invités à saisir cette opportunité et à contacter la CNPD pour toute question ou accompagnement, notamment via l'adresse dédiée dga@cnpd.lu.

https://cnpd.public.lu

(1) Loi du 19 décembre 2025 portant création du Commissariat du Gouvernement à la souveraineté des données et désignation des organismes et autorités compétents prévus aux articles 7, 13 et 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) et du point d’information unique prévu à l’article 8 du règlement (UE) 2022/868 précité et portant modification de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données.