L'Enisa, l'agence de la cybersécurité de l'Union européenne, a remis ses conclusions sur les espaces européens communs de données (UE Data Spaces). Cette nouvelle notion a été introduite par le Digital Governance Act (DGA), un règlement européen adopté en mai 2022 et applicable depuis septembre 2023. Ce texte s'inscrit plus largement dans la Stratégie européenne pour la donnée de la Commission européenne.
Huit espaces de données créés
Les espaces européens communs de données rassemblent des infrastructures de données et des cadres de gouvernance pour faciliter la mise en commun et le partage des données, explique l'exécutif bruxellois. Ils couvrent des domaines tels que la santé, la mobilité, l’industrie manufacturière, les services financiers, l’énergie ou l’agriculture. A date, huit espaces ont été créés dans sept domaines, dont la santé avec le European Health Data Space (EHDS).
Ces espaces doivent également respecter un certain nombre de principes. Ils doivent notamment disposer "d'une infrastructure sécurisée et respectueuse de la confidentialité pour regrouper, accéder, partager, traiter et utiliser les données". C'est ainsi qu'un consortium d'industriels ont reçu une enveloppe de 41 millions d'euros pour développer l'infrastructure de ces espaces. Le projet baptisé "Simpl" vise à créer "une plateforme middleware sécurisée" ayant pour objectif de "soutenir l'accès aux données et l'interopérabilité entre les espaces de données".
Etablir une cartographie des responsabilités
Le partage et la mise en commun de données pose évidemment de nombreuses questions en matière de protection des données et sécurité informatique. C'est la raison pour laquelle l'Enisa a rendu son avis en soulevant plusieurs points de vigilance. Dans un premier temps, elle s'est penchée sur les rôles de chaque acteur qui interagit de près ou de loin avec un espace commun de données.
Les espaces de données mettent en relation un détenteur de données (personne morale qui a le droit d'octroyer l'accès à certaines données), un utilisateur de données (personne physique ou morale qui dispose d'un accès licite à certaines données et qui a le droit de les utiliser) ainsi qu'un service d'intermédiation de données (service qui vise à établir des relations commerciales à des fins de partage de données par des moyens techniques et juridiques).
Source : Enisa
"Une cartographie" doit ainsi être établie qui reprend les obligations du Règlement général sur la protection des données (RGPD) et du Data Governance Act (DGA), recommande l'agence. Les responsabilités de chacun doivent également être établies dans des contrats. En effet, "même sur la base de ces descriptions plutôt génériques, il ne peut pas être établi de manière sûre qui agit en responsable du traitement, s'il existe plusieurs responsables du traitement, s'il existe un sous-traitant et si les utilisateurs de données sont des destinataires des données", juge l'agence européenne.
La problématique de l'identification des individus
Une fois les responsabilités correctement établies, le partage des données personnelles peut avoir lieu. A cette étape, l'Enisa a identifié un principal risque, celui de l'identification des individus dont les informations ont été partagées que ce soit lors de l'entrée des données (input privacy problem) ou lors de leur sortie (output privacy problem). Pour y faire face, elle recommande de déployer "des éléments de base pertinents en matière d'ingénierie de protection des données tout en respectant les principes du RGPD".
Il s'agit de maîtriser toutes les phases de traitement de données : modélisation, persistance et échange. En pratique, il s'agit de mettre en oeuvre "des mesures appropriées et les garanties nécessaires pour renforcer les principes de protection des données et permettre l'exercice des droits des individus". Pour les responsables du traitement, c'est "une option factuelle pour le partage des données tout en minimisant le risque d'utilisation abusive des informations, de violations de données ou autres mesures pour la sécurité".
L'intermédiaire, un rôle central dans l'atténuation des risques
Dans son analyse, l'Enisa se penche sur le nouveau rôle des intermédiaires de données, "des tiers neutres qui mettront en relation des individus et des entreprises avec des utilisateurs de données", d'après la Commission européenne. Ce rôle "pourrait impliquer une prise de décision concernant l'atténuation des risques", prévient l'agence. Même s'il ne fera pas toujours partie des décideurs, l'intermédiaire devra mettre en oeuvre des technologies d'amélioration de la confidentialité (PET pour Privacy Enhancing Technologies).
L'Enisa passe en revue plusieurs architectures. Par exemple, l'intermédiaire de données pourrait être chargé de transmettre l'ensemble des données non pseudonymisées à un sous-traitant, qui effectuerait la pseudonymisation. Or, "cette conception introduirait en réalité un nouveau vecteur de risque n'atténuant pas la divulgation des données", écrit-t-elle. Autre possibilité : "dans le meilleur des cas, l'ensemble des données serait pseudonymisé chez l'intermédiaire". Cependant, cette approche nécessiterait que "les responsables du traitement (...) indiquent à l'intermédiaire de données comment mettre en oeuvre le système de pseudonymisation".
Pour l'agence en charge de la cybersécurité, pour que les espaces communs de données fonctionnent, la transparence doit être au coeur des processus. Ainsi, les détenteurs et utilisateurs de données doivent s'assurer que "les individus comprennent comment leurs données personnelles sont partagées et réutilisées". Ils doivent aussi être informés des droits qui sont les leurs (refuser le partage, demander la suppression des données...).
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
