Autres informations et services officiels : www.belgium.be

Organisme compétent Data Governance Act

En tant qu’organisme compétent au sens du Règlement sur la gouvernance des données (« Data Governance Act » ou « DGA »), le SPF Stratégie et Appui fournit aux organismes du secteur public (les autorités publiques et les organismes de droit public ) un soutien technique lors de la communication et de la mise à disposition de certaines catégories de données publiques protégées aux réutilisateurs d’une manière qui garantit la protection, la confidentialité et la sécurité de ces données.

En effet, le « DGA » établit des règles qui créent la possibilité de réutiliser certaines catégories de données publiques qui ne se prêtent pas en elles-mêmes à une divulgation à des fins de réutilisation.

Il s’agit des catégories de données publiques qui sont protégées pour des motifs de confidentialité commerciale, y compris le secret d’affaires, le secret professionnel et le secret d’entreprise, de secret statistique, de protection des droits de propriété intellectuelle de tiers et de protection des données à caractère personnel.

    • Réutilisation des données publiques

      Le secteur public dispose de grandes quantités de données qui peuvent être intéressantes en vue d’une réutilisation. Pour la réutilisation de données publiques, également appelées « données ouvertes » , et d’autres informations publiques non ou moins sensibles et/ou protégées, il existe en Belgique une législation spécifique relative aux données ouvertes et à la réutilisation des informations du secteur public.

      La divulgation, la diffusion et la réutilisation de ces données ne nécessitent que peu ou pas de restrictions.

      Savez-vous que, par ailleurs, plus de 15.000 ensembles de données sont déjà accessibles au public via le site web data.gov.be et que vous pouvez également consulter un aperçu des sources authentiques ?

    • Réutilisation de données publiques sensibles, confidentielles et protégées

      Cependant, les pouvoirs publics disposent également de nombreuses données sensibles et protégées, qui ne peuvent pas être divulguées ou réutilisées à toutes sortes de fins autres que celles initialement prévues par les institutions publiques. Ces données sont donc en principe exclues de toute réutilisation.

      Toutefois, pour une partie de ces données plus sensibles, confidentielles et protégées, il n’est pas nécessaire d’interdire toute forme de réutilisation. Le Règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (« Règlement sur la gouvernance des données » ou « DGA ») offre un cadre juridique pour la réutilisation d’une partie de ces données, mais n’impose aucune obligation aux autorités de les mettre à disposition.

      Ainsi, ces données peuvent encore être réutilisées dans certaines circonstances et conditions protectrices qui sont réglementées par le DGA. En ce sens, le DGA complète donc la législation relative aux données ouvertes et à la réutilisation des informations du secteur public.

    • Règlement sur la gouvernance des données

      Le Règlement sur la gouvernance des données (« DGA ») établit des règles pour créer des possibilités de réutilisation des catégories suivantes de données publiques qui sont confidentielles et/ou protégées et qui ne se prêtent pas en elles-mêmes à une divulgation à des fins de réutilisation, pour des motifs :

      • de confidentialité commerciale, y compris le secret d’affaires, le secret professionnel et le secret d’entreprise ;
      • de secret statistique ;
      • de protection des droits de propriété intellectuelle de tiers ;
      • de protection des données à caractère personnel, dans la mesure où de telles données ne relèvent pas du champ d’application de la directive (UE) 2019/1024.

      Ce règlement est directement applicable en Belgique, sans devoir être transposé en droit belge. Au fédéral, le règlement a été exécuté, d’une part, par une loi spécifique du 15 mai 2024 mettant en œuvre le règlement portant sur la gouvernance des données et, d’autre part, par une adaptation de la loi sur l’intégrateur de services fédéral. Cette législation attribue des missions spécifiques au BOSA, y compris le rôle d’« organisme compétent ».

    1. Organisme compétent

      D’une part, les citoyens et les entreprises peuvent introduire des demandes de réutilisation de « données publiques protégées » via le SPF BOSA. Le SPF BOSA transmettra la demande à l’instance publique compétente pour les données demandées. C’est le rôle du SPF BOSA en tant que « point d’information unique » conformément à l’art. 8 du DGA. Pour plus d’informations sur l’introduction d’une telle demande, nous vous renvoyons à la page web du point d’information unique du SPF BOSA, où vous pouvez introduire une demande via un formulaire de demande.

      D’autre part, les organismes du secteur public (les autorités publiques et les organismes de droit public) dans le sens de l’article 3, 2° de la loi du 15 mai 2024 mettant en œuvre le règlement portant sur la gouvernance des données peuvent demander au SPF BOSA de leur fournir un soutien technique lors de la communication et de la mise à disposition de leurs données protégées aux réutilisateurs d’une manière qui garantit la protection, la confidentialité et la sécurité des données. C’est le rôle du SPF BOSA en tant qu’« organisme compétent » conformément à l’article 7 du DGA.

      En tant qu’organisme compétent, le SPF BOSA sera en mesure dans un premier temps de proposer aux les organismes du secteur public des solutions réutilisables et différents types de soutien technique en fonction de la demande et sur la base de la technologie et des composants existants et éventuellement d’en développer de nouveaux. Les organismes du secteur public peuvent contacter le SPF BOSA pour obtenir plus d’informations et recourir à des services concrets dans ce domaine.

      Contactez-nous

      Sur la base de la demande spécifique, il est possible, en concertation avec le SPF BOSA, d’examiner les différentes possibilités pour organiser la divulgation de données publiques protégées. Le SPF BOSA suit la recommandation de la Commission européenne d’utiliser les technologies disponibles pour trouver un équilibre entre la valeur de réutilisation des données et la nécessité de protéger le caractère privé et la confidentialité des données.

      En tant qu’organisme compétent, le SPF BOSA peut fournir une assistance comme suit :

      1. En ce qui concerne l’art. 7, a) du DGA « à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de données; ». Dans ce cadre, les données provenant de différentes sources pourraient être traitées de manière sûre et sécurisée.
      2. En ce qui concerne l’art. 7, b) du DGA « à fournir des orientations et une assistance technique sur la meilleure manière de structurer et stocker les données» pour les rendre facilement accessibles.
      3. En ce qui concerne l’art. 7, c) du DGA « à fournir un soutien technique pour la pseudonymisation et à garantir le traitement des données d’une manière qui préserve efficacement le caractère privé, la confidentialité, l’intégrité et l’accessibilité des informations contenues dans les données pour lesquelles la réutilisation est autorisée, notamment les techniques d’anonymisation, de généralisation, de suppression et de randomisation des données à caractère personnel ou d’autres méthodes de préservation de la vie privée à la pointe de la technologie, et la suppression des informations commerciales confidentielles, y compris les secrets d’affaires ou les contenus protégés par des droits de propriété intellectuelle ».

      L’application de ces techniques, en combinaison avec des analyses d'impact globales sur la protection des données et d'autres garanties, peut contribuer à une plus grande sécurité dans l’utilisation et la réutilisation des données protégées

    2. Conditions de réutilisation de certaines catégories de données publiques protégées visées par le DGA

      La réutilisation des catégories de données publiques protégées susmentionnées ne peut avoir lieu que dans la mesure où cela n’est pas contraire à la législation nationale et européenne en vertu de laquelle les données sont protégées. Les autorités ne sont donc pas libérées de leurs obligations de confidentialité en vertu du droit de l’Union ou du droit national.

      Ce qui suit s’applique en particulier à la réutilisation des données à caractère personnel :

      • le traitement de données à caractère personnel doit toujours être conforme au RGPD ;
      • cela doit être évalué par l’instance publique concernée au cas par cas.

      Le DGA ne crée pas de nouvelle base juridique pour le traitement des données à caractère personnel.

      Comme il s’agit de données protégées, elles ne peuvent être mises à disposition qu’après avoir satisfait à certaines exigences et conditions légales et autres, de manière à garantir le respect de la vie privée, le secret et la confidentialité.

      Lorsque les autorités décident de mettre à disposition certaines catégories de ces données protégées en vue de leur réutilisation, elles doivent prendre des mesures et imposer des conditions à la réutilisation afin d’éviter toute réutilisation illicite et de préserver le caractère protégé des données concernées. Le DGA ne prescrit pas de quelles mesures et conditions il doit s’agir précisément. Les autorités doivent rendre publiques, par exemple sur leur site web, les conditions d’autorisation de réutilisation des données protégées en leur possession et la procédure pour demander l’autorisation de les réutiliser.

      Il est également important que l’autorité compétente exige du réutilisateur qu’il respecte une obligation de confidentialité qui lui interdit de divulguer des informations obtenues grâce à la réutilisation qui pourraient mettre en péril les droits et les intérêts de tiers. La réutilisation des données demandées par le réutilisateur peut être soumise à certaines conditions, exigences et obligations de la part de l’instance publique compétente, ainsi qu’au paiement d’une redevance (raisonnable).

  • FAQ

    1. Qu'est-ce que le Règlement sur la Gouvernance des Données ("DGA") ?

      Le Règlement européen sur la gouvernance européenne des données (« Data Governance Act », abrégé "DGA") est un règlement européen qui permet d’une part, que des données détenues par des instances publiques, qui ne se prêtent pas immédiatement à la divulgation publique, soient néanmoins mises à disposition de tiers pour une réutilisation commerciale et non commerciale.

      Le DGA concerne les données dont l'utilisation dépend des droits de tiers et sur lesquelles les droits de tiers s'appliquent. Il s'agit donc de données ‘plus sensibles’ et protégées, à savoir :

      • des données personnelles ;
      • des données soumises au secret statistique ;
      • des données protégées par le secret commercial (y compris les secrets d'affaires ou professionnels) ; et aussi
      • des données protégées par des droits de propriété intellectuelle de tiers.

      Le DGA établit des règles pour créer des opportunités permettant de tout de même réutiliser ces données, à condition que ceci ne soit pas en conflit avec la législation nationale et européenne en vertu desquelles les données sont protégées.

      Pour la réutilisation des données personnelles, il est notamment stipulé que le traitement des données personnelles doit se conformer au RGPD, ce qui doit être évalué au cas par cas par l’instance publique concernée. Le DGA ne crée pas, par exemple, de nouvelle base légale pour le traitement des données personnelles.

      Le DGA comprend également différentes nouvelles règles visant à rendre plus de données disponibles pour un usage général. Pour atteindre cet objectif, le DGA souhaite renforcer la confiance dans les services d'intermédiation de données et les organisations altruistes en matière de données. Pour plus d'informations sur ces deux formes de partage de données, nous vous renvoyons volontiers vers le site web du SPF Économie.

       

    2. Sur quelle réutilisation des données porte le règlement DGA ?

      Il couvre :

      • les données commercialement confidentielles
      • les données couvertes par l'obligation de secret statistique
      • les données protégées par des droits de propriété intellectuelle
      • les données à caractère personnel

      Parce qu'il s'agit de données protégées, elles ne peuvent être mises à disposition qu'après avoir satisfait à certaines exigences et conditions légales et autres et de manière à garantir le respect de la vie privée et de la confidentialité.

      Par exemple, des techniques telles que l'anonymisation et la pseudonymisation peuvent être utilisées ou les données peuvent être mises à disposition via un environnement de traitement sécurisé.

    3. Ces données sont-elles obligatoirement mises à disposition en vue de leur réutilisation ?

      Le règlement DGA n'oblige pas les gouvernements à mettre à disposition ces données protégées. Chaque gouvernement décide elle-même de rendre les données accessibles à des fins de réutilisation, ainsi que de l'objectif et de la portée de cet accès.

    4. Quelles sont les données protégées dont la réutilisation ne peut être demandée ?

       

      • les entreprises publiques (par exemple De Lijn) ;
      • les radiodiffuseurs publics ou leurs filiales (par exemple VRT/RTBF) ;
      • les institutions culturelles (bibliothèques, archives, musées, orchestres, opéras, compagnies de ballet, théâtres...) ;
      • les établissements d'enseignement ;
      • les données protégées pour des raisons de sécurité publique, de défense, de sécurité nationale ;
      • les données dont la fourniture ne peut être considérée comme une activité relevant des missions publiques des autorités publiques concernées.

       

    5. Une autorité publique peut-elle demander une redevance pour la mise à disposition de données ?

      Oui : cette redevance doit être transparente, non discriminatoire, proportionnée, objectivement justifiée et non anticoncurrentielle.

      La redevance doit être limitée aux coûts de la procédure liée aux demandes de réutilisation. Le Règlement limite les coûts qui peuvent être facturés (par exemple, les coûts nécessaires à la reproduction, à la fourniture, à la diffusion ou à l'anonymisation).

    6. Est-il possible de conclure des accords prévoyant l'accès exclusif d'une partie aux données ?

      Non, cela est interdit.

    7. Suis-je obligé de soumettre une demande de réutilisation via le SPF BOSA?

      Vous n'êtes pas obligé de soumettre votre demande de réutilisation via le SPF BOSA. Une demande peut également être adressée directement à l’instance publique compétente pour les données.

      Il se peut cependant que vous ne sachiez pas exactement quelle instance publique détient les données et à qui vous devez vous adresser. Le SPF BOSA peut dans ces cas, en tant que point d'information central au sens du DGA, rediriger votre demande vers la bonne instance publique.

      En tant que point d'information central, le SPF BOSA met également à disposition de manière centralisée toutes les informations pertinentes pour la réutilisation, notamment un registre consultable des conditions applicables pour permettre cette réutilisation des données des différentes instances publiques et des procédures en vigueur pour demander l'autorisation de réutilisation.

      Le SPF BOSA gère également un registre des sources authentiques et le portail fédéral des données ouvertes, qui peuvent être utiles pour vos demandes de réutilisation.

      Le registre des sources authentiques contient un aperçu des sources authentiques au sein du gouvernement fédéral, de la Sécurité sociale et des trois régions. Pour plus d'informations sur ce qu'est une source authentique, cliquez ici.

      Le portail fédéral des données ouvertes contient des liens vers plus de 15.000 datasets ouverts des administrations fédérales, régionales et locales ainsi que des entreprises. Pour plus d'informations sur le portail fédéral des données ouvertes du SPF BOSA, cliquez ici.

    8. Où puis-je trouver les ensembles de données ouvertes des instances publiques?

      Via le portail fédéral des données ouvertes. Sur ce portail, les services publics mettent à disposition pour réutilisation des données qu'ils détiennent déjà dans le cadre de leurs missions, à destination des citoyens, chercheurs, entreprises et administrations.

      Le portail fédéral des données ouvertes contient des liens vers plus de 15.000 datasets ouverts des administrations fédérales, régionales et locales ainsi que des entreprises.

    9. Quelle est la différence entre le DGA et la Directive sur les données ouvertes et la réutilisation des informations du secteur public et la Loi relative aux données ouvertes et à la réutilisation des informations du secteur public?

      Le Règlement sur la Gouvernance des Données (le chapitre II) et la dite "Directive sur les données ouvertes" traitent tous deux de la réutilisation des données publiques. Cependant, il s'agit de différents types de données et de différentes formes de réutilisation.

      La Directive sur les données ouvertes traite de la réutilisation des données publiques, également appelées "données ouvertes", et d'autres informations du secteur publique non ou moins sensibles et/ou protégées. La divulgation et la diffusion de ces données ne nécessitent donc que peu ou pas de restrictions.

      La Loi relative aux données ouvertes et à la réutilisation des informations du secteur public, qui transpose la Directive Données Ouvertes dans la législation belge, réglemente la réutilisation des informations publiques/disponibles détenues par le secteur public. Ces informations doivent être obligatoirement disponibles à des fins de réutilisation, avec le moins d'obstacles possible (coûts, droits/conditions restrictifs) et dans un format ouvert et lisible par machine.

      Cependant, le secteur public dispose également de grandes quantités de données sensibles et protégées qui ne peuvent pas être divulguées ou réutilisées à d'autres fins que celles initialement prévues par les instances publiques. Ces données sont par conséquent exclues de la réutilisation sous la Directive sur les données ouvertes.

      Pour une partie de ces données plus sensibles et protégées, toutefois, il n'est pas nécessaire d'interdire toute forme de réutilisation. Le Règlement DGA fournit un cadre pour la réutilisation de ces données mais ne crée pas d'obligation de les mettre à disposition.

      Ces données peuvent être réutilisées sous certaines circonstances et conditions protectrices règlementés par le DGA. En ce sens, le DGA complète donc la Directive sur les données ouvertes.

    10. Quel type de soutien technique est visé à l’art. 7, c) du DGA ?

      Le soutien technique de techniques telles que l’anonymisation et la pseudonymisation ou l’agrégation peut être utilisé ici. L’anonymisation est une technique bien connue pour traiter des données à caractère personnel, mais elle pourrait également être utilisée mutatis mutandis pour des informations commerciales confidentielles. Les données peuvent également être mises à disposition via un environnement de traitement sécurisé, pour lequel un soutien technique pourrait être fourni. Un environnement de traitement sécurisé permet à l’instance publique compétente de contrôler l’environnement IT dans lequel les données sont mises à disposition à des fins de réutilisation. Cela permet à l’instance publique de déterminer ce que les réutilisateurs peuvent et ne peuvent pas voir, quels éléments des ensembles de données sont accessibles, ou quels types de calculs ou de manipulations les réutilisateurs peuvent effectuer sur les données pour s’assurer qu’ils ne seraient pas, par exemple, en mesure de reconstituer les données d’origine. En outre, l’exploitant d’un environnement de traitement sécurisé peut, par exemple, prendre des mesures pour pouvoir vérifier à l’avance les résultats d’analyse sortants. En fonction des possibilités techniques, l’accès aux données pourrait également être limité aux réutilisateurs qui se rendent sur place. Un accès via une connexion VPN pourrait également être possible. L’accès aux données en vue de leur réutilisation peut également être soumis à des normes de sécurité très strictes.

    11. Quelles sont les recommandations du SPF BOSA en ce qui concerne l’art. 7, b) du DGA ?

      Spécifiquement pour la mise à disposition de données via une API REST, le groupe de travail G-Cloud a publié une série de directives sur le site web du Belgian Interoperability Framework : https://www.belgif.be/specification/rest/api-guide/.

      D’autres formes d’API restent toutefois possibles. 

      Pour les métadonnées, il est recommandé d’utiliser DCAT-AP pour décrire/inclure des données dans un catalogue de données.

      Le SPF BOSA ne dispose pas de directives générales pour la structuration et le stockage de données, estimant que les instances publiques sont les mieux placées pour déterminer cela pour les données dont elles sont elles-mêmes responsables. La manière dont les données sont stockées et structurées est également souvent liée à l’application et à l’utilisation des données.

      En tant qu’organisme compétent, le SPF BOSA peut toutefois fournir sur demande le soutien général nécessaire et des recommandations au cas par cas aux institutions publiques qui en ont besoin. Pour ce faire, veuillez également utiliser le formulaire de contact

  • Législation en vigueur