Data Act : la protection des données industrielles de l’IoT

Cyber security concept. Shield With Keyhole icon on digital data background. Illustrates cyber data security or information privacy idea. Blue abstract hi speed internet technology.
Le Data Act vise la protection des données industrielles de l’IoT par la promotion de l’équité dans l’accès et l’utilisation de ces données.

L’OBJECTIF DE PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

Le Règlement sur les données (« Data Act ») adopté en novembre 2023 s’inscrit dans la stratégie européenne pour le numérique. Il vise la construction d’un marché intérieur de la donnée.

Le Data Act s’inscrit dans la lignée du Data Governance Act auquel il reprend la définition de la donnée. Il complète également le RGPD qui a consacré le droit à la portabilité des données. Néanmoins, alors que le RGPD protège uniquement les données personnelles, le Data Act s’intéresse aux données industrielles. Elles peuvent être personnelles ou non. En effet, le Règlement vise les données de l’internet des objets (IoT) et des services de traitement des données (cloud).  

En effet, au cours de la dernière décennie, le marché européen a révélé une augmentation croissante des appareils connectés. Ils constituent ce que l’on appelle l’internet des objets (« lnternet of things » ou « IoT »). L’internet des objets désigne le processus de connexion d’objet physique à internet (ampoule, montre, tablette connectées). L’utilisation de ces objets va générer une quantité importante de données. 

Le problème réside en ce que ce sont des acteurs dominants qui opèrent sur les marchés IoT. De plus, les fabricants ne conçoivent pas toujours leurs produits de manière à ce que les utilisateurs puissent accéder facilement à ces données.  Ces utilisateurs sont aussi bien des consommateurs que des professionnels. La protection des donnés industrielles de l’IoT va passer par la suppression des obstacles au bon fonctionnement du marché.

UN DROIT D’ACCES ET DE PORTABILITE DES DONNEES AU PROFIT DES UTILISATEURS

DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

Le Data Act protège principalement les utilisateurs.

Il leur garantit notamment :

• un droit d’accès aux données générées par l’objet connecté qu’il a acheté ou loué (article 3) ;

• un droit à la portabilité des données vers un tiers offrant le même type de service que l’entité qui lui a vendu ou loué le bien ou le service (article 5) ;

L’article 3 du Règlement renforce la sécurité juridique en garantissant un droit d’accès. Des obligations pèsent sur les fabricants pour la conception et fabrication de leurs produits et services :

• rendre les données générées accessibles par défaut, facilement et de manière sécurisée ;

• faire preuve de transparence quant aux données accessibles et à la manière d’y accéder ;

Si les données ne sont pas directement accessibles, l’entreprise mettra à disposition ces données. Cette mise à disposition devra s’opérer dans les meilleurs délais, gratuitement et en continu.

Une des principales innovations est que les utilisateurs d’objets connectés pourront partager ces données avec des tiers. Ainsi, l’utilisateur d’un appareil connecté pourra demander au constructeur de partager certaines données générées avec un service après-vente. Ces services après-vente pourront ainsi offrir des prestations similaires à celles proposées par les fabricants (réparation, entretien). Cela permettra à de nouveaux concurrents d’émerger.

L’OUVERTURE DU MARCHE DU CLOUD

DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

Le Règlement a pour but la suppression des barrières mises en place par les fournisseurs. Ces derniers empêchent souvent le passage d’un service de cloud à un autre.

Le Règlement pose ainsi une obligation de commutation. Cette obligation s’accompagne d’une interdiction des frais de migration des données. Les utilisateurs pourront ainsi changer de fournisseur sans frais.

Le Règlement va poser comme principe l’interopérabilité des services. C’est le pendant technique de l’obligation juridique de commutation. Cela va passer par l’exigence d’équivalence fonctionnelle des services. Le but est d’éviter la dépendance à un fournisseur et les effets de verrouillage de marché. Ainsi, les entreprises pourront passer d’un service de traitement des données à un autre. Ils pourront également utiliser plusieurs services de cloud en même temps (multicloud).

procédures de sanction

L’ACCES ET L’UTILISATION DES DONNEES ENTRE ENTREPRISES

DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

Le Règlement a également pour objectif de protéger les PME des déséquilibres contractuels dans les contrats de partage de données. Il vise à rééquilibrer les pouvoirs de négociation entre les différents acteurs du marché numérique.

Ainsi, le Règlement dresse une liste de clauses jugées abusives. Elle va interdire ces clauses contractuelles abusives imposées unilatéralement à une autre entreprise.

C’est le cas par exemple pour les clauses ayant pour effet :  

• d’exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave ;

• de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d’interpréter toute clause contractuelle.

Néanmoins des risques existent pour le secret des affaires ou la cybersécurité. Ainsi, le Règlement laisse la possibilité de refuser le partage de données pour préserver un secret d’affaires.

UN ACCES AUX DONNEES POUR LE SECTEUR PUBLIC

DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT

Les organismes du secteur public pourront dans certains cas accéder aux données du secteur privé. Une entreprise privée devra mettre à disposition ses données en cas de situation exceptionnelle relevant de l’intérêt public.  Ce besoin exceptionnel doit avoir une portée et une durée limitée.

 L’article 15 énonce trois situations :

• l’urgence public (l’accès à la donnée sera gratuit) ;

• la prévention de l’urgence publique (possible compensation) ;

• le rétablissement à la suite de l’urgence (possible compensation).

Ainsi, le Data Act va permettre la protection des données industrielles de l’IoT. Il garantit la réutilisation des données afin d’en stimuler la valeur. L’innovation ainsi permise va permettre l’émergence de nouveaux acteurs sur le marché numérique.

Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas.
Virginie Bensoussan-Brulé

Virginie Bensoussan-Brulé

Avocate, Directrice du pôle Contentieux numérique

Raphaël Liotier

Avocat, Directeur d’activité au sein du pôle Contentieux numérique

Pour en apprendre davantage

À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...

Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit...

Retour en haut