Le projet de Règlement sur l’équité de l’accès aux données et de l’utilisation des données ou « Data Act » a été adopté le 23 février 2022. Il ne requiert désormais plus qu’une approbation formelle pour entrer en vigueur.
La croissance à deux chiffres du marché des objets connectés (aussi appelé « Internet Of Things » ou « IoT ») ces dernières années implique une augmentation proportionnelle du volume de données produites par ces objets.
Cependant, ces données, bien que produites par les consommateurs, ne leurs sont que rarement accessibles et l’interopérabilité de celles-ci lors du changement de fournisseur de services est souvent faible ou inexistante.
Alors que le Règlement concerne les données au sens large tant personnelles que non personnelles, les exigences issues du RGPD sur la portabilité des données personnelles restent applicables et limitent donc la portée du Data Act sur ce type de données.
En réalité, l’objectif principal de ce règlement est d’apporter une réponse au manque d’accessibilité et d’interopérabilité des données produites grâce à ces appareils et systèmes connectés.
Une fois en vigueur, le Data Act aura pour objet la « facilitation du passage d’un traitement de données à un autre ». Autrement dit, permettre la portabilité de ces données au profit de leur producteur et harmoniser leur transmission entre les acteurs économiques du marché intérieur.
Pour ce faire, quatre grands axes divisent le Data Act :
- l’amélioration du contrôle des données par les utilisateurs ;
- la protection des PME contre des déséquilibres contractuels sur le marché des données ;
- l’incorporation d’avantages pour le secteur public sur l’utilisation des données régulées ;
- la facilitation de l’interopérabilité des données entre fournisseurs cloud.
Un meilleur contrôle des données par les utilisateurs
Le premier volet de mesures du Data Act met l’accent sur la reprise du contrôle par les utilisateurs des données qu’ils produisent.
Ainsi, le Data Act instaure l’obligation de concevoir ou fabriquer les dispositifs et services connectés de façon à ce que les données produites soient facilement accessibles aux utilisateurs.
De plus, si un tel accès est impossible, l’entreprise doit mettre à disposition des utilisateurs ces données sans retard excessif, gratuitement et de manière permanente.
L’entreprise doit également indiquer les modalités de récupération de ces données générées par les produits ou leurs services liés.
Dans une optique de facilitation de l’utilisation de ces données par les utilisateurs, le Data Act envisage également la possibilité du partage de ces données par les utilisateurs avec des tiers, en vue de la fourniture de services après-vente ou d’autres services fondés sur les données.
Toutefois, le cas échéant, l’utilisation de ces données pour développer des produits concurrents ne serait pas autorisée.
Enfin, marque que le Data Act s’intègre dans le plan de Réglementation européen actuel sur les données, les grandes plateformes en ligne désignées comme contrôleurs d’accès (ou « gatekeepers ») au sens du « Digital Markets Act » ne pourront pas demander ou se voir accorder l’accès aux données sur le fondement du nouveau règlement.
La protection des PME par le Data Act
Afin de protéger les Petites et Moyennes Entreprises (PME) dans ce nouveau marché des données produites par l’IoT, le Data Act introduit des mesures ayant pour objectif de « rééquilibrer le pouvoir de négociation des PME en prévenant les déséquilibres contractuels excessifs dans les contrats de partage de données ».
Ainsi, le Data Act dresse la liste des clauses imposées unilatéralement jugées ou présumées abusives. Ce serait le cas, par exemple, d’une clause qui exclurait ou limiterait la responsabilité de la société pour faute intentionnelle ou négligence grave.
Dans le futur, la Commission a également prévu d’élaborer des clauses contractuelles types afin d’aider ces acteurs du marché à rédiger et à négocier des contrats équitables de partage de données.
Des avantages au profit du secteur public
Afin de ne pas pénaliser le secteur public dans des cas d’urgence ou de nécessité, le règlement propose un cadre harmonisé pour permettre aux organismes du secteur public d’accéder et d’utiliser les données détenues par le secteur privé dans des situations exceptionnelles.
Les cas d’urgence expressément listés par le règlement sont les suivants :
- lors d’une urgence publique ;
- pour la prévention d’une urgence publique ou la contribution au rétablissement à la suite d’une urgence publique ;
- lorsque l’absence de données disponibles empêche l’organisme du secteur public ou l’institution, l’organe ou l’organisme de l’Union de s’acquitter d’une mission spécifique d’intérêt public explicitement prévue par la loi.
La facilitation de l’interopérabilité des données entre fournisseurs cloud
Le dernier volet des mesures introduites par le Data Act entreprend de faciliter le quotidien des utilisateurs lors d’un changement de service de traitement de données.
L’objectif est de permettre aux clients de changer de fournisseur de services, tout en bénéficiant d’une équivalence fonctionnelle et en limitant les côtés négatifs qui peuvent exister lors d’un changement de ce type.
Ainsi, le passage à un autre fournisseur devra être rendu possible dans un délai de 30 jours et s’accompagner d’une assistance. Pendant la transition, il est également nécessaire d’assurer la continuité du service.
Par ailleurs, trois ans après l’entrée en application du Data Act, plus aucun frais ne pourra être facturé aux clients en cas de changement de fournisseur.
Enfin, le Data Act envisage une normalisation européenne afin de favoriser une interopérabilité dans un cadre européen ainsi que l’imposition de garanties de sécurité des infrastructures cloud européenne en obligeant les fournisseurs à prendre toutes les mesures techniques, juridiques et organisationnelles raisonnables pour empêcher un transfert international illicite des données.
En définitive, le Data Act s’inscrit dans une logique de régulation européenne du marché intérieur numérique. Il prendra, dès son adoption formelle, sa place aux côtés de Règlements analogues comme le Data Governance Act ou même le Digital Service Act et le Digital Market Act qui, ensemble, forment un nouveau cadre européen de la donnée et des services et produits numériques.
Frédéric Forster
Aurélien Roy
Lexing Département télécoms