DATA ACT : Proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données

Contexte : cette proposition fait suite à une première initiative législative, le Data Governance Act (DGA), proposé le 25 novembre 2021, sur lequel a été trouvé un accord le 30 novembre 2021.

Le DGA crée les processus et les structures pour faciliter le partage des données par les entreprises, les particuliers, le secteur public. Le DGA a pour objectif de promouvoir un marché unique des données.

Ici, le Data Act précise qui peut créer la valeur à partir des données, et sous quelles conditions : il s’intéresse aux données produites lors de l’utilisation d’une machine.

Margrethe Vestager : « Nous voulons donner aux consommateurs et aux entreprises encore plus de contrôle sur ce qui peut être fait avec leurs données, en clarifiant qui peut accéder aux données et à quelles conditions. Il s’agit d’un principe numérique clé qui contribuera à créer une économie solide et équitable fondée sur les données et guidera la transformation numérique d’ici 2030 ».

Définition de la donnée reprise de l’art 2,1) du DGA : « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».

Qu’est-ce que le Data Act ?

Une législation horizontale, autour des données non personnelles : propose des mesures pour une économies des données équitable et innovante.

Cette proposition de règlement répond à de nombreuses questions autour de la propriété de la donnée produite par la machine, entre le fabricant et l’utilisateur de la machine, et autour de l’accès par le tiers à cette donnée.

Permet de déterminer qui peut utiliser et accéder aux données générées dans l’UE.

A qui s’applique le Data Act ?

  • aux fabricants de produits connectés qui génèrent les données
  • aux fournisseurs de services numériques associés à ces produits
  • aux utilisateurs de l’UE de ces produits et services
  • aux détenteurs des données (qui les mettent à disposition)
  • aux destinataires des données
  • aux organismes publics et institutions de l’UE
  • fournisseurs de services de traitement de ces données

Deux grands cas couverts par le Data Act :

→ Les relations d’entreprise à entreprise et avec les consommateurs (B2B/B2C)

Dans ce cas, obligations qui ne s’appliquent pas aux PME, tant que leurs activités concernant les données n’impliquent pas de partenaire de plus grande taille.

→ La communication de données aux organismes publics et/ou aux institutions de l’UE

Pourquoi un tel règlement ?

La plus grande partie des données générées par les humains et les machines n’est pas utilisée, ou bien la valeur de ces données est concentrée dans les mains d’un petit nombre.

Le Data Act considère que l’exclusivité des données détenues par les fabricants constitue un certain obstacle à l’innovation.

Objectifs du Data Act : libérer le potentiel de l’innovation, fondée sur l’exploitation de ces données, garantir l’équité dans le partage de la valeur produite.

Mais aussi : créer un marcher des données aux conditions de l’UE.

Estimation de Thierry Breton : 270 à 300 milliards d’euros de PIB supplémentaire d’ici 2028 (du fait de l’utilisation des données industrielles)

Plus précisément :

  • garantir l’équité dans l’environnement numérique
  • stimuler un marché des données concurrentiel
  • ouvrir des possibilités d’innovation axée sur les données
  • rendre les données plus accessibles à tous

Moyens du Data Act :

La création d’obligations légales de partage de données notamment, nouveaux services innovants, prix plus compétitifs pour les services après-vente/la réparation d’objets connectés.

Plus précisément :

  1. Un nouveau droit d’accès pour les utilisateurs aux données qu’ils contribuent à générer (articles 3, 4, 5)

Il existe plusieurs obligations pour les fabricants, également qualifiés de data holders. Ils doivent rendre accessible aux utilisateurs les données qu’ils génèrent via le produit connecté. De plus, ils doivent leur permettre de transférer ces données à une entreprise tierce.

Exemple : une PME ne pourra pas payer plus que le coût technique du transfert pour accéder aux données.

Exception : les grandes plateformes (concernées par le DSA, qualifiées de contrôleurs d’accès ou gate keepers) ne pourront pas accéder aux données, et n’auront pas le droit d’inciter les demandeurs à appuyer leurs requêtes.

NB sur les gate keepers = contrôleurs d’accès, au sens du Digital Services Act et du Digital Markets Act, projets de règlements visant à limiter la puissance des grandes plateformes dans le secteur numérique.

Les contrôleurs d’accès représentent les plus grandes plateformes, qui peuvent être qualifiées telles quelles dès lors qu’elles cumulent :

  • une position économique forte : + de 6,5 milliards d’euros de chiffre d’affaire réalisés dans l’EEE ou une capitalisation boursière/valeur marchande de plus de 65 milliards d’euros avec une activité dans au moins 3 états membres
  • le contrôle d’un service de plateforme essentiel : moteur de recherche, réseau social, place de marché en ligne… utilisé par plus de 45 millions d’Européens par mois, et plus de 10 000 professionnels par an dans l’UE = est un point d’accès important.
  • une position solide et durable sur le marché : le dépassement de ces seuils au cours des 3 années précédents
  •  Un rééquilibrage des clauses contractuelles inéquitables (article 13)

Les déséquilibres contractuels entravent le partage équitable des données.

Les PME seront ainsi protégées contre les clauses contractuelles abusives imposées par une partie jouissant d’une position plus forte sur le marché, par la mise en place de clauses contractuelles types pour aider à la rédaction et à la négociation de contrats équitables en termes de partage des données.

  • Un accès du secteur public aux données du secteur privé (article 14, 15, 16, 17)

Les micros et petites entreprises sont exclues de cette obligation de mettre à dispositions d’organismes publics et institutions de l’UE des données.

L’accès aux données se fait uniquement en cas de besoin exceptionnel, c’est-à-dire :

  • la réponse à une situation d’urgence publique
  • la prévention d’une situation d’urgence publique ou aide au rétablissement (à condition que la requête soit limitée en temps et en périmètre)
  • le manque de données pour accomplir une tâche d’intérêt public explicitement autorisée par la loi avec l’impossibilité d’obtenir ces données par des moyens alternatifs et la réduction manifeste de la charge administrative pour les détenteurs.

Exemple : des données peuvent être nécessaire pour développer des idées pour réaction rapide face à une situation d’urgence publique.

Les organismes publics, les instituts nationaux de statistique, les organismes de recherches : peuvent se communiquer entre eux les données. Toute requête doit être rendue publique.

Article 19 : précision sur le transfert de données confidentielles, qui relèvent du secret des affaires !

→ La divulgation de secrets commerciaux ou de prétendus secrets commerciaux à un organe du secteur (articles 14 à 17) n’est requise que dans la mesure où elle est strictement nécessaire pour atteindre l’objectif de la demande. Dans ce cas, l’organisme du secteur public ou l’institution, agence ou organe de l’Union prend les mesures appropriées pour préserver la confidentialité de ces secrets commerciaux.

  • Cloud switching (article 23, 24, 25, 26)

Le Data Act a pour objectif de faciliter le changement de fournisseur de cloud : définit des standards d’interopérabilité qui devront être appliqués par les fournisseurs. Ce changement permet de débloquer le marché de l’informatique en nuage de l’UE, afin d’établir un cadre global.

Comment mettre en place le basculement entre les services effectuant le traitement des données ? Le Data Act impose aux fournisseurs de permettre plusieurs choses à leurs clients.

  • arrêter leur contrat avec un préavis de 30 jours maximum
  • conclure un contrat avec un autre fournisseur pour le même type de service
  • transporter leurs actifs numériques (les données importées initialement ainsi que toutes celles créées par la suite) grâce à des interfaces ouvertes
  • bénéficier d’une équivalent fonctionnelle dans l’environnement de destination

→ Le basculement vers un nouveau fournisseur doit se faire sous 30 jours (possibilité de demander 6 mois de délai en cas d’incapacité technique)

Ce basculement pourra être facturé, mais l’objectif établi par le Data Act est la gratuité de ce basculement dans les 3 ans après l’entrée en application du règlement.

Sur l’interopérabilité :

Si quelqu’un veut transférer un service d’exploitation ou une application d’un cloud à un autre : cet individu doit bénéficier d’une équivalence fonctionnelle. Le fournisseur de service doit garantir la compatibilité avec les normes ouvertes.

La Commission Européenne a pour projet de demander aux organismes européens de normalisation de rédiger des normes harmonisées pour l’interopérabilité des services du cloud.

Les services de cloud devront garantir une conservation intégrale des données et applications développées par les clients.

Les data holders ou hébergeurs de données doivent :

  • Décrire les données qu’ils hébergent, les licences, les restrictions d’usage, la méthodologie de collecte, la qualité de la collecte
  • Préciser les structures et formats de classification des données
  • Renseigner les moyens techniques d’accès aux données, les conditions de mise en œuvre à cet accès, la qualité du service

Le texte impose une portabilité des données.

  • Une facilitation du transfert de données (article 27)

Les services du cloud devront assurer des garanties appropriées pour empêcher :

  • les transferts internationaux de données industrielles
  • l’accès par un gouvernement tiers qui ne serait pas compatible avec la législation UE/nationale d’un EM

Les fournisseurs de services doivent mettre en place des mesures pour éviter les transferts internationaux et les accès gouvernementaux abusifs (qui seraient non compatibles avec le droit de l’UE)

Un transfert vers un pays tiers est possible en cas de décision d’un tribunal ou d’une autorité administrative, ou s’il existe un accord avec l’UE ou l’état membre.

Sinon, le transfert est autorisé sous trois conditions :

  1. le système juridique du pays tiers requiert de préciser la décision
  2. le fournisseur du service peut s’opposer à la démarche auprès d’un tribunal compétent dans le pays tiers
  3. la législation du pays tiers habilite ce pays tiers à prendre en compte les intérêts légaux du fournisseur de données

Par ces mesures, le Data Act se concentre notamment sur le droit des bases de données.

Le conflit récurrent est celui de l’attribution de la paternité d’une donnée, entre l’utilisateur qui génère la donnée, et le créateur du dispositif qui a permis la génération de la donnée.

Le droit actuel privilégie le créateur du dispositif : le Data Act souhaite atténuer l’exclusivité permise par la technique, d’où la mise en place de ces mesures :

  • encadrement de la transmission des données privées aux autorités publiques
  • nécessité d’information des utilisateurs par le fabricant préalablement à l’acquisition des données.

Ainsi, article 36 de la proposition de règlement : pour ne pas entraver l’exercice du droit des utilisateurs d’accéder à leurs données et les utiliser (article 4), ou du droit de partager avec des tiers ces données (article 5) : le droit sui generis des bases de données ne s’applique pas aux bases de données obtenues/générées par l’utilisation d’un produit/service connecté !

Quelles obligations et responsabilités ?

Pour les fournisseurs des produits et services générateurs de données

Les fournisseurs doivent préciser aux utilisateurs :-

  • la nature et le volume des données susceptibles d’être produites
  • la manière d’y accéder
  • l’éventuelle intention du fournisseur d’exploiter lui-même les données ou de le permettre à des tiers et pour quels motifs
  • l’identité du détenteur des données (si ce n’est pas le fournisseur lui-même)

Pour les détenteurs de données

Au cas où les données ne seraient pas directement disponibles par l’intermédiaire du produit ou du service, le détenteur de données doit les mettre à disposition sur simple requête par voie électronique.

De plus, il ne doit pas solliciter plus d’informations que nécessaires auprès du demandeur, et limiter la durée de conservation de ces informations.

Le détenteur doit disposer d’une base juridique adéquate en cas de transmissions de données personnelles à une personne non physique (= en accord avec le RGPD)

Le détenteur ne peut exploiter des données industrielles qu’aux termes du contrat conclu avec le demandeur, et ne pas s’en servir d’une manière qui pourrait compromettre l’activité de ce dernier.

Le détenteur a pour obligation de répondre positivement aux requêtes de communication des données à des tierces parties : SAUF les contrôleurs d’accès (DSA) qui n’ont pas accès aux données.

Pour les tierces parties (article 6)

Les tiers parties ont obligation de ne pas (sauf si nécessaire à la fourniture du service) :

  • Réaliser le profilage de personnes physiques
  • Transmettre ces données à des tiers
  • Exploiter ces données pour développer un produit concurrent de celui qui les a générées

Le détenteur des données et l’utilisateur peuvent convenir de mesures pour préserver la confidentialité des données et des secrets commerciaux. Les données transmises ne peuvent donc pas être utilisées pour développer des produits en concurrence avec le détenteur des données

→ forme de protection du secret des affaires ?

La mise à disposition des données doit être faite sous des conditions raisonnables et non discriminatoires. En cas de compensations exigées, celles-ci ne doivent pas dépasser le cout de la mise à disposition, lorsque le destinataire est une PME ! (article 9)

Quelles possibilités de recours ?

Dans la relation B2B/B2C

Auprès de qui : les organismes désignés par les États-Membres.  

Les détenteurs de données peuvent appliquer aux données des mesures techniques de protection (MTP) pour éviter tout usage indésirable.

Un mécanisme est évoqué en particulier par le Data Act, celui des smart contracts (article 30) : ces derniers doivent être robustes, embarquer un système de contrôle des accès, permettre de suspendre/arrêter leur exécution et ainsi récupérer les données. Ces smart contracts permettraient alors une utilisation licite des données.

smart contract ?

= un contrat qui assure le transfert d’un actif lorsque les conditions contractuelles se vérifient.

Un actif est lié dans un programme, lui-même stocké dans une blockchain. Les conditions contractuelles sont fines, et assurées par l’informatiques.

Les smart contracts seraient utilisés comme un moyen pour une entreprise d’autoriser une autre entreprise à accéder à ses informations.

Les PME sont également protégées face à des conditions contractuelles abusives, qui peuvent relever de plusieurs définitions :

  • une clause qui limite ou exclue la responsabilité d’une partie en cas de négligence manifeste
  • une clause qui élimine les voies de recours en cas de mauvaise exécution du contrat
  • une clause qui donne à une partie le droit exclusif d’interpréter toute disposition du contrat.

Dans la relation organisme public/organisme privé (article 18)

Dans un cas d’urgence : le détenteur de données peut sous 5 jours ouvrés décliner ou demander la révision d’une requête

Dans les autres cas : 15 jours.

Sous quelles conditions ?

  • Les données ne sont pas disponibles
  • La requête ne respecte pas les exigences textuelles (précision et clarté des finalités, démonstration du besoin, base légale)
  • Le détenteur a déjà fourni ces données à un autre organisme public qui ne lui a pas signalé les avoir détruites.

Lorsque la mise à disposition des données nécessité la divulgation de données à caractère personnel : le détenteur de données s’efforce raisonnablement de pseudonymiser les données si la demande peut être satisfaite par de telles données.

Qui mettra en œuvre le Data Act ?

Sur la demande de données en cas de situation, nous avons vu que le détenteur de données peut décliner une requête ou en demander la révision. Pour ce faire, le détenteur doit se tourner vers l’autorité compétente.

Recommandation Européenne : la même autorité qui gère les dossiers RGPD. En France, la CNIL (qui interviendra également en cas d’échange transfrontalier entre organismes publics)

Article 31.1 : chaque EM désigne une ou plusieurs autorités compétentes chargées de l’application du règlement Data Act.

Article 31.2.a) les autorités de contrôles indépendantes chargées de contrôler l’application du RGPD sont responsables du contrôle de l’application du Data Act, dans la mesure ou la protection des données à caractère personnel est concernée.

Quels impacts dans l’UE ?

Quelques exemples :

Le Data Act se veut un moteur d’innovation, de création d’emplois.

Un exemple de situation pourrait être celui d’un utilisateur de produit connecté, qui veut opter pour un fournisseur d’entretien/de réparation moins cher. L’accès aux données pertinentes permettra ainsi aux prestataires de services après-vente d’améliorer et innover leurs services, pour concurrencer ceux offerts par le fabricant initial.

Si un robot industriel tombe en panne, l’entreprise qui l’utilise n’a en général pas accès à ses données, et doit forcément s’adresser au fabricant d’origine pour le réparer ! avec le Data act : les utilisateurs d’objets connectés pourront accéder à leurs données, et les transmettre aux prestataires de SAV de leur choix.

De même, la disponibilité de certaines données sur le fonctionnement des équipements industriels pourra permettre une optimisation des ateliers.

Un exemple de situation dans le domaine agricole : l’analyse de données en temps réel provenant d’objets connectés permettra la fourniture d’informations sur la manière d’optimiser le rendement, et aidera les agriculteurs à prendre des décisions quant au niveau de ressources nécessaires.

Quant aux entreprises, les possibilités de concurrence et d’innovation sur la base de données qu’elles génèrent seront multipliées, de par l’accès aux données et les droits de portabilité instaurés par le règlement.

Sur le secteur automobile :

Les données issues des véhicules connectés sont très importantes et très valorisées. Elles intéressent les assureurs comme les réparateurs/équipementiers.

La circulation de ces données poserait donc des risques de sécurité routière. L’association Acea appelle ainsi à poursuivre les travaux, autour d’une règlementation sectorielle spécifique.

Du côté des syndicats/réparateurs

Mobilians, un syndicat du secteur automobile, se montre satisfait de la proposition de règlement. Il estime cependant que la plupart de ces grands principes doivent être explicités dans une législation spécifique au secteur, afin d’être concrétisés en mesures juridiques et techniques qui permettraient un accès équitable aux données pour tous les acteurs.

Il existe donc une volonté de partage des données relatives aux voitures, dans le respect des règles de concurrence des acteurs économiques du secteur.

Une coalition d’acteurs majeurs du secteur de l’automobile s’est prononcée en faveur du Data Act, notamment pour l’établissement du droit pour utilisateurs d’accéder aux données générées par leur utilisation de produits connectés, et de céder ces droits d’accès aux données à un prestataire de service de leur choix.

Cette coalition critique cependant le Data Act, et demande à ce que les fournisseurs de services tiers aient un droit d’accès autonome aux informations et ressources essentielles pour développer des services concurrents, et les proposer aux consommateurs. Le Data Act ne propose ici en effet qu’un droit dérivé, ce qui négligerait le fait que ces parties ont besoin de savoir/tester à l’avance quelles données et fonctions sont en principe disponibles.

→ Demande l’élaboration d’un système de gouvernance de cet accès aux données et ressources au plus tard en avril 2024 !

Les reproches faits au Data Act :

De nombreuses entreprises technologiques reprochent l’arrivée de nouvelles contraintes techniques et juridiques, avec notamment un traitement différencié entre les entreprises, selon leur taille. Le partage des données devra être encadré de façon stricte : certaines organisations détiennent bien plus de données, dont le partage ne doit être imposé qu’en cas de défaillance du marché, ou d’urgence particulière.

Dans l’industrie : certains géants de la tech voient dans le Data Act une forme de protectionnisme digital.

« Le Data Act servira les ambitions digitales de l’UE s’il protège les informations confidentielles, traites toutes les entreprises de la même façon et évite de nouvelles restrictions aux échanges de données. Il est bien intentionné mais demande à être amélioré »  réaction de la CCIA : Computer & Communications Industry Association (représentant d’Amazon, Samsung, Mozilla)

« Nous soutenons les efforts pour faciliter les échanges volontaires de données mais ce texte crée des obligations » Thomas Boué, DG en Europe de BSA (lobby des grands éditeurs de logiciels). Il formule un reproche sur les articles 3-4-5 qui imposent de partager les données avec l’utilisateurs ou à un service tiers.

BSA reproche à ces dispositions d’empêcher de nombreux modèles économiques de monétisation des données pour les grandes entreprises, car les obligations prennent la forme de contrainte, au lieu d’incitations qui seraient plus encourageantes. Les représentants de l’industrie demandent des partenariats volontaires plutôt que des règles obligatoires pour le partage de données entre entreprises et administrations.

Quel calendrier ?

Le Data Act peut encore être modifié dans une période de 12 mois avant d’être officiellement ratifié : pas de date précise de ratification transmises par la Commission cependant.

Sur le développement des modèles contractuels : la Commission est en train de rassembler un groupe d’experts autour du partage des données B2B et les contrats cloud pour développer les modèles, avec une date limite pour postuler du 6 avril 2022.

Une fois le Data Act approuvé : une période de de 12 mois sera laissée pour sa mise en œuvre.

Indira Christophe & Cécile Vernudachi