Le Data Act : comment libérer les données ?
À l’heure où les données deviennent un enjeu majeur dans de nombreux secteurs économiques, le Data Act vise à réguler leur utilisation. Ce projet de règlement présenté par la Commission européenne en février 2022 a pour but d’assurer une meilleure utilisation des données personnelles et non personnelles par les acteurs de l’économie de la donnée. Cela se réfère notamment à l’utilisation des objets connectés et au développement de l’Internet des objets (domotique, e-santé…). Un accord politique entre le Parlement européen et le Conseil de l’Union européenne a été conclu le 28 juin 2023. L’Union européenne table sur une application du Data Act pour fin 2024.
Le Data Act, libérer la donnée
Le Data Act a pour objectif d’organiser et de piloter les conditions de création de la valeur par la donnée. Il doit permettre aux données des produits et services connectés de circuler afin de rééquilibrer les relations entre les producteurs de ces services et produits, et leurs utilisateurs. Il consacre un droit d’accès de l’utilisateur à ces données.
L’objectif est pluriel :
- Harmoniser les règles d’accès et d’utilisation des données entre producteurs et utilisateurs : définir qui peut accéder aux données et comment créer de la valeur grâce à ces données ;
- Mettre à disposition davantage de données pour stimuler l’innovation dans les entreprises, notamment les PME et TPE, les administrations publiques, mais aussi chez les citoyens, pour créer de nouveaux services ;
- Rééquilibrer les relations asymétriques entre les acteurs économiques.
L’éclairage Numéricité
Le texte comporte des dispositions sur des domaines différents notamment : l’accès et le partage de la donnée des produits et services connectés ou encore la limitation du droit de la propriété intellectuelle sur les bases de données. Il aborde également l’interopérabilité des offres cloud, le transfert international des données non-personnelles ou encore les contrats intelligents.
Définir la donnée
Le Data Act reprend la définition de la donnée établie par le Data Governance Act dans son article 2 :
« Toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels ».
DGA et DA : de quoi parle-t-on ?
Ce sont deux règlements qui organisent le marché européen de la donnée :
- le Data Governance Act a vocation à créer les structures et processus nécessaires au partage des données. Il s’agit d’encadrer l’écosystème de la donnée ;
- le Data Act, quant à lui, a une approche plus micro et organise la façon dont les acteurs du marché peuvent utiliser des données afin de les valoriser économiquement.”
La consécration d’un droit d’accéder et de partager les données
Actuellement, les contrats et le droit confèrent souvent aux fabricants l’accès et la propriété des données générées par les produits connectés. L’utilisateur, consommateur ou professionnel, n’a plus accès à ses données et ne peut les faire analyser par un tiers. Le Data Act redonne du pouvoir aux utilisateurs car :
- Les utilisateurs de produits ou services générant des données doivent être informés des modalités d’accès aux données ;
- Les utilisateurs peuvent décider de transférer les données à un tiers. Ce partage suppose certainement un contrat entre le fabricant et le tiers. Le tiers sélectionné par l’utilisateur qui accède aux données indemnise le fabricant du coût technique de mise à disposition des données (ex : API). Les données ne sont utilisables que pour la finalité indiquée dans le contrat de partage de données.
L’éclairage Numéricité
Il y a un enjeu d’articulation entre le droit de partage, le secret des affaires et le RGPD. La jurisprudence de la Cour de justice de l’Union européenne (CJUE) sera certainement utile pour baliser la frontière entre partages et secrets.
Accès et portabilité des données : enjeux majeurs d’une concurrence équitable
Le Data Act énumère des clauses contractuelles abusives afin d’éviter que les fabricants s’opposent à l’accès et au partage des données. De son côté, la Commission européenne s’attèlera à rédiger des clauses contractuelles types non-contraignantes. L’objectif est de rééquilibrer l’accès aux données entre les TPE/PME et les grandes entreprises du secteur de la tech.
Une limitation du droit “sui generis” des producteurs de bases de données
Le droit actuel prévoit que les droits de propriété intellectuelle appartiennent en principe aux fabricants. Il y a donc une tension entre le créateur du dispositif technique permettant la génération des données, et l’utilisateur de ce dispositif quant aux droits de propriété de ces données. Le Data Act prévoit une dérogation au droit “sui generis” des producteurs de bases de données : il ne s’applique pas aux produits et services connectés. En effet, ce droit aurait été de nature à remettre en cause les droits d’accès et de partage des utilisateurs.
Garantir aux services publics l’accès à toutes les données en situation de crise
En cas de situation exceptionnelle relevant de l’intérêt public (catastrophes naturelles, crise sanitaire…), une entreprise privée est tenue de mettre à disposition ses données aux autorités publiques. Trois situations sont identifiées dans l’article 15 du Data Act : l’urgence publique (accès gratuit à la donnée privée), la prévention de l’urgence publique et le rétablissement à la suite de l’urgence (ces deux dernières situations peuvent donner lieu à une compensation).
Par ailleurs, les demandes de données doivent :
- être proportionnées ;
- indiquer l’objectif à atteindre ;
- respecter les intérêts de l’entreprise qui met les données à disposition des autorités publiques.
Permettre la diversification des offres Cloud
Plusieurs articles du Data Act vise à lutter contre la concentration technologique et le verrouillage technique des offres cloud pour permettre l’éclosion de concurrents européens. Cela vise particulièrement les GAFAM et les BATX (industriels chinois). Cela implique des exigences minimales pour les fournisseurs de services cloud en termes de contrats, de tarification et de fonctionnalités.
Encadrer les transferts internationaux de données non-personnelles
Les législations des États tiers de l’UE peuvent prévoir le transfert de données non-personnelles hors de l’UE. Cela peut entrainer de nombreux risques : atteinte au secret des affaires, au secret défense, aux droits fondamentaux, etc.
Le Data Act entend soumettre les fournisseurs de services de traitement de données à l’obligation de prendre des mesures raisonnables pour empêcher le transfert de données non personnelles en dehors de l’UE.
Les fournisseurs de services devront soit disposer d’un accord international, soit respecter certaines conditions prévues par le Data Act pour transférer des données non-personnelles hors de l’UE.
Le Data Act, une brèche dans le secret des affaires ?
En mai dernier, cinq groupes allemand, dont SAP et Siemens, ont adressé une lettre ouverte à plusieurs responsables européens pour dénoncer les “risques énormes” que fait peser ce projet de réglementation sur “la cybersécurité et la compétitivité de certaines des entreprises les plus performantes d’Europe”.
Ils craignent que les droits d’accès et de partage des données puissent porter atteinte au secret des affaires. Ces craintes sont discutables dans la mesure où le Data Act prévoit aux articles 5 et 6 l’élaboration de clauses de confidentialité entre le détenteur de la donnée et le tiers.
L’éclairage Numéricité
Le secret des affaires donnera certainement naissance à une jurisprudence qui fixera le cap à suivre. Tout comme la conciliation entre le Data Act et le droit des données à caractère personnel (RGPD).
En somme, le Data Act représente un changement majeur dans la manière dont les données sont gérées et partagées en Europe. Il promet de promouvoir l’innovation, de rétablir l’équité entre les acteurs. Il fait également des débats sur les équilibres entre le droit à la vie privée, le secret des affaires et la compétitivité économique. Le Data Act trace ouvre la voie à une gestion plus transparente et juste des données au sein de l’Union.