Proposition de Règlement européen sur les données (« Data act ») : un nouveau cadre pour le partage des données

Actualités juridiques
Chambre de Commerce

Le 23 février 2022, la Commission européenne (la « Commission ») a publié sa proposition de règlement établissant des règles harmonisées concernant l'accès et le partage équitable des données.

Le Data act inscrit dans le cadre de la stratégie digitale européenne initiée par la Commission en 2020 pour construire une « Europe adaptée à l'ère numérique ». La Commission a constaté que 80% des données industrielles n’étaient pas utilisées, alors qu'elles ont une valeur économique cruciale, notamment à l'aube de l’essor de l'intelligence artificielle. En tant que bien non rival (un bien non rival est un bien qui peut être consommé par plusieurs personnes simultanément, NDLR), une donnée peut être dupliquée pour un coût marginal presque nul et donc être utilisée par un utilisateur sans en empêcher son utilisation simultanée ou ultérieure par d'autres utilisateurs, et ceci, sans altération de sa qualité ou du nombre de reproductions possibles. Le Data act vise à lever les obstacles juridiques, économiques et techniques afin de permettre aux utilisateurs (entreprises et consommateurs) et aux tiers de partager ces données sous-utilisées et de favoriser ainsi le développement de produits et services innovants.

Quelles données entreraient dans le champ d'application du Data act ?

Données incluses dans le champ d'application
Le Data act s'appliquerait à toutes les données obtenues, générées ou collectées par des produits physiques capables de communiquer des données via un service de communication électronique accessible au public (dénommés « Objets Connectés » ou « Internet des Objets »), sous réserve de l’application du régime prévu par le RGPD pour les données personnelles.

Exemples : véhicules connectés, équipements domotiques et biens de consommation (réfrigérateur, aspirateur, tondeuse à gazon connectés, etc.), appareils médicaux et de santé, machines agricoles et industrielles.

Les Objets Connectés peuvent également intégrer ou être interconnectés avec un service lié nécessaire pour leur fonctionnement. Ces services liés peuvent eux-mêmes générer à leur tour des données de valeur pour l'utilisateur qui entreraient dans le champ d'application du Data act.

Données exclues du champ d'application
Les produits qui sont principalement conçus pour afficher ou lire un contenu ou pour enregistrer et transmettre un contenu en vue de son utilisation par un service en ligne (par exemple : vidéos, fichiers de texte, fichiers sonores, jeux, cartographies numériques) ne seraient pas couverts par le Data act. Ils nécessitent en effet une intervention humaine directe pour les produire.

Exemples : ordinateurs personnels, serveurs, tablettes et smartphones, appareils photo, webcams, systèmes d'enregistrement sonore et scanners de texte.

Les données résultant de tout traitement logiciel qui calcule des données dérivées à partir de ces données (ex : le machine learning) n'entreraient pas non plus dans le champ d'application du Data act.

Qui serait concerné ?

Le Data act s'appliquerait à un large éventail d'acteurs intervenant dans tous les secteurs liés aux Objets Connectés, à savoir (i) les fabricants d’Objets Connectés et les fournisseurs de services liés mis sur le marché de l'UE, (ii) les utilisateurs de ces objets et services liés, (iii) les détenteurs des données (s'ils sont différents du fabricant ou du fournisseur) qui mettent les données à la disposition des destinataires des données dans l'UE, (iv) les destinataires des données dans l'UE auxquels les données sont mises à disposition, (v) les fournisseurs de services cloud à des clients dans l'UE et (vi) les organismes publics des États membres et les institutions de l'UE en cas de besoin exceptionnel.

Quels seraient les impacts sur les parties prenantes ?

Accès et partage des données (entre entreprises et consommateurs et interentreprises)

Les fabricants devraient concevoir leurs Objets Connectés de manière à ce que, par défaut, les utilisateurs puissent accéder aux données générées par leur utilisation, facilement, en toute sécurité et directement, lorsque cela est pertinent et approprié.

Avant de conclure un contrat d'achat ou de location d'un Objet Connecté et de services liés, les utilisateurs devraient être informés par le fabricant de la nature et du volume des données susceptibles d'être générées, de la manière dont ils peuvent y accéder et les partager, des fins pour lesquelles ces données seront utilisées si le fabricant a l'intention d'utiliser les données lui-même (ou via un tiers).

Lorsque l'utilisateur ne peut pas accéder directement aux données par le biais de l’Objet Connecté, l'accès devrait être accordé par le détenteur des données à la demande de l'utilisateur, en temps utile, gratuitement et (le cas échéant) en continu et en temps réel.

Les utilisateurs pourraient également demander que leurs données soient mises à la disposition de tiers, à l'exclusion des « gatekeepers » (grandes plateformes en ligne) tels que définis dans le règlement sur les marchés numériques (Digital Markets Act).

Conditions de partage des données
Les conditions d’accès aux données devraient être équitables, raisonnables et non discriminatoires, la charge de la preuve incombant aux détenteurs des données qui mettent à disposition les données. Le Data act prévoit également un catalogue de clauses abusives qui ne seraient pas opposables si elles étaient imposées aux petites et moyennes entreprises (PME). Des dispositions spécifiques sont également prévues pour préserver les secrets commerciaux des fabricants.

La compensation financière demandée par le détenteur des données pour mettre des données à la disposition d'un tiers doit être raisonnable et détaillée avec sa méthode de calcul. Cette compensation financière ne doit pas être comprise comme un paiement des données, mais doit plutôt couvrir les coûts directs liés à la mise à disposition des données. Toutefois, lorsque le destinataire des données est une PME, les données devraient être fournies à prix coûtant.

Partage des données entre entreprises et organismes publics
Le Data act prévoit un cadre spécifique pour favoriser l'accès des organismes publics des États Membres et des Institutions de l'UE aux données détenues par les détenteurs de données (à l'exclusion des PME), dans des circonstances exceptionnelles telles qu'une urgence publique, un motif d'intérêt public explicitement prévu par la loi, pour effectuer des recherches scientifiques ou des statistiques officielles.

Dans ces cas, les détenteurs des données sont tenus de partager les données sans retard excessif, gratuitement en cas d'urgence publique, ou contre une compensation financière raisonnable dans les autres cas.

Changement de services cloud et interopérabilité
Les services cloud (y compris les services edge) devraient supprimer les obstacles commerciaux, techniques, contractuels et organisationnels afin de faciliter le changement et l'interopérabilité entre eux. Le Data act imposerait des conditions en termes de périodes de transition, de portage des données, d'équivalence fonctionnelle, d'élimination progressive des frais de changement de service et des garanties contractuelles à prévoir.

Les services cloud devraient également empêcher les gouvernements des pays tiers d'accéder aux données de l'UE lorsque cet accès et ce transfert créent un conflit avec la législation européenne ou la législation nationale des États Membres.

Les prochaines étapes

Le Data act soulève de nombreuses questions quant à son champ d'application et aux obligations substantielles imposées aux parties prenantes. Ces questions seront abordées dans le cadre de la consultation publique de la Commission à laquelle participe la Chambre de Commerce et seront prochainement débattues au Parlement européen et au Conseil de l’UE. Une fois adoptée (probablement entre fin 2023 et début 2024), le Data act sera directement applicable dans tous les États membres et à tous les secteurs. Par conséquent, il sera essentiel pour les parties prenantes d'anticiper les changements qu'elles devront mettre en œuvre pour être en conformité avec le texte final du Data act.

Ce document est une traduction libre en français de l’article publié dans MERKUR mai-juin 2022, rubrique Legal Insight.