Data Act : l’Europe réglemente le partage des données

Par
Florian Giraudon
-

C’est une étape majeure pour l’IoT. Adopté par le Conseil de l’Union le 27 novembre 2023, le règlement sur l’équité de l’accès aux données et de l’utilisation des données, ou Data Act, est entré en vigueur le 11 janvier 2024. Ces nouvelles mesures ne seront pas applicables avant le 12 septembre 2025.

Complément de son binôme sur la gouvernance des données (Data Governance Act, DGA, voir La rem n°63, p.30), le Data Act s’inscrit dans la « stratégie européenne pour les données » édictée par l’exécutif européen1. Selon la vision globale de la mandature 2019-2024 de la présidente de la Commission européenne Ursula von der Leyen, l’avenir numérique de l’Europe est mis au premier plan. En outre, cette stratégie fait écho à l’engagement décennal2 sur le numérique, avec pour objectif de « donner aux entreprises et aux citoyens les moyens d’agir dans un avenir numérique durable, centré sur l’humain et plus prospère ».

À cet égard, l’Union européenne est déjà dotée d’une première loi sur les marchés numériques, le Digital Markets Act (DMA), encadrant les conditions d’usage des données personnelles de leurs utilisateurs par les plateformes numériques, désignées comme « contrôleurs d’accès » (voir La rem no67, p.14). À l’heure actuelle, une brique de l’édifice de l’économie européenne des données reste en discussion au sein des instances européennes : l’IA Act. Cet ensemble de lois constitutif de la politique numérique de l’Union se veut être le catalyseur pour faire de l’Europe un acteur souverain sur la scène internationale face aux États-Unis et à la Chine.

Le Data Act répond, comme le Data Governance Act, à la volonté d’encourager l’innovation et de favoriser la croissance. Ce texte s’attache principalement à réguler les pratiques des acteurs privés sur le marché des données non personnelles et, en premier lieu, celles liées au fort développement de l’internet des objets connectés (Internet of Things, IoT).

La création de valeur par les données selon deux axes majeurs

Selon José Luis Escrivá, ministre espagnol de la transformation numérique, « cette nouvelle loi va libérer un énorme potentiel économique et contribuer de manière significative à la création d’un marché intérieur européen des données. L’échange et l’utilisation généralisée des données seront stimulés, et de nouveaux débouchés commerciaux s’ouvriront dans l’intérêt de nos citoyens et de nos entreprises dans toute l’Europe ». Face à la croissance exponentielle des données de l’IoT, le Data Act entend permettre leur valorisation au sein d’un cadre harmonisé à la fois pour leur accessibilité et pour le droit à les exploiter.

En addition de la définition que porte le RGPD (règlement général sur la protection des données) en son article 4 sur les données personnelles, le Data Act désigne plus largement la donnée comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels »4De facto, le champ d’application de ce règlement s’étend principalement aux données issues de l’IoT, aux fabricants de ces objets connectés5 et aux services connexes6, aux détenteurs de données, ainsi qu’aux fournisseurs de services de traitement qui sont affiliés à ces produits.

Néanmoins, il est important de noter que cette définition généraliste de la donnée ne limite pas la portée du texte, puisqu’il est précisé que sont visées tant les données non personnelles que les données personnelles. En conséquence, son application doit également être conforme au RGPD.

Le nouveau cadre du partage et de la mise à disposition des données

Le Data Act stipule l’ouverture, le partage ou la mise à disposition entre acteurs sur un marché des données concurrentiel.

Le partage entre les acteurs et les consommateurs Les entreprises doivent permettre aux consommateurs d’accéder aux données relatives à l’objet connecté qu’ils utilisent, ainsi qu’aux métadonnées7 fonctionnelles de celui-ci. Cette mise à disposition des données est soumise à des contraintes : l’entreprise doit respecter un certain nombre de critères visant à la protection de chacune des parties (confidentialité, sécurité, accessibilité, sans frais). L’objectif ici est double : la transparence pour le consommateur quant aux données produites par l’usage de son objet connecté, et la potentielle valorisation par l’entreprise d’une base de données, structurée et pertinente.

Cependant, la taille de l’entreprise est prise en compte, et les données produites lors de l’utilisation d’un objet connecté commercialisé par une petite ou moyenne comme par une micro entreprise ne pourront être soumises aux mêmes obligations8.

Une mise à disposition étendue aux détenteurs de données

Ces dispositions de partage s’étendent également aux entreprises entre elles sous une forme contractuelle et dans le respect du droit de l’Union européenne. Le contrat devra ainsi être rédigé de manière équitable, non discriminatoire et transparente9. Il est, de plus, précisé que cet accès ne peut être qualifié de « généralisé », le détenteur des données pouvant donc mettre en place des mesures techniques de sécurité afin de bloquer tout accès aux données non autorisées. Une compensation financière peut aussi être prévue contractuellement avec la liberté d’y inclure une marge commerciale. Par ailleurs, ce partage entre entreprises ne doit en aucun cas faire barrage à la consultation des données par les consommateurs concernés.

Une mise à disposition exceptionnelle à la demande d’un organisme public

Un des apports majeurs du Data Act réside dans l’instauration de la possibilité pour des acteurs publics d’accéder aux données produites par des acteurs privés – une opportunité définie en trois axes. En premier lieu, cette possibilité d’accès devra répondre à une situation d’urgence10, faute de disposer d’une autre solution efficace11. En second lieu, cette collecte doit se limiter au strict nécessaire dans le seul cadre d’une mission d’intérêt public, conformément au droit européen ou au droit national. Enfin, cette mesure d’accès est autorisée lorsque l’acteur public a épuisé tous les moyens existants, d’ordre juridique ou commercial (achat de données). Toutefois, les deux dernières conditions citées sont applicables uniquement aux données à caractère non personnel, et sont exclues de leur champ d’application les micro ou petites entreprises. L’acteur public acquéreur des données devra, de surcroît, remplir un certain nombre d’obligations, telle que l’utilisation des données exclusivement pour les finalités prévues, ainsi que des mesures techniques de sécurité et de confidentialité12. Enfin le Data Act prévoit que la demande d’accès doive être « formulée par écrit et exprimée en termes clairs, concis et simples »13, assortie d’une étude analogue au registre de traitement prévu par l’article 17 du RGPD. Néanmoins, il semble subsister un certain flou, notamment quant à l’épuisement des moyens utilisés afin de répondre à un intérêt public. Cependant, lors d’une collecte répondant aux critères édictés, le Data Act dispose que l’acteur public pourra, le cas échéant, partager ces données, d’une part, avec les organismes de statistiques et, d’autre part, avec les organismes de recherche14. L’exploitation de ces données prendra fin au plus tard six mois après que l’acteur public qui avait partagé ces données les aura supprimées.

Un texte concourant aux évolutions contractuelles et techniques

Le Data Act prévoit des éléments complémentaires aux conditions de partage des données. Ces éléments peuvent être classés selon trois aspects principaux.

Tout d’abord, le texte fait référence au droit à la portabilité des données, offrant la possibilité aux consommateurs de changer de fournisseur de service pour le stockage et le traitement de leurs données. Le but est de remédier au blocage, souvent lié au passage d’un prestataire à un autre, tout en favorisant le choix d’une solution européenne pour l’informatique en nuage (cloud) afin de restreindre la dépendance des acteurs européens vis-à-vis des infrastructures américaines15.

Dorénavant, aucun obstacle – commercial, technique ou contractuel – ne devra freiner les démarches de changement de prestataire. En outre, les frais pouvant en résulter devront progressivement disparaître ; cette mesure prendra effet à compter de janvier 2027. S’ajoutent à ce point des obligations contractuelles de transparence. Faisant écho aux dispositions du DMA, il s’agit ici d’empêcher l’établissement de clauses contractuelles abusives. L’objectif est, là encore, de réduire l’impact de la position dominante sur le marché du cloud des acteurs américains : les Big Tech. Une liste exhaustive des cas d’abus contractuels se trouve à l’article 13 du chapitre IV. À l’instar du DMA, le Data Act participe de la mise en œuvre de la volonté européenne pour un retour à l’équité sur le marché du numérique.

Enfin, un autre apport essentiel du Data Act résulte en la consécration du principe d’interopérabilité16. Déjà, au plan national, le RGI (Référentiel général d’interopérabilité) issu de l’ordonnance n° 2005-1516 de 2005, réactualisé dans une seconde version en avril 2016, venait poser un cadre de recommandations, de normes et de certifications favorisant l’interopérabilité. Porté par le Data Act, ce principe s’applique dès lors uniformément sur l’ensemble du territoire européen. En supprimant les obstacles liés aux divergences techniques entre systèmes, cette unicité est un facteur d’innovation en termes de normes et de certificats techniques siglés « EU ».

Rétablir une concurrence équitable sur le marché de l’informatique en nuage et garantir de nouveaux droits aux consommateurs17, telle est l’ambition de cette nouvelle loi européenne sur l’économie de la donnée. Un autre objectif serait, à terme, de transformer en profondeur le marché de l’IoT européen. De facto, tous les objets connectés « devront être conçus et fabriqués de manière à permettre aux utilisateurs (entreprises ou consommateurs) d’accéder, d’utiliser et de partager facilement et en toute sécurité les données générées » 18.

Rendez-vous est pris pour les premières conclusions résultant de son application en septembre 2028, lorsque la Commission présentera son premier rapport d’activité et d’efficacité de ce texte.

Sources :

  1. « Une stratégie européenne pour les données », communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, Commission européenne, Bruxelles, 19 février 2020.
  2. « La décennie numérique de l’Europe », Commission européenne, digital-strategy.ec
  3. « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, règlement général sur la protection des données (RGPD), chap. I, art. 4.
  4. Data Act, chap. I, art. 2.
  5. Voir la définition à l’art. 2, chap. I du Data Act.
  6. « Un service numérique […] connecté au produit au moment de l’achat, ou de la mise en location ou en crédit-bail […] ou qui est ensuite connecté au produit par le fabricant ou un tiers », Data Act, chap. I, art. 2.
  7. « Une description structurée du contenu ou de l’utilisation des données qui facilite la découverte ou l’utilisation de ces données », Data Act, chap. I, art. 2.
  8. Data Act, chap. II, art. 7.
  9. Data Act, chap. III, art. 8.
  10. « Une situation exceptionnelle, d’une durée limitée, telle une urgence de santé publique, une urgence résultant d’une catastrophe naturelle ou d’une catastrophe majeure d’origine humaine […] entraînant un risque de répercussions graves et durables sur les conditions de vie », Data Act, chap. I, art. 2.
  11. « Ces nouvelles règles apportent une réponse ambitieuse à l’insuffisance des mécanismes d’accès aux données par le secteur public, qui sont inadéquats pour répondre à des situations d’urgence publique », communiqué de presse « Économie de la donnée et cloud », ministère chargé de la transition numérique et des télécommunications, 15 juillet 2023.
  12. Data Act, chap. V, art. 19.
  13. Data Act, chap. V, art. 17.
  14. Data Act, chap. V, art. 21.
  15. « Loi sur les données », Commission européenne, digital-strategy.ec
  16. « La capacité d’au moins deux espaces de données ou réseaux […] d’échanger et d’utiliser des données afin de remplir leurs fonctions », Data Act, chap. I, art. 2.
  17. « Le règlement européen apporte également une réponse ambitieuse à l’enjeu du rééquilibrage de la concurrence sur le marché de l’informatique en nuage », communiqué de presse « Économie de la donnée et cloud », ministère chargé de la transition numérique et des télécommunications, 15 juillet 2023.
  18. « Loi sur les données », Commission européenne,  cit.