Data Act : une obligation de partage des données – EURACTIV.fr

Mercredi (23 février), l’exécutif européen a présenté son projet de nouvelle loi sur les données (Data Act), qui présente seulement des changements mineurs par rapport à la proposition qui avait été divulguée par EURACTIV au début du mois.

Le Data Act vise à fournir une législation horizontale pour le partage des données non personnelles en introduisant des obligations pour donner aux utilisateurs l’accès aux données qu’ils contribuent à générer et pour garantir que les organismes publics aient accès aux données détenues par des particuliers dans des circonstances exceptionnelles.

« Le Data Act clarifie qui peut accéder aux données et les partager, et dans quelles conditions. Elle apporte une sécurité juridique et vise à supprimer les obstacles au partage des données », a déclaré Margrethe Vestager, responsable du numérique à la Commission européenne.

Cette loi vise à introduire des mesures sur le cloud switching et des normes d’interopérabilité obligatoires pour les services de cloud. La Commission propose également des garanties pour les transferts internationaux de données, suivant une approche similaire à celle utilisée en matière de données personnelles.

Le partage des données

Le Data Act vise à imposer des obligations de partage des données aux fabricants de produits connectés et aux fournisseurs de services connexes. Ces entreprises, généralement appelées « détenteurs de données », devront fournir aux utilisateurs un accès facile, immédiat et gratuit aux données qu’elles ont contribué à générer.

Les utilisateurs pourraient décider de partager ces données avec des tiers autorisés, qui ne pourraient toutefois pas les utiliser pour développer des produits concurrents. Cependant, les services concurrents ont été exclus de la nouvelle version comparativement à celle qui avait fait l’objet d’une fuite.

Des mesures spécifiques ont été incluses pour éviter que des tiers ne puissent extorquer ou manipuler le consentement des utilisateurs au partage des données. En outre, les grandes plateformes en ligne désignées comme des contrôleurs d’accès en vertu de la loi sur les marchés numériques (Digital Markets Act ou DMA) ne sont pas des tiers éligibles.

Les conditions d’accès aux données doivent être équitables, raisonnables et non discriminatoires. Un test d’équité a été inclus pour empêcher l’imposition de conditions contractuelles injustes aux PME, qui ne doivent pas être facturées pour la fourniture de données au-delà du coût administratif réel.

Le projet de loi donne aux institutions publiques le pouvoir de demander l’accès aux données considérées comme essentielles pour répondre aux urgences publiques, telles que les attaques terroristes et les catastrophes naturelles. Ces demandes doivent être proportionnelles et limitées à la crise à laquelle elles entendent répondre.

Les micro et petites entreprises ont quant à elles été exclues de ces obligations de partage de données.

Les réactions de l’industrie

À la suite des révélations d’EURACTIV, les associations industrielles se sont mobilisées pour faire pression en faveur d’incitations économiques plutôt que d’obligations. En réalité, la position de l’industrie est beaucoup plus articulée.

Les entreprises fournissant des services complémentaires ou de maintenance bénéficieraient d’un accès accru aux données générées par les appareils connectés. Parallèlement, les fournisseurs du produit ou du service final perdraient le monopole des données générées, notamment vis-à-vis de leur chaîne d’approvisionnement.

En outre, des modèles commerciaux totalement nouveaux pourraient émerger en raison de la disponibilité croissante des données.

« Il ne faut pas négliger la nécessité de trouver un équilibre entre le droit de propriété et la liberté d’exercer une activité commerciale », a déclaré Otto Lindholm, responsable des pratiques en matière de données chez Dottir Attorneys.

L’industrie automobile est un exemple où l’accès aux données est de plus en plus ressenti comme un problème étant donné les quantités croissantes de données que les voitures génèrent. Pour les fournisseurs, les constructeurs automobiles utilisent leur position sur le marché pour agir en tant que « contrôleurs » de l’accès aux données générées par les voitures.

En revanche, les constructeurs automobiles et les entreprises de construction mécanique, en général, font valoir que le partage des données fonctionne déjà bien via les accords contractuels en vigueur dans le secteur.

« Les idées proposées aujourd’hui pour le Data Act (comme l’obligation de mettre les données à disposition et un test d’équité) interfèrent avec ces développements positifs, la liberté d’entreprise et un écosystème qui fonctionne globalement », a estimé Daniel van Geerenstein, chef adjoint du service juridique de la VDMA, une association professionnelle représentant le secteur de l’ingénierie mécanique, y compris les divisions de production de machines des grands constructeurs automobiles.

Cloud switching et interopérabilité du cloud

Les services de traitement des données, qui sont pour la plupart des services du cloud, entrent dans le champ d’application de la proposition. L’objectif est d’éliminer les obstacles au cloud switching, par exemple, des logiciels et applications qui ont augmenté leur utilisation des données se retrouvent bloqués par des frais élevés.

La précédente tentative de la Commission pour résoudre ce problème avec les codes de conduite non contraignants du Switching Cloud Providers and Porting Data partage de données (SWIPO) a été jugée inefficace.

« Les exigences en matière de cloud switching devraient trouver un juste équilibre entre le fait d’éviter le blocage des fournisseurs et celui de permettre aux fournisseurs de cloud d’offrir des services innovants », a déclaré Emilie Petras-Sohie, responsable juridique et politique chez IBM Europe.

Le projet prévoit que les contrats devront permettre le passage à un autre service dans un délai de 30 jours, avec une assistance complète et la continuité du service pendant la transition. Après trois ans, le « service de sortie » devra être fourni gratuitement.

Les services du cloud devront garantir la compatibilité avec les interfaces ouvertes ou les normes d’interopérabilité établies au niveau européen.

Les transferts internationaux de données

Adoptant un régime similaire à celui des données personnelles, les services du cloud devront assurer des garanties appropriées pour empêcher les transferts internationaux de données industrielles ou l’accès par un gouvernement tiers qui ne serait pas compatible avec la législation européenne ou nationale.

« Les obligations découlant du règlement général de l’UE sur la protection des données, l’arrêt Schrems II de la CJUE et les lignes directrices des autorités chargées de la protection des données établissent une situation juridique très complexe qui rend chaque transfert de données personnelles vers un pays tiers plutôt difficile. La proposition du Data Act pourrait étendre ce défi aux données à caractère non personnel », a indiqué Jens Schefzig, associé du cabinet juridique Osborne Clarke.

https://www.euractiv.fr/section/economie/news/data-act-la-commission-europeenne-met-en-avant-les-obligations-de-partage-des-donnees/