Data Act : partage des données, cloud et interopérabilité – EURACTIV.fr

[Grain de sel VDB : une proposition de Data Act sur les règles de partage des données, les conditions d’accès des organismes publics, les transferts internationaux, la commutation du cloud et l’interopérabilité. A suivre car la  Commission européenne accélère en prévoyant de présenter le projet dés le 23 février 2022

Après une déclaration de la Commission le 26 janvier 2022  sur le numérique, la proposition de loi sur les données, ou Data Act, définit les règles de partage des données, les conditions d’accès des organismes publics, les transferts internationaux de données, la commutation du cloud et l’interopérabilité, selon le projet de texte qu’EURACTIV a pu consulter.

Le Data Act est une législation horizontale pour les données non personnelles que la Commission européenne prévoit de présenter le 23 février. Les nouvelles règles s’appliqueront aux fabricants de produits connectés, aux fournisseurs de services numériques et aux utilisateurs dans l’UE.

« Le volume de données générées par les humains et les machines a augmenté de manière exponentielle, mais la plupart des données ne sont pas utilisées, ou leur valeur est concentrée entre les mains d’un nombre relativement restreint de grandes entreprises », peut-on lire dans la proposition.

La Commission entend libérer le potentiel de l’innovation basée sur l’exploitation des données en créant des obligations légales de partage des données lorsque les appareils connectés (Internet des objets) commenceront à être plus répandus.

Droit d’accès

Le Data Act introduit le principe selon lequel chaque utilisateur, individu ou organisation, doit avoir accès aux données qu’il a contribué à générer. À l’inverse, les produits connectés et les services associés, y compris les assistants virtuels, doivent, par défaut, mettre à disposition de l’utilisateur les données de manière accessible. L’utilisateur pourra utiliser ces données ou les partager gratuitement avec des tiers. Lors du partage des données avec des tiers, le détenteur des données et l’utilisateur peuvent convenir de mesures visant à préserver la confidentialité des données et des secrets commerciaux. Les données transmises ne peuvent pas être utilisées pour développer des produits en concurrence avec le détenteur des données.

Notamment, les utilisateurs ou les tiers ne peuvent pas partager ces données avec des organisations désignées comme contrôleurs d’accès (gatekeepers) en vertu de la loi sur les marchés numériques (DMA). À leur tour, les gatekeepers n’ont pas le droit de solliciter l’utilisateur pour partager des données avec eux ou pour en recevoir.

Les détenteurs de données ne pourront pas mettre en place des moyens coercitifs ou empêcher techniquement le partage des données et ne pourront demander des informations que pour vérifier que la demande provient d’un utilisateur ou d’une partie autorisée.

Pour éviter les interfaces truquées, les tiers ne peuvent « en aucun cas contraindre, tromper ou manipuler l’utilisateur, en subvertissant ou en altérant son autonomie, sa prise de décision ou ses choix, y compris au moyen d’une interface numérique avec l’utilisateur. »

Les micro et petites entreprises sont exclues de ces obligations, sauf si elles sont « économiquement dépendantes d’une autre entreprise qui n’est pas qualifiée de micro ou petite entreprise. »

Obligations contractuelles inéquitables

Les clauses contractuelles doivent être équitables, raisonnables et non discriminatoires, sinon elles seront considérées comme nulles. Une clause contractuelle abusive « s’écarte grossièrement des bonnes pratiques commerciales en matière d’accès et d’utilisation des données, ce qui est contraire à la bonne foi et à la loyauté. » Le projet renverse la charge de la preuve en indiquant que « lorsque l’autre entreprise considère que les conditions sont discriminatoires, il appartient au détenteur des données de prouver qu’il n’y a pas eu de discrimination. » En cas de désaccord, les deux parties peuvent se référer à des organismes de règlement des différends, certifiés par les États membres, mais seuls les différends qu’un autre organisme ou un tribunal n’a pas déjà traités seront rejetés. Les parties pourront toujours demander un recours devant un tribunal national. Les compensations pour la mise à disposition des données doivent être raisonnables et non discriminatoires. Pour les PME, la compensation ne doit pas dépasser le coût réel de la demande.

Accès du secteur public

Les organismes publics peuvent accéder aux données dans des circonstances exceptionnelles, notamment pour répondre à une urgence publique ou remplir des obligations légales. Les urgences publiques comprennent les catastrophes naturelles, les urgences en matière de santé publique et les attaques terroristes, à l’exclusion de l’application de la loi. En cas d’urgence, les données doivent être fournies gratuitement, tandis que le détenteur des données peut demander une compensation égale aux coûts réels dans les autres cas.

Les demandes de partage de données doivent être proportionnées et ne pas porter préjudice au détenteur des données. L’organisme public ne réutilisera pas les données obtenues mais pourrait les mettre à disposition pour la recherche scientifique.

Le cas échéant, le détenteur des données doit « faire des efforts raisonnables pour pseudonymiser les données. »

Cloud switching et interopérabilité

La proposition note que SWIPO, une initiative non contraignante visant à faciliter le changement de cloud, « semble ne pas avoir affecté de manière significative la dynamique du marché. »

Par conséquent, la législation introduit des obligations pour que les contrats contiennent des clauses pour soutenir la commutation, des exigences d’interopérabilité, et une période de transition pour finalement interdire aux fournisseurs de services de traitement des données de facturer des frais pour la commutation. Si quelqu’un décide de transférer un service d’exploitation, un logiciel ou une application d’un service en nuage à un autre, il doit bénéficier d’une « équivalence fonctionnelle ». Les fournisseurs doivent garantir la compatibilité avec les normes ouvertes ou les interfaces d’interopérabilité pour tous les autres services. La Commission demandera à un ou plusieurs organismes européens de normalisation de rédiger des normes harmonisées pour l’interopérabilité des services du cloud. Si cela est jugé insuffisant, l’exécutif européen pourrait adopter un acte d’exécution imposant des spécifications communes, des normes ouvertes ou des interfaces ouvertes.

Transferts de données

Les fournisseurs de services de cloud doivent prendre toutes les mesures raisonnables pour empêcher l’accès gouvernemental ou les transferts de données non personnelles qui seraient contraires au droit européen ou national. Les ordonnances judiciaires de pays tiers ne seraient reconnaissables que si elles sont fondées sur un accord international. Si le pays donneur d’ordre remplit certaines conditions, la quantité minimale de données autorisée peut être partagée.

Exécution

La mise en œuvre est laissée aux mains des autorités compétentes conçues par les États membres, les sanctions étant également définies au niveau national.

Actualisation : les industries concernées expriment leurs réserves et préparent leur contre-attaque.

https://www.euractiv.fr/section/all/news/leak-les-regles-du-data-act-pour-le-partage-des-donnees-le-changement-de-cloud-et-linteroperabilite/