Six ans après l’entrée en vigueur du Règlement Européen 2016/679 sur la protection des données à caractère personnel (« RGPD« ), l’Union Européenne vient d’adopter un nouveau règlement visant une meilleure répartition de la valeur générée par l’utilisation des données entre les acteurs de l’économie numérique.
Adopté le 11 janvier 2024, en seulement 22 mois, le Règlement 2023/2854 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (Règlement sur les Données ou « Data Act« ) ambitionne d’élargir le champ de la souveraineté européenne sur le numérique, au-delà des frontières des seules données à caractère personnel.
Le Constat d’une Impuissance
Débutées en février 2022 sous la présidence française de l’Union européenne, les négociations visaient à appréhender l’Internet des objets (« Internet of Things » ou « IoT ») et l’industrie de l’informatique en nuage (« cloud computing ») qui génère une quantité importante de données, tant personnelles que non personnelles et dont la valeur économique demeure aujourd’hui contrôlée par les quelques acteurs en position dominante mettant sur le marché ces produits IoT ou service de cloud computing.
En supprimant certaines barrières à la portabilité des données sous-jacentes, le Data Act ambitionne de stimuler le développement d’une économie européenne de la donnée équitable et un rééquilibrage de la concurrence.
La Donnée au Service des Entreprises
Le Data Act définit pour la première fois ce qu’est une « Donnée ». En effet, si la « Donnée à Caractère Personnel » était définie en droit européen depuis plus de 30 ans comme « toute information se rapportant [directement ou indirectement] à une personne physique identifiée ou identifiable », la donnée est à présent caractérisée par « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels. »
En premier lieu, la définition de la donnée semble matériellement plus restreinte que la donnée personnelle. Lorsque cette dernière peut être issue de traitement de données réalisé sur support informatique ou papier, la donnée au sens du Data Act est exclusivement numérique.
En outre, en affirmant qu’une donnée est soit un « acte », soit un « fait », soit une « information », le Data Act souligne qu’elle n’est qu’un état et, partant, insusceptible, en tant que telle, d’appropriation par le droit de la propriété intellectuelle (sans préjudice des droits éventuels sur la base de données où elle serait comprise ou du caractère secret de cette donnée).
En conséquence, la donnée n’étant la propriété de personne, ni du prestataire, ni de son client, sa détention et son contrôle ne peuvent être régis que par contrat.
Les Acteurs du Data Act
Le Data Act couvre un large spectre d’acteurs de l’économique de la donnée :
- Fabricants et fournisseurs : toute entreprise qui fabrique ou vend des produits connectés (tels que des thermostats ou luminaires connectés) à destination du marché de l’Union, ou qui y offre des services connexes (tels que des applications mobiles permettant la visualisation des données générées par les produits connectés) est soumise au Data Act
- Utilisateurs : toute personne morale ou physique qui utilise des produits connectés et des services connexes au sein de l’Union bénéficie des droits issus du Data Act qui lui permette non seulement d’accéder aux données générées par leurs produits connectés, mais également de faire transférer ces données à un nouveau prestataire.
- Fournisseurs de services de traitement des données : les entreprises qui stockent, traitent ou gèrent des données pour le compte d’autrui dans l’Union (tels que les hébergeurs de données ou fournisseurs d’informatique en nuage) sont également concernées.
Si certaines exemptions ont été mises en place pour les micro-entreprises et les petites entreprises, ces dernières bénéficient également d’un régime favorable, notamment dans le cadre de leurs relations contractuelles avec des fournisseurs de tailles plus importantes, aux fins de rééquilibrer les négociations contractuelles.
Les Nouvelles Règles du Data Act
Le Data Act impose aux acteurs listés ci-dessus plusieurs obligations, qui visent à les responsabiliser, notamment par une transparence accrue, pour promouvoir une concurrence loyale sur le marché des données.
- Transparence : les fabricants et fournisseurs sont tenus de fournir aux utilisateurs des informations claires et complètes sur les données collectées par leurs produits connectés et services connexes, tels que la nature et le volume des données collectées, la manière dont elles sont utilisées et les droits des utilisateurs en matière d’accès et de contrôle.
- Accès aux données : non sans rappeler le droit à la portabilité inauguré par le RGPD, les utilisateurs disposent d’un droit d’accéder aux données générées par leurs produits connectés et services connexes. Ces données doivent être fournies dans un format couramment utilisé et lisible par machine, permettant aux utilisateurs de les télécharger et de les analyser facilement. Comme pour le RGPD, ce droit d’accès et de portabilité vise à permettre le transfert de l’historique des données à un nouveau prestataire sans frais excessifs. Dans le même temps, le Data Act pose de nouvelles exigences relatives à l’interopérabilité pour donner un plein effet à ces possibilités de transferts entre prestataires.
- Conditions contractuelles équitables : les contrats relatifs à l’accès aux données dans l’écosystème des produits et services connectés devront être revus pour assurer le bon équilibre des obligations. Le Data Act prévoit ainsi une série de clauses abusives, soit par nature soit par présomption.
- Limitations de l’utilisation des données : le Data Act limite la manière dont les détenteurs de données peuvent utiliser les données qu’ils collectent. À ce titre, ces derniers ne peuvent pas utiliser les données pour obtenir un avantage concurrentiel abusif sur le marché. Cette mesure vise à favoriser un paysage des données plus compétitif où l’innovation profite à tous les participants.
- Partage des données du secteur public : dans des circonstances exceptionnelles, les entreprises peuvent être tenues de partager des données avec les autorités publiques. Les dispositions visent à soutenir les interventions jugées urgentes, les mesures de sécurité nationale ou d’autres situations jugées critiques par le gouvernement. Le Data Act prévoit des limites strictes pour garantir que ce partage de données demeure nécessaire et proportionné aux intérêts en jeu. Dans le même temps, le Data Act impose de nouvelles restrictions aux transferts des données à caractère non personnel aux autorités des pays non-membres de l’Union.
Prochaines étapes et mise en oeuvre
- Côté Fournisseur : Avant le 12 septembre 2025, toutes les entreprises fournissant des dispositifs connectés et des services connexes dans l’Union devront s’assurer que leurs conditions, tant contractuelles qu’opérationnelles, permettront la mise en oeuvre effective du nouveau cadre imposé par le Data Act.
- Côté Utilisateur : Si la grande majorité des obligations résultant du Data Act repose sur les fournisseurs, les utilisateurs devront également analyser si les conditions qui leur sont proposées pour leurs services connectés seront compatibles avec leurs besoins et la possibilité d’exploitation de leur potentiel.
Bien que le Data Act établisse un cadre clair pour la gouvernance des données, certaines incertitudes subsistent. La relation exacte entre la loi sur les données et les réglementations existantes telles que le RGPD reste pour l’heure en cours de clarification. Les tribunaux joueront probablement un rôle crucial dans la définition des conditions contractuelles « abusives » et des « besoins exceptionnels » qui justifient le partage des données du secteur public.
Si les 14 mois qui nous séparent de la mise en oeuvre du Data Act ne lèveront pas nécessairement l’ensemble de ces points d’ombre, il incombera, dans ce lapse de temps, à toutes les parties prenantes d’identifier les systèmes de données, les contrats impactés, et de cartographier leurs besoins.
Première publication: Be a Boss