Data Act : quelles orientations pour le « RGPD des données industrielles » ?
La Commission européenne a publié une première ébauche du Data Act. Que ressort-il de ce texte destiné à réguler les flux de données industrielles ?
Ne pas recouper certaines données sans consentement, garantir un droit à la portabilité... Deux obligations parmi bien d'autres que la Commission européenne entend imposer à certains opérateurs de plates-formes en ligne. Plus précisément, ceux qu'elle aura qualifiés de « gatekeepers » - en français, « contrôleurs d'accès ».
Son véhicule pour procéder à cette désignation : la législation sur les marchés numériques (DMA, Digital Markets Act). Le Parlement a adopté le texte en décembre 2021. Les négociations avec les États membres ont débuté en janvier.
On retrouve ces gatekeepers - avec une référence au DMA - dans un autre texte, dont Bruxelles vient de publier une première ébauche. En l'occurrence, le Data Act. Objectif de ce règlement en puissance : harmoniser les conditions de mise à disposition et d'exploitation des données industrielles générées dans l'UE.
Lire aussi : La GenAI s'affirme dans les stratégies data
Les publics suivant sont concernés :
- Fabricants de produits qui génèrent de telles données
- Fournisseurs des services associés à ces produits
- Utilisateurs de ces produits et services
- Détenteurs des données (= ceux qui mettent les données à disposition)
- Destinataires des données
- Organismes publics et les institutions de l'UE
- Fournisseurs de services de traitement de ces données
Des exceptions pour les PME
Le Data Act couvre deux grands cas. D'une part, les relations d'entreprise à entreprise et avec les consommateurs. De l'autre, la communication de données aux organismes publics et/ou aux institutions de l'UE.
Les obligations définies sur le volet B2B/B2C ne s'appliquent pas aux microentreprises et aux petites entreprises, aussi longtemps que leurs activités touchant auxdites données n'impliquent pas de partenaire de plus grande taille. Référence : la recommandation 2003/361/EC, au sens de laquelle une microentreprise « occupe moins de 10 personnes » et ne dépasse pas 2 M€ de C. A. annuel ou de bilan total. Les seuils de la petite entreprise sont à 50 personnes et 10 M€.
De quelles obligations parle-t-on ? D'abord, celles qui s'imposeront aux fournisseurs des produits et des services générateurs de données. Elles sont essentiellement de nature contractuelle. Et consistent à préciser, entre autres, aux utilisateurs :
- Nature et volume des données susceptibles d'être produites
- Manière(s) d'y accéder
- Éventuelle intention du fournisseur d'exploiter lui-même les données ou de le permettre à des tiers, et pour quels motifs
- Identité du détenteur des données - si ce n'est pas le fournisseur du produit/service - et moyens de communication avec lui
Porte fermée aux gatekeepers
Les détenteurs des données auront eux-mêmes des responsabilités. Dont :
- Au cas où les données ne seraient pas directement par l'intermédiaire du produit ou du service, les mettre à disposition sur simple requête par voie électronique, si possible en flux continu
- Ne pas solliciter plus d'informations que nécessaire auprès du demandeur et limiter la durée de conservation de ces informations
- Disposer d'une base juridique adéquate (cf. RGPD) en cas de transmission de données personnelles à une personne non physique
- N'exploiter de données industrielles qu'aux termes du contrat conclu avec le demandeur (= utilisateur) ; et ne pas s'en servir d'une manière qui pourrait compromettre l'activité de ce dernier
- Répondre positivement aux requêtes de communication des données à des tierces parties
Une exception notable existe sur cette question des tierces parties. Elle s'applique aux fameux gatekeepers. Pour eux, pas d'accès à ces données. Et pas le droit d'inciter, par quelque moyen, les demandeurs à appuyer leurs requêtes.
Ces tierces parties auront eux-mêmes des obligations. Comme ne pas :
- Réaliser de profilage de personnes physiques, sauf si c'est nécessaire à la fourniture du service
- Transmettre à leur tour ces données à des tiers, sauf là aussi si nécessaire à la fourniture du service
- Exploiter ces données pour développer un produit concurrent de celui qui les a générées
Des garde-fous contractuels...
Le Data Act appelle à une mise à disposition des données sous des conditions « raisonnables » et « non discriminatoires ». Y compris pour les compensations exigées. Celles-ci ne devront pas dépasser le coût net de la mise à disposition si le destinataire est une micro, une petite ou une moyenne entreprise (moins de 250 personnes et moins de 50 M€ de C. A. ou de 43 M€ de bilan). Un mécanisme de recours est prévu, auprès d'organismes que désignera chaque État membre.
Les détenteurs des données pourront leur appliquer des mesures techniques de protection pour éviter les usages indésirables. Le texte met un mécanisme en avant : les smart contracts. Qui devront à la fois :
- Être robustes
- Embarquer un système de contrôle des accès
- Permettre de suspendre ou d'arrêter leur exécution
- Et, dans ce cas, de pouvoir récupérer les données de transactions ainsi que le code/la logique du contrat
Le Data Act prévoit une autre protection pour les micro, petites et moyennes entreprises, face aux conditions injustes qu'on leur imposerait unilatéralement. Par « injustes », il faut notamment entendre celles qui :
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
- Excluent ou limitent la responsabilité d'une partie en cas de négligences manifestes
- Éliminent les voies de recours en cas mauvaise exécution du contrat
- Donnent à une partie le droit exclusif d'interpréter toute disposition du contrat
... et des protections juridiques
Comme pour le B2B/B2C, les micro et petites entreprises sont exclues de l'obligation de mettre des données à disposition d'organismes publics et d'institutions de l'UE.
Ces mises à disposition ne se feront qu'en cas de « besoin exceptionnel ». Une notion qui prend trois formes en particulier :
- Réponse à une situation d'urgence publique
- Prévention d'une telle situation ou aide au rétablissement après sa survenue, à condition que la requête soit limitée en temps comme en périmètre
- Manque de données pour accomplir une tâche d'intérêt public explicitement autorisée par loi, impossibilité d'obtenir ces données par des moyens alternatifs et réduction manifeste de la charge administrative pour les détenteurs
Le régime particulier des organismes publics
Au contraire de ce qui s'impose aux tierces parties dans le cadre des échanges B2B/B2C, le texte n'empêche pas les organismes publics de se communiquer des données entre eux. Ainsi qu'à des instituts nationaux de statistique (+ Eurostat). Et à des organismes de recherche, aussi longtemps qu'ils ne sont pas sous l'influence d'entreprises commerciales. Il leur impose néanmoins de rendre publique toute requête.
Les voies de recours sont un peu différentes de celles qui s'appliquent sur le volet B2B/B2C. En cas de réponse à urgence, le détenteur des données peut, sous 5 jours ouvrés, décliner ou une requête ou demander sa révision. Il a 15 jours dans les autres cas. Le tout à l'une ou l'autre des conditions suivantes :
- Les données ne sont pas disponibles
- La requête ne respecte pas les exigences que pose le texte (clarté des finalités, démonstration du besoin, base légale...)
- Le détenteur a déjà fourni ces données à un autre organisme public qui ne lui a pas signalé les avoir détruites
Reste, sinon, à se tourner vers l'autorité compétente. La Commission européenne recommande qu'il s'agisse de celle qui gère les dossiers RGPD. En France, donc, la CNIL. Elle interviendra aussi en cas d'échange transfrontalier entre organismes publics.
Concernant les coûts de mise à disposition, ils devront être nuls dans le cas d'une réponse à urgence. Sinon, ne pas dépasser le montant des dépenses techniques et organisationnelles nécessaires.
Traitement des données : jusqu'à 6 mois pour changer de fournisseur
Passé la phase de collecte des données, se pose la question du traitement. Et notamment du basculement entre les services permettant ces traitements. En la matière, le texte impose aux fournisseurs de ces services de permettre plusieurs choses à leurs clients :
- Arrêter leur contrat avec un préavis de 30 jours maximum
- Conclure un contrat avec un autre fournisseur pour le même type de service
- Transporter ses actifs numériques (au minimum, les données importées initialement, puis toutes celles créées par après, paramètres et logs compris), grâce à des interfaces ouvertes
- Bénéficier d'une équivalence fonctionnelle dans l'environnement de destination
De manière générale, le basculement vers une autre infrastructure devra se faire sous 30 jours. Le texte ouvre toutefois la possibilité, pour le fournisseur, de demander jusqu'à 6 mois en cas d'incapacité technique de tenir le délai.
Le basculement pourra être facturé. Mais les tarifs devront diminuer progressivement. Objectif : la gratuité dans un délai de trois ans après l'entrée en application du règlement.
Accès extraterritoriaux : une vraie sécurité pour les données industrielles ?
Autre tâche pour les fournisseurs de services de traitement de données : prendre des mesures qui éviteront les transferts internationaux - et les accès gouvernementaux - abusifs. En d'autres termes, non compatibles avec le droit de l'Union ou de l'État membre concerné.
Il pourra y avoir accès et/ou transfert vers un pays tiers s'il en émane une décision d'un tribunal ou d'une autorité administrative... et qu'il existe un accord avec l'UE ou l'État membre, de type MLAT (traité d'assistance juridique mutuelle).
À défaut, une requête ne pourra être satisfaite que si les trois critères suivants sont respectés :
- Le système juridique du pays tiers requiert de préciser la décision, par exemple en établissant un lien des personnes suspectées
- Le fournisseur du service peut s'opposer à la démarche auprès d'un tribunal compétent dans le pays tiers
- La législation du pays tiers habilite ce pays tiers à prendre en compte les intérêts légaux du fournisseur des données
Le Data Act fait une autre référence à un règlement en cours d'élaboration : l'acte sur la gouvernance des données (DGA, Data Governance Act). Il donnera une existence juridique au Comité européen de l'innovation dans le domaine des données. Lequel assistera Bruxelles pour déterminer si les conditions ci-dessus sont respectées.
Interopérabilité : les data spaces dans la mire
Au-delà des services de traitement, les obligations en matière d'interopérabilité visent aussi les opérateurs de data spaces. Charge à eux de :
- Décrire suffisamment les données qu'ils hébergent, les licences, les restrictions d'usage, la méthodologie de collecte, la qualité...
- Préciser les structures et les formats, les taxonomies et autres schémas de classification
- Renseigner les moyens techniques d'accès, les conditions de leur mise en oeuvre et la qualité de service
Ces exigences pourront être génériques ou sectorielles. La Commission européenne se réserve le droit d'intervenir par actes délégués.
Photo d'illustration © portalgda viaVisualhunt / CC BY-NC-SA
Sur le même thème
Voir tous les articles Business