Après être entré en vigueur en janvier 2024, le Data Act de l'UE (Règlement (UE) 2023/2854) deviendra opérationnel. Ce règlement crée de nouvelles règles sur qui peut accéder et utiliser les données industrielles générées par des produits connectés dans l'UE à travers tous les secteurs économiques.
Le Data Act est un pilier de la Stratégie européenne des données et de la Décennie numérique 2030. Son objectif central est de libérer la valeur des données industrielles et des données IoT (Internet of Things), en veillant à ce qu'elles soient accessibles, réutilisables et portables en éliminant tous les obstacles à la libre circulation des données au sein de l'Union.
« Un objectif clé du Data Act est de créer l'équité dans l'économie des données et de donner du pouvoir aux utilisateurs afin qu'ils puissent tirer de la valeur des données qu'ils génèrent en utilisant les produits connectés qu'ils possèdent, louent ou financent. » (Explication du Data Act, Commission européenne).
Champ d'application : qui est concerné ?
Catégorie | Data Act | Commentaires/Exemples |
|---|---|---|
Éléments |
|
|
Opérateurs impliqués | Fabricants de produits connectés, fournisseurs de services connexes et tout opérateur d'infrastructure cloud en Europe.
Un détenteur de données est généralement la société qui fabrique le produit connecté ou qui fournit un service connexe. | Exemple de fournisseurs de traitement des données : Cloud IaaS, PaaS, SaaS, Stockage, Données, Edge |
Utilisateurs & Destinataires | Les utilisateurs et les destinataires de données doivent être dans l'UE. Les organismes publics lorsque cela est pertinent. | Un utilisateur peut être à la fois une personne physique ou morale. |
Secteurs | Concerne tous les secteurs. | IoT industriel, automobile, fintech, dispositifs de santé, énergie, logistique, plateformes de jeux, services d'assurance reposant sur la télématique, et cloud computing. |
Données couvertes | Toutes les données brutes générées par l'utilisation d'un produit connecté ou d'un service connexe et qui est facilement accessible pour le détenteur de données.
Données personnelles et non personnelles (par exemple, relevés de machine) incluant les métadonnées pertinentes. Cela inclut :
| La définition de données dans le Data Act est large : une donnée est toute représentation numérique d'actes, de faits ou d'informations et toute compilation de tels actes, faits ou informations, y compris sous forme d'enregistrements sonores, visuels ou audiovisuels. Tout ce qui est généré par des produits connectés est inclus, comme de simples indicateurs de statut, des données sur les interactions des utilisateurs et des rapports de panne. |
Partage des données B2B et B2C : de nouveaux droits pour les utilisateurs
Catégorie | Data Act | Commentaires/exemples |
|---|---|---|
Portabilité des données & accès aux données | Le principe est simple : si un produit connecté ou des services connexes génèrent des données, l'utilisateur (personne physique ou morale) doit pouvoir y accéder. Cela signifie :
Avec seulement une compensation limitée autorisée pour des investissements substantiels dans un contexte B2B. | Un propriétaire de voiture accède à tous les journaux de maintenance, pas seulement aux résumés. |
Limites et garanties | Toutes les données ne doivent pas être partagées. La loi s'applique uniquement aux données facilement accessibles, qui ne requièrent pas d'effort démesuré.
Les plateformes désignées comme gatekeepers au sens du Digital Markets Act ne bénéficient pas de ces droits. Les micro-entreprises et PME ne sont pas soumises aux mêmes obligations imposées aux grandes entreprises, notamment en ce qui concerne le partage obligatoire de données. Les données obtenues ne peuvent pas être utilisées pour développer un produit connecté concurrent. | Des refus généraux invoquant les droits de propriété intellectuelle ou des secrets commerciaux ne suffiront plus. Le détenteur de données ne peut refuser de partager des données que s'il peut démontrer qu'il est très probable qu'il subisse un grave dommage économique dû à la divulgation de secrets des affaires. |
Devoirs précontractuels | La loi façonne également le processus de vente. Avant de vendre ou de louer un produit ou service connecté, les entreprises doivent informer les utilisateurs sur :
| Cela nécessite que les entreprises mettent en place des protocoles clairs et forment les équipes de vente qui devront communiquer ces informations avant la signature des contrats. |
Partage obligatoire de données entre entreprises
Le Chapitre III du Data Act établit des règles pour les cas où une entreprise est obligée en vertu de mettre des données à disposition d'une autre entreprise (« destinataire de données »), y compris dans le contexte de l'IoT. Ce partage de données doit toujours se faire dans des conditions équitables, raisonnables et non discriminatoires.
Les règles couvrent tous les types de données, à la fois personnelles et non personnelles, y compris les situations déjà abordées dans le Chapitre II sur les droits d'accès des utilisateurs.
En pratique, les détenteurs de données peuvent facturer les coûts engagés pour rendre les données disponibles, tels que l'extraction, la diffusion et le stockage. Cependant, les micro-entreprises, PME et organisations de recherche à but non lucratif ne peuvent être facturées que des frais basés sur les coûts, sans marge supplémentaire.
Pour protéger les détenteurs de données, la loi introduit également des recours en cas d'accès ou d'utilisation illégale des données. Les mesures possibles incluent l'obligation pour la partie enfreignant la loi de cesser de produire le produit concerné, de détruire les données obtenues illégalement ou de fournir une compensation.
Des contrats équilibrés
Un détenteur de données est tenu de conclure un contrat avec l'utilisateur, par exemple, un contrat de vente, de location ou de service connexe, qui doit définir les droits de l'utilisateur concernant l'accès, l'utilisation et le partage des données générées par le produit connecté ou le service connexe.
Lorsque le Data Act régit la relation entre le fabricant d'un produit connecté (ou le fournisseur d'un service connexe) et l'utilisateur final, il introduit des obligations contractuelles spécifiques.
Dans ce contexte, la législation de l'UE sur la protection des consommateurs continue de s'appliquer, en particulier la Directive 93/13/CEE sur les conditions abusives dans les contrats conclus avec les consommateurs et la Directive 2005/29/CE sur les pratiques commerciales déloyales, garantissant que les utilisateurs sont protégés contre des dispositions contractuelles abusives.
Changer de fournisseur de services cloud : de nouvelles règles
Pour promouvoir un marché numérique compétitif au sein de l'UE, les clients de services de traitement des données, y compris le cloud et le edge computing, doivent être en mesure de changer de fournisseur sans difficulté.
Actuellement, ce passage est souvent entravé par des obstacles significatifs, tels que des frais de sortie excessifs, des procédures longues et complexes, et une interopérabilité insuffisante entre les fournisseurs, ce qui peut entraîner la perte de données ou d'applications.
Le Data Act aborde ces problèmes.
Champ d'application | Fournisseurs de IaaS, PaaS, SaaS et autres modèles. Par exemple : Google Cloud, OVH Cloud, Azure... |
Objectif | En exigeant que le changement soit sans frais, efficace et techniquement fluide, le cadre renforce le choix du client en lui permettant de sélectionner les services qui répondent le mieux à ses besoins, tout en favorisant la concurrence en élargissant la base de clients potentiels disponible pour les fournisseurs. Dans les mots de la Commission : 'Promouvoir la concurrence et le choix sur le marché tout en empêchant le verrouillage fournisseurs.' |
Obligations concrètes |
|
Partage de données avec les autorités publiques (B2G)
Le Chapitre V du Data Act établit un cadre pour le partage de données entre entreprises et gouvernements (B2G) dans des situations de besoin exceptionnel, où des données détenues par des entités privées sont nécessaires aux autorités publiques pour accomplir des tâches d'intérêt public.
Le besoin exceptionnel couvre à la fois les urgences publiques, telles que les catastrophes naturelles, les pandémies ou les incidents de cybersécurité, et les situations non urgentes, comme l'amélioration de la gestion du trafic par les données GPS agrégées et anonymisées.
- Dans des scénarios d'urgence, les autorités publiques peuvent demander l'accès à des données aux entreprises qui doivent les fournir rapidement, en toute sécurité et gratuitement, sauf si des coûts justifiés sont impliqués. Bien que l'accent soit mis par défaut sur les données non personnelles, des données personnelles peuvent également être demandées si cela est strictement nécessaire, avec anonymisation appliquée autant que possible.
- Pour des objectifs d'intérêt public non urgents, les autorités ne peuvent demander que des données non personnelles, et les détenteurs de données ont droit à une compensation équitable pour les coûts de préparation et de transmission.
Les demandes doivent toujours être spécifiques, proportionnées et transparentes, et ne doivent pas imposer une charge administrative excessive aux entreprises.
Les entités ayant le droit de demander des données comprennent les organismes publics nationaux, les institutions de l'UE, les agences et certaines organisations de recherche. Les détenteurs de données sont généralement des entreprises privées, mais peuvent également inclure des entreprises publiques.
Protection contre l’accès illégal par des pays tiers
Le Data Act introduit des garanties spécifiques pour prévenir l'accès ou le transfert illégal de données non personnelles détenues dans l'UE par des gouvernements de pays tiers (c'est-à-dire, des États non membres de l'UE).
Ces dispositions répondent à la préoccupation croissante selon laquelle des autorités étrangères peuvent émettre des décisions ou des jugements obligeant les entreprises à divulguer ou transférer des données stockées dans l'UE, même lorsque de telles demandes sont en conflit avec le droit de l'UE, la protection des droits fondamentaux, les intérêts de sécurité nationale ou la confidentialité des informations commerciales sensibles.
Le Data Act renforce la transparence et la sécurité juridique en précisant clairement les conditions dans lesquelles des données non personnelles peuvent être accessibles par des autorités étrangères.
Pour les entreprises, y compris les fournisseurs de cloud, les intermédiaires de données et les entreprises offrant des produits et services numériques, les règles imposent de nouvelles obligations. Elles doivent évaluer soigneusement si la demande d'un gouvernement étranger est conforme au droit de l'UE et, le cas échéant, contester les demandes illégales. Tout transfert de données non personnelles vers un pays tiers doit respecter des garanties strictes, qui peuvent inclure une autorisation judiciaire et le respect des normes de droits fondamentaux de l'UE.
Défis de mise en œuvre et risques de non-conformité
Les États membres doivent adopter leurs propres régimes nationaux d'application d'ici le 12 septembre 2025, veillant à ce que les sanctions soient efficaces, proportionnées et dissuasives. Celles-ci peuvent inclure des amendes financières, des ordres de conformité, des avertissements, ou même la suspension des activités de traitement.
Les entreprises doivent se conformer simultanément au RGPD puisque de nombreux ensembles de données incluent des données personnelles. Le non-respect de la distinction entre données personnelles et non personnelles pourrait déclencher des investigations parallèles par les autorités de protection des données et les régulateurs sectoriels.
Les manquements au partage de données incluant des donneés personnelles peuvent entraîner des réclamations combinées au titre du Data Act et du RGPD, avec des dommages-intérêts demandés en vertu de l'Article 82 du RGPD.
Les entreprises et les utilisateurs lésés par un refus de partage de données, ou par des conditions anticoncurrentielles, peuvent soumettre des litiges devant les tribunaux ou des organes de règlement des différends. Attendez-vous à des actions collectives (associations de consommateurs ou de PME) dans les États membres où cela est permis.
Des démarche précontractuelles incomplètes ou trompeuses concernant l'utilisation des données et les droits d'accès exposeront les entreprises à des réclamations au titre du droit des consommateurs en vertu des Directives 93/13/CEE et 2005/29/CE.
Que doivent faire les entreprises maintenant
Selon la déclaration publiée aujourd’hui par la Commission, celle-ci accompagnera la mise en œuvre du Data Act en lançant un guichet d’assistance juridique destiné aux entreprises, en publiant des lignes directrices sur la protection des secrets d’affaires, ainsi que des clauses types pour le partage de données et des clauses contractuelles standards pour les contrats cloud afin de faciliter la conformité.
Cartographiez vos flux de données et cas d'usage : identifiez toutes les données générées par des produits connectés et des services connexes, classez-les comme personnelles/non personnelles, identifiez leur origine et documentez les bases légales. Identifiez si elles sont protégées par des règles sectorielles spécifiques ou non.
Adaptez vos systèmes pour l'interopérabilité : Assurez-vous d'être techniquement prêt à fournir des données dans des formats structurés, normalisés et lisibles par machine. Mettez à jour ou mettez en œuvre des API et des mécanismes de partage qui soutiennent l'accessibilité, la portabilité et l'interopérabilité conformément aux exigences de la loi.
Documentez les exceptions : établissez un processus pour refuser l'accès sur la base de secrets commerciaux ou de sécurité, avec justification.
Renforcez la gouvernance : analysez qui contrôle l'accès aux données. Passez en revue les arrangements de partage de données existants, en particulier dans les contextes B2B.
Mettez à jour les contrats : incluez des clauses de transparence obligatoires et préparez-vous aux obligations de changement de cloud.
Établissez des politiques internes : Développez et documentez des politiques internes claires de partage des données conformes aux obligations de transparence et d'équité. Précisez quelles données peuvent être partagées, dans quelles conditions, avec qui et à quelles fins, et assurez-vous que cela est communiqué de manière cohérente aux utilisateurs et partenaires.
Vérifiez la cohérence avec le RGPD : identifiez et clarifiez les points de recoupement entre le Data Act et le RGPD. Déterminez et documentez la base légale applicable au traitement des données personnelles, et veillez à ce que cette conformité se reflète dans vos politiques de confidentialité, vos mécanismes de recueil du consentement et vos registres de traitement.
Gérez les transferts internationaux : Mettez en œuvre des protocoles pour évaluer et, le cas échéant, restreindre les transferts de données non personnelles vers des autorités non-UE. Établissez des processus internes pour évaluer la légalité, informer les utilisateurs et respecter les restrictions de l'UE.