Numérique Règlement sur les données (Data Act) Dispositions clés du Data Act

Dispositions clés du Data Act

Quels changements concrets ?

Le Data Act introduit de nouveaux droits et devoirs relatifs à l’accès aux données et à leur utilisation. Ces dispositions ont été conçues afin de rendre l’économie des données plus équitable, plus compétitive et plus innovante.

Les principaux éléments sont expliqués ci-dessous.

Partage des données IoT (chapitre II)

  • Quoi ? Le Data Act veille à ce que les utilisateurs d’un produit connecté ou d’un service connexe dans l’UE aient accès aux données générées par l’utilisation de ce produit connecté ou service connexe et que ces utilisateurs puissent utiliser les données y compris en les partageant avec des tiers (destinataires de données) de leur choix. Le chapitre II s’applique aux données à caractère personnel et non personnel, à l’exception du contenu, relatives aux performances, à l’utilisation et à l’environnement des produits connectés et services connexes (IoT - des voitures et thermostats intelligents aux robots industriels et aux machines agricoles, etc.).
     
  • Comment ? En principe, les produits connectés et les services connexes doivent être conçus, fabriqués et fournis  de manière telle (« data access by design and by default ») que les données relatives auxdits produits et services, y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données, soient, par défaut, accessibles à l’utilisateur. L'utilisateur doit avoir facilement accès à ces données (voire directement accès lorsque cela est pertinent et techniquement possible), de manière aisée, sécurisé, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine. Le détenteur de données est également tenu de fournir les données à un tiers (destinataire des données) à la demande de l’utilisateur et peut dans ce cas demander au tiers une compensation raisonnable.
     
  • Qelles sont les limites principales aux droits d’accès aux données ? 
    • Il est interdit pour les utilisateurs et/ou les tiers de développer un produit connecté concurrençant le produit connecté dont proviennent les données. 
    • Il est interdit d’utiliser les données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production entre l’utilisateur et le détenteur, ainsi qu’entre le tiers et le détenteur.
    • Des règles spécifiques, voire des exemptions, sont prévues pour les PME (voir infra). 
    • Les entreprises désignées comme contrôleurs d’accès (« gatekeepers ») conformément à l’article 3 du règlement (UE) 2022/1925 (dit « Digital Markets Act » - DMA ) ne sont pas des tiers éligibles à l’accès aux données. 
    • Lorsque  l'utilisateur n'est pas la personne concernée dont les données à caractère personnel font l’objet d’une demande, les données à caractère personnel ne sont mises à la disposition de l'utilisateur et/ou du tiers par le détenteur de données que s'il existe un fondement juridique valable pour le traitement au titre de l'article 6 du RGPD (règlement (UE) 2016/679) et, le cas échéant, si les conditions énoncées à l'article 9 du RGPD et à l'article 5, § 3, de la directive vie privée et communications électroniques (directive 2002/58/CE) sont remplies (par exemple, le consentement de la personne concernée). 
    • L'utilisateur et le tiers s'abstiennent d'avoir recours à des moyens coercitifs ou de tirer avantage de lacunes dans l'infrastructure technique du détenteur de données qui est destinée à protéger les données pour obtenir l'accès aux données. 
    • La possibilité existe pour les utilisateurs et les détenteurs de données de contractuellement restreindre ou interdire l’accès, l’utilisation ou le partage des données pour des raisons de sécurité du produit connecté (le mécanisme « safety and security handbrake »). 
    • Il faut respecter des mesures de protection de la confidentialité des secrets d'affaires (le mécanisme de « trade secrets handbrake »).

Obligations dans les situations de partage B2B (chapitre III)

  • Quoi ? Dans le cas du partage de données entre entreprises, c.-à-d. lorsqu’un détenteur de données (entreprise) a une obligation légale de mettre des données à la disposition d’un destinataire des données (entreprise), le Data Act impose le respect de certaines règles. Le chapitre III s’applique à toutes les données du secteur privé soumises à des obligations légales de partage de données. Cela ouvre la porte aux services concurrents de tiers (par ex. des réparateurs indépendants, des fournisseurs de services de comparaison, des assureurs ou des développeurs d’applications innovantes).
     
  • Conditions ? Dans le cas du partage de données entre entreprises, c.-à-d. lorsqu’un détenteur de données (entreprise) a une obligation légale de mettre des données à la disposition d’un destinataire des données (entreprise), les règles suivantes doivent notamment être respectées : 
    • Les conditions de partage de données doivent être équitables, raisonnables, non discriminatoires et transparentes. 
    • Les détenteurs de données qui sont tenus de les partager peuvent convenir avec le destinataire de données d’une compensation (qui tient compte en particulier des coûts occasionnés par la mise à disposition des données et des investissements dans la collecte et la production de données), raisonnable, non discriminatoire et avec une marge possible. Pour les destinataires des données qui sont des PME ou des organismes de recherche à but non lucratif, la compensation est limitée aux coûts occasionnés par la mise à disposition des données.
       
  • Protection relative à l’utilisation ou à la divulgation non autorisées de données : Les détenteurs de données peuvent appliquer des mesures techniques de protection (contrats intelligents et chiffrement) afin de prévenir l’utilisation non autorisée ou la divulgation des données. Le Data Act liste également les cas d’utilisation ou de divulgation non autorisée (par ex. : lorsque le destinataire des données : a fourni des fausses informations à un détenteur de données pour obtenir les données, a utilisé les données pour mettre en place un produit concurrent, a divulgué illégalement les données à une autre partie, a supprimé les mesures techniques de protection appliquées par le détendeur des données sans l’accord de ce dernier) à la suite desquels le tiers/destinataire doit agir (par ex. : effacer les données, informer, indemniser la partie lésée) à la demande du détenteur ou de l’utilisateur. 

Clauses contractuelles abusives relatives à l’accès et l’utilisation des données B2B (chapitre IV)

  • Quoi ? Afin d’éviter que des déséquilibres contractuels entre entreprises n’aient pour effet d’entraver l’équité de l’accès et de l’utilisation des données, le Data Act prévoit que les clauses contractuelles imposées unilatéralement par une entreprise à une autre entreprise (quelle qu’en soit la taille) ne lient pas cette dernière si elles sont abusives. Le chapitre IV s’applique à toutes les données du secteur privé qui sont consultées et utilisées sur base d’accords entre entreprises.
     
  • Conditions ?  Sont visées les clauses abusives qui réunissent les conditions suivantes : 
    • Elles sont imposées unilatéralement par une entreprise à une autre entreprise (« take-it-or-leave-it ») ; 
    • Elles concernent l’accès et l’utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d’extinction d’obligations liées aux données ; et  
    • Elles concernent des clauses dont l’utilisation s’écarte manifestement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation des données, contrairement à la bonne foi et à un usage loyal. 
       
  • Exemples : Le Data Act dresse une liste « noire » de clauses considérées dans tous les cas comme abusives (par ex. : clause ayant pour objet ou pour effet d'exclure ou de limiter la responsabilité en cas d'actes intentionnels ou de négligence grave…) et une liste « grise » de clauses présumées abusives (par ex. : clause ayant pour objet ou pour effet d’empêcher la partie à laquelle la clause a été imposée unilatéralement d’utiliser les données qu’elle a fournies ou générées pendant la durée du contrat et/ou de résilier l’accord dans un délai raisonnable…).
     
  • Conséquences ? Les clauses abusives sont nulles et sont retirées du contrat. Les autres clauses du contrat resteront contraignantes si la clause abusive peut en être dissociée de ces autres clauses.

Accès aux données par les organismes du secteur public sur le fondement d’un besoin exceptionnel (B2G - chapitre V)

Dans des situations spécifiques et exceptionnelles, les organismes du secteur public des États membres et les institutions européennes peuvent demander de mettre des données à disposition. Ce chapitre s’applique à toutes les données du secteur privé, en mettant l’accent sur les données non personnelles pour ce qui concerne les cas en dehors des situations d’urgence (exécution d’une mission spécifique d’intérêt public).

 

  • Quand ? 
    • Situations d’urgence : Par exemple les catastrophes naturelles, les pandémies ou autres calamités à grande échelle dans le cadre desquelles les données sont nécessaires pour réagir de manière adéquate (par ex. : les données de géolocalisation pour endiguer une pandémie).
    • Situations non urgentes : Si un organisme public a besoin de données pour exécuter une mission spécifique d'intérêt public explicitement prévue par la loi et ne peut pas obtenir ces données autrement, de manière rapide et efficace (par ex. : les données de transport pour la planification du trafic urbain).
       
  • Conditions : Ces demandes sont liées à des conditions et garanties strictes. La demande doit être proportionnelle, les données doivent être nécessaires et il convient de tenir compte des intérêts légitimes de l’entreprise, notamment des secrets d'affaires.
     
  • Compensation : En principe, les entreprises ont droit à une juste compensation qui couvre les coûts techniques et organisationnels encourus pour donner suite à la demande, y compris, le cas échéant, les coûts d’anonymisation, de pseudonymisation, d’agrégation et d’adaptation technique, majorés d’une marge raisonnable, sauf en cas de demande pour réagir à une situation d’urgence. Dans ce dernier cas, la mise à disposition des données est gratuite, à l’exception des détenteurs de données qui sont des micro ou petites entreprises, lesquelles bénéficient d’une juste compensation même en cas de demande pour réagir à une situation d’urgence.
     
  • Exception :  Cette obligation n’est pas applicable aux micro et petites entreprises, sauf en cas de situation d’urgence.

Faciliter le changement entre services cloud et autres services de traitement de données (chapitre VI)

Le Data Act a pour objectif de combattre les effets de verrouillage dans le cadre des services cloud et autres services de traitement des données et de favoriser la concurrence.

 

  • Faciliter le changement (« switching »)
    • Quoi ? Les fournisseurs de services de traitement de données (tels que IaaS, PaaS, SaaS) doivent permettre à leurs clients (entreprises et consommateurs), tant au niveau technique que contractuel, de transférer plus facilement leurs données et applications vers un autre fournisseur ou de nouveau vers leurs anciens systèmes (sur site).
       
    • Suppression des frais de changement : Les frais éventuels que les clients doivent payer pour changer de fournisseurs doivent être totalement supprimés dans un délai défini (maximum trois ans après l’entrée en vigueur du Data Act). Seuls les frais directement encourus lors de la période de changement peuvent encore être portés en compte.
       
    • Clarté contractuelle : Les contrats doivent contenir des informations claires sur le processus de changement et l’assistance disponible.
       
  • Interopérabilité
    • Les fournisseurs doivent satisfaire à certaines spécifications d'interopérabilité ouvertes ainsi qu’à des normes européennes pour améliorer la portabilité des données et des applications entre différents services.

Accès et transfert internationaux de données non personnelles (chapitre VII)

Le Data Act introduit des garanties pour éviter que des données à caractère non personnel conservées dans l’UE soient transférées vers ou accessibles depuis des pays tiers de manière illicite, et ce de manière comparable à la protection offerte par le RGPD concernant les données à caractère personnel.

 

  • Quoi ? Les fournisseurs de services de traitement des données doivent prendre toutes les mesures techniques, organisationnelles et juridiques raisonnables pour empêcher un tel accès ou transfert illicite.
     
  • Transparence : Il doit y avoir de la transparence quant au lieu où les données sont traitées.
     
  • Exceptions : Le transfert est possible en cas d’accord international (comme une décision d’adéquation) ou si des garanties appropriées sont offertes.

Favoriser l'interopérabilité (chapitre VIII)

Afin d’optimiser le flux de données au sein de l’UE et de soutenir le développement d’espaces de données sectoriels, le Data Act contient des dispositions en matière d’interopérabilité.

 

  • Exigences essentielles : La Commission européenne peut fixer des exigences essentielles relatives à l’interopérabilité des données, aux mécanismes et aux services de partage de données, ainsi qu’aux outils d’exécution automatique des accords de partage de données, tels que les contrats intelligents.
     
  • Normalisation : L’on encourage le développement de normes européennes qui soutiennent cette interopérabilité.

 

Vers le haut