IP-IT-Médias

La Commission européenne adopte une proposition de Data Act

15/04/2022

Montres, thermostats, éclairages, caméras, téléviseurs, robots, balances… ces objets ont tous en commun de présenter des déclinaisons d’eux-mêmes dans des versions dites d’objets connectés ; et la liste n’est pas limitative, tant elle pourrait être longue. Or, les objets connectés produisent des données (personnelles et/ou non-personnelles) dont les conditions d’accès et d’utilisation faisaient l’objet d’un flou juridique qui en freinait l’exploitation – à tel point que selon la Commission européenne, 80% des données industrielles ne seraient pas exploitées^[1].

La proposition de « Data Act »^[2], adoptée par la Commission européenne le 23 février 2022, vise à clarifier la situation, en harmonisant les règles d’accès et d’utilisation de ces données pour toutes les parties prenantes : particuliers, entreprises et organismes publics.

Contexte sociétal, économique, juridique

Vous avez dit objet connecté ? Le Vocabulaire des télécommunications le définit comme l’objet de tous domaines (transports, santé, domotique, industries…) « capable, outre sa fonction principale, d’envoyer ou de recevoir des informations par l’intermédiaire d’un réseau de télécommunication ». Cette connexion n’est pas neutre : elle peut avoir pour effet « d’étendre ou de diversifier les fonctions de l’objet »^[3].

Ces objets connectés s’inscrivent dans la catégorie plus générale de « l’internet des objets » (Internet of Things – IoT), soit « l’ensemble des objets connectés ainsi que des réseaux de télécommunication et des plateformes de traitement des informations collectées qui leur sont associées ». Ces réseaux sont divers eux aussi : Internet, réseaux de radiocommunication avec les mobiles, réseaux spécialisés à faible débit^[4].

Or, l’utilisation d’objets connectés est à l’image du volume – exponentiellement croissant – de données produites dans le monde^[5]. Les estimations évoquent une multiplication par six du volume de données produites entre 2018 à 2025, passant de 33 à 175 zettaoctets, et que l’Europe entrevoit comme « autant de possibilités de prendre la première place mondiale dans ce domaine »^[6]; la Commission parle « d’âge digital »^[7]. Outre le contexte sociétal, c’est donc bien le potentiel économique qui motive l’adoption de ce « règlement sur la donnée » ou « loi sur la donnée ». Son rapporteur, Thierry Breton, chiffre entre 270 et 300 milliards d’euros le PIB supplémentaire généré en Europe d’ici à 2028^[8] grâce à ces nouvelles règles – à comparer avec la valeur des services de l’internet des objets estimée à entre 5000 et 11000 milliards d’euros en 2030 au niveau mondial^[9].

Du point de vue du contexte juridique, la proposition de Data Act s’inscrit dans un ensemble légal européen plus vaste consacré à la protection des données – personnelles ou non personnelles – et au développement d’une économie fondée sur l’exploitation des données^[10]. Chronologiquement, on rappellera l’existence d’autres textes normatifs avec lesquels le Data Act devra s’articuler, tels que :

La directive sur la protection juridique des bases de données du 11 mars 1996^[11]. L’article 35 du règlement sur les données prévoit à ce propos que « le droit sui generis prévu à l’article 7 de la directive 96/9/CE ne s’applique pas aux bases de données contenant des données obtenues ou générées par l’utilisation d’un produit ou d’un service connexe ».
La directive « vie privée et communications électroniques » du 31 juillet 2002^[12] ;
Le règlement général sur la protection des données personnelles du 27 avril 2016 (RGPD)^[13] ;
Le Règlement relatif à la protection des données personnelles par les institutions, organes et organismes de l’Union et à la libre circulation de ces données du 23 octobre 2018^[14] ;
Le règlement du 14 novembre 2018 établissant un cadre au libre flux des données à caractère non-personnel dans l’Union européenne^[15], qui permet notamment que les données non-personnelles soient stockées, traitées et transférées n’importe où dans l’Union ;
Le règlement du 17 avril 2019 sur la cybersécurité qui prévoit notamment une exigence de sécurité par défaut et dès la conception des produits, services et processus TIC^[16] ;
La directive du 20 juin 2019 sur les données ouvertes et la réutilisation des informations du secteur public^[17] ;
La proposition de règlement du 25 novembre 2020 sur la gouvernance européenne des données (Data Governance Act), qui a fait l’objet d’un accord politique des Parlement, Commission et Conseil européen et est en attente de l’approbation du Parlement et du Conseil^[18].
La proposition de règlement dit Digital Market Act (DMA) et le règlement y afférent à venir^[19].

Aussi, dès le 19 février 2020, la Commission européenne faisait part de sa « stratégie européenne pour les données » où elle militait pour que les données soient « accessibles à tous, publics ou privés, petits ou grands, start-ups ou sociétés géantes » au sein du marché unique – tout en garantissant de « hauts standards de vie privée, sécurité, sûreté et normes éthiques »^[20]. Y étaient notamment mentionnées la possibilité d’une loi sur les données à horizon 2021^[21], ainsi qu’un règlement sur la gouvernance des données^[22].

La proposition de Data Act

Chronologiquement parlant, (i) la proposition de règlement sur la gouvernance des données (25 novembre 2020) est intervenue avant (ii) la proposition de règlement sur les données (23 février 2022). Elles sont toutes deux prévues par la stratégie européenne pour les données :

La première vise à faciliter le partage des données entre secteurs et entre Etats membres. Elle était relative notamment à la question de « savoir quelles données peuvent être utilisées dans quelles situations »^[23], et mettait en place les « processus et les structures destinés à faciliter le partage de données par les entreprises, les particuliers et le secteur public »^[24].

La seconde complète la première et précise qui peut créer de la valeur à partir des données. Il s’agit de savoir « qui peut utiliser les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données »^[25]. Elle intéresse les relations entre les acteurs de la donnée et incite au « partage transsectoriel des données horizontales »^[26].

Dans sa portée, la proposition de règlement sur les données se veut horizontale, en ce sens qu’elle est un socle commun qui a vocation à s’appliquer à tous les secteurs en matière d’accès et d’utilisation des données. Les règlementations sectorielles préexistantes continuent néanmoins à s’appliquer, mais leurs futures moutures (mobilité, santé, finance…) devront être adoptées en s’alignant avec le Data Act pour assurer leur convergence^[27].

Le champ des données concernées est vaste : le Data Act porte sur tous types de données (personnelles ou non personnelles). Le texte propose la définition de « donnée » suivante :

« toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, y compris sous forme d’enregistrement sonore, visuel ou audiovisuel » (art. 2.1.).

Toutefois, le droit fondamental à la protection des données personnelles est assuré par d’autres instruments normatifs avec lesquels il doit s’articuler et auxquels il ne saurait porter préjudice^[28]. Ainsi, par exemple, les garanties spécifiques prévues par le RGPD trouveront pleinement à s’appliquer dès lors que seront concernées des données personnelles de personnes physiques européennes. L’enjeu véritable du règlement est donc bien avant tout celui des conditions d’accès et d’utilisation des données non-personnelles.

Dans sa structure, la proposition de Data Act se décompose en 42 articles, regroupés en 11 chapitres respectivement intitulés :

(i) dispositions générales ;
(ii) partage de données d’entreprises à entreprises et d’entreprises à particuliers ;
(iii) obligations des détenteurs de données tenus de rendre les données disponibles ;
(iv) conditions inéquitables liées à l’accès et l’utilisation des données entre entreprises ;
(v) disponibilité des données pour les entités du secteur public et les institutions, organes et organismes de l’Union en cas de besoin exceptionnel ;
(vi) sur le changement de services de traitement de données ;
(vii) garanties liées aux données non-personnelles dans un contexte international ;
(viii) interopérabilité ;
(ix) mise en œuvre et application ;
(x) droit sui generis prévus par la directive 1996/9 (sur les bases de données) ;
(xi) dispositions finales.

En substance, les principaux axes de la proposition de règlement sur les données sont les suivants :

Pour les utilisateurs : leurs droits sur les données générées par leur utilisation de produits ou services liés

Alors qu’il était fréquent que seuls les fabricants récoltent les données générées^[29], il est désormais posé un principe d’obligation de rendre ces données facilement accessibles à l’utilisateur, ce par défaut et de manière sécurisée (art. 3.1.). On fera remarquer dès à présent que les petites et micro entreprises (PME) ne sont pas concernées par cette obligation et celles liées (art. 7).

L’obligation d’information de l’utilisateur est également précisée. Avant tout achat, location ou leasing d’un produit ou service lié générant des données, un ensemble de mentions doit être porté à sa connaissance ; celui-ci porte aussi bien sur les données générées elles-mêmes que sur les droits de l’utilisateur sur elles (art. 3.2.).

Corrélativement, est consacré le droit des utilisateurs d’accéder et d’utiliser les données générées par leur utilisation des produits et services liés. Il doit être assuré à titre gratuit, sans délai et en principe en continu. Il incombe au détenteur de données, dans le cas où l’utilisateur ne peut accéder lui-même aux données du produit (art. 4.1.).

De même, l’utilisateur a le droit de partager les données avec des tiers. Ce droit est gratuit, sans délai, continu et en temps réel ; il s’impose au détenteur de données sur simple demande de l’utilisateur (art. 5.1.). Il est important de noter que sont exclus du champ des « tiers » les « contrôleur d’accès » au sens du règlement DMA à paraitre (art. 5.2.).

Le partage de données – du détenteur de données au destinataire de données – doit se réaliser dans des conditions équitables, raisonnables, transparentes et non-discriminatoires (art. 8.1) :

Un accord entre eux doit prévoir des questions liées notamment aux questions de responsabilité (art. 8.2.) ;
Sauf disposition légale contraire issue du droit européen, ce partage doit veiller à ne pas divulguer de secret de fabrique (art. 8.6).
Sauf disposition légale contraire, il est réalisé moyennant une compensation financière raisonnable qui, lorsque le destinataire des données est une PME, ne peut dépasser le coût technique du transfert concerné (art. 9.1. et 9.2.).
Le détenteur de données doit mettre en place des mesures techniques appropriées de protection des données (art. 11).

Diverses interdictions et obligations incombent aux tiers, pour protéger les données et les droits des utilisateurs (art. 5.2.). Les données sont utilisées par eux dans le respect des principes de finalité et de limitation de la conservation (art. 5.1.).

Les avantages attendus de cette ouverture de l’accès aux données sont les suivants^[30] : (i) la baisse des prix des services après-vente et de maintenance des objets connectés (l’utilisateur n’est plus obligé de faire appel aux seuls services du fabricant, il peut autoriser l’accès aux données à des services de réparateurs tiers – moins chers par hypothèse). (ii) le développement de nouveaux services reposant sur le croisement des données de différents objets connectés (l’utilisateur qui détient plusieurs objets connectés pourra donner accès aux données générées par différents objets à un même acteur – et non aux seuls fabricants respectifs – afin de développer de nouveaux services personnalisés).

Pour les PME : prévenir les déséquilibres contractuels excessifs pour rééquilibrer leur pouvoir de négociation dans les contrats de partage de données

La proposition de règlement vise à protéger les PME contre les clauses abusives imposées par une partie bénéficiant d’un pouvoir de négociation nettement supérieur.

En ce sens, une clause relative à l’accès, l’utilisation, la responsabilité ou les recours en cas de violation des données est inéquitable et inopposable si elle est imposée unilatéralement à une PME (art. 13.1.). Le règlement prévoit une série de critères permettant d’identifier si une clause est ou doit être présumée inéquitable (art. 13. 3. et 13.4.) et dans quelles conditions il convient de retenir qu’une clause est imposée unilatéralement (art. 13.5.).

Pour les organismes publics : accéder aux données détenues en cas de circonstances exceptionnelles

En cas de circonstance exceptionnelle le justifiant, un détenteur de données doit par principe permettre l’accès et l’utilisation de toute donnée requise à un organisme public, à sa demande (art. 15) et ce sans délai (art. 18.1.) – ce dernier devant quant à lui préciser quelles données sont visées, rapporter la preuve de la circonstance exceptionnelle, expliquer la finalité, l’usage prévu et sa durée, ainsi que la base légale sur laquelle il s’appuie et le délai dans lequel la donnée doit être rendue disponible (art. 17).

De telles circonstances exceptionnelles sont réputées exister soit en cas d’urgence publique déjà existante et à traiter, soit à naitre et à prévenir, soit encore quand l’organisme public ne peut remplir une mission de service publique prévue légalement faute de manquer de données (art. 15). Les données ainsi collectées ne doivent cependant pas être utilisées à des fins de poursuites judiciaires pénales ou administratives (art. 16).

Par principe rendu à titre gratuit (art. 20.1.), ce service peut faire l’objet d’un défraiement des coûts techniques (anonymisation, adaptation…) lorsqu’il est exécuté pour des raisons de prévention ou pour la réalisation d’un service public (art. 20.2.).

Sur la possibilité de changer de service de traitement de données et sur l’interopérabilité des données

Les fournisseurs de services de traitement de données, y compris en nuage (cloud), doivent enlever tout obstacle commercial, technique, contractuel, organisationnel, de nature à empêcher les clients de changer de manière effective de fournisseur de service (art. 23). Un accord entre le service opérant le transfert et le client doit prévoir les conditions dans lesquels celui-ci se déroule et les données concernées – ce transfert s’opérant en principe dans un délai de 30 jours (art. 24.1.a.).

Aussi, des standards d’opérabilité s’imposent aux fournisseurs de services pour assurer la bonne réalisation des transferts (art. 26.3. et 28 et s.).

Sur les garanties apportées aux transferts internationaux de données non-personnelles

Les fournisseurs de services de données doivent prendre toutes mesures techniques, légales et organisationnelles permettant d’empêcher les transferts internationaux ou l’accès par des gouvernements tiers à des données non-personnelles hébergées en Union européenne – lorsque ce transfert est de nature à entrer en conflit avec le droit de l’Union ou d’un Etat membre (art. 27.1.).

Un tel transfert ne peut intervenir de manière licite qu’en cas de décision rendue par un tribunal ou une autorité administrative, et d’accord international en vigueur entre l’Etat requérant et l’UE ou un pays de l’UE (art. 27.2.).

Certaines conditions spécifiques sont prévues – en l’absence d’un tel accord international – pour permettre au fournisseur visé par un décision de justice ou d’une autorité administrative d’un Etat tiers de procéder de manière licite à un tel transfert ou accès (art. 27.3.).

La proposition de règlement sur les données, si elle a été adoptée par la Commission le 23 février 2022, doit encore être négociée par le Parlement et le Conseil européen.

^[1] Alice Vitard, Bruxelles veut exploiter le potentiel de croissance des données industrielles, L’usine Digitale, 23 février 2022 (lien)

^[2] Proposal for a Regulation of the European Parliament and of the Council on harmonized rules on fair access to and use of data (Data Act), 2022/0047 (COD) – i.e. proposition de loi sur des règles harmonisées équitables quant à l’accès et l’utilisation des données (lien)

^[3] Vocabulaire des télécommunications, entrée « objet connecté », Journal Officiel de la république française, 11 janvier 2018, texte 135 sur 164 (lien)

^[4] Vocabulaire des télécommunications, entrée « objet connecté », Journal Officiel de la république française, 11 janvier 2018, texte 135 sur 164 (lien)

^[5] IDC White Paper, Data Age 2025 : The Evolution of Data to Life-Critical, 2017, p.7 (lien)

^[6] Commission européenne, Une stratégie européenne pour les données, COM (2020) 66 final, 19 février 2020, p. 2 (lien)

^[7] Proposal for a Data Act, 2022/0047 (COD), p. 1 (lien) ; 2022/0047 (COD) préc., p.6 (lien)

^[8] Ingrid Vergara, Avec le Data Act, l’UE veut pouvoir mieux exploiter ses données, Le Figaro, 23 février 2022 (lien)

^[9] Com. Eur., Règlement sur les données, la voie à suivre pour la décennie numérique, 23 février 2022 (lien)

^[10] V. notamment, Proposal for a Data Act, 2022/0047 (COD), pp. 3-7.

^[11] Directive 96/9 du 11 mars 1996 concernant la protection juridique des bases de données (lien).

^[12] Directive 2002/58 vie privée et communications électroniques du 12 juillet 2002 (lien)

^[13] Règlement 2016/679 du 27 avril 2016 dit Règlement général sur la protection des données (lien)

^[14] Règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données (lien)

^[15] Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne (lien). Considérant 10 : « En vertu du règlement (UE) 2016/679, » c’est-à-dire le RGPD, « les États membres ne peuvent ni limiter ni interdire la libre circulation des données à caractère personnel au sein de l’Union pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Le présent règlement établit le même principe de libre circulation, au sein de l’Union, des données à caractère non personnel sauf si une restriction ou une interdiction se justifie par des motifs de sécurité publique ».

^[16] Article 51, i) du Règlement (UE) 2019/881 sur la cybersécurité du 17 avril 2019 (lien)

^[17] Directive 2019/1024 du 20 juin 2019 sur les données ouvertes et la réutilisation des informations du secteur public (lien)

^[18] Com. Eur., La Commission se réjouit de l’accord politique visant à stimuler le partage des données et à soutenir les espaces européens de données, 30 novembre 2021 (lien)

^[19] Com. Eur., Proposition de législation sur les marchés numériques du 15 décembre 2020 (lien)

^[20] U. Von Der Leyen, Political Guidelines for the next European Commission 2019-2024 (lien) et citée dans la proposition de Data Act, p. 1

^[21] Com. Eur., Une stratégie européenne pour les données, COM (2020) 66 final, 19 février 2020, p.1 et 16 (lien)

^[22] Ibid, p.14

^[23] COM (2020) 66 final, 19 février 2020, préc., pp. 15 et 16

^[24] Com. Eur., Règlement sur les données : la Commission propose des mesures en faveur d’une économie des données équitable et innovante, 23 février 2022 (lien)

^[25] Com. Eur., Règlement sur les données : la Commission propose des mesures en faveur d’une économie des données équitable et innovante, 23 février 2022 (lien)

^[26] COM (2020) 66 final, 19 février 2020, préc., pp. 14

^[27] Proposal for a Data Act, 2022/0047 (COD), p.5

^[28] Voir notamment les considérants 7, 24, 30 et l’article 1.3. de la proposition de Data Act

^[29] Com. Eur., Règlement sur les données : la Commission propose des mesures en faveur d’une économie des données équitable et innovante, 23 février 2022 (lien)

^[30]^[30] Com. Eur., Règlement sur les données, la voie à suivre pour la décennie numérique, 23 février 2022 (lien)