Data Act : la Commission européenne détaille les implications juridiques aux États membres
Ces dernières semaines, la Commission européenne a fait une série de présentations aux pays de l’UE qui ont demandé plus de clarté sur la manière dont la nouvelle loi sur les données s’appliquera et comment elle interagira avec d’autres législations.
Ces dernières semaines, la Commission européenne a fait une série de présentations, obtenues par EURACTIV, aux pays de l’UE qui ont demandé plus de clarté sur la manière dont la nouvelle loi sur les données s’appliquera et comment elle interagira avec d’autres législations.
La loi sur les données (Data Act) est une proposition législative destinée à compléter la stratégie de la Commission en matière de données. Le document a été officiellement publié en février. Depuis lors, les États membres du Conseil de l’UE cherchent à mieux comprendre la proposition et la manière avec laquelle elle s’inscrira dans un cadre législatif toujours plus complexe.
Trois autres ateliers devraient avoir lieu avec des experts nationaux d’ici au 25 mai.
La nouvelle loi sur les données est destinée à réglementer les conditions d’accès aux données produites par les appareils de l’internet des objets (IoT), en obligeant les fabricants à fournir un accès et en introduisant le droit pour les utilisateurs d’appareils d’accéder à leurs données et de les transférer.
Source : Commission européenne
Les utilisateurs pourront également donner à des tiers la possibilité d’accéder à ces données pour développer leurs offres, avec des conditions spéciales offertes aux petites et moyennes entreprises (PME) puisqu’elles n’auront pas à payer une compensation supérieure aux coûts directs d’accès aux données.
L’objectif des obligations en matière d’accès aux données est d’« établir des pratiques de partage des données cohérentes, équitables et intersectorielles pour ce qui devrait constituer un corpus croissant d’obligations européennes en matière d’accès aux données », peut-on lire dans l’une des présentations.
La Commission a souligné que les « règles relatives aux données de l’IoT encadrent également le partage des données dans d’autres secteurs. » En particulier, la proposition vise à lutter contre le caractère inéquitable des contrats en interdisant l’imposition unilatérale de clauses contractuelles inéquitables sur le partage des données aux PME.
En outre, les entreprises privées devront donner l’accès aux données aux organismes du secteur public en situation d’urgence, tandis que les fournisseurs de services cloud devront garantir des conditions de changement de service cloud (cloud switching) simples pour leurs clients.
Cadre législatif
Pour l’exécutif européen, le Data Act répond au manque de disponibilité des données et aux pratiques commerciales déloyales en mettant en place une série d’obligations et de normes communes pour la réutilisation des données au sein des secteurs et entre eux.
Elle interagira ainsi avec d’autres législations qui n’ont pas pleinement abordé ces problèmes fondamentaux. Le RGPD, la loi européenne sur la protection des données, a introduit le droit à la portabilité des données, « mais sa portée n’est pas claire, il est rarement utilisé et ne couvre pas les données non personnelles. »
De même, la loi sur les marchés numériques (DMA), qui a fait l’objet d’un accord récent, aborde les problèmes liés à l’enfermement propriétaire (lock-in), mais uniquement pour les plus grands fournisseurs de cloud et ne donne pas aux utilisateurs le pouvoir d’accéder à leurs données. Parallèlement, le droit de la concurrence est insuffisant pour remédier aux déséquilibres de pouvoir dans les contrats privés.
Par ailleurs, la Commission a cherché à clarifier la relation entre le Data Act et la directive sur les bases de données (Database Directive), une législation qui protège le traitement des bases de données. La règle générale est que les jeux de données (datasets) originaux sont couverts par le droit d’auteur, et que ceux qui n’entrent pas dans cette catégorie mais nécessitent des investissements importants bénéficient d’une protection par le droit sui generis.
Source : Commission européenne
L’exécutif européen voulait éviter que les fabricants d’IoT utilisent de manière opportune la protection par le droit sui generis pour se conformer à la loi sur les données et a donc indiqué de manière explicite que les bases de données contenant des données d’IoT ne relèvent pas du champ d’application de cette protection.
La stratégie européenne pour les données comprend une série d’espaces européens de données et une législation sectorielle pour la mise en commun des données dans des secteurs stratégiques tels que la santé, l’énergie et la manufacture. Le Data Act soutient ces initiatives en facilitant les flux de données via des mécanismes de partage des données et l’interopérabilité.
Transfert international de données
En outre, la nouvelle loi sur les données vise à « faire en sorte que les entreprises et les particuliers puissent bénéficier des flux internationaux de données tout en garantissant le respect des règles de protection et de sécurité des données de l’Union. »
Une présentation entière de la Commission a été consacrée au chapitre sur le transfert international des données, qui exige des services de traitement des données qu’ils empêchent l’accès et le transfert illicites des données sur la base de demandes émanant d’autorités de pays tiers.
Ces dispositions ont été rédigées à partir de la mesure relative à l’accès et au transfert internationaux figurant dans la loi sur la gouvernance des données (Data Gouvernance Act, DGA), qui prévoit que toute décision d’accès à des données non personnelles prise par une autorité judiciaire ou administrative d’un pays tiers n’est exécutoire que si elle est fondée sur un accord international.
En l’absence d’un accord international, les prestataires doivent évaluer si une demande est en conflit avec le droit européen ou national et si la juridiction en question peut fournir des garanties procédurales et des recours juridiques appropriés.
Les services de traitement des données pourront demander un avis aux autorités compétentes, par exemple, s’ils pensent que les données sont commercialement sensibles ou pertinentes pour les intérêts de la sécurité et de la défense nationales.
Le Comité européen de l’innovation dans le domaine des données, un organe créé en vertu du DGA, établira des lignes directrices sur la manière d’appliquer ces dispositions. Les transferts internationaux de données à caractère personnel sont réglementés par le régime d’adéquation des données du RGPD.
