Data Act : la position de l’Allemagne expliquée
L’Allemagne souhaite davantage de clarté sur la manière dont le Data Act interagira avec les règles de protection des données. Elle veut également établir une distinction entre le partage de données en B2B et B2C et repenser l’exclusion des contrôleurs d’accès.
L’Allemagne souhaite davantage de clarté sur la manière dont le nouveau règlement sur les données de l’UE (Data Act) interagira avec les règles de protection des données en vigueur. Elle veut également établir une distinction entre le partage de données interentreprises (B2B) et le partage de données entre entreprises et consommateurs (B2C), repenser l’exclusion des « contrôleurs d’accès » et soumettre les frais de sortie à des accords contractuels.
La position allemande sur le règlement européen sur les données (Data Act) — une initiative législative phare visant à réglementer la manière dont les données peuvent être consultées, partagées et transmises — a été transmise la semaine dernière à la présidence suédoise du Conseil de l’UE, qui recueille actuellement des retours d’information avant de soumettre une nouvelle proposition de compromis d’ici la fin du mois.
« La proposition nécessite une analyse et une discussion plus approfondies. Les remarques suivantes sont préliminaires et ne contreviennent pas à d’autres changements et amendements », peut-on lire dans le commentaire d’introduction du document de position allemand, soumis la semaine dernière et obtenu par EURACTIV.
Champ d’application
L’Allemagne demande que des clarifications soient apportées à certaines définitions relatives aux données qui entreraient dans le champ d’application du règlement.
En ce qui concerne les produits devant être couverts, il est suggéré de prévoir une règle générale excluant les appareils principalement destinés à afficher du contenu, tels que les téléviseurs intelligents.
La protection des données
Pour Berlin, un élément central de la critique est le manque de clarté sur la relation entre le règlement sur les données et le règlement général sur la protection des données de l’UE (RGPD), en raison des contradictions, des recoupements et des incohérences qui existent entre les deux.
Ainsi, le gouvernement allemand demande que soit explicité le fait que toute donnée personnelle recueillie par le biais du règlement sur les données doit être traitée conformément au RGPD et que la nouvelle loi sur les données ne constitue pas une base juridique pour le traitement des données personnelles.
Partage des données
Le règlement sur les données introduit le principe selon lequel les utilisateurs d’appareils connectés doivent pouvoir accéder et transférer les données qu’ils ont contribué à produire ou déléguer la tâche à un tiers.
L’Allemagne souhaite que les conditions juridiques soient différenciées entre les scénarios de partage de données entre entreprises (Business to Business, B2B), dans lesquels une marge de manœuvre supplémentaire pourrait être accordée aux arrangements contractuels ; et les scénarios de partage de données entre entreprises et consommateurs (Business to Consumer, B2C), dans lesquels les intérêts des consommateurs pourraient nécessiter des garanties plus solides.
« Le gouvernement allemand envisage de créer des incitations dans le secteur B2C afin de favoriser l’utilisation des données et d’interdire les pratiques commerciales déloyales en vertu du droit de l’Union », peut-on également lire dans les commentaires.
Par ailleurs, un article a été ajouté. Ce dernier énumère les pratiques commerciales déloyales telles que l’utilisation des données pour l’une des applications d’intelligence artificielle (IA) interdites par le règlement sur l’IA (AI Act), telles que la notation sociale, la création de profils d’utilisateurs disproportionnés et la désanonymisation des données.
Berlin soutient également que l’interdiction d’utiliser les données obtenues pour développer un produit concurrent devrait être rendue plus précise. Dans ce cas, la charge de la preuve devrait incomber aux utilisateurs ou au parti tiers concerné.
Secrets commerciaux
La mesure dans laquelle les obligations de partage des données prévues par le règlement sur les données garantissent que le fabricant du produit connecté peut assurer la protection de ses secrets commerciaux est une question sensible qui a mis certaines associations industrielles sur le pied de guerre.
L’Allemagne insiste sur le fait que les secrets commerciaux vont au-delà des simples droits de propriété intellectuelle et qu’ils doivent être respectés lors du traitement des données obtenues afin d’éviter les abus et les fraudes.
Exclusion des grandes entreprises technologiques
La proposition initiale empêche les entreprises technologiques dont le pouvoir de marché est tel qu’elles doivent être qualifiées de « contrôleurs d’accès », en vertu du règlement sur le marché numérique (Digital Market Act, DMA), de bénéficier en tant que tiers éventuels des dispositions du règlement sur les données relatives au partage des données.
Cette mesure, qui vise à éviter la concentration des données entre les mains d’une poignée d’entreprises, est jugée « discutable » par l’Allemagne. Celle-ci propose en effet d’exclure uniquement les « services de plateforme de base », pour lesquels les grandes entreprises technologiques occupent une position dominante sur le marché, plutôt que d’exclure l’ensemble de l’entreprise.
Cette exclusion est également critiquée, car elle restreint le choix des utilisateurs, limite la concurrence entre les grandes entreprises technologiques et risque d’empêcher l’innovation dans le secteur de l’Internet des objets (IdO).
Partage de données B2G
Le règlement sur les données permet aux organismes publics d’accéder à des données détenues à titre privé dans des circonstances spécifiques afin de prévenir ou de répondre à une urgence publique ou encore lorsque les données sont nécessaires à l’exécution d’une tâche spécifique d’intérêt public.
Bien qu’elle soutienne la justification de cette mesure, l’Allemagne émet une réserve d’examen sur l’ensemble de ce chapitre. Elle estime en effet que celui-ci devrait être plus précis et fait remarquer qu’il serait peut-être préférable de traiter cette question dans le cadre d’une législation sectorielle.
Clauses contractuelles abusives
Le règlement sur les données prévoit un « contrôle d’équité » pour les accords contractuels relatifs au partage des données entre les PME et les grandes entreprises. Berlin souhaite en revanche étendre cette protection contre les clauses contractuelles abusives à toutes les entreprises.
En outre, l’Allemagne propose de n’inclure qu’une « liste noire » de pratiques systématiquement considérées comme déloyales. La version actuelle comprend également une liste de clauses présumées abusives, appelée « liste grise ». Les Allemands estiment que cette liste crée plus d’incertitude juridique qu’autre chose.
Le changement de fournisseur de services cloud
La proposition initiale prévoit qu’un utilisateur doit pouvoir changer de fournisseur de services cloud avec un préavis maximal de deux mois.
L’Allemagne considère cette disposition comme une restriction substantielle de la liberté contractuelle et propose d’inclure la possibilité de convenir mutuellement d’un délai différent.
En ce qui concerne les frais de changement de fournisseur, Berlin demande une clarification du compromis de la dernière présidence tchèque du Conseil de l’UE. Elle estime en effet qu’« il est difficile de voir pourquoi une suppression légale des frais de sortie des données serait nécessaire », étant donné que « les accords contractuels semblent suffisants ».
[Édité par Anne-Sophie Gayet]
