Data Act : la présidence suédoise du Conseil de l’UE présente un nouveau compromis
La Suède a présenté un nouveau compromis sur le règlement sur les données, obtenu par EURACTIV, portant notamment sur le champ d’application, les secrets commerciaux ou encore l’accès aux données entre entreprises et organismes publics.
La Suède, qui assure actuellement la présidence tournante du Conseil de l’UE, a présenté un nouveau compromis sur le règlement sur les données (Data Act), obtenu par EURACTIV, portant notamment sur le champ d’application, les secrets commerciaux, l’accès aux données entre entreprises et organismes publics (B2G), les transferts internationaux et les compensations, entre autres.
Mercredi soir (24 janvier), la présidence suédoise du Conseil de l’UE a fait circuler un nouveau compromis sur le règlement sur les données. Cette proposition de loi a pour objectif de réglementer la manière dont les données sont accessibles, transférées et partagées.
La présidence suédoise a demandé aux autres États membres de formuler des commentaires écrits et oraux sur les principales questions en suspens dans ce dossier et leur a fourni une liste d’options. Le nouveau texte sera examiné mardi prochain par le Conseil « Télécommunications » de l’UE.
« Afin de clarifier le déroulement du processus, à l’issue des discussions au sein du groupe de travail, la présidence demandera aux délégations de fournir des retours sur les priorités restantes d’ici au [3] février 2023 », peut-on lire dans le document, dans lequel la présidence souligne son intention de clore le dossier dans les prochaines semaines.
Champ d’application
Le règlement sur les données introduit le principe selon lequel les utilisateurs d’appareils connectés devraient avoir le droit d’accéder aux données qu’ils ont contribué à générer — ainsi qu’aux métadonnées nécessaires pour les interpréter et les utiliser — et de les partager avec un tiers de leur choix.
Toutefois, le type de données qui devrait être couvert par le règlement sur les données a été un point de controverse. Le nouveau compromis précise que « pour mieux définir le champ d’application matériel du règlement sur les données, il a été convenu de se concentrer sur les fonctionnalités des données plutôt que sur les produits ».
Le texte se concentre notamment sur les données prétraitées générées automatiquement par les capteurs intégrés dans les produits connectés tels que les véhicules, les équipements domestiques et de loisirs, plutôt que sur les produits eux-mêmes.
En outre, la définition des données générées par un produit ou un service associé a été modifiée afin d’exclure les données générées pour l’affichage de contenu ainsi que les données enregistrées à l’aide d’applications autres que celles strictement liées au produit.
Secrets commerciaux
Un autre point sensible consiste à s’assurer que les données partagées respectent les secrets commerciaux de l’organisation qui les fournit.
Lorsque l’organisation d’origine identifie des données ou des métadonnées qui comportent des secrets commerciaux, les utilisateurs ou le tiers concerné doivent prendre toutes les mesures techniques et organisationnelles pour les protéger.
Les dispositions imposant ces mesures de protection ont été consolidées, donnant à l’organisation d’origine le droit de demander une compensation si elles ne sont pas respectées.
Accès aux données B2G
Le Conseil de l’UE a également discuté de la manière de rendre le règlement sur les données proportionnel pour les petites et moyennes entreprises (PME). Une des difficultés majeures est liée au fait que la législation permet aux organismes publics de demander l’accès à des données détenues à titre privé (B2G) dans des circonstances spécifiques.
Initialement, les micro et petites entreprises étaient exclues de cette obligation B2G. Cependant, le dernier compromis présenté prévoit que les micro et petites entreprises ne sont soumises à cette obligation que pour répondre à une urgence telle qu’une pandémie si cela est d’utilité publique. Or, contrairement aux grandes entreprises, elles pourraient ensuite réclamer une compensation.
Transferts internationaux de données
La proposition de loi prévoit des restrictions pour les services cloud en ce qui concerne le transfert de données non personnelles vers un pays tiers et l’accès correspondant auprès de l’autorité judiciaire d’une juridiction étrangère.
Un nouvel article sur les obligations contractuelles de transparence en matière d’accès et de transfert international a été ajouté. Celui-ci invite les services cloud à publier l’emplacement physique de leur infrastructure numérique sur leur site web, ainsi que les mesures mises en place pour empêcher l’accès des gouvernements étrangers aux données non personnelles relevant de l’UE.
Le compromis précise que les autorités nationales doivent être impliquées dès lors qu’une décision judiciaire ordonne l’accès à des données susceptibles d’affecter la sécurité nationale ou les intérêts de défense de l’UE ou de ses États membres.
Interaction avec le RGPD
La nécessité de clarifier la relation entre le règlement sur les données et le règlement général sur la protection des données (RGPD) — la loi européenne sur la protection de la vie privée — est une observation essentielle. L’Allemagne a en effet déploré les incohérences et l’absence de recoupements possibles entre les deux lois européennes.
Le texte indique que le règlement ne reconnaît ni ne crée de base juridique conforme au RGPD pour le traitement des données générées. En outre, les organisations concernées par les obligations de partage des données prévues par le règlement sur les données ont été étendues aux organismes du secteur public.
Ainsi, lorsqu’un organisme public demande un ensemble de données comportant des données à caractère personnel, la présidence suédoise propose que l’autorité compétente en matière de protection des données soit informée sans délai.
Compensation
L’organisation qui détient les données devrait convenir d’une compensation raisonnable avec l’organisation qui les reçoit, à condition qu’il s’agisse d’une entreprise et non d’un consommateur.
La Commission a récemment publié une étude sur ce qui pourrait être considéré comme une compensation « raisonnable ». Certains des éléments proposés ont été inclus, tels que les coûts encourus, l’investissement nécessaire pour rendre les données disponibles, ou encore la prise en compte d’une marge.
En outre, la présidence souhaite que la Commission publie des lignes directrices sur le calcul de cette compensation.
Changement de fournisseur de services cloud
Le règlement sur les données introduit également des mesures visant à faciliter le passage d’un fournisseur de services cloud à un autre.
Les auteurs du compromis soulignent que les obstacles à un tel changement peuvent être de nature pré-commerciale, commerciale, technique, contractuelle ou organisationnelle.
Les étapes techniques du processus de changement de fournisseur et les droits et obligations des différentes parties ont été précisés.
Équité contractuelle
La proposition initiale prévoyait notamment un « contrôle d’équité » pour les contrats liés aux obligations de partage des données prévues par le règlement entre les PME et les grandes entreprises. Cette mesure a désormais été élargie à tous les accords contractuels, quelle que soit leur taille.
[Édité par Anne-Sophie Gayet]
