Data Act : la présidence suédoise du Conseil de l’UE progresse vers une position définitive
La présidence suédoise du Conseil de l’UE a fait circuler le cinquième texte de compromis sur le règlement sur les données (Data Act). Ce texte introduit la possibilité de refuser les demandes de partage de données si celles-ci risquent de causer un préjudice économique grave.
La présidence suédoise du Conseil de l’UE a fait circuler le cinquième texte de compromis sur le règlement sur les données (Data Act), obtenu par EURACTIV. Ce texte introduit la possibilité de refuser les demandes de partage de données si celles-ci risquent de causer un préjudice économique grave.
Le règlement sur les données a pour objectif d’encadrer la manière dont les données industrielles sont transmises, consultées et partagées. Le Parlement européen formalisera sa position sur le dossier d’ici la mi-mars. La Suède, qui assure la présidence tournante du Conseil de l’Union européenne, cherche elle aussi à adopter sa position dans un délai similaire, le texte étant presque finalisé à présent.
Le compromis sera examiné mardi prochain (28 février) lors d’une réunion du groupe « Télécommunications ».
Secrets commerciaux
Le règlement sur les données prévoit que les utilisateurs d’appareils connectés aient le droit d’accéder aux données qu’ils contribuent à générer ou de déléguer ce droit à un tiers qui pourrait utiliser ces données pour développer un nouveau service.
Une telle obligation de partage des données a suscité des inquiétudes du côté de l’industrie, qui craint que des secrets commerciaux et des informations commerciales sensibles ne soient exposés. La présidence suédoise du Conseil a notamment introduit la possibilité pour l’organisation qui contrôle les données de refuser une demande d’accès si elle est en mesure de démontrer que cette demande pourrait entraîner un préjudice économique grave, et ce en dépit des mesures techniques et organisationnelles mises en œuvre par la personne ou l’entité destinataire afin de protéger les secrets commerciaux.
« Dans la proposition du Conseil, un détenteur de données dispose d’un important droit de veto unilatéral lui permettant d’empêcher les utilisateurs d’utiliser ou de partager des données provenant d’un produit qu’il possède et pour lequel il a payé. Cette évolution est absurde et fait du règlement sur les données un droit du fabricant à la suppression des données », a confié l’eurodéputé Damian Boeselager à EURACTIV.
Si les parties concernées ne trouvent pas d’arrangement, elles pourraient porter l’affaire devant un organe de règlement des différends. Afin de prévenir tout usage abusif de la nouvelle mesure, en cas de décision de l’organe de règlement des différends défavorable aux détenteurs de données, ces derniers seront également tenus de couvrir les frais de justice et autres dépenses raisonnables des destinataires des données.
En revanche, les destinataires des données n’auront pas à payer les dépenses des détenteurs des données s’ils perdent, à moins que l’organe de règlement des différends ne considère que ceux-ci ont fait preuve d’une mauvaise foi « manifeste ».
Parallèlement, le champ d’application du type de données couvert par les obligations de partage des données a été réduit de manière à exclure les données traitées à l’aide d’un « savoir-faire spécifique » visant à fournir des informations sur le produit ou le comportement du consommateur.
Compensation et règlement des différends
Le règlement sur les données prévoit que les données doivent être divulguées gratuitement aux consommateurs (Business to Consumer – B2C), mais une compensation peut être demandée si le destinataire est une entreprise (Business to Business – B2B).
Les PME ne devraient toutefois pas payer davantage que le coût réel de la mise à disposition des données. Le nouveau texte indique que ce coût devrait être calculé en fonction du formatage, du stockage et du partage des données, ainsi que de l’investissement consenti pour la collecte et la production des données.
Dans toutes les autres interactions interentreprises (B2B), le détenteur des données pourrait prévoir une marge. Alors que les versions précédentes du texte du Conseil subordonnaient cette marge à l’utilisation des données par le destinataire des données, cette formulation prescriptive a été supprimée. Le détenteur des données dispose ainsi d’une plus grande flexibilité pour fixer la marge.
« Cette compensation peut également dépendre du volume, du format et de la nature des données », précise le texte.
Par ailleurs, l’obligation imposée à chaque pays de l’UE de disposer d’au moins un organe de règlement des différends sur son territoire national au moment de l’entrée en application du nouveau règlement a été supprimée.
Changement de fournisseur de service cloud
Le règlement sur les données prévoit également de favoriser la concurrence sur le marché du cloud en facilitant les conditions de passage d’un service de cloud à un autre. À cet égard, les fournisseurs de services cloud devraient abandonner tous les frais liés au changement de fournisseur et aux frais de sortie trois ans après l’entrée en vigueur du règlement.
Les frais de sortie couvrent les frais de transfert des données et ne sont pas considérés comme des frais de changement de fournisseur. Le texte de compromis apporte désormais des précisions sur la possibilité d’inclure des pénalités de résiliation anticipée dans les dispositions contractuelles. Cela implique que ces pénalités ne doivent pas non plus être considérées comme des frais de changement de fournisseur.
La présidence suédoise a introduit l’obligation de faire explicitement mention de ces pénalités de résiliation anticipée et de ces frais de sortie dans les contrats.
Accès aux données B2G
Le projet de loi comprend des dispositions permettant aux organismes du secteur public de demander des données industrielles à des entreprises privées dans des circonstances spécifiques (Business to Government – B2G).
L’autorité publique peut transmettre les données obtenues à des chercheurs et à des instituts statistiques. Dès que les données ne sont plus nécessaires, l’organisme public doit les supprimer et en informer le détenteur des données et toute personne ou organisation destinataire.
Si les organismes publics souhaitent obtenir des données d’une personne établie dans un autre pays de l’UE, ils devront envoyer la demande à l’autorité compétente de ce pays. L’autorité compétente peut rejeter la demande pour des raisons dûment motivées que les organismes publics doivent prendre en considération pour soumettre une nouvelle demande.
Interopérabilité et entrée en vigueur
Afin de permettre la libre circulation des données, le règlement sur les données prévoit l’établissement de normes techniques obligatoires et d’exigences essentielles garantissant l’interopérabilité entre différents systèmes et entreprises.
La procédure d’élaboration de ces normes techniques a été alignée sur le règlement européen relatif aux machines et aux produits connexes.
En outre, le délai d’entrée en vigueur du règlement a été porté de 18 à 24 mois.
[Édité par Anne-Sophie Gayet]
