Data Act : la présidence tchèque du Conseil de l'UE propose un nouveau compromis
La présidence tchèque du Conseil de l’UE a fait circuler un nouveau compromis partiel sur le prochain règlement sur les données portant sur les conditions de changement de service cloud, les exigences d’interopérabilité et la coopération en matière de mise en application.
La présidence tchèque du Conseil de l’UE a fait circuler un nouveau compromis partiel sur le prochain règlement européen sur les données (Data Act) portant sur les conditions de changement de service cloud («cloud switching»), les exigences d’interopérabilité et la coopération en matière de mise en application au niveau de l’UE.
Le texte du 9 septembre complète la première révision de la présidence tournante sur la proposition de règlement européen sur les données. Le compromis sera discuté au Conseil de l’UE au sein du groupe « Télécommunications et société de l’information » jeudi (15 septembre).
Champ d’application
Le règlement sur les données vise à instaurer de nouveaux droits d’accès des utilisateurs aux données qu’ils contribuent à générer. Le texte a été modifié « pour préciser que les références aux produits ou services associés doivent être comprises comme incluant les assistants virtuels dans l’ensemble du règlement sur les données. »
En outre, les utilisateurs auront le droit de changer de service de cloud sans frais supplémentaires trois ans après l’entrée en vigueur des nouvelles règles. Une mesure pensée pour encourager la concurrence sur le marché du cloud. La présidence tchèque précise que ces dispositions ne s’appliquent qu’à l’infrastructure en tant que service («infrastructure-as-a-service», Iaas), la couche la plus basique des services informatiques.
Cloud switching
Le projet initial prévoyait une période de transition de 30 jours civils pour permettre le passage d’un fournisseur de services de cloud à un autre. Les Tchèques ont introduit la possibilité de demander une prolongation en cas de circonstances exceptionnelles motivées par une impossibilité technique.
Le document indique que, à la demande du client, le fournisseur de services de cloud devra transférer non seulement ses données mais aussi ses métadonnées vers un autre fournisseur de services de cloud ou vers un système dit « sur place ». Toutefois, aucun libellé ne suggère que ces obligations de transfert s’appliquent aux systèmes sur place.
Selon le libellé ajouté, le service de cloud sortant devrait faciliter l’équivalence fonctionnelle en prenant « toutes les mesures en leur pouvoir, y compris en coopération avec le fournisseur de services de traitement des données du service de destination. »
En outre, la présidence tchèque souhaite que le service sortant garantisse des niveaux élevés de cybersécurité pendant le transfert et la période de conservation nouvellement introduite de 30 jours civils après la fin du contrat.
Interopérabilité
Le règlement sur les données fait partie d’une stratégie plus large de l’UE en matière de données, qui prévoit la création d’espaces de données sectoriels avec des règles de gouvernance spécifiques aux secteurs de la santé, de l’énergie et de l’agriculture. Les Tchèques ont précisé que les exigences essentielles en matière d’interopérabilité ne s’appliquent qu’aux organisations faisant partie de ces espaces de données.
En ce qui concerne les exigences essentielles d’interopérabilité dans les espaces de données, les Tchèques ont modifié le texte pour préciser que l’automatisation de l’exécution des accords de partage de données avec des outils tels que les contrats intelligents n’est pas obligatoire.
Les fournisseurs de services de cloud doivent se conformer aux spécifications et aux normes d’interopérabilité de l’UE dans un délai d’un an à compter de leur publication.
Gouvernance
L’architecture de mise en application doit suivre le principe du pays d’établissement. En d’autres termes, l’autorité compétente du pays dans lequel l’organisation en question a son siège au sein de l’UE dirigera ses affaires.
Si l’organisation n’a pas de représentant légal dans l’Union, tous les États membres seront compétents. Néanmoins, il ne sera pas possible de dupliquer la même procédure dans plusieurs pays.
L’article sur les clauses contractuelles types a été développé pour charger la Commission d’élaborer des clauses contractuelles types pour les contrats relatifs à l’informatique en nuage («cloud computing»).
Un article a été ajouté afin de définir le rôle du Comité européen d’innovation pour les données dans l’application du règlement européen sur les données, notamment en assistant la Commission sur les questions liées aux normes harmonisées, au droit dérivé et aux lignes directrices en matière d’interopérabilité.
Par ailleurs, le comité, établi en vertu de la loi sur la gouvernance des données récemment approuvée, conseillera la Commission pour faciliter la coopération entre les autorités compétentes par le biais du renforcement des capacités, des échanges d’informations, notamment sur les cas transfrontaliers, et de la coordination en matière de fixation des sanctions.
Sanctions
La présidence tchèque a renforcé le principe selon lequel un opérateur ne peut pas se voir infliger deux amendes pour la même infraction au règlement, en précisant que toute sanction doit être communiquée à toutes les autorités nationales et à la Commission.
En termes de sanctions, le compromis a proposé une série de critères à prendre en compte : la nature, la gravité, l’ampleur et la durée de l’infraction, les éventuelles tentatives d’atténuation ou de réparation, les infractions précédentes, les avantages financiers obtenus par l’infraction et les éventuels facteurs aggravants ou atténuants.
Directive sur les bases de données
Le règlement sur les données passe en revue la directive sur les bases de données, la législation européenne de 1996 qui harmonise l’application de la législation sur le droit d’auteur aux bases de données, y compris les droits spécifiques des créateurs de bases de données qui ne peuvent bénéficier de la protection du droit d’auteur. La présidence tchèque a proposé deux possibilités pour traiter ce point.
La première option implique une exclusion plus large de ces droits spécifiques lorsque les données sont obtenues ou produites en utilisant des produits connectés ou des services associés.
L’autre option, proposée par Prague, est une exclusion plus étroite de ces droits uniquement dans les cas où les utilisateurs exercent leur droit d’accès aux données qu’ils ont contribué à générer ou si l’utilisateur décide de partager ces données avec un tiers.
Pérennité
Deux ans après la mise en application du règlement sur les données, la Commission devra procéder à un examen. Les Tchèques souhaitent également que l’exécutif européen évalue si les droits d’accès et les obligations de commutation doivent être appliqués à d’autres services.
