Data Act : la présidence tchèque du Conseil de l'UE se rapproche d'une approche générale

La présidence tchèque du Conseil de l’UE a fait circuler un nouveau compromis sur les cinq premiers chapitres de la nouvelle loi sur les données (Data Act).

Le texte de compromis, consulté par EURACTIV, a circulé vendredi dernier et sera discuté lors de la réunion du groupe « Télécommunications » jeudi (27 octobre). Le compromis constitue une étape vers l’approche générale que les Tchèques souhaitent obtenir d’ici la fin de leur présidence en décembre.

Champ d’application

Le texte précise que les utilisateurs d’un appareil connecté auront accès aux données qu’ils ont contribué à générer, quel que soit le lieu où ils sont établis. Les opérateurs utilisant des contrats intelligents au sein d’espaces de données sont également couverts par le champ d’application.

La formulation a été modifiée afin de préciser que le règlement n’exclut pas les accords volontaires d’échange de données entre entités privées et publiques. En outre, il n’affecte pas la directive de l’UE relative aux clauses abusives dans les contrats conclus avec les consommateurs.

Les technologies portables non médicales ont été intégrées comme exemple de produits physiques couverts par le règlement. Les produits destinés à afficher du contenu, tels que les téléviseurs intelligents, et à traiter et stocker des données, tels que les ordinateurs personnels et les smartphones, sont exclus du champ d’application.

Les données générées comprennent celles enregistrées volontairement par les utilisateurs et celles résultant d’un sous-produit des actions des utilisateurs, telles que les données de diagnostic, et sans aucune interaction, y compris lorsque le produit est en mode veille ou éteint.

Le texte précise qu’un locataire ou un preneur à bail doit également être considéré comme un utilisateur. La possibilité que plusieurs personnes utilisent le même compte a été ajoutée, ce qui devra être reflété dans les solutions de compte.

Partage des données

La notion de « facilement disponible » a été ajoutée pour définir les données générées par les produits de l’Internet des objets que le fabricant du produit « peut obtenir sans effort disproportionné, en allant au-delà d’une simple opération. »

Le fabricant du produit sera tenu de partager gratuitement ces données facilement accessibles et de maintenir le même niveau de qualité. Ces droits d’accès ne peuvent être restreints par un quelconque accord ou arrangement contractuel entre le fabricant et l’utilisateur.

Lors de l’achat du dispositif connecté, l’utilisateur doit avoir le droit de connaître les conditions d’accès, y compris la politique de stockage et de conservation du fabricant. Des garanties plus solides relatives aux secrets commerciaux ont été introduites.

La présidence tchèque a précisé que ces coûts pourraient correspondre aux coûts techniques de mise à disposition de ces données, auxquels s’ajoute une marge qui pourrait dépendre du modèle économique de l’organisation. Des accords à long terme, par exemple sous la forme de contrats intelligents, pourraient contribuer à réduire ces coûts.

Accès public

Le champ d’application des dispositions habilitant les organismes publics à demander l’accès à des données privées a été limité, en ce qui concerne les institutions européennes, à la Commission européenne, à la Banque centrale européenne (BCE) et aux agences de l’UE.

Les autorités nationales chargées de faire appliquer la loi sur les données ont été exclues du champ d’application afin d’éviter tout conflit d’intérêts.

Ces institutions publiques peuvent demander un accès à des données privées dans des circonstances exceptionnelles, notamment lorsque l’absence de ces données les empêche d’accomplir une tâche spécifique relevant de l’intérêt public.

La présidence tchèque de l’UE a toutefois ajouté une précision selon laquelle l’organisme public doit avoir épuisé tous les autres moyens d’obtenir les données pertinentes, y compris les acheter aux opérateurs économiques aux prix du marché. Ces demandes spécifiques ne peuvent porter sur des données à caractère personnel que s’il existe une base juridique au niveau européen ou national.

Ces dispositions relatives au partage des données n’affectent pas les obligations légales existantes de fournir des données pour les statistiques officielles et ne peuvent être utilisées pour enquêter sur des infractions pénales ou administratives.

Au moment d’émettre la demande, l’organisme public devra indiquer le délai et la base juridique.

Dans l’hypothèse où un organisme public demanderait à accéder aux données d’une entreprise établie dans un autre pays, la demande devra être transmise à l’autorité nationale compétente afin d’examiner si elle répond aux exigences.

L’autorité nationale peut renvoyer la demande avec des réserves dûment justifiées, auquel cas l’organisme public devra consulter son régulateur national et tenir compte de ces considérations au moment de soumettre à nouveau la demande.

Résolution des différends

En cas de désaccord entre le fabricant du produit et l’utilisateur sur les conditions de partage des données, ceux-ci peuvent saisir un organisme agréé de règlement des différends. Cette possibilité a également été étendue aux PME qui se sont vues imposer des conditions contractuelles inéquitables.

Les organes de règlement des différends sont tenus de disposer de règles de procédure non discriminatoires et d’évaluer des conditions d’accès équitables, y compris une indemnisation pour la mise à disposition des données à une entreprise qui n’est pas une PME.

Différenciation des délais

L’obligation de concevoir les interfaces des appareils connectés afin que les données puissent être facilement exportées s’appliquera un an après l’entrée en application de la loi sur les données. Les mesures de lutte contre les clauses contractuelles abusives sont destinées aux contrats conclus après l’entrée en application de la loi sur les données.