Data Act : le Conseil de l’UE précise les dispositions relatives aux secrets d’affaires
Le nouveau compromis sur le projet de règlement sur les données précise davantage les dispositions relatives à la protection des secrets d’affaires et clarifie le lien avec les règles de protection des données et l’application des dispositions relatives au changement de fournisseur de services cloud.
Le nouveau compromis sur le projet de règlement sur les données (Data Act) précise davantage les dispositions relatives à la protection des secrets d’affaires et clarifie le lien avec les règles de protection des données et l’application des dispositions relatives au changement de fournisseur de services cloud (cloud-switching).
La présidence suédoise a partagé le sixième texte de compromis sur le règlement sur les données mercredi (8 mars), avec pour objectif d’en discuter le 14 mars au sein du Groupe « Télécommunications », un organe technique du Conseil de l’UE chargé des questions relatives aux politiques dans le domaine des technologies de l’information et de la communication ainsi que des infrastructures de ce secteur, de l’Internet et de la création du marché numérique unique en Europe.
Le règlement sur les données est une proposition législative visant à règlementer la manière dont les données sont partagées, consultées et transmises. Si aucune opposition notable n’est soulevée la semaine prochaine, le texte de la présidence suédoise sera soumis au Comité des représentants permanents (COREPER) le 22 mars.
L’objectif est de lancer rapidement des négociations interinstitutionnelles avec le Parlement européen, qui devrait formaliser sa position lors de la session plénière de la semaine prochaine.
Champ d’application
Le règlement sur les données introduit le principe selon lequel les utilisateurs d’appareils connectés devraient avoir le droit d’accéder aux données qu’ils contribuent à générer et de les partager. Cependant, reste à savoir quel type de données devrait être couvert par ces obligations de partage des données.
Ce dernier point a suscité la controverse car les données peuvent contenir des informations sensibles sur le plan commercial ou des secrets d’affaires liés à la manière dont l’organisation qui contrôle les données — c’est-à-dire le détenteur des données — les traite afin d’obtenir des informations et d’autres renseignements.
Dans cette perspective, la présidence suédoise du Conseil de l’UE a proposé, dans le compromis précédent, d’exclure du champ d’application toutes les données traitées par des systèmes soumis à des droits de propriété intellectuelle (PI) ou à un savoir-faire spécifique du détenteur des données.
Cette référence à un « savoir-faire spécifique » a été supprimée du nouveau texte, car elle a été considérée comme générant une incertitude juridique, le concept n’étant pas défini dans la proposition.
Secrets d’affaires
Dans le dernier compromis, la présidence suédoise a également introduit la possibilité pour les détenteurs de données de refuser le partage des données dans certaines circonstances exceptionnelles. Un tel refus sera possible s’ils sont en mesure de démontrer que le partage des données est susceptible de leur causer un préjudice grave, et ce malgré les mesures de protection éventuelles mises en place par les destinataires des données.
Le champ d’application de ce refus exceptionnel a été élargi de l’utilisation abusive ou de la divulgation illicite d’informations couvertes par des droits de propriété intellectuelle à tout secret d’affaires. En outre, le détenteur des données devra justifier son refus et en informer l’autorité nationale compétente.
Le dommage grave est défini comme « un dommage ayant un effet négatif sur l’exercice de l’activité économique, dès lors que le détenteur des données serait confronté à des pertes économiques significatives qui pourraient, notamment, menacer sa viabilité ou présenter un risque sérieux de faillite ».
Le préambule du texte dresse une liste de facteurs à prendre en considération, tels que l’absence d’opposabilité de la protection des secrets d’affaires dans la juridiction où les données seraient transférées, le niveau de confidentialité des données demandées, ainsi que le caractère unique et nouveau du produit et la cybersécurité.
Protection des données
Un autre aspect critique de la discussion portait sur la relation entre le règlement sur les données et le règlement général sur la protection des données (RGPD). Une nouvelle formulation précise que lorsque les utilisateurs obtiennent des données personnelles qui ne sont pas les leurs, alors le règlement sur les données ne fournit pas de base juridique pour les traiter.
Les détenteurs de données devront s’assurer que leur partage de données personnelles est conforme aux règles de l’UE en matière de protection des données, notamment en anonymisant les données personnelles ou en ne transférant que les données personnelles liées à l’utilisateur.
Changement de fournisseur de services cloud
Le règlement sur les données a pour but de favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre. À cet égard, il prévoit la suppression totale des frais de sortie des données et des frais de changement de fournisseur trois ans après son entrée en vigueur.
Parallèlement, un nouveau paragraphe précise que le règlement de l’UE ne fait pas obstacle à ce que « les parties puissent conclure des contrats portant sur des services de traitement de données d’une durée déterminée, y compris des frais de résiliation couvrant la résiliation anticipée de ces contrats, conformément au droit national et au droit communautaire ».
Business-to-government (B2G)
La nouvelle législation sur les données autorise les organismes publics à demander l’accès aux données détenues par des entreprises privées (B2G) dans des circonstances exceptionnelles. C’est notamment le cas pour répondre à une situation d’urgence publique ou pour en atténuer les effets, ou encore si l’autorité publique requiert les données pour accomplir une mission d’intérêt public et qu’elle ne peut les obtenir par d’autres moyens.
Toutefois, en ce qui concerne la production de statistiques officielles, l’exigence selon laquelle l’organisme public ne pourrait pas acquérir les données pertinentes sur le marché ne s’applique pas si les instituts de statistiques sont en mesure de prouver que la loi en vigueur ne leur permet pas de le faire.
Législation sectorielle
Le règlement sur les données est l’un des principaux éléments de la stratégie européenne en matière de données. Celle-ci prévoit également la création d’espaces de données sectoriels dans des secteurs tels que l’énergie et l’agriculture.
Une référence à la recherche scientifique a été ajoutée à titre d’exemple de secteurs pouvant nécessiter des exigences supplémentaires.
Révision
Deux ans après l’entrée en vigueur du nouveau règlement, la Commission européenne devra en évaluer les effets.
Les éléments à prendre en compte par l’exécutif européen ont été modifiés afin de couvrir l’impact sur le développement de nouveaux produits et services connexes, l’impact sur les PME et leur capacité à innover, ainsi que la disponibilité des services cloud auprès des utilisateurs européens.
[Édité par Anne-Sophie Gayet]
