Data Act : le Conseil de l’UE propose de réviser les dispositions relatives au cloud
Le nouveau texte de compromis sur le règlement sur les données (Data Act), diffusé jeudi dernier, introduit des changements importants dans la partie destinée à faciliter le passage d’un fournisseur de services cloud à un autre.
Le nouveau texte de compromis sur le règlement sur les données (Data Act), diffusé jeudi dernier (8 décembre) et consulté par EURACTIV, introduit des changements importants dans la partie destinée à faciliter le passage d’un fournisseur de services cloud à un autre.
Le règlement européen sur les données (Data Act) est une proposition législative destinée à permettre la libre concurrence sur le marché du cloud. Il prévoit de donner aux utilisateurs d’appareils connectés le contrôle de leurs données et de permettre aux autorités publiques d’accéder aux données contrôlées par des entreprises privées sous certaines conditions.
La présidence tchèque du Conseil de l’UE n’a pas été en mesure de négocier une position commune sur le dossier lors d’une réunion ministérielle mardi dernier (6 décembre), mais a travaillé sur un nouveau texte de compromis visant à résoudre certaines des questions en suspens. Le texte sera examiné ce mardi (13 décembre).
Le multi-cloud
Les services numériques font souvent partie d’architectures multi-cloud. Un service de messagerie électronique, par exemple, peut être hébergé par un fournisseur de services cloud et intégrer un calendrier hébergé par un service cloud concurrent.
L’adaptation des dispositions du règlement sur les données à un environnement aussi complexe a fait l’objet de discussions techniques au sein du Conseil de l’UE.
Par conséquent, un nouvel article a été ajouté. Ce dernier prévoit que les dispositions relatives à l’interopérabilité — qui exigent des fournisseurs de services cloud qu’ils permettent à leurs clients de passer à des services concurrents — doivent également s’appliquer aux fournisseurs de services cloud parallèles.
L’objectif est de permettre aux clients de passer librement d’un service cloud à l’autre. Les fournisseurs de services cloud qui ne sont pas directement impliqués dans la résiliation du contrat ne devraient donc pas non plus faire obstacle à ce changement de fournisseur.
Frais de sortie
Un autre concept très discuté est celui des frais de sortie, demandés par les fournisseurs de services cloud à leurs clients lorsqu’ils souhaitent récupérer leurs données qui n’étaient pas prises en compte dans la proposition initiale.
Le projet de la Commission ne portait que sur les frais de changement de fournisseur, qui devront totalement disparaître au bout de trois ans après l’entrée en vigueur du règlement sur les données. Cette mesure a également été étendue aux frais de sortie.
Interopérabilité
Les exigences relatives à l’interopérabilité du cloud ont été reformulées afin d’aligner le texte sur le processus de normalisation défini dans le cadre d’autres législations — notamment l’approche horizontale sur les spécifications communes complémentaires aux normes européennes harmonisées.
Une note d’accompagnement indique que, si ces modifications sont acceptées, elles seront appliquées dans l’ensemble du texte. C’est par exemple le cas dans la section sur les contrats intelligents pour le partage des données.
Le règlement habilite également la Commission à adopter des actes délégués pour établir un référentiel de l’UE avec des spécifications d’interopérabilité ouvertes et des normes européennes pour l’interopérabilité des services cloud.
En outre, le règlement prévoit la possibilité pour l’exécutif européen d’inclure des normes non européennes dans le référentiel, à condition qu’elles répondent à des critères spécifiques.
Type de données
Dans la mesure où le règlement sur les données permet à l’utilisateur d’un produit de l’Internet des objets (Ido) d’obtenir les données générées, le type de données que l’utilisateur est en droit de recevoir a fait l’objet d’intenses discussions.
Ces données générées ont été définies comme « les données enregistrées intentionnellement par l’utilisateur ou comme un sous-produit de l’action de l’utilisateur, ainsi que les données générées ou enregistrées pendant la période d’utilisation légale, notamment en mode veille ou lorsque le produit est éteint », peut-on lire dans le compromis.
Parallèlement, les données résultant non pas de l’utilisation du produit lui-même mais d’un procédé destiné à en tirer des éléments de compréhension sont exclues du champ d’application. C’est le cas notamment des applications embarquées et des diagnostics qui altèrent considérablement la forme initiale.
Accès aux données B2G
Le règlement sur les données permet aux organismes publics de demander l’accès à des données détenues par des particuliers dans des conditions spécifiques.
En règle générale, les organismes publics sont tenus de supprimer les données reçues dès qu’elles ne sont plus nécessaires à la réalisation de l’objectif fixé dans la demande. Toutefois, une exception a été ajoutée lorsque l’archivage des données est nécessaire pour se conformer aux exigences de transparence prévues par la législation nationale.
L’organisme public peut, à son tour, décider de partager les données avec les instituts nationaux de statistique, Eurostat, ou encore des personnes et des organisations effectuant des recherches scientifiques. Ces entités peuvent conserver les données pendant six mois supplémentaires après leur suppression par l’organisme public.
Secrets commerciaux
Un aspect sensible de la législation concerne la préservation des secrets commerciaux, en particulier dans la mesure où les utilisateurs ont le droit de partager les données qu’ils ont obtenues avec un tiers. Une disposition particulièrement contestée permettrait à ce tiers de continuer à partager les données avec d’autres organisations.
À cet égard, le texte prévoit désormais que ce transfert de données ne peut avoir lieu que si l’entité destinataire met en œuvre les mêmes mesures que celles convenues lors de la transaction initiale afin de préserver la confidentialité des secrets commerciaux.
Un représentant des entreprises a toutefois expliqué à EURACTIV que le nouveau compromis ne protège que peu les secrets commerciaux. L’organisation concernée n’aurait en effet aucun moyen de faire respecter l’accord, et encore moins de surveiller toutes les personnes qui recevraient les données.
Révision législative
La Commission devrait procéder à une évaluation dans un délai de deux ans à compter de l’entrée en application du règlement. Les aspects à prendre en compte dans cette révision législative ont été étendus pour inclure l’impact sur les secrets commerciaux et l’efficacité du régime d’application.
Calendrier
Le délai pour l’entrée en application du règlement sur les données a été prolongé de 6 mois, passant ainsi de 12 à 18 mois.
[Édité par Anne-Sophie Gayet]
