Data Act : le Parlement européen prépare sa position
Dans cet article, EURACTIV vous propose un aperçu des principaux changements introduits par les eurodéputés dans le nouveau règlement européen sur les données (Data Act) en amont de votes clés du Parlement européen.
Dans cet article, EURACTIV vous propose un aperçu des principaux changements introduits par les eurodéputés dans le nouveau règlement européen sur les données (Data Act) en amont de votes clés du Parlement européen.
Le règlement sur les données est une législation phare de l’UE visant à réglementer l’accès aux données, leur transfert et leur partage. Au Parlement européen, les eurodéputés de la commission de l’industrie (ITRE) ont piloté le dossier et devraient adopter leur rapport le 9 février prochain.
D’autres commissions parlementaires ont également été largement impliquées dans l’élaboration de ce règlement, constituant une mosaïque complexe de compétences partagées et exclusives.
La position du Parlement européen devrait être confirmée lors d’un vote en plénière en mars.
Champ d’application
Initialement, la rapporteure Pilar del Castillo Vera s’est concentrée sur les « données brutes » afin de les distinguer des « données traitées », qui pourraient contenir des secrets commerciaux. Toutefois, le concept de données brutes n’a pas été retenu car les eurodéputés l’ont jugé trop complexe à définir.
Le compromis trouvé portait sur les données à caractère non personnel collectées par les appareils connectés, à l’exclusion des données traitées ou déduites par des « algorithmes propriétaires complexes ». Par exemple, si les données résultent de la combinaison de données collectées par plusieurs capteurs, elles n’entreraient pas dans le champ d’application.
L’accent a été mis sur le type de données plutôt que sur les appareils concernés. En effet, à l’origine, la Commission avait exclu tout appareil conçu principalement pour l’affichage de contenu, tel que les téléviseurs intelligents. Les données traitées pour le compte d’un tiers, comme c’est le cas pour les services cloud, sont également hors du champ d’application.
L’environnement de l’Internet des objets
L’un des principaux points que les eurodéputés ont essayé de clarifier est la complexité des relations économiques entre les acteurs concernés. La proposition de la Commission ne faisait notamment pas de distinction entre le fabricant du produit et le détenteur des données, c’est-à-dire l’organisation qui contrôle les données générées par les utilisateurs des produits.
Tous les fabricants devraient veiller à ce que leurs produits soient conçus de manière à ce que les utilisateurs puissent facilement accéder et partager les données qu’ils ont contribué à générer.
Les eurodéputés ont envisagé trois scénarios possibles lors de l’achat d’un produit.
Premièrement, les fabricants pourraient devenir les détenteurs des données lorsque les utilisateurs signent un contrat détaillant les modalités de partage des données dans le cadre d’un service offert. Dans le cas contraire, les fabricants pourraient décider de ne pas disposer de droits résiduels sur les données générées.
Une troisième option envisagée par les eurodéputés serait que les fabricants ne proposent aucun service et demandent aux utilisateurs un contrat de licence des données pour recevoir les données générées.
Exclusion des contrôleurs d’accès
La proposition initiale contenait une mesure visant à empêcher les utilisateurs de partager les données obtenues avec des plateformes désignées comme contrôleurs d’accès en vertu du règlement sur les marchés numériques (Digital Markets Act, DMA) afin d’éviter la concentration des données entre les mains de quelques entreprises.
Le texte reste essentiellement inchangé dans le rapport du Parlement. La disposition n’empêche toutefois pas le détenteur des données d’en faire autant, ce qui pourrait créer un déséquilibre important du marché.
Accès aux données en B2G
Le règlement sur les données permet aux organismes publics de demander des données détenues par des personnes privées (B2G) dans des circonstances spécifiques. Les eurodéputés ont limité cette possibilité aux seuls cas de nécessité exceptionnelle, tels qu’une catastrophe naturelle.
L’accès en B2G dans les situations ne présentant pas un caractère d’urgence est également possible, mais le règlement ne fournirait pas de base juridique pour les données, qui devrait être établie en vertu du droit européen ou national.
Des garanties supplémentaires ont été ajoutées afin de protéger les détenteurs de données, notamment en rendant les demandes de données plus spécifiques et en empêchant les organismes publiques de publier les données ou de les partager avec une autre entreprise.
Secrets commerciaux
Les secrets commerciaux relevaient de la compétence exclusive de la commission des Affaires juridiques (JURI) du Parlement, qui a renforcé les protections dans tous les scénarios de partage des données, dans la mesure où le détenteur des données pourra convenir avec les utilisateurs des mesures techniques et organisationnelles mises en place pour les protéger et des éventuelles dispositions en matière de responsabilité.
Si l’utilisateur ou un tiers porte atteinte aux secrets commerciaux, le détenteur des données aura le droit de suspendre l’accord de partage des données.
En ce qui concerne spécifiquement le partage en B2G, l’entreprise peut refuser la demande de données si l’organisme public ne prend pas de mesures techniques ou organisationnelles suffisantes.
Compensation et monétisation
Lorsqu’un détenteur de données met des données à la disposition d’une personne qui n’est pas un consommateur, il peut demander une compensation. La compensation serait liée aux coûts techniques auxquels s’ajoute une marge si l’entreprise destinataire n’est pas une PME.
Parallèlement, les eurodéputés souhaitaient autoriser la monétisation des données. Afin de créer un marché rentable, ils ont uniquement donné aux utilisateurs le droit de partager les données obtenues. À leur tour, les détenteurs de données pourront monétiser les données agrégées.
Changement de fournisseur de services cloud
Les dispositions visant à faciliter le changement de fournisseur de services cloud relevaient de la responsabilité de la commission du marché intérieur (IMCO) du Parlement européen. Ce sujet a déjà été largement développé dans nos précédents articles sur le Data Act.
Contrôle d’équité
La proposition de la Commission prévoyait un « contrôle d’équité » visant à empêcher les grandes entreprises à imposer des clauses contractuelles abusives aux petites et moyennes entreprises (PME). Cette disposition a été étendue à toutes les entreprises, quelle que soit leur taille, reprenant ainsi un amendement similaire déposé par le Conseil de l’UE.
Exclusion des PME
Dans son projet de rapport, l’eurodéputée Mme del Castillo Vera a proposé d’étendre aux moyennes entreprises l’exclusion des micro et petites entreprises des obligations relatives au partage des données prévues par le règlement sur les données. L’accord est toutefois revenu sur le champ d’application initial de cette exclusion.
[Édité par Anne-Sophie Gayet]
