Data Act : les décideurs politiques de l’UE se rapprochent d’un accord sur les secrets d’affaires
L’approche des institutions de l’UE sur la question épineuse des secrets d’affaires dans la nouvelle règlementation européenne sur le partage des données est en train de prendre forme, selon un document consulté par EURACTIV.
L’approche des institutions de l’UE sur la question épineuse des secrets d’affaires dans la nouvelle règlementation européenne sur le partage des données est en train de prendre forme, selon un document consulté par EURACTIV.
Le règlement sur les données est une proposition législative phare visant à règlementer la manière dont les données sont accessibles, partagées et transférées en Europe. Le dossier se trouve actuellement à l’étape finale du processus législatif, à savoir les négociations en trilogue entre la Commission européenne, le Conseil et le Parlement pour parvenir à un accord.
Jeudi (8 juin), la présidence suédoise du Conseil de l’UE a transmis aux représentants des autres États membres un document faisant le point sur les négociations en cours. Le document comprend certains points qui ont fait l’objet d’un accord provisoire et les principales questions en suspens.
Les États membres seront invités à faire part de leur point de vue lors d’une réunion du Groupe « Télécommunications et société de l’information », un organe technique du Conseil, qui se tiendra le 19 juin prochain. Le dossier arrivera également sur le bureau des représentants permanents auprès de l’Union européenne le 23 juin, quelques jours avant le troisième trilogue qui se tiendra le 27 juin.
Secrets d’affaires
La loi sur les données (Data Act) introduit le principe selon lequel les utilisateurs qui contribuent à générer des données, par exemple s’ils possèdent un réfrigérateur intelligent, devraient avoir le droit d’accéder à ces données ou de les transmettre à des tiers autorisés.
Cependant, ces obligations d’accès aux données ont suscité des controverses : dans quelle mesure et sous quelle forme l’organisation qui contrôle les données (le détenteur des données) peut-elle empêcher la divulgation d’informations commerciales sensibles susceptibles de mettre en péril ses intérêts commerciaux ?
« En ce qui concerne les secrets d’affaires, un accord a été trouvé sur les principaux éléments et les positions des deux institutions ont été fusionnées », peut-on lire dans le document. Toutefois, comme il se peut que l’organisation qui détient le secret d’affaires ne soit pas celle qui contrôle les données, le concept de « détenteur du secret d’affaires » a été introduit.
L’idée est que cette organisation recense les données et métadonnées couvertes par les secrets d’affaires et demande au destinataire de mettre en place les mesures proportionnées nécessaires pour préserver leur confidentialité, telles que des clauses contractuelles types, des accords confidentiels ou des protocoles d’accès stricts.
S’il n’y a pas d’accord sur ces mesures de protection ou si elles ne sont pas correctement mises en œuvre, les détenteurs de données peuvent décider de suspendre le partage des données concernées et d’en informer l’autorité compétente.
À leur tour, les destinataires des données peuvent se plaindre auprès de l’autorité compétente ou accepter de porter l’affaire devant un organe de règlement des litiges.
La position du Conseil va jusqu’à donner au détenteur des données le pouvoir de refuser les demandes d’accès lorsqu’il peut prouver qu’il est fort probable qu’il subisse un préjudice économique grave. Toutefois, ce point est toujours en suspens et doit faire l’objet d’une discussion politique.
La présidence suédoise demande notamment aux États membres de préciser s’ils pourraient accepter de « limiter le droit du détenteur des données de refuser le partage des données dans des circonstances exceptionnelles aux seuls cas liés aux difficultés de mise en œuvre dans les pays tiers ».
La gouvernance
Un autre chapitre est consacré à l’architecture de la gouvernance. Le document de la présidence indique qu’il existe un accord de principe sur les tâches assignées aux autorités nationales, mais que des divergences subsistent au sujet du mécanisme de coordination.
Le Parlement européen souhaite un coordinateur des données unique, qui serait responsable de la coordination des activités de mise en œuvre à l’échelle nationale et servant de seul point de contact entre l’hémicycle et le Comité européen de l’innovation dans le domaine des données.
L’approche du Conseil veut que les États puissent nommer une ou plusieurs autorités pour faire appliquer la loi sur les données.
Trois possibilités sont envisagées : confier à une seule autorité le règlement de tous les litiges relatifs aux secrets d’affaires, de tout ce qui concerne le partage des données entre entreprises et administrations publiques ou lui conférer le rôle d’un point de contact unique.
Partage de données B2G
La règlementation sur les données permet aux organismes du secteur public de demander l’accès à des données détenues par des particuliers dans certaines circonstances. Ce chapitre est désormais pratiquement clos.
Les députés européens souhaitaient limiter le champ d’application aux données industrielles tandis que les États membres voulaient également inclure les données personnelles. L’accord trouvé consiste à n’autoriser l’accès aux données personnelles que pour répondre à une situation d’urgence publique.
De plus, lors de l’évaluation des effets du règlement, la Commission a été priée d’examiner l’utilisation des données personnelles dans ce contexte.
Le principe prévoyant que ces demandes de données pourraient avoir lieu pour atténuer les effets d’une situation d’urgence publique ou pour y remédier a été supprimé, car il était déjà couvert par un concept plus large de tâches effectuées dans l’intérêt public.
Les petites et microentreprises, initialement exclues de ces obligations de partage de données, font désormais partie du champ d’application. En ce qui concerne les institutions européennes, le champ d’application de ces dispositions a été limité à la Banque centrale européenne, à la Commission et aux organes de l’Union.
Calendrier
La date exacte de l’entrée en application des nouvelles règles reste à ce stade un autre point en suspens.
Les eurodéputés souhaitent fixer le délai à 18 mois après l’entrée en vigueur du règlement, alors que les États membres de l’UE souhaitent pour leur part proposer un délai de 24 mois.
Là encore, les États membres sont invités par la présidence à faire preuve de flexibilité.
[Édité par Anne-Sophie Gayet]
