Data Act : les institutions européennes finalisent l’accord sur le règlement relatif aux données industrielles

FzqVyMFacAcAb7z — Les représentants du Conseil de l’UE, du Parlement et de la Commission après le dernier cycle de négociations sur le règlement sur les données à Bruxelles, Belgique. [[European Commission]]

Les décideurs politiques de l’UE sont parvenus à un accord politique sur le règlement sur les données (Data Act) en dernière minute mardi (27 juin).

Le règlement sur les données est une législation historique destinée à supprimer les obstacles à la circulation des données non personnelles en réglementant les droits et obligations de tous les acteurs économiques impliqués dans la production et la consommation de produits de l’Internet des objets — des dispositifs connectés capables de collecter et de partager des données.

Avec l’accord de mardi, le Conseil de l’UE, le Parlement et la Commission ont trouvé un accord sur les aspects les plus importants de la législation sur les données, qui est maintenant prête à être adoptée formellement alors que le texte sera peaufiné au niveau technique dans les jours à venir.

« Le règlement sur les données garantira que les données industrielles sont partagées, stockées et traitées dans le plein respect des règles européennes. Il créera une économie des données florissante, innovante et ouverte, mais dans le respect de nos conditions européennes », a déclaré le commissaire européen au Marché intérieur Thierry Breton.

L’UE s’apprête à conclure un accord sur le Data Act

Partage des données

Le règlement sur les données introduit le principe selon lequel les utilisateurs de produits de l’Internet des objets (IdO), tels que les ponts intelligents, doivent avoir le droit d’accéder aux données qu’ils ont contribué à générer, de les porter ou de les partager avec un tiers de leur choix sur la base d’accords contractuels.

Les données couvertes par ces obligations de partage sont celles qui « représentent la numérisation des actions et des événements de l’utilisateur », résultant des actions des utilisateurs de manière intentionnelle, indirecte ou en mode veille.

Les données personnelles devront être rendues anonymes conformément aux règles de l’UE en matière de protection des données. Ce partage de données devra se faire de manière standardisée et en temps réel, par exemple avec les données géographiques d’une voiture connectée.

Le champ d’application territorial des obligations de partage des données a été un sujet de controverse. Comme il n’était pas clair comment les exigences relatives aux destinataires des données pourraient être appliquées si l’organisation est basée en dehors de l’UE, l’accord exige que les destinataires soient établis en Europe.

Les eurodéputés adoptent leur position officielle sur le Data Act

Secrets commerciaux

Un autre sujet controversé était de s’assurer que les obligations de partage des données ne conduisent pas à la divulgation d’obligations commercialement sensibles. Les pays de l’UE ont fait pression pour des protections plus strictes, tandis que les eurodéputés craignaient que l’introduction d’exceptions étendues ne compromette l’objectif même du règlement.

Une « pause d’urgence » a été introduite, permettant aux opérateurs susceptibles de subir des « pertes économiques graves et irréparables » mettant en péril leur viabilité économique de refuser l’accès aux données liées au secret commercial.

Ces cas doivent être notifiés aux autorités nationales compétentes, qui doivent examiner la décision en temps utile.

Une autre exception concerne les exigences de sécurité spécifiques qui pourraient être compromises par le partage des données. Les données traitées au moyen d’« algorithmes propriétaires » complexes ont également été exclues du champ d’application du règlement.

Le législateur européen a introduit la notion de détenteur de secret commercial, à distinguer du détenteur de données, l’organisation qui contrôle les données. Les définitions ont été alignées sur la directive européenne relative aux secrets d’affaires.

Data Act : la protection du secret d’affaires doit constituer l’exception et non la règle, selon la Commission

Marchés des données

L’aspect le plus important du règlement sur les données est peut-être le fait qu’il tente d’établir des marchés de données descendants basés sur les règles pour les intermédiaires de données en vertu du règlement sur la gouvernance des données (Data Governance Act).

En particulier, le Parlement européen a introduit le principe selon lequel les propriétaires d’appareils connectés et les fabricants de produits peuvent tirer profit des données générées en les partageant, en les vendant ou en les concédant à d’autres entreprises, telles que des start-ups ou des chercheurs.

Les utilisateurs peuvent monétiser les données granulaires non personnelles, tandis que les détenteurs de données peuvent concéder des licences sur les données industrielles agrégées.

En outre, les détenteurs de données qui mettent les données à la disposition d’une autre entreprise auront le droit de recevoir une compensation non discriminatoire et raisonnable pouvant inclure une marge.

Accès des organismes publics

Le règlement sur les données permettra également aux organismes publics d’accéder aux données détenues par des particuliers dans certaines circonstances. Les entreprises privées devront discuter des données personnelles et non personnelles dans les situations d’urgence publique telles que les pandémies.

Les utilisations non urgentes ont été limitées aux données industrielles, ce qui signifie que les autorités publiques ne peuvent demander l’accès aux données personnelles que dans des situations d’urgence ou de crise publique. En outre, les dispositions permettant aux autorités publiques de demander les données ont également été rendues plus prescriptives afin de préserver la valeur des données et d’éviter les abus.

Partage de données entre entreprises et administrations : les institutions européennes se rapprochent d’un accord

Marchés du cloud

La législation comporte une partie spécifique destinée à prévenir ce que l’on appelle l’« effet de verrouillage » et à supprimer les obstacles au passage d’un fournisseur à l’autre.

Un point controversé de cette discussion était la notion d’équivalence fonctionnelle, qui exigerait que le fournisseur initial de services d’informatique dématérialisée maintienne la même fonctionnalité dans le nouvel environnement.

Ce concept a été affiné pour préciser que le service destinataire doit fournir un « résultat matériellement comparable en réponse à la même entrée ».

Les fournisseurs de services en cloud n’ont pas le droit d’imposer ou de supprimer des obstacles qui empêcheraient les clients de dégrouper différents services en cloud. Les obligations de transparence ont également été renforcées, les conditions de commutation et les limitations techniques devant être divulguées.

Le projet de loi oblige également toutes les parties à collaborer de bonne foi tout au long du processus de changement de fournisseur.

Gouvernance

Le modèle de gouvernance est une autre question cruciale qui a été résolue lors de la dernière session de négociation, car les pays de l’UE voulaient éviter d’avoir à créer un nouvel organisme.

Les députés ont introduit la fonction de coordinateur des données, qui sera le point de contact unique pour les entreprises et les autorités d’autres pays de l’UE, mais les mesures d’application pourraient être réparties entre différentes autorités.

Calendrier

Le règlement sur les données commencera à s’appliquer 20 mois après son entrée en vigueur.

Les nouveaux produits devront répondre aux exigences de conception pour rendre les données facilement accessibles après une année supplémentaire. Les contrats existants sur les produits de l’Internet des objets seront modifiés au bout de cinq ans.

Data Act : les décideurs politiques de l’UE se rapprochent d’un accord sur les secrets d’affaires

[Édité par Anne-Sophie Gayet]

Policy areas

Data Act : les institutions européennes finalisent l’accord sur le règlement relatif aux données industrielles

Partage des données

Secrets commerciaux

Marchés des données

Accès des organismes publics

Marchés du cloud

Gouvernance

Calendrier

Adhésion de l’Albanie à l'UE : un projet de station balnéaire du gendre de Trump crée un nouvel obstacle

EXCLUSIF : L'UE envisage d'exclure les hommes ukrainiens d'âge militaire du dispositif de protection prolongée

« Un signal d'alerte clair » : la guerre en Iran exacerbe les craintes des entreprises de l'UE

EXCLUSIF : Chasse aux sorcières secrète contre un lanceur d'alerte au CESE

Les capitales s'indignent alors que von der Leyen puise dans le budget de l'aide pour financer des accords commerciaux

« Il y a trois choses qu’on ne peut pas prédire : Dieu, le sexe et l’UE », selon Rama

Picierno reste en poste malgré les pressions des socialistes pour qu'elle démissionne

Bruxelles veut proposer un outil « dédié » pour réduire sa dépendance vis-à-vis de la Chine

Les centres de retour de l'UE dévoilés d'ici l'automne, selon un ministre néerlandais

« Un signal d'alerte clair » : la guerre en Iran exacerbe les craintes des entreprises de l'UE

données

Partage de données biométriques : une eurodéputée questionne les discussions UE–États-Unis sur les visas

Un tribunal berlinois contraint X à ouvrir ses données à des chercheurs sur les élections hongroises

WhatsApp remporte son procès contre les autorités européennes chargées de la protection des données

Data Act

Simplification : Bruxelles veut tailler dans ses lois numériques pour accélérer l’IA européenne

Les Socialistes et Démocrates fixent des limites à la refonte des règles numériques de l’UE

Souveraineté dans le cloud : des géants industriels européens condamnent la dernière décision de l’agence cyber de l’UE