La présidence tchèque propose un premier compromis pour la future loi européenne sur les données
Bien qu’elle ne soit à la tête du Conseil que depuis deux semaines seulement, la présidence tchèque a diffusé un premier texte de compromis partiel sur la loi sur les données (Data Act) plus tôt cette semaine. EURACTIV a pu y avoir accès.
Bien qu’elle ne soit à la tête du Conseil que depuis deux semaines seulement, la présidence tchèque a diffusé un premier texte de compromis partiel sur la loi sur les données (Data Act) plus tôt cette semaine. EURACTIV a pu y avoir accès.
Le Data Act est une législation horizontale qui régit les conditions d’accès aux données générées ou collectées via des appareils connectés.
Prague propose un alignement sur les définitions basées sur la législation européenne en matière de protection des données, des exemptions plus larges pour les entreprises de taille moyenne, une division plus stricte entre les dispositions réglementant les relations entre entreprises et entre entreprises et clients, des garanties en ce qui concerne les secrets commerciaux ainsi qu’une interdiction des interfaces truquées (dark pattern en anglais).
Le document servira de base à la discussion technique qui aura lieu lors de la réunion du groupe de travail « Télécommunications » de mardi prochain (19 juillet).
Définitions et champ d’application
Le texte indique les types de données couverts par les différentes sections de la proposition. Les règles ont été appliquées à tout appareil connecté utilisé dans l’UE, quel que soit le lieu où le fournisseur est basé.
Il est important de noter que la définition de produit a été modifiée pour inclure tout objet capable de collecter ou de générer des données et de les communiquer. L’adjectif « mobile » a été supprimé, ce qui aurait exclu des éléments clés tels que les réseaux intelligents ou encore les éoliennes.
Les définitions des termes « données personnelles », « données non personnelles », « consentement » et « personne concernée » ont été ajoutées à propos de la loi européenne sur la protection des données, le règlement général sur la protection des données (RGPD). Le champ d’application des obligations relatives au partage obligatoire des données en vertu du chapitre III a été clarifié pour ne concerner que les relations entre les entreprises.
La proposition précise que les téléviseurs intelligents et les haut-parleurs sont exclus du champ d’application ainsi que d’autres appareils qui transmettent du contenu, alors que les montres connectées sont quant à elles incluses. Les organismes du secteur public ont été inclus en tant qu’utilisateurs potentiels, au même titre que les entreprises et les consommateurs.
Partage des données
Le Data Act introduit le principe selon lequel les utilisateurs d’appareils connectés ou de services connexes doivent pouvoir accéder aux données qu’ils ont contribué à générer ou pourraient déléguer cet accès à un tiers.
Pour la présidence tchèque, ce droit d’accessibilité doit également s’appliquer aux métadonnées, qui fournissent des informations sur le lieu et la manière dont les données ont été générées, et elles doivent être « gratuites par défaut et mises à disposition dans un format structuré, couramment utilisé et lisible par machine ».
Un article a été ajouté pour prévenir les tentatives de coercition, de tromperie ou de manipulation des utilisateurs afin qu’ils n’exercent pas leur droit d’accès et de portabilité des données qu’ils ont contribué à générer. Cette protection contre les techniques de manipulation, également appelées « interfaces truquées », a été étendue à toutes les personnes dont les données sont collectées, qui ne sont pas nécessairement les mêmes que celles de l’utilisateur.
Le texte détaille en outre les garanties offertes au fournisseur de données dans les cas où le destinataire des données fournit des informations incomplètes ou utilise les données pour développer un produit concurrent, ce qui n’est pas autorisé dans le cadre du règlement. Ces garanties s’appliquent également aux utilisateurs qui ont transmis les données à un tiers.
Les utilisateurs pourraient demander que les données soient traitées dans un environnement informatique qui n’est pas celui du fabricant.
Si un appareil ne transmet pas de données à l’extérieur, le fabricant ne serait pas obligé de stocker les données à l’extérieur, sauf si les utilisateurs sont d’accord avec cela. En d’autres termes, le Data Act n’obligerait pas à stocker des données supplémentaires « lorsque cela serait [une mesure] disproportionné par rapport à l’utilisation prévue ».
Relations commerciales
Les obligations de partage des données prévoient une exemption pour les micro et les petites entreprises. Pour les Tchèques, une telle exemption devrait continuer à s’appliquer aux entreprises qui ont atteint une taille moyenne depuis moins d’un an ou pour leurs produits qui sont sur le marché depuis moins d’un an.
En ce qui concerne les relations entre entreprises, le langage a été assoupli pour les détenteurs de données, de sorte qu’ils doivent fournir, à la demande de l’entreprise qui reçoit les données, uniquement des informations prouvant que le niveau d’accès accordé n’était pas discriminatoire.
Le Data Act prévoit une compensation financière pour la mise à disposition des données. Pour les PME, cette compensation devrait être limitée aux coûts réels, sauf si l’entreprise est associée ou liée à une plus grande entreprise. Ces coûts doivent être liés aux coûts de reproduction, de stockage et de diffusion des données, mais pas à la collecte ou à la création des données.
Contrats et secrets commerciaux
Les utilisateurs pourront déléguer ou vendre l’accès aux données à un tiers. Le texte précise désormais que les tiers doivent bénéficier de conditions d’accès équitables, raisonnables, non discriminatoires et transparentes. En cas de désaccord, les deux parties pourront convenir, sur une base volontaire, de se référer à un organe de règlement des différends de leur choix dans n’importe quel État membre de l’UE.
Un nouveau paragraphe introduit l’obligation pour les organismes de règlement des litiges de publier un rapport annuel détaillant le nombre de litiges reçus, leurs résultats et les délais moyens observés, ainsi qu’une évaluation des problèmes courants avec des recommandations sur la manière de les éviter.
Le préambule du texte précise également que la loi n’affectera pas le droit national des contrats sur les questions non abordées par le règlement.
En ce qui concerne les secrets commerciaux, les utilisateurs ou les tiers peuvent être invités à préserver leur confidentialité. Néanmoins, ils ne peuvent pas être un motif pour refuser l’accès aux données « car cela annulerait les effets escomptés de ce règlement ».
Par ailleurs, l’organisation qui fournit les données devrait indiquer quelles données comportent des secrets commerciaux.
