Loi sur les données : l’eurodéputée principale insiste sur l’exemption des PME dans l’obligation de partage des données

La rapporteure du Parlement européen pour la loi sur les données a proposé plusieurs changements importants dans son projet de rapport. Il s’agit notamment d’une exemption plus large du nombre d’entreprises concernées par les obligations de partage des données introduites par le règlement.

La loi sur les données est une proposition législative visant à ouvrir un marché pour les données produites par les appareils connectés. Il s’agit de la deuxième étape majeure de la stratégie européenne en matière de données, après l’adoption de la loi sur la gouvernance des données qui a défini un cadre de gouvernance pour le commerce des données industrielles.

L’eurodéputée conservatrice Pilar del Castillo Vera a partagé son projet de rapport avec ses collègues mercredi (14 septembre). Le rapport, vu par EURACTIV, est le résultat d’une partition complexe des compétences entre les différents organes internes du Parlement européen.

Mme Del Castillo a focalisé son travail préliminaire sur les compétences exclusives de sa commission sectorielle, à savoir les parties qui définissent comment et sous quelles conditions les utilisateurs et les organismes publics pourront accéder et partager des données.

« Les données, et notamment les données industrielles, constituent un atout concurrentiel croissant pour l’Europe, un avantage compétitif que, dans le contexte économique actuel et dans le cadre d’une concurrence internationale rude, l’Europe doit optimiser », écrit l’eurodéputée dans l’exposé des motifs joint au rapport.

La portée 

Elle a proposé de préciser quelles catégories de données se rapportent à chaque chapitre du règlement. Ainsi, la partie relative aux droits d’accès et de partage des données des utilisateurs concernerait tout type de données personnelles ou non personnelles produites par les appareils connectés.

En revanche, la partie consacrée à l’accès du secteur public s’appliquerait à « toute donnée du secteur privé, en mettant l’accent sur les données non personnelles ».

Pour les appareils connectés, la législatrice a inclus des métadonnées « afin d’éviter le risque d’un manque d’utilisabilité et d’une mauvaise interprétation des données reçues. » À l’inverse, les données traitées ont été exclues pour protéger les secrets commerciaux.

L’Internet des objets (IdO) qui se trouvent encore en phase de développement ou qui n’ont pas encore été lancés sur le marché ont également été exclus du champ d’application, une mesure considérée comme renforçant la protection des droits de propriété intellectuelle.

L’exemption des PME

Pour Mme del Castillo, il existe le risque de surcharger les petites et moyennes entreprises
« en leur imposant des contraintes supplémentaires en matière de conception des produits qu’elles conçoivent ou fabriquent, ou des services connexes qu’elles pourraient fournir ».

C’est pour cette raison que la législatrice a proposé d’étendre l’exemption des obligations de partage des données, tant envers les utilisateurs qu’envers le secteur public, des micro et petites entreprises aux entreprises de taille moyenne.

Complexité de la chaîne d’approvisionnement

Selon la rapporteure, l’un des principaux défis de la loi sur les données réside dans le fait qu’il s’agit d’une législation horizontale qui affectera des modèles commerciaux, des produits et des services extrêmement différents.

Afin de tenir compte les besoins des différents secteurs, le projet de rapport indique que la manière dont les données sont partagées entre les entreprises devrait être définie par des accords contractuels. Ces derniers devraient être équitables, raisonnables, non discriminatoires et transparents.

Secrets commerciaux

Ces accords doivent définir si les données obtenues peuvent être utilisées pour tester de nouveaux produits, substances ou procédés.

En outre, la protection des organisations détenant les données a été renforcée contre l’utilisation ou la divulgation non autorisée des données, notamment pour développer des produits concurrents, ce qui n’est pas autorisé par le règlement.

Gouvernance

La rapporteure a présenté plusieurs propositions visant à renforcer la coordination entre les autorités compétentes en ce qui concerne leur travail de surveillance, le traitement des plaintes et le régime de sanctions. Il s’est explicitement inspiré du cadre de gouvernance de la loi sur les services numériques.

En particulier, la coordination entre les autorités nationales a été déléguée au Conseil européen de l’innovation des données, un organe consultatif créé en vertu de la loi sur la gouvernance des données. Les autorités nationales devront ainsi informer leurs pairs de l’ouverture d’une enquête et fournir une assistance mutuelle sur demande.

Accès au secteur public 

Dans la section consacrée à l’accès des autorités publiques aux données détenues à titre privé, le projet de rapport introduit l’obligation pour l’organisme public de faire rapport à l’organisation concernée dans les trois mois suivant la réception des données sur la manière dont elles ont été traitées.

De plus, l’eurodéputée veut charger la Commission de développer une base de données des demandes d’accès aux données qui permettrait d’éviter les demandes redondantes. L’exécutif européen devrait également centraliser ces demandes au cas où un besoin exceptionnel concernerait plusieurs pays.

La rapporteure a également précisé que les demandes d’accès motivées par des urgences publiques liées à la santé publique ou à des catastrophes naturelles sont les seules qui devraient être gratuites. Dans tous les autres cas, l’organisation fournissant les données pourrait demander le remboursement des frais encourus.

Les exigences imposées aux autorités publiques qui demandent des données privées ont été renforcées par l’introduction d’un libellé plus fort concernant la cybersécurité, la confidentialité et la transparence.