L’UE s’apprête à conclure un accord sur le Data Act
Les institutions européennes devraient parvenir à un accord politique sur le règlement sur les données (Data Act) la semaine prochaine, alors que les discussions se poursuivent sur les secrets d’affaires, la gouvernance et le champ d’application territorial, entre autres.
Les institutions européennes devraient parvenir à un accord politique sur le règlement sur les données (Data Act) la semaine prochaine, alors que les discussions se poursuivent sur les secrets d’affaires, la gouvernance, le champ d’application territorial, la sécurité des produits et le délai de mise en application.
La loi sur les données est une proposition législative visant à règlementer l’accès aux données industrielles et leur partage. Le dossier entre dans la dernière étape du processus législatif, un accord étant attendu dès mardi prochain (27 juin) entre le Conseil de l’UE, le Parlement et la Commission dans le cadre de ce que l’on appelle les trilogues.
La présidence suédoise du Conseil de l’UE a transmis mardi (20 juin) un document actualisé donnant un aperçu des principaux changements. Ce document porte également sur la question politique en suspens concernant la demande d’un mandat de négociation actualisé lors de la réunion du Comité des représentants permanents (COREPER) qui se tiendra vendredi (23 juin).
Obligations de partage des données
Le Data Act introduit le principe selon lequel les utilisateurs d’appareils connectés devraient pouvoir accéder aux données qu’ils contribuent à générer ou les partager avec un tiers.
Le chapitre règlementant le partage des données entre une entreprise et un client (B2C) et entre entreprises (B2B) a été largement approuvé et n’a fait l’objet que de modifications mineures visant à mieux définir « les données entrant dans le champ d’application du règlement et à clarifier les droits et obligations des différents acteurs », peut-on lire dans le document.
L’amendement le plus important concerne la distinction introduite par le Parlement européen entre les « données relatives aux produits », à savoir les données générées par l’utilisation d’un produit connecté, et les « données relatives aux services connexes », qui correspondent à la numérisation des actions des utilisateurs utilisant ces produits.
Par ailleurs, le concept horizontal de « données aisément disponibles » a été maintenu pour désigner les données qui peuvent être obtenues sans effort disproportionné.
Secrets d’affaires
Les modalités de protection des informations commerciales sensibles lors de la communication de données à une autre entreprise restent un point sensible. Toutefois, des progrès significatifs ont déjà été accomplis pour rapprocher les positions des gouvernements de l’UE et des eurodéputés.
La présidence suédoise demande aux représentants nationaux de faire preuve de souplesse pour introduire le concept de « détenteur de secret d’affaires » dans le but de faire la distinction entre les situations où le détenteur des données n’est pas le même que celui qui est concerné par les informations commerciales sensibles dont il est question.
En outre, les États membres sont invités à se mettre d’accord pour limiter à des circonstances exceptionnelles la possibilité pour les détenteurs de données de refuser les demandes d’accès aux données.
Changement de fournisseur de services cloud
Le règlement sur les données comprend également des mesures visant à supprimer les obstacles au passage d’un fournisseur de services cloud à un autre.
« La révision de ce chapitre visait à rendre la disposition relative au passage effectif d’un fournisseur à l’autre plus claire et plus largement applicable, conformément au mandat du COREPER », peut-on lire dans la note de la présidence suédoise du Conseil.
Certains amendements apportés par le Parlement européen ont été pris en considération, notamment l’introduction d’une obligation pour les fournisseurs de services cloud de ne pas imposer d’obstacles à ces changements de fournisseurs ou de les lever s’ils existent.
Les eurodéputés ont également inclus des obligations qui imposent aux fournisseurs de services cloud d’informer sur les conditions de commutation et les limitations techniques correspondantes, en plus d’un registre actualisé détaillant les structures et formats de données.
En outre, un nouvel article dispose que toutes les parties impliquées dans le processus de changement de service doivent collaborer de bonne foi pour assurer le transfert des données en temps voulu et maintenir la continuité du service.
Gouvernance
En ce qui concerne la structure de gouvernance, les eurodéputés et les États membres de l’UE ne sont pas d’accord sur la nécessité d’un point de contact unique, un « coordinateur des données », pour toutes les mesures d’exécution prises au titre de ce règlement à l’échelon national.
La présidence suédoise estime que certaines concessions doivent être consenties, en attribuant des tâches intersectorielles supplémentaires à une autorité compétente, qui pourraient avoir trait aux secrets d’affaires, au partage des données avec les organismes publics ou à l’ensemble du règlement sur les données.
Champ d’application territorial
Le champ d’application territorial du règlement est l’un des points sur lesquels les colégislateurs de l’UE sont le plus divisés. Le Conseil de l’UE souhaite le rendre applicable quel que soit le lieu où se trouve le destinataire des données ; le Parlement,de son côté, est sceptique quant à la possibilité de l’appliquer en dehors de l’UE.
La présidence suédoise du Conseil a demandé aux États membres s’ils étaient prêts à s’orienter vers un champ d’application plus limité, une option soutenue par les députés européens, qui permet aux détenteurs de données de refuser les demandes d’accès aux données émanant d’entités établies en dehors de l’Europe.
Sécurité des produits
Le mandat du Parlement européen comprend une disposition permettant aux utilisateurs et aux détenteurs de données de convenir par contrat de restreindre l’accès, l’utilisation ou le partage ultérieur des données, en particulier dans des situations susceptibles de nuire gravement à la santé et à la sécurité des personnes.
Aucune disposition de ce type n’a été incluse dans le texte du Conseil, bien que la question ait été débattue. La présidence a demandé aux États membres s’ils sont disposés à l’accepter.
Partage de données B2G et délai de mise en application
La loi sur les données autorise les organismes publics à demander à des entreprises privées de leur fournir des données dans des circonstances spécifiques. Le partage des données personnelles a été limité aux cas d’urgence publique, la Commission européenne étant chargée d’évaluer cette disposition.
La question du délai de mise en application du règlement devra également être discutée, le Parlement souhaitant un délai de 18 mois et le Conseil des ministres de l’UE préférant un délai de 24 mois.
[Édité par Anne-Sophie Gayet]
