Data Act : la protection du secret d’affaires doit constituer l’exception et non la règle, selon la Commission
La Commission européenne est disposée à introduire un mécanisme de protection des secrets d’affaires dans le règlement sur les données, pour autant qu’il constitue une exception plutôt qu’une règle, peut-on lire dans une note interne.
Selon une note interne consultée par EURACTIV, la Commission européenne est disposée à introduire un mécanisme de protection des secrets d’affaires dans le règlement sur les données (Data Act), pour autant qu’il constitue une exception plutôt qu’une règle.
Le règlement sur les données est une proposition législative qui règlemente la manière d’accéder, de partager et de transférer les données. Ce règlement obligerait notamment les fabricants d’appareils connectés à permettre aux utilisateurs d’accéder aux données qu’ils contribuent à générer et de les partager avec une tierce partie.
Une partie de l’industrie, dont certains poids lourds européens comme Siemens et SAP, s’est opposée avec véhémence au projet de règlement. Elle fait notamment valoir qu’en l’absence de garanties appropriées, les obligations de partage des données nuiraient inévitablement à la compétitivité et forceraient les entreprises à divulguer des informations commercialement sensibles.
Au sein du Conseil de l’UE, les États membres ont introduit le principe selon lequel une organisation peut refuser la divulgation de données si elle peut démontrer que cette divulgation est susceptible d’entraîner de graves dommages économiques.
Pour le Parlement européen, cette mesure donne un droit de veto aux détenteurs de données et leur permet de rejeter les demandes d’accès à celles-ci, ce qui va à l’encontre de l’objectif même du règlement.
« La Commission peut être disposée à envisager de telles garanties, comme le propose le Conseil, tant qu’un tel mécanisme reste une exception à la règle [et] demeure conforme à la directive sur les secrets d’affaires (y compris son objectif et ses principes sous-jacents) et que les textes législatifs empêchent son interprétation extensive ou son usage étendu et qu’une charge disproportionnée sur les PME est évitée », peut-on lire dans la note interne.
Afin de rapprocher les points de vue des colégislateurs de l’UE sur ce point, la Commission semble réceptive aux préoccupations des fabricants en ce qui concerne la meilleure façon de protéger leurs secrets d’affaires, notamment contre la concurrence déloyale et la divulgation illégale de données confidentielles sur le plan commercial.
Selon une source au fait de la question, l’exécutif européen a participé activement aux négociations interinstitutionnelles, dites négociations en trilogue, en défendant ses points de vue et en fournissant des explications techniques. Cet activisme compense en partie le manque de dynamisme de la présidence suédoise, a déclaré la source.
Alors que le plan initial prévoyait de clôturer les trilogues avant la fin du mois de juin, sous la présidence suédoise du Conseil, les observateurs sont de plus en plus convaincus que le dossier finira entre les mains de la présidence espagnole, qui prendra le relais en juillet.
Partage des données B2G
Le prochain trilogue est prévu pour mardi prochain (23 mai). Outre les discussions sur les secrets d’affaires, les responsables politiques de l’UE devraient clore le chapitre du règlement sur les données qui permettrait aux organismes publics de demander l’accès à des données détenues par le secteur privé dans des circonstances précises.
Un aspect crucial de ce chapitre porte sur le type de données, car le Parlement européen fait pression pour exclure les données personnelles du champ d’application de ces dispositions.
En revanche, le Conseil de l’UE a conservé les données personnelles, mais a introduit plusieurs garanties, comme une notification à l’autorité chargée de la protection des données, une justification et des mesures de protection pour les demandes relatives à des situations d’urgence publique ainsi que l’exigence d’une base juridique déterminée pour les demandes.
La Commission tient également à ce que les données personnelles figurent dans le champ d’application et considère que le texte du Conseil offre des garanties suffisantes. Toutefois, l’un des compromis envisagés est de limiter les données personnelles aux demandes portant sur les situations les plus sérieuses.
À cet égard, les eurodéputés veulent supprimer le principe selon lequel les organismes publics peuvent demander des données non seulement pour répondre à une situation d’urgence publique, mais aussi pour y remédier et en atténuer les effets.
Pour la Commission, « la nature de certaines urgences […] peut nécessiter l’obtention de données avant qu’un événement ne se produise (par exemple, un tremblement de terre) ou pour contribuer aux efforts de réparation. Parallèlement, la Commission doit rester flexible ».
Une autre question en suspens porte sur l’inclusion des petites et microentreprises dans le champ d’application des obligations entre entreprises et administrations publiques (B2G), vu que le Conseil de l’UE souhaite les inclure dans des situations spécifiques. Cette extension pourrait être décidée en même temps qu’un droit à la compensation.
Les États membres ont pour leur part proposé de limiter la capacité d’accès aux données à la Commission et à la Banque centrale européenne (BCE), et ce afin de limiter ce chapitre aux seuls organismes publics qui l’utiliseront dans la pratique.
Dans la note de l’exécutif européen, il est également indiqué que, même si le champ d’application de ces dispositions est restreint, les institutions pourraient toujours partager les données avec d’autres institutions de l’UE en cas de besoin exceptionnel.
Autres éléments à approuver
La prochaine réunion politique devrait également permettre d’approuver certains points moins controversés qui ont déjà fait l’objet d’un accord sur le plan technique.
Le texte initial interdisait aux détenteurs de données d’imposer unilatéralement des conditions contractuelles déloyales aux destinataires de données qui sont des PME. Les colégislateurs ont maintenant décidé d’étendre cette protection à toute entreprise, quelle que soit sa taille.
Les organismes du secteur public qui accèdent à des données détenues par le secteur privé pourraient les transmettre à des organismes de recherche et à des organismes statistiques pour des activités d’intérêt public. Les colégislateurs ont convenu de donner au détenteur des données le droit de se plaindre de la transmission ultérieure de données auprès de l’autorité compétente.
Lorsque les données sont partagées entre entreprises, le détenteur des données peut demander une compensation pour la mise à disposition des données, susceptible d’inclure une marge si le destinataire n’est pas une PME. L’exécutif européen sera chargé d’élaborer des lignes directrices pour déterminer les critères de calcul de cette compensation.
[Édité par Anne-Sophie Gayet]
