La Commission européenne a publié en juin 2022 sa proposition de règlement sur les règles harmonisées concernant l’accès équitable aux données et leur utilisation (« règlement sur les données » / « Data Act »), venant compléter le Data Governance Act.
Ce texte vise à supprimer les obstacles à la circulation des données non personnelles au sein du marché unique en établissant des règles pour déterminer qui peut accéder à quelles données, à quelles fins et dans quel cadre.
La dimension transversale du texte implique qu’il sera applicable, ou pourra être mobilisé, par tous les secteurs d’activités. Il sera dès lors nécessaire, à partir de son entrée de vigueur, de prêter une attention particulière aux obligations prévues par ce texte majeur et de qualifier le rôle des intervenants dans les flux de données (détenteur, utilisateur, destinataire ou partie à un contrat notamment).
Voici un rapide panorama des principaux chapitres selon le cinquième projet de compromis rédigé sous Présidence suédoise du Conseil de l’Union européenne le 21 février 2023. Le texte entrant en phase de trilogue, il sera susceptible d’être modifié.
En l’état, il est à noter que le texte vise les données à caractère personnel et non personnel. Cependant, l’article 1(3) dispose que le droit de l’Union et le droit national relatif à la protection des données à caractère personnel s’appliquent aux données à caractère personnel. Le texte est ainsi sans préjudice du règlement (UE) 2016/679 (RGPD) et de la directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications électroniques. L’articulation entre ces textes est parfois précisée dans les chapitres du Data Act.
La création d’un droit d’accès aux données générées par les produits connectés et des services liés.
Ce chapitre crée une obligation de rendre accessibles à l’utilisateur les données générées par l’utilisation de produits connectés ou de services connexes.
Ainsi, les produits concernés doivent être conçus, par défaut, de manière à rendre les données générées accessibles à l’utilisateur (qui peut être une personne physique ou morale). Des informations devront également être portées à la connaissance des utilisateurs avant la conclusion d’un contrat relatif à l’achat ou à la location d’un produit ou d’un service lié. Ces informations devront être fournies en plus de celles prévues par le RGPD, le cas échéant.
Le détenteur des données doit les rendre accessible sur demande quand elles ne sont pas directement accessibles par l’utilisateur du produit. Cette mise à disposition des données ainsi que les métadonnées nécessaires pour interpréter et utiliser ces données, doit être
« sans retard injustifié, gratuitement, facilement, en toute sécurité, dans un format structuré, couramment utilisé et lisible par machine et, le cas échéant, de la même qualité que celle dont dispose le détenteur des données, en continu et en temps réel ».
Afin de garantir l’efficacité de ces dispositions, le texte prévoit que les clauses contraires ne sont pas contraignantes.
Ce droit d’accès n’est en revanche pas sans limites et le détenteur pourra décliner l’exercice du droit dans, notamment, deux situations.
Premièrement, le détenteur pourra refuser de partager les données quand des données couvertes par le secret des affaires risquent d’être dévoilées malgré les mesures mises en place par l’utilisateur. Ce droit d’accès pourra être également refusé quand le détenteur des données peut démontrer qu’il souffrirait d’un dommage sérieux en cas de, notamment, la divulgation d’un secret des affaires et ce, en dépit des mesures de protection proposées par l’utilisateur.
Deuxièmement, l’utilisateur ayant obtenu les données ne peut développer un produit concurrent et ne peut partager les données à des tiers à cette fin.
Afin de stimuler l’innovation par la circulation des données, le Data Act prévoit que l’utilisateur peut partager les données obtenues avec des tiers, dans les conditions fixées aux articles 8 (conditions) et 9 (compensations). Encore ici, des limites à ce partage sont prévues : les contrôleurs d’accès ne peuvent être bénéficiaires ; le tiers ne peut accéder aux données en profitant des lacunes du détenteur des données ; il ne peut pas non plus déduire de ces données des informations sur la situation économique du tiers bénéficiaire ; le détenteur des données peut refuser l’accès s’il peut démontrer qu’il souffrirait d’un dommage sérieux en cas de, notamment, la divulgation d’un secret des affaires.
Enfin, l’article 35 dispose que dans le cadre du droit de l’utilisateur d’accéder et d’utiliser les données générées (article 4) et du droit de l’utilisateur de partager les données avec des tiers (article 5), le droit sui generis sur les bases de données ne s’applique pas lorsque les données sont obtenues depuis ou générées par un produit connecté ou ses services liés.
La création d’obligations horizontales applicables aux détenteurs de données contraints de mettre à disposition des données dans les relations B2B.
Le chapitre III est applicable seulement dans les relations B2B. Il introduit des conditions et modalités du partage des données d’une part dans le cadre du chapitre II, et d’autre part en vertu d’autres obligations prévues par le droit européen ou national adopté en accord avec le droit européen. Ces obligations sont, à ce stade, applicables seulement pour les textes entrant en vigueur après l’entrée en vigueur du Data Act.
La mise à disposition des données doit être effectuée dans des conditions équitables, raisonnables, non discriminatoires et de manière transparente. Toute stipulation contractuelle contraire aux dispositions de ce chapitre n’est pas contraignante pour les parties.
Des organismes de règlement des litiges certifiés sont également créés.
Création de clauses contractuelles abusives relatives à l’accès et à l’utilisation des données.
Ce chapitre IV prévoit qu’est considérée comme déloyale une clause qui a été imposée unilatéralement et qui est de nature à déroger notablement aux bonnes pratiques commerciales en matière d’accès et d’utilisation des données, contrairement à la bonne foi et à l’utilisation loyale. Le caractère déloyal de la clause peut résulter de l’objet ou de l’effet de la clause, quand elles ne sont pas présumées comme telles.
Obligation de mise à disposition des données à certaines entités publiques.
Ce chapitre V prévoit que les détenteurs de données non personnelles doivent les mettre à disposition des autorités publiques sur requête, en cas de « besoin exceptionnel ».
Cette notion renvoie aux situations d’urgence publique ainsi qu’aux situations dans lesquelles l’absence de données disponibles empêche les autorités de réaliser une mission particulière dans l’intérêt du public.
Dans les cas d’urgence publique, la requête de données à caractère personnel devrait être justifiée et préciser les mesures techniques et organisationnelles mises en œuvre pour préserver les données. S’il n’est pas possible de démontrer une urgence publique, les données à caractère personnel ne peuvent être utilisées qu’en l’existence de dispositions légales en ce sens.
Facilitation du changement de fournisseur de services de traitement de données.
Le chapitre VI s’applique à l’ensemble des fournisseurs de services de traitement de données et de leurs clients. Les fournisseurs doivent faire en sorte que les clients puissent s’orienter vers un autre fournisseur. Ici encore, des clauses devront être prévues par les contrats de fourniture de services de traitement de données.
Les obligations prévues par ce chapitre visent à supprimer les barrières au changement de fournisseur. Des modalités techniques au changement s’ajoutent également à l’article 25 relatif à la fin progressive (dans les 3 ans) des frais de sortie et de changement et à l’article 24 sur les stipulations contractuelles.
Les accès internationaux illicites par les entités gouvernementales et transferts de données non personnelles.
Ce chapitre VII s’inspire des dispositions prévues par le RGPD limitant les transferts de données dans des pays tiers. Il tend ainsi à empêcher les accès gouvernementaux ou les transferts de données non personnelles contraires à la législation de l’UE ou à la législation nationale de l’État membre concerné. Les fournisseurs de services de traitement de données doivent par conséquent prévoir des mesures techniques, juridiques et organisationnelles, et des accords contractuels, pour empêcher ces flux illicites.
En présence d’accords internationaux, ces obligations ne s’appliqueront pas.
En conclusion, ce texte complexe conduira l’ensemble des acteurs manipulant des données à s’interroger sur ses droits et obligations, sous peine de sanctions qui seront prévues par les États membres.
