Posted by 
Encourager l’innovation en facilitant l’accès aux données émanant d’objets connectés en contrepartie d’une compensation juste, équitable et proportionnée.
Ce règlement établit un cadre harmonisé précisant qui dispose du droit d’utiliser les données relatives au produit ou les données relatives au service connexe, dans quelles conditions et sur quel fondement.
Proposition de règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données) et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) (COM(2022)0068)
Eléonore Scaramozzino, Avocat Partenaire Constellation Avocats
Le Parlement européen et le Conseil sont parvenus à un accord politique sur le projet de règlement des données en juin 2023. Le Data Act a été adopté le 8 novembre au Parlement européen par 481 votes pour, 31 contre et 71 abstentions. Il a fait l’objet d’un accord entre le Parlement européen et Conseil. Il devra maintenant être approuvé formellement par le Conseil.
Dans le cadre du plan d’action de la Commission européenne présenté en février 2020 pour la souveraineté numérique de l’Europe à l’horizon 2030, un premier acte avait été adopté le 30 mai 2022 (le Data Governance Act). Applicable dès septembre 2023, il vise à favoriser et encadrer le partage de données personnelles et non personnelles via des services d’intermédiation de données. Le règlement comporte un encadrement ainsi qu’une assistance technique et juridique facilitant la réutilisation de certaines catégories de données protégées du secteur public (informations commerciales confidentielles, propriété intellectuelle, données personnelles) ; une certification obligatoire pour les fournisseurs de services d’intermédiation de données et une certification facultative pour les organismes pratiquant l’altruisme en matière de données.
DATA ACT
Le Data Act a pour objectif d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, notamment liées à l’utilisation des objets connectés et au développement de l’Internet des objets.
Le règlement sur les données reprend les principes énoncés dans les recommandations de la Conférence sur l’avenir de l’Europe (COFOE), en particulier les propositions 31(7), 35(7) et 35(10), qui visent à créer une économie numérique solide et équitable. Il fait écho aux propositions de la Conférence en plaidant en faveur d’une infrastructure de données résiliente qui respecte les valeurs et les principes européens.
L’objectif du Data Act est de libérer le potentiel des données afin de développer des connaissances précieuses pour des secteurs tels que la science, la santé ou l’action climatique. Le Data Act permet un droit plus effectif à la portabilité des données en vue de faciliter l’innovation et de promouvoir la concurrence, ainsi que de permettre aux consommateurs de contrôler de manière significative la manière dont leurs données générées par l’utilisation des objets connectés sont utilisées.
Les produits connectés qui, au moyen de leurs composants ou systèmes d’exploitation, obtiennent, génèrent ou collectent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques, d’une connexion physique ou d’un accès sur un appareil, souvent appelés “l’internet des objets”, devraient relever du champ d’application du présent règlement, à l’exception des prototypes.
Objectifs
Articulation entre le RGPD et le Data Act
Le droit fondamental à la protection des données à caractère personnel est garanti notamment par les règlements (UE) 2016/6791 et (UE) 2018/17252 du Parlement européen et du Conseil. En outre, la directive 2002/58/CE du Parlement européen et du Conseil protège la vie privée et la confidentialité des communications, notamment en prévoyant des conditions régissant tout stockage de données à caractère personnel et à caractère non personnel dans un équipement terminal et tout accès à ces données à partir dudit équipement. Le projet de règlement complète les dispositions du droit de l’Union relatives à la protection des données à caractère personnel et à la vie privée.
Aucune disposition du règlement ne devrait être appliquée ou interprétée de manière à réduire ou à limiter le droit à la protection des données à caractère personnel ou le droit à la vie privée et à la confidentialité des communications.
Le règlement ne constitue pas une base juridique pour la collecte ou la génération de données à caractère personnel par le détenteur de données. Il impose aux détenteurs de données l’obligation de mettre des données personnelles à la disposition des utilisateurs ou de tiers choisis par un utilisateur à la demande dudit utilisateur. Un tel accès devrait être donné aux données à caractère personnel qui sont traitées par le détenteur de données sur le fondement de l’une des bases juridiques mentionnées à l’article 6 du RGPD.
Lorsque l’utilisateur n’est pas la personne concernée, le projet de règlement ne crée pas de base juridique permettant de donner l’accès à des données à caractère personnel ou de mettre des données à caractère personnel à la disposition d’un tiers. Il ne devrait pas être interprété comme conférant au détenteur de données un droit nouveau d’utiliser les données à caractère personnel générées par l’utilisation d’un produit connecté ou d’un service connexe.
Les principes de la minimisation des données ainsi que de la protection des données dès la conception et de la protection des données par défaut sont essentiels lorsque le traitement comporte des risques importants pour les droits fondamentaux des personnes. Compte tenu de l’état des connaissances, toutes les parties au partage de données, y compris le partage de données relevant du champ d’application du règlement, devraient mettre en œuvre des mesures techniques et organisationnelles pour protéger ces droits.
En cas de conflit entre le présent règlement et le droit de l’Union en matière de protection des données à caractère personnel ou de vie privée, ou la législation nationale adoptée conformément audit droit de l’Union, les dispositions pertinentes du droit de l’Union ou du droit national en matière de protection des données à caractère personnel ou de vie privée prévalent.
Champ d’application
Définition de la donnée soumises aux dispositions du DATA ACT
Selon l’Article 2 du règlement, on entend par
| Données | toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels; |
| Métadonnées | une description structurée du contenu ou de l’utilisation des données qui facilite la découverte ou l’utilisation de ces données; |
| « données à caractère personnel » | les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679; |
| “données relatives au produit” | les données générées par l’utilisation d’un produit connecté que le fabricant a conçu pour qu’elles puissent être extraites, au moyen d’un service de communications électroniques, d’une connexion physique ou d’un dispositif d’accès intégré, par un utilisateur, un détenteur de données ou un tiers, y compris, le cas échéant, le fabricant; produit connecté un objet qui obtient, génère ou recueille des données concernant son utilisation ou son environnement, qui est en mesure de communiquer des données relatives au produit par l’intermédiaire d’un service de communications électroniques, d’une connexion physique ou d’un dispositif d’accès intégré et dont la fonction première n’est pas de stocker, de traiter ou de transmettre des données pour le compte de toute autre partie que l’utilisateur. |
| “données relatives au service connexe” | les données représentant la numérisation des actions de l’utilisateur ou des événements liés au produit connecté, enregistrées intentionnellement par l’utilisateur ou générées en tant que produit annexe de l’action de l’utilisateur lors de la fourniture d’un service connexe par le fournisseur; Service connexe un service numérique, autre qu’un service de communications électroniques, y compris un logiciel, qui est connecté au produit au moment de l’achat, ou de la mise en location ou en crédit-bail, de telle sorte que son absence empêcherait le produit connecté d’exécuter une ou plusieurs de ses fonctions, ou qui est ensuite connecté au produit par le fabricant ou un tiers pour ajouter, mettre à jour ou adapter les fonctions du produit connecté |
| “données facilement accessibles”: | les données relatives à un produit et les données relatives à un service connexe qu’un détenteur de données obtient légalement ou peut obtenir légalement à partir du produit connecté ou du service connexe, sans effort disproportionné allant au-delà d’une simple opération; |
Contenu
Partage de données entre entreprises et consommateurs et entre entreprises (Chapitre II)
Le règlement impose que les produits connectés et les service connexes soient conçus et fabriqués, de telle sorte que les données relatives auxdits produits et aux services connexes, y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données, soient, par défaut, facilement accessibles à l’utilisateur, de manière sécurisée sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l’utilisateur (art 3). L’article 4 précise les droits et obligations des utilisateurs et des détenteurs de données concernant l’accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition. L’article 5 précise le droit de l’utilisateur de partager des données avec des tiers. L’article 6 définit les obligations des tiers recevant des données à la demande de l’utilisateur. L’article 7 traite du champ d’application des obligations en matière de partage de données entre consommateurs et entreprises et entre entreprises.
Obligations applicables aux détenteurs de données tenus de mettre des données à disposition en vertu du droit de l’Union (chapitre III)
Le règlement définit les conditions dans lesquelles les détenteurs de données mettent des données à la disposition des destinataires de données (art 8). Il est précisé les exigences relatives à la base de calcul de la compensation (art 9). Pour le règlement des litiges, les utilisateurs, les détenteurs de données et les destinataires de données ont accès à un organe de règlement des litiges (art 10). Un détenteur de données peut appliquer des mesures techniques appropriées de protection relatives à l’utilisation ou à la divulgation non autorisées de données. Ces mesures ne doivent pas être modifiées ou supprimées sauf accord du détenteur de données (art 11). Il définit le champ d’application des obligations applicables aux détenteurs de données tenus au titre du droit de l’Union de mettre des données à disposition (art 12).
Clauses contractuelles abusives relatives à l’accès aux données et à l’utilisation des données entre entreprises (chapitre IV)
Le règlement prévoit qu’une clause contractuelle concernant l’accès aux données et l’utilisation des données ou la responsabilité et les voies de recours en cas de violation ou d’extinction d’obligations liées aux données qu’une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise si elle est abusive. Une clause contractuelle est abusive si elle est d’une nature telle que son utilisation s’écarte manifestement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation des données, contrairement à la bonne foi et à un usage loyal. L’article 13 précise les situations dans lesquelles une clause peut être qualifiée d’abusive pour objet ou pour effet.
Mise à disposition d’organismes du secteur public, de la Commission de la Banque Centrale européenne et d’organes de l’Union de données sur le fondement d’un besoin exceptionnel, (chapitre V)
Le règlement prévoit que lorsqu’un organisme du secteur public, la Commission, la Banque centrale européenne ou un organe de l’Union démontre l’existence d’un besoin exceptionnel, d’utiliser certaines données, y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données, pour exercer ses fonctions statutaires à des fins d’intérêt public, les détenteurs de données qui sont des personnes morales, autres que des organismes du secteur public, qui détiennent ces données les mettent à disposition sur demande dûment motivée (art 14 à 22).
Changement de services de traitement des données (chapitre VI)
Le règlement impose aux fournisseurs de services de traitement de données qu’ils prennent les mesures afin de permettre aux clients de changer de fournisseurs pour passer à un service de traitement de données qui est fourni par un fournisseur de services de traitement de données différent, ou passer à une infrastructure TIC sur site, ou, le cas échéant, recourir simultanément à plusieurs fournisseurs de services de traitement de données. En particulier, les fournisseurs de services de traitement de données n’imposent pas d’obstacles et suppriment les obstacles à tout changement de fournisseur de services de traitement de données différent couvrant le même type de service (art 23-31).
Accès international illicite aux données caractère non personnel et transfert international illicite de ces données par les autorités publiques (chapitre VII)
Les fournisseurs de services de traitement de données prennent toutes les mesures techniques, organisationnelles et juridiques adéquates, y compris des contrats, afin d’empêcher l’accès international des autorités publiques et l’accès des autorités publiques des pays tiers aux données à caractère non personnel détenues dans l’Union et le transfert de ces données lorsque ce transfert ou cet accès risque d’être en conflit avec le droit de l’Union ou le droit national de l’État membre concerné.
Lorsqu’un fournisseur de services de traitement de données est destinataire d’une décision ou d’un jugement d’une juridiction d’un pays tiers ou d’une décision d’une autorité administrative d’un pays tiers imposant de transférer des données à caractère non personnel relevant du champ d’application du règlement et détenues dans l’Union ou d’y donner accès, et lorsque le respect d’une telle décision risquerait de mettre le destinataire en conflit avec le droit de l’Union ou avec le droit national de l’État membre concerné, le transfert de ces données vers cette autorité d’un pays tiers ou l’accès à ces données par cette même autorité n’a lieu que s’il est satisfait à certaines conditions (article 32).
Interopérabilité (chapitre VIII)
Le règlement prévoit des exigences essentielles concernant l’interopérabilité des données, des mécanismes et des services de partage des données ainsi que des espaces européens communs de données. La Commission est habilitée à adopter des actes délégués afin de compléter le règlement en précisant davantage les exigences essentielles prévues à l’article 33.
Droit sui generis prévu par la directive 96/9/CE (chapitre X)
Base de données (art 43) : Le droit sui generis prévu par l’article 7 de la directive 96/9/CE ne s’applique pas lorsque des données sont obtenues à partir d’un produit connecté ou d’un service connexe relevant du champ d’application du règlement ou générées par un tel produit ou service
Le règlement rentrera en application 20 mois après son entrée en vigueur.
A suivre …
