Accès aux données / Accès direct / détenteur de données / détenteur de données Utilisateur de données

Data Act : Accès aux Données des Objets Connectés

Posted by

Données de l’IoT & Acteurs (I)

Le détenteur de données, l’utilisateur et le Tiers

Règlement (UE) 2023/2854 : règlement sur les données

Eléonore Scaramozzino, Avocate Constellation Avocats

Le Règlement UE 2016/679, règlement général sur la protection des données à caractère personnel, (RGPD), se limite aux traitements des données à caractère personnel. Les traitements sont autorisés uniquement s’ils peuvent être fondés sur l’article 6 (en conjonction avec l’article 9 pour les données de santé). Le règlement UE 2023/2854 sur les données ou plus souvent désigné en anglais Data Act, en vigueur le 12 septembre 2025, doit permet d’accéder aux données générées par l’usage des objets connectés (Internet of Things/IoT). Il s’agit d’une loi horizontale, couvrant tous les secteurs de l’économie. Le droit d’accès et le droit à la portabilité (respectivement articles 15 et 20 du RGPD) sont complétés par les droits d’accès et de partage des données résultant de l’utilisation des objets connectés (articles 4 et 5 du Data Act). Le Data Act crée un droit à la portabilité renforcé, spécifique dans un contexte d’IoT. Les utilisateurs peuvent accéder et transférer toutes les données (personnelles et non personnelles) générées par l’utilisation d’un produit connecté ou d’un service connexe. Ils peuvent le faire indépendamment de la base juridique et, le cas échéant, en temps réel. Les personnes concernées sont donc en mesure de transférer plus facilement leurs données personnelles entre les responsables du traitement (par exemple, les entités proposant des services de réparation et d’entretien).

L’objectif du règlement sur les données est de renforcer le partage des données en établissant des règles sur l’accès, l’utilisation, la valorisation de ces données. Le chapitre III, en particulier, établit un cadre concernant les conditions, l’indemnisation et les mesures techniques de protection lorsqu’un détenteur de données est tenu, en vertu du droit de l’UE ou du droit national, de partager des données avec un destinataire de données. L’un des principaux objectifs de la législation sur les données est de permettre aux fournisseurs de services d’avoir accès à de nouvelles données et de concurrencer sur un pied d’égalité les services comparables proposés par les fabricants. L’interdiction d’utiliser les données auxquelles il est accédé en vertu de ce règlement pour développer un produit connecté concurrent vise à protèger les efforts d’innovation des détenteurs de données. Un produit connecté est en concurrence avec le produit connecté dont proviennent les données dépend de savoir si les deux produits connectés sont en concurrence sur le même marché de produits. Cela doit être déterminé sur la base des principes établis du droit de la concurrence de l’Union pour définir le marché de produits en cause. Cependant, le considérant 32 précise que « des finalités licites de l’utilisation des données pourraient inclure l’ingénierie inverse, pour autant qu’elle respecte les exigences prévues par le règlement ainsi que par le droit de l’Union ou le droit national. Cela peut être le cas aux fins de la réparation ou de la prolongation de la durée de vie d’un produit connecté ou de la fourniture de services après-vente pour des produits connectés ».

Champ d’application

Le data Act n’exige pas que le fabricant ou le fournisseur de services connexes soit établi dans l’UE. Ce règlement établit un droit pour les utilisateurs de l’UE d’accéder, d’utiliser et de partager les données facilement disponibles auxquelles ils ont droit. Tous les produits connectés et services connexes commercialisés dans l’UE doivent donc être conçus de manière à ce que ce droit puisse être exercé.

Toutes les exigences légales doivent être remplies lors de la mise sur le marché du produit connecté ou lors de l’offre du service correspondant. Le service connexe est lié au fonctionnement du produit connecté, et non le lieu d’établissement du fournisseur du service connexe.

Le champ d’application de l’obligation de partage des données imposée aux détenteurs de données est limité aux entités et aux personnes, y compris les consommateurs, dans l’Union (article 1er, paragraphe 3, point b), article 1er, paragraphe 3, point d), et article 2, paragraphe 14). Quel que soit son lieu d’établissement, un détenteur de données a l’obligation légale de partager des données avec une entité ou une personne basée dans l’UE à la demande d’un utilisateur de l’UE. Un utilisateur peut demander à un détenteur de données de partager des données avec une entité ou une personne qui n’est pas établie dans l’UE, mais le détenteur de données n’est pas obligé d’accorder cet accès.

Data Act vs RGPD

En cas de conflit entre les deux règlements, les règles relatives à la protection des données prévalent (article 1er, paragraphe 5, du Data Act). L’article 37, paragraphe 3 prévoit que les autorités chargées de la protection des données personnelles surveilleront l’application du Data Act et peuvent s’appuyer sur le RGPD (considérant 107). De manière plus générale, l’article 44, précise l’interaction entre la législation sur les données et d’autres actes législatifs de l’UE qui incluent des règles sur l’accès et l’utilisation des données.

 Avant d’aborder les acteurs, il convient de préciser quelles sont les données concernées par ce règlement.

DATA du Data Act

Plusieurs facteurs déterminent quelles données sont couvertes par les droits d’accès aux données prévus aux articles 3, 4 et 5. D’une manière générale, les données brutes et prétraitées qui sont facilement accessibles à un détenteur de données grâce à la conception technique du fabricant sont soumises à des obligations de partage des données réglementées par le chapitre II.

Les produits connectés : dont les données générées sont soumises aux obligations de partage (chapitre II)

Considérant 14

  • appareils ménagers intelligents,
  • appareils électroniques grand public, de machines industrielles,
  • appareils médicaux,
  • smartphones et téléviseurs.

Exclusion des règles de partage chapitre II :

  •  Les produits qui remplissent principalement la fonction de stockage, de traitement ou de transmission de données (par exemple, les serveurs et les routeurs), à moins qu’ils ne soient possédés, loués ou loués par l’utilisateur ;
  • les prototypes, car leur étape de fabrication n’est pas terminée.

Les dispositifs médicaux relèvent du Data Act.

catégorie de données article /considérant
données produites par des produits connectés mis sur le marché de l’UE (article 2, 22) même si utilisé à l’extérieur de l’UEDonnées obtenues, générées ou collectées par un produit connecté (IoT, considérant 14) et qui se rapportent à ses performances, à son utilisation ou à son environnement. Les données purement descriptives qui accompagnent le produit connecté (par exemple dans les données du produit, les manuels d’utilisation ou sur l’emballage) ne sont pas des données du produit.   La seule situation dans laquelle les informations « concernant » le produit connecté sont pertinentes est l’obligation de transparence précontractuelle prévue à l’article 3. En cas de (re)vente d’un produit connecté, le vendeur doit se conformer à l’« obligation de transparence ». Le vendeur doit fournir les informations nécessaires au futur propriétaire pour exercer ses nouveaux droits d’accès aux données en vertu du Data Act.  article 2 (15) considérant 15
données de services associés service connexe : 2 conditions : échange de données bidirectionnel entre le produit connecté et le fournisseur de services ; le service doit affecter les fonctions, le comportement ou le fonctionnement du produit connecté.  Données représentant l’action, l’inaction et les événements de l’utilisateur liés au produit connecté lors de la fourniture d’un service connexe.article 2(16) considérants 15 et 17
données facilement disponiblesDonnées de produit et données de service connexes qu’un détenteur de données peut obtenir sans effort disproportionné allant au-delà d’une simple opération. La définition de « données facilement disponibles » ne fait pas référence au moment de leur production ou de leur collectearticle 2 (17) considérant 20 et 21
données brutes et prétraitées + métadonnées en fonction de leur niveau de traitement (enrichissement)les données brutes et les données prétraitées, accompagnées des métadonnées nécessaires pour les rendre compréhensibles et exploitables. Les « métadonnées » sont pertinentes pour comprendre les conditions (par exemple, l’heure, la météo, la localisation) dans lesquelles les données ont été collectées ou générées. le Data Act vise à préserver les incitations à investir dans des technologies de données qui, par exemple, transforment les données, fournissent des informations supplémentaires ou permettent aux processus de prendre des mesures de manière autonome.   Exclusions : données fortement enrichies,données déduites ou dérivées ;données résultant d’investissements supplémentaires (y compris au moyen d’algorithmes propriétaires et complexes). contenus souvent couverts par des droits de propriété intellectuelle (considérant 16 : contenu est protégé par le droit d’auteur)considérant 15     pas d’obligation pour le détenteur des données de réaliser des investissements substantiels dans ces processus. Les utilisateurs, ou les tiers choisis par l’utilisateur, doivent avoir un niveau raisonnable de capacité technique pour interpréter les données. Le titulaire des données est tenu de partager les données de la même qualité que celles qu’il met à sa disposition. Cela signifie que les données doivent être partagées dans un format et une qualité conformes à la façon dont elles seraient partagées avec une autre filiale du même groupe de sociétés ou d’une manière qui s’aligne sur les normes ou les pratiques de l’industrie au sein d’une industrie spécifique.    
Données personnelles vs données non personnellesLes utilisateurs ont le droit d’accéder à toutes les données générées par le produit connecté ou le service associé, qu’elles soient personnelles ou non. Cependant, le traitement des données personnelles est régi par les règles du RGPD, ainsi les droits de l’utilisateur prévus par le data act doivent être exercés conformément au RGPD.considérants 25 et 35
les données soumises au secret d’affairesLe Data Act ne modifie pas les protections juridiques pertinentes pour la protection des secrets d’affaires. La directive de 2016 sur les secrets d’affaires, par exemple, continue de s’appliquer. Le Data Act établit un nouveau mécanisme de protection des secrets d’affaires. Ce mécanisme est connu sous le nom de « frein à main des secrets commerciaux »articles 4 (6)et 5 (9) considérant 31

UTILISATEUR au sens du Data Act

L’article 2, point 12, du Data Act

« utilisateur »: une personne physique ou morale à laquelle appartient un produit connecté ou à laquelle des droits temporaires d’utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes;

Obligation de transparence

  • Les articles 3(2) et 3(3) du data Act obligent les vendeurs, les locataires, les bailleurs ou les fournisseurs potentiels de services connexes, selon le cas, à fournir aux utilisateurs des informations sur les données générées par leur produit connecté ou service connexe.
  • Les utilisateurs doivent être informés de la manière d’accéder aux données générées.

Obligation de communication à l’utilisateur des informations

Avant la conclusion d’un contrat d’achat, de location ou de crédit-bail relatif à un produit connecté

  • obligations à communiquer à l’utilisateur avant la conclusion du contrat
    • Produit connecté (art 3.2) : vendeur, le loueur ou le bailleur, qui peut être le fabricant doit communiquer
      • le type, le format et le volume estimé des données relatives au produit que le produit connecté est capable de générer;
      • si le produit connecté est capable de générer des données en continu et en temps réel;
      • si le produit connecté est capable de stocker des données sur un dispositif intégré ou sur un serveur distant, y compris, le cas échéant, la durée de conservation prévue;
      • la manière dont l’utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d’utilisation et leur qualité de service
  • service connexe (art 3.3.) : le fournisseur du service connexe doit communiquer :
    • la nature, le volume estimé et la fréquence de collecte des données relatives au produit que le détenteur de données potentiel devrait obtenir et, le cas échéant, les modalités selon lesquelles l’utilisateur peut accéder à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation;
      • la nature et le volume estimé des données relatives aux services connexes à générer, ainsi que les modalités selon lesquelles l’utilisateur peut avoir accès à ces données ou les extraire, y compris les modalités de stockage des données du détenteur de données potentiel et la durée de conservation;
      • si le détenteur de données potentiel a l’intention d’utiliser lui-même des données facilement accessibles et les finalités pour lesquelles ces données sont utilisées, et s’il a l’intention d’autoriser un ou plusieurs tiers à utiliser les données pour des finalités convenues avec l’utilisateur;
      • l’identité du détenteur de données potentiel, telle que sa raison sociale et l’adresse géographique à laquelle il est établi et, le cas échéant, des autres parties au traitement de données;
      • les moyens de communication qui permettent de contacter rapidement le détenteur de données potentiel et de communiquer efficacement avec lui;
      •  la manière dont l’utilisateur peut demander à ce que les données soient partagées avec un tiers et, le cas échéant, mettre un terme au partage des données;
      • le droit de l’utilisateur d’introduire une réclamation pour infraction aux dispositions du présent chapitre auprès de l’autorité compétente désignée en vertu de l’article 37;
      • si un détenteur de données potentiel est le détenteur de secrets d’affaires contenus dans les données qui sont accessibles à partir du produit connecté ou générées au cours de la fourniture d’un service connexe, et, lorsque le détenteur de données potentiel n’est pas le détenteur de secrets d’affaires, l’identité du détenteur de secrets d’affaires;
      • la durée du contrat entre l’utilisateur et le détenteur de données potentiel, ainsi que les modalités de résiliation de ce contrat

Obligation de mise à disposition des données

Accès des données générées par le produit connecté ou service connexe par le détenteur de données aux utilisateurs :

  • L’accès direct (art 3.1))signifie que l’utilisateur dispose des moyens techniques d’accéder, de diffuser ou de télécharger les données en question sans avoir à demander au titulaire des données de le faire. Par exemple, un produit connecté dispose d’une interface numérique où l’utilisateur a le contrôle du mécanisme d’accès, de l’interface et des flux de travail, et où l’utilisateur peut extraire directement des données du produit connecté.
  • L’accès indirect (art 4.1)) signifie que le produit connecté ou le service connexe est conçu de telle manière que l’utilisateur est tenu de demander l’accès au détenteur des données (c’est-à-dire un processus d’approbation). Un exemple serait un portail Web où l’utilisateur peut soumettre une demande d’accès aux données.

Tous les produits (et toutes les données) ne sont pas conçus de manière à rendre les données directement accessibles aux utilisateurs. Il peut y avoir des situations où les détenteurs de données préfèrent offrir un accès indirect aux données. Le Data Act incite les titulaires de données à mettre en place les solutions qui leur conviennent le mieux lorsqu’ils doivent se conformer à l’obligation de mise à disposition des données de l’utilisateur.

DETENTEUR DE DONNEES 

Le critère du contrôle d’accès

Généralement les fabricants sont des détenteurs de données, mais il existe des exceptions car le critère pour être qualifié de détenteur de données est celui du contrôle sur l’accès aux données. Le Data Act permet à une entité d’externaliser le rôle de « détenteur de données ». Par exemple, un fabricant peut sous-traiter à une autre entité le rôle de « détenteur de données » pour tout ou partie des produits connectés du fabricant. En outre, un détenteur de données qui n’est pas un fabricant peut être une entreprise qui fournit un service lié à un produit connecté Cela signifie que l’entreprise offrant le service associé peut être un détenteur de données et être différente de l’entreprise qui a réellement fabriqué le produit connecté.

Qui est le détenteur de données ?

Fabricant

Le fabricant est intéressé par la réception et l’utilisation des données, qualifié de détenteur de données dans le contrat de vente, conformément à l’article 3, paragraphe 2, et à l’article 4, paragraphe 13, data Act

Fournisseur de composants générateurs de données

Fournisseur de service connexe

L’accès direct aux données par l’utilisateur ?

L’article 3, paragraphe 1, de la loi sur les données n’oblige pas les fabricants à accorder un accès direct aux données dans toutes les situations et pour tous les produits connectés. Les données devraient être « directement accessibles » à l’utilisateur « lorsque cela est pertinent et techniquement faisable ». L’expression « lorsque cela est pertinent et techniquement réalisable » vise à renforcer le pouvoir discrétionnaire des fabricants de décider s’il convient de concevoir un produit connecté de manière à fournir aux utilisateurs un accès « non contrôlé » (c’est-à-dire sans aucune intervention d’une autre partie) ou d’une manière qui permet un accès avec des contrôles supplémentaires (généralement par l’intermédiaire d’un serveur distant).

Un fabricant peut évaluer :

  • si un accès direct est techniquement possible ;
    • les coûts d’éventuelles modifications techniques ;
    • la difficulté de protéger les secrets d’affaires ou la propriété intellectuelle,
    • la difficulté d’assurer la sécurité du produit connecté.
    • si l’accès direct est pertinent dans un scénario spécifique du point de vue
      • du produit,
      • de l’utilisateur,
      • du détenteur de données.

Sur la base de cette évaluation, les fabricants peuvent choisir de concevoir le produit connecté de manière à ce que tout ou partie des données du produit soient directement accessibles ou ne permettent qu’un accès indirect. Les détenteurs de données peuvent également accéder aux données du produit rendues directement accessibles à un utilisateur.

12 septembre 2025 : les produits sur le marché doivent permettre à l’utilisateur d’accéder aux données.

Considérant 35

Article 4.1

Lorsque l’utilisateur ne peut pas accéder directement à des données à partir du produit connecté ou du service connexe, les détenteurs de données rendent les données facilement accessibles, ainsi que les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données, accessibles à l’utilisateur sans retard injustifié, à un niveau de qualité identique à celui dont bénéficie le détenteur de données, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine et, lorsque cela est pertinent et techniquement possible, en continu et en temps réel. À cet effet, une simple demande est envoyée par voie électronique lorsque cela est techniquement possible

Le Data Act ne modifie pas les protections juridiques applicables (y compris la directive de 2016 sur les secrets d’affaires, qui fournit déjà un cadre juridique pour la protection des secrets d’affaires). Cependant, un détenteur de données peut déterminer unilatéralement quelles sont les données relevant de la protection du secret d’affaires, afin de ne pas empêcher l’exercice des droits d’accès aux données prévus par le data Act.

  • Il s’agit d’un équilibre prudent entre la nécessité d’empêcher les restrictions illégitimes des nouveaux droits d’accès aux données de l’utilisateur et la nécessité de faire respecter la protection juridique accordée aux secrets d’affaire.
  • Le détenteur des données a le droit, avant la divulgation, d’exiger des utilisateurs et des tiers qu’ils préservent la confidentialité et le secret des données relevant de secrets d’affaires en acceptant et en mettant en œuvre les garanties nécessaires à cette fin.

Mécanisme du handbrake?

Frein à main des secrets : articles 4, paragraphe 6, et 5, paragraphe 7

Le data Act introduit un nouveau mécanisme appelé « frein à main des secrets d’affaires (‘trade secrets handbrake’). Lorsque le détenteur de données reçoit une demande d’accès à des données, il doit identifier les secrets d’affaires qui doivent être partagés et convenir avec l’utilisateur/le tiers des mesures nécessaires pour préserver leur confidentialité. Ces mesures de protection doivent être mises en place avant le partage des données.

Les mesures qui pourraient prendre la forme

  • de clauses contractuelles types,
  • d’accords de confidentialité,
  • de protocoles d’accès stricts,
  • de normes techniques,
  • l’application de codes de conduite

pour encadrer les conditions dans lesquelles un détenteur de données peut retenir, suspendre ou, exceptionnellement, refuser de partager des données

Le détenteur des données peut suspendre ou suspendre le partage des secrets d’affaires en l’absence d’accord, si l’utilisateur ou un tiers ne met pas en œuvre les mesures convenues ou si la confidentialité des secrets d’affaires est compromise (articles 4, paragraphe 7, et 5, paragraphe 10). Dans des circonstances exceptionnelles, le détenteur des données peut refuser de partager des secrets d’affaires s’il peut démontrer, sur la base d’éléments de preuve objectifs, qu’il est hautement probable qu’un préjudice économique grave résulterait de la divulgation de secrets d’affaires (articles 4, paragraphe 8, et 5, paragraphe 11).

On entend par « préjudice économique grave » une perte économique grave et irréparable. De telles décisions doivent être prises au cas par cas. Si le détenteur des données estime qu’il doit retenir, suspendre ou refuser de partager des données, il doit en informer l’autorité compétente de l’État membre concerné et communiquer les motifs de sa décision à l’utilisateur ou au tiers dans les meilleurs délais.

Quelles sont les possibilités de recours pour l’utilisateur ou le tiers en cas de refus de partager du Détenteur de données ?

  • L’utilisateur ou le tiers peut demander réparation et contester la décision du détenteur des données
    • devant une juridiction d’un État membre
    • ou convenir avec le détenteur des données de saisir un organisme de règlement des litiges,
    • L’utilisateur ou un tiers peut également introduire une réclamation auprès de l’autorité compétente. L’autorité compétente devrait, sans retard injustifié, décider si et dans quelles conditions le partage des données doit commencer ou reprendre (article 4, paragraphe 9, et article 5, paragraphe 12,).

La désactivation de l’accès direct sur la base des considérations énoncées à l’article 4, paragraphes 7, 8, 10 et 11 (dénommé « frein à main des secrets d’affaires ») n’est pas interdite par la législation sur les données, mais doit être négociée sur une base contractuelle. De telles conditions contractuelles ne peuvent pas porter atteinte aux droits de l’utilisateur, conformément à l’article 7(2)

Le frein à main de sécurité l’article 4.2 sécurité du produit connecté

  • Conformément à l’article 4(2), les utilisateurs et les détenteurs de données peuvent convenir de restreindre ou de refuser de partager des données s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, entraînant des effets négatifs graves sur la santé, la sûreté ou la sécurité des personnes.
  • Ces exigences doivent être énoncées dans le droit de l’UE ou dans le droit national.
  • Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique afin de déterminer si des restrictions sont nécessaires ou justifiées.

Ce mécanisme permettant de restreindre ou d’interdire l’accès aux données pour des raisons de sûreté ou de sécurité est appelé « frein à main de sûreté et de sécurité ».

  • Information

Si, le détenteur des données a l’intention d’actionner ce frein à main, il doit en informer l’autorité compétente de l’État membre concerné.

  • Recours :

En outre, les utilisateurs peuvent contester le refus du détenteur des données de partager les données devant

  • les autorités compétentes,
    • les tribunaux,
    • un organisme de règlement des litiges.

Protection des intérêts du détenteur de données

Les intérêts des détenteurs de données sont protégés de différentes manières, dont notamment.

Limitation de l’utilisation des données générées par l’utilisation d’un IoT par le détenteur de données

l’article 4, paragraphes 13 et 14, couvre l’utilisation des données non personnelles par le titulaire des données.

Le considérant 25 explique que :

  • toute clause contractuelle relative à l’utilisation prévue des données par le détenteur des données doit être transparente pour l’utilisateur.
  • Les finalités possibles de l’utilisation des données par le détenteur des données comprennent l’amélioration du fonctionnement du produit connecté ou du service connexe ou la mise à la disposition d’un tiers des données agrégées, dans la mesure où ces données ne permettent pas l’identification de données granulaires. L’utilisateur est la seule source d’accès aux données non personnelles granulaires du produit connecté ou du service associé.

L’article 14 §13 & 14

  • Un détenteur de données n’utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d’un contrat avec l’utilisateur.
  • Un détenteur de données n’utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l’utilisateur, ou sur l’utilisation qu’en fait ce dernier, d’une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif (art 14 §13)
  • Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l’exécution de leur contrat avec l’utilisateur. Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part.(art 14 §14)

La vérification par le détenteur de données de l’utilisateur légitime

  • L’article 4, paragraphe 5, de la loi sur les données dispose que, aux fins de la vérification d’une personne en tant qu’utilisateur potentiel, « [l]e détenteur de données ne peut exiger de cette personne qu’elle fournisse des informations allant au-delà de ce qui est nécessaire ».
  • Le considérant 29 explique que « les détenteurs de données peuvent exiger une identification appropriée de l’utilisateur pour vérifier son droit d’accès aux données ».
  •  L’article 2, paragraphe 12 : Les « informations » qu’un utilisateur peut être invité à fournir doivent donc démontrer de manière concluante qu’une personne est un utilisateur (c’est-à-dire une personne qui « possède un produit connecté ou à qui des droits temporaires d’utilisation de ce produit connecté ont été cédés contractuellement, ou qui reçoit des services connexes ». Compte tenu de l’intérêt direct des utilisateurs à accéder aux données, il est raisonnable de s’attendre à ce qu’ils essaient de s’identifier correctement.
  • Le considérant 21 fournit des orientations sur la manière dont un détenteur de données peut vérifier les utilisateurs. Selon ce considérant, l’accès devrait être accordé à l’utilisateur : sur la base d’un mécanisme de demande simple permettant une exécution automatique et ne nécessitant pas d’examen ou d’autorisation de la part du fabricant ou du détenteur des données. (. .. ) Lorsque l’exécution automatisée de la demande d’accès aux données n’est pas possible, par exemple via un compte utilisateur ou un appareil mobile
  • Information de l’utilisateur : Le fabricant doit informer l’utilisateur des modalités d’accès aux données Les détenteurs de données sont donc libres de mettre en place le processus spécifique d’identification des utilisateurs, mais doivent toujours se conformer à l’article 4, paragraphes 4 et 5,
  • Les détenteurs de données peuvent évaluer, par exemple,
    •   (i) ce qui convient le mieux au type de produit ;
    •  (ii) le type d’utilisateur (grand public ou industriel) ;
    • (iii) le nombre d’utilisateurs probables (propriétaire d’un ascenseur par rapport à plusieurs utilisateurs dans la location de voiture) ;
    •  (iv) la fréquence prévue des demandes d’accès aux données ;
    • v) l’existence de mécanismes spécifiques permettant de prouver la propriété (par exemple, l’immatriculation du titulaire d’une voiture) ;
    • vi) le coût de la mise en place de comptes d’utilisateurs différenciés ;
    • vii) la facilité d’utilisation de ces comptes pour les consommateurs réels. Le cas échéant, des solutions telles que le portefeuille d’identité numérique de l’UE pourraient être envisagées

Utilisateur : personne concernée ou Responsable de traitement au sens du RGPD

Le détenteur de données peut-il transmettre les données des utilisateurs antérieurs ?

Le Data Act peut être interprété comme donnant aux utilisateurs un droit d’accès et de portabilité aux données facilement disponibles générées par l’utilisation d’un objet connecté, y compris les données générées par d’autres utilisateurs avant eux. Ces utilisateurs ultérieurs peuvent avoir un intérêt légitime à ces données (par exemple en ce qui concerne les mises à jour ou les incidents).

Les limites

  • limite 1 : la « politique de conservation raisonnable » visée au considérant 24.
  • limite 2 : les droits des utilisateurs précédents et les autres lois applicables (par exemple en ce qui concerne leurs données personnelles ou des informations commerciales confidentielles, y compris leur demande de suppression de données) devraient être respectés. En ce sens, la granularité ou la portée des « données historiques » serait limitée afin de préserver les droits et les intérêts d’autrui.

Suppression des données : droit à l’oubli dans le data Act ?

  • Pas de droit à l’oubli dans le data Act, comme dans le RGPD

Option

  • Contrat : les parties de convenir contractuellement de la possibilité de supprimer des données avant la vente d’un produit connecté Si cela a été convenu, l’information sur la manière dont les données peuvent être effacées est l’une des exigences prévues à l’article 3, paragraphe 2, point d), et le considérant 21 donne des orientations sur les solutions de compte en cas d’utilisation multiple, où les utilisateurs devraient être autorisés à supprimer les données non personnelles liées à leur compte ;
  • la législation sectorielle peut prévoir des dispositions différentes (par exemple, lorsqu’un certain type de données est destiné à « suivre » le produit pour des raisons de sécurité).

Entreprise détenteur de données et utilisateur 

Pour des produits connectés ou services connexes différents

  • Une entreprise peut être à la fois un utilisateur et un détenteur de données en ce qui concerne différents produits connectés ou services connexes.
    • une entreprise manufacturière peut être à la fois un « utilisateur » des robots utilisés dans son usine et un « détenteur de données » pour les produits connectés qu’elle fabrique,
    • Une entreprise ne peut pas être simultanément un utilisateur et un détenteur de données pour les mêmes données,
    • un utilisateur partageant des données avec un tiers ne doit pas être considéré comme un détenteur de données pour ce tiers.

Exception : Choix de responsables conjoints de données Considérant 34

  • L’exception spécifique visée au considérant 34 fait référence à un scénario multi-utilisateurs possible dans lequel deux entreprises (un détenteur de données et l’utilisateur initial qui n’est pas une personne concernée) décident d’agir en tant que responsables conjoints du traitement pour des utilisateurs supplémentaires (qui sont les personnes concernées).
  • Cette répartition des responsabilités peut faire en sorte que l’utilisateur initial devienne un détenteur de données pour ces utilisateurs supplémentaires.

TIERS

Article 6

Le principe général, conformément à l’article 6, paragraphe 1, de la loi sur les données, est qu’un tiers peut utiliser les données à des fins convenues avec l’utilisateur (généralement dans le cadre de la fourniture d’un service à l’utilisateur).

Un tiers traite les données mises à sa disposition en application de l’article 5 uniquement aux fins et dans les conditions convenues avec l’utilisateur et sous réserve du droit de l’Union et du droit national en matière de protection des données à caractère personnel, y compris les droits de la personne concernée dans la mesure où les données à caractère personnel sont concernées. Le tiers efface les données lorsqu’elles ne sont plus nécessaires à la finalité convenue, sauf accord contraire avec l’utilisateur en ce qui concerne les données à caractère non personnel.

Interdiction imposées au tiers art 6.2.

.Accès aux données de l’IoT pour les contrôleurs d’accès DMA, DMA Gatekeepers ?

  • entreprises qui fournissent des services de plateforme, n’ont généralement aucune difficulté à accéder à de grandes quantités de données. Exiger le partage obligatoire des données loT avec les contrôleurs d’accès DMA serait donc injuste pour ceux qui doivent s’y conformer, et inutile compte tenu des objectifs de la loi sur les données ;
  • Les contrôleurs d’accès DMA ne peuvent donc pas être des tiers au sens du Data Act ;
  • Interdiction aux contrôleurs d’accès du DMA de s’appuyer sur les mécanismes obligatoires spécifiques de partage des données créés par les articles 4 et 5, mais tous les autres mécanismes (y compris en ce qui concerne les accords de partage volontaire de données) ne sont pas affectés.
  • L’article 8, paragraphe 3, de la loi sur les données met en œuvre le principe général selon lequel il n’est pas admissible d’établir une distinction entre des entités qui se trouvent dans la même situation (non-discrimination). L’analyse de l’appartenance de deux destinataires à une catégorie comparable doit se faire au cas par cas.

A suivre ….DATA ACT : II

Laisser un commentaire