ÉPISODE 2 : LES ACTEURS DU DATA ACT

Quelles sont les règles applicables aux acteurs du DATA ACT : les droits et obligations

Eléonore Scaramozzino, Avocate, Constellation Avocats

Qui sont les acteurs du Data Act ?

UTILISATEUR D’UN IOT : bénéficiaire de droits du DATA ACT ?

Article 2(12)

Le principe général de l’article 2(12) est qu’un « utilisateur » est

une personne physique ou morale propriétaire d’un produit connecté,
- à laquelle des droits temporaires d’utilisation de ce produit ont été contractuellement transférés,
- ou qui reçoit un service connexe.

L’utilisation d’un produit connecté incluse dans un contrat de service (billet d’avion)

pas transfère de droits de propriété sur l’objet lui-même, la personne utilisant le produit connecté (passager d’avion) n’est pas un « utilisateur » au sens de la loi sur les données.

Profil de l’Utilisateur (Data Act)

Personne physique Personne morale		article 2 (12)
Propriétaire de l’objet connecté	contrat d’achat, de location, de bail	article 2 (12)
établi dans l’UE		article 1 (3) (b)
localisation des données	stockage in et out EU	article 1 (3) (b)
multi-utilisateurs pour un seul produit connecté	accords contractuels relatifs à l’utilisation d’un produit connecté. possibilité d’une sous-location	les détenteurs de données doivent mettre en place des mécanismes garantissant que chaque utilisateur puisse accéder aux données auxquelles il a droit. clauses contractuelles de modalité et mécanisme de partage des données
fabricant, les bailleurs ou les fournisseurs potentiels de services connexes,	obligation de transparence obligation d’information pour accès aux données IN	articles 3(2) et 3(3)

RGPD & DATA ACT : Portabilité des données

Le considérant 35 : clarification de l’interaction RGPD et Data Act

article 1(5)

Droit à la portabilité des données IN complète le droit à le droit d’accès et le droit à la portabilité des données personnelles (articles 15 et 20 RGPD)

Les articles 4 et 5 Data Act (droit d’accès et de partage des données issues des appareils IoT ) complètent les articles 15 et 20 du RGPD (droit d’accès et de portabilité des données personnelles). En vertu du RGPD, seules les personnes concernées peuvent exercer ce droit, et uniquement lorsque les données personnelles sont traitées sur la base de certaines bases juridiques (consentement ou contrat) et lorsque cela est techniquement possible.
Les utilisateurs des IoT (services connexes) peuvent accéder à toutes les données (personnelles et non personnelles) générées par l’utilisation d’un produit connecté ou d’un service connexe et les transférer. Ils peuvent le faire indépendamment de la base juridique et, le cas échéant, en temps réel.

Dans quelles situations les utilisateurs peuvent-ils monétiser leurs données non personnelles ?

Les utilisateurs sont libres de conclure des accords avec les détenteurs de données et avec des tiers. Ils peuvent rémunérer l’utilisateur pour l’accès à ses données non personnelles et leur utilisation, y compris à des fins commerciales.

Le considérant 25

dans les relations interentreprises, un accord entre le détenteur de données et l’utilisateur peut même inclure une renonciation au droit de l’utilisateur d’utiliser ou de partager ultérieurement les données,
à condition qu’une telle limitation des droits de l’utilisateur soit correctement compensée.

Quelles sont les options pour les utilisateurs, en particulier les consommateurs, si le droit d’accès et d’utilisation des données n’est pas correctement exercé ?

Article 1(9)

Data Act complète et est sans préjudice de la législation européenne relative à la protection des consommateurs, notamment de la directive 93/13/CEE sur les clauses abusives dans les contrats, de la directive 2005/29/CE sur les pratiques commerciales déloyales et de la directive 2011/83/UE sur les droits des consommateurs.

Plusieurs options s’offrent donc à ceux qui souhaitent faire valoir leurs droits des Data Act :

Les utilisateurs (y compris les consommateurs) peuvent déposer une plainte auprès de l’autorité compétente concernée.
Les utilisateurs (y compris les consommateurs) peuvent engager des poursuites judiciaires.

• Les utilisateurs consommateurs peuvent notamment déposer une plainte auprès du réseau des Centres européens des consommateurs.

le cas où le titulaire des données est établi dans un État membre autre que celui dans lequel réside le consommateur.
Les utilisateurs qui sont des personnes concernées peuvent contacter l’APD compétente pour toute question relative au traitement des données à caractère personnel.

DETENTEURS DE DONNEES GENEREES PAR L’USAGE D’UN IOT

Un fabricant est-il toujours détenteur de données ?

Même si les fabricants sont généralement détenteurs de données, ce n’est pas toujours le cas. Le fabricant a la possibilité d’externaliser le rôle de « détenteur de données ».

L’utilisateur doit toujours être informé de l’identité du ou des détenteurs de données avant de signer ces contrats.

Accès aux données des IoT : « lorsque cela est pertinent et techniquement possible ».

L’article 3(1) n’oblige pas les fabricants à accorder un accès direct aux données dans toutes les situations et pour tous les produits connectés. Les données doivent être « directement accessibles » à l’utilisateur « lorsque cela est pertinent et techniquement possible ».

Conception d’un produit connecté : offrir aux utilisateurs

Evaluation

Le fabricant peut évaluer, par exemple, la faisabilité technique de l’accès direct ; les coûts des modifications techniques potentielles ; et la difficulté de protéger les secrets commerciaux ou la propriété intellectuelle, ou d’assurer la sécurité du produit connecté. Sur la base de cette évaluation, les fabricants peuvent choisir de concevoir le produit connecté de manière à ce que tout ou partie des données du produit soient directement accessibles ou à permettre uniquement un accès indirect. Avec accord, les détenteurs de données peuvent également accéder aux données du produit rendues directement accessibles à un utilisateur.

Données « directement accessibles »,

l’utilisateur doit pouvoir y accéder sans l’intervention du détenteur de données, quel que soit le lieu de stockage des données.
Même en cas d’accès direct et d’un serveur distant, le détenteur de données est tenu de fournir les moyens (c’est-à-dire des interfaces appropriées, telles qu’une API) permettant à l’utilisateur d’accéder facilement aux données concernées (considérant 35 de la loi sur les données, qui compare l’article 3, paragraphe 1, de la loi sur les données avec l’article 20 du RGPD).

Depuis le 12 septembre 2025 :

les produits déjà sur le marché et les nouveaux produits (lors de leur mise sur le marché) doivent permettre l’accès aux données par l’utilisateur. les fabricants doivent décider si cet accès se fera directement ou indirectement (article 4(1))

Obligation de mise à disposition des données par les détenteurs de données : exigences techniques et pratiques

Pour se conformer aux articles 3(1), 4(1) et 5(1) de la loi sur les données, les détenteurs de données doivent satisfaire à plusieurs exigences techniques et pratiques, notamment :

• Format :

Le détenteur de données doit mettre les données à disposition « dans un format complet, structuré, couramment utilisé et lisible par machine » afin de garantir l’interopérabilité et de faciliter la réutilisation. En tant qu’entité responsable de la conception des données à la source, il doit fournir les données dans un format interopérable (par exemple, XML, JSON, CSV ). Les formats soumis à des contraintes de licence ne sont pas considérés comme « couramment utilisés ».

• Qualité:

Le détenteur des données est tenu de partager des données de « qualité équivalente » à celles qu’il met à sa disposition. Cela implique que les données doivent être partagées dans un format et une qualité compatibles avec leur partage avec une autre filiale du même groupe, ou d’une manière conforme aux normes ou pratiques sectorielles d’un secteur spécifique.

• Rapidité d’exécution :

Les articles 4(1) et 5(1) exigent des détenteurs de données qu’ils fournissent les données « sans retard injustifié » à la demande d’un utilisateur ou d’un tiers. Cela signifie que les données doivent être mises à disposition rapidement et avec réactivité. Les détenteurs de données doivent mettre en œuvre proactivement des solutions telles que

l’automatisation,
- des procédures de demande simplifiées et structurées,
- des portails en libre-service,
- des politiques organisationnelles claires

afin de minimiser les goulots d’étranglement administratifs et de réduire le recours aux interventions manuelles (considérant 21).

Les retards peuvent être justifiés par des contraintes de sécurité, techniques ou juridiques, et doivent rester proportionnés à la demande.

Latence :

L’obligation de fournir des données « lorsque cela est pertinent et techniquement possible, en continu et en temps réel » s’applique aux scénarios où une faible latence est bénéfique, tels que les systèmes IoT , la mobilité connectée et la surveillance industrielle.

l’accès n’est pas entravé par des obstacles techniques (considérant 35).
La faisabilité doit donc être évaluée objectivement, sur la base des normes et des meilleures pratiques du secteur.

Obligations des détenteurs de données

Les détenteurs de données doivent mettre en œuvre de manière proactive des solutions telles que : des API (récupération automatisée de données) et ; des architectures d’événements (conception de logiciels qui déclenchent des mises à jour de données) pour garantir un accès en temps réel ou quasi instantané dans la mesure du possible.

• Commodité :

Les détenteurs de données doivent accorder l’accès aux données « facilement ». Cela nécessite la mise en œuvre de mécanismes qui rationalisent et simplifient le partage des données et évitent les complexités ou obstacles inutiles.

Lorsque l’accès est limité au site ou que des outils spécifiques sont requis, il ne doit pas entraîner de complications excessives pour les utilisateurs ou les tiers, telles que des restrictions de lieux, de créneaux horaires ou des coûts disproportionnés.

• Sécurité :

Les données doivent être mises à disposition de manière sécurisée, garantissant ainsi leur protection contre tout accès ou utilisation non autorisés . Ces mécanismes doivent être conformes aux normes du secteur et aux cadres juridiques pertinents, notamment ceux relatifs à la cybersécurité.

Protection des secrets commerciaux : possibilité de refuser le partage des données en actionnant le frein à main des secret commerciaux

Le data Act

concilie le partage des données avec la nécessité de préserver leur caractère protégé (notamment en ce qui concerne la protection des secrets d’affaires, dont la confidentialité continue d’être assurée) ;
ne modifie pas les protections juridiques applicables (y compris la directive de 2016 sur les secrets d’affaires, qui fournit déjà un cadre juridique pour la protection des secrets d’affaires).
l’affirmation selon laquelle certaines données sont des secrets d’affaires ne suffit pas à empêcher l’exercice des droits d’accès aux données prévus par le règlement. Le Data Act établit un équilibre entre la nécessité d’empêcher toute restriction illégitime des nouveaux droits d’accès aux données de l’utilisateur et la nécessité de maintenir la protection juridique accordée aux secrets d’affaires.
Le détenteur de données a le droit, avant toute divulgation, d’exiger des utilisateurs et des tiers qu’ils préservent la confidentialité et le secret des données couvertes par le secret d’affaires en acceptant et en mettant en œuvre les garanties nécessaires à cette fin.
Le mécanisme ( « frein à main pour le secret d’affaires » des articles 4(7), 4(8), 5(10) et 5(11)) encadre les conditions dans lesquelles un détenteur de données peut
- retenir,
- suspendre ou,
- exceptionnellement, refuser de partager des données.

Comment activer le « frein à main des secrets commerciaux » ?

Lorsqu’un détenteur de données reçoit une demande d’accès à ses données,

Il doit

identifier les secrets commerciaux à partager
convenir avec l’utilisateur ou le tiers des mesures nécessaires pour préserver leur confidentialité (articles 4(6) et 5(7)).
mettre en œuvre ces garanties avant le partage des données.
- mesures envisageables :
  - clauses contractuelles types,
  - accords de confidentialité,
  - protocoles d’accès stricts,
  - normes techniques,
  - application de codes de conduite.

Il peut

refuser ou suspendre le partage des secrets commerciaux
- s’il n’y a pas d’accord,
- si l’utilisateur ou le tiers n’applique pas les mesures convenues ou
- si la confidentialité des secrets commerciaux est compromise (articles 4(7) et 5(10)).
refuser de partager des secrets d’affaires
- s’il peut démontrer, sur la base d’éléments objectifs, qu’il est hautement probable que la divulgation de ces secrets entraînerait un préjudice économique grave (articles 4(8) et 5(11)). Un « préjudice économique grave » désigne une perte économique grave et irréparable.

Décision de Refus de partage

Si le détenteur de données estime devoir retenir, suspendre ou refuser de partager des données, il doit en informer

l’autorité compétente de l’État membre concerné
communiquer les motifs de sa décision à l’utilisateur ou au tiers sans retard injustifié.

Contestation de la décision de refus de partage

L’utilisateur ou le tiers peut demander réparation et contester la décision du détenteur de données

devant une cour ou un tribunal d’un État membre ou
convenir avec le détenteur de données de saisir un organisme de règlement des litiges.
déposer une plainte auprès de l’autorité compétente.

L’autorité compétente doit, sans retard injustifié, décider si et dans quelles conditions le partage de données doit commencer ou reprendre (articles 4(9) et 5(12)).

Le « frein à main de secrets commerciaux » peut-il s’appliquer aux données mises directement à disposition au sens de l’article 3(1) : oui dans le respect du RGPD

Contrairement aux droits prévus aux articles 4 et 5, l’article 3 ne prévoit aucune protection légale pour le fabricant lorsqu’il met à disposition des données directement à partir du produit connecté.

La data Act permet aux fabricants de choisir, si les données facilement accessibles peuvent être rendues

accessibles à l’utilisateur directement,
accessibles à l’utilisateur indirectement
accessibles à l’utilisateur par une combinaison des deux

Désactiver l’accès direct, sur la base des dispositions des articles 4(7), 4(8), 5(10) et 5(11) ( « frein à main relatif aux secrets d’affaires »),

n’est pas interdit par la loi sur la protection des données, mais doit être négocié contractuellement
mais les conditions contractuelles ne peuvent porter atteinte aux droits de l’utilisateur, conformément à l’article 7(2) RGPD.

Un détenteur de données doit-il partager des données s’il existe des problèmes de sécurité : frein à main de sécurité

Frein à main de sécurité : possibilité derestreindre, interdire l’accès aux données pour des raisons de sécurité

Condition d’activation du mécanisme de frein à main de sécurité

l’article 4(2) du Data Act permet aux utilisateurs et les détenteurs de données peuvent convenir de restreindre ou de refuser le partage de données

s’il existe un risque que les exigences de sécurité du produit connecté soient compromises, entraînant des effets néfastes graves pour la santé ou la sécurité des personnes.
Ces exigences doivent être fixées par le droit de l’UE ou le droit national.
Les autorités sectorielles peuvent fournir aux utilisateurs et aux détenteurs de données une expertise technique afin de déterminer si des restrictions sont nécessaires ou justifiées.
Le détenteur de données doit en informer l’autorité compétente de l’État membre concerné
les utilisateurs peuvent contester le refus du titulaire des données de partager les données devant les autorités compétentes, les tribunaux ou un organisme de règlement des litiges.

DACTA ACT /RGPD

Sur quelles bases juridiques du RGPD le titulaire des données pourrait-il s’appuyer pour répondre à une demande de données ?

L’utilisateur est la personne concernée par les données en question.	L’article 1(5) précise que le Data Act complète	les droits d’accès des personnes concernées et les droits à la portabilité des données prévus aux articles 15 et 20 du RGPD.
	les données en vertu de l’article 4 du Data Act pour lui-même	la situation est comparable à une demande d’accès en vertu de l’article 15 du RGPD
	le transfert des données à un tiers en vertu de l’article 5 du Data Act ,	la situation est comparable à celle de la portabilité de l’article 20 du RGPD. Le fait que la demande de portabilité des données soit reçue par un autre acteur ne modifie pas cette appréciation.
L’utilisateur n’est pas la personne concernée par les données en question	Comme précisé au considérant 7, le Data Act n’a pas été conçue	comme une base juridique pour fournir l’accès ou pour mettre des données personnelles à la disposition d’un tiers au sens de l’article 6(1) du RGPD, y compris 6(1 )( c).
	*L’intention était de protéger les personnes concernées dans les situations multi-utilisateurs* (soit plusieurs utilisateurs au même niveau – copropriété d’un produit connecté – soit des situations d’utilisateurs à plusieurs niveaux avec des propriétaires et des locataires). Cela signifie que le détenteur des données devra évaluer une base juridique appropriée pour fournir l’accès ou mettre des données personnelles à disposition – ou bien il devra fournir des données anonymisées .
	En fonction des circonstances de la demande, le responsable du traitement pourrait déterminer si la fourniture des données est nécessaire à l’exécution du contrat avec la personne concernée ou au service de l’intérêt légitime du titulaire des données ou d’un tiers.

Le détenteur des données doit -il vérifier que l’utilisateur ou le tiers dispose d’une base juridique valable en vertu du RGPD avant de transmettre les données ?

En cas de partage de données entre deux responsables du traitement, chacun d’eux doit être en mesure de démontrer sa conformité au RGPD. Chaque responsable du traitement doit s’assurer de disposer des informations nécessaires à cette fin. Il doit coopérer pour partager les informations strictement nécessaires à la démonstration de la conformité de chacun.

Une clause de non-concurrence pour les produits connectés. S’applique-t-elle également aux services connexes ?

Produit connecté	service connexe
clause de non –concurrence applicable	clause de non-concurrence : non applicable considérant 32, l’un des objectifs clés du Data Act est de permettre aux fournisseurs de services d’accéder à de nouvelles données et de concurrencer sur un pied d’égalité les services comparables proposés par les fabricants. L’interdiction de développer des services connexes concurrents pourrait avoir un effet dissuasif sur l’innovation et la fourniture d’autres services (pas nécessairement des « services connexes »).
	bénéfice pour les consommateurs concurrence accrue pour les services à valeur ajoutée (par exemple, la maintenance prédictive), qui dépendent de l’accès à ces données ; et pourront prendre des décisions de consommation plus éclairées (par exemple, l’achat de produits et services plus durables).

Protection des intérêts des détenteurs de données.

les protections du DAT ACT
limite le champ des données soumises aux obligations de partage obligatoire	accès limité aux données brutes et prétraitées. minimiser les effets négatifs sur les investissements liés aux données et sur la protection des secrets commerciaux ou des DPI.
dispositions spécifiques	– des secrets commerciaux par le détenteur des données – l’utilisation des données est liée à des risques de sécurité considérables. frein à main secret commercial frein à main sécurité
limitation de l’accès aux données pour finalité de concurrence .	l’accès aux données ne peut pas être utilisé pour développer un produit concurrent
compensation	Le titulaire des données peut demander une compensation à des tiers (lorsque l’utilisateur le demande) ou à des destinataires des données (lorsqu’il existe une obligation légale de partage des données).

Champ d’application territorial du Data Act :

Le Data Act

s’applique aux fabricants de produits connectés et aux fournisseurs de services connexes établis en dehors de l’UE.
confère aux utilisateurs de l’UE le droit d’accéder, d’utiliser et de partager les données facilement accessibles auxquelles ils ont droit ;
impose que tous les produits connectés et services connexes commercialisés dans l’UE doivent être conçus de manière à permettre l’exercice de ce droit ;
impose que toutes les exigences légales doivent être respectées lors de la commercialisation du produit connecté sur le marché de l’UE ou de la fourniture du service connexe.
prévoit que pour le service connexe lié au fonctionnement d’un produit connecté, le lieu d’établissement du fournisseur du service connexe n’est pas un facteur déterminant pour déterminer s’il relève du champ d’application du Data Act.

Limitations à l’utilisation par le détenteur des données des données générées par l’utilisateur ?

Bien que le RGPD régisse le traitement des données personnelles, l’article 4(13) et (14) du Data Act couvre l’utilisation des données non personnelles par le détenteur des données.

Article 4.13.

Un détenteur de données n’utilise les données facilement accessibles qui sont des données à caractère non personnel que sur la base d’un contrat avec l’utilisateur.
Un détenteur de données n’utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l’utilisateur, ou sur l’utilisation qu’en fait ce dernier, d’une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif.

. Le considérant 25 explique en outre que toute clause contractuelle concernant l’utilisation prévue des données par le titulaire des données doit être transparente pour l’utilisateur.

Les finalités possibles de l’utilisation des données par le titulaire des données incluent

l’amélioration du fonctionnement du produit connecté ou du service connexe
ou la mise à disposition de données agrégées à un tiers, à condition que ces données ne permettent pas l’identification de données granulaires.

L’utilisateur est la seule source d’accès aux données non personnelles granulaires du produit connecté ou du service connexe.

Article 4.14.

Les détenteurs de données ne mettent pas à la disposition de tiers les données à caractère non personnel relatives aux produits à des fins commerciales ou non commerciales autres que l’exécution de leur contrat avec l’utilisateur.
Le cas échéant, les détenteurs de données obligent contractuellement les tiers à ne pas partager les données reçues de leur part

L’article 4(14) traite de l’aspect spécifique de l’utilisation des données par le détenteur des données qui implique le partage de données non personnelles avec des tiers, ce qui ne devrait avoir lieu que si cela est convenu contractuellement avec l’utilisateur (conformément à l’article 4(13)).

Comment un détenteur de données pourrait-il vérifier un utilisateur légitime ?

Article 4.5.Principe de minimisation

Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n’exige pas de ladite personne qu’elle fournisse d’autres informations que celles qui sont nécessaires.
Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l’accès de l’utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d’accès de l’utilisateur et à la sécurité et à la maintenance de l’infrastructure de données

. Le considérant 29 explique que « les détenteurs de données peuvent exiger une identification appropriée de l’utilisateur afin de vérifier son droit d’accès aux données. »

Les « informations » qu’un utilisateur peut être invité à fournir doivent donc démontrer de manière concluante qu’une personne est un utilisateur (c’est-à-dire une personne « propriétaire d’un produit connecté ou à qui des droits temporaires d’utilisation de ce produit connecté ont été contractuellement transférés, ou qui bénéficie de services connexes » (article 2(12)).

Vérification de l’identité des utilisateurs

Compte tenu de l’intérêt direct des utilisateurs à accéder aux données, il est raisonnable de s’attendre à ce qu’ils s’efforcent de s’identifier correctement.

Le considérant 21 fournit des indications sur la manière dont un détenteur de données peut vérifier les utilisateurs. Selon ce considérant,

l’accès doit être accordé à l’utilisateur sur la base d’un mécanisme de demande simple autorisant une exécution automatique et ne nécessitant pas d’examen ou d’autorisation de la part du fabricant ou du détenteur des données. (…)
Lorsque l’exécution automatisée de la demande d’accès aux données n’est pas possible, par exemple via un compte utilisateur ou une application mobile d’accompagnement fournie avec le produit connecté ou le service connexe, le fabricant devrait informer l’utilisateur des modalités d’accès aux données.

Les détenteurs de données sont donc libres de mettre en place un processus spécifique d’identification des utilisateurs, tout en respectant l’article 4(4) et (5) du Data Act.

Article 4.4.

Les détenteurs de données ne rendent pas indûment difficile pour les utilisateurs le fait d’effectuer des choix ou d’exercer des droits prévus au présent article, y compris en offrant des choix à l’utilisateur d’une manière qui n’est pas neutre ou en réduisant ou en compromettant l’autonomie, la prise de décision ou le choix des utilisateurs au moyen de la structure, de la conception, de la fonction ou du mode de fonctionnement d’une interface numérique utilisateur ou d’une partie de celle-ci.

Article 4.5.

Afin de vérifier si une personne physique ou morale peut être considérée comme un utilisateur aux fins du paragraphe 1, un détenteur de données n’exige pas de ladite personne qu’elle fournisse d’autres informations que celles qui sont nécessaires. Les détenteurs de données ne conservent aucune autre information, en particulier aucune donnée de connexion, sur l’accès de l’utilisateur aux données demandées que celles qui sont nécessaires à la bonne exécution de la demande d’accès de l’utilisateur et à la sécurité et à la maintenance de l’infrastructure de données.

Ils peuvent évaluer, par exemple :

(i) ce qui correspond le mieux au type de produit;
(ii) le type d’utilisateur (consommateur ou industriel);
(iii) le nombre d’utilisateurs potentiels (propriétaire unique d’un ascenseur ou utilisateurs multiples dans une location de voiture) ;
(iv) la fréquence prévue des demandes d’accès aux données ;
(v) présence de mécanismes spécifiques de démonstration de propriété (par exemple, immatriculation du titulaire du véhicule) ;
(vi) le coût de la mise en place de comptes d’utilisateurs différenciés ; et
(vii) la facilité d’utilisation de ces comptes pour les consommateurs réels.

Le cas échéant, des solutions telles que le portefeuille d’identité numérique de l’UE pourraient être envisagées.

Concernant les données personnelles, le considérant 34 du Data Act précise que « les données personnelles ne peuvent être demandées que par un responsable du traitement ou une personne concernée (…). Lorsque l’utilisateur n’est pas la personne concernée mais une entreprise, y compris un entrepreneur individuel, et non en cas d’utilisation domestique partagée du produit connecté, l’utilisateur est considéré comme responsable du traitement. »

Le considérant 34 rappelle que les utilisateurs concernés peuvent toujours accéder aux données personnelles les concernant. Il précise également que les utilisateurs non concernés sont responsables du traitement au sens du RGPD et doivent se conformer à ses obligations lorsqu’ils sollicitent des données personnelles auprès d’ appareils IoT .

Un détenteur de données doit-il encore partager des données avec un tiers à la demande de l’utilisateur lorsqu’il a accordé un accès direct à l’utilisateur ?

Les utilisateurs ont également le droit, de demander au détenteur des données de transférer des données à un tiers lorsqu’ils y ont directement accès au sens de l’article 3(1).
Cela suppose qu’un détenteur des données y ait facilement accès.
L’article 5 n’est pas conditionné au type d’accès dont dispose l’utilisateur.

Les utilisateurs peuvent-ils demander l’accès aux données historiques qu’un détenteur de données pourrait stocker (par exemple lors de l’achat d’un capteur/d’une machine d’occasion) ?

Le DATA ACT accorde aux utilisateurs le droit d’accéder et de transférer les données facilement accessibles générées par l’utilisation d’un objet connecté, y compris les données générées par d’autres utilisateurs avant eux. Ces utilisateurs ultérieurs pourraient avoir un intérêt légitime concernant ces données (par exemple, concernant des mises à jour ou des incidents), tout en gardant à l’esprit la « politique de conservation raisonnable » visée au considérant 24.

Toutefois, les droits des utilisateurs précédents et les autres lois applicables (par exemple, concernant leurs données personnelles ou leurs informations commerciales confidentielles, y compris leur demande de suppression de données) devraient être respectés. En ce sens, la granularité ou la portée des « données historiques » serait limitée afin de préserver les droits et les intérêts d’autrui.

Régime de suppression des données non personnelles avant de vendre un produit à un autre utilisateur ?

Conditions contractuelles types : donnée amovibles et données résiduelles

Le DATA ACT n’établit pas de « droit à l’effacement » pour les données non personnelles, à l’instar du RGPD.

La possibilité d’effacer des données peut être contractuellement prévue. Ces données sont appelées « données amovibles par l’utilisateur » dans les Conditions contractuelles types (CCT) qui seront recommandées par la Commission.

Pour d’autres types de données, le détenteur des données peut décider que l’effacement n’est pas autorisé, notamment lorsque la conservation des données historiques sert les intérêts des futurs utilisateurs (par exemple, à des fins d’entretien et de réparation ). Ces données sont appelées « données résiduelles » dans les CCT, c’est-à-dire autres que les données amovibles ou toujours amovibles de l’utilisateur. La législation spécifique à un produit peut également prévoir des dispositions différentes et interdire l’effacement de certaines données (par exemple, lorsqu’un certain type de données est destiné à « suivre » le produit pour des raisons de sécurité).

Accord contractuel

Si un accord contractuel prévoit que les utilisateurs effacent leurs données, les informations sur les modalités d’effacement constituent l’une des exigences prévues à l’article 3(2 )( d).

Obligation de rendre les données relatives aux produits et les données relatives aux services connexes accessibles à l’utilisateur

Article 3.2.Modalités de suppression des données prévues contractuellement

Avant la conclusion d’un contrat d’achat, de location ou de crédit-bail relatif à un produit connecté, le vendeur, le loueur ou le bailleur, qui peut être le fabricant, communique à l’utilisateur, de manière claire et compréhensible, au moins les informations suivantes:

(…)

d) la manière dont l’utilisateur peut accéder aux données, extraire les données ou, le cas échéant, les effacer, y compris les moyens techniques nécessaires pour ce faire, ainsi que leurs conditions d’utilisation et leur qualité de service.

Le considérant 21 fournit des orientations sur les solutions de gestion des comptes en cas d’utilisation multiple , permettant aux utilisateurs de supprimer les données non personnelles liées à leur compte.

En outre, deux utilisateurs successifs pourraient convenir contractuellement de l’effacement ou du non-effacement de (certaines) données avant la remise d’un produit connecté.

Une entreprise peut-elle être à la fois utilisatrice et détentrice de données ?

Une entreprise peut être à la fois utilisatrice et détentrice de données pour différents produits connectés ou services connexes.

Par exemple, une entreprise manufacturière peut être à la fois utilisatrice des robots utilisés dans son usine et détentrice de données pour les produits connectés qu’elle fabrique.

Une entreprise ne peut être simultanément utilisatrice et détentrice de données pour les mêmes données, et un utilisateur partageant des données avec un tiers ne doit pas être considéré comme détentrice de données pour ce tiers.

L’exception spécifique visée au considérant 34 du Data Act concerne un scénario multi-utilisateurs possible où deux entreprises (un détenteur de données et l’utilisateur initial qui n’est pas une personne concernée) décident d’agir en tant que responsables conjoints du traitement pour des utilisateurs supplémentaires (qui sont les personnes concernées). Cette répartition des responsabilités pourrait avoir pour conséquence que l’utilisateur initial devienne détentrice de données pour ces utilisateurs supplémentaires.

Après le 12 septembre, les détenteurs de données peuvent-ils continuer à utiliser les données générées par les produits connectés mis sur le marché avant la date d’application ?

Nécessité d’un accord contractuel

Comme indiqué à l’article 4(13), les détenteurs de données devront avoir un contrat en place avec les utilisateurs pour utiliser les données facilement disponibles à partir du 12 septembre 2025.

Cette obligation s’applique aux produits connectés mis sur le marché avant et après le 12 septembre 2025.

Les détenteurs de données qui peuvent identifier les utilisateurs de leurs produits connectés mis sur le marché avant le 12 septembre 2025 doivent donc :

• conclure un contrat garantissant l’accord de l’utilisateur quant à l’utilisation des données, s’il le faisait sans base contractuelle, ou

• vérifier si un contrat existant (par exemple un contrat de vente, un contrat de prestation de services connexes ou tout autre contrat) doit être adapté pour inclure l’accord de l’utilisateur quant à l’utilisation des données.

Il y aura cependant des détenteurs de données qui ne pourront pas identifier l’utilisateur de leur produit connecté malgré des efforts raisonnables (par exemple, un avis publié sur le site web du détenteur des données/fabricant), et le Data Act ne prévoit aucune disposition expresse pour ces situations. Ces détenteurs de données devraient pouvoir continuer à utiliser les données générées par le produit après le 12 septembre 2025, puisqu’ils ont conçu et vendu le produit avec une attente légitime de pouvoir collecter et utiliser ces données. De plus, sans pouvoir identifier l’utilisateur, ce détenteur de données ne serait pas en mesure d’utiliser les données pour obtenir des informations sur la situation économique, le patrimoine et les méthodes de production de l’utilisateur, comme l’interdit l’article 4(13).

Toutefois, si ces détenteurs de données prennent connaissance à un moment donné de l’existence d’utilisateurs (par exemple suite à une demande d’accès à leurs données par un utilisateur), ils doivent conclure un contrat avec les utilisateurs pour obtenir leur accord sur l’utilisation continue des données par le détenteur des données.

TIERS

Que peut faire un tiers avec les données qu’il reçoit d’un utilisateur/détenteur de données dans le cadre du chapitre II ?

Le principe général, conformément à l’article 6(1) du Data Act, est qu’un tiers peut utiliser les données à des fins convenues avec l’utilisateur (généralement dans le cadre de la fourniture d’un service à l’utilisateur).

L’article 6(2) inclut une liste exhaustive d’actions interdites à un tiers. Cette liste comprend l’utilisation des données pour développer un produit concurrent et le partage de ces données avec un contrôleur d’accès (au sens de la loi sur les marchés numériques).

Article 6.2

Le tiers ne peut pas:

a) rendre l’exercice des choix ou des droits de l’utilisateur, au titre de l’article 5 et du présent article, indûment difficile, y compris en proposant des choix à l’utilisateur d’une manière qui n’est pas neutre, ou en contraignant, en trompant ou en manipulant l’utilisateur, ou en réduisant ou en compromettant l’autonomie, la prise de décision ou les choix de l’utilisateur, y compris au moyen d’une interface numérique utilisateur ou d’une partie de celle-ci;

b) nonobstant l’article 22, paragraphe 2, points a) et c), du règlement (UE) 2016/679, utiliser les données qu’il reçoit à des fins de profilage, à moins que cela ne soit nécessaire pour fournir le service demandé par l’utilisateur;

c) mettre les données qu’il reçoit à la disposition d’un autre tiers, à moins que les données ne soient mises à disposition sur le fondement d’un contrat avec l’utilisateur, et à condition que l’autre tiers prenne toutes les mesures nécessaires convenues entre le détenteur de données et le tiers pour préserver la confidentialité des secrets d’affaires;

d) mettre les données qu’il reçoit à la disposition d’une entreprise désignée comme contrôleur d’accès, conformément à l’article 3 du règlement (UE) 2022/1925;

e) utiliser les données qu’il reçoit pour développer un produit concurrençant le produit connecté dont proviennent les données auxquelles il a accès ou de partager les données avec un autre tiers à cette fin; les tiers n’utilisent pas non plus de données à caractère non personnel relatives au produit ou relatives au service connexe mises à leur disposition pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du détenteur de données ou sur l’utilisation que ce dernier en fait;

f) utiliser les données qu’il reçoit d’une manière qui nuit à la sécurité du produit connecté ou du service connexe;

g) méconnaître les mesures spécifiques convenues avec le détenteur de données ou le détenteur de secrets d’affaires conformément à l’article 5, paragraphe 9, et compromettre la confidentialité des secrets d’affaires;

h) empêcher l’utilisateur qui est un consommateur, y compris sur le fondement ‘d’un contrat, de mettre à la disposition d’autres parties les données qu’il reçoit.

Les utilisateurs peuvent-ils obliger les détenteurs de données à partager des données avec les contrôleurs d’accès du Digital Markets Act ?

Les mécanismes d’accès aux données des IoT des articles 4 et 5: non applicable aux contrôleurs d’accès du DMA

Les contrôleurs d’accès DMA, définis comme les entreprises fournissant des services de plateforme essentiels en vertu de la loi sur les marchés numériques (DMA), n’ont généralement aucune difficulté à accéder à de grandes quantités de données. Les données ont déjà tendance à graviter vers ces grandes entreprises en raison de leur position de passerelle, de leur contrôle sur les écosystèmes de plateformes et de leur pouvoir de négociation supérieur.

Exiger le partage obligatoire des données IoT avec les contrôleurs d’accès DMA serait donc injuste pour ceux qui doivent s’y conformer, et inutile compte tenu des objectifs du Data Act.

Les contrôleurs d’accès DMA ne peuvent donc pas être des tiers au sens du nouveau droit d’accès aux données IoT établi par le Data Act. Cela ne signifie pas que les contrôleurs d’accès DMA sont totalement exclus du marché des données IoT. Il leur est interdit de recourir aux mécanismes spécifiques de partage obligatoire des données créés par les articles 4 et 5 du Data Act, mais tous les autres mécanismes (y compris ceux relatifs aux accords de partage volontaire des données) restent inchangés.

Une personne établie dans un pays tiers peut-elle recevoir des données sur la base des obligations de partage de données prévues au chapitre II ?

Le champ d’application de l’obligation de partage de données imposée aux détenteurs de données en vertu du chapitre II est limité aux entités et personnes, y compris les consommateurs, dans l’Union (articles 1(3 )( b), 1(3)(d) et 2(14)).

Accorder l’accès aux données à des opérateurs non présents dans l’UE ne peut être justifié par le Data Act.
- Quel que soit son lieu d’établissement, un détenteur de données a l’obligation légale de partager des données avec une entité ou une personne établie dans l’UE à la demande d’un utilisateur de l’UE.

Un utilisateur peut demander à un détenteur de données de partager des données avec une entité ou une personne non établie dans l’UE, mais le détenteur

A suivre ….EPISODE 3

DATA ACT : DECRYPTAGE DU REGLEMENT SUR LES DONNEES (Episode 2)

ÉPISODE 2 : LES ACTEURS DU DATA ACT

Quelles sont les règles applicables aux acteurs du DATA ACT : les droits et obligations

Qui sont les acteurs du Data Act ?

UTILISATEUR D’UN IOT : bénéficiaire de droits du DATA ACT ?

RGPD & DATA ACT : Portabilité des données

Dans quelles situations les utilisateurs peuvent-ils monétiser leurs données non personnelles ?

Quelles sont les options pour les utilisateurs, en particulier les consommateurs, si le droit d’accès et d’utilisation des données n’est pas correctement exercé ?

DETENTEURS DE DONNEES GENEREES PAR L’USAGE D’UN IOT

Un fabricant est-il toujours détenteur de données ?

Accès aux données des IoT : « lorsque cela est pertinent et techniquement possible ».

Obligation de mise à disposition des données par les détenteurs de données : exigences techniques et pratiques

Protection des secrets commerciaux : possibilité de refuser le partage des données en actionnant le frein à main des secret commerciaux

Le « frein à main de secrets commerciaux » peut-il s’appliquer aux données mises directement à disposition au sens de l’article 3(1) : oui dans le respect du RGPD

Un détenteur de données doit-il partager des données s’il existe des problèmes de sécurité : frein à main de sécurité

DACTA ACT /RGPD

Sur quelles bases juridiques du RGPD le titulaire des données pourrait-il s’appuyer pour répondre à une demande de données ?

Le détenteur des données doit -il vérifier que l’utilisateur ou le tiers dispose d’une base juridique valable en vertu du RGPD avant de transmettre les données ?

Une clause de non-concurrence pour les produits connectés. S’applique-t-elle également aux services connexes ?

Protection des intérêts des détenteurs de données.

Champ d’application territorial du Data Act :

Limitations à l’utilisation par le détenteur des données des données générées par l’utilisateur ?

Comment un détenteur de données pourrait-il vérifier un utilisateur légitime ?

Un détenteur de données doit-il encore partager des données avec un tiers à la demande de l’utilisateur lorsqu’il a accordé un accès direct à l’utilisateur ?

Les utilisateurs peuvent-ils demander l’accès aux données historiques qu’un détenteur de données pourrait stocker (par exemple lors de l’achat d’un capteur/d’une machine d’occasion) ?

Régime de suppression des données non personnelles avant de vendre un produit à un autre utilisateur ?

Une entreprise peut-elle être à la fois utilisatrice et détentrice de données ?

Après le 12 septembre, les détenteurs de données peuvent-ils continuer à utiliser les données générées par les produits connectés mis sur le marché avant la date d’application ?

TIERS

Que peut faire un tiers avec les données qu’il reçoit d’un utilisateur/détenteur de données dans le cadre du chapitre II ?

Les utilisateurs peuvent-ils obliger les détenteurs de données à partager des données avec les contrôleurs d’accès du Digital Markets Act ?

Une personne établie dans un pays tiers peut-elle recevoir des données sur la base des obligations de partage de données prévues au chapitre II ?

J’aime ça :

Similaire

Laisser un commentaireAnnuler la réponse.

ÉPISODE 2 : LES ACTEURS DU DATA ACT

Quelles sont les règles applicables aux acteurs du DATA ACT : les droits et obligations

Qui sont les acteurs du Data Act ?

UTILISATEUR D’UN IOT : bénéficiaire de droits du DATA ACT ?

RGPD & DATA ACT : Portabilité des données

Dans quelles situations les utilisateurs peuvent-ils monétiser leurs données non personnelles ?

Quelles sont les options pour les utilisateurs, en particulier les consommateurs, si le droit d’accès et d’utilisation des données n’est pas correctement exercé ?

DETENTEURS DE DONNEES GENEREES PAR L’USAGE D’UN IOT

Un fabricant est-il toujours détenteur de données ?

Accès aux données des IoT : « lorsque cela est pertinent et techniquement possible ».

Obligation de mise à disposition des données par les détenteurs de données : exigences techniques et pratiques

Protection des secrets commerciaux : possibilité de refuser le partage des données en actionnant le frein à main des secret commerciaux

Le « frein à main de secrets commerciaux » peut-il s’appliquer aux données mises directement à disposition au sens de l’article 3(1) : oui dans le respect du RGPD

Un détenteur de données doit-il partager des données s’il existe des problèmes de sécurité : frein à main de sécurité

DACTA ACT /RGPD

Sur quelles bases juridiques du RGPD le titulaire des données pourrait-il s’appuyer pour répondre à une demande de données ?

Le détenteur des données doit -il vérifier que l’utilisateur ou le tiers dispose d’une base juridique valable en vertu du RGPD avant de transmettre les données ?

Une clause de non-concurrence pour les produits connectés. S’applique-t-elle également aux services connexes ?

Protection des intérêts des détenteurs de données.

Champ d’application territorial du Data Act :

Limitations à l’utilisation par le détenteur des données des données générées par l’utilisateur ?

Comment un détenteur de données pourrait-il vérifier un utilisateur légitime ?

Un détenteur de données doit-il encore partager des données avec un tiers à la demande de l’utilisateur lorsqu’il a accordé un accès direct à l’utilisateur ?

Les utilisateurs peuvent-ils demander l’accès aux données historiques qu’un détenteur de données pourrait stocker (par exemple lors de l’achat d’un capteur/d’une machine d’occasion) ?

Régime de suppression des données non personnelles avant de vendre un produit à un autre utilisateur ?

Une entreprise peut-elle être à la fois utilisatrice et détentrice de données ?

Après le 12 septembre, les détenteurs de données peuvent-ils continuer à utiliser les données générées par les produits connectés mis sur le marché avant la date d’application ?

TIERS

Que peut faire un tiers avec les données qu’il reçoit d’un utilisateur/détenteur de données dans le cadre du chapitre II ?

Les utilisateurs peuvent-ils obliger les détenteurs de données à partager des données avec les contrôleurs d’accès du Digital Markets Act ?

Une personne établie dans un pays tiers peut-elle recevoir des données sur la base des obligations de partage de données prévues au chapitre II ?

Partager :

J’aime ça :

Similaire

Laisser un commentaireAnnuler la réponse.

En savoir plus sur E-SCARAMOZZINO legal