Mise en cohérence avec les récentes législations européennes
La Présidence tchèque du Conseil de l’UE a réuni le 19 juillet les spécialistes des États membres autour d’un premier projet de règlement sur le « Data Act ». Le texte concerne les chapitres 1 à 4 du règlement qui inclut certains points sensibles soulevés par la Présidence Française.
La Présidence tchèque s’est concentrée sur les définitions pour y inclure une différenciation entre les « données personnelles », et les « données non personnelles », et la notion du « consentement » et de la « personne concernée » afin de s’aligner sur les dispositions des textes existants notamment le Data Gouvernance Act (DGA) ou le Digital Market Act (DMA).
La Présidence introduit de nouvelles dispositions sur les droits des utilisateurs : notamment un accès « par défaut gratuit » aux informations, l’obligation de mettre également les métadonnées à disposition et l’interdiction pour les détenteurs des données de « contraindre, tromper ou manipuler de quelque manière que ce soit l’utilisateur » en portant atteinte à son autonomie, « y compris au moyen d’une interface numérique », pouvant contrevenir à l’exercice de ses droits. On peut donc raisonnablement penser que le Conseil pourrait étendre aux utilisateurs l’interdiction des « dark patterns » (mécanismes issus du design des interfaces et dont le but est de piéger les utilisateurs) jusqu’ici réservée aux tiers (article 11).
Sur le champ d’application : la présidence propose en particulier de détailler les types de données couverts par la proposition, chapitre par chapitre, et insiste sur le fait que le texte s’applique aux fabricants de produits, fournisseurs de services connexes, détenteurs de données et prestataires de services de traitement de données œuvrant pour les utilisateurs de l’Union « quel que soit l’endroit où ils sont établis ». Ces précisions ont été ajoutées dans le but de mettre en cohérence ce texte avec les récentes législations :
- Les articles 1- 2 ont été modifiés « afin de garantir l’harmonisation avec l’Acte sur la gouvernance des données » (DGA) –
- Et l’article 3 afin de préserver la cohérence avec le RGPD. Cet article 3 rappelle que les données doivent être mises à disposition des utilisateurs « dans un format structuré, couramment utilisé et lisible par machine »
S’agissant des détenteurs de données, la Présidence propose que ceux-ci soient obligés d’identifier les données protégées par le « secret des affaires » et précise (article 8), qu’ils ne sont pas contraints de partager ces secrets avec le destinataire des données, « sauf si la loi le prévoit expressément ».
Par ailleurs, le compromis prévoit l’ajout des entreprises moyennes à la liste des entreprises exclues du texte c’est-à-dire les petites et les microentreprises, à condition « qu’elles soient dans la catégorie des moyennes entreprises depuis moins d’un an ou lorsqu’il s’agit de produits mis sur le marché depuis moins d’un an par une entreprise moyenne ».
Le texte prévoit enfin une « obligation de rapport annuel pour les organes de règlement des litiges ».
À souligner que les experts du Gouvernement français sont préoccupés par Le traitement réservé au droit « sui generis » des bases de données dans le Data Act. Ils regrettent que la proposition de la Commission n’ouvre pas la voie à cette réforme, pourtant « inéluctable ». Ils exposent leurs arguments dans un rapport présenté en réunion plénière du Conseil supérieur de la propriété littéraire et artistique (CSPLA). Le Data Act ne comporte en effet qu’un court article relatif au droit « sui generis », seulement considéré par la Commission comme une entrave à la circulation des données (article 35). Cet article soulève de nouvelles incertitudes et « n’est pas satisfaisant » estiment les experts, puisqu’il ne modifie pas formellement la directive sur les bases de données et pourrait amener à une interprétation « destinée à limiter le champ d’application du droit sui generis ». Le rapport propose dans ces conditions trois options à la Commission pour améliorer le texte que le Conseil pourrait reprendre à son compte dans un prochain compromis :
- Renforcer la rédaction de l’article 35,
- « Assumer le statu quo » et supprimer l’article 35,
- Ou conserver le droit « sui generis » et envisager de nouveaux mécanismes d’ouverture, tels qu’un mécanisme de licence obligatoire.
Colette BOUCKAERT
Secrétaire générale iDFrights,
Membre du Comité Europe