L’objectif de cette proposition de règlement émanant de la Commission (applicable immédiatement dans l’UE sans transposition possible par les Etats membres) est d’élaborer un texte « pour un accès juste » aux données industrielles est de permettre une nette augmentation du volume de ces données disponibles sur le marché européen tout en encadrant leur circulation. La Commission propose d’obliger les détenteurs de données non personnelles (les fabricants de produits connectés ou les fournisseurs de services en ligne) à mettre gratuitement à disposition des utilisateurs les données qu’ils ont générées.
Le Data Act prévoit que dans certaines circonstances exceptionnelles, les entreprises soient contraintes de transmettre leurs données à des institutions publiques et notamment les gouvernements. Il inclut également des garanties contre les transferts illégaux de données opérés sans notification par les fournisseurs de services de cloud. À noter, enfin, que le texte constitue une législation « horizontale », vouée à être complétée notamment par des actes plus sectoriels.
Dans un document de travail qu’elle produit parallèlement, la Commission clarifie ses ambitions sur les espaces européens des données ainsi que le souhaitait le Conseil européen. Elle identifie les éléments clés des espaces communs censés « vaincre les barrières techniques et juridiques au partage de données ». Parmi ces éléments caractéristiques, on retrouve une infrastructure sécurisée et préservant la confidentialité. La feuille de route fait aussi référence aux « data holders » (une fonction définie dans le Data Governance Act nouvellement adopté) qui « auront la possibilité d’autoriser l’accès ou de partager certaines données personnelles et non personnelles dont ils ont le contrôle ». Ce document rappelle que les données rendues disponibles pourront être réutilisées gratuitement ou contre une compensation, y compris une rémunération. Enfin, il est question d’« une approche ouverte » vis-à-vis de l’extérieur : ce qui veut dire qu’ il n’y aura pas de limite en ce qui concerne la participation d’acteurs ou la circulation de données hors UE, la seule condition sera de respecter les règles et les valeurs européennes.
Ce texte est intéressant, car il anticipe la situation à laquelle nous allons être confrontés dans les années à venir. Le volume des données va devenir exponentiel avec le développement de toutes les technologies et de l’Intelligence artificielle. L’exploitation de leur valeur va donc continuer à être l’enjeu de profits gigantesques. Ceci d’autant que la majorité des données non personnelles qui sont celles dont il est question dans ce texte sont encore très peu utilisées et qu’elles représentent un énorme réservoir de données à usage commercial. Cependant la proposition doit gagner en simplicité et en transparence.
Sans doute par souci d’équité, la Commission souligne cependant que des garanties devront être prises pour éviter que le transfert de ces données non personnelles puisse avoir « une incidence négative sur les opportunités commerciales du fabricant ». Elle précise en outre vouloir « rééquilibrer le pouvoir de négociation » de ces PME pour éviter qu’elles se retrouvent face à des pressions de la part des grandes multinationales. Il instaure qu’il soit plus facile de changer de fournisseur de cloud sans perdre ses données ou les applications qu’elles développent. L’Institut iDFrights très sensible à la question de l’interopérabilité, se félicite donc que la proposition renforce l’encadrement de la circulation des données en prévoyant l’établissement de standards, encore faut-il qu’ils soient européens..
En application du RGPD, le texte impose aussi aux prestataires de services de traitement des données de mettre en place diverses mesures pour éviter que des gouvernements de pays extérieurs à l’UE ou à l’Espace économique européen puissent accéder illégalement aux données conservées dans les infrastructures de cloud européen.
L’Institut sera tout particulièrement attentif à l’évolution des dispositions proposées par la Commission concernant l’encadrement de manière drastique des modalités de demandes d’éventuels transferts de données de la part d’une juridiction extra-européenne et notamment américaine. Si on analyse avec précision ce point, il semble que la mise en œuvre de facilitateurs tels que des espaces communs de données prévus dans le « Data Governance » a plus de chance de porter ses fruits que le Data Act dont la nécessité et la proportionnalité restent encore à démontrer.
Les acteurs industriels européens craignent de voir leur transition numérique fragilisée par la complexité de l’architecture réglementaire du texte.
L’Institut s’inquiète de la rédaction de l’article 35 qui traite de la propriété intellectuelle. En fait, la Commission estime qu’avoir accès à des données brutes utiles ne nuit pas à la propriété intellectuelle. Elle considère que la propriété intellectuelle ne peut être revendiquée que pour les données raffinées.
L’Institut considère que cela risque de poser un problème avec le texte sur le secret des affaires, car les données qui seront disponibles peuvent porter atteinte au savoir-faire des entreprises et donner des indications importantes sur le fonctionnement d’une société qui pourraient être utilisées par la concurrence.
Il était effectivement urgent pour l’Europe de se doter d’un texte législatif qui va encadrer ce transfert de données non personnelles d’utilisateurs ou d’entreprises et d’établir les conditions dans lesquelles les informations détenues pourront être accessibles « au nom du bien public ». L’objectif de l’Europe doit être de rester proactive tout en sachant devancer les dérives que risquent de susciter l’apparition des nouvelles technologies numériques.
Le transfert des données, qu’elles soient personnelles ou industrielles, reste un secteur extrêmement sensible dont il faut éviter absolument qu’il puisse échapper au contrôle de ses propriétaires. L’Institut sera très attentif à l’évolution de cette proposition de règlement lorsqu’elle sera examinée par le Parlement européen.
Jean-Marie Cavada Président iDFrights
Colette Bouckaert Secrétaire Générale iDFrights