Le règlement Data Act : Que se prépare-t-il ? par Jean-Marie Cavada et Colette Bouckaert

12 octobre 2022

Accueil I #Contributions I Le règlement Data Act : Que se prépare-t-il ? par Jean-Marie Cavada et Colette Bouckaert

LE REGLEMENT DATA ACT : QUE SE PREPARE T’IL ?

La présidence Tchèque

Le Conseil a déjà passé en revue l’ensemble du texte et le 15 septembre 2022. Le groupe télécom qui est composé des délégations compétentes des pays membres de l’UE a examiné le projet de compromis tchèque.
Ce nouveau compromis porte sur les chapitres VI et XI de la proposition de la Commission.
Alors qu’une grande partie du Data Act porte sur la question de savoir qui peut accéder aux données générées par les appareils connectés, le chapitre VI veut donner aux clients du cloud plus de pouvoir pour changer de fournisseur, en s’attaquant aux effets dits de « verrouillage » (comme les frais ou les obstacles techniques). Les tchèques sur ce point souhaitent renforcer les obligations pesant sur les fournisseurs de services de traitement des données dont ceux des services en nuage, lorsque leurs clients veulent changer de fournisseur.
La Commission prévoyait déjà que les fournisseurs de services de traitement des données devaient supprimer les obstacles qui empêchaient les clients de résilier le contrat ou de transférer leurs données vers un nouveau fournisseur. La Présidence du Conseil a modifié ces dispositions (articles 23 à 26). Aux clauses existantes, elle a ajouté les métadonnées et une clause demandant la suppression totale des données des clients lorsqu’ils décident de transférer leurs données vers un autre fournisseur.
Les clauses contractuelles doivent également garantir un « haut niveau de sécurité » pendant le processus de portage indique le texte de la Présidence du Conseil. Les clients pourront également transférer leurs données vers un système sur site plutôt que vers un autre fournisseur de services en nuage.
Ces propositions de Prague suggèrent en fait d’obliger les fournisseurs de services de traitement de données de proposer une API (interface de programmation d’application) ouverte pour l’extraction des données, non plus accessible au public mais disponible dans la même mesure pour les clients et leur nouveau fournisseur.
Le texte de compromis précise en outre les dispositions concernant d’éventuelles violations du règlement ainsi que les différentes missions des autorités compétentes. Elle introduit un article détaillant le rôle du futur Comité européen de l’innovation (art 34a) vis-à-vis du Data Act.
Lors de la session de travail du Conseil du 15 septembre, a été par ailleurs discuté la possible restriction du droit generis (art 35) qui protège les bases de données nécessitant des efforts particuliers de collecte, de vérification ou de présentation. La Commission proposait que ce droit ne s’applique pas aux données « obtenues ou générées par l’utilisation d’un produit ou d’un service lié ». Cette restriction du droit sui generis devrait donc être recadrée.

Le parlement européen

Le travail au Parlement européen ne fait que commencer.
Le projet de rapport de l’Eurodéputée Pilar Del Castillo (PPE-ES) en ITRE a été rendu public simplement le 22 septembre 2022.
La rapporteure se focalise sur l’Internet des objets (IoT) et sur l’accès aux données des entreprises par les pouvoirs publics en cas d’urgences publiques (B2G). Elle laisse en revanche de côté la question de la capacité pour les organisations de changer de fournisseur de cloud, prérogative de la commission du Marché intérieur (IMCO) conformément au partage des compétences décidé le 30 juin 2022.

Les points d’intérêt du rapport ITRE sont les suivants :

– Tout comme la Commission européenne, la rapporteure considère que les utilisateurs devraient avoir accès aux données qu’ils contribuent à produire et être en mesure de les partager. Cependant, elle insiste pour que la nouvelle réglementation évite « de créer de nouveaux coûts additionnels considérables et des incertitudes juridiques pour les entreprises »
– Elle conserve l’approche de la Commission européenne, à savoir l’obligation pour les entreprises détentrices de données de mettre ces dernières à la disposition de tiers sur demande des utilisateurs. Comme annoncé, elle souhaite ajouter toutefois une exemption pour les micros, petites et moyennes entreprises.

Commentaire de l’Institut

Cette demande d’exemption revient très régulièrement dans les projets de rapports et d’avis au Parlement européen. L’Institut est réticent face à ces dispositions. C’est ne pas tenir compte que les multinationales ont une grande faculté à s’essaimer en plus petites structures pour contourner la législation européenne. Par ailleurs, certaines micros, petites et moyennes entreprises peuvent tout à fait générer un grand nombre de données.

Le texte précise également le lien entre la proposition et le principe du secret des affaires. Selon la rapporteure, l’obligation de partage des données devrait principalement couvrir les données brutes ou celles qui ont fait l’objet d’un traitement simple. Les métadonnées devraient également être concernées. A contrario, « les données, qui ont fait l’objet d’un traitement sophistiqué, devraient être exclues afin de ne pas entraver les investissements antérieurs et respecter les droits de propriété intellectuelle et les secrets commerciaux ». Idem pour les données résultant de l’utilisation d’un produit ou d’un service connexe dans le cadre de tests de produits qui n’ont pas été mis sur le marché.

Pilar del Castillo ne rejette pas en bloc l’idée de permettre aux entités publiques d’accéder gratuitement aux données privées en cas de « circonstances exceptionnelles » mais elle demande de préciser ces situations. Une démarche qui fait écho à la position du Conseil. Pour la rapporteure, l’objectif devrait être de répondre à une urgence publique, « comme une urgence de santé publique ou d’une catastrophe naturelle majeure », ou de prévenir une urgence publique « imminente ». Selon elle, les autres cas devraient donner lieu à une rémunération équitable couvrant, « au minimum », les coûts de traitement et de partage des données demandées. 

Il sera très utile de s’assurer au cours de l’élaboration du texte que le Data Act reste bien compatible avec le Data Governance Act.

La rapporteure introduit également des garde-fous afin d’éviter des demandes multiples à un même détenteur de données et prévoit que la Commission soit informée dans les vingt-quatre heures suivant une demande justifiée par un besoin exceptionnel.

Le rapporteur pour avis de la commission du marché intérieur (IMCO), Adam Bielan (CRE) vient de publier son rapport. Il souhaite la suppression de l’obligation faite aux fournisseurs de cloud de maintenir « une équivalence fonctionnelle ».

Commentaire de l’Institut

L’Institut suivra l’évolution de cette proposition de la Commission car elle avait un intérêt essentiel pour les utilisateurs qui doivent pouvoir bénéficier lors d’un changement de fournisseur d’un service de même qualité que celui qu’il vienne de quitter.

Le rapporteur préconise également que le préavis de trente jours pour résilier un contrat auprès d’un fournisseur de service puisse être adapté et que ce dernier puisse proposer contractuellement à ses clients une période de préavis modulable.

Contrairement à la position de la Commission et du Conseil, le rapporteur suggère de ne pas faire peser des obligations sur le nouveau fournisseur de service (article 24a) au moment du changement et notamment celle concernant la portabilité des données.

Monsieur Biélan dans son projet de texte propose également de préciser la notion de « détenteur de données » qui est un sujet qui a fait l’objet de nombreuses controverses en excluant « les entités qui se contentent de fournir des ressources de stockage ou de calcul aux tiers

La Commission des affaires juridiques du Parlement européen (JURI) a quant à elle obtenu après de longues tractions internes d’émettre un avis sur le rapport mais uniquement sur les questions relevant de ses compétences exclusives. Elle sera donc associée également aux travaux parlementaires sur le Data Act.

Le rapporteur pour avis, Iban Garcia del Blanco (S&D – ES) a insisté sur le fait qu’il entendait mettre l’accent sur la protection du secret des affaires.  La Commission de son côté a bien averti qu’il n’était pas question de revenir sur cette Directive, mais elle a reconnu qu’il fallait veiller à éviter la faille juridique alors que le secret des affaires peut-être invoqué unilatéralement par une entreprise. Monsieur Del Bianco a également indiqué que les travaux futurs porteraient également sur la responsabilité des acteurs et le modèle de gouvernance en tenant compte de la taille des acteurs concernés. Les échanges de données avec les gouvernements feront aussi partie des discussions. Le vote en Juri est prévu pour Janvier 2023

Prochaines étapes pour la commission ITRE

  • 26 octobre : premier échange de vues 
  • 28 octobre : date limite pour le dépôt des amendements 
  • Février 2023 : vote en commission 
  • Mars : Vote en plénière (à confirmer)

Jean-Marie Cavada

Président de l’iDFRights

Colette Bouckaert

Secrétaire générale de l’iDFRights