Timelex
Éminent cabinet belge d’avocats
Menu

L'insoutenable légèreté des données - comment la loi européenne sur les données réglementera l'insaisissable

Author info
Magdalena Kogut
Magdalena Kogut-Czarkowska
Hans Graux
Hans Graux
17/03/2022
Protection de la vie et des données

La Commission européenne a publié sa proposition tant attendue de loi européenne sur les données (nom complet : Règlement du Parlement européen et du Conseil concernant des règles harmonisées relatives à l'accès équitable aux données et à leur utilisation, « Data Act »). Timelex a eu l'honneur d'assister la Commission dans deux études distinctes, fournissant une partie de l'analyse qui a précédé l'adoption de la proposition. Dans cet article de blog, nous explorons l'approche ambitieuse de l'UE pour réglementer l'accès aux données et fournissons des réponses aux questions les plus pertinentes pour les entreprises et les consommateurs.

Pourquoi l'UE veut-elle réglementer les données ? Quelles données seront concernées ?

L'UE débat depuis longtemps de la nécessité de faire en sorte que l'accès aux données soit possible plus fréquemment, et dans des conditions plus équitables. Le Data Act est le résultat de ces discussions et réglemente les informations numériques au sens très large, notamment les informations générées par les appareils connectés et les diverses données détenues par les entreprises. Il peut également inclure les données personnelles, bien qu'il ne s'y limite pas et ne soit pas centré sur ces dernières.

L'objectif du Data Act est ainsi :

  • la mise à disposition des données générées par l'utilisation d'un produit ou d'un service connexe à l'utilisateur de ce produit ou service,
  • la mise à disposition des données par les détenteurs de données aux destinataires des données,
  • le partage obligatoire de données entre entreprises et administrations, lorsqu'il existe un besoin exceptionnel,
  • traiter la question des clauses contractuelles abusives liées au partage des données,
  • faciliter le passage d'un service de traitement des données à un autre,
  • protéger les données non personnelles de l'UE détenues par certains prestataires de services.

La proposition recoupe un certain nombre d'autres lois européennes (telles que le GDPR, le règlement sur le libre flux des données non personnelles, la directive sur les bases de données, la directive sur les données ouvertes, la directive sur les clauses contractuelles abusives) et de propositions (notamment la loi sur les marchés numériques et la loi sur la gouvernance des données). Elle s'appliquera essentiellement à toute personne située dans l'UE et faisant des affaires dans l'UE.

Comment le Data Act bénéficiera-t-il aux utilisateurs d'appareils connectés ?

De plus en plus de produits sont connectés à Internet, qu'il s'agisse d'une voiture, d'un appareil ménager tel qu'une machine à café ou un réfrigérateur, d'assistants virtuels, de dispositifs médicaux ou de machines industrielles. Ces machines - dont la plupart des appareils IoT - génèrent une grande quantité de données sur leur utilisation. En outre, différents services, tels que des applications logicielles, sont nécessaires pour faire fonctionner les produits et créent également des données. Ces données sont souvent conservées par le fabricant ou le distributeur du produit ou le fournisseur du service (le Data Act utilise le terme « détenteur de données »). Actuellement, les règles d'obtention de ces données auprès du détenteur du produit ne sont pas simples. Dans la pratique, cela permet au détenteur de s’accaparer une grande partie de la valeur économique des données en imposant toutes les contraintes qui lui sont bénéfiques.

Le Data Act donnera aux utilisateurs des produits connectés et des services connexes le droit d'accéder aux données générées par ces produits et services. Ces données peuvent être nécessaires pour leur réparation, mais pourraient également être utilisées à d'autres fins et services. Par exemple, un propriétaire de voiture pourrait exporter les données de son véhicule vers l'assureur afin d'obtenir une réduction pour avoir été un conducteur prudent, ou une entreprise pourrait engager un consultant qui analyse les données obtenues à partir de ses machines IoT pour optimiser ses opérations commerciales.

Quelques points importants à noter :

  • le droit de l'utilisateur sera gratuit et ne sera paslimité aux consommateurs. Une entité commerciale qui a acheté ou loué un produit connecté (par exemple, une machine à café pour ses employés) pourra également demander les données relatives au produit ;
  • des restrictions sur ce que l'utilisateur peut faire avec les données obtenues s'appliqueront. Par exemple, l'utilisateur ne peut pas exploiter ces informations pour développer un produit concurrent ;
  • les produits connectés devront être conçus de manière à faciliter l'extraction des données pour l'utilisateur, par exemple via un compte en ligne ;
  • l'utilisateur devra être informé - entre autres - des données qui seront produites par un appareil connecté et de la manière dont il pourra y accéder, de façon claire et complète.

Certaines limites importantes s'appliquent également :

  • le Data Act ne s'applique pas aux données provenant de produits dont la fonction principale est de stocker et de traiter des données. Ainsi, les données d'un smartphone, d'une télévision intelligente ou d'un ordinateur portable ne seront pas couvertes ;
  • le droit d'accès aux données ne s'applique pasaux informations dérivées ou déduites des données de la machine (par exemple, l'interprétation de ces données faite par le fabricant).

Les fabricants pourront-ils encore utiliser les données des appareils qu'ils ont produits ?

Oui, mais pas sans limites. Les fabricants devront conclure un accord avec l'utilisateur concernant leur utilisation des données non personnelles générées par le produit. En outre, ils ne seront pas autorisés à déduire de ces données des informations sur la situation économique de l'utilisateur, ses actifs ou ses méthodes de production si cela peut nuire à la position commerciale de l'utilisateur sur le marché. Par exemple, cela protège les agriculteurs qui utilisent des équipements agricoles intelligents contre les fabricants qui utiliseraient les informations sur les rendements agricoles pour spéculer sur le prix des produits agricoles, utilisant ainsi les données de l'agriculteur contre lui.

Quelles autres entités peuvent demander les données sur les appareils connectés ?

Le détenteur des données devra mettre les données de l'appareil connecté à la disposition de tout tiers qui agit à la demande de l'utilisateur. Ce droit pourrait être utile aux fournisseurs de services de réparation ou d'autres services après-vente. La Commission espère ainsi faciliter la concurrence et l'innovation.

Quelques points pratiques à noter :

  • le détenteur des données devra mettre les données à la disposition des tiers à des conditions équitables, raisonnables et non discriminatoires et de manière transparente. En particulier, il ne pourra pas faire de discrimination entre des catégories comparables de destinataires, par exemple en donnant une qualité de données différente aux entreprises qui lui sont liées qu'aux entreprises non-partenaires.  Les contrats exclusifs seront en principe interdits ;
  • l'accès aux données des produits par un tiers peut être gratuit ou non. Le Data Act autorise le détenteur des données à fixer une compensation raisonnable pour tout coût encouru pour fournir un accès direct aux données (c'est-à-dire les coûts nécessaires à la reproduction des données, à leur diffusion par des moyens électroniques et à leur stockage, mais pas à leur collecte ou à leur production) ;
  • après avoir reçu l'accès aux données, le tiers ne peut utiliser les données qu'aux fins convenues avec l'utilisateur et doit les supprimer une fois cette finalité atteinte. Ils ne peuvent pas non plus, par exemple, transmettre les données à une autre partie, sauf si cela est nécessaire pour le service demandé par l'utilisateur.

Les micro et petites entreprises seront exemptées de ces obligations en tant que détenteurs de données. Le Data Act intervient également lorsqu'il s'agit d'entreprises fournissant des services de plateforme de base qui ont été désignées comme des « gatekeepers » par la loi sur les marchés numériques. Ces « gatekeepers » ne pourront pas bénéficier de ce droit d’accès aux données. Il leur est également interdit d'inciter les utilisateurs à leur fournir les données qu'ils ont eux-mêmes obtenues auprès d'autres détenteurs de données. Cette mesure peut être interprétée comme une tentative visant à empêcher la fuite des données des petits acteurs vers les entreprises déjà riches en données.

Cela signifie-t-il que mon entreprise devra divulguer nos données à ses concurrents ?

Cela est possible, mais dépend de vos activités commerciales et des projets de vos concurrents. Par exemple, cela peut arriver si votre client souhaite faire réparer son appareil connecté dans un autre atelier de réparation, ce qui nécessiterait que cet atelier accède à vos données.

La proposition tente d'établir un équilibre prudent entre les intérêts des détenteurs de données et ceux des destinataires des données, qui peuvent être des concurrents. Les litiges relatifs aux conditions d'accès aux données peuvent être résolus non seulement devant les tribunaux, mais aussi par des organismes certifiés de règlement des litiges mis en place par les États membres.

Attendez, les droits sur la base de données ne vont-ils pas faire obstacle aux droits d'accès aux données ?

Non. Le Data Act modifiera également la directive sur les bases de données. Ainsi, le droit sui generis qui protège les investissements substantiels dans une base de données ne s'appliquera pas aux bases de données contenant des données obtenues ou générées par l'utilisation d'un produit ou d'un service connexe.

Le Data Act affectera-t-il les conditions contractuelles relatives au partage des données ?

Oui, mais tous les contrats de partage de données ne seront pas concernés. Le Data Act n'intervient que lorsqu'il s'agit de dispositions relatives à l'accès aux données et leur utilisation qui sont imposées unilatéralement par une entreprise à une micro, petite ou moyenne entreprise (« PME »). Le Data Act intervient donc dans la liberté de contracter dans un contexte B2B.

Ces dispositions visent à remédier à un potentiel déséquilibre dans les conditions de service « à prendre ou à laisser » proposées par les grands fournisseurs de certains services liés aux données (par exemple les fournisseurs d'hébergement). Les PME ne sont souvent pas en mesure de les négocier et peuvent donc être contraintes d'accepter des conditions préjudiciables ou inéquitables si elles achètent ces services.

Exemples :

  • de clauses contractuelles abusives : exclure ou limiter la responsabilité de la partie qui a imposé unilatéralement les clauses pour les actes intentionnels ou la négligence grave ;
  • de clauses présumées abusives : les dispositions permettant à la partie imposante d'accéder aux données de la partie contractante la plus faible et de les utiliser d'une manière qui porte un préjudice important aux intérêts légitimes de cette autre partie contractante, ou les dispositions permettant à la partie la plus forte de résilier le contrat dans un délai déraisonnablement court.

Les exemples énumérés dans le Data Act devraient servir de référence pour interpréter la disposition générale sur le caractère abusif. Le Data Act stipule que les clauses abusives ne seront pas contraignantes pour la partie la plus faible.

Mon entreprise devra-t-elle mettre ses données à la disposition du gouvernement ?

C'est possible, mais uniquement dans des conditions très spécifiques. Le Data Act permet aux autorités gouvernementales et aux organismes publics de demander des données directement à leur détenteur, par exemple une entreprise, s'ils démontrent qu'il existe un besoin exceptionnel d'utiliser ces données. Il n'est pas surprenant que la pandémie de COVID soit souvent invoquée comme un exemple où il existe un intérêt d'ordre public évident pour les administrations publiques de demander des données détenues par des entités privées. Il existe toutefois un certain nombre d'exigences que les autorités doivent remplir, de sorte que cette capacité doit être considérée comme exceptionnelle, plutôt que comme une règle.

Entre autres :

  • Les gouvernements ne peuvent demander l'accès que dans des circonstances particulières, par exemple en cas d'urgence publique ou dans des situations où le manque de données empêche l'autorité d'accomplir ses tâches et où l'autorité n'a pas pu obtenir les données par d'autres moyens.
  • La demande doit être justifiée et proportionnée. Des restrictions sont également imposées à l'autorité en ce qui concerne le traitement des données reçues, visant par exemple à respecter la vie privée de toute donnée personnelle divulguée ou la confidentialité des secrets commerciaux.
  • Les données obtenues par le gouvernement ne seront pas disponibles pour une réutilisation au sens de la directive sur les données ouvertes. Cette disposition garantit que le fait d'obéir à une telle demande du gouvernement n'a pas pour conséquence de rendre les données accessibles à d'autres parties.

L'entreprise qui reçoit une telle demande doit s'y conformer sans délai. Toutefois, le Data Act prévoit une procédure permettant de contester la demande de l'autorité. En principe, les données doivent être fournies gratuitement au gouvernement (certaines exceptions s'appliquent).

Le Data Act facilitera-t-il le passage d'un fournisseur de services Cloud à un autre ?

Oui, en vertu du Data Act, les fournisseurs de services dits « de traitement des données » devront permettre à leurs clients de changer de fournisseur sans entrave, en s'appuyant sur le droit à la portabilité des données prévu par le GDPR, lequel est toutefois limité aux données personnelles. Cela s'appliquera aux services numériques qui permettent une « administration à la demande » et un important accès à distance à un ensemble évolutif et flexible de ressources informatiques partageables. Les services Cloud en sont l'exemple le plus évident.

Le Data Act énumère diverses exigences que le contrat de services de traitement des données devra inclure. Ces dispositions visent à renforcer la position des clients de de services Cloud et à préserver leur choix de changer de fournisseur sans risquer de perdre leurs données ou la continuité de leurs activités.

En outre, le Data Act encouragera l'utilisation de clauses contractuelles types volontaires pour les fournisseurs de services de traitement, qui seront publiées par la Commission.

Comment le Data Act protège-t-elle les données non personnelles contre leur transfert en dehors de l'UE ?

Le GDPR interdit les transferts illicites de données personnelles en dehors de l'EEE. Toutefois, cela ne résout pas les préoccupations concernant l'accès illégal de tiers aux données non personnelles détenues dans l'UE par les services de traitement des données. Ainsi, la proposition introduit des dispositions visant à protéger, par exemple, les informations pertinentes pour la sécurité ou la défense nationale, les données commercialement sensibles, les secrets commerciaux et les droits de propriété intellectuelle, contre l'obtention illégale par des pays hors UE (pays tiers). Il convient de noter que le champ d'application de la protection est plus large en théorie que celui du GDPR : là où le GDPR réglemente les transferts de données personnelles, le Data Act exige des fournisseurs qu'ils protègent les données contre le risque d'accès (même en l'absence de tout transfert réel).

En vertu de ces dispositions, les fournisseurs de services de traitement des données (tels que les services Cloud et services en périphérie ou « edge services ») seront tenus de prendre toutes les mesures techniques, juridiques et organisationnelles raisonnables pour empêcher des accès de pays tiers entrant en conflit avec des obligations concurrentes de protection de ces données en vertu du droit de l'UE, sauf si des conditions strictes sont remplies. En principe, le transfert de ces informations ne devrait être autorisé que s'il existe un traité international du pays demandeur avec l'UE ou un État membre. En l'absence d'accord international, le transfert ou l'accès ne devrait être autorisé que si le fournisseur a vérifié que le système juridique du pays tiers offre certaines garanties, notamment : les motifs et la proportionnalité de la décision exigeant l'accès, les recours dont dispose le destinataire pour contester cette décision et les pouvoirs du tribunal qui entendra l'objection. Le fournisseur devra également informer le titulaire des données de la réception d'une demande d'accès à ses données.

Le Data Act comporte-t-il des exigences en matière d'interopérabilité ?

Oui, le Data Act contient des exigences en matière d'interopérabilité qui seront pertinentes pour les opérateurs d'espaces de données, les fournisseurs de services de traitement des données et les vendeurs d'applications utilisant des contrats intelligents. La Commission pourra également demander que des spécifications techniques ou des normes facilitant une interopérabilité effective du Cloud aux niveaux PaaS (platform-as-a-service) et SaaS (software-as-a-service) soient élaborées par les organismes de normalisation européens.

Y aura-t-il des sanctions en cas de non-conformité ?

Oui, les infractions aux obligations du Data Act seront sanctionnées par des amendes financières de type GDPR pouvant aller jusqu'à 20 000 000 EUR, ou dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

La proposition exige de chaque État membre qu'il désigne une ou plusieurs autorités compétentes chargées de veiller à l'application de la loi. Les personnes physiques et morales auront le droit de demander réparation pour les violations de leurs droits en vertu du Data Act en déposant des plaintes auprès de ces autorités.

Quand le Data Act s'appliquera-t-il ?

Le Data Act vient d'être publié et il devra être adopté par les législateurs de l'Union européenne. Dans les semaines à venir, les co-législateurs, le Conseil de l'UE et le Parlement européen évalueront la proposition et entameront les discussions. Une fois adoptées, les règles commenceront à s’appliquer un an après l'entrée en vigueur du règlement.

Vous voulez en savoir plus ?

Projet de règlement : lien

Questions et réponses : lien

Vous avez une question spécifique ou souhaitez du soutien en la matière ? Nous serons heureux de vous aider. Réservez un appel gratuit de 15 minutes avec Magdalena à magdalena.kogut.lawyer.brussels (réservé aux organisations).

Related posts