LEAK : les règles du Data Act pour le partage des données, le changement de cloud et l’interopérabilité

Le Data Act est une législation horizontale pour les données non personnelles que la Commission européenne prévoit de présenter le 23 février. Les nouvelles règles s’appliqueront aux fabricants de produits connectés, aux fournisseurs de services numériques et aux utilisateurs dans l’UE. [lukeylukas7/Shutterstock]

La proposition de loi sur les données, ou Data Act, définit les règles de partage des données, les conditions d’accès des organismes publics, les transferts internationaux de données, la commutation du cloud et l’interopérabilité, selon le projet de texte qu’EURACTIV a pu consulter.

Le Data Act est une législation horizontale pour les données non personnelles que la Commission européenne prévoit de présenter le 23 février. Les nouvelles règles s’appliqueront aux fabricants de produits connectés, aux fournisseurs de services numériques et aux utilisateurs dans l’UE.

« Le volume de données générées par les humains et les machines a augmenté de manière exponentielle, mais la plupart des données ne sont pas utilisées, ou leur valeur est concentrée entre les mains d’un nombre relativement restreint de grandes entreprises », peut-on lire dans la proposition.

La Commission entend libérer le potentiel de l’innovation basée sur l’exploitation des données en créant des obligations légales de partage des données lorsque les appareils connectés (Internet des objets) commenceront à être plus répandus.

Droit d’accès

Le Data Act introduit le principe selon lequel chaque utilisateur, individu ou organisation, doit avoir accès aux données qu’il a contribué à générer.

À l’inverse, les produits connectés et les services associés, y compris les assistants virtuels, doivent, par défaut, mettre à disposition de l’utilisateur les données de manière accessible. L’utilisateur pourra utiliser ces données ou les partager gratuitement avec des tiers.

Lors du partage des données avec des tiers, le détenteur des données et l’utilisateur peuvent convenir de mesures visant à préserver la confidentialité des données et des secrets commerciaux. Les données transmises ne peuvent pas être utilisées pour développer des produits en concurrence avec le détenteur des données.

Notamment, les utilisateurs ou les tiers ne peuvent pas partager ces données avec des organisations désignées comme contrôleurs d’accès (gatekeepers) en vertu de la loi sur les marchés numériques (DMA). À leur tour, les gatekeepers n’ont pas le droit de solliciter l’utilisateur pour partager des données avec eux ou pour en recevoir.

Le Parlement européen adopte un règlement visant les géants de l’internet

Les législateurs de l’UE ont adopté leur version de la loi sur les marchés numériques (DMA) lors d’un vote en plénière mercredi 15 décembre, officialisant ainsi leur mandat pour entamer des négociations inter-institutionnelles avec le Conseil européen et la Commission.

Les détenteurs de données ne pourront pas mettre en place des moyens coercitifs ou empêcher techniquement le partage des données et ne pourront demander des informations que pour vérifier que la demande provient d’un utilisateur ou d’une partie autorisée.

Pour éviter les interfaces truquées, les tiers ne peuvent « en aucun cas contraindre, tromper ou manipuler l’utilisateur, en subvertissant ou en altérant son autonomie, sa prise de décision ou ses choix, y compris au moyen d’une interface numérique avec l’utilisateur. »

Les micro et petites entreprises sont exclues de ces obligations, sauf si elles sont « économiquement dépendantes d’une autre entreprise qui n’est pas qualifiée de micro ou petite entreprise. »

Obligations contractuelles inéquitables

Les clauses contractuelles doivent être équitables, raisonnables et non discriminatoires, sinon elles seront considérées comme nulles. Une clause contractuelle abusive « s’écarte grossièrement des bonnes pratiques commerciales en matière d’accès et d’utilisation des données, ce qui est contraire à la bonne foi et à la loyauté. »

Le projet de loi renverse la charge de la preuve en indiquant que « lorsque l’autre entreprise considère que les conditions sont discriminatoires, il appartient au détenteur des données de prouver qu’il n’y a pas eu de discrimination. »

En cas de désaccord, les deux parties peuvent se référer à des organismes de règlement des différends, certifiés par les États membres, mais seuls les différends qu’un autre organisme ou un tribunal n’a pas déjà traités seront rejetés. Les parties pourront toujours demander un recours devant un tribunal national.

Les compensations pour la mise à disposition des données doivent être raisonnables et non discriminatoires. Pour les PME, la compensation ne doit pas dépasser le coût réel de la demande.

DSA : l’accès aux données des plateformes est une priorité, selon une prix Nobel de la paix

L’accès aux données des plateformes dans le cadre du DSA devrait être étendu aux journalistes et aux ONG, a déclaré la lauréate du prix Nobel de la paix Maria Ressa au Parlement européen mardi 1er février.

Accès du secteur public

Les organismes publics peuvent accéder aux données dans des circonstances exceptionnelles, notamment pour répondre à une urgence publique ou remplir des obligations légales.

Les urgences publiques comprennent les catastrophes naturelles, les urgences en matière de santé publique et les attaques terroristes, à l’exclusion de l’application de la loi. En cas d’urgence, les données doivent être fournies gratuitement, tandis que le détenteur des données peut demander une compensation égale aux coûts réels dans les autres cas.

Les demandes de partage de données doivent être proportionnées et ne pas porter préjudice au détenteur des données. L’organisme public ne réutilisera pas les données obtenues mais pourrait les mettre à disposition pour la recherche scientifique.

Le cas échéant, le détenteur des données doit « faire des efforts raisonnables pour pseudonymiser les données. »

Cloud switching et interopérabilité

La proposition note que SWIPO, une initiative non contraignante visant à faciliter le changement de cloud, « semble ne pas avoir affecté de manière significative la dynamique du marché. »

Par conséquent, la législation introduit des obligations pour que les contrats contiennent des clauses pour soutenir la commutation, des exigences d’interopérabilité, et une période de transition pour finalement interdire aux fournisseurs de services de traitement des données de facturer des frais pour la commutation.

Si quelqu’un décide de transférer un service d’exploitation, un logiciel ou une application d’un service en nuage à un autre, il doit bénéficier d’une « équivalence fonctionnelle ». Les fournisseurs doivent garantir la compatibilité avec les normes ouvertes ou les interfaces d’interopérabilité pour tous les autres services.

La Commission demandera à un ou plusieurs organismes européens de normalisation de rédiger des normes harmonisées pour l’interopérabilité des services du cloud. Si cela est jugé insuffisant, l’exécutif européen pourrait adopter un acte d’exécution imposant des spécifications communes, des normes ouvertes ou des interfaces ouvertes.

Données de santé : la CNIL invitée à son tour à se pencher sur Google Analytics

La Commission nationale de l’information et des libertés (CNIL) a été saisie par le collectif Interhop, deux semaines après que la Datenschutzbehörde (DSB), son homologue autrichien, a estimé que l’utilisation de Google Analytics était contraire au droit européen en matière de protection de la vie privée.

Transferts de données

Les fournisseurs de services de cloud doivent prendre toutes les mesures raisonnables pour empêcher l’accès gouvernemental ou les transferts de données non personnelles qui seraient contraires au droit européen ou national.

Les ordonnances judiciaires de pays tiers ne seraient reconnaissables que si elles sont fondées sur un accord international. Si le pays donneur d’ordre remplit certaines conditions, la quantité minimale de données autorisée peut être partagée.

Exécution

La mise en œuvre est laissée aux mains des autorités compétentes conçues par les États membres, les sanctions étant également définies au niveau national.

Subscribe to our newsletters

Subscribe