Le Data Act concerne les fabricants de produits connectés, les fournisseurs de services associés, les détenteurs et destinataires de données, ainsi que les organismes du secteur public. A l’instar du Règlement général sur la protection des données (RGPD), il crée des obligations à la charge des fabricants établis dans l’Union européenne (UE) ainsi qu’à ceux ne l’étant pas, dès lors que le public qu’ils visent se situe au sein de l’UE.

L’accès des utilisateurs aux données générées par leurs produits connectés : vers une valorisation de la mise à disposition des données…

La création d’une obligation pour les fabricants de produits connectés et les prestataires de services connexes de permettre à leurs utilisateurs, personnes morales ou physiques, d’accéder aux données générées par leurs produits ou services et de les réutiliser est une disposition majeure du règlement. Elle permet également de partager ces données avec un tiers, par exemple une personne peut partager certaines données recueillies par son véhicule connecté avec sa compagnie d’assurances. L’objectif est d’assurer une meilleure répartition de la valeur issue de l’utilisation des données produites par l’Internet des objets dont le potentiel économique est détenu majoritairement par quelques acteurs dominants.

Une telle obligation donne une nouvelle vigueur au droit à la portabilité des données personnelles prévu à l’article 20 du RGPD³. Le RGPD restreint en effet ce droit aux cas où les données sont traitées sur la base légale de l’exécution du contrat ou du consentement de la personne, tel qu’entendu par l’article 6 du RGPD⁴. La pratique de ce droit est également limitée par de nombreux obstacles, tels que la disparité des systèmes de traitement de données, la multiplicité des formats de données, ou encore le secret d’affaires ou le droit sui generis du producteur de bases de données.

Désormais, par l’intermédiaire du Data Act, la portabilité s’étend donc à toutes les données générées par l’utilisation du produit connecté, y compris personnelles, collectées en vertu de toute base légale de l’article 6 du RGPD. En outre, ce droit ne bénéficie pas uniquement à la personne concernée, mais plus largement à l’utilisateur du produit connecté, qui peut notamment être une personne morale. Ce nouveau droit reste cependant soumis à des exigences communes à celles du RGPD, notamment les exigences de pertinence et de minimisation des données portées. 

Enfin, cette obligation de mise à disposition des données sera assortie d’un droit pour les entreprises de réclamer une « compensation raisonnable » pouvant inclure une marge, dont les contours seront délimités par de futures lignes directrices de la Commission européenne. Ce mécanisme de compensation constitue le cœur du futur marché intérieur européen de la donnée, offrant aux entreprises un nouveau modèle économique autour de la mise à disposition des données qu’elles détiennent. 

Le partage obligatoire des données aux organismes du secteur public en cas de « besoin exceptionnel »

Ce texte impose également aux entreprises de mettre à disposition librement et gratuitement des données en leur possession au profit d’organismes du secteur public, de la Commission, de la Banque centrale européenne et d’organes de l’Union lorsqu’il existe un « besoin exceptionnel » de disposer de ces données pour exécuter une mission spécifique d’intérêt public ou répondre à une situation d’urgence publique, à l’instar de la pandémie de Covid-19. Cette utilisation se fera en contrepartie d’un défraiement au bénéfice des entreprises concernées couvrant les dépenses qu’elles auront engagées.

Afin d’assurer la compatibilité de cette nouvelle obligation avec le RGPD, les demandes des autorités seront soumises aux principes de limitation de la finalité, de proportionnalité, de transparence et de limitation dans le temps. Elles devront démontrer le besoin exceptionnel, la spécificité, la nécessité et la proportionnalité des données demandées au regard de la mission d’intérêt public poursuivie et les détenteurs de données concernés devront s’efforcer d’exclure les données à caractère personnel ou, a minima, de les pseudonymiser.

Le renforcement du droit des utilisateurs à la portabilité de leurs données en matière de services cloud

Le règlement accorde aux utilisateurs la possibilité d’exiger la portabilité de leurs données vers un tiers offrant le même type de services que l’entité initiale. Ce droit s’accompagne de l’obligation pour les fournisseurs de services de traitement de données de mettre gratuitement à la disposition de leurs clients des interfaces ouvertes afin de faciliter le processus de changement de fournisseur.

Ainsi, le texte facilite notamment la portabilité des données en matière de services cloud, en cas de changement de fournisseur d’infrastructure ou de recours à plusieurs d’entre eux par les utilisateurs professionnels. Il prévoit par exemple que l’utilisateur puisse retrouver une « équivalence fonctionnelle » lorsqu’il recourt à un nouveau service du même type.

La protection contre les clauses contractuelles abusives dans les contrats de partage de données entre entreprises

Le règlement contient des mesures visant à prévenir l’existence de déséquilibres dans les contrats relatifs à l’accès et à l’utilisation de données entre entreprises en raison de clauses contractuelles abusives imposées par une partie détenant une part de marché importante et, de fait, un pouvoir de négociation plus conséquent. Il vise notamment les clauses ayant pour objet ou pour effet d’exclure ou de limiter la responsabilité de la partie ayant unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave ; d’exclure les voies de recours dont dispose la partie à laquelle la clause a été unilatéralement imposée en cas d’inexécution d’obligations contractuelles ou la responsabilité de la partie qui a unilatéralement imposé la clause en cas de manquement à ces obligations ou de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d’interpréter toute clause contractuelle. Ici encore, l’objectif est de rétablir un équilibre compétitif au sein du marché du partage des données et de doter les petites et moyennes entreprises d’une plus grande marge de manœuvre.

La protection des secrets d’affaires et des droits de propriété intellectuelle

La question de la protection des secrets d’affaires et des droits de propriété intellectuelle a été une problématique centrale dans les négociations du Data Act. En effet, d’une part, les entreprises privées s’inquiétaient de l’effet du nouveau règlement et, d’autre part, les colégislateurs craignaient que cette problématique puisse être revendiquée par les entreprises à la moindre demande d’accès, vidant ainsi le texte de sa substance.

Le texte final reconnaît l’importance de la prise en compte des secrets d’affaires et des droits de propriété intellectuelle dans le partage des données et permet aux entreprises détentrices de données de refuser une demande d’accès à ce titre, mais encadre strictement ce droit de refus afin que l’exception ne devienne pas la règle. Le détenteur doit donc motiver de manière détaillée son refus « sur la base d’éléments objectifs, en particulier l’opposabilité de la protection des secrets d’affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées, ainsi que le caractère unique et neuf du produit connecté. »

Enfin, le Data Act contient des mesures visant à prévenir les demandes illégales de transfert ou d’accès à des données non personnelles détenues dans l’UE par des autorités de pays tiers. Il introduit également des mesures visant à promouvoir l’élaboration de normes d’interopérabilité pour le partage des données et les services de traitement des données, conformément à la stratégie de normalisation de l’UE⁵.

1. commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_fr

2. A l’exception des exigences relatives à l’accès aux données des produits connectés et services connexes et des règles relatives aux clauses contractuelles abusives qui s’appliqueront respectivement en 2026 et 2027.

3. www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3

4. www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2

5. ec.europa.eu/docsroom/documents/48598