L’économie de la donnée est encore bridée par des contraintes techniques et légales limitant l’essor de nouveaux services et créant des rentes de situation pour certains fabricants ou opérateurs. La Commission européenne entend y remédier avec un nouveau règlement.
Présentée en février 2020, la stratégie européenne des données a rappelé la nécessité de protéger et de renforcer le marché unique de libre circulation des données de toute nature, personnelle ou non.
Un complément nécessaire mais discuté au Data Governance Act
Le premier texte pris en application de cette stratégie est le règlement « Data Governance Act » adopté le 30 novembre 2021. Il introduit les conditions dans lesquelles les organismes du secteur public peuvent autoriser la réutilisation de certaines données qu’ils détiennent et protégées par une loi ou le secret. Il pose le cadre facilitant l’accès et la diffusion de données, sans donner les clés ni les conditions de création et de partage de valeur autour de ces données.
Le Data Act, seconde initiative au titre de la stratégie des données, répond à ces questions. Il a l’originalité d’apporter des solutions aussi bien pour les entreprises que pour le consommateur, qu’au profit d’autorités publiques dans l’accès à la donnée « privée ». Ce projet de texte a aussi vocation à renforcer la souveraineté européenne face aux effets extraterritoriaux de lois étrangères, notamment le Cloud Act américain. La proposition de règlement datant du 23 février 2022, elle, est en phase de consultation. Le Comité européen pour la protection des données personnelles et le contrôleur européen viennent de rendre un avis conjoint1 en demi-teinte, craignant une dilution des responsabilités sur la donnée. La CGPME en France2, l’association d’éditeurs de logiciels, le BSA3 et beaucoup d’autres parties prenantes4 ont déjà exprimé leurs avis autant positifs que négatifs sur ce texte. La CGPME salue les avancées pour les petites et moyennes entreprises qu’elle représente ne serait-ce qu’en garantissant l’effectivité d’un « right to repair »5 mais s’inquiète de quelques lacunes dans le texte limitant l’impact ou l’applicabilité des nouveaux droits ouverts sur la donnée. Les représentants des grands éditeurs dénoncent, quant à eux, le trop grand nombre de textes différents et concomitants de ce paquet numérique et exigent que le Data Act soit affiné et limité dans son application. Au vu des débats qu’il suscite, ce nouveau règlement ne devrait pas être approuvé avant fin 2022.
Libérer et faire circuler la donnée
Le consommateur comme l’entreprise disposent de plus en plus d’objets connectés dont les données produites ne leur sont pas toujours accessibles ni même lisibles et qui sont exclusivement réservées par le fabricant. Le point d’équilibre à trouver réside dans la recherche d’une certaine forme de protection que le fabricant mérite compte tenu des investissements réalisés et le partage des données au profit de l’utilisateur et même de tiers. L’accès à cette donnée peut permettre en effet de faciliter la création de services après-vente pas toujours proposés par le fabricant, voire plus ou moins à dessein négligés ou réservés par ce dernier. Ces services de maintenance plus abordables, tout en étant aussi fiables grâce à une donnée de source directe, favorisent la concurrence et peuvent aussi permettre l’apparition de nouveaux services. Le texte proposé par la Commission permet néanmoins d’atteindre un équilibre en interdisant le partage de données aux concurrents directs du fabricant, de sorte à les inciter à continuer de produire de la donnée de haute qualité tout en couvrant leurs coûts. Il faut relever aussi que le présent règlement exclut la protection par le droit sui generis sur les bases de données au sens de la directive 1996/9/CE pour l’exercice des droits ouverts par le Data Act. La constitution d’un ensemble informationnel par réorganisation, croisement et enrichissement de la donnée collectée grâce au Data Act doit néanmoins rester protégeable au titre de ce droit sui generis.
Le Data Act ne cherche pas à trancher le débat fondamental du caractère appropriable ou non de la donnée. L’approche est résolument pragmatique et vise à rendre effectifs l’accès et l’utilisation de la donnée.
La gratuité est acquise pour les utilisateurs de l’objet ou du système produisant la donnée. Pour les tiers souhaitant proposer d’autres services, les contrats de partage de données ne seront pas nécessairement gratuits : le Data Act n’étend pas le périmètre des droits couverts par les textes existants sur l’open access (scientifique) ou l’open data (public). Des frais d’accès « raisonnables » pourront être convenus, en lien direct avec les coûts d’extraction et d’hébergement pour téléchargement de la donnée.
La libre négociation devrait prévaloir. Pour prévenir les déséquilibres contractuels excessifs au détriment des PME, sont considérées comme inéquitables et donc ne doivent plus être contraignantes, les clauses qui excluent la responsabilité du prestataire pour faute intentionnelle ou négligence, limitant discrétionnairement les conditions d’usage des données, fixant unilatéralement les conditions de résolution, excluant ou limitant la possibilité d’obtenir une copie des données. A cette fin, des clauses contractuelles types seront proposées par la Commission pour permettre aux entreprises de rédiger et de négocier des contrats de partage équitable des données.
Par exception, les organismes publics pourront accéder gratuitement à certaines données pour répondre à des situations particulières (par exemple, une catastrophe naturelle) et leur permettre de réagir dans les meilleures conditions de sécurité et d’efficacité dans l’intérêt public.
Tous les nouveaux droits que le texte ouvre sur les données restent néanmoins soumis au prérequis technique de faisabilité, ouvrant la voie à une certaine inertie de la part du détenteur de la donnée peu coopérant. Le Data Act renvoie à l’échelon national les pénalités qui devraient sanctionner les obligations de ce texte.
Faciliter les conditions d’hébergement de la donnée
Héberger la donnée requiert d’avoir recours à un prestataire informatique le plus souvent de type « cloud » même si, pour donner une plus large portée à son texte tout en garantissant une certaine « neutralité technologique », la Commission a préféré viser les « services de traitement des données » là où l’application de la directive NIS, avait volontairement été limitée aux prestataires de services informatiques en nuage. Quelle que soit la nature ou la forme technique du service de traitement de la donnée, le prestataire a développé sa propre plateforme propriétaire, créant de fait un risque de dépendance technique pour l’utilisateur. Des tentatives de régulation sur le marché ont déjà été menées pour réduire cette dépendance, à l’instar de la norme ISO/IEC 17789:2014 qui tout en s’attachant à définir l’architecture fonctionnelle de référence d’un service cloud, c’est-à-dire la façon de construire une plateforme de services cloud computing, doit permettre une interopérabilité entre différents prestataires pour faciliter les échanges de données entre plateformes autant que le changement de prestataire. Cette norme est restée quasi confidentielle.
Le chapitre VIII du projet de règlement couvre ces attentes avec formats de données compatibles et API disponibles, notamment. La Commission peut adopter des lignes directrices sur les spécifications techniques utiles tout en appelant des organismes de normalisation à proposer des normes. L’interopérabilité et/ou la portabilité (ici le transfert de données dans le texte) ne peuvent être confondues avec la réversibilité, de sorte que combiné à ces nouvelles règles, le contrat devra toujours prévoir concrètement la mise en œuvre opérationnelle de ces principes.
Le projet de texte s’intéresse plus spécifiquement au contenu des clauses du contrat de traitement de données pour en faciliter la sortie et le changement de prestataire sans être totalement en rupture avec certaines pratiques déjà existantes du marché, comme sur le délai de 30 jours pour qu’un client récupère ses données. Ce délai est souvent considéré comme trop court.
En conclusion, ce projet de règlement est orienté résultats dans le sens où, en facilitant l’accès à la donnée, il crée les conditions du développement de multiples nouvelles activités économiques, doit en cascade amener de nombreux acteurs du marché de la data à revoir leur modèle économique tout autant que leurs contrats de services.
1. edpb.europa.eu/system/files/2022-05/edpb-edps_joint_opinion_22022_on_data_act_proposal_en.pdf
3. www.bsa.org/files/policy-filings/09032021eudataactconsult.pdf
5. Il existe un mouvement qui prend de plus en plus d’ampleur aux Etats-Unis d’Amérique, notamment contre un fabricant de tracteurs qui empêche l’accès aux données de ses logiciels pour contrôler le marché de la maintenance. Voir notamment : www.bloomberg.com/news/features/2020-03-05/farmers-fight-john-deere-over-who-gets-to-fix-an-800-000-tractor
