Il n’est pas aussi connu que le DMA, le DSA, ou l’AI Act, mais pourtant, il pourrait aussi recevoir les foudres de Donald Trump. Ce vendredi 12 septembre, le Data Act, ou règlement sur les données, entre en application. Le texte, adopté le 13 décembre 2023, inquiète autant qu’il ravit les entreprises et les consommateurs. Dernier élément d’un triptyque destiné à réguler l’exploitation des données au sein de l’Union européenne (UE), il a pour objectif « de favoriser la circulation des données principalement détenues par les entreprises » sur le Vieux continent, souligne Antoine Petel, docteur en droit de l’Union européenne.
En Europe, le monde de la donnée est régi par deux corpus de texte. D’un côté, le Règlement Général sur la Protection des Données (le RGPD) garantit la protection de nos données personnelles. De l’autre, trois textes traitent de leur exploitation qui reste aujourd’hui principalement dans les mains des géants américains du Numérique. Dans ce triptyque, on trouve :
- le « Data Act », qui définit des droits d’accès à des données du secteur privé,
- le « Data Governance Act », qui définit les mécanismes, la structure et les acteurs du partage des données, dans ce nouveau marché européen de la donnée. Ces data vont permettre de nourrir les systèmes d’IA, d’où :
- l’AI Act (le Règlement sur l’intelligence artificielle).
A lire aussi : Data Act : derrière les promesses, à quoi va réellement servir le règlement européen sur les données ?
Qui est concerné par ce texte ?
Le Data Act est souvent présenté comme le texte qui s’applique aux entreprises. Pourtant, il touche des acteurs aussi différents que les consommateurs, les fabricants d’objets connectés et de leurs logiciels, les collectivités et les fournisseurs de cloud. D’où cette impression tenace de « melting pot », avec « sept chapitres qui vont avoir des périmètres d’application distincts les uns avec les autres », reconnait Antoine Petel.
Pour favoriser la circulation des données, le règlement européen s’attaque d’abord aux données générées par l’utilisation d’objets connectés. Ce terme désigne autant les voitures, les enceintes, les aspirateurs, les compteurs, les radiateurs ou les montres connectés, mais exclut les ordinateurs, les smartphones, les serveurs, régis par d’autres textes.
L’idée de Bruxelles est la suivante : des milliards de données générées par « l’IoT (Internet of Things) » dormiraient actuellement dans des bases de données ou sur des serveurs, ou seraient exclusivement dans les mains d’un seul opérateur, alors qu’elles pourraient être exploitées commercialement – y compris par d’autres sociétés. Et c’est justement ce « coffre-fort » que la Commission européenne a souhaité ouvrir, comme elle l’a fait en 2018 pour les données personnelles, avec le RGPD.
Ces données étant dans les mains des fabricants de ces objets connectés ou de leurs logiciels, ce sont bien ces derniers qui sont directement impactés par le Data Act. Résultat, des sociétés aussi diverses qu’Amazon (pour Alexa), Apple pour l’Apple Watch, les constructeurs automobiles (Stellantis, BMW, Renault-Nissan…), Thermomix, Dyson, Enedis pour ses compteurs Linky, mais aussi les fournisseurs de poubelles connectées pour les communes, ont dû se préparer à l’échéance du 12 septembre.
Données générées par l’utilisation d’un objet connecté : un nouveau droit d’accès et de partage ?
À quoi toutes ces entreprises et organisations sont-elles désormais tenues ? Concrètement, « le fabricant d’un objet connecté comme une montre connectée aura l’obligation de rendre les données directement accessibles à l’utilisateur, à partir du 12 septembre 2026 », souligne Antoine Petel. « Il y a juste une application qui a été décalée pour permettre aux fabricants de se préparer », ajoute-t-il.
Donc si, à partir de cette date, « j’achète une nouvelle montre connectée, je vais pouvoir accéder directement aux données que je génère à travers l’utilisation de ma montre », ajoute le juriste en droit numérique. Si cet accès direct n’est pas prévu, il doit l’être sur demande. Ce qui devrait nécessiter pour les fabricants de prévoir des mécanismes de mise à disposition des data qui n’existaient souvent pas, jusqu’à aujourd’hui.
Une fois ces data reçues, et c’est une grande nouveauté, l’utilisateur va pouvoir les transférer à des associations ou à d’autres sociétés (y compris concurrentes), qui ne pourront toutefois pas être des géants du numérique (des « gatekeepers ») comme Google, Apple, Microsoft.
Pour les fabricants, il s’agit d’un changement de taille, puisqu’ils disposaient jusqu’ici exclusivement des données générées pendant l’utilisation de leurs objets connectés, des data utilisées soit pour améliorer leurs propres produits, soit pour nous vendre d’autres services.
Les consommateurs pourront, eux, passer plus facilement d’une société à une autre, en récupérant plus facilement qu’avant leurs données. Le règlement a aussi vocation à faire émerger des petites sociétés et de nouveaux services, puisque les consommateurs et entreprises ne seront plus pieds et poings liés à un système ou une entreprise.
Les fournisseurs de cloud aussi mis à contribution
Et c’est justement un point développé dans un autre chapitre du Data Act, qui s’adresse aux fournisseurs de cloud comme les Américains AWS, Google Cloud, Azure et les Européens OVHCloud, Cloud Temple, Outscale, NumSpot, Clever Cloud, Scaleway… Les données du secteur privé sont en effet stockées sur des services de cloud.
Or, l’utilisateur (consommateur ou entreprise) d’un fournisseur de cloud doit pouvoir changer facilement de « clouder », sans avoir à payer des frais exorbitants (les fameux « egrees fees », les frais de migration).
La suppression de ces frais était réclamée de longue date par les acteurs du cloud européens, pour qui les trois géants du secteur (Microsoft Azure, Amazon Web Services et Google Cloud), qui détiennent les trois quarts du marché européen, rendent leurs clients prisonniers d’un fournisseur unique, nous a rappelé CISPE, un groupe de fournisseurs européens de services dans le nuage (« Cloud Infrastructure Services Providers in Europe »).
Début septembre, l’organisation appelait d’ailleurs à ne pas céder à la pression de Washington et à ne pas décaler l’application du Data Act. Le texte « donnera aux fournisseurs de cloud européens les moyens de concurrencer (les trois sociétés américaines qui dominent le secteur : Google, Amazon et Microsoft) tout en libérant les clients de l’enfermement contractuel », plaidait l’association dans un communiqué.
« Le but du texte, c’est vraiment de permettre à l’entreprise X de passer facilement d’un fournisseur A à un fournisseur B. Donc le fournisseur A doit permettre que l’entreprise X récupère toutes ses données, si elle veut passer à un autre fournisseur », souligne Antoine Petel.
Le premier clouder « a également l’interdiction d’imposer des mesures qui vont inciter l’entreprise X à rester chez lui », comme lorsque le transfert est présenté comme « trop compliqué, trop de temps, trop coûteux ». On est « encore dans la logique de faire circuler des données des entreprises en maximisant les conditions de concurrence entre les fournisseurs de cloud », ajoute le docteur en droit de l’Union européenne.
A lire aussi : Clic Droit : Donald Trump et la France vont-ils sauver le Cloud européen ?
Un nouveau droit pour les administrations ?
Une autre grande bénéficiaire de ce texte est l’administration qui pourra accéder gratuitement aux données d’utilisateurs en cas d’urgence publique – comme une crise sanitaire, contre, parfois, un défraiement qui couvrirait le coût de cette mise à disposition.
« Pendant le Covid-19 », se remémore Antoine Petel, « la Commission avait demandé aux opérateurs télécoms de lui fournir les données des différents téléphones de la population européenne pour suivre les mouvements de déplacement et anticiper l’évolution de la pandémie. Et c’est l’idée que la Commission a voulu mettre dans ce texte, c’est-à-dire la capacité de la puissance publique à aller chercher des données dont elle a besoin pour répondre à ce que le règlement appelle des “besoins exceptionnels” », développe-t-il.
« S’il y a une urgence vraiment à laquelle fait face la puissance publique, l’accès va être gratuit. Mais si la puissance publique ne possède pas les données dont elle a besoin pour exercer une mission d’intérêt public prévue par la loi ou encore si elle n’arrive pas à se procurer les données dont elle a besoin, soit parce qu’elle n’arrive pas à les acheter, soit parce qu’elle ne les trouve pas, ou bien si dans ce cas-là, elle va pouvoir aussi recourir à ce chapitre 5 pour demander aux entreprises leurs données. Mais par contre, là, l’accès va être payant », poursuit le docteur en droit.
Plus de protection pour les petites entreprises
À noter que le Data Act prévoit aussi un chapitre sur les clauses contractuelles, qui vont venir aider les petites entreprises dans leurs négociations avec des géants du secteur.
Imaginons que « je crée, demain, une start-up dans les données, et que j’ai passé un contrat avec Amazon, Google ou je ne sais quelle grande entreprise, il est fort probable que je doive accepter des clauses, même si elles ne vont pas dans mon intérêt, mais parce qu’économiquement, en fait, je suis trop faible pour lutter dans la négociation contractuelle », pose Antoine Petel.
Or ces clauses, parfois « clairement défavorables aux PME », sont un peu « à prendre ou à laisser ». C’est à ce moment-là que le Data Act entre en scène. Il « vise à les interdire ces clauses. Par principe, cela rééquilibre un petit peu les négociations contractuelles », poursuit le juriste en droit numérique.
Le temps de la mise en œuvre
Si le Data Act s’applique dès ce vendredi, « il va y avoir un temps de mise en œuvre qui va être inévitable, comme pour le RGPD, », reconnait le spécialiste. Car si le texte a été adopté il y a vingt-et-un mois, de nombreuses questions restent encore en suspens. D’abord, tout l’édifice du Data Act – pour la partie objets connectés – repose sur l’utilisateur : seul ce dernier pourra faire la demande d’accès à ses données. C’est donc le particulier qui va permettre au marché des données de s’ouvrir davantage. L’utilisateur lambda va-t-il comprendre ce droit, et va-t-il s’en saisir ?
Mais « le point qui inquiète le plus les entreprises est surtout la protection du secret d’affaires. Parce qu’entre les différents chapitres du Data Act, on va permettre à des personnes, que cela soit des entreprises, des particuliers ou des administrations, d’accéder aux données des entreprises et potentiellement, à des données qui sont couvertes par un secret d’affaires », souligne Antoine Petel.
Le Data Act prévoit que les fabricants d’objets connectés puissent invoquer le secret d’affaires pour ne pas avoir à communiquer certaines données générées par les utilisateurs. Mais ils devront prouver, pour justifier le refus, que cela créerait un préjudice potentiellement grave. Reste à savoir comment cette exception sera utilisée par les sociétés, jusqu’ici seules maîtresses de « leurs données » et freinant des quatre fers à la moindre idée d’un début de commencement de partage…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
