Le règlement européen sur les données (Data Act) mettant en place de nouvelles règles pour une économie fondée sur les données équitable et innovante est entré en vigueur le 11 janvier 2024.Cettenouvelle législation vise à stimuler l’innovation en éliminant les obstacles liés à l’accès aux données.
Elle établit des règles sur le partage des données générées par l’utilisation de produits connectés ou de services associés. Elle permet aux utilisateurs d’accéder aux données qu’ils génèrent, favorisant ainsi le développement de nouveaux services, notamment dans le domaine de l’intelligence artificielle.
Elle vise également une harmonisation entre le RGPD et les autres réglementations qui ont récemment fait leur apparition dans le paysage juridique européen (Le DSA, le DMA et l’AI Act).
🟠 Principaux objectifs
Le règlement fixe de nouvelles règles tout en répondant à la question de savoir qui peut accéder et utiliser les données générées au sein de l’UE pour chaque secteur économique.
Le texte élabore une série de règles visant à encadrer :
- Le partage de données entre entreprises et consommateurs et interentreprises
- Les obligations applicables aux détenteurs de données légalement tenus de rendre des données disponibles
- Les clauses abusives relatives à l’accès aux données et à l’utilisation des données interentreprises
- La mise à disposition des données à des organismes du secteur public
🟠 Le partage de données entre entreprises et consommateurs et interentreprises
Le Data Act prévoit l’obligation pour les fabricants de produits et les fournisseurs de services liés de rendre facilement accessible les données générées par ces mêmes produits ou services. En effet, l’article 3 du règlement impose une obligation au fabricant de produits et aux fournisseurs de services liés de rendre les données générées directement accessible à l’utilisateur, par défaut, et de manière sécurisée (facilité, sécurité, de façon directe et par défaut).
De plus, le texte prévoit que si le produit ne permet pas à l’utilisateur d’accès directement aux données générées, le détenteur des données (fabricant, fournisseur ou intermédiaire) doit mettre à sa disposition les données dans les meilleurs délais, gratuitement en continu et en temps réel. Une simple demande de l’utilisateur par voie eléctronique doit lui permettre d’accéder à ce droit.
Lors de cette étape, le détenteur des données n’a pas la possibilité de demander des informations qui ne seraient pas nécessaires à l’identification de la qualité d’utilisateur du demandeur. Enfin le détenteur des données ne peut utiliser les données à caractère non personnel de l’utilisateur que dans le cadre d’un accord contractuel (article 4).
Enfin, les dispositions précitées s’appliquent de manière identique lorsque le demandeur est un tiers et que ce dernier agit au nom de l’utilisateur. Cette disposition concerne essentiellement les intermédiaires proposant un service lié au produit. En revanche les fournisseurs de services qui ont reçu la qualification de « controleur d’accès » au sens du Digital Service Act et du Digital Market Act ne sont pas concernés par cette faculté accordée aux tiers.
🟠 Les obligations applicables aux détenteurs de données
Le data Act consacre un chapitre aux conditions dans lesquelles les détenteurs de données mettent des données à la disposition des utilisateurs ou des tiers légitimes. Il impose l’obligation de prévoir contractuellement ces conditions et souligne l’importance pour le détenteur de donnée de ne pas imposer des conditions discriminatoires entre les différents destinataires.
Le texte fait en sorte que la compensation prévue dans le cadre de la mise à disposition des données soit raisonnable et n’excède pas les coûts directement liés à cette opération lorsque les utilisateurs sont des TPE ou des PME.
Il est également prévu que le détenteur de données peut appliquer des mesures techniques de protection appropriées afin d’éviter une divulgation non autorisée des données, notamment à travers l’utilisation de la technologie des smart contracts. Toutefois, ces mesures de protection ne doivent pas empêcher l’accès des données à l’utilisateur.
Toutes ces dispositions sont d’ordres public, et aucune clause contractuelle ne peut y déroger.
🟠 Les clauses abusives relatives à l’accès aux données
Le data Act consacre un chapitre à la définition des clauses abusives qui peuvent être insérées entre le détenteur des de données et l’utilisateur. Une clause est considérée comme abusive par le texte lorsqu’elle a été unilatéralement imposée par le fournisseur de service (ou le fabricant de produit) et qu’elle a pour objet et pour effet notamment d’empêcher à l’utilisateur d’utiliser, de contrôler ou de consulter les données générées. Le caractère d’ordre public de ces dispositions est également prévu.
🟠 La mise à disposition des données aux organismes du secteur public
Le Data Act donnera aux autorités publiques le droit d’accéder aux données détenues par les entreprises dans des situations exceptionnelles et relevant de l’intérêt public, telles que les catastrophes naturelles et les épidémies, dans des conditions strictement définies.
🟠 Conclusion
En résumé, le Data Act introduit des mesures facilitant la transition entre les fournisseurs de services cloud notamment lorsqu’ils sont tiers au contrat avec le fabricant du produit. Ainsi les clients utilisateurs de ces services auront désormais un pouvoir de négociation leur évitant ainsi d’être « enfermés » chez un fournisseur.
De plus en introduisant une distinction entre les données relatives au produit et les données relatives au service lié, le texte élargi l’obligation de rendre les données accessibles en le rendant applicable aux prestataires dont les services génèrent des données (notamment lorsque le produit n’est pas en mesure de le faire).
Pour en savoir plus / sources :
- https://www.actualitesdudroit.fr/browse/affaires/immateriel/42889/adoption-du-data-act-par-le-parlement-europeen
- https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data?xtor=AD-78-[Social_share_buttons]-[twitter]-[en]-[news]-[pressroom]-[data-act]-