Data Act : derrière l'accord politique, les désaccords stratégiques

Parlement et Conseil ont trouvé un accord politique sur le Data Act. Retour sur quelques-uns des enjeux sous-jacents.

Quid de la liberté contractuelle ? du droit d’auteur* ? du secret industriel ? Autant d’aspects sur lesquels le Data Act a fait l’objet de critiques de la part du principal public concerné : les fournisseurs de produits et/ou de services numériques.

Le texte est censé faciliter aux utilisateurs l’accès aux données que génèrent ces produits et services. Il n’est pas encore adopté, mais on s’en approche. Conseil de l’Europe et Parlement européen viennent de trouver un accord politique. Il leur reste à le formaliser, pour une entrée vigueur cette année.

Inscrit dans la Stratégie européenne pour les données, le Data Act doit compléter un autre règlement qui s’appliquera quant à lui en septembre 2023 : le Data Governance Act. Et dont le principal objectif est, dans les grandes lignes, de favoriser la réutilisation de certaines catégories de données protégées que détiennent les organismes du secteur public. Ce même texte comporte aussi des exigences pour les services d’intermédiation de données. C’est-à-dire ceux qui mettent ces organismes en lien avec les utilisateurs de données – ou qui mettent en lien plusieurs utilisateurs.

Le Data Act a une visée plus large, notamment en ce qu’il s’applique aux services cloud et edge. Sans par ailleurs se limiter aux « gros » fournisseurs, comme c’est le cas pour le DMA et le DSA. Il clarifie, plus globalement, qui peut créer de la valeur à partir des données industrielles et sous quelles conditions.

Data Act et RGPD : une coexistence à gérer

Outre les droits d’accès et de partage conférés aux citoyens et aux entreprises, le Data Act inclut un important volet « portabilité ». Au-delà des obligations pour les fournisseurs cloud (et autres services traitant des données), il établit des exigences d’interopérabilité et des mécanismes de partage pour les opérateurs de data spaces. Et instaure, en parallèle, des garde-fous contre les transferts indésirables de données vers des pays tiers (hors UE). Au menu, également, des mesures pour permettre aux organismes publics d’exploiter les données en question dans des situations d’urgence.

Le RGPD a déjà instauré, en son article 20, un droit à la portabilité des données. Le Data Act a toutefois un périmètre plus large, englobant les données industrielles en plus des données personnelles et les entreprises en plus des individus. L’idée étant, entre autres, de permettre à des usines, à des fermes ou à des entreprises de construction d’optimiser leurs opérations, leurs lignes de production, la gestion de leur supply chain, etc. Au premier rang des perspectives, la constitution de jeux de données pour l’entraînement de modèles d’apprentissage automatique. Sur la partie « business-to-government », la smart city est en tête de liste.

Le secret industriel, garde-fou ou échappatoire ?

Le droit à la portabilité instauré par le RGPD pourrait couvrir les données générées par les produits connectés et les services associés, selon une étude d’impact de la Commission européenne. Mais la capacité à les exercer reste très théorique, tout particulièrement parce qu’ils n’englobent par l’accès en continu ou en temps réel. Et qu’il n’y a pas d’interprétation uniforme des types de données concernés.

Les négociations entre Parlement et Conseil ont justement abouti à des clarifications sur cet enjeu. En point d’orgue, une exclusion pour les données traitées par des « algorithmes propriétaires complexes ». Pour les données issues de l’IoT, le focus a été mis sur les usages des données plutôt que sur les fonctionnalités des produits.

Le texte a également évolué dans le sens d’une protection renforcée des fournisseurs sous deux angles. D’un côté, dans l’invocation du secret industriel. De l’autre, avec un cadre mieux défini pour leur permettre d’exiger une compensation financière en échange de la mise à disposition de données. À l’inverse, on les a dépossédés d’un recours potentiel pour refuser de telles mises à disposition : la directive de 1996 sur les bases de données. Elle ne s’appliquera pas aux bases contenant des données concernées par le Data Act, ont décidé les institutions européennes.

* L’Institut Max-Planck (Allemagne) s’est exprimé à ce sujet. Il a questionné l’applicabilité du règlement aux API. Et soulevé la possibilité d’un conflit pour les API protégées (par le droit d’auteur ou des brevets). Pour plusieurs associations, dont la VDMA (représentante de l’industrie du génie mécanique), le partage de données industrielles devrait continuer à reposer sur des accords volontaires… commercialement viables, ajoute DigitalEurope.

Lire aussi : Data Act : quelles orientations pour le « RGPD des données industrielles » ?