Pour gérer vos consentements :
Categories: Régulations

Data Act : quelles orientations pour le « RGPD des données industrielles » ?

Ne pas recouper certaines données sans consentement, garantir un droit à la portabilité… Deux obligations parmi bien d’autres que la Commission européenne entend imposer à certains opérateurs de plates-formes en ligne. Plus précisément, ceux qu’elle aura qualifiés de « gatekeepers » – en français, « contrôleurs d’accès ».

Son véhicule pour procéder à cette désignation : la législation sur les marchés numériques (DMA, Digital Markets Act). Le Parlement a adopté le texte en décembre 2021. Les négociations avec les États membres ont débuté en janvier.

On retrouve ces gatekeepers – avec une référence au DMA – dans un autre texte, dont Bruxelles vient de publier une première ébauche. En l’occurrence, le Data Act. Objectif de ce règlement en puissance : harmoniser les conditions de mise à disposition et d’exploitation des données industrielles générées dans l’UE.

Les publics suivant sont concernés :

– Fabricants de produits qui génèrent de telles données
– Fournisseurs des services associés à ces produits
– Utilisateurs de ces produits et services
– Détenteurs des données (= ceux qui mettent les données à disposition)
– Destinataires des données
– Organismes publics et les institutions de l’UE
– Fournisseurs de services de traitement de ces données

Des exceptions pour les PME

Le Data Act couvre deux grands cas. D’une part, les relations d’entreprise à entreprise et avec les consommateurs. De l’autre, la communication de données aux organismes publics et/ou aux institutions de l’UE.

Les obligations définies sur le volet B2B/B2C ne s’appliquent pas aux microentreprises et aux petites entreprises, aussi longtemps que leurs activités touchant auxdites données n’impliquent pas de partenaire de plus grande taille. Référence : la recommandation 2003/361/EC, au sens de laquelle une microentreprise « occupe moins de 10 personnes » et ne dépasse pas 2 M€ de C. A. annuel ou de bilan total. Les seuils de la petite entreprise sont à 50 personnes et 10 M€.

De quelles obligations parle-t-on ? D’abord, celles qui s’imposeront aux fournisseurs des produits et des services générateurs de données. Elles sont essentiellement de nature contractuelle. Et consistent à préciser, entre autres, aux utilisateurs :

– Nature et volume des données susceptibles d’être produites
– Manière(s) d’y accéder
– Éventuelle intention du fournisseur d’exploiter lui-même les données ou de le permettre à des tiers, et pour quels motifs
– Identité du détenteur des données – si ce n’est pas le fournisseur du produit/service – et moyens de communication avec lui

Porte fermée aux gatekeepers

Les détenteurs des données auront eux-mêmes des responsabilités. Dont :

– Au cas où les données ne seraient pas directement par l’intermédiaire du produit ou du service, les mettre à disposition sur simple requête par voie électronique, si possible en flux continu
– Ne pas solliciter plus d’informations que nécessaire auprès du demandeur et limiter la durée de conservation de ces informations
– Disposer d’une base juridique adéquate (cf. RGPD) en cas de transmission de données personnelles à une personne non physique
– N’exploiter de données industrielles qu’aux termes du contrat conclu avec le demandeur (= utilisateur) ; et ne pas s’en servir d’une manière qui pourrait compromettre l’activité de ce dernier
– Répondre positivement aux requêtes de communication des données à des tierces parties

Une  exception notable existe sur cette question des tierces parties. Elle s’applique aux fameux gatekeepers. Pour eux, pas d’accès à ces données. Et pas le droit d’inciter, par quelque moyen, les demandeurs à appuyer leurs requêtes.

Ces tierces parties auront eux-mêmes des obligations. Comme ne pas :

– Réaliser de profilage de personnes physiques, sauf si c’est nécessaire à la fourniture du service
– Transmettre à leur tour ces données à des tiers, sauf là aussi si nécessaire à la fourniture du service
Exploiter ces données pour développer un produit concurrent de celui qui les a générées

Des garde-fous contractuels…

Le Data Act appelle à une mise à disposition des données sous des conditions « raisonnables » et « non discriminatoires ». Y compris pour les compensations exigées. Celles-ci ne devront pas dépasser le coût net de la mise à disposition si le destinataire est une micro, une petite ou une moyenne entreprise (moins de 250 personnes et moins de 50 M€ de C. A. ou de 43 M€ de bilan). Un mécanisme de recours est prévu, auprès d’organismes que désignera chaque État membre.

Les détenteurs des données pourront leur appliquer des mesures techniques de protection pour éviter les usages indésirables.  Le texte met un mécanisme en avant : les smart contracts. Qui devront à la fois :

– Être robustes
– Embarquer un système de contrôle des accès
– Permettre de suspendre ou d’arrêter leur exécution
– Et, dans ce cas, de pouvoir récupérer les données de transactions ainsi que le code/la logique du contrat

Le Data Act prévoit une autre protection pour les micro, petites et moyennes entreprises, face aux conditions injustes qu’on leur imposerait unilatéralement. Par « injustes », il faut notamment entendre celles qui :

– Excluent ou limitent la responsabilité d’une partie en cas de négligences manifestes
– Éliminent les voies de recours en cas mauvaise exécution du contrat
– Donnent à une partie le droit exclusif d’interpréter toute disposition du contrat

… et des protections juridiques

Comme pour le B2B/B2C, les micro et petites entreprises sont exclues de l’obligation de mettre des données à disposition d’organismes publics et d’institutions de l’UE.

Ces mises à disposition ne se feront qu’en cas de « besoin exceptionnel ». Une notion qui prend trois formes en particulier :

– Réponse à une situation d’urgence publique
– Prévention d’une telle situation ou aide au rétablissement après sa survenue, à condition que la requête soit limitée en temps comme en périmètre
– Manque de données pour accomplir une tâche d’intérêt public explicitement autorisée par loi, impossibilité d’obtenir ces données par des moyens alternatifs et réduction manifeste de la charge administrative pour les détenteurs

Le régime particulier des organismes publics

Au contraire de ce qui s’impose aux tierces parties dans le cadre des échanges B2B/B2C, le texte n’empêche pas les organismes publics de se communiquer des données entre eux. Ainsi qu’à des instituts nationaux de statistique (+ Eurostat). Et à des organismes de recherche, aussi longtemps qu’ils ne sont pas sous l’influence d’entreprises commerciales. Il leur impose néanmoins de rendre publique toute requête.

Les voies de recours sont un peu différentes de celles qui s’appliquent sur le volet B2B/B2C. En cas de réponse à urgence, le détenteur des données peut, sous 5 jours ouvrés, décliner ou une requête ou demander sa révision. Il a 15 jours dans les autres cas. Le tout à l’une ou l’autre des conditions suivantes :

– Les données ne sont pas disponibles
– La requête ne respecte pas les exigences que pose le texte (clarté des finalités, démonstration du besoin, base légale…)
– Le détenteur a déjà fourni ces données à un autre organisme public qui ne lui a pas signalé les avoir détruites

Reste, sinon, à se tourner vers l’autorité compétente. La Commission européenne recommande qu’il s’agisse de celle qui gère les dossiers RGPD. En France, donc, la CNIL. Elle interviendra aussi en cas d’échange transfrontalier entre organismes publics.

Concernant les coûts de mise à disposition, ils devront être nuls dans le cas d’une réponse à urgence. Sinon, ne pas dépasser le montant des dépenses techniques et organisationnelles nécessaires.

Traitement des données : jusqu’à 6 mois pour changer de fournisseur

Passé la phase de collecte des données, se pose la question du traitement. Et notamment du basculement entre les services permettant ces traitements. En la matière, le texte impose aux fournisseurs de ces services de permettre plusieurs choses à leurs clients :

– Arrêter leur contrat avec un préavis de 30 jours maximum
– Conclure un contrat avec un autre fournisseur pour le même type de service
– Transporter ses actifs numériques (au minimum, les données importées initialement, puis toutes celles créées par après, paramètres et logs compris), grâce à des interfaces ouvertes
– Bénéficier d’une équivalence fonctionnelle dans l’environnement de destination

De manière générale, le basculement vers une autre infrastructure devra se faire sous 30 jours. Le texte ouvre toutefois la possibilité, pour le fournisseur, de demander jusqu’à 6 mois en cas d’incapacité technique de tenir le délai.

Le basculement pourra être facturé. Mais les tarifs devront diminuer progressivement. Objectif : la gratuité dans un délai de trois ans après l’entrée en application du règlement.

Accès extraterritoriaux : une vraie sécurité pour les données industrielles ?

Autre tâche pour les fournisseurs de services de traitement de données : prendre des mesures qui éviteront les transferts internationaux – et les accès gouvernementaux – abusifs. En d’autres termes, non compatibles avec le droit de l’Union ou de l’État membre concerné.

Il pourra y avoir accès et/ou transfert vers un pays tiers s’il en émane une décision d’un tribunal ou d’une autorité administrative… et qu’il existe un accord avec l’UE ou l’État membre, de type MLAT (traité d’assistance juridique mutuelle).

À défaut, une requête ne pourra être satisfaite que si les trois critères suivants sont respectés :

– Le système juridique du pays tiers requiert de préciser la décision, par exemple en établissant un lien des personnes suspectées
– Le fournisseur du service peut s’opposer à la démarche auprès d’un tribunal compétent dans le pays tiers
– La législation du pays tiers habilite ce pays tiers à prendre en compte les intérêts légaux du fournisseur des données

Le Data Act fait une autre référence à un règlement en cours d’élaboration : l’acte sur la gouvernance des données (DGA, Data Governance Act). Il donnera une existence juridique au Comité européen de l’innovation dans le domaine des données. Lequel assistera Bruxelles pour déterminer si les conditions ci-dessus sont respectées.

Interopérabilité : les data spaces dans la mire

Au-delà des services de traitement, les obligations en matière d’interopérabilité visent aussi les opérateurs de data spaces. Charge à eux de :

– Décrire suffisamment les données qu’ils hébergent, les licences, les restrictions d’usage, la méthodologie de collecte, la qualité…
– Préciser les structures et les formats, les taxonomies et autres schémas de classification
– Renseigner les moyens techniques d’accès, les conditions de leur mise en œuvre et la qualité de service

Ces exigences pourront être génériques ou sectorielles. La Commission européenne se réserve le droit d’intervenir par actes délégués.

Photo d’illustration © portalgda viaVisualhunt / CC BY-NC-SA

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

2 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

6 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

8 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago