La Commission européenne présentera, mercredi 23 février, sa proposition de législation sur les données ('Data Act'). Ce texte, dont une version provisoire a été obtenue par EUROPE, servira notamment à définir certaines règles en matière de transferts de données, de ‘cloud’ et de conditions d’accès aux données.
Concrètement, le texte cherche à responsabiliser les utilisateurs, tout en leur donnant la possibilité d’exercer un contrôle sur leurs données. Ainsi, la proposition de la Commission prévoit notamment que les fabricants et concepteurs de produits et services rendent les données facilement accessibles aux usagers. Cet accès ‘facile’ devra être paramétré par défaut.
Ceci, précise la Commission, n’affectera toutefois pas la possibilité, pour les fabricants, d’accéder et d’utiliser les données provenant de produits ou services connexes en accord avec les utilisateurs.
Les entités qui détiennent des données seraient obligées de les tenir à disposition de tiers à la demande de l’utilisateur. Le transfert de données du détenteur à un service tiers - tel qu’un service après-vente, indique la Commission - devrait être soumis à l’autorisation de l’utilisateur. Néanmoins, tous ne seraient pas concernés, puisque les petites et micro-entreprises seraient exemptées de ces obligations, sauf dans les cas où elles sont liées « économiquement » à une entreprise qui n’est pas considérée comme petite ou micro.
Des compensations seraient prévues dans les cas où le détenteur des données serait, conformément à ce que prévoit le texte, contraint de mettre les données qu’il possède à disposition d’une autre entreprise. Pour les PME, les compensations fixées ne pourraient dépasser les coûts engendrés par la mise à disposition. Des organismes nationaux seraient chargés de régler les situations litigieuses.
En outre, les utilisateurs et services tiers n'auraient pas le droit de partager des données avec des services qualifiés de 'contrôleurs d'accès' ('gatekeepers'), tels que définis par la législation sur les marchés numériques (DMA) (EUROPE 12885/7). Ces contrôleurs d'accès n'auraient, pour leur part, pas le droit de démarcher dans le but d'obtenir des données.
Interopérabilité des services
Par ailleurs, la proposition de la Commission dresse également une liste de clauses abusives - ou présumées abusives - pour protéger les parties les plus faibles lors des négociations de contrats entre deux entreprises pour le partage de données. Ces dispositions doivent, entre autres, permettre de garantir que le poids d’une entreprises ne puisse pas avoir d’impact majeur dans le cadre d’une négociation de contrat entre un acteur majeur et une entreprise plus petite.
En outre, la proposition de la Commission revient également sur les besoins, pour les services et organismes publics, d’accéder aux données détenues par des entreprises. Cette situation ne serait permise que dans les cas où « il existe un besoin exceptionnel » de données, telle qu’une « urgence publique », comme une pandémie ou une catastrophe. Les données seraient alors mises gratuitement à disposition. Par ailleurs, pour tout autre besoin jugé « exceptionnel », mais légitimant l’accès aux données par les organismes publics, une compensation comprenant les coûts liés à la mise à disposition ainsi qu’une marge « raisonnable » serait rendue.
Le texte prévoit aussi de nouvelles exigences concernant l’interopérabilité des services de ‘cloud’. Ces exigences indiquent par exemple que les clients de ces services devraient « conserver l'équivalence fonctionnelle du service après être passés à un autre fournisseur ». Toutefois, la Commission a inclus une clause « d’infaisabilité technique » pour parer aux situations où le passage d’un service à l’autre ne serait pas possible. Dans ce cas, le texte renverse la charge de la preuve et il reviendrait alors au fournisseur de prouver que la démarche n’est pas réalisable.
Voir le document : https://aeur.eu/f/g8 (Thomas Mangin et Pascal Hansens)