La Présidence suédoise du Conseil de l’Union européenne a remis aux États membres, mercredi 25 janvier, une nouvelle version du texte de compromis concernant la future législation sur les données ('Data Act') (EUROPE 13099/3). Le texte sera étudié, mardi 31 janvier, au sein du groupe de travail ‘Télécommunications’ du Conseil de l’UE.
D’abord - il s’agit d’un des aspects les plus complexes -, le document de compromis revient sur la question des secrets commerciaux. Sur ce point, le texte précise désormais qu’il revient aux utilisateurs ou aux tiers concernés de prendre les mesures « techniques et organisationnelles » pour protéger les données lorsque l’organisation d’origine identifie que celles-ci comportent des secrets commerciaux. Cette organisation serait en droit de demander une compensation si ces règles ne sont pas respectées.
Le nouveau texte de compromis revient aussi sur les dispositions concernant les obligations pour les PME. Ces dernières étaient d’abord exemptées de l’obligation d’octroyer l’accès aux données qu’elles possèdent à des acteurs du service public. Dans la nouvelle version du texte, les PME devraient se plier à ces obligations dans les cas où il s’agit d’une situation d’urgence, à l’image d’une crise sanitaire.
La Présidence suédoise du Conseil de l’UE est aussi revenue sur la question du champ d’application. Sur ce point, l’accent a été mis sur « les fonctionnalités des données plutôt que sur les produits », afin d’orienter le texte vers les données pré-traitées générées par les composants intégrés dans les produits connectés.
Ainsi, le texte précise que la définition des données générées par un produit ou un service associé a été revue. Les données générées en vue de l’affichage de contenu et celles enregistrées par le biais d’applications qui ne sont pas strictement liées au produit concerné sont exclues du champ d’application.
Par ailleurs, plusieurs États membres avaient, lors de consultations réalisées précédemment, insisté sur le besoin de clarifier les liens entre le futur 'Data Act' et le règlement général pour la protection des données (RGPD). Plusieurs dispositions ont été introduites dans ce sens, notamment le fait que les autorités nationales compétentes devraient être informées directement lorsqu’une entité du secteur public souhaite accéder à des données à caractère personnel.
Enfin, outre le fait de revenir sommairement sur la question du changement de fournisseur de services ‘cloud’ - point sur lequel des discussions devront encore être menées -, le texte de compromis suédois traite également la question du transfert international de données.
Alors que des dispositions prévoient certaines limites et règles pour les transferts vers des États tiers, le texte précise également que les services ‘cloud’ devront publier l’emplacement physique de leur infrastructure numérique et les mesures mises en place pour éviter que des gouvernements étrangers n'accèdent aux données non personnelles de l’UE sur leur site. (Thomas Mangin)