Le Data Act (règlement UE 2023/2584) établit de nouvelles règles pour l'accès et l'utilisation équitables des données dans l'UE. La Commission européenne a publié une nouvelle FAQ sur les questions techniques et juridiques liées à la mise en œuvre du Data Act. Nous donnons un aperçu des principales dispositions et expliquons les défis auxquels sont confrontées les entreprises.
Interactions entre le Data Act et le RGPD
Le site Loi sur les données poursuit l'objectif de renforcer la dynamique du marché dans le domaine de la Internet des objets (IoT), de faciliter la portabilité des données et d'améliorer l'échange de données entre les entreprises (B2B) et entre les entreprises et les pouvoirs publics (B2G) pour permettre la mise en place d'un tel projet. Elle est conçue comme régulation horizontale qui s'applique à tous les secteurs.
Le site Loi sur les données est pas de loi sur la protection des données ! Il régit le Accès aux données et utilisation de celles-ci. Le règlement général sur la protection des données (RGPD) reste pleinement applicable dans la mesure où des données à caractère personnel sont concernées.
Article 1(5) de la Loi sur les données précise que en cas de conflit entre les deux réglementations, le RGPD prévaut. Cela signifie que les données à caractère personnel ne peuvent être traitées et transmises que conformément au RGPD.
Une autre différence importante :
- RGPD (article 20) accorde aux personnes concernées le droit à la portabilité des données sous certaines conditions (uniquement pour les données à caractère personnel et si elles ont été traitées sur la base d'un consentement ou d'un contrat).
- Loi sur les données (article 4, 5) étend considérablement ce droit en les données non personnelles sont également incluses et pas de limitation de la base légale existe.
Champ d'application et catégories de données du Data Act
Le site Loi sur les données concerne en particulier données brutes et prétraitéesLes données sont des informations générées par des produits connectés ou des services numériques associés. Il existe différents types de données qui entrent dans le champ d'application du règlement :
Les données de produits sont celles qui sont générées par les appareils IoT. Par exemple, des capteurs qui collectent des informations sur l'utilisation, la performance ou l'environnement du produit. Ces données peuvent être utilisées pour améliorer l'efficacité et la fonctionnalité des produits ou pour développer de nouveaux modèles commerciaux sur leur base.
En revanche, les données liées aux services sont générées pendant l'utilisation d'un service en réseau. Il s'agit par exemple des données générées dans les applications ou les plateformes basées sur le cloud lorsque les utilisateurs utilisent ces services. Ces données sont souvent essentielles pour optimiser les services et offrir des expériences personnalisées aux utilisateurs.
En outre, certaines données relèvent du secret commercial et bénéficient donc d'une protection particulière. De telles données ont une grande valeur économique, car elles peuvent contenir des informations stratégiques sur les entreprises. Le site Loi sur les données garantit que la protection de ces informations reste assurée. Parallèlement, l'accès aux données moins sensibles, mais de grande valeur économique, est facilité.
Accès direct vs. indirect
Le Data Act établit également une distinction entre l'accès direct et l'accès indirect aux données. Cette distinction est essentielle, car elle crée des cadres techniques et juridiques différents pour l'utilisation des données.
Accès direct signifie que l'utilisateur peut accéder directement aux données générées, sans autorisation ou médiation supplémentaire. Cela peut être rendu possible, par exemple, par une API ou une interface utilisateur permettant à l'utilisateur de consulter les données en temps réel. L'accès direct favorise la transparence et facilite le traitement ultérieur immédiat des données par l'utilisateur ou par des tiers mandatés.
L'accès indirect, en revanche, exige que l'utilisateur fasse une demande auprès du détenteur des données pour obtenir ces dernières. Dans ce cas, le détenteur des données décide de la mise à disposition et peut, par exemple, exiger le respect de certaines mesures de protection ou d'accords d'utilisation. Cette forme d'accès est particulièrement pertinente lorsque des secrets commerciaux doivent être protégés ou lorsque des exigences réglementaires spécifiques s'appliquent au transfert de données.
Le choix entre l'accès direct et l'accès indirect a des conséquences importantes sur l'exploitabilité économique des données, la protection des informations sensibles et l'application des droits des utilisateurs. Alors que l'accès direct permet une utilisation plus rapide et plus souple, l'accès indirect offre davantage de possibilités de contrôle aux détenteurs de données, par exemple pour garantir les objectifs de sécurité et de protection des données.
Interopérabilité et commutation dans le nuage
Un objectif central du Loi sur les données est la Éviter la dépendance vis-à-vis des fournisseurs (vendor lock-in) pour les services en nuage. Les entreprises doivent être en mesure de migrer facilement leurs données entre différents fournisseurs de services grâce à des interfaces ouvertes et des formats standardisés. Cela doit garantir que les clients ne soient pas liés de manière permanente à un fournisseur de cloud particulier, mais qu'ils puissent décider de manière flexible où leurs données sont stockées et traitées.
L'interopérabilité signifie que les services de cloud computing doivent être compatibles entre eux afin de permettre une transition sans heurts. Les fournisseurs sont tenus de fournir des interfaces standardisées qui garantissent un transfert de données sécurisé et sans perte. Cela permet aux entreprises de passer plus facilement d'une plateforme de cloud à une autre et favorise la concurrence sur le marché des services de cloud.
En outre, le Loi sur les données prévoit que les fournisseurs de cloud doivent réduire progressivement leurs frais de changement de fournisseur d'ici 2027 et, à terme, les supprimer complètement. Cela devrait empêcher que des coûts de transition élevés empêchent les entreprises de changer de fournisseur de cloud. Il en résultera une plus grande flexibilité, en particulier pour les PME qui étaient auparavant liées à un seul fournisseur en raison d'obstacles financiers.
Droits et obligations des acteurs du marché
Le règlement définit des droits clairs pour les utilisateurs de produits connectés ainsi que des obligations spécifiques pour les propriétaires de données et les tiers. Les utilisateurs ont le droit d'accéder aux données qu'ils génèrent et de les partager avec des tiers. Cela est particulièrement important pour les services de maintenance alternatifs ou les prestataires de services qui peuvent accéder aux données nécessaires indépendamment du fabricant du produit connecté. Une protection particulière est prévue pour les petites et moyennes entreprises (PME). Elles seront protégées contre des frais d'accès aux données excessivement élevés.
Les propriétaires de données, c'est-à-dire les fabricants ou les prestataires de services qui gèrent les données générées, doivent, sous certaines conditions, transmettre des données aux utilisateurs autorisés et aux tiers. Ils peuvent exiger une rémunération raisonnable à cet effet, à moins que le destinataire ne soit une PME ou une organisation à but non lucratif. La protection des secrets d'affaires est toutefois préservée : si la communication des données entraînerait des inconvénients économiques majeurs, les entreprises peuvent refuser de les fournir. Cette mesure de protection est considérée comme Trade Secrets Handbrake connu et sert à ne pas mettre en danger la protection de l'innovation.
Les tiers qui reçoivent des données d'utilisateurs ou de détenteurs de données sont soumis à des obligations strictes. Ils ne peuvent utiliser les données qu'aux fins convenues avec l'utilisateur. Il leur est notamment interdit d'utiliser ces données pour développer un produit concurrent ou de les transmettre à de grands opérateurs de plateformes (Gardien de la porte au sens de la Loi sur les marchés numériques). Cette réglementation vise à empêcher les acteurs dominants du marché d'obtenir des avantages concurrentiels déloyaux grâce à un accès privilégié aux données.
Conseil de lecture : Avis de l'EDSA sur l'utilisation des données à caractère personnel dans les modèles d'IA
Application et sanctions
Chaque État membre de l'UE est tenu de désigner une autorité compétente chargée de veiller au respect du Loi sur les données est chargée de la surveillance. Cette autorité a pour mission de veiller à ce que les entreprises remplissent leurs obligations et que les utilisateurs bénéficient des droits qui leur sont garantis par la loi. Les violations de la Loi sur les données peuvent entraîner des conséquences juridiques, le niveau des sanctions dépendant des règles nationales de chaque État membre. Les autorités ont le pouvoir d'imposer des sanctions, qui peuvent être financières ou administratives.
Les entreprises doivent s'assurer que leurs systèmes de traitement des données répondent aux exigences du Loi sur les données afin d'éviter les sanctions. Cela implique notamment de fournir des possibilités d'accès aux données aux utilisateurs autorisés et de respecter les règles d'interopérabilité et de portabilité des données. Le non-respect de ces exigences peut exposer les entreprises à de lourdes amendes ou à des restrictions de leurs activités.
Afin de garantir une mise en œuvre uniforme des règles, les autorités nationales travaillent en étroite collaboration avec la Commission européenne. Celle-ci surveille l'application générale du Loi sur les données au niveau européen et peut prendre des mesures en cas de violations systématiques. Les entreprises devraient donc adapter leurs processus internes et s'assurer qu'elles mettent en œuvre les exigences réglementaires en temps voulu afin d'éviter les sanctions.
Chaque État membre doit avoir une autorité compétente qui s'assurent du respect du Loi sur les données surveillé.
Data Act et défis pour les entreprises
Le site Loi sur les données constitue une mesure réglementaire d'envergure qui pose de nombreux nouveaux défis aux entreprises. Pour répondre aux nouvelles exigences légales, les entreprises doivent prendre des mesures à un stade précoce. Les fabricants et les opérateurs de plateformes, en particulier, sont tenus de fournir des interfaces techniques permettant un accès direct et indirect aux données. Cela peut nécessiter des investissements importants dans les infrastructures informatiques et les mesures de sécurité afin de répondre aux exigences d'accès et de partage des données, sans pour autant compromettre la protection des secrets commerciaux ou la sécurité des systèmes.
Pour les entreprises qui proposent des produits connectés ou des services numériques, le Loi sur les données une obligation renforcée de fournir des données aux utilisateurs ainsi qu'aux tiers agissant sur la base du consentement de l'utilisateur. Ils doivent veiller à ce que les données soient mises à disposition dans un format normalisé et interopérable afin de favoriser la concurrence et de permettre la portabilité des données. Parallèlement, ils sont tenus de mettre en place des mécanismes de protection appropriés pour les données sensibles ou protégées et de n'autoriser leur transfert que dans des conditions clairement définies.
Pour les PME en particulier, le Loi sur les données de nouvelles opportunités. En facilitant l'accès aux données, elles peuvent élargir leurs modèles commerciaux et développer des services innovants axés sur les données. Dans le même temps, ils doivent veiller à ne pas supporter de coûts excessifs pour l'utilisation de ces données, le législateur ayant établi des règles claires pour une rémunération juste et équitable. Cela signifie que les détenteurs de données doivent adapter leurs structures de prix et établir des conditions transparentes et non discriminatoires pour l'utilisation des données.
Les fournisseurs de cloud sont également confrontés à de nouvelles obligations. Ils doivent faciliter le passage entre leurs services. Cela inclut la mise à disposition d'interfaces ouvertes et la réduction des coûts de changement d'ici 2027. Les entreprises qui dépendent de services en nuage peuvent ainsi agir de manière plus flexible et réduire leur dépendance vis-à-vis de certains fournisseurs.
Le temps presse : Le Data Act sera applicable dès septembre
Le site Le Data Act sera entraînera de profonds changements pour l'économie européenne des données. Étant donné que le règlement sera pleinement applicable à partir du 12 septembre 2025, il reste un temps de préparation limité pour adapter les processus et les solutions techniques en conséquence. Il est donc essentiel de prendre des mesures précoces pour mettre en œuvre les nouvelles exigences afin d'éviter les risques juridiques et de profiter des nouvelles possibilités offertes par l'économie des données.
Vous avez encore des questions sur le Data Act ? Nous nous ferons un plaisir de vous conseiller ! N'hésitez pas à prendre contact avec nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com
Source : FAQ sur le Data Act de la Commission européenne (version 1.2)
French 
German 
English 
Italian