top of page
  • Photo du rédacteurCecile Auvieux

"New Data Act" : que dit le texte et où en est son adoption ?

Dernière mise à jour : 13 mai 2023

Update : en mars 2023, le Conseil de l’UE a adopté sa position sur le New Data Act, précisant entre autres les dispositions relatives à la protection des secrets d’affaires et le lien entre ce texte et RGPD. Le compromis partagé par la présidence suédoise maintient les objectifs et la direction générale proposés par la Commission européenne en 2022.


Quels sont les objectifs du texte ?

Le New Data Act :

  • donne aux particuliers et aux entreprises un plus grand contrôle sur leurs données, afin que les données générées par des produits puissent être facilement copiées ou transférées (à eux ou à des tiers) ;

  • définit un cadre pour l'utilisation de ces données par les organismes publics dans des cas spécifiques ; et

  • facilite le passage d’un service Cloud à un autre.

De quelles données parle-t-on ?

De données personnelles et non personnelles. Sur ce point, le Conseil de l’UE propose de préciser que le partage de données personnelles reste soumis au RGPD – c’est-à-dire que le New Data Act ne peut pas être une nouvelle base juridique pour légitimer un partage de données personnelles, et si aucune base légale du RGPD (ou d’une loi nationale en matière de données personnelles) ne s’applique, les données personnelles devront être anonymisées.


Sont compris dans le périmètre du texte :

  • toutes les catégories de données obtenues, générées ou collectées par des produits physiques (et les logiciels associés) relatives à leur performance, à leur utilisation ou à leur environnement : l'"Internet des objets". Il s'agit par exemple des données de véhicules, d'équipements ménagers et de biens de consommation, de dispositifs médicaux et de soins de santé, ou encore de machines agricoles et industrielles.

Sont hors périmètre :

  • les informations dérivées ou déduites des données définies ci-dessus.

  • les données générées par les ordinateurs, les serveurs, les tablettes et les smartphones, les caméras, les webcams, les systèmes d'enregistrement sonore.

Quelles sont les dispositions principales ?

Secteur privé

Le règlement proposé impose des obligations au détenteur des données, c'est-à-dire au fabricantdu produit, qui collecte les données générées par ses produits et a la possibilité d'en rendre certaines disponibles. Il convient de noter que (i) les PME ne sont pas considérées comme des détenteurs de données, à condition qu’elles ne soient pas économiquement dépendantes d'entreprises plus grandes qui elles le sont ; et (ii) les entreprises fournissant des services de plateforme particulièrement importantes et influentes ("gatekeepers", tels que définis dans le « Digital Markets Act ») ne sont pas éligibles à recevoir des données à la demande d'un utilisateur.

Un détenteur de données(par exemple un fabricantde voitures, d'assistants vocaux ou de produits domotiques) est tenu de :

  • Assurer la « disponibilité dès la conception » lors de la fabrication de ses produits afin que les données soient facilement accessibles. Cela inclut l'obligation de fournir des informations précontractuelles à l'utilisateur.

  • Partager les données avec l'utilisateur (par exemple, le propriétaire de la voiture, le client physique ou le propriétaire d'un bâtiment) et/ou avec un tiers (par exemple, une compagnie d'assurance, une PME fournissant des services de maintenance sur les assistants vocauxou une startup fournissant des services de gestion des données énergétiques et d'établissement de rapports) à la demande de l'utilisateur, y compris en continu et en temps réel si nécessaire.

  • Ce faisant, conclure des conditions équitables, claires et non discriminatoires : un accord B2B concernant l'accès et l'utilisation des données imposéunilatéralement par un détenteur de données à une PME ne sera pas contraignant. Le règlement contient une liste de clauses abusives et des clauses types de la Commission européenne sont attendues.

Afin d'inciter les fabricants à continuer à investir dans la production de données, le texteoffrira les garanties suivantes:

  • Les coûts – raisonnables - liés au transfert seront - raisonnablement - prévu par le contrat de partage des données.

  • L'utilisation, par l'utilisateur ou le tiers destinataire, de données partagées pour développer un produit en concurrence directe avec produit par lequel elles ont été générées est exclue.

  • La protection de la propriétéintellectuelle et des secrets commerciaux est assurée.

Le compromis présenté par le Conseil en mars 2023 propose (i) d’une part d’exclure du champ d’application toutes les données traitées par des systèmes soumis à des droits de propriété intellectuelle, et (ii) d’autre part, de permettre au détenteur des données de refuser de les partagées si un tel partage avait « uneffet négatif sur l’exercice de l’activité économique, dès lors que le détenteur des données serait confronté à des pertes économiques significatives qui pourraient, notamment, menacer sa viabilité ou présenter un risque sérieux de faillite ». Les facteurs à prendre en compte incluent par exemple l’absence de protection de secret d’affaires dans la législation nationale du destinataire des données.

Organismes publics
Fournisseurs Cloud

 

Rappel du contexte

En février 2022, la Commission européenne a publié son New Data Act, une proposition de règlement visant à harmoniser les règles d'accès et d'utilisation des données par les entreprises, les autorités publiques et les particuliers eux-mêmes. Ce nouveau règlement s'inscrit dans le cadre de la stratégie européenne en matière de données, qui « vise à créer un marché unique des donnéesgarantissant la compétitivité mondiale de l'Europe et la souveraineté en matière de données » (parmi lesquelles les espaces européens communs de données et la loi sur la gouvernance des données de l'UE, publiée en décembre 2021).


Ce texte vise à remédier à la sous-utilisation des données européennes (principalement en raison du manque de clarté concernant qui peut utiliser et accéder aux données générées par les produits connectés et qui peut créer de la valeur à partir de ces données, et de la position déséquilibrée des acteurs puissants du marché par rapport aux PME), dans un contexte où l'écosystème de l’Internet of things (« IoT ») n'a jamaisété aussi florissant et où il n'y a jamais eu autant de données à exploiter.


Prochaines étapes

Avec l’adoption de la position du Conseil, les négociations tripartites vont pouvoir débuter et on peut raisonnablement s'attendre à ce que le texte soit adopté début 2024. Les entreprises auront alors 12 mois pour mettre en œuvre les nouvelles exigences. L'application du règlement sera confiée aux autorités nationales compétentes désignées par les États membres.

40 vues0 commentaire

Comments


bottom of page