Dans l’objectif de créer un marché européen des données fiable et compétitif, le Parlement et le Conseil de l’Union européenne ont, le 27 novembre 2023, adopté le Data Act afin de règlementer les données générées par l’Internet des objets.
Après la protection des données personnelles par le RGPD et l’encadrement du partage de données par le Data Gouvernance Act, l’Union européenne a adopté un cadre juridique spécifique aux données, personnelles et non personnelles, générées par les objets et services connectés.
Publié le 22 décembre 2023, le Règlement européen concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données, aussi appelé « Data Act », a pour objectif de contribuer à la création d’un marché numérique unique des données au sein de l’Union européenne.
À cette fin, le texte prévoit un cadre harmonisé établissant la liste des acteurs disposant du droit d’utiliser les données issues des produits et services connectés, dans quelles conditions et sur quel fondement.
En raison même de son champ d’application, le Data Act dispose de nombreux points de rencontre avec le RGPD qui ont conduit le législateur européen à spécifier que les traitements de données à caractère personnel effectué au titre du Data Actdevront nécessairement être réalisés dans le respect du RGPD.
Des mesures renforçant les droits des utilisateurs sur les données qu’ils génèrent
- La création d’un droit d’accès aux données générées par les objets connectés
Le Data Act impose aux entreprises de concevoir les produits et services connectés de telle sorte que les données qu’ils génèrent soient, par défaut, accessibles à l’utilisateur[1]. L’accès à ses données par l’utilisateur doit être aisé, sécurisé et gratuit.
Ce Règlement fait ainsi émerger un principe d’ « accessibility by design and by default », impliquant que les entreprises prévoient l’accessibilité aux données dès la conception de leurs produits et services.
Au titre de ce droit d’accès, les fournisseurs de produits et services connectés sont désormais soumis à une obligation d’information précontractuelle leur imposant de communiquer à l’utilisateur certaines informations :
– Pour les objets connectés : la nature, le volume et la fréquence de collecte des données, la manière dont l’utilisateur peut accéder aux données, les extraire ou les effacer, etc. ;
– Pour les services connectés : les modalités de stockage et la durée de conservation des données, les modalités de partage avec un tiers des données, etc.
- Le renforcement du droit à la portabilité des données
Le Data Act élargit le droit à la portabilité prévu par le RGPD en permettant à l’utilisateur d’exiger que les données générées par son utilisation d’un objet ou service connecté soient transmises à un tiers[2].
Ce renforcement du droit à la portabilité engendre de nouvelles obligations et interdictions pour les tiers, appelés « destinataires de données », à qui les données sont transmises[3], telles que :
– L’obligation de traiter les données aux fins et dans les conditions convenues avec l’utilisateur ;
– L’obligation d’effacer les données lorsqu’elles ne sont plus nécessaires à la finalité convenue, sauf accord contraire de l’utilisateur pour les données non personnelles ;
– L’interdiction d’utiliser les données à des fins de profilage ;
– L’interdiction d’utiliser les données pour développer un produit concurrent de celui dont les données proviennent, etc.
Le Règlement entend également permettre aux consommateurs de changer facilement de fournisseur de services de traitement de données à un coût moindre, via l’encadrement des relations contractuelles entre les fournisseurs de services et leurs clients[4].
L’encadrement du partage des données issues des objets et services connectés
- Un encadrement du partage des données entre entreprises
Le Data Act pose le cadre des relations entre entreprises eu égard au partage de données résultant de l’exercice du droit à la portabilité ou de toute autre disposition imposant au « détenteur de données » de les partager avec une société tierce.
La mise à disposition des données doit ainsi se faire dans des conditions « équitables, raisonnables et non discriminatoires et de manière transparente ».
Le texte prévoit également la possibilité pour le détenteur des données d’obtenir une compensation financière, de la part du tiers destinataire, pour la mise à disposition des données.
- La mise à disposition des données au profit des organismes publics
À titre exceptionnel, certains organismes publics pourront solliciter la mise à disposition des données détenues par des personnes morales du secteur privé afin de répondre à un besoin exceptionnel (production de statistiques officielles, atténuation d’une situation d’urgence, etc.)[5].
- La règlementation de l’accès et des transferts de données en dehors de l’UE
À l’instar du RGPD, le Data Act interdit l’accès et le transfert de données, ici non personnelles, en dehors de l’Union européenne en l’absence d’accord international, y compris lorsque des législations étrangères ou des décisions de justice étrangères exigent ce transfert[6].
Les entreprises sont d’ailleurs tenues d’adopter des mesures techniques, organisationnelles et juridiques adéquates afin de prévenir tout accès par des autorités étrangères aux données non personnelles détenues dans l’Union européenne.
Les sanctions en cas non-respect du Data Act
Le texte laisse le soin aux États membres de définir les sanctions applicables en cas de manquement, ces dernières devront toutefois être « effectives, proportionnées et dissuasives »[7].
Cela étant, le texte octroie d’ores et déjà aux CNIL européennes la faculté de prononcer des amendes administratives identiques à celles prévues par le RGPD, qui peuvent aller jusqu’à 4% du chiffre d’affaires mondial, en cas de manquement à certaines obligations et lorsque les données concernées sont des données à caractère personnelles, à savoir :
– Les obligations liées au droit au partage des données entre entreprises et consommateurs ;
– Les obligations de mises à disposition des données aux destinataires de données et organismes publics.
L’impact du Data Act pour les entreprises qui détiennent des données générées par l’utilisation d’objets ou services connectés
La future entrée en application du Data Act, le 12 septembre 2025, impose aux entreprises de s’atteler à leur mise en conformité. Pour ce faire, elles devront notamment :
– Cartographier les données qui seront soumises au Règlement ;
– Mettre en place des procédures internes afin de répondre aux demandes d’accès et de portabilité qui pourront leur être adressées ;
– Garantir la portabilité des données et l’interopérabilité des services de traitement ;
– Revoir les informations précontractuelles qu’elles communiquent à leurs clients ;
– Organiser la mise à disposition des données avec les tiers destinataires via la rédaction et la conclusion de contrats spécifiques ; etc.
Lire le Règlement UE 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données
[1] Data Act, article 3.
[2] Data Act, article 5.
[3] Data Act, article 6.
[4] Data Act, articles 23 à 31.
[5] Data Act, articles 14 et 15.
[6] Data Act, article 32.
[7] Data Act, article 40.