En complément du RGPD relatif aux données personnelles, une proposition de nouveau règlement traitant des données industrielles, le « Data Act »[1] (Acte sur les données), a été présentée par la Commission européenne le 23 février 2022. Cette proposition s’inscrit dans le cadre de la stratégie européenne visant à créer un marché unique où les données circuleraient librement au sein de l'UE, entre tous les secteurs, et au profit des entreprises, des chercheurs, des administrations publiques et de la société dans son ensemble. La régulation des données industrielles constitue un enjeu majeur (1) et sera, pour les entreprises, à la fois un défi à relever (2) et une source d’opportunités (3).
1. Réguler les données industrielles, un enjeu crucial
Alors que le volume de données industrielles ne cesse d’augmenter – en particulier avec l’essor de l’Internet des Objets (IoT), 80% de ces données ne seraient pas exploitées[2], à la fois en raison d’obstacles de nature technique (formats, absence de normes), de problèmes de concurrence ou de déséquilibre contractuel s’agissant du partage de données interentreprises et de l’insécurité juridique, de freins commerciaux et du manque d’infrastructures appropriées s’agissant du partage de données entre entreprises et administrations.
Or, d’après la Commission, l’exploitation de ces données pourrait générer 270 milliards d'euros de produit intérieur brut (PIB) supplémentaire d'ici 2028[3] et être mises au service des droits des utilisateurs – notamment via un partage de données auprès des entreprises de service après-vente -, de l’intérêt public, et de l’environnement – par exemple en facilitant l’entretien et la réparation des produits.
Alors que le règlement sur la gouvernance des données proposé en 2020[4] visait déjà à faciliter le partage de celles-ci entre secteurs et entre États membres, il s’agit désormais de préciser qui peut créer de la valeur à partir des données.
Un champ d’application large - Sont concernés : les détenteurs de données (fabricants de produits connectés ou fournisseurs de services en ligne), les destinataires des données et les utilisateurs (consommateurs ou entreprises ayant acheté ou loué le produit). Les contrôleurs d’accès au sens du DMA[5] sont quant à eux exclus de ce droit d’accès aux données « compte tenu de [leur capacité sans égale] en matière d’acquisition de données ».
Le Data Act s’appliquera à l’ensemble des secteurs – ce qui n’interdira pas l’application concurrente d’actes législatifs sectoriels. Les produits concernés sont « les produits physiques qui, au moyen de leurs composants, obtiennent, génèrent ou recueillent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques accessible au public ». Dans le cadre de l’IoT, cela concernera les véhicules, équipements domestiques et biens de consommation, dispositifs médicaux et sanitaires, machines agricoles et industrielles etc. En revanche, sont exclus les produits « principalement conçus pour afficher ou jouer des contenus, ou pour en enregistrer et en transmettre, entre autres à des fins d’utilisation par un service en ligne » (ordinateurs personnels, serveurs, tablettes, smartphones…).
Les données visées sont l’ensemble des données industrielles, majoritairement non personnelles. Les données concernées étant définies comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, y compris sous forme d’enregistrement sonore, visuel ou audiovisuel », cela n’inclut pas les informations obtenues ou déduites de ces données.
2. Le Data Act, un défi à relever
Le Data Act définit des obligations de partage de données à la charge des entreprises détentrices de données. Elles devront ainsi :
- mettre à disposition des utilisateurs les données générées par les produits concernés (Business to Customer « B2C » ou Business to Business « B2B ») ;
- partager ces données avec des tiers pour fournir des services après-vente ou d'autres services innovants basés sur les données (B2B) ; et
- les transmettre, dans des conditions exceptionnelles, à des autorités publiques (Business to Government « B2G »).
Ces obligations seront assorties de sanctions en cas de non-communication des données, dont le régime devra être déterminé par les Etats membres. Toutefois, il est prévu que les amendes administratives pourront s’élever jusqu'à 4 % du chiffre d'affaires annuel mondial.
En pratique, les entreprises devront probablement mettre en place de nouvelles procédures internes pour organiser les partages de données, aussi bien sur le plan juridique que sur le plan stratégique. A cet égard, d’autres dispositions visent à prévoir les modalités techniques de ces transferts/partages de données.
Ces obligations de partage pourront, en outre, se cumuler avec les obligations du RGPD en cas de présence de données personnelles. En effet, le nouveau droit d’accès aux données générées par l’utilisation d’un produit viendra compléter le droit existant de recevoir et de transférer des données personnelles (art 20 du RGPD).
Sur ce point, le Data Act distingue selon la qualité de l’utilisateur. S’il s’agit d’une personne physique, celle-ci bénéficiera également des droits conférés par le RGPD, de sorte que son droit d’accéder aux données générées par le produit se superposera à son droit d’accéder à ses données personnelles. L’entreprise détentrice devra donc lui fournir l’ensemble des données, personnelles et non personnelles, y compris lorsque celles-ci sont inextricablement liées. En revanche, si l’utilisateur est une entreprise, il sera considéré comme un responsable du traitement : dès lors, afin de pouvoir accéder à des données industrielles comportant des données personnelles, il devra disposer d’une base légale pour traiter ces données (art 6.1 du RGPD) et respecter l’ensemble des obligations afférentes.
Les régulateurs européens des données ont récemment fait part de leur « profonde préoccupation » de l’impact du Data Act sur la protection des données personnelles et la vie privée[6] : celui-ci ne prévoit en effet aucune restriction quant au partage et à l’utilisation des données sensibles ou concernant les publics vulnérables, tels que les mineurs. Les finalités spécifiques (publicité ciblée, surveillance des employés, scoring…) ne sont pas davantage envisagées. Les débats sur le texte pourront permettre des améliorations, à cet égard.
3. Le Data Act, une opportunité à saisir
Le Data Act semble offrir des perspectives avantageuses pour les entreprises, à plusieurs égards. Une meilleure sécurité juridique, tout d’abord, puisqu’il offre des informations claires sur qui peut utiliser les données et dans quelles conditions (standard FRAND : équitable, raisonnable, et non discriminatoire), met en place des clauses contractuelles types pour le partage de données et lutte contre les clauses contractuelles abusives entre professionnels. Cela évite aux plus petits acteurs de subir des abus et aux plus grands d’être sanctionnés le cas échéant.
Davantage de confiance, ensuite. Grâce à leurs nouveaux droits, les consommateurs pourront plus facilement accéder aux données industrielles qu’ils génèrent, et les transmettre à un tiers, telle qu’une entreprise de services après-vente. Plus globalement, ils auront davantage de contrôle sur les données qu’ils produisent par l’utilisation d’objets et appareils connectés. Or, la confiance est un facteur clé dans la fidélisation mais aussi la conquête de nouveaux consommateurs.
Un accès facilité à l’innovation : le Data Act doit faciliter la circulation des données entre prestataires de services et encourager ainsi tous les acteurs, quelle que soit leur taille, à participer à l’économie des données. Les entreprises auraient donc tout intérêt à s’en saisir afin de bénéficier de ses impacts positifs directs ou indirects – via les consommateurs ou les partenaires commerciaux - et d’en faire un levier stratégique.
La proposition de la Commission européenne peut encore faire l’objet de modifications substantielles dans le cadre des discussions au Parlement européen et au Conseil. En tout état de cause, son adoption n’est pas attendue avant 2023, pour une possible entrée en vigueur en 2024. Cela laisse donc une marge de manœuvre temporelle significative aux acteurs qui y sont soumis pour préparer leur mise en conformité, voire anticiper son application. Cette flexibilité donne ainsi aux entreprises la possibilité de s’approprier la réglementation à venir et de l’intégrer pleinement dans leurs stratégies de développement.
POINT CLES :
- La régulation des données industrielles est un enjeu majeur pour l’économie des données mais également pour la société.
- Les entreprises auront à leur charge de nouvelles obligations de partage des données, qui s’ajouteront aux obligations de protection des données personnelles.
- Mais une stratégie d’entreprise ambitieuse en la matière pourrait s’avérer un pari gagnant.
[3] Id.
[6] Avis conjoint EDPB EDPS 2/2022 sur le Data Act du 4 mai 2022.
Article paru dans Option Finance innovation le 07/06/2022
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
|
|
|
