En régulant l’accès aux données générées par l’internet des objets, le règlement européen sur les données (ou Data Act) crée de nouvelles obligations, en particulier pour les fabricants ; il encadre par ailleurs les accords de partage de données entre entreprises. Me Tamba présente ce texte, qui entrera en application dans moins d’un an.
Le 13 décembre 2023 était adopté le règlement UE 2023/2854 sur les données (aussi appelé « Data Act »), dans une relative discrétion si l’on se réfère aux turbulences créées par le règlement sur l’intelligence artificielle.
Pourtant, ce texte contient des règles qui auront de fortes répercussions sur le marché des objets connectés, le secteur du « cloud » (informatique en nuage) et ses clients, ainsi que sur le partage des données de manière générale. Il entrera en application le 12 septembre 2025, soit dans un peu moins d’une année
I. Apports et enjeux du Data Act
La stratégie pour les données de l’Union européenne
Dans la continuité de l’adoption du règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « Règlement général sur la protection des données » - RGPD) et d’autres textes portant sur les données (open data, données non personnelles, etc.), l’Union européenne a publié en février 2020 sa stratégie pour les données. Objectif affiché : un « meilleur accès aux données et un cadre assurant leur utilisation responsable » pour « créer de la valeur pour l’économie et la société ».
C’est pour répondre à cet objectif qu’ont par la suite été adoptés le règlement UE 2022/868 du 30 mai 2022 sur la gouvernance des données (aussi appelé « Data Governance Act » ou DGA) et le Data Act précité, objet de cet article. La Commission européenne prévoit également la création d’« espaces de données » visant à organiser la mise à disposition et le partage de données dans 14 secteurs dont la santé, l’agriculture, l’industrie et la finance.
Ce contexte étant rappelé, il est plus facile de comprendre l’ambition ou plutôt les ambitions du Data Act, car l’Union européenne a voulu couvrir plusieurs thématiques plus ou moins complémentaires dans cet unique texte.
Le premier grand sujet porte sur les données générées par l’internet des objets (« Internet of things » ou IoT). Le constat ? Les objets connectés produisent une importante quantité de données d’usage potentiellement utiles à la fourniture de services complémentaires et de services de maintenance, ou encore à l’innovation.
Le second grand sujet est le rééquilibrage de la concurrence sur le marché du cloud. Le texte supprime les frais de transfert des données et de migration et simplifie ainsi le changement de fournisseur. Il ne s’agit certes pas d’exploiter les données mais bien cependant – pour les clients de fournisseurs de services de cloud (notamment américains) – de garder le contrôle sur leurs données.
Données générées par l’internet des objets
S’agissant du domaine de l’IoT, il s’agit d’un réel changement de paradigme puisque l’utilisateur de l’objet connecté ou du service associé est désormais seul décisionnaire s’agissant des données générées par l’utilisation.
En particulier :
- il en autorise, ou non, l’exploitation par les détenteurs de données (souvent le fabricant de l’objet connecté ou le fournisseur d’un service associé) qui, par exemple, souhaiteraient les analyser pour améliorer leur offre ;
- il doit pouvoir obtenir, directement de l’objet ou par l’intermédiaire du détenteur concerné, les données qu’il a participé à générer ;
- il peut transférer ces données à un tiers, directement lorsqu’il les a obtenues ou par l’intermédiaire du détenteur à qui il en demande le transfert.
Pour les fabricants d’objets connectés, fournisseurs de services associés (et plus généralement les détenteurs de ces données générées par l’utilisation), la charge est lourde et – osons le dire – assez ingrate.
Montres, balances, voitures ou machines industrielles connectées, réfrigérateurs, aspirateurs, dispositifs médicaux connectés : ces produits doivent désormais être conçus pour permettre l’accès – si possible direct – aux données par l’utilisateur, « de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine ». Peut être citée ici l’hypothèse simple d’un transfert par câble de l’objet vers un ordinateur, mais d’autres techniques sont envisageables.
À défaut, les détenteurs s’organiseront pour que les « données facilement accessibles » en leur possession soient rendues disponibles à l’utilisateur « lorsque cela est pertinent et techniquement possible, en continu et en temps réel ». Un stockage des données sur l’infrastructure du fabricant permettrait, par exemple, de les transférer par l’intermédiaire d’une interface de programmation d’application (application programming interface – API) vers le logiciel d’analyse de l’utilisateur.
De la même manière, les données doivent être rendues disponibles à tout tiers désigné par l’utilisateur (à l’exception des « contrôleurs d’accès » du règlement UE 2022/1925 sur les marchés numériques, c’est-à-dire en particulier les Gafam).
Dans ce contexte de généralisation du partage de données (à condition, bien entendu, que les utilisateurs ou les tiers se saisissent de l’opportunité offerte), le détenteur des données devra donc adapter ses contrats afin d’assurer aux utilisations des données un encadrement approprié.
II. Clauses contractuelles abusives : le Data Act dans la lignée du Code civil
Contours de l’interdiction des clauses abusives
Certaines règles du Data Act relatives au partage de données entre entreprises ont un champ d’application plus large que l’hypothèse des données d’usage d’objets connectés mentionnées ci-dessus. Elles touchent tous les secteurs et toutes les entités dès lors que celles-ci partagent des données avec un destinataire établi sur le territoire de l’Union européenne, et ce, que ce partage soit imposé par la législation européenne ou nationale (on parle alors de « mandatory data sharing ») ou purement volontaire (« voluntary data sharing »). Les détenteurs de données générées par les objets connectés sont bien entendu concernés ; tombent également dans le périmètre de ces règles les détenteurs de bases de données qui en ouvrent (monétisent) l’accès aux professionnels (notons que la donnée s’entend au sens large comme « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels »).
Le Data Act contient ainsi un chapitre 4, composé d’un unique article 13, lequel se révèle remarquablement proche du Code civil. Applicable au partage imposé comme au partage volontaire, cet article 13 pose le principe suivant : « Une clause contractuelle […] qu’une entreprise a imposée unilatéralement à une autre entreprise ne lie pas cette dernière entreprise si elle est abusive. »
Si l’on exclut son périmètre limité au partage de données entre entreprises, on ne peut qu’apprécier les ressemblances évidentes du principe défini par ce texte avec la définition du contrat d’adhésion posée par l’article 1110 du Code civil, et le sort à lui réservé par l’article 1171 du même Code, selon lequel « toute clause non négociable […] qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite ».
Appréciation du caractère abusif
Dans les deux situations, on note trois éléments caractéristiques, à savoir : une clause contractuelle imposée unilatéralement/non négociable ; un abus/déséquilibre significatif ; une conséquence légale/absence d’effet de ladite clause.
Sur la notion de clause imposée unilatéralement, le Data Act relativise toutefois, en précisant que cette règle concerne les « situations du type « à prendre ou à laisser » dans lesquelles une partie prévoit une certaine clause contractuelle et où l’autre entreprise ne peut pas influencer le contenu de cette clause malgré une tentative de négociation ». A contrario, l’article 13 ne s’applique pas à « une clause contractuelle qui est simplement prévue par une partie et acceptée par l’autre entreprise » (considérant 59). Quel que soit le rapport de force entre les parties ou le format du contrat (PDF, click to accept, etc.), il est nécessaire, lorsque l’on reçoit un projet d’accord incluant le partage de données, de formuler par écrit ses remarques à l’intention de l’autre partie, si l’on souhaite pouvoir s’affranchir de l’application de clauses qui seraient abusives.
Sur la notion d’abus, le Data Act prévoit que la clause doit être « d’une nature telle que son utilisation s’écarte manifestement des bonnes pratiques commerciales en matière d’accès aux données et d’utilisation des données, contrairement à la bonne foi et à un usage loyal » (art. 13, 3). Il est précisé que la clause est abusive lorsqu’elle empêche une entité de protéger « son intérêt commercial légitime dans les données en question » (considérant 61).
On retrouve dans le Data Act le concept (propre, en France, au droit de la consommation) d’une liste noire de clauses toujours considérées comme abusives (notamment l’exclusion de voies de recours ou de responsabilité) et d’une liste grise de clauses présumées l’être (par exemple, l’utilisation de données commercialement sensibles, protégées au titre des secrets d’affaires ou de la propriété intellectuelle, d’une manière qui porte gravement atteinte aux intérêts légitimes de l’autre partie).
Entre certainement dans cette dernière catégorie l’utilisation des données aux fins de développer un produit concurrent ou d’obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l’autre partie. Cette situation, visée à l’article 6, 2-e du Data Act, est par ailleurs interdite aux entreprises recevant des données à la demande de l’utilisateur d’un objet connecté en vertu de l’article 5 du règlement.
Partenariats industriels, pour la recherche ou commerciaux, participation à un réseau décentralisé d’échange de données, accès à un catalogue de données… Les contrats incluant un partage de données doivent être vérifiés à l’aune de l’article 13 du Data Act afin d’éviter les coûts associés à un éventuel contentieux, et ce, que le partage intervienne à titre principal ou accessoire, dans un cadre bilatéral ou multilatéral.
III. L’encadrement contractuel des mises à disposition de données entre entreprises imposées par la loi
Outre son chapitre 4, d’application générale, le Data Act contient également un chapitre 3 destiné spécifiquement à couvrir les cas de partage de données entre entreprises « imposé » par le droit de l’Union européenne ou une législation nationale (« mandatory data sharing »).
En premier lieu, ces dispositions ont été pensées pour couvrir la situation prévue par l’article 5 du Data Act, dans laquelle l’utilisateur d’un objet connecté demande à l’entreprise détentrice des données générées par l’utilisation du produit de partager ces dernières avec une entreprise tierce qu’il désigne comme destinataire. Cette obligation vise – comme évoqué précédemment – à permettre aux utilisateurs de bénéficier « de services après-vente, auxiliaires et autres sur la base de données collectées par [les capteurs des produits] » (considérant 16).
En second lieu, le chapitre 3 a vocation à couvrir une variété de situations, qui ne sont pas listées de manière détaillée, mais qui excluent toutefois « la mise à disposition de données prévues par le règlement UE 2016/679 » (considérant 42), par exemple dans le cadre du droit à la portabilité. Pourrait être concernée notamment l’obligation des détenteurs de données de santé de les partager à des fins d’utilisation secondaire (recherche médicale en particulier) dans le cadre du règlement sur l’Espace européen des données de santé en cours d’adoption (« European health data space » ou EHDS), qui prévoit la possibilité d’un contrat entre détenteur et destinataire (précisons que ce point reste à clarifier).
On notera à toutes fins utiles que, « si les parties ne sont pas en mesure de conclure un accord sur le partage des données, y compris avec l’aide d’organes de règlement des litiges », le droit pour les utilisateurs d’exiger le partage des données avec des tiers « est opposable devant les juridictions nationales » (considérant 42).
Toute entité obtenant des données en provenance d’objets connectés ou de services associés (ainsi que toute entité partageant des données au titre d’un texte européen ou national) doit se poser la question du périmètre de ses obligations de partage, de l’encadrement contractuel de ce partage, ainsi que de sa marge de négociation.
Il est entendu que, pour l’entité obligée au partage, refuser ou complexifier la négociation risquerait d’aboutir à une situation bien moins favorable que celle qu’elle obtiendrait d’un accord contractuel.
Le chapitre 3 du Data Act encadre les accords de partage « imposé » en prévoyant quatre garde-fous principaux :
- l’adoption de conditions contractuelles équitables, raisonnables, non discriminatoires et transparentes, et, bien entendu, non abusives (art. 8) ;
- la limitation de la compensation allouée aux détenteurs de données (art. 9), qui se fondera sur : les coûts occasionnés par la mise à disposition des données ; les investissements dans la collecte et la production de données ; le volume, le format et la nature des données. Toutefois, si le destinataire est une PME ou un organisme de recherche à but non lucratif, seuls les coûts de mise à disposition des données peuvent être répercutés. L’information quant aux modalités de calcul de cette compensation doit être fournie par le détenteur au destinataire ;
- l’ouverture du recours à un organe de règlement des litiges certifié (art. 10) en cas de désaccord entre l’utilisateur et le détenteur de données, ou entre le destinataire et le détenteur de données. La procédure est contradictoire et l’organe statue dans les 90 jours à compter de la réception d’une demande. Ses décisions ne sont pas contraignantes (sauf accord écrit préalable des parties) et n’empêchent pas de demander réparation à tout moment devant la juridiction d’un État membre ;
- l’autorisation de mettre en place des mesures techniques de protection par le détenteur (art. 11) pour protéger l’accès aux données, à condition de ne pas nuire aux droits de l’utilisateur ou du destinataire autorisé.
Les clauses dérogeant, au détriment d’une partie ou de l’utilisateur, au chapitre 3 n’étant pas contraignantes pour cette partie, il conviendra de refléter la substance du chapitre 3 dans tout accord résultant d’un partage obligatoire de données. Les clauses contractuelles types qui seront mises à disposition par la Commission européenne d’ici au 12 septembre 2025 pourront servir de référence à cet égard.
Article paru au BRDA 20/2024 du 15 octobre 2024
En savoir plus sur notre cabinet d’avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
|
|
|
