Afin de tirer parti de l’existence des très nombreuses données produites par les entreprises (données financières et comptables, industrielles et commerciales, etc.), l’Union européenne a lancé le 19 février 2020 une stratégie européenne pour les données. L’objectif est de permettre la réutilisation et l’exploitation de ces données pour créer de la valeur et de nouveaux services. Voici comment, aujourd’hui, cette stratégie se traduit dans les textes.
La stratégie pour les données : quels objectifs ?
La Commission estime à 530% l’augmentation du volume mondial de données produites entre 2018 et 2025, et à 829 milliards d’euros la valeur économique fondée sur les données dans l’Union à l’horizon 2025, et entend tirer parti de cette manne.
La stratégie européenne pour les données présente ainsi sans ambiguïté les ambitions de l’Union européenne en la matière (1). Il y est indiqué que « l’Union devrait mettre en place un environnement attrayant pour parvenir à ce que, d’ici à 2030, la part de l’Union dans l’économie fondée sur les données corresponde au moins à son poids économique, non par le fruit du hasard, mais par choix. L’objectif est de créer un espace européen unique des données, un véritable marché unique des données, ouvert aux données provenant du monde entier, où les données à caractère personnel et non personnel, y compris les données industrielles sensibles, soient en sécurité et dans lequel les entreprises aient facilement accès à une quantité quasi infinie de données industrielles de haute qualité, stimulant la croissance et créant de la valeur tout en minimisant l’empreinte carbone et environnementale humaine ».
Pour y parvenir, une feuille de route a été définie. Il convenait d’abord de créer un cadre sécurisé dans lequel chaque entreprise devrait, mais aussi pourrait en confiance, partager ses données et accéder à celles produites par d’autres. En parallèle, l’Union européenne a dessiné les grands axes d’une politique visant à stimuler les initiatives fondées sur ces données.
Cet ensemble est encore en cours de déploiement, et manque de lisibilité. Mais quelques repères peuvent d’ores et déjà être posés pour mieux comprendre où en est l’Union européenne, et vers où elle se dirige.
1er jalon : un cadre pour la gouvernance des données
Le règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (data governance Act ou DGA) est le premier texte publié par l’Union européenne. Il s’applique à tous les secteurs économiques (2), et dessine une architecture apte à faire naître un système généralisé de partage des données du secteur privé.
Une nouvelle fonction de fournisseur de services d’intermédiation de données est ainsi créée, dont les représentants seront indépendants de l’industrie, agréés et transparents, seront dépositaires des données des entreprises et réguleront les accès des tiers à ces données. Ils seront répertoriés sur un registre central européen des intermédiaires (3) et pourront utiliser un label « prestataire de services d’intermédiation de données reconnu dans l’Union » (4).
Dans la pratique, les intermédiaires de données mettront en relation des individus et des entreprises avec des utilisateurs de données, sans pouvoir monétiser les données ni les exploiter eux-mêmes. Ils opèreront en respectant les règles concernant la protection des données personnelles, les droits de propriété intellectuelle ou encore le secret industriel et commercial.
Dans le même temps, le DGA encourage le partage des données à des fins altruistes : il s’agit d’un système dans lequel chaque entreprise accepte de mettre à disposition sans contrepartie certaines données qu’elle détient, dans l’intérêt public. L’objectif est de constituer des pools de données suffisants pour permettre des analyses à grande échelle et l’apprentissage automatique, à des fins de recherche notamment. Les entreprises donatrices pourront, sur une base volontaire, se faire inscrire sur un registre européen des organisations altruistes (5). Les données ainsi offertes seront gérées par des organismes à but non lucratif, qui devront s’enregistrer comme « organisations altruistes de données reconnues dans l’Union ».
Ce texte est en vigueur depuis le 24 septembre 2023, sauf pour la mise en place des services d’intermédiation de données, décalée au 24 septembre 2025. Plusieurs textes d’exécution doivent encore être publiés par l’Union européenne, comme celui mettant en place le formulaire européen de consentement à l’utilisation des données ou celui régissant les règles de transfert de données vers des Etats tiers.
2e jalon : le règlement sur les données
Deuxième volet de la stratégie européenne, le règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données (Data act) définit les règles régissant les partages de données. Est à cet égard considérée comme une donnée « toute représentation numérique d'actes, de faits ou d'informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d'enregistrements sonores, visuels ou audiovisuels » (6).
Le règlement pose le principe fondamental en la matière : celui selon lequel les détenteurs de données devront mettre à disposition des utilisateurs les données qu’ils ont générées les concernant (notamment lorsqu’elles sont produites par des produits connectés), et les partager avec des tiers, qui pourront les exploiter pour fournir des services à valeur ajoutée, sous certaines conditions. Les cas dans lesquels les droits de propriété intellectuelle et le secret des affaires pourront être invoqués sont également précisés par le texte.
Des principes visant à permettre l’indemnisation « raisonnable » des fournisseurs de données pour la mise à disposition (celle-ci n’étant jamais entièrement sans coûts pour l’entreprise – i.e. coûts de formatage et de stockage, investissements dans la collecte et la production des données) ont également été posés.
Les entreprises, de leur côté, devront adapter leurs modes de fonctionnement pour tenir compte de cette nouvelle obligation de partage des données. En cas de refus de partage, des sanctions devront être définies par les Etats membres. Elles pourront s’élever à 4 % du chiffre d’affaires mondial annuel de l’entité.
Le texte s’appliquera à compter du 12 septembre 2025. D’ici là, des clauses contractuelles types doivent être élaborées par la Commission pour encadrer le partage de données entre entreprises, d’autres pour régir le sort des données dans les contrats d’informatique en nuage.
A venir : les actes sectoriels
Le DGA et le Data act sont les deux textes généralistes concernant l’ouverture des données. Mais il est prévu depuis l’origine qu’ils soient complétés par des textes tenant compte des spécificités de chaque secteur d’activité.
Des actes spécifiques doivent ainsi être pris dans les neuf secteurs suivants : la santé, l'environnement, l'énergie, l'agriculture, la mobilité, la finance, l'industrie manufacturière, le secteur public et les compétences. Nombre d’autres secteurs appellent également à une adaptation du cadre général à leurs spécificités.
Certains de ces textes sont d’ores et déjà en cours d’examen. On citera notamment la proposition de règlement sur l’espace européen des données de santé, présentée le 3 mai 2022 (7) ou encore celle sur l’ouverture des données financières (financial data access act ou FIDA), présentée le 28 juin 2023 (8).
En application de la stratégie européenne pour les données et des textes qui la déclinent, un ensemble très large de données devra être mis, demain, à la disposition de tous. Les perspectives sont immenses… mais les réticences également. A ce jour, 80 % des données produites ne seraient pas exploitées, en raison d’obstacles techniques, de problèmes concurrentiels ou en raison de l’insécurité juridique, de freins commerciaux et du manque d’infrastructures appropriées (9). Le nouvel encadrement réglementaire suffira-t-il à inverser la tendance ? Seul l’avenir pourra le dire.
Points-clés :
- A l’horizon 2030, l’Union européenne entend disposer d’un cadre complet, apte à favoriser l’émergence d’un marché de la donnée, et la naissance de nouvelles licornes.
- Pour y parvenir, elle a déjà adopté deux textes : le Data governance act (DGA) et le Data act. Le premier organise le marché des données, le second définit les obligations des entreprises en la matière.
- Ces actes, qui entrent en vigueur pour l’essentiel en septembre 2025, seront complétés par des textes adaptant, pour certains secteurs sensibles, les règles générales.
- Le déploiement de cet ensemble de règles va nécessiter des adaptations des procédures internes d’entreprise et parfois une évolution de leur modèle économique.
Article paru dans Option Finance le 09/02/2024
(1) Communication COM/2020/66 final – Une stratégie européenne pour les données
(2) Le DGA renforce également le partage des données du secteur public, déjà régi par d’autres textes. Ce volet n’est pas présenté ici.
(3) Ce registre est déjà en ligne, mais ne répertorie, au 1er février 2024, qu’une seule entité : https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services
(4) Les logos ont d’ores et déjà été définis et sont consultables ici : https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union
(5) Ce registre est déjà en ligne, mais aucune entité n’y est, au 1er février 2024, répertoriée : https://digital-strategy.ec.europa.eu/en/policies/data-altruism-organisations
(6) Article 2 du Data act
(7) Proposition de règlement relatif à l’espace européen des données de santé - COM/2022/197 final
(8) Proposition de règlement relatif à un cadre pour l'accès aux données financières - COM(2023) 360 FINAL
(9) Communiqué de presse : « Règlement sur les données : la Commission propose des mesures en faveur d'une économie des données équitable et innovante », 23 février 2022 (IP/22/1113).
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
|
|
|
