Rechercher

TRIBUNE | Data Act en Europe : comment se préparer aux nouvelles règles de partage de la donnée ?

Corinne Thiérache, avocate associée en IP/IT au sein du cabinet Alerion.
Corinne Thiérache, avocate associée en IP/IT au sein du cabinet Alerion.

Le Data Act s’appliquera à compter du 12 septembre 2025. Il apporte une clarification juridique quant à l’accès aux données et à leur utilisation, notamment ultérieure. Il est donc temps de s’intéresser aux opportunités offertes par ce texte aux entreprises, aux organismes publics et aux particuliers, afin de mieux s’y préparer. Une tribune exclusive pour Forbes signée Corinne Thiérache, avocate associée en IP/IT au sein du cabinet Alerion.

Le Data Act a pour but d’améliorer l’économie des données au sein de l’UE dans l’intérêt des entreprises et des citoyens et favoriser ainsi un marché des données compétitif en rendant les données (en particulier les données industrielles) plus accessibles et utilisables. Il s’agit d’augmenter la disponibilité des données tout en garantissant l’équité dans la répartition de la valeur, pour créer de la valeur à partir des données et favoriser l’innovation, dans le respect de la protection des données personnelles et des droits de la propriété intellectuelle y compris du secret d’affaires.

Le partage des données est essentiel pour la formation des systèmes d’IA en contribuant au développement de produits et services innovants dans les domaines de la santé, de la mobilité, de l’environnement, de l’agriculture et de l’administration publique. Ce texte s’inscrit dans la stratégie européenne de souveraineté numérique initiée par le Data Governance Act applicable depuis le 24 septembre 2023 qui met en place des mécanismes de partage volontaire des données afin de renforcer là aussi la confiance.

Quelles sont les données concernées ?

Il s’agit de toutes les données collectées au travers de la disponibilité des objets connectés (IoT), dont l’utilisation par le grand public a fait augmenter considérablement le volume des données disponibles représentant alors un vivier important de données pour contribuer à l’innovation et à la compétitivité des entreprises européennes. Il peut donc s’agir des données brutes ou des données prétraitées générées à l’occasion de l’utilisation d’un produit connecté ou d’un service connexe. Cela s’applique non seulement aux données personnelles mais aussi aux données non personnelles, y compris aux métadonnées pertinentes.

Quelles sont les dérogations au partage des données : droit de la propriété intellectuelle, secret d’affaires et règles de sécurité

Tout d’abord, les données et contenus déduits ou dérivés qui sont hautement enrichis ne sont pas concernés. Ensuite, il ne s’agit pas ici de porter atteinte aux droits de propriété intellectuelle. Ceux-ci sont clairement réaffirmés. De même, le Data Act prévoit la possibilité pour le détenteur des données et l’utilisateur / tiers destinataire de données de convenir de certaines mesures pour préserver la confidentialité du secret d’affaires avec, en cas de non-respect de ces mesures ou refus d’y souscrite, la possibilité pour le détenteur de suspendre le partage des données ou le refuser. Toutefois, ce dernier ne pourra en réalité refuser de partager des données que s’il peut démontrer qu’il est très susceptible de subir un préjudice économique grave du fait de la divulgation de secrets commerciaux.

Le partage des données peut être également limité dans le cas où le détenteur des données et l’utilisateur conviennent qu’il existe un risque que les exigences de sécurité du produit connecté soient compromises du fait du partage, entraînant des effets néfastes graves pour la santé, la sécurité ou la sûreté des personnes, à condition que ces exigences soient bien prévues par le droit de l’UE ou le droit national.

Au titre de la protection des détenteurs de données, une liste non-exhaustive élabore des mesures visant à remédier aux situations dans lesquelles un tiers ou un utilisateur a consulté ou utilisé illégalement des données. Ainsi, il pourrait être exigé du contrevenant que ce dernier cesse de fabriquer le produit en question ou détruise les données qu’il a obtenues illégalement ou paye une indemnisation pour usage illicite des données.

Quelles obligations ? pour qui ? et au bénéfice de qui ?

Les fournisseurs d’objets connectés devront notamment permettre aux utilisateurs (personnes physiques ou morales) de ces outils d’accéder aux données générées à l’occasion de leur utilisation en les autorisant à utiliser directement ou à partager ces données avec un tiers, à des conditions de permanence, gratuité et de rapidité.

Les utilisateurs d’objets IoT peuvent ainsi accéder, utiliser et transférer les données qu’ils co-génèrent grâce à leur utilisation d’un objet connecté. Les fournisseurs des services de cloud et de edge computing devront faciliter le transfert de données vers d’autres fournisseurs (portabilité et interopérabilité) avec à horizon 2027 la suppression des frais de changement.

Les contrôleurs d’accès au sens du DMA (grandes plateformes en ligne) ne sont pas considérés comme des tiers éligibles, et ce pour réguler l’impact de ces acteurs sur le marché de la Data, alors qu’ils occupent une position particulière quant à l’accès aux données en raison de la combinaison de masses de données sur leurs utilisateurs avec la puissance de leurs algorithmes opaques.

À quelles conditions ?

En cas de rétention, suspension ou refus de partage des données, l’autorité locale nationale compétente devra en être informée par le détenteur des données. Le Data Act, anticipant des litiges, a prévu le cas où des utilisateurs souhaitent contester une telle décision. Ces litiges devront être portés soit devant la juridiction compétente d’un Etat membre, soit par le biais d’une plainte auprès de l’autorité compétente, soit après accord du détenteur des données devant un organisme de règlement des litiges.

Il est important d’instaurer un principe de relations plus équitables sur le marché. Le Data Act établit une liste des clauses présumées abusives dans les contrats de partage de données imposées unilatéralement par des entreprises. Au contraire, des clauses contractuelles types non contraignantes bénéfiques à l’accès et à l’utilisation des données doivent être élaborées par la Commission européenne afin de mieux protéger les entreprises, notamment les TP et PME contre des clauses contractuelles abusives imposées par des acteurs économiques plus grands.

Une compensation peut être prévue. Les détenteurs de données pourront ainsi demander une indemnisation raisonnable pour couvrir les frais de mise à disposition des données : coûts de la mise à disposition mais également les coûts techniques liés à la diffusion et au stockage.

Quelles sont les sanctions ?

La loi SREN a anticipé en France certaines règles du règlement européen sur les données en intégrant des dispositions concernant les fournisseurs de cloud et les entreprises de services cloud afin de limiter les pratiques anticoncurrentielles dans le secteur de l’informatique en nuage.

Le Comité européen de l’innovation dans le domaine des données (EDIB) auquel participe la CNIL émettra des recommandations, pour l’imposition des sanctions en cas de violation du Data Act, que les Etats membres devront prendre en compte ainsi que des critères non exhaustifs tels que la durée de l’infraction, les circonstances atténuantes ou aggravantes, le chiffre d’affaires réalisé au cours de l’année écoulée usuellement appliqués pour le prononcé de sanctions administratives.

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC