Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.
L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.
Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).
Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.
Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.
Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.
Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @
Charles de Laubier