Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

A l’instar du « Data Governance Act » (1), le « Data Act » (2) s’inscrit dans la stratégie européenne visant à créer un « marché unique des données » (3) équitable pour toutes les parties prenantes. En effet, en février 2020, la Commission européenne constatait une disponibilité insuffisante des données pour une réutilisation innovante par les acteurs publics comme privés, des situations de monopole sur les marchés du cloud et de l’accès aux données compromettant l’équilibre concurrentiel, ainsi qu’un manque d’interopérabilité et de qualité des données dans le contexte du déploiement de l’intelligence artificielle (IA)…

Droits d’accès et à la portabilité
Autant de problématiques qui faisaient, selon la Commission européenne, obstacle au développement d’un véritable marché unique du numérique. Pour y remédier, le Data Act encadre les droits et obligations de chacune des parties impliquées dans la création de la valeur autour des données générées par les « produits connectés » (4) et « services connexes » (5), avant de réguler les services « en nuage » (cloud).
La régulation de l’accès et du partage des données. Plusieurs catégories de mesures ont été prévues pour favoriser l’accès et le partage des données. La première catégorie de mesures impacte la documentation précontractuelle des fabricants de produits connectés et fournisseurs de services connexes puisqu’ils seront tenus de fournir aux utilisateurs des informations précises, telles que le type, le format et le volume estimé des données générées par le produit connecté, sa capacité à stocker des données sur un dispositif intégré ou un serveur distant, ou encore la manière d’accéder aux données, de les extraire voire de les effacer. Les fournisseurs de services connexes devront quant à eux préciser s’ils ont l’intention d’utiliser les données ainsi que les finalités de cette utilisation, ou bien d’autoriser des tiers à utiliser les données pour les finalités convenues. La seconde catégorie de mesures consiste à créer de nouveaux droits au bénéfice des utilisateurs (c’est-à-dire droits d’accéder aux données et de partager des données avec des tiers) qui s’apparentent fortement aux droits d’accès et à la portabilité des données à caractère personnel déjà prévus par le RGPD, le règlement général sur la protection des données (6). Le Data Act donne ainsi un nouvel élan aux droits d’accès et à la portabilité, puisque les droits qui y sont prévus sont applicables à toutes les données générées par les produits connectés et les services connexes, qu’elles soient à caractère personnel ou non, et disponibles pour l’ensemble des « utilisateurs » (7), personne physique ou morale.
En pratique, le droit d’accès se matérialise par l’obligation de concevoir des produits connectés et services connexes qui permettront à l’utilisateur, lorsque cela est techniquement possible, d’accéder de manière directe aux données et aux métadonnées relatives aux produits et services dans un format complet, structuré, couramment utilisé et lisible par machine. A défaut d’accès direct par l’utilisateur depuis le produit connecté ou le service connexe, le « détenteur de données » (8), c’est-à-dire le fabricant de produit connecté ou le fournisseur de service connexe, sera tenu d’une obligation de rendre les données et les métadonnées accessibles, dans un format complet, structuré, couramment utilisé et lisible par machine, voire en continu et en temps réel, sur simple demande de l’utilisateur formulée par voie électronique.
Le droit à la portabilité se traduit, quant à lui, par l’obligation pour le détenteur de données de mettre les données et les métadonnées à disposition d’un tiers, c’est-à-dire un « destinataire de données » (9), sur simple demande d’un utilisateur. Naturellement, le tiers ne sera pas libre d’exploiter les données à sa guise. Elles ne pourront être traitées qu’aux fins et dans les conditions déterminées avec l’utilisateur. Le détenteur de données devra permettre l’exercice de ces droits, sans retard injustifié, de manière aisée, sécurisée et sans frais pour les utilisateurs.

Nombreux garde-fous et exceptions
Si le Data Act prend le soin de préciser que le détenteur des données ne peut refuser d’accéder aux demandes des utilisateurs sous couvert du droit à la protection des bases de données (10), les droits prévus par ce règlement ne sont pas absolus et un certain nombre de garde-fous et d’exceptions ont été mis en place dans un but d’équité. Ainsi, les données générées ne pourront pas, dans le cadre du droit à la portabilité, être transmises aux entreprises désignées comme « gatekeepers » par le « Digital Markets Act » (11), telles qu’Amazon ou Google. De l’autre côté, les PME seront, sous certaines réserves (12), exemptées des obligations d’accès et de partage des données aux utilisateurs et aux tiers. Il sera par ailleurs strictement interdit à l’utilisateur ou au destinataire d’utiliser les données – auxquelles il a eu accès suite à une demande de droit d’accès ou de partage – afin de concevoir un produit concurrent (13).
Comme le RGPD avant lui, le Data Act souhaite préserver le secret des affaires des détenteurs de données (14). Il adopte néanmoins une approche différente de celle pratiquée en application du RGPD, en estimant que le secret des affaires ne devrait pas constituer un obstacle absolu à l’accès et/ou au partage des données.

Détenteur de données et mise à disposition
Le Data Act invite donc les détenteurs de données (ou les détenteurs de secret d’affaires s’il ne s’agit pas de la même entité) à recenser les données et métadonnées protégées en tant que secret d’affaires et à convenir avec l’utilisateur et/ou le tiers de mesures techniques et organisationnelles nécessaires (clauses contractuelles types, accord de confidentialité, protocoles d’accès stricts, normes techniques et application de codes de conduites) pour préserver leur confidentialité.
Exceptionnellement, le détenteur de données pourra refuser de partager les données s’il démontre, sur la base d’éléments objectifs, des « circonstances exceptionnelles » et qu’il est « très probable » qu’il subisse un « préjudice économique grave » en dépit des mesures techniques et organisationnelles prises par l’utilisateur ou le destinataire. Le Data Act précise également que le détenteur de données devra convenir des modalités de mise à disposition des données avec un destinataire, dans des conditions, équitables, raisonnables, non discriminatoires et de manière transparente. Ainsi, toute différence de traitement envers les destinataires de données sera interdite. Le détenteur de données sera en droit d’obtenir une compensation pour les coûts engendrés par la mise à disposition des données à des destinataires, mais les modalités de calcul seront fixées par des lignes directrices de la Commission européenne.
Par ailleurs, parfaitement conscient de la propension de certains acteurs à tirer profit de déséquilibres contractuels, le législateur européen a pris le soin d’énumérer les clauses abusives ou présumées abusives dans le cadre des relations entre entreprises liées à l’accès et au partage des données. Enfin, les organismes du secteur public pourront accéder aux données et aux métadonnées à des fins d’intérêt public lorsqu’ils démontrent un besoin exceptionnel. Ce dernier pourra notamment être matérialisé par l’urgence et l’absence de moyens alternatifs permettant d’obtenir les données utiles, de manière efficace dans des conditions équivalentes.
La régulation du marché du cloud. De leur côté, les fournisseurs de « services de traitement de données » (15) (à savoir les acteurs du cloud, fournisseurs de IaaS, PaaS et SaaS) devront prendre toutes les mesures, notamment commerciales, contractuelles, organisationnelles et techniques, afin de permettre aux clients de changer de fournisseurs de services cloud. Ils devront ainsi s’abstenir de mesures freinant le client dans ses démarches de changement, qu’ils s’agissent des modalités de résiliation du contrat après changement de fournisseur, du portage de ses données, ou encore du découplage entre les services IaaS et PaaS/SaaS.
De manière assez étonnante au regard des pratiques déjà installées sur le sujet, le législateur est venu fixer le contenu impératif minimum du contrat entre un client et un fournisseur de services cloud, notamment au niveau des clauses dites de réversibilité, en prévoyant entre autres des délais impératifs maximum pour le lancement du processus de réversibilité (inférieur à 2 mois) ou pour la récupération des données (minium 30 jours), une clause garantissant l’effacement intégral des données suite à l’opération de réversibilité, etc.
Les fournisseurs de services cloud doivent, depuis le 11 janvier 2024, réduire les « frais de changement de fournisseur » (16) – en les limitant aux coûts directement liés au processus de réversibilité que le Data Act estime être les frais liés au transfert des données d’un fournisseur à un autre ou les frais pour des actions de support spécifique pendant le processus de changement de fournisseur (17) – puis, à compter du 12 janvier 2027, les supprimer. Anticipant le Data Act, le projet de loi français SREN prévoit quant à lui la suppression immédiate des « frais de transfert » des fournisseurs de services en nuage. Le texte est toutefois fortement critiqué par la Commission européenne. Enfin, dans le but de faire émerger un environnement cloud multifournisseur qui permettra aux clients de mettre en œuvre des stratégies durables sans se retrouver dépendant d’un fournisseur (18) les institutions européennes misent sur des normes harmonisées et des spécifications d’interopérabilité qui seront adoptées par la Commission européenne (19).

Projet de loi français SREN critiqué
Le Data Act s’en remet de manière singulière aux Etats membres pour déterminer le régime des sanctions applicables en cas de non-respect de ses dispositions (20). Le projet de loi SREN, qui anticipe l’adoption du Data Act mais qui n’est pas encore adopté et fait l’objet de vives contestations et critiques au niveau européen, prévoit que l’autorité de contrôle pour réguler les acteurs du cloud est l’Arcep. Et les sanctions proposées vont, pour une personne morale, de 1 million d’euros à 3 % du chiffre d’affaires de l’exercice précédent, voire 5 % en cas de réitération. @