Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ».

Le Data Act a à l’œil Amazon, Microsoft et Google

En fait. Le 11 janvier 2024 est entré en vigueur le Data Act, à savoir le règlement du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données. Le marché unique européen des données du cloud et des objets connectés se met en place.

En clair. Il n’y pas que Amazon Web Services (AWS), Microsoft Azure et Google Cloud sur le marché européen des données dans les nuages. Bien que ces hyperscalers s’arrogent environ les deux-tiers du marché européen et même mondial du cloud, il y a de la place pour des challengers qui ne sont pas forcément américains, ni chinois comme Alibaba.
Par exemple, en France, 3DS Outscale (Dassault Systèmes), OVHcloud (OVH) ou Scaleway (Iliad), considérés comme de pure players par l’Autorité de la concurrence qui a mis sous surveillance ce marché (1), doivent pouvoir exister face à ces géants dominants. Au moment où le marché des données est boosté aux objets connectés (IoT) et à l’intelligence artificielle (IA), le Data Act arrive à point nommé : après avoir été adopté par le Parlement européen le 13 décembre 2023, ce règlement harmonisant dans les Vingt-sept « l’équité de l’accès aux données et de l’utilisation des données » a été publié le 22 décembre au Journal officiel de l’Union européenne (JOUE) pour entrer « en vigueur » vingt jours après cette parution (2), soit le 11 janvier 2024. Le Data Act sera ensuite « applicable » sur le marché unique numérique à partir du 12 septembre 2025.

Yannick Carriou, PDG de Médiamétrie : « Nous allons mesurer en 2024 les plateformes de SVOD comme Netflix »

Médiamétrie – dont le conseil d’administration est composé de membres actionnaires issus des médias (télés en tête), des annonceurs, des agences, mais pas encore des plateformes – sortira en septembre 2024 les volumes de consommations de Netflix, Amazon Prime Video et autres, « qu’ils le veuillent ou non ». Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ». Vers une plateforme coactionnaire de Médiamétrie ? Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou. Vers une plateforme coactionnaire de Médiamétrie ? Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ». Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il. Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes. Etats-Unis : Nielsen compare déjà la TV et le Net Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @

Charles de Laubier

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe. Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données. Chantier de la « décennie numérique » Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes : • Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles. Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD. • Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces. Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne). • European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques. Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire). • Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12). • Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15). • Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale. Imbrication des textes parfois peu intelligible Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @