Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

A l’instar du « Data Governance Act » (1), le « Data Act » (2) s’inscrit dans la stratégie européenne visant à créer un « marché unique des données » (3) équitable pour toutes les parties prenantes. En effet, en février 2020, la Commission européenne constatait une disponibilité insuffisante des données pour une réutilisation innovante par les acteurs publics comme privés, des situations de monopole sur les marchés du cloud et de l’accès aux données compromettant l’équilibre concurrentiel, ainsi qu’un manque d’interopérabilité et de qualité des données dans le contexte du déploiement de l’intelligence artificielle (IA)…

Droits d’accès et à la portabilité
Autant de problématiques qui faisaient, selon la Commission européenne, obstacle au développement d’un véritable marché unique du numérique. Pour y remédier, le Data Act encadre les droits et obligations de chacune des parties impliquées dans la création de la valeur autour des données générées par les « produits connectés » (4) et « services connexes » (5), avant de réguler les services « en nuage » (cloud).
La régulation de l’accès et du partage des données. Plusieurs catégories de mesures ont été prévues pour favoriser l’accès et le partage des données. La première catégorie de mesures impacte la documentation précontractuelle des fabricants de produits connectés et fournisseurs de services connexes puisqu’ils seront tenus de fournir aux utilisateurs des informations précises, telles que le type, le format et le volume estimé des données générées par le produit connecté, sa capacité à stocker des données sur un dispositif intégré ou un serveur distant, ou encore la manière d’accéder aux données, de les extraire voire de les effacer. Les fournisseurs de services connexes devront quant à eux préciser s’ils ont l’intention d’utiliser les données ainsi que les finalités de cette utilisation, ou bien d’autoriser des tiers à utiliser les données pour les finalités convenues. La seconde catégorie de mesures consiste à créer de nouveaux droits au bénéfice des utilisateurs (c’est-à-dire droits d’accéder aux données et de partager des données avec des tiers) qui s’apparentent fortement aux droits d’accès et à la portabilité des données à caractère personnel déjà prévus par le RGPD, le règlement général sur la protection des données (6). Le Data Act donne ainsi un nouvel élan aux droits d’accès et à la portabilité, puisque les droits qui y sont prévus sont applicables à toutes les données générées par les produits connectés et les services connexes, qu’elles soient à caractère personnel ou non, et disponibles pour l’ensemble des « utilisateurs » (7), personne physique ou morale.
En pratique, le droit d’accès se matérialise par l’obligation de concevoir des produits connectés et services connexes qui permettront à l’utilisateur, lorsque cela est techniquement possible, d’accéder de manière directe aux données et aux métadonnées relatives aux produits et services dans un format complet, structuré, couramment utilisé et lisible par machine. A défaut d’accès direct par l’utilisateur depuis le produit connecté ou le service connexe, le « détenteur de données » (8), c’est-à-dire le fabricant de produit connecté ou le fournisseur de service connexe, sera tenu d’une obligation de rendre les données et les métadonnées accessibles, dans un format complet, structuré, couramment utilisé et lisible par machine, voire en continu et en temps réel, sur simple demande de l’utilisateur formulée par voie électronique.
Le droit à la portabilité se traduit, quant à lui, par l’obligation pour le détenteur de données de mettre les données et les métadonnées à disposition d’un tiers, c’est-à-dire un « destinataire de données » (9), sur simple demande d’un utilisateur. Naturellement, le tiers ne sera pas libre d’exploiter les données à sa guise. Elles ne pourront être traitées qu’aux fins et dans les conditions déterminées avec l’utilisateur. Le détenteur de données devra permettre l’exercice de ces droits, sans retard injustifié, de manière aisée, sécurisée et sans frais pour les utilisateurs.

Nombreux garde-fous et exceptions
Si le Data Act prend le soin de préciser que le détenteur des données ne peut refuser d’accéder aux demandes des utilisateurs sous couvert du droit à la protection des bases de données (10), les droits prévus par ce règlement ne sont pas absolus et un certain nombre de garde-fous et d’exceptions ont été mis en place dans un but d’équité. Ainsi, les données générées ne pourront pas, dans le cadre du droit à la portabilité, être transmises aux entreprises désignées comme « gatekeepers » par le « Digital Markets Act » (11), telles qu’Amazon ou Google. De l’autre côté, les PME seront, sous certaines réserves (12), exemptées des obligations d’accès et de partage des données aux utilisateurs et aux tiers. Il sera par ailleurs strictement interdit à l’utilisateur ou au destinataire d’utiliser les données – auxquelles il a eu accès suite à une demande de droit d’accès ou de partage – afin de concevoir un produit concurrent (13).
Comme le RGPD avant lui, le Data Act souhaite préserver le secret des affaires des détenteurs de données (14). Il adopte néanmoins une approche différente de celle pratiquée en application du RGPD, en estimant que le secret des affaires ne devrait pas constituer un obstacle absolu à l’accès et/ou au partage des données.

Détenteur de données et mise à disposition
Le Data Act invite donc les détenteurs de données (ou les détenteurs de secret d’affaires s’il ne s’agit pas de la même entité) à recenser les données et métadonnées protégées en tant que secret d’affaires et à convenir avec l’utilisateur et/ou le tiers de mesures techniques et organisationnelles nécessaires (clauses contractuelles types, accord de confidentialité, protocoles d’accès stricts, normes techniques et application de codes de conduites) pour préserver leur confidentialité.
Exceptionnellement, le détenteur de données pourra refuser de partager les données s’il démontre, sur la base d’éléments objectifs, des « circonstances exceptionnelles » et qu’il est « très probable » qu’il subisse un « préjudice économique grave » en dépit des mesures techniques et organisationnelles prises par l’utilisateur ou le destinataire. Le Data Act précise également que le détenteur de données devra convenir des modalités de mise à disposition des données avec un destinataire, dans des conditions, équitables, raisonnables, non discriminatoires et de manière transparente. Ainsi, toute différence de traitement envers les destinataires de données sera interdite. Le détenteur de données sera en droit d’obtenir une compensation pour les coûts engendrés par la mise à disposition des données à des destinataires, mais les modalités de calcul seront fixées par des lignes directrices de la Commission européenne.
Par ailleurs, parfaitement conscient de la propension de certains acteurs à tirer profit de déséquilibres contractuels, le législateur européen a pris le soin d’énumérer les clauses abusives ou présumées abusives dans le cadre des relations entre entreprises liées à l’accès et au partage des données. Enfin, les organismes du secteur public pourront accéder aux données et aux métadonnées à des fins d’intérêt public lorsqu’ils démontrent un besoin exceptionnel. Ce dernier pourra notamment être matérialisé par l’urgence et l’absence de moyens alternatifs permettant d’obtenir les données utiles, de manière efficace dans des conditions équivalentes.
La régulation du marché du cloud. De leur côté, les fournisseurs de « services de traitement de données » (15) (à savoir les acteurs du cloud, fournisseurs de IaaS, PaaS et SaaS) devront prendre toutes les mesures, notamment commerciales, contractuelles, organisationnelles et techniques, afin de permettre aux clients de changer de fournisseurs de services cloud. Ils devront ainsi s’abstenir de mesures freinant le client dans ses démarches de changement, qu’ils s’agissent des modalités de résiliation du contrat après changement de fournisseur, du portage de ses données, ou encore du découplage entre les services IaaS et PaaS/SaaS.
De manière assez étonnante au regard des pratiques déjà installées sur le sujet, le législateur est venu fixer le contenu impératif minimum du contrat entre un client et un fournisseur de services cloud, notamment au niveau des clauses dites de réversibilité, en prévoyant entre autres des délais impératifs maximum pour le lancement du processus de réversibilité (inférieur à 2 mois) ou pour la récupération des données (minium 30 jours), une clause garantissant l’effacement intégral des données suite à l’opération de réversibilité, etc.
Les fournisseurs de services cloud doivent, depuis le 11 janvier 2024, réduire les « frais de changement de fournisseur » (16) – en les limitant aux coûts directement liés au processus de réversibilité que le Data Act estime être les frais liés au transfert des données d’un fournisseur à un autre ou les frais pour des actions de support spécifique pendant le processus de changement de fournisseur (17) – puis, à compter du 12 janvier 2027, les supprimer. Anticipant le Data Act, le projet de loi français SREN prévoit quant à lui la suppression immédiate des « frais de transfert » des fournisseurs de services en nuage. Le texte est toutefois fortement critiqué par la Commission européenne. Enfin, dans le but de faire émerger un environnement cloud multifournisseur qui permettra aux clients de mettre en œuvre des stratégies durables sans se retrouver dépendant d’un fournisseur (18) les institutions européennes misent sur des normes harmonisées et des spécifications d’interopérabilité qui seront adoptées par la Commission européenne (19).

Projet de loi français SREN critiqué
Le Data Act s’en remet de manière singulière aux Etats membres pour déterminer le régime des sanctions applicables en cas de non-respect de ses dispositions (20). Le projet de loi SREN, qui anticipe l’adoption du Data Act mais qui n’est pas encore adopté et fait l’objet de vives contestations et critiques au niveau européen, prévoit que l’autorité de contrôle pour réguler les acteurs du cloud est l’Arcep. Et les sanctions proposées vont, pour une personne morale, de 1 million d’euros à 3 % du chiffre d’affaires de l’exercice précédent, voire 5 % en cas de réitération. @

Après Zone-Téléchargement, légalisation du partage ?

En fait. Depuis le 6 décembre, soit une semaine après la fermeture du site Zone Téléchargement (ZT) accusé de pirater des œuvres, la rumeur s’est intensifiée sur l’arrêt imminent du non moins connu site de téléchargement « torrent » français, Cpasbien. Certains en appellent à la légalisation du partage.

En clair. C’est pas bien. Après le site web Zone- Téléchargement (ZT) fermé par la gendarmerie nationale le 28 novembre dernier, le prochain sur la liste – car lui aussi accusé par les ayants droit (Sacem (1), Alpa (2), …) de pirater des œuvres musicales ou cinématographiques – serait cette fois Cpasbien. Comme bien d’autres, ces sites de partage de warez – comprenez : des contenus numériques piratés que l’on désigne par ce surnom issu de where is (où est) et ware (marchandise) – échappent aux radars de l’Hadopi.
La réponse graduée est en effet circonscrite par la loi aux réseaux peer-to-peer (P2P). Comme ZT, après ses prédécesseurs The Pirate Bay, eMule, T411, Wawa-Mania, OMG Torrent ou encore What.cd, Cpasbien a préféré se déployer en proposant du direct download (DDL) pour accéder aux « .torrent » – ces fichiers de métadonnées contenant toutes les informations pour que les fichiers de musiques, de films, de jeux, voire de logiciels, soient téléchargeables (nom, taille, composition, adresse IP d’un serveur, …). Cpasbien, alias Torrent9, est prêt comme les autres à jouer au chat et à la souris avec des « sites miroirs ». Les deux jeunes administrateurs de ZT risquent gros.
« Ce ne sont pas Thibault et Wilfrid qui ont créé le préjudice, mais les utilisateurs », a déclaré leur avocat toulousain Simon Cohen qui en appelle à « une réponse judiciaire graduée » (3). C’est dans ce contexte de répression judiciaire contre le piratage que la question du partage sur Internet est revenue dans le débat, soit plus de deux ans après le rapport « intermédiaire » (non finalisé) de l’ex-secrétaire général de l’Hadopi, Eric Walter, sur la controversée « rémunération proportionnelle du partage » (4) (*) (**).
La Quadrature du Net, association de défense des droits et libertés numériques, monte au créneau pour plaider en faveur de la « légalisation du partage non-marchand [déjà préconisée par le rapport Lescure de 2013, ndlr], couplée à une redevance levée sur l’abonnement Internet des foyers, de l’ordre de 4 ou 5 euros par mois » (5). Pour l’un de ses représentants, le juriste et bibliothécaire Lionel Maurel, « les industries culturelles se battent depuis des années contre des monstres qu’elles ont elles-mêmes créés ». Licence globale, contribution compensatoire, contribution créative, redevance de partage, … Et si la campagne présidentielle pour 2017 s’emparait du débat ? @

Jean-Michel Jarre et les GAFA : « Nous sommes des actionnaires virtuels de ces entreprises ! »

Réélu le 3 juin pour un second mandat à la présidence de la Cisac, regroupant 230 sociétés de gestion de droits d’auteur dans le monde, le musicien Jean-Michel Jarre appelle les GAFA a partager leur profit avec les créateurs et veut
une Convention de l’Unesco étendue à la protection des œuvres en ligne.

« Beaucoup d’artistes s’insurgent contre YouTube et les plateformes UGC (User Generated Content) qui génèrent non seulement des contenus mais aussi des profits, lesquels devraient être partagés avec les créateurs. En fait, nous sommes des actionnaires virtuels de ces entreprises ! Il y a un transfert de valeur entre ceux qui créent et ceux qui diffusent cette création », a lancé le 3 juin le compositeur et pionnier de la musique électronique Jean-Michel Jarre (photo).

Partage des contenus et… des revenus
C’était lors de l’assemblée générale de la Confédération internationale des droits d’auteurs et compositeurs (Cisac), dont il est président depuis 2013. Réélu ce jour-là pour un second mandat de trois ans, il a tenu à « rappeler à tous – des acteurs de l’audiovisuel traditionnel aux services numériques – que le partage ne porte pas seulement sur les contenus, mais que cela concerne aussi les revenus : partager les revenus avec les créateurs ». Il constate que les plateformes qui partagent la culture génèrent « des revenus substantiels », tandis que les consommateurs n’achètent plus de CD. Or, selon lui, les royalties provenant du streaming sont loin d’être suffisants pour rémunérer les musiciens : « Par exemple : 1 million de streams d’une chanson sur Pandora rapporte seulement 90 dollars à son auteur… ». Selon nos calculs, les droits d’auteur perçus par la Cisac dans le monde en 2015 devraient avoir franchi la barre
des 8 milliards d’euros – dont environ 650 millions d’euros de recettes provenant du numérique (1).
Jean-Michel Jarre s’est cependant défendu d’être en guerre contre les GAFA qu’il appelle à respecter les droits fondamentaux des droits des auteurs. Sinon, estime-t-il, cela écornera aussi leur image. « Je suis heureux de pouvoir contribuer à essayer… non pas de se battre contre les géants de l’Internet qui finalement ne sont pas nos ennemis… Ceux qui ont créé ces grandes idées sur Internet étaient des ados il y a
une quinzaine d’années ; ils ont fait des choses extraordinaires : ce sont des créateurs eux-mêmes. Ils ont inventé des choses qui sont devenus des monstres et ils ont été dépassés par ce qu’ils ont créé ». Et le président de la Cisac de poursuivre, à la fois confiant et inquiet : « Aujourd’hui, il faut que l’on invente avec eux un modèle économique qui soit bien pour les créateurs : ils ont besoins de nous comme on
a besoin d’eux. Je pense que cela va arriver ; je ne suis pas si pessimiste que cela :
ça va prendre du temps. (…) Nous sommes impatients ; nous aimerions que cela aille plus vite. On va donc se débrouiller pour faire avancer les choses au cours des trois prochaines années [de son nouveau mandat de président de la Cisac, ndlr] ». L’un des principaux leviers va être la Convention de l’Unesco sur la protection et la promotion de la diversité des expressions culturelles. Signée à Paris il y a un peu plus de dix ans, en octobre 2005, elle fait actuellement l’objet d’une renégociation pour la compléter d’une « directive opérationnelle transversale » sur le numérique. La France essaie d’être moteur dans cette démarche, comme l’illustre la proposition qu’elle a élaborée à l’automne dernier avec le Canada, rejoints par la Belgique (2). L’un de ses trois axes prône des politiques publiques « adaptées à l’écosystème numérique » : financement de la création, accessibilité des contenus culturels, répartition équitable de la valeur ajoutée, protection des droits des créateurs, promotion des offres légales, ou encore meilleures indexation et reconnaissance des contenus (3). Reçue à Matignon le 1er juin dernier par le Premier ministre Manuel Valls, une délégation de la Cisac conduite par Jean-Michel Jarre a eu l’assurance que « la France prendrait les initiatives qui s’imposent » – en particulier sur la question du transfert de valeur sur Internet et la promotion de « solutions mondiales essentielles à la juste rémunération des artistes comme la copie privée et le droit de suite ». Alors que la Cisac fête ses 90 ans, Manuel Valls a mis du baume au cœur des ayants droit : « Le combat en faveur des droits d’auteur est essentiel pour protéger la création. (…) La France, qui a été pionnière dans la construction du droit d’auteur, restera à l’avant-garde de sa modernisation ». Le président de la Cisac ne dit pas autre chose lors de l’AG du 3 juin : « Face à Internet, les droits d’auteur devront s’ajuster et s’adapter à ces changements sismiques. La gestion collective continuera d’être le fondement pour les créateurs. Oui, nous allons devoir nous adapter ».

Copie privée « technologiquement neutre » ?
Quant à Eric Baptiste, président du conseil d’administration de la Cisac, il a insisté sur le système de rémunération de la copie privée « qui doit être rendue technologiquement neutre partout dans le monde ». Et de lancer : « Il est important aujourd’hui de corriger le transfert de valeur qui avantage outrageusement certains grands acteurs de l’univers numérique ». @

Charles de Laubier

Pascal Nègre et les erreurs de la musique face au Net

En fait. Le 18 février, Vivendi annonce le remplacement de Pascal Nègre à la direction générale d’Universal Music France – poste qu’il occupait depuis dix-huit ans. Figure emblématique de la musique en France, il incarne aussi le comportement défensif de la filière face au numérique et ses erreurs aussi.

En clair. Pascal Nègre était devenu une icône intouchable de l’industrie musicale en France. Après avoir débuté dans les radios libres au début des années 1980, puis être passé par la maison de disque BMG, il était entré chez Columbia que le groupe CBS vendra à Polygram dont il deviendra président. Jusqu’à ce que Polygram soit racheté à son tour par Universal Music France dont il deviendra PDG en 1998 (1).
Trois ans avant de prendre cette fonction qu’il gardera jusqu’à son éviction le 18 février dernier, il fut élu (en 1995 donc) président de la Société civile des producteurs phonographiques (SCPP), bras armé dans la gestion collective des droits d’auteur pour le compte notamment des majors de la musique en France réunies au sein du Syndicat national de l’édition phonographique (Snep), dont il fut également président en 2000.
La SCPP fait partie des cinq organisations – avec la Sacem, la SPPF, la SDRM et l’Alpa – a avoir obtenu en juin 2010 l’aval de la Cnil pour pouvoir activer les « radars TMG » sur le Net (2) (*) (**) afin de traquer les présumés pirates sur les réseaux peer-to-peer et les « déférer » devant l’Hadopi et ou devant la justice pour contrefaçon. Pascal Nègre fut un ardent défenseur de la répression sur Internet contre les pirates de la musique en ligne. Proche de Nicolas Sarkozy, lequel a signé en novembre 2007 les accords dits « de l’Elysée » qui ont abouti par la suite à la création de l’Hadopi, il a milité pour le filtrage sur Internet. « Je suis l’empêcheur de pirater en rond », écritil lors de la parution chez Fayard en 2010 de son livre « Sans contrefaçon » (3). Durant toute la première décennie pendant laquelle l’industrie musicale en France passera plus de temps à courir après les pirates du Net qu’à adapter son modèle économique aux nouveaux usages numériques, il mènera bataille contre la gratuité de la musique sur Internet. Universal Music n’a d’ailleurs jamais cessé de faire pression sur Spotify et Deezer (4) pour que ces derniers limitent la gratuité afin de privilégier le payant. « Le modèle de départ de Deezer, qui était financé uniquement par la publicité, n’avait aucun sens », affirmait-il encore en 2014. C’est aussi la décennie où la filière musicale appliquent des conditions draconiennes aux plateformes numériques, poussant certaines à déclarer forfait (Jiwa, AlloMusic, …), sans parler du fait que Deezer a dû s’adosser à Orange pour survivre. @

Hadopi : le cinéma français a eu raison d’Eric Walter

En fait. Le 29 août, Eric Walter – qui s’est fait licencié le 1er août de l’Hadopi, après en avoir été secrétaire général depuis mars 2010 – s’est exprimé pour la première fois (sur le site web de BFM TV) mais pas sur son éviction. Cependant,
il évoque brièvement « la polémique avec le milieu du cinéma ».

En clair. « Le seul lien avec la Hadopi [par rapport à son projet de site web créé en mémoire de l’Orchestre symphonique européen, ndlr] est la polémique avec le milieu
du cinéma. C’est ce qui a fait émerger cette histoire. Après ces controverses, j’ai compris que les représentants de ce secteur avaient l’impression que je m’exprimais
en défaveur de la création. Je me suis alors demandé si je n’avais pas fait un syndrome de Stockholm (1) en basculant dans le camp des internautes ou si j’avais toujours cette fibre passionnelle avec le monde artistique. C’est ce qui m’a amené à remonter dans
le temps pour voir d’où j’étais parti. Je me suis rendu compte que ce n’était pas un syndrome de Stockholm mais bien la fibre créatrice qui m’anime », a expliqué Eric Walter, à BFM Business. L’ex-secrétaire général de l’Hadopi a ainsi fait référence – pour la première fois depuis son éviction – à ses relations houleuses avec le cinéma français. Le sort de ce haut fonctionnaire n’a-t-il pas été scellé à partir de la présentation à ses collègues – dès 2012 – de son projet de « rémunération proportionnelle du partage des œuvres sur Internet » ? L’année suivante, en juin 2013, l’Hadopi a engagé l’analyse d’un tel système qui n’a pas manqué de rappeler aux ayants droits du cinéma français leurs mauvais souvenirs de la « licence globale » (accès aux œuvres contre une rémunération forfaitaire prélevée par les FAI) qui n’a jamais vu le jour.

Le torchon entre Eric Walter et les organisations du cinéma français (Blic, Bloc, ARP, UPF, …) s’est ensuite sérieusement mis à brûler lors de la publication – il y a tout juste un an – du rapport intermédiaire sur ces travaux engagés sur la rémunération proportionnelle du partage (2). A tel point que les ayants droits français du 7e Art ont adressé le 22 septembre 2014 à Fleur Pellerin, ministre de la Culture et de la Communication, une lettre courroucée dénonçant « [ce] que le secrétaire général de l’Hadopi appelle désormais “partage” », ainsi que ses propos dans les médias sur « une prétendue insuffisance de l’offre légale » (3). Nicolas Seydoux, président de Gaumont et de l’Association de lutte contre la piraterie audiovisuelle (Alpa), décidé à en découdre, s’en est alors plaint directement auprès de Fleur Pellerin le 8 octobre suivant. L’Hadopi s’est alors déchiré en interne (lire EM@ 111, p. 3). Eric Walter était licencié neuf mois après… @