Le 23 février 2022, la Commission européenne (ci-après la « Commission ») avait publié sa proposition de règlement en vue de mettre en place des règles harmonisées en matière d'accès et d'utilisation équitables des données (ci-après le « Data Act »). Il s’agit notamment de donner accès aux utilisateurs (entreprises B2B et particuliers B2C) aux données qu'ils contribuent à générer par l’utilisation de leurs appareils connectés (« Internet of Things » ou « IoT »), de donner aux organismes du secteur public accès aux données du secteur privé (sous certaines conditions), de permettre l'interopérabilité et le changement de fournisseur de services cloud.
La Chambre de Commerce et la FEDIL avaient pris position dans un avis conjoint (disponible ici ), afin de rendre attentifs les colégislateurs européens aux différentes difficultés que pouvait générer l’application du texte de la Commission en l’état. Le texte initial de la Commission proposait une approche contraignante imposant de lourdes charges pour les entreprises en termes de processus, de coût ainsi que sur les plans techniques, organisationnels, administratifs et juridiques, que ce soit pour le partage des données ou le changement de fournisseur cloud, et ce, sans offrir de garanties suffisantes à certains égards, comme en matière de protection des secrets d’affaires.
Le processus législatif européen arrive désormais bientôt à son terme.
L’accord politique provisoire entre le Conseil de l’UE et le Parlement européen intervenu dans la nuit du 27 au 28 juin 2023, vient d’être approuvé par les eurodéputés le 19 juillet 2023. L’adoption finale en plénière devrait intervenir avant la fin de l’année. Une fois adopté définitivement, le Data Act entrera en vigueur le 20ème jour suivant sa publication au JOUE et deviendra applicable 20 mois après son entrée en vigueur (soit vers mi 2025).
L’accord entre le Conseil de l’UE et le Parlement européen comporte de nombreux aménagements par rapport au texte initial de la Commission prenant en compte les positions et retours des différentes parties prenantes :
- Le champ d'application du règlement a été clarifié concernant les données partagées. Tout utilisateur d’appareils connectés domestiques ou industriels peut accéder aux données qu’il génère par l’utilisation de ces appareils, et ce, en temps réel et dans des formats réglementés.
- La protection des secrets d’affaires constituait un grand point de débat durant le processus législatif. La position de départ était, du point de vue de la Commission, que le partage des données ne pouvait pas être refusé, sauf à prendre certaines mesures spécifiques lorsque la demande de partage incluait des secrets d’affaires. Le caractère très imprécis du texte initial revenait en pratique à rendre très difficile la protection des secrets d’affaires, ce qui a soulevé de nombreuses inquiétudes de la part des acteurs économiques y voyant un risque conséquent pour leur compétitivité. Cette position a évolué au cours du trilogue et l'accord final prévoit que « dans des circonstances exceptionnelles » et « au cas par cas », une entreprise pourra refuser de partager les données protégées, si elle « peut démontrer qu'elle est fortement susceptible de subir un préjudice économique grave du fait de la divulgation de secrets d'affaires », malgré des mesures « techniques et organisationnelles » de protection des secrets.
- Les entreprises pourront bénéficier d'un point de contact unique pour toutes les questions relatives au Data Act.
- Les dispositions initiales sur le changement de fournisseur de services cloud étaient très éloignées des contraintes de terrain. Ces dispositions ont également évolué. Alors que la responsabilité du processus de changement de fournisseur reposait initialement principalement sur le fournisseur de service cloud d’origine, il est désormais prévu que toutes les parties (fournisseur d’origine, client et fournisseur de destination) sont tenues de collaborer de bonne foi et de manière transparente tout au long du processus de changement.
- Le champ d’application du partage de données avec les organismes du secteur public a été révisé et vise désormais l’hypothèse où le partage « s’avère nécessaire et dans des circonstances exceptionnelles », telles qu’en matière de données liées au changement climatique, aux urgences sanitaires et dans le but d’accomplir une tâche d’intérêt public. Les données personnelles ne peuvent être demandées que dans le respect du RGPD et uniquement en cas d'urgence. Les données demandées ne doivent enfin pas être accessibles par un autre moyen.
- Il est introduit le principe selon lequel les propriétaires d'appareils connectés et les fabricants de produits peuvent monétiser les données générées en les partageant, en les vendant ou en concédant des licences à d'autres parties prenantes. Cette disposition vise à favoriser un marché des données basé sur les services d’intermédiation de données institués par le règlement sur la gouvernance des données (Data Governance Act) qui s'appliquera à partir de septembre 2023.
Le Data Act aura des implications importantes pour les entreprises de toutes tailles. L’objectif d’équilibrer les droits et obligations des différentes parties prenantes de l'écosystème des données est louable et promet des opportunités d’accéder à de nouvelles informations favorisant l’innovation et l’émergence de nouveaux services.
En pratique, les entreprises devront toutefois anticiper la mise à jour de leurs systèmes et processus de gestion des données en mettant l’accent également sur la sécurité des données (notamment pour préserver les secrets d’affaires), et ce, en continuant de protéger les données personnelles toujours régies par le RGPD. De même, les dispositions contractuelles devront être aménagées et les politiques, processus, voire mêmes modèles économiques selon les acteurs concernés dans la chaîne des données, pourraient être appelés à évoluer.
Il apparait important de trouver un équilibre entre l’accès aux données et la protection de celles-ci. L’anticipation de l’application d’une législation aussi complexe que le Data Act est dès lors primordiale.
Pour toute information complémentaire, nous vous invitons à adresser un e-mail à l’adresse suivante : juridique@cc.lu ou monalisa.derian@cc.lu
Service Legal & Tax de la Chambre de Commerce