Quel est l’objet du Data Act ?
Pour en comprendre la portée, il convient d’abord de définir ce qu’est un dispositif connecté et ce que l’on entend par Marché Unique Numérique.
Un dispositif connecté désigne tout équipement physique (voiture intelligente, montre connectée, appareil électroménager avec connexion Wi-Fi, machine industrielle, etc.) qui, grâce à des capteurs ou à un logiciel, collecte, génère et transmet des données via Internet ou d’autres réseaux de communication. Le Data Act encadre l’accès et l’utilisation des données générées par ces dispositifs, dans le but de promouvoir une utilisation équitable, sûre et transparente, tant pour les utilisateurs que pour les entreprises.
Le Marché Unique Numérique est une initiative de l’Union européenne visant à garantir la libre circulation des biens, des services, des personnes et des capitaux dans l’environnement numérique. Il a pour finalité d’éliminer les barrières entre les États membres et de créer un espace commun pour l’économie numérique européenne, tout en stimulant l’innovation, la concurrence et la protection des droits des utilisateurs et des consommateurs.
Ce règlement s’inscrit dans un ensemble législatif plus large, comprenant notamment le Digital Markets Act (DMA) et le Digital Services Act (DSA), qui régissent également le cadre numérique européen.
Il est important de noter que le Data Act s’applique aussi bien aux données à caractère personnel qu’aux données non personnelles, et que le Règlement Général sur la Protection des Données (RGPD) continue de prévaloir pour tout ce qui relève de la vie privée.
À qui s’applique le Data Act ?
Le règlement concerne principalement :
- Les fabricants de produits connectés et les prestataires de services associés (secteurs automobile, électroménager, machines industrielles), quel que soit leur lieu d’établissement.
- Les utilisateurs situés dans l’Union Européenne de ces produits ou services.
- Les détenteurs de données qui les mettent à disposition de destinataires établis dans l’UE ;
- Les destinataires de données situés dans l’UE.
- Les organismes publics et autorités européennes qui peuvent, à titre exceptionnel, demander l’accès à certaines données.
- Les prestataires de services de traitement de données opérant avec des clients dans l’UE.
- Les participants à des espaces de données et les fournisseurs d’applications utilisant des contrats intelligents (smart contracts).
Exceptions :
- Les micro et petites entreprises sont exemptées de ces obligations, sauf si elles appartiennent à un groupe de plus grande taille ou interviennent comme sous-traitantes dans la conception, la fabrication ou la fourniture de services liés à des dispositifs connectés.
- Les entreprises moyennes qui viennent d’acquérir ce statut bénéficient d’une exemption temporaire d’un an à compter de la date d’acquisition de cette qualité.
Quel est l’incidence du Data Act sur le marché ?
Le Data Act ne se limite pas à imposer des obligations ; il ouvre également de nouvelles opportunités et consacre des droits nouveaux pour les entreprises et les utilisateurs, en vue d’une gestion plus efficace des données. Son objectif est de créer un écosystème de données plus équitable, compétitif et innovant au sein du Marché Unique Numérique européen.
Pour les entreprises :
- Identification et classification des données : les entreprises devront mettre en place des procédures permettant de distinguer les données personnelles des données non personnelles et de les classer selon leur origine et leur régime juridique, afin d’en garantir un usage licite et sécurisé.
- Sécurité et gouvernance : elles devront protéger les données partagées, définir les responsabilités et se conformer au RGPD.
- Interopérabilité et portabilité des données : le règlement vise à faciliter le transfert et la réutilisation des données entre plateformes, tout en évitant les dépendances technologiques.
- Contrats équitables : le Data Act introduit des règles pour prévenir les déséquilibres contractuels qui limiteraient l’accès des utilisateurs à leurs données. Une clause est réputée abusive si elle s’écarte des bonnes pratiques commerciales, méconnaît la bonne foi ou porte atteinte à la loyauté professionnelle.
- Information de l’utilisateur : les entreprises doivent informer clairement les utilisateurs sur les données générées par leurs dispositifs et sur les modalités d’accès et de partage.
- Confidentialité : des garanties spécifiques sont prévues. Si une entreprise démontre un risque élevé de préjudice économique grave, elle peut refuser l’accès à certaines données considérées comme secrets d’affaires.
- Interopérabilité des services cloud : le règlement supprime les barrières techniques pour faciliter le changement de fournisseur ou l’usage simultané de plusieurs services cloud, favorisant la portabilité des données et la libre circulation des actifs numériques.
Pour les utilisateurs :
- Droit d’accès aux données générées : les utilisateurs pourront accéder gratuitement et facilement aux données produites par leurs dispositifs, dans un format structuré, lisible automatiquement, et lorsque cela est possible, en temps réel et de manière continue.
- Partage contrôlé des données : ils pourront choisir avec quels tiers partager leurs données, ouvrant la voie à un marché plus transparent et concurrentiel.
- Portabilité et traçabilité : les données devront pouvoir être transférées aisément vers d’autres services ou plateformes, garantissant la continuité d’usage et limitant les risques de blocage.
- Transparence : les utilisateurs devront être clairement informés de la manière dont leurs données sont utilisées, partagées et traitées, ainsi que des conditions d’accès des tiers.
- Protection contre les usages déloyaux : les données ne pourront être utilisées pour développer des produits concurrents du dispositif d’origine.
Il convient de souligner qu’aucune disposition du Data Act ne saurait être interprétée comme restreignant le droit à la protection des données personnelles ou à la confidentialité des communications. En cas de conflit, le RGPD prime toujours.
