Fournisseurs ou utilisateurs de produits connectés dans l’UE, ou de services liés à ces produits, attention : le règlement sur les données de l’UE (EU Data Act) est entré en vigueur depuis le 11 janvier 2024. Le Data Act est un règlement, ce qui signifie qu’il a désormais force de loi dans tous les pays de l’UE et que des amendements spécifiques à chaque pays ne sont pas autorisés.
Comme le souligne le communiqué de presse de la Commission européenne, “[l]es nouvelles règles définissent les droits d’accès et d’utilisation des données générées dans l’UE dans tous les secteurs économiques et faciliteront le partage des données, en particulier les données industrielles.”. Il insiste également sur le fait que la loi ne créera pas seulement de l’équité en matière d’accès aux données et de création de valeur à partir des données, mais qu’elle “stimulera également un marché des données compétitif et innovant en libérant les données industrielles et en apportant une clarté juridique en ce qui concerne l’utilisation des données”.
Ce que cela signifie
Si tout cela vous semble un peu énigmatique, voici quelques éclaircissements sur ce que cela implique :
- Le Data Act donne aux utilisateurs d’appareils connectés le droit d’accéder et de réutiliser leurs données issues de l’utilisation de ces appareils ou des services qui y sont liés. Le terme “appareils” désigne aussi bien une brosse à dents, un réfrigérateur ou une voiture connectée qu’un robot industriel, un moteur de chemin de fer ou une éolienne. Cela signifie aussi que le terme “utilisateur” englobe aussi bien les consommateurs individuels que les entreprises ou autres entités.
- Les utilisateurs ont par ailleurs le droit de transmettre leurs données à des tiers. On nous a déjà demandé si les voitures étaient bel et bien concernées. Sachez que le communiqué de presse de décembre 2023 annonçant l’adoption de la loi sur les données par le Conseil de l’Union européenne donne spécifiquement l’exemple d’un propriétaire de voiture partageant les données de son véhicule avec un mécanicien.
- Le Data Act va bien au-delà de l’accès aux données et de leur partage : il donne aux utilisateurs le droit à l’accès à leurs données. Par exemple, les utilisateurs auront leur mot à dire sur la manière dont leurs données sont utilisées et sur les conditions commerciales. Le droit à la portabilité signifie que les particuliers et les entreprises peuvent transférer leurs données générées par des appareils connectés d’un service à l’autre, et les fournisseurs devront soutenir ces transferts.
- L’interopérabilité est un élément clé de la loi, qui dispose spécifiquement qu’une approche réglementaire ambitieuse et propice à l’innovation en matière d’interopérabilité est nécessaire pour surmonter le verrouillage des fournisseurs”, en se référant à la norme ISO/IEC 19941:2017 (une norme pour l’interopérabilité entre les services d’informatique en nuage) comme point de départ.
- Le Data Act fait référence à des garanties destinées à assurer que l’accès aux données n’interfère pas avec le fonctionnement sécurisé d’un produit connecté et que les droits de propriété intellectuelle et les données commercialement confidentielles soient protégés.
En bref, il y a de nombreuses informations à assimiler. Et comme c’est toujours le cas avec une nouvelle législation, il reste des zones grises. Dans le cas présent, ces zones grises peuvent revêtir un nombre inhabituellement élevé de nuances en raison du vaste champ d’application de la loi, qui couvre aussi bien les appareils de consommation que les machines industrielles. Une grande partie de ces zones grises ne s’éclaircira peut-être qu’au fur et à mesure que des affaires seront portées devant les tribunaux : les fonctionnaires chargés de l’application de la loi, les avocats et les tribunaux détermineront comment interpréter les dispositions générales de la loi.
Quelles sont les prochaines étapes ?
Si vous n’avez pas encore commencé, voici une liste de mesures à prendre :
- Assurez-vous que vous disposez d’une bonne maîtrise de vos données. Par exemple, avez-vous les réponses aux questions suivantes : Savez-vous quelles données sont saisies, par qui, quand, où et pourquoi ? Sous quel format ? Où ces données sont-elles stockées ? Qui y a accès ? Qui décide de l’accès ? Qui est autorisé à faire quoi avec les données ? Documentez-vous l’accès aux données et leur utilisation ? Vos flux de données et de processus sont-ils documentés ?
- Déterminez les conséquences possibles si vous devez répondre à une demande d’accès aux données.
- Consultez votre conseiller juridique (interne et/ou externe) pour vous aider à comprendre ce que la loi sur les données signifie pour votre entreprise.
- Avec vos juristes, examinez les accords de partage de données existants au cas où ils vous mettraient en infraction avec la loi sur les données. Vérifiez également si vous offrez actuellement des services qui pourraient devenir commercialement non viables en raison de l’obligation de partage des données.
- Examinez les risques qui pourraient découler du droit de partager des données avec des tiers. Les entreprises industrielles craignent déjà que des données et des métadonnées ne tombent entre de mauvaises mains et n’entraînent des risques pour la sécurité ou l’exposition de la propriété intellectuelle et des secrets commerciaux.
- Pensez également aux possibilités qui s’offrent à vous : y a-t-il des données que vous aimeriez utiliser parce qu’elles vous permettent d’améliorer un produit ou un service ou d’innover ? Vérifiez si la loi sur les données vous donne des droits d’accès à ces données.
- Amenez vos partenaires de l’écosystème digital à la table des négociations.
N’hésitez pas à nous contacter si vous avez des questions.
Note: cet article a été traduit. Langue originale : anglais.