Le nouveau texte de compromis sur la loi sur les données, diffusé jeudi 8 décembre et vu par EURACTIV, introduit des changements significatifs dans la partie destinée à faciliter le passage d’un fournisseur de cloud à l’autre.
La loi sur les données de l’UE est une proposition législative phare destinée à libérer la concurrence sur le marché du cloud, à donner aux utilisateurs d’appareils connectés le contrôle de leurs données et à permettre aux autorités publiques d’accéder aux données contrôlées par des entreprises privées sous certaines conditions.
La présidence tchèque du Conseil de l’UE n’a pas réussi à négocier une position commune sur le dossier lors d’une réunion ministérielle mardi, mais a travaillé sur un nouveau texte de compromis pour résoudre certaines des questions en suspens. Le texte sera débattu le 13 décembre.
Multi-cloud
Les services numériques font souvent partie d’architectures multi-cloud. Par exemple, un service d’emailing peut être hébergé par un fournisseur de cloud alors qu’il intègre un calendrier hébergé par un service cloud concurrent.
La compatibilité des dispositions de la loi sur les données relatives à la migration vers le cloud avec un environnement aussi complexe a été un sujet brûlant pour les discussions techniques au sein du Conseil de l’UE.
Ainsi, un nouvel article a été ajouté exigeant que les dispositions d’interopérabilité obligeant les fournisseurs de cloud à laisser leurs clients passer à des services concurrents s’appliquent également aux fournisseurs de cloud de services en parallèle.
L’idée est de permettre aux clients de passer librement du meilleur service cloud à l’autre. Par conséquent, les fournisseurs de cloud qui ne sont pas directement impliqués dans la résiliation du contrat ne doivent pas non plus faire obstacle au changement.
Frais de sortie
Un autre concept très controversé est celui des frais de sortie, que les fournisseurs de cloud demandent lorsque les clients souhaitent récupérer leurs données et qui n’ont pas été pris en compte dans la proposition initiale.
Le projet de la Commission se concentrait uniquement sur les frais de changement de fournisseur, qui devraient être entièrement supprimés trois ans après l’entrée en vigueur de la loi sur les données. Cette mesure a également été étendue aux frais de sortie.
Interopérabilité
Les exigences relatives à l’interopérabilité du cloud ont été remaniées pour aligner le texte sur le processus de normalisation défini par d’autres législations, à savoir l’approche horizontale sur les spécifications communes complémentaires aux normes européennes harmonisées.
La note d’accompagnement indique que, si ces modifications sont acceptées, elles seront appliquées dans tout le texte, par exemple dans la section sur les contrats intelligents pour le partage de données.
Le règlement habilite également la Commission à adopter des actes délégués pour établir un référentiel de l’UE avec des spécifications d’interopérabilité ouvertes et des normes européennes pour l’interopérabilité des services en nuage.
La possibilité a été ajoutée pour l’exécutif européen d’inclure des normes non européennes dans le référentiel tant qu’elles répondent à des critères spécifiques.
Type de données
Étant donné que la loi sur les données permet à l’utilisateur d’un produit de l’Internet des objets d’obtenir les données générées, le type de données que l’utilisateur est en droit de recevoir a fait l’objet d’intenses discussions.
Ces données générées ont été définies comme « des données enregistrées intentionnellement par l’utilisateur ou en tant que sous-produit de l’action de l’utilisateur, ainsi que des données générées ou enregistrées pendant la période d’utilisation licite, entre autres en mode veille ou lorsque le produit est éteint », lit-on dans le compromis.
Dans le même temps, sont exclues du champ d’application toutes les données résultant non pas de l’utilisation du produit lui-même mais de traitements destinés à en tirer des enseignements, comme les applications embarquées et les diagnostics qui modifient significativement la forme initiale.
Accès aux données B2G
La loi sur les données permet aux organismes publics de demander l’accès à des données privées dans des conditions spécifiques.
En règle générale, les organismes publics devraient supprimer les données reçues dès qu’elles ne sont plus nécessaires aux fins énoncées dans la demande. Toutefois, une exception a été ajoutée si l’archivage des données est nécessaire pour se conformer aux exigences de transparence en vertu de la législation nationale.
L’organisme public pourrait, à son tour, décider de partager les données avec les instituts nationaux de statistique, Eurostat, les particuliers et les organisations menant des recherches scientifiques. Ces entités peuvent conserver les données pendant six mois supplémentaires après que l’organisme public les a supprimées.
Secrets commerciaux
Un aspect délicat de la législation est la protection des secrets commerciaux, d’autant plus que les utilisateurs ont le droit de partager les données qu’ils ont obtenues avec un tiers. Une disposition particulièrement contestée permettrait au tiers de partager davantage les données avec d’autres organisations.
A cet égard, le texte précise désormais que ce transfert de données ne peut avoir lieu que si l’entité réceptrice prend les mêmes mesures que celles convenues lors de la transaction initiale pour préserver la confidentialité des secrets d’affaires.
Cependant, un représentant d’entreprise a déclaré à EURACTIV que le nouveau compromis ne fait pas grand-chose pour protéger les secrets commerciaux, car l’organisation concernée n’aurait aucun moyen de faire respecter l’accord, et encore moins de garder un œil sur tous ceux qui reçoivent les données.
Examen législatif
Dans un délai de deux ans à compter de l’entrée en application du règlement, la Commission devra procéder à une évaluation. Les aspects à considérer dans cette révision législative ont été élargis pour inclure l’impact sur les secrets commerciaux et l’efficacité du régime d’application.
Chronologie
Le délai d’entrée en application de la loi informatique a été prolongé de 12 mois initialement à 18 mois.
[Edited by Nathalie Weatherald]