EURACTIV donne un aperçu des principaux changements apportés par les législateurs européens à la nouvelle loi sur les données avant les votes clés du Parlement européen.
La loi sur les données est une législation européenne phare visant à réglementer la manière dont les données sont consultées, transférées et partagées. Au Parlement européen, les législateurs de la commission de l’industrie ont mené les travaux et devraient adopter leur rapport le 6 février.
D’autres commissions parlementaires ont également été largement impliquées, créant un puzzle compliqué de compétences partagées et exclusives. EURACTIV rassemble les différents éléments de la position du Parlement européen qui doit être confirmée lors d’un vote en plénière en mars.
Portée
Initialement, la rapporteure Pilar del Castillo Vera s’est concentrée sur les « données brutes » pour les distinguer des « données traitées », qui pourraient contenir des secrets commerciaux. Cependant, le concept de données brutes n’a pas volé car les législateurs l’ont trouvé trop difficile à définir.
Le compromis trouvé portait sur les données non personnelles collectées par les appareils connectés, à l’exclusion des données traitées ou déduites par des « algorithmes propriétaires complexes ». Par exemple, si les données résultent de la combinaison de données collectées à partir de plusieurs capteurs, elles ne relèveraient pas du champ d’application.
L’accent était mis sur le type de données plutôt que sur les appareils concernés, car à l’origine, la Commission avait exclu tout appareil principalement conçu pour afficher du contenu, comme les téléviseurs intelligents. Les données traitées pour le compte de quelqu’un d’autre, comme c’est le cas pour les services cloud, sont également hors de portée.
Environnement Internet des Objets
L’un des principaux points que le législateur a tenté de clarifier était la complexité des relations économiques entre les acteurs impliqués. En particulier, la proposition de la Commission ne faisait pas de distinction entre le fabricant du produit et le détenteur des données, l’organisation contrôlant les données générées.
Tous les fabricants devraient s’assurer que leurs produits sont conçus de manière à ce que les utilisateurs puissent facilement accéder et partager les données qu’ils ont contribué à générer. Pourtant, depuis l’achat d’un produit, les eurodéputés envisageaient trois scénarios potentiels.
Les fabricants pourraient devenir détenteurs des données lorsque les utilisateurs souscrivent un contrat détaillant le partage des données en relation avec un service proposé. Sinon, les fabricants pourraient décider de ne pas avoir de droits résiduels sur les données générées.
Une option intermédiaire serait que les fabricants n’offrent aucun service et demandent aux utilisateurs un accord de licence de données pour recevoir les données générées.
Exclusion du contrôleur d’accès
La proposition initiale contenait une mesure empêchant les utilisateurs de partager les données obtenues avec des plateformes désignées comme gardiennes en vertu de la loi sur les marchés numériques afin d’éviter la concentration des données entre les mains de quelques entreprises dominantes.
Le texte a été maintenu inchangé pour l’essentiel dans le rapport du Parlement. Cependant, la disposition n’empêche pas le détenteur des données de faire de même, ce qui pourrait créer un déséquilibre important sur le marché.
Entreprise à gouvernement
La loi sur les données permet aux organismes publics de demander des données privées (B2G) dans des circonstances spécifiques. Les députés ont limité cette possibilité uniquement pour répondre aux cas de besoin exceptionnel comme une catastrophe naturelle.
L’accès B2G pour les situations non urgentes est également possible, mais le règlement ne fournirait pas de base juridique pour les données, qui devraient être établies en vertu du droit européen ou national.
Des garanties supplémentaires ont été ajoutées pour protéger le détenteur des données, notamment en rendant les demandes de données plus précises et en empêchant l’organisme public de publier les données ou de les partager avec une autre entreprise.
Secrets commerciaux
Les secrets commerciaux relevaient de la compétence exclusive du comité des affaires juridiques qui a renforcé les protections dans tous les scénarios de partage de données, car le détenteur des données pourra convenir avec les utilisateurs des mesures techniques et organisationnelles mises en place pour les protéger et d’éventuelles dispositions en matière de responsabilité.
Si l’utilisateur ou un tiers porte atteinte aux secrets commerciaux, le détenteur des données aura le droit de suspendre l’accord de partage des données. Sur B2G spécifiquement, l’entreprise peut refuser la demande de données si l’organisme public ne prend pas les mesures techniques ou organisationnelles suffisantes.
Rémunération & monétisation
Lorsqu’un détenteur de données met des données à la disposition d’une personne qui n’est pas un consommateur, il peut demander une compensation. La compensation serait liée aux coûts techniques plus une marge si l’entreprise bénéficiaire n’est pas une PME.
Dans le même temps, les députés voulaient permettre la monétisation des données. Pour créer un marché rentable, ils n’ont donné aux utilisateurs que le droit de partager les données obtenues. À leur tour, les détenteurs de données pourront monétiser les données agrégées.
Commutation cloud
Les dispositions visant à faciliter le changement de fournisseur de cloud relevaient de la commission du marché intérieur et ont déjà été largement anticipées par EURACTIV.
Contrôle d’équité
La proposition de la Commission contenait un «contrôle d’équité» pour empêcher les grandes entreprises d’imposer des clauses contractuelles abusives aux petites et moyennes entreprises (PME). Cette disposition a été étendue à toutes les entreprises quelle que soit leur taille, faisant écho à un amendement similaire du Conseil de l’UE.
Exclusion des PME
Dans son projet de rapport, la députée européenne del Castillo a proposé d’étendre l’exclusion des micro et petites entreprises des obligations de partage de données de la loi sur les données aux entreprises de taille moyenne. Cependant, l’accord est revenu à la portée initiale de cette exclusion.
[Edited by Nathalie Weatherald]