La présidence tchèque du Conseil de l’UE a fait circuler un nouveau compromis sur les cinq premiers chapitres de la nouvelle loi sur les données.
Le texte de compromis, vu par EURACTIV, a été distribué vendredi dernier et sera discuté lors de la réunion du groupe de travail Télécom jeudi 27 octobre. Le compromis est une étape vers l’approche générale que les Tchèques visent à atteindre d’ici la fin de leur présidence en décembre.
Portée
Le texte précise que les utilisateurs d’un appareil connecté auront accès aux données qu’ils ont contribué à générer quel que soit leur lieu d’établissement. Les opérateurs qui utilisent des contrats intelligents dans les espaces de données sont également couverts par le champ d’application.
La formulation a été modifiée pour préciser que le règlement n’empêche pas les accords volontaires sur l’échange de données entre entités privées et publiques. Cela n’affecte pas non plus la directive de l’UE sur les clauses abusives dans les contrats conclus avec les consommateurs.
Les dispositifs vestimentaires non médicaux ont été inclus comme exemple de produits physiques couverts par le règlement. Sont exclus du champ d’application les produits conçus pour afficher du contenu, comme les téléviseurs intelligents, et pour traiter et stocker des données, comme les ordinateurs personnels et les smartphones.
Les données générées incluent celles enregistrées intentionnellement par les utilisateurs et celles résultant d’actions des utilisateurs, telles que les données de diagnostic, et sans aucune interaction, y compris lorsque le produit est en mode veille ou éteint.
Le texte précise qu’un locataire ou locataire doit également être considéré comme un utilisateur. La possibilité que plusieurs personnes utilisent le même compte a été ajoutée, ce qui devra être reflété dans les solutions de compte.
Partage de données
Le concept de « facilement disponible » a été ajouté pour définir les données générées par les produits de l’Internet des objets que le fabricant du produit « peut obtenir sans effort disproportionné, allant au-delà d’une simple opération ».
Le fabricant du produit sera tenu de partager gratuitement ces données facilement disponibles et de maintenir le même niveau de qualité. Ces droits d’accès ne peuvent être limités par aucun accord ou arrangement contractuel entre le fabricant et l’utilisateur.
Lors de l’achat de l’appareil connecté, l’utilisateur doit avoir le droit de connaître les conditions d’accès, y compris la politique de stockage et de conservation des fabricants. Des garanties plus solides pour les secrets commerciaux ont été introduites.
La présidence a précisé que ces coûts pourraient être les coûts techniques de mise à disposition de ces données, plus une marge qui pourrait dépendre du modèle économique de l’organisation. Des accords à long terme, par exemple sous la forme de contrats intelligents, pourraient contribuer à réduire leurs coûts.
Accès publique
La portée des dispositions qui habilitent les organismes publics à demander l’accès à des données privées a été limitée pour les institutions de l’UE à la Commission européenne, à la Banque centrale européenne et aux agences de l’UE.
Les autorités nationales chargées de faire appliquer la loi sur les données ont été exclues du champ d’application afin d’éviter tout conflit d’intérêts.
Ces institutions publiques peuvent demander l’accès à des données privées dans des circonstances exceptionnelles, y compris lorsque l’absence de telles données les empêche d’accomplir une mission spécifique d’intérêt public.
Cependant, la présidence a ajouté une précision selon laquelle l’organisme public doit avoir épuisé tous les autres moyens d’obtenir les données pertinentes, y compris les acheter aux opérateurs économiques aux prix du marché. Ces demandes spécifiques ne peuvent concerner des données à caractère personnel que s’il existe une base légale au niveau européen ou national.
Ces dispositions relatives au partage de données n’affectent pas les obligations légales existantes de fournir des données pour les statistiques officielles et ne peuvent pas être utilisées pour enquêter sur des infractions pénales ou administratives.
Lors de l’émission de la demande, l’organisme public devra indiquer le délai et la base légale.
Dans l’hypothèse où un organisme public serait invité à accéder aux données d’une entreprise établie dans un autre pays, la demande devrait être transmise à l’autorité nationale compétente pour examiner si elle remplit les conditions.
L’autorité nationale peut renvoyer la demande avec des réserves dûment justifiées, auquel cas l’organisme public consultera son autorité de régulation nationale et examinera les considérations lors de la nouvelle soumission de la demande.
Règlement des différends
Si le fabricant du produit et l’utilisateur ne sont pas d’accord sur les conditions de partage des données, ils peuvent saisir un organisme de règlement des différends agréé. Cette possibilité a également été étendue aux PME qui se sont vu imposer des clauses contractuelles abusives.
Les organes de règlement des différends doivent disposer de règles de procédure non discriminatoires et évaluer des conditions d’accès équitables, y compris une indemnisation pour la mise à disposition des données à une entreprise qui n’est pas une PME.
Différencier la chronologie
L’obligation de concevoir les interfaces des objets connectés de manière à ce que les données puissent être facilement exportées s’appliquera un an après l’entrée en application de la loi informatique. Les mesures contre les clauses contractuelles abusives sont destinées aux contrats conclus après l’entrée en vigueur de la loi sur les données.
[Edited by Nathalie Weatherald]