Le nouveau compromis sur le projet de loi sur les données, vu par EURACTIV, affine encore la protection des secrets commerciaux et clarifie la relation avec les règles de protection des données et l’application des dispositions relatives au cloud-switching.
La présidence suédoise a partagé mercredi 8 mars le sixième texte de compromis sur la loi sur les données, en vue d’en discuter le 14 mars au sein du groupe de travail Télécom, un organe technique du Conseil de l’UE.
La loi sur les données est une proposition législative phare destinée à réglementer la manière dont les données sont partagées, consultées et portées. Si aucune opposition significative n’est soulevée la semaine prochaine, le texte de la présidence atterrira sur la table du Comité des représentants permanents (COREPER) le 22 mars.
L’objectif est de lancer rapidement des négociations interinstitutionnelles avec le Parlement européen, qui devrait formaliser sa position lors de la session plénière de la semaine prochaine.
Portée
La loi informatique introduit le principe selon lequel les utilisateurs d’objets connectés doivent avoir un droit d’accès et de partage des données qu’ils contribuent à générer. Cependant, le type de données qui devrait être couvert par ces obligations de partage de données a été un sujet controversé.
La controverse réside dans le fait que les données peuvent contenir des secrets commerciaux sensibles ou commerciaux liés à la manière dont l’organisation contrôlant les données, le détenteur des données, les traite pour obtenir des informations et d’autres informations.
Dans cette optique, dans le compromis précédent, la présidence suédoise proposait d’exclure du champ d’application toutes les données traitées via des systèmes soumis aux droits de propriété intellectuelle (PI) ou au savoir-faire spécifique du titulaire des données.
Cette référence au « savoir-faire spécifique » a été supprimée du nouveau texte, car elle était considérée comme source d’incertitude juridique puisque le concept n’est pas défini dans la proposition.
Secrets commerciaux
Dans le dernier compromis, la présidence a également introduit la possibilité pour les détenteurs de données de refuser de partager des données dans des circonstances exceptionnelles. C’est-à-dire que s’ils peuvent démontrer que cela leur causera très probablement de graves dommages malgré les éventuelles garanties que les récepteurs pourraient mettre en place.
La portée de ce refus exceptionnel a été étendue de l’utilisation abusive ou de la divulgation illicite d’informations couvertes par les droits de propriété intellectuelle à tout secret commercial. Le détenteur des données devrait dûment justifier le motif de son refus et informer l’autorité nationale compétente.
Le dommage grave a été défini comme « un dommage ayant une incidence négative sur la conduite de l’activité économique, lorsque le détenteur des données subirait des pertes économiques importantes, qui pourraient notamment menacer sa viabilité ou présenter un risque sérieux de faillite ».
Le préambule du texte énumère les facteurs à prendre en compte, tels que le manque d’applicabilité de la protection des secrets commerciaux dans la juridiction où les données seraient transférées, le niveau de confidentialité des données demandées, l’unicité et la nouveauté du produit et la cybersécurité.
Protection des données
Un autre aspect critique de la discussion concernait la relation entre la loi sur les données et le règlement général sur la protection des données (RGPD). La nouvelle formulation précise que chaque fois que les utilisateurs obtiennent des données personnelles qui ne sont pas les leurs, la loi sur les données ne fournit pas la base juridique pour les traiter.
Les titulaires de données devraient s’assurer que leur partage de données à caractère personnel est conforme aux règles de l’UE en matière de protection des données, notamment en anonymisant les données à caractère personnel ou en ne transférant que les données à caractère personnel relatives à l’utilisateur.
Commutation cloud
La loi sur les données vise à favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre. À cet égard, il rend obligatoire le retrait complet des frais de sortie de données et des frais de commutation trois ans après son entrée en vigueur.
Parallèlement, un nouveau paragraphe précise que le règlement de l’UE n’empêche pas « les parties de conclure des contrats de services de traitement de données d’une durée déterminée, y compris des frais de résiliation pour couvrir la résiliation anticipée desdits contrats, conformément au droit national et au droit de l’Union ”.
Entreprise à gouvernement (B2G)
La nouvelle loi sur les données habilite les organismes publics à demander l’accès aux données détenues par des entreprises privées dans des circonstances exceptionnelles. Notamment, pour répondre ou atténuer une urgence publique ou si l’autorité publique a besoin des données pour une tâche d’intérêt public et ne peut pas les obtenir autrement.
Toutefois, pour la production de statistiques officielles, l’exigence selon laquelle l’organisme public ne pouvait pas acheter les données pertinentes sur le marché ne s’applique pas si les instituts statistiques peuvent démontrer que la loi applicable ne leur permet pas de le faire.
Législation sectorielle
La loi sur les données est l’une des principales couches de la stratégie européenne en matière de données, qui comprend également la création d’espaces de données sectoriels pour des secteurs tels que l’énergie et l’agriculture. Une référence à la recherche scientifique a été ajoutée à titre d’exemple de secteurs qui pourraient nécessiter des exigences supplémentaires.
Examen
Deux ans après l’entrée en vigueur du nouveau règlement, la Commission européenne doit évaluer ses effets.
Les éléments que l’exécutif européen devra prendre en compte dans son réexamen ont été modifiés pour couvrir l’impact sur le développement de nouveaux produits et services connexes, l’impact sur les petites et moyennes PME et leur capacité à innover, et la disponibilité des services cloud pour les utilisateurs européens.
[Edited by Nathalie Weatherald]