La présidence suédoise du Conseil de l’UE a fait circuler le cinquième texte de compromis sur la loi sur les données, obtenu par EURACTIV, introduisant la possibilité de refuser les demandes de partage de données si elles risquent de causer de graves dommages économiques.
La loi sur les données est une législation phare visant à réglementer la manière dont les données industrielles sont portées, consultées et partagées. Le Parlement européen officialisera sa position sur le dossier d’ici la mi-mars. La Suède, qui assure la présidence tournante du Conseil des ministres de l’UE, s’efforce d’obtenir un calendrier similaire, avec un texte proche de la version finale.
Le compromis sera discuté mardi prochain (28 février) lors d’une réunion du groupe de travail Télécom, un organe technique du Conseil de l’UE qui prépare le terrain pour l’approbation ministérielle dans le cadre de la procédure législative.
Secrets commerciaux
La loi sur les données stipule que les utilisateurs d’appareils connectés doivent avoir le droit d’accéder aux données qu’ils contribuent à générer ou de déléguer ce droit à un tiers qui pourrait utiliser les données pour développer un nouveau service.
Une telle obligation de partage de données a suscité des inquiétudes du côté de l’industrie quant à la divulgation de secrets commerciaux et d’informations commerciales sensibles. Notamment, la présidence suédoise a introduit la possibilité pour l’organisation contrôlant les données de refuser une demande d’accès si elle peut démontrer qu’elle entraînera probablement de graves dommages économiques.
Le dommage se produirait malgré les mesures techniques et organisationnelles que la personne ou l’entité destinataire mettrait en œuvre pour protéger les secrets commerciaux.
« Dans la proposition du Conseil, un détenteur de données dispose de nombreux points de veto unilatéraux pour empêcher les utilisateurs d’utiliser ou de partager les données d’un produit qu’ils possèdent et pour lequel ils ont payé. Il s’agit d’une évolution absurde qui transforme la loi sur les données en un droit du fabricant à la suppression des données », a déclaré l’eurodéputé Damian Boeselager à EURACTIV.
Si les parties concernées ne trouvent pas d’arrangement, elles pourraient porter l’affaire devant un organe de règlement des différends. Pour éviter l’abus de la nouvelle mesure, si l’organisme de règlement des litiges donne tort aux détenteurs de données, ceux-ci devront également couvrir les frais de justice et autres dépenses raisonnables des destinataires des données.
En revanche, les destinataires des données n’auront pas à payer les frais des détenteurs des données s’ils perdent, sauf si l’organe de règlement des litiges estime qu’ils ont agi « manifestement » de mauvaise foi.
Dans le même temps, la portée du type de données couvertes par les obligations de partage de données a été réduite pour exclure les données traitées avec un «savoir-faire spécifique» pour générer des informations sur le produit ou le comportement du consommateur.
Indemnisation et règlement des différends
La loi sur les données prévoit que les données doivent être divulguées gratuitement aux consommateurs (B2C), mais une compensation pourrait être demandée si le destinataire est une entreprise (B2B).
Cependant, les PME ne devraient pas payer plus que le coût réel de la mise à disposition des données. Le nouveau texte indique que le coût doit être calculé en fonction du formatage, du stockage et du partage des données, et de l’investissement engagé dans la collecte et la production des données.
Dans toutes les autres interactions B2B, le détenteur des données peut inclure une marge. Alors que les versions précédentes du texte du Conseil faisaient dépendre cette marge de l’utilisation des données par le destinataire, cette formulation prescriptive a été supprimée, donnant plus de latitude au détenteur des données pour fixer la marge.
« Cette compensation peut également dépendre du volume, du format et de la nature des données », ajoute le texte.
L’obligation pour chaque pays de l’UE d’avoir au moins un organisme de règlement des différends sur son territoire national au moment où le nouveau règlement entre en application a été supprimée.
Commutation cloud
La loi Data Act entend également favoriser la concurrence sur le marché du cloud en facilitant les conditions de passage d’un service cloud à un autre. À cet égard, les fournisseurs de cloud devraient supprimer tous les frais liés aux frais de commutation et de sortie trois ans après l’entrée en vigueur du règlement.
Les frais de sortie couvrent les dépenses de transfert de données et ne sont pas considérés comme des frais de transfert. Le texte de compromis clarifie désormais la possibilité d’inclure des pénalités de résiliation anticipée dans les dispositions contractuelles, ce qui signifie qu’elles ne doivent pas non plus être considérées comme des frais de changement de fournisseur.
La présidence suédoise a introduit l’obligation de mentionner explicitement ces pénalités de résiliation anticipée et ces frais de sortie dans les contrats.
Accès aux données B2G
Le projet de loi comprend des dispositions permettant aux organismes du secteur public de demander des données industrielles à des entreprises privées dans des circonstances spécifiques (Business-to-Government).
L’autorité publique pourrait transmettre les données obtenues aux chercheurs et aux instituts statistiques. Dès que les données ne sont plus nécessaires, l’organisme public doit les effacer et informer le détenteur des données et toute personne ou organisation destinataire.
Si les organismes publics souhaitent demander des données à une personne établie dans un autre pays de l’UE, ils devront adresser la demande à l’autorité compétente de ce pays. L’autorité compétente peut rejeter la demande pour des raisons dûment motivées que les organismes publics doivent prendre en considération s’ils soumettent à nouveau la demande.
Interopérabilité
Pour permettre aux données de circuler librement, la loi sur les données comprend l’établissement de normes techniques obligatoires et d’exigences essentielles qui garantissent l’interopérabilité entre différents systèmes et entreprises.
La procédure d’élaboration de ces normes techniques a été alignée sur le règlement européen sur les machines.
Entrée en vigueur
Le délai d’entrée en vigueur du règlement a été prolongé de 18 à 24 mois.
[Edited by Alice Taylor]