Data Act : la version initiale du règlement européen

Officiellement publié le 23 février dernier par la commission européenne, le « règlement sur les données », ou « Data Act », est un ensemble de mesures qui ont pour objectif de favoriser une « économie des données équitable et innovante ».

Le constat est simple  :

• La donnée y est qualifiée de « bien non rival »
• Une très large partie de ces données est inutilisée
• Cette masse de données est en constante augmentation, avec un volume de données attendu en 2025 cinq fois supérieur à celui de 2018

Ce nouveau règlement de la commission européenne veut donc dynamiser le marché de la data et entend ainsi créer 270 milliards d’euros de PIB supplémentaires d’ici à 2028. Mais ce n’est pas son seul rôle car il entend également réguler le transfert et l’accès aux données par un pays non membre de l’UE.

Avec le Data Act, l’union européenne compte renforcer son arsenal législatif de sa stratégie data comprenant le RGPD, le ePrivacy et la Database Directive.

• l’accessibilité des données par l’utilisateur ou un prestataire
• la protection financière des PME dans les échanges de données
• la création d’un cadre juridique pour l’accessibilité des données par le secteur public lors de situations exceptionnelles
• des exigences imposées aux clouds providers
• la garantie de protection de l’accès des données au sein de l’UE
• la non-application de la Database Directive aux bases de données contenant des données générées par l’IoT

À l’heure actuelle, il n’y a pas mention de spécificités techniques liées à l’application de la règlementation. Il est indiqué néanmoins qu’une autorité compétente doit être désignée par chaque pays membre et servira de référence pour les plaintes (il s’agira probablement la CNIL pour la France).

La proposition suivra alors la procédure ordinaire au Conseil et au Parlement européen. Une législation sur l’accès et le partage des données au niveau sectoriel pourrait venir la compléter.

Le cadre de son application concrète prévoit que le Data Act s’appliquera 12 mois après son entrée en vigueur et concernera donc les consommateurs d’appareils connectés, les entreprises ainsi que les gouvernements. 

Dans un premier temps, la règlementation compte se concentrer sur le secteur des appareils connectés. La commission entend appliquer également ces règles générales à d’autres secteurs comme l’illustre le souhait de mettre en place des espaces de données européennes qui seraient communs, notamment dans le secteur de la santé.

Ainsi, la commission a pour ambition de faire bénéficier cette potentielle richesse à tous, que ce soit de manière financière ou dans le niveau d’information qu’elle peut apporter. Par ailleurs, les frontières numériques de l’union européenne, déjà mises en place, continueront à jouer leur rôle en couvrant le périmètre des données non personnelles.

Dans un rapport des discussions de la commission européenne daté des 21 et 22 octobre 2021, celle-ci constate des difficultés dans la mise en œuvre du changement de cloud provider.

La règlementation affirme ainsi que les opérateurs d’espace de données auront pour obligation de documenter les bases de données, les données qu’elles contiennent et les moyens techniques d’accès, pour faciliter cette interopérabilité. Il est important de préciser que bien qu’aucune information technique soit apportée dans la règlementation, il est possible de réquisitionner des organisations européennes de standardisation pour aider dans la rédaction technique.

Côté contractualisation, des changements importants vont voir le jour dans la création des contrats entre entreprises, notamment afin de garantir un accès facilité aux données. Selon la commission européenne, cette vision plus ferme permettra d’éviter d’accorder trop de pouvoirs aux détenteurs de données, appelés « gatekeepers ».

Le souhait de s’orienter vers des contrats plus stricts, empêchant des dérives dans les relations entre parties, va certainement aboutir sur de « nouvelles » typologies de contrats. La réglementation ouvre ainsi la voie à l’utilisation des smart contracts qui représentent une réponse adaptée à ces usages. Reposant sur le principe de la blockchain, ces contrats sont déjà fondamentaux dans certains secteurs d’échange entre particuliers et/ou entreprises, en l’occurrence celui des cryptomonnaies.

La règlementation, au travers de l’article 30, va permettre de sécuriser ces mêmes smarts contracts actuellement utilisés par tous types d’applications. Elle définira un cadre à respecter et comprendra notamment la mise en place d’un mécanisme d’interruption de l’exécution continue dans une transaction pour empêcher des futurs exécutions qui ne seraient pas souhaitées.

Cette réglementation n’est pas un texte isolé, car elle s’insère dans un train législatif autour de l’encadrement du digital. Elle s’oriente sur les données non-personnelles issues de l’IoT afin de compléter d’autre textes dont la fameuse RGPD qui encadre l’exploitation des données personnelles et d’identification.

S’agissant d’une première version du texte, les futurs échanges avec les acteurs concernés permettront de préciser ces éléments et d’affiner la version finale du Data Act.