La Commission européenne présente un texte pour encadrer les transferts de données non personnelles d’utilisateurs ou d’entreprises produites par l’Internet des objets.
L’Europe ne veut pas reproduire avec les données industrielles de ses entreprises et de ses consommateurs ce qu’il s’est passé avec les données personnelles de ses citoyens. À savoir la confiscation de leur valeur au seul profit de quelques acteurs, les GAFA.
L’arsenal législatif européen qui encadre le partage de données produites sur le Vieux Continent s’enrichit donc d’un nouveau texte.
Après le RGPD et le Governance Data Act, la Commission européenne a présenté mercredi son projet de «Data Act». Ce règlement anticipe la production exponentielle de données industrielles dans les années à venir, à la fois par les humains et par les objets connectés. Or il existe aujourd’hui un flou. À qui appartient la donnée produite lors de l’utilisation d’une machine? À son seul fabricant ou à l’utilisateur grâce à qui elle est générée? Et dans quelle mesure un tiers peut-il y accéder ?
En répondant à ces questions, l’objectif du Data Act est de s’assurer que la valeur de ces données industrielles créées en Europe soit répartie de manière juste entre les fabricants de produits connectés, les utilisateurs et des services tiers. Ce faisant, l’Europe espère favoriser l’innovation, en évitant par exemple que le constructeur d’un véhicule connecté soit le seul à pouvoir proposer un service de réparation car seul détenteur des fameuses données nécessaires.
Nouvelles obligations
Car le texte introduit effectivement une nouvelle obligation pour les fabricants («data holders») : rendre accessible gratuitement aux utilisateurs les données non personnelles qu’ils génèrent. Cet utilisateur peut choisir de les transférer à une entreprise tierce. Dans ce cas, le Data Act en fixe les conditions.
Pour une petite ou une moyenne entreprise, le prix à payer pour accéder aux données produites ne pourra pas excéder le coût de leur transfert. Pour les plus grosses, le prix est laissé libre au marché, mais le fabricant ne pourra pas imposer de conditions «déraisonnables » pour esquiver son obligation. En revanche, ce tiers ne pourra pas être une des grandes plateformes.
«Nous voulons donner aux consommateurs et aux entreprises encore plus de contrôle sur ce qui peut être fait avec leurs données, en clarifiant qui peut accéder aux données et à quelles conditions» insiste la commissaire Margrethe Vestager.
Le Data Act prévoit aussi les conditions dans lesquelles certaines données doivent être rendues accessibles «au nom du bien public». En cas d’urgence – comme l’a montrée la récente crise sanitaire – ou lorsque l’existence de ces données pourrait alléger la gestion administrative d’un État par exemple, les industriels seront tenus de partager leurs données avec les gouvernements.
Standards d’interopérabilité
Un autre volet du Data Act concerne plus particulièrement les fournisseurs de cloud. Afin d’améliorer la confiance, ils seront tenus de prendre des mesures pour mieux protéger les données produites en Europe contre les lois extraterritoriales type Cloud Act américain. Il peut s’agir de mettre en place certaines procédures en cas de demande par des autorités gouvernementales ou bien d’appliquer des mesures techniques type chiffrement.
L’Union européenne veut également profiter de ce texte pour pousser davantage d’interopérabilité entre les fournisseurs de services cloud. Comme elle l’a fait avec les opérateurs télécoms mobiles et la portabilité du numéro, elle veut qu’il soit plus facile pour les entreprises de changer de fournisseur de cloud sans perdre leurs données ou les applications qu’elles développent.
Le Data Act définit donc des standards d’interopérabilité qui devront être appliqués. De même, le texte va fixer des standards pour les «smarts contracts», ces contrats inscrits dans du code informatique, qui peuvent s’exécuter sans besoin d’intervention d’un tiers.
Marché européen des données
Ce Data Act fait partie d’une stratégie européenne plus large autour de la création d’un marché unique des données, souvent qualifié de «nouvel or numérique». «Ce jour marque une étape importante dans le déblocage d’une multitude de données industrielles en Europe, au bénéfice des entreprises, des consommateurs, des services publics et de la société dans son ensemble», a souligné le commissaire européen Thierry Breton.
«Jusqu’à présent, seule une petite partie des données industrielles est utilisée et le potentiel de croissance et d’innovation est énorme. Le Data Act permettra de garantir que les données industrielles sont partagées, stockées et traitées dans le plein respect des règles européennes.».
Par Ingrid Vergara
