Le volume mondial de données dans le monde devrait augmenter de 530%, d'après les projections de la Commission européenne. Face à ce constat, et au potentiel économique de ce marché, elle a présenté une proposition de règlement pour encadrer la collecte, l'échange et la réutilisation des données. Le texte, amendé à plusieurs reprises, vient de passer l'étape ultime de l'adoption formelle par le Conseil de l'Union européenne, organe représentatif des gouvernements des Etats membres.
Le Data Act, ou règlement européen sur les données, s'inscrit dans une stratégie plus globale de Bruxelles : la stratégie européenne en matière de données présentée en février 2020 par la Commission. Alors que le règlement sur la gouvernance des données (le Data Governance Act) instaure les processus et les structures destinés à faciliter le partage de données, le règlement sur les données précise "qui peut créer de la valeur à partir des données et dans quelles conditions". Le tout ayant pour objectif la création de "nouveaux services innovants ainsi que des prix plus compétitifs pour les services après-vente et la réparation d'objets connectés", précise le Conseil.
En tant que règlement, le Data Act est d'application directe dans les Etats membres. Ils n'ont pas besoin de transposer le texte dans leur législation nationale. Une fois publié au Journal officiel de l'Union européenne, il entrera en vigueur et deviendra pleinement applicable 20 mois après sa date d'entrée en vigueur. Les dispositions relatives aux exigences sur l'accessibilité pour les nouveaux produits s'appliqueront aux produits connectés et aux services connexes mis sur le marché 32 mois après la date d'entrée en vigueur du règlement.
1 - Les nouvelles règles pour l'IoT
Le Data Act établit des règles harmonisées sur la mise à disposition des données relatives au produit ou au service connexe au profil de l'utilisation d'un produit connecté ou du service connexe. Il introduit une distinction entre "données relative au produit" et "données relatives au service connexe" à partir desquelles "des données facilement accessibles peuvent être partagées". Le texte définit un service connexe comme étant "un service numérique (...) qui est connecté au produit au moment de l'achat, ou de la mise en location ou en crédit-bail, de telle sorte que son absence empêcherait le produit connecté d'exécuter une ou plusieurs de ses fonctions, ou qui est ensuite connecté au produit par le fabricant ou un tiers pour ajouter, mettre à jour ou adapter les fonctions du produit connecté".
C'est ainsi que les fournisseurs de produits connectés, tels qu'une montre connectée ou un jouet, ainsi que les fournisseurs de services connexes, les logiciels par exemple, doivent faire en sorte que les données et "les métadonnées pertinentes nécessaires à l'interprétation et à l'utilisation de ces données" soient par défautfacilement accessibles. Cet accès doit être fait "de manière sécurisée sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine". Ces données devront être "directement accessibles à l'utilisation" dans le cas où cela est "pertinent et techniquement possible".
Le texte précise également les informations que devront délivrer les fabricants de produits connectés avant un achat, une location ou un crédit-bail. Il s'agit du type, format et volume estimé des données relatives au produit que le produit connecté est capable de générer, s'il est capable de générer des données en continu et en temps réel, stocker des données sur un dispositif intégré ou un serveur distant ainsi que la durée de conservation. Ils devront également fournir des informations sur la manière dont l'utilisateur peut accéder aux données, les extraire ou les effacer ; y compris les moyens techniques nécessaires pour le faire.
Pour protéger les secrets des affaires, le texte prévoit que le détenteur des données prend "toutes les mesures nécessaires avant la divulgation pour préserver leur confidentialité, en particulier en ce qui concerne les tiers". Il peut également bloquer, suspendre le partage des données définies comme "secrets d'affaires". Cette décision doit être "dûment motivée et communiquée par écrit à l'utilisateur sans retard injustifié". "Dans des circonstances exceptionnelles", il peut refuser la divulgation de données "au cas par cas" s'il démontre "qu'il est très probable qu'il subisse un préjudice économique grave".
Ces nouvelles obligations ont été critiquées par une partie des industriels. Cinq groupes allemands, dont SAP et Siemens, ont adressé une lettre ouverte à plusieurs responsables européens pour dénoncer les "risques énormes" que fait peser cette réglementation sur "la cybersécurité et la compétitivité de certaines des entreprises les plus performantes d'Europe".
2 - Les nouvelles règles pour le cloud
Grâce à ce texte, l'Union européenne espère également mettre fin à plusieurs pratiques mises en place par certains fournisseurs de cloud, qui entravent la libre concurrence sur ce marché et constitue un frein à la circulation des données. Elle a notamment pour objectif de permettre aux consommateurs de passer plus facilement d'un fournisseur à un autre "sans obstacles injustifié ou frais excessifs de transfert de données (...) tout en maintenant une fonctionnalité minimale du service et sans interruption des services" ou "d'utiliser simultanément les services de plusieurs fournisseurs". Il s'agit, pour l'Union européenne, d'une condition essentielle pour un marché plus concurrentiel "avec des barrières à l'entrée moins élevées pour les nouveaux fournisseurs (...) et pour garantir une plus grande résilience aux utilisateurs". Pour rappel, Amazon Web Services (AWS), Google Cloud Platform (GCP) et Azure captent l'essentiel du marché européen du cloud.
En pratique, le règlement impose aux fournisseurs de services de traitement de données – dont les fournisseurs de cloud font partie – de supprimer "les obstacles précommerciaux, commerciaux, techniques, contractuels et organisationnels" qui freinent les clients à résilier le contrat "après le préavis maximal et l'achèvement avec succès du processus de changement de fournisseur", de conclure de nouveaux contrats avec un autre fournisseur, d'effectuer "un portage des données exportables et des actifs numériques du client" vers un autre fournisseur ainsi que de découpler "lorsqu'il est techniquement possible" des services de traitement de données.
Plus précisément, sur le changement de fournisseur, le Data Act prévoit que les droits du client et les obligations du fournisseur ainsi que le passage à une autre infrastructure sont "clairement énoncés dans un contrat écrit'. Ce dernier doit être mis à disposition du client avant sa signature "d'une manière qui permet [d'être] stocké et reproduit". Il doit contenir des clauses permettant de passer à un autre service de cloud. Durant une période transitoire de 30 jours, le fournisseur doit fournir "une assistance raisonnable au client" et "aux tiers autorisés par le client dans le cadre du processus de changement". Il doit également agir "avec diligence" afin de maintenir la continuité des activités et veille à ce "qu'un niveau élevé de sécurité soit maintenu tout au long du processus".
Particulièrement intéressant, le texte met en place un ensemble de dispositions détaillant les obligations contractuelles en matière de transparence sur l'accès et le transfert internationaux. Les fournisseurs doivent ainsi mettre à disposition et tenir à jour sur leur site internet les informations suivantes : les juridictions dont dépend "l'infrastructure TIC déployée pour le traitement des données" ainsi une description générale des mesures techniques, organisationnelles et contractuelles adoptées par le fournisseur de services de traitement de données afin d'empêcher l'accès international des autorités publiques aux données non personnelles détenues dans l'Union ou le transfert international de ces données "lorsque cet accès ou ce transfert risque d'être en conflit avec le droit de l'Union ou le droit de l'État membre concerné".
3 - Les nouvelles règles pour l'accès aux données par les administration publiques
Le règlement prévoit qu'en cas de "besoin exceptionnel", les détenteurs de données sont tenus à mettre à disposition des organismes du secteur public, de la Commission, de la Banque centrale européenne ou des organes de l'Union les données nécessaires à l'exécution d'une mission d'intérêt public spécifique. C'est l'article 15 du texte qui définit ce qu'est un besoin exceptionnel : réagir à une situation d'urgence et que les organes visés ci-dessus ne sont pas en mesure d'obtenir les mesures nécessaires "par d'autres moyens en temps utile et de manière efficace et dans des conditions équivalentes". Les petites entreprises peuvent réclamer une compensation étant donné "la charge considérable" que peut représenter cette obligation de fourniture.
En cas de besoin exceptionnel autres que les cas de réponse à des situations d'urgence, les détenteurs de données pourront demander une compensation "raisonnable" qui ne devrait pas dépasser "les coûts techniques et organisationnels encourus" pour se conformer à la demande.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
