BRÈVE

Adoption du Data Act : vers le développement d’une économie fondée sur les données
Chloé Antoine


Résumé

Le règlement sur les données (Data Act) a été adopté par le législateur européen le 13 décembre 2023 dans le cadre d’une approche globale tendant au développement d’une économie fondée sur les données. Le Data Act vise (I) à permettre et à encadrer la mise à disposition de données dans le domaine de l’Internet des objets ainsi que (II) la mise à disposition de données au profit du secteur public en cas de besoin exceptionnel, (III) à améliorer l’interopérabilité des espaces de données et des services de traitement de données, (IV) à faciliter le changement de service de traitement de données et (V) à prévenir l’accès et le transfert internationaux illicites de données à caractère non personnel par des autorités publiques de pays tiers.

***

The Data Act was adopted by the European legislator on 13 December 2023 as part of a comprehensive approach to developing a data-driven economy. The Data Act aims to (I) enable and regulate the making available of data in the field of the Internet of Things, as  well as (II) the making available of data to the public sector in cases of exceptional need, (III)  improve the interoperability of data spaces and data processing services, (IV) facilitate the switching between data processing services and (V) prevent the unlawful  international access and transfer of non-personal data by third-country governments.


Texte

En 2020, la Commission européenne mettait en avant, dans sa stratégie européenne pour les données, l’importance d’établir une approche globale de l’économie fondée sur les données pour en augmenter l’utilisation et la demande au sein du marché unique.

Dans la lignée de cette stratégie, le législateur européen a adopté le règlement (UE) 2023/2854 sur les données (Data Act) le 13 décembre 2023. La plupart des dispositions du Data Act seront applicables à partir du 12 septembre 2025.

Le Data Act vise à établir des règles harmonisées relatives :

  • à la mise à disposition de données dans le domaine de l’Internet des objets (IoT) au bénéfice des utilisateurs ;
  • à la mise à disposition de données au profit des organismes du secteur public, de la Commission, des organes de l’Union et de la Banque centrale
    européenne en cas de besoin exceptionnel de disposer de ces données pour exécuter une mission spécifique d'intérêt public ;
  • à l’accès et au transfert internationaux illicites de données à caractère non personnel par les autorités publiques de pays tiers ;
  • à la facilitation du passage d’un service de traitement de données à un autre ; et
  • au développement de normes d’interopérabilité pour les espaces de données et les services de traitement de données.

I. MISE À DISPOSITION DE DONNÉES DANS LE DOMAINE DE L’IOT

Le Data Act permet à l’utilisateur d’un produit connecté, service connexe ou assistant virtuel (s’il interagit avec un produit connecté ou un service connexe) de se voir partager les données concernant l’utilisation, la performance et l’environnement de ce produit connecté, service connexe ou assistant virtuel.

Le Data Act offre en outre à l’utilisateur la possibilité de désigner un tiers auquel le détenteur de données doit directement partager ces données.
Dans ce cas, le tiers concerné et le détenteur de données, s’il s’agit d’entreprises, doivent s’entendre sur des modalités équitables, raisonnables et non discriminatoires de mise à disposition des données, en ce compris sur la compensation octroyée au détenteur de données.

Notons que certaines limitations à la mise à disposition des données sont toutefois prévues, notamment en vue d’assurer la préservation de la
confidentialité des secrets d’affaires.

À compter du 12 septembre 2025, l’utilisateur d’une montre connectée de la marque X, par exemple, pourra ainsi demander au détenteur de données – qui sera probablement l’entreprise X – d’avoir accès aux données générées par cette montre connectée. Mais ce n’est pas tout : l’utilisateur pourra, par exemple parce qu’il achète une montre connectée de la marque Y, demander au détenteur de données de partager les données avec l’entreprise Y.

II. MISE À DISPOSITION DE DONNÉES AU PROFIT DU SECTEUR PUBLIC EN CAS DE BESOIN EXCEPTIONNEL

Face à une situation d’urgence ou, sous des conditions plus strictes, pour exécuter une mission d’intérêt public spécifique, les organismes du secteur public, la Commission européenne, la Banque centrale européenne et les organes de l’Union peuvent réclamer aux détenteurs de données – à condition qu’il s’agisse de personnes morales – le partage de certaines données. 

Le partage de données à caractère personnel ne peut être réclamé qu’en cas de situation d’urgence et sous réserve du respect de certaines mesures, notamment leur pseudonymisation.

III. PASSAGE D’UN SERVICE DE TRAITEMENT DE DONNÉES À UN AUTRE

Le Data Act impose aux fournisseurs de services de traitement de données (en particulier, les services cloud) l’adoption de mesures – notamment techniques et contractuelles – ayant pour but de faciliter, pour leurs clients, le passage à un autre service de traitement de données.

IV. ACCÈS ET TRANSFERT INTERNATIONAUX ILLICITES DE DONNÉES À CARACTÈRE NON PERSONNEL

En vue d’éviter que des autorités publiques de pays tiers aient accès à des données à caractère non personnel ou se voient transférer de telles données de manière illicite, le Data Act impose notamment aux fournisseurs de services de traitement de données de prendre toutes les mesures juridiques, techniques et organisationnelles adéquates. 

V. INTEROPÉRABILITÉ

Une série d’exigences en matière d’interopérabilité des espaces de données sont imposées par le Data Act. Certaines de ces exigences s’appliquent également aux services de traitement de données en vue de faciliter leur interopérabilité lorsqu’ils sont utilisés de manière simultanée.

Le Data Act prévoit en outre diverses exigences relatives au déploiement de contrats intelligents dans le cadre de l’exécution d’accords de partage de données (robustesse, contrôle d’accès, cohérence, archivage et continuité des données…).

Tant en ce qui concerne les exigences d’interopérabilité que les exigences relatives aux contrats intelligents, le Data Act ouvre la voie à l’élaboration de normes harmonisées ou, le cas échéant, à l’adoption de spécifications communes. 

Pour une analyse plus complète du Data Act, nous renvoyons à la contribution parue dans la Chronique de législation en droit européen du numérique de la R.D.T.I. (n° 2023/92-93, pp. 34-57).