Data Act : quels impacts sur la gestion des données ?

Le Data Act : qui est concerné ?

Le périmètre des données concernées est particulièrement large : il couvre à la fois les données à caractère personnel, par exemple des données issues ou révélant l’usage d’un produit connecté, et les données non personnelles, en particulier les données techniques générées par le fonctionnement de l’objet ou du service connexe.

Le Règlement édicte principalement des obligations à la charge des détenteurs de données, soit les personnes qui détiennent les données ainsi générées ou collectées, dès lors que les produits connectés ou services connexes en cause sont mis à disposition au sein de l’Union européenne, indépendamment du lieu d’établissement du détenteur.

En pratique, le détenteur de données sera bien souvent le fabricant de l’objet connecté et le fournisseur des services connexes. Mais il peut également s’agir d’un sous-traitant ou du fabricant d’un composant destiné à collecter des données et à les transmettre au fabricant.

Plus généralement, peut être qualifiée de détenteur de données toute personne à laquelle le fabricant a délégué la détention des données générées par ses produits. Sont néanmoins exclues les microentreprises et petites entreprises ainsi que les entreprises moyennes depuis moins d’un an, et pour les produits connectés pendant une période d’un an après la date à laquelle ils ont été mis sur le marché par une entreprise moyenne.

L’utilisateur susceptible de bénéficier des droits consacrés par le Règlement s’entend de toute personne physique ou morale, propriétaire ou titulaire d’un droit d’utilisation du produit connecté ou bénéficiaire des services connexes.

Outre un droit d’accès aux données, l’utilisateur peut exiger le transfert de ces données au profit d’un tiers, alors qualifié de destinataire des données. Le Règlement encadre également les conditions dans lesquelles les données sont partagées et peuvent être utilisées par ces destinataires, notamment afin de protéger les secrets d’affaires.

Une même entreprise peut ainsi, selon les situations, être successivement ou concomitamment qualifiée de détenteur de données, de destinataire des données ou d’utilisateur, les droits et obligations applicables variant en fonction de chacune de ces qualités.

Adapter la conception des produits connectés et services connexes

Si dès aujourd’hui les utilisateurs peuvent formuler des demandes d’accès aux données, le Règlement consacre un principe d’« access by design » qui s’appliquera à tous les produits et services mis sur le marché après le 12 septembre 2026.

Ces produits et services doivent être conçus de manière à rendre, par défaut, accessibles à l’utilisateur, les données qu’ils génèrent, y compris les métadonnées nécessaires à leur interprétation et utilisation. Lorsque cela est techniquement possible, l’utilisateur doit pouvoir accéder aux données de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine. Les données doivent être mises à disposition avec un niveau de qualité équivalent à celui dont bénéficie le détenteur des données et, le cas échéant, de manière continue et en temps réel.

Cette exigence d’accessibilité requiert en pratique d’envisager des interfaces ou portails dédiés et d’anticiper les flux de données, notamment en permettant des exports automatisés, tout en garantissant un niveau de sécurité élevé, adapté aux risques.  

Le Règlement consacre également un droit à la portabilité : dans les mêmes conditions, l’utilisateur est en droit d’exiger que les données relatives à son utilisation du produit ou du service concerné soient communiquées à un tiers. Techniquement, l’organisation d’un transfert des données doit également être anticipée.

Cartographier ses données et adapter ses procédures internes

La mise en conformité au Data Act suppose avant tout de cartographier ses données.

Plus spécifiquement, il convient d’identifier les produits et services entrant dans le champ d’application du Règlement ainsi que les catégories de données qu’ils génèrent. Il est ensuite nécessaire de distinguer d’une part les données non personnelles, soumises exclusivement au Data Act et, d’autre part, les données à caractère personnel, auxquelles s’appliquent cumulativement les dispositions du Règlement sur la protection des données personnelles (RGPD) et celles du Data Act.

Par ailleurs, le détenteur de données doit recenser les informations susceptibles d’être protégées au titre du secret des affaires et anticiper la mise en place de mesures techniques et organisationnelles appropriées afin d’en préserver la confidentialité.

Le Règlement prévoit qu’en cas de non-respect des conditions agréées avec l’utilisateur ou le destinataire des données, le détenteur des données peut, par décision dûment motivée, bloquer ou suspendre le partage des données relevant du secret des affaires. Il peut également refuser la communication en établissant la probabilité d’un préjudice économique grave du fait de la divulgation de secrets d’affaires, malgré les mesures techniques et organisationnelles agréées entre les parties.

Il est à noter que dans le cadre d’une proposition de règlement « omnibus », la Commission européenne a engagé une réflexion sur un renforcement de cette exception en permettant de refuser le partage en cas de « risque élevé » d’utilisation ou de divulgation illicites à des pays tiers ou à des entités établies dans des pays tiers offrant une protection moins élevée que celle offerte dans l’Union.

Anticiper les situations susceptibles de justifier un refus et/ou une suspension de communication est d’autant plus important que toute suspension ou tout refus devra faire l’objet d’une notification par le détenteur de données à son autorité de contrôle.

Mettre à jour ses contrats et sa documentation contractuelle

Les détenteurs de données doivent également mettre à jour leurs contrats utilisateurs et envisager les termes des contrats à venir avec les destinataires de données. Ils peuvent à ce titre s’appuyer sur les modèles de clauses publiés par la Commission européenne le 19 novembre dernier.

Le Règlement édicte, par ailleurs, de nouvelles obligations d’informations précontractuelles vis-à-vis des utilisateurs s’agissant notamment des catégories de données susceptibles d’être générées lors de l’utilisation du produit connecté et du service connexe, les modalités et la durée de conservation des données, l’identité du détenteur des données ainsi que les conditions et modalités d’exercice de leurs droits au titre du Data Act. Ces obligations de transparence s’ajoutent à celles issues du RGPD dès lors que les données concernées constituent des données personnelles.

Par ailleurs, le détenteur de données ne peut utiliser les données générées par ses produits ou services que s’il dispose d’un contrat avec l’utilisateur l’y autorisant. Cela renforce l’exigence de transparence s’agissant des finalités et modalités d’utilisation de ces données. De même, le destinataire des données ne peut utiliser les données qui lui ont été communiquées que sur la base d’un contrat avec l’utilisateur.

S’agissant des contrats conclus avec les destinataires de données, le Règlement impose que la communication des données intervienne selon des conditions équitables, raisonnables, non discriminatoires et transparentes. Aucune différence de traitement ne doit ainsi exister entre des catégories comparables de destinataires. En cas d’allégation de discrimination, le détenteur de données est tenu de fournir les éléments démontrant l’absence de discrimination.

Si le principe d’une compensation est prévu par le texte, cette compensation doit être raisonnable en tenant compte (i) des coûts occasionnés par la mise à disposition des données et (ii) sauf si le destinataire des données est une PME ou un organisme de recherche à but non lucratif, des investissements dans la collecte et la production de données. Ici encore, la transparence est de mise puisque le détenteur de données doit fournir au destinataire, les informations exposant la base de calcul de la compensation.

Enfin, le Règlement interdit les clauses abusives dans les contrats entre entreprises : ces clauses sont réputées non écrites lorsqu’elles sont imposées de manière unilatérale. La clause abusive est celle d’une nature telle que son utilisation s’écarte manifestement des bonnes pratiques commerciales en matière d’accès et d’utilisation des données, contrairement à la bonne foi et à un usage loyal. Le Règlement propose également une liste de clauses abusives, et clauses « réputées » abusives.

Les limites d’usage des données reçues en qualité d’utilisateur ou destinataire des données

Si une entreprise est susceptible de bénéficier des dispositions du Data Act en qualité d’utilisatrice ou de destinataire de données, l’usage des données qui lui sont communiquées reste encadré. 

Il est ainsi interdit tant pour l’utilisateur que pour le destinataire des données d’utiliser les données reçues pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ou de partager les données avec un tiers dans cette intention. Il est également interdit d’utiliser ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou du détenteur de données.

Le destinataire de données ne peut traiter les données mises à sa disposition qu’aux fins et dans les conditions convenues avec l’utilisateur par voie contractuelle. Il doit en principe effacer les données lorsqu’elles ne sont plus nécessaires à la finalité convenue.

Enfin, le Règlement précise que le détenteur de données peut appliquer des mesures techniques appropriées de protection afin d’empêcher l’accès non autorisé aux données. Dans ce cadre, les utilisateurs et les destinataires de données ne peuvent pas modifier ni contourner ces mesures.