Data Act : une entrée en force sur le marché des données européen

Après le règlement général sur la protection des données (RGPD).

Le Digital Market Act (DMA).

Le Digital Services Act (DSA).

Et l’European Data Governance act.

La commission européenne a encore frappé un grand coup avec l’entrée en vigueur du Data Act le 11 janvier 2024.

En discussion depuis 2022, il instaure de nouvelles lois définissant les droits d’accès et d’utilisation des données européennes.

En parcourant le texte, on remarque assez vite que l’accent est mis sur deux types de données informatiques :

• les données industrielles ;
• et les données générées par les objets connectés.

Le Data Act est une extension du Governance Data Act. Là où le 1ᵉʳ créé les processus et les structures pour faciliter le partage des données entreprises-consommateurs-états, le deuxième précise qui peut traiter lesdites données.

Autrement dit, qui peut les utiliser pour créer de la valeur, et comment.

La commission va même plus loin sur son site web en montrant comment les données de santé vont en bénéficier. On note :

• l’amélioration des traitements personnalisés ;
• la fourniture de meilleurs soins de santé ;
• 120 milliards d’euros d’économies annuels pour les professionnels Européens de la santé.

Le texte doit entrer en vigueur dans vingt mois, soit le 11 septembre 2025.

Des objectifs ambitieux

Le moins que l’on puisse dire, c’est que les 27 sont extrêmement ambitieux via le Data Act.

Pour vous faire une idée, voici quelques-uns de ses objectifs :

• stimuler le développement d’un marché européen des données concurrentiel, ce qui se traduirait par la création de plus de services innovants et par l’amélioration de la compétitivité des SAV ;
• la protection des entreprises de toutes tailles contre les demandes illégales de transfert ou d’accès à des données non personnelles par des pays tiers. Un point de plus pour lutter contre le cloud Act américain ;
• garantir l’équité sur le marché des données numériques ;
• protéger les entreprises européennes contre les clauses contractuelles abusives dans les contrats de partage des données. Ce qui permettra aux PME de prendre davantage part au marché des données.

Pour citer Margrethe Vestager, la vice-présidente exécutive pour une Europe adaptée à l’ère du numérique.

“Aujourd’hui marque une étape clé de notre transformation numérique. Grâce à une législation bien définie sur les données, nous donnons à l’utilisateur le contrôle du partage des données générées par ses appareils connectés, tout en assurant la protection des secrets commerciaux et en sauvegardant le droit fondamental européen à la vie privée”.

Si ces lois rendent les Européens fous de joies, il y en a qui risquent de moins l’apprécier.

De nouvelles règles difficiles à avaler pour les fournisseurs de service cloud computing non-Européens

Apple et les règles de l’UE, c’est tout, sauf une histoire d’amour.

On a encore en tête la levée prochaine de son monopole sur l’app store (européen) – Apple interdisait à des magasins d’applications tiers d’y proposer des applications –, ou encore l’affaire du port lightning.

Clairement, ce texte ne va pas les rapprocher.

En effet, les fournisseurs de services de Cloud Computing – IaaS, PaaS et SaaS – sont maintenant obligés de :

• Fournir un droit de changement de prestataire par la suppression d’obstacles – autrement dit, le quasi-monopole d’iCloud sur l’iPhone risque d’y laisser des plumes ;
• Après renouvellement, le client peut faire jouer son droit au « portage (de ses) données exportables et (de ses) actifs numériques, (…) y compris après avoir bénéficié d’une offre gratuite » ;
• Fournir, en cas exceptionnel, l’accès aux données personnelles des consommateurs Européens aux organismes du secteur public.

Attention toutefois : bien que l’on ait pris l’exemple d’Apple, ce n’est pas la seule société technologique dans le viseur de l’UE.

Amazon Web Services, Microsoft Azure, Google Cloud, qui à eux trois contrôlent 70 % du marché français vont aussi prendre cher. OVH cloud, Scaleway, 3D Outscale pour ne citer que ces champions de l’hébergement web français vont tirer parti du Data Act.

Des Européens de plus en plus maîtres de leurs données personnelles

Clairement, les données personnelles générées par les périphériques connectés sont les plus concernées par ce texte.

Mais toutes les autres le sont aussi.

Ainsi, le Data Act ajoute de nouvelles obligations aux entreprises tierces qui traitent les données des internautes Européens :

• l’utilisation des données reçues uniquement dans le cadre de l’usage agréé par l’utilisateur, et leur suppression lorsqu’elles ne sont plus nécessaires ;
• l’interdiction de rendre les données disponibles à une organisation classées comme Gatekeeper dans le cadre du Digital Market Act (DMA) – Amazon, Alphabet, ByteDance (TikTok), Meta, Microsoft, Samsung et Apple ;
• ne pas utiliser les données de façon à constituer un risque pour la sécurité des produits connectés ;
• ne pas empêcher l’utilisateur-consommateur de mettre ses données personnelles à la disposition d’autres parties.

De plus, les micros et les petites entreprises ont été exclus de ces nouvelles obligations de partage de données.

De là à dire qu’il s’agit de lois anti-trust visant les géants de la technologie outre-atlantique, il n’y a qu’un pas.