Data Act : quelles obligations en termes de partage de données ?

 Les débiteurs d’une obligation de partage de données

Les obligations de partage de données pèsent sur les « détenteurs de données » qui mettent des produits connectés sur le marché de l’Union, fournissent des services connexes, ou mettent des données à disposition de destinataires dans l’Union¹.

Cette catégorie vise en premier lieu les fabricants de produits connectés (connus sous le nom d’IoT), à savoir des objets qui obtiennent, génèrent ou recueillent des données concernant leur utilisation ou environnement et peuvent communiquer ces données.

Elle vise également les fournisseurs de services connexes, c’est-à-dire ceux qui fournissent des services connectés au produit en l’absence desquels le produit connecté serait empêché d’exécuter certaines de ses fonctions ou qui permettent d’ajouter, de mettre à jour ou d’adapter les fonctions dudit produit.

Plus globalement, la notion de « détenteur de données » vise à capturer toute situation où une personne se trouve licitement en possession de données qu’elle a légalement l’obligation de partager. Cela peut être par exemple le cas du tiers à qui le fabricant a délégué la détention des données de ses produits, ou encore celui du fabricant d’un composant d’un produit connecté, à partir du moment où ce composant est configuré pour permettre la remontée de données directement au fabricant dudit composant.

Les créanciers de l’obligation de partage de données

Les détenteurs de données doivent en premier lieu permettre l’accès aux données générées par les produits connectés et services connexes aux utilisateurs, c’est-à-dire aux personnes physiques ou morales qui possèdent ou louent un produit connecté ou reçoivent des services connexes.

Par ailleurs, sur demande de l’utilisateur, les détenteurs de données doivent permettre l’accès aux données à des tiers. Lorsque ces tiers utilisent les données aux fins de leurs activités professionnelles, ils sont qualifiés de « destinataires de données ».

Une même personne peut successivement revêtir plusieurs qualifications, en fonction de son rôle dans la chaîne de partage de données. Par exemple, pour fournir un service connexe à un produit connecté, un fournisseur de service connexe (qui n’est pas le fabricant) doit d’abord obtenir des données relatives à ce produit. Dans ce cas, il est destinataire de données. Une fois que la fourniture du service a commencé, le fournisseur de service devient détenteur des données générées par son service.

Le rôle des parties à la chaîne de partage de données doit être étudié avec soin car les droits et obligations de chacun diffèrent en fonction de la qualification.

Les données qui doivent faire l’objet d’un partage

Le détenteur de données doit permettre l’accès aux « données facilement accessibles » relatives aux produits connectés et aux services connexes, « y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données ». Le règlement précise que sont visées ici les données générées par l’utilisation d’un produit connecté que le fabricant a conçues pour pouvoir être extraites, ainsi que les données représentant les actions de l’utilisation ou les événements liés au produit connecté qui sont générées lors de la fourniture d’un service connexe. Il est précisé que ces données sont toutefois limitées aux données brutes ou prétraitées dans le but de les rendre compréhensibles et utilisables et qui sont accessibles facilement au détenteur de données. A l’inverse, « les informations dérivées ou déduites de ces données, qui sont le résultat d’investissements supplémentaires dans l’attribution de valeurs ou d’informations tirées des données, en particulier au moyen d’algorithmes complexes et propriétaires », sont exclues de l’obligation de partage de données.

En pratique, cette distinction entre données brutes et données enrichies peut s’avérer difficile à opérer. L’un des enjeux majeurs pour les détenteurs de données est donc de cartographier précisément les données générées par leurs produits ou services pour distinguer celles qui feront l’objet d’une obligation de partage gratuit (cf. ci-après) de celles qui pourront être gardées confidentielles ou monétisées.

Les modalités d’accès aux données

Le règlement distingue deux modalités d’accès aux données : l’accès direct et l’accès indirect, sur demande de l’utilisateur. Dans les deux cas, les données doivent être mises à disposition de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine. Lorsque cela est pertinent et techniquement faisable, le règlement requiert que le produit ou service soit conçu pour permettre un accès direct par l’utilisateur.

En plus de l’accès par l’utilisateur, le détenteur des données doit, sur demande de l’utilisateur, rendre possible l’accès aux données par un tiers (à l’exception des contrôleurs d’accès², qui ne sont pas des tiers éligibles). Lorsque le tiers agit dans le cadre de ses activités professionnelles, le détenteur de données peut lui demander une « compensation raisonnable » pour la mise à disposition des données. Le texte précise que cette compensation, bien qu’elle puisse inclure une marge dans certains cas, ne constitue pas le prix des données, mais peut inclure les coûts liés à leur mise à disposition et tenir compte des investissements liés à leur collecte et à leur production. La Commission européenne doit adopter des lignes directrices sur le calcul de cette compensation.

Les détenteurs de données doivent donc s’interroger sur les données qu’ils souhaitent rendre accessibles directement, par différence avec celles qui seront indirectement accessibles aux utilisateurs. En effet, l’accès direct suppose une conception by design. Par ailleurs, l’accès indirect aux données est soumis à un régime distinct qui permet de poser des limites à l’utilisation des données par l’utilisateur et les destinataires.

Les limites à l’obligation de partage de données

Le Data Act pose plusieurs limites à l’obligation de partage de données, lorsque celles-ci ne sont pas accessibles directement à l’utilisateur.

Premièrement, le détenteur de données peut conditionner (voire, sur justification, refuser) le partage de certaines données. C’est le cas en particulier des données protégées par un secret d’affaires.

Par ailleurs, l’obligation de partage de données doit se faire conformément aux règles du règlement général sur la protection des données 2016/679 (RGPD) lorsqu’il porte sur des données à caractère personnel. Ainsi, avant de partager des données à caractère personnel à une personne autre que la personne concernée, le détenteur devra s’assurer que la personne dispose d’une base juridique valable pour traiter ces données et, lorsque les données ont été collectées via un traceur ou un cookie, que l’utilisateur y a consenti lorsque cela est requis.

Enfin, l’usage que peuvent faire les utilisateurs et tiers des données qu’ils reçoivent du détenteur de données est encadré. Les données ne peuvent notamment pas être utilisées pour développer un produit concurrent du produit connecté dont proviennent les données ou pour obtenir des informations sur la situation économique ou les méthodes de production du détenteur. Plus généralement, le tiers n’est autorisé à utiliser les données qu’il reçoit qu’aux fins et dans les conditions prévues au contrat qui le lie à l’utilisateur.

Pour limiter les accès non autorisés aux données, les détenteurs de données peuvent mettre en œuvre des mesures techniques de protection. Les droits et obligations de chacun devront également être encadrés par contrat.

Le Data Act va venir impacter les contrats existants pour la fourniture de produits connectés et services connexes et générer l’obligation de conclure de nouveaux contrats.

Premièrement, l’utilisateur doit se voir communiquer plusieurs informations précontractuelles avant tout achat ou location de produit connecté ou souscription à un service connexe. Ces informations portent notamment sur les données générées par le produit ou service, la manière d’y accéder et les personnes pouvant y accéder.

Par ailleurs, l’accès aux données et leur utilisation par les différents acteurs de la chaîne de partage de données devront être encadrés par contrat.

Ainsi, le détenteur de données ne peut utiliser les données générées par ses produits ou services que s’il dispose d’un contrat avec l’utilisateur l’y autorisant. De même, le tiers ne peut utiliser les données générées par un produit que sur la base d’un contrat avec l’utilisateur. Dans tous les cas, les détenteurs de données ont intérêt à encadrer les droits et obligations de ceux à qui ils partagent des données.

Lorsque les contrats sont conclus entre professionnels, le chapitre IV du Data Act prévoit un système de clauses abusives qui, lorsqu’elles sont imposées de façon unilatérale, sont réputées non écrites (les consommateurs bénéficient d’un système similaire en droit de la consommation). Un groupe expert désigné par la Commission européenne a d’ailleurs publié quatre contrats types couvrant le partage (i) entre détenteur et utilisateur, (ii) entre détenteur et destinataire, (iii) entre utilisateur et destinataire et (iv) entre destinataires.

Les entreprises, quel que soit leur rôle, ont tout intérêt à anticiper les conséquences du Data Act pour négocier au mieux leurs contrats.

Le règlement laisse le soin à chaque Etat membre d’établir un régime de sanctions effectives, proportionnées et dissuasives et de désigner une ou plusieurs autorités compétentes.

A la date de cet article, la France n’a toujours pas désigné d’autorité compétente ni précisé le régime de sanctions applicable. Il y a de fortes chances pour qu’elle opte pour une désignation multiple, dans la mesure où le règlement précise que :

• les autorités de protection des données (en France, la CNIL) sont chargées de surveiller l’application du Data Act en ce qui concerne la protection des données à caractère personnel ;
• la compétence des autorités sectorielles doit être respectée pour les questions d’accès à certaines données sectorielles et leur utilisation.

La France a déjà opté, d’ailleurs, pour une double désignation pour le règlement 2022/868 sur la gouvernance des données (compétence partagée de l’Arcep et de la CNIL), et semble s’orienter vers une désignation multiple pour le règlement 2024/1689 sur l’intelligence artificielle.

¹ Hors microentreprises et petites entreprises qui ne sont pas partenaires ou liées à des entreprises tombant dans le champ d’application du texte.

² Au sens du règlement 2022/1925 sur les marchés numériques (DMA), à savoir, à date : Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft.