Complexe, décousu, technique, difficilement applicable… Voilà les mots qui viennent lorsqu’on évoque le Data Act, le Règlement européen sur les données en passe d’être officiellement adopté par l’Union européenne. Moins connu du grand public et des spécialistes, éclipsé par le Règlement sur l’IA et le duo DMA/DSA, c’est pourtant un texte dont l’ambition était, à l’origine, immense. Et dont les attentes sont, encore aujourd’hui, très élevées, alors que le texte arrive au bout de son processus d’adoption : il sera voté en assemblée plénière en novembre prochain.
En théorie, le Data Act doit permettre à l’utilisateur – et donc au consommateur européen – d’avoir plus de droits sur ses données. Il doit ouvrir, voire créer, un nouveau marché dans lequel émergeront de nouveaux acteurs européens, des intermédiaires des données. « En mettant fin au verrouillage des données, le Data Act ouvre la voie à une économie de la donnée qui profite à tous », s’enthousiasmait Jean-Noël Barrot, le ministre délégué en charge de la Transition numérique et des Télécommunications, dans un communiqué du 15 juillet dernier. Bruno Le Maire, le ministre de l’Economie, n’hésite pas, lui, à évoquer « la souveraineté numérique européenne ». La Commission européenne, à l’origine du règlement, était même allée jusqu’à brandir le montant de 270 milliards d’euros de produit intérieur brut supplémentaire qui seraient engrangés d’ici 2028 grâce au nouveau marché créé. Ces projections seront-elles concrétisées ? C’est toute la question.
Un champ des données et des objets très (trop) limité ?
D’abord, de quoi parle le Data Act ? Comme son nom l’indique, ce règlement traite de données, mais de données très spécifiques. Il s’agit des data générées par l’utilisation d’objets connectés, comme les voitures, les enceintes, les aspirateurs, ou encore les radiateurs connectés. Ces milliards de données récoltées dormiraient actuellement dans des bases de données ou sur des serveurs, ou seraient exclusivement dans les mains d’un seul opérateur, alors qu’elles pourraient être exploitées commercialement – y compris par d’autres sociétés. Et c’est justement ce « coffre-fort» que la Commission européenne souhaite ouvrir – comme elle l’a fait en 2016 pour les données personnelles.
« À l’origine, c’était un texte qui était censé être assez horizontal, qui visait toutes les données générées sur tous les secteurs économiques. Mais au final, on se rend compte que non. Il ne concerne que les données des objets connectés » – les data provenant de l’utilisation des ordinateurs, des smartphones, des serveurs, des plateformes en ligne comme les réseaux sociaux et les moteurs de recherche, sont exclues du Data Act. Et seules les data professionnelles ou industrielles – au sens de non personnelles – sont visées. Car, c’est un point important, les données personnelles ne sont pas non plus incluses dans ce texte, elles continuent d’être régulées par le Règlement européen sur les données personnelles, le RGPD. Résultat, avec toutes ces exclusions, « le champ d’application du Data Act est devenu très restreint », constate Pierre-Emmanuel Frogé, avocat chez BCLP Paris, en charge du département IP IT Data.
« L’objectif du Data Act est de fluidifier la donnée, mais on se rend compte qu’en fait, oui, mais c’est sur un tout petit secteur, sur un très faible nombre de données et dans des conditions très particulières », poursuit-il.
Les trois acteurs clé du Data Act
Quelles sont justement, les principales dispositions de ce règlement ? D’un côté, l’utilisateur – donc le consommateur européen – aura le droit de demander (et d’obtenir) ses data industrielles générées par l’utilisation de ses objets connectés. Il va pouvoir les transférer à d’autres sociétés – qui ne pourront pas être des Gafam – qu’on appelle des intermédiaires des données, l’idée étant de leur permettre de passer plus facilement d’un fournisseur à un autre. Le règlement a vocation à faire émerger des petites sociétés et de nouveaux services. Il concerne aussi le cloud et permettra à des acteurs du cloud européens d’exister – à côté des géants actuels. Là aussi, l’utilisateur pourra changer plus facilement de fournisseur d’infrastructure sans payer des frais, à compter de 2026.
D’un autre côté, les détenteurs (initiaux) de ces datas – les fabricants des objets connectés ou de leurs logiciels – auront l’obligation de les partager avec les utilisateurs et… avec d’autres sociétés – y compris s’il s’agit de leurs concurrents. Enfin, les administrations pourront, elles, accéder gratuitement aux données en cas d’urgence publique – comme une crise sanitaire, contre un défraiement qui couvrirait le coût de cette mise à disposition. « Contrairement à ce que j’ai pu lire parfois dans la presse, cela ne signifie pas que les autorités publiques auraient accès à ces data dans le cadre d’une enquête de police ou en cas de procès », précise Arnaud Latil, maître de conférences de droit privé à Sorbonne Université et membre du Sorbonne Center for Artificial Intelligence (SCAI).
L’objectif de l’Union européenne (UE) était donc de fluidifier le marché des données et de permettre l’émergence de nouveaux intermédiaires. Mais à mesure que l’on parcourt les 124 pages du règlement, on mesure à quel point les difficultés ne font que commencer.
Le Privacy Paradox : je veux contrôler mes données personnelles, mais je les donne à n’importe qui
D’abord, tout l’édifice du Data Act repose sur l’utilisateur : seul ce dernier pourra faire la demande de données. L’utilisateur lambda va-t-il comprendre ce droit, et va-t-il s’en saisir ? « Il faudra beaucoup de pédagogie pour que cela soit le cas », estime Suzanne Vergnolle, docteur en droit et maître de conférences au Conservatoire national des arts et métiers (Cnam). « On veut fluidifier les données d’un point de vue économique entre les opérateurs techniques, mais on donne le volant à l’utilisateur qui n’est pas forcément le plus enclin à vouloir transférer ses données », renchérit Pierre-Emmanuel Frogé. D’autant que ce dernier est souvent victime du « privacy paradoxe », poursuit l’avocat.
« On a tendance à dire : “mes données personnelles, c’est très important”. Mais en pratique, on n’y fait pas attention. On donne des informations à n’importe qui. Quand on nous propose des politiques de confidentialité, on clique, on les accepte, on ne sait même pas ce que l’on fait. Ou au contraire, l’individu n’utilise pas ses droits relatifs à ses données, comme le droit d’accéder à ses données à des fins de portabilité (ce qui est déjà prévu par le RGPD, ndlr). C’est pour cela que mettre l’utilisateur aux manettes, et le rendre responsable de la mise en œuvre des mesures prévues par le Data Act, c’est un peu contre-intuitif », souligne Pierre-Emmanuel Frogé.
À lire aussi : Comment une start-up a défié Google pour vous rendre le contrôle de vos données personnelles
Autre problème de taille, qui apparaît dès les premières pages du Règlement : le fait que le Data Act « ne porte pas préjudice à l’application des règles du RGPD ». Comprenez : si les règles se contredisent entre ces deux textes, c’est le RGPD (qui ne traite que des données personnelles, c’est-à-dire des données qui se rapportent à une personne physique identifiée ou identifiable) qui prime. « Une fois qu’on a dit ça, on n’a pas dit grand-chose. Or, les entreprises vont devoir savoir comment mettre en place concrètement ces principes. Les réponses ne sont pas toutes dans le texte. Loin de là », explique Suzanne Vergnolle.
Le mix entre données personnelles et non personnelles : un blocage d’entrée
Car bien souvent, donnée personnelle et donnée non personnelle sont imbriquées l’une dans l’autre. Comment faire lorsqu’elles sont mélangées ? « Là, il y a déjà un vrai blocage d’entrée. D’un côté, le Data Act dit : bon, fluidifiez tout ça. Le principe est louable ». Mais de l’autre, « on se rend compte que dans toutes ces données, il y a de la donnée personnelle et de la donnée qui n’est pas personnelle », souligne Pierre-Emmanuel Frogé.
Un compteur Linky disposera par exemple d’éléments d’identification d’une personne comme un compte client mais aussi d’un profil (une personne qui consomme surtout le soir et le week-end, par exemple) avec des chiffres de consommation très précis, dont on pourrait déduire beaucoup de choses. En théorie, certains éléments seront soumis au Data Act, d’autres au RGPD. En pratique, cette distinction va être plus que complexe. « Concrètement, cela va être compliqué de fluidifier les données en restant dans le respect du RGPD », résume Pierre-Emmanuel Frogé.
À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Le secret des affaires va-t-il être invoqué à tout-va ?
Autre élément, dont se sont alarmées les entreprises : le secret des affaires. À l’origine, le texte prévoyait que les sociétés ne pouvaient pas invoquer les trade secrets pour éviter d’avoir à partager les données qu’elles récupèrent, et qu’elles devront communiquer à d’autres entreprises si l’utilisateur en fait la demande. Pourquoi cette règle ? « Le secret des affaires est souvent invoqué comme une carte joker par les entreprises pour éviter de communiquer certaines informations, et le législateur a certainement voulu éviter cela », souligne Suzanne Vergnolle.
Mais lors du dernier Trilogue (la réunion de représentants de la Commission européenne, du Conseil et du Parlement européen), rapporte Contexte, une exception a finalement été mise en place. Les détenteurs de données pourront refuser la demande de partage en cas de trade secrets, s’ils prouvent qu’ils souffriraient d’un préjudice économique grave – ils devront notamment apporter « des éléments objectifs, en particulier le caractère exécutoire de la protection du secret des affaires dans les pays tiers, la nature et le niveau de confidentialité des données demandées ou encore le caractère unique et nouveau du produit ». Reste à savoir comment ces éléments pourront être apportés en pratique.
Un texte trop théorique, sans solutions pratiques ?
La question de la mise en pratique est, d’ailleurs, le principal défi de ce texte, tous les experts que nous avons interrogés sont unanimes sur ce point. « Ce règlement impose des obligations aux opérateurs économiques, mais en pratique, les solutions techniques pour les respecter ne sont pas données », précise Pierre-Emmanuel Forgé. « Mais ce sera l’occasion pour la Commission européenne, on espère, d’entreprendre l’édiction de vrais standards d’interopérabilité des données, de vrais standards sur les méthodes d’anonymisation ou de pseudonymisation des données qui permettront, en pratique, leur circulation et leur communication entre opérateurs », ajoute-t-il .
Le nouveau règlement n’entrera en application que 20 mois après son entrée en vigueur – soit au mieux en mai 2025, s’il est adopté en assemblée plénière en novembre prochain. Mais il faudra bien plus de temps pour savoir « précisément comment ce texte s’appliquera », prévient Suzanne Vergolle évoquant un horizon de « plusieurs années. Pour l’instant, malheureusement, on est encore sur les grands principes », ajoute l’experte en droit du numérique. Même son de cloche chez Arnaud Latil, pour qui « cette réglementation a aussi pour fonction de réguler le secteur du numérique pour la décennie à venir. Elle est lourde, mais elle n’est pas censée être immédiate. Elle consiste en une infusion lente, si on peut utiliser cette expression ». Côté autorités européennes, un travail titanesque de pédagogie et d’explication s’annonce. Car il faudra parvenir à remplacer le « complexe, décousu, technique, difficilement applicable » par de la clarté et de l’efficacité… Une mission impossible ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
