Six ans après l’entrée en vigueur du Règlement Européen 2016/679 sur la protection des données à caractère personnel (”RGPD” ), l’Union Européenne vient d’adopter un nouveau règlement visant une meilleure répartition de la valeur générée par l’utilisation des données entre les acteurs de l’économie numérique.

Adopté le 11 janvier 2024, en seulement 22 mois, le Règlement 2023/2854 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (Règlement sur les Données ou “Data Act” ) ambitionne d’élargir le champ de la souveraineté européenne sur le numérique, au-delà des frontières des seules données à caractère personnel.

Le Constat d’une Impuissance

Débutées en février 2022 sous la présidence française de l’Union européenne, les négociations visaient à appréhender l’Internet des objets (« Internet of Things » ou « IoT ») et l’industrie de l’informatique en nuage (« cloud computing ») qui génère une quantité importante de données, tant personnelles que non personnelles et dont la valeur économique demeure aujourd’hui contrôlée par les quelques acteurs en position dominante mettant sur le marché ces produits IoT ou service de cloud computing.

En supprimant certaines barrières à la portabilité des données sous-jacentes, le Data Act ambitionne de stimuler le développement d’une économie européenne de la donnée équitable et un rééquilibrage de la concurrence.

La Donnée au Service des Entreprises

Le Data Act définit pour la première fois ce qu’est une « Donnée ». En effet, si la « Donnée à Caractère Personnel » était définie en droit européen depuis plus de 30 ans comme « toute information se rapportant [directement ou indirectement] à une personne physique identifiée ou identifiable », la donnée est à présent caractérisée par « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels. »

En premier lieu, la définition de la donnée semble matériellement plus restreinte que la donnée personnelle. Lorsque cette dernière peut être issue de traitement de données réalisé sur support informatique ou papier, la donnée au sens du Data Act est exclusivement numérique.

En outre, en affirmant qu’une donnée est soit un « acte », soit un « fait », soit une « information », le Data Act souligne qu’elle n’est qu’un état et, partant, insusceptible, en tant que telle, d’appropriation par le droit de la propriété intellectuelle (sans préjudice des droits éventuels sur la base de données où elle serait comprise ou du caractère secret de cette donnée).

En conséquence, la donnée n’étant la propriété de personne, ni du prestataire, ni de son client, sa détention et son contrôle ne peuvent être régis que par contrat.

Les Acteurs du Data Act

Le Data Act couvre un large spectre d’acteurs de l’économique de la donnée :

• Fabricants et fournisseurs : toute entreprise qui fabrique ou vend des produits connectés (tels que des thermostats ou luminaires connectés) à destination du marché de l’Union, ou qui y offre des services connexes (tels que des applications mobiles permettant la visualisation des données générées par les produits connectés) est soumise au Data Act
• Utilisateurs : toute personne morale ou physique qui utilise des produits connectés et des services connexes au sein de l’Union bénéficie des droits issus du Data Act qui lui permette non seulement d’accéder aux données générées par leurs produits connectés, mais également de faire transférer ces données à un nouveau prestataire.
• Fournisseurs de services de traitement des données : les entreprises qui stockent, traitent ou gèrent des données pour le compte d’autrui dans l’Union (tels que les hébergeurs de données ou fournisseurs d’informatique en nuage) sont également concernées.

Si certaines exemptions ont été mises en place pour les micro-entreprises et les petites entreprises, ces dernières bénéficient également d’un régime favorable, notamment dans le cadre de leurs relations contractuelles avec des fournisseurs de tailles plus importantes, aux fins de rééquilibrer les négociations contractuelles.

Les Nouvelles Règles du Data Act

Le Data Act impose aux acteurs listés ci-dessus plusieurs obligations, qui visent à les responsabiliser, notamment par une transparence accrue, pour promouvoir une concurrence loyale sur le marché des données.

• Transparence : les fabricants et fournisseurs sont tenus de fournir aux utilisateurs des informations claires et complètes sur les données collectées par leurs produits connectés et services connexes, tels que la nature et le volume des données collectées, la manière dont elles sont utilisées et les droits des utilisateurs en matière d’accès et de contrôle.
• Accès aux données : non sans rappeler le droit à la portabilité inauguré par le RGPD, les utilisateurs disposent d’un droit d’accéder aux données générées par leurs produits connectés et services connexes. Ces données doivent être fournies dans un format couramment utilisé et lisible par machine, permettant aux utilisateurs de les télécharger et de les analyser facilement. Comme pour le RGPD, ce droit d’accès et de portabilité vise à permettre le transfert de l’historique des données à un nouveau prestataire sans frais excessifs. Dans le même temps, le Data Act pose de nouvelles exigences relatives à l’interopérabilité pour donner un plein effet à ces possibilités de transferts entre prestataires.